Đang tải... (xem toàn văn)
Nghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APT
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - TRỊNH THỊ VÂN NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 TÓM TẮC LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2016 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Đỗ Xuân Chợ Phản biện 1: PGS.TS Hà Hải Nam Phản biện 2: TS Nguyễn Khắc Lịch Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: 00 ngày 20 tháng 08 năm 2016 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Tính cấp thiết đề tài Ngày nay, với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hoà vào mạng toàn cầu Internet, an toàn bảo mật thông tin vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến phải đối mặt với biến đổi, phức tạp ngày nguy an toàn thông tin Theo hiệp hội An Toàn Thông Tin Việt Nam tội phạm máy tính liên tục gia tăng, đáng ý xuất công APT (Advanced Persistent Threats) vài năm trở lại APT thường sử dụng nhiều loại phương pháp, công nghệ tinh vi phức tạp để công mục tiêu cụ thể nhằm đạt thông tin mật nhạy cảm Trong thực tế, từ nhiều năm qua, quan phủ ngành, doanh nghiệp lớn có vai trò đáng kể kinh tế lượng, hàng không, viễn thông … đích ngắm tội phạm công APT Các hacker trước phần lớn hoạt động động cá nhân, ngày nhiều công APT đánh cắp liệu động tài có động trị, mà đứng sau phủ quốc gia Theo diễn biến tội phạn công APT liên tục phát triển có nhiều diễn biến khó lường Vì cần phải có biện pháp phòng chống truy tìm chứng số công nhằm giúp nhà quản trị hệ thống đưa phương án giải hữu hiệu Vì lý học viên chọn Đề tài Nghiên cứu phương pháp truy tìm chứng số công APT Một đề tài chưa nghiên cứu sâu rộng c ng chưa có tài liệu khoa học, công trình nghiên cứu công bố Tổng quan vấn đề cần nghiên cứu Tấn công APT hình thức công nguy hiểm, công có chủ đích vào mục tiêu, thiết kế riêng cho mục tiêu, để xâm nhập vào đối tượng bị công có chứa liệu nhằm tìm kiếm thông tin gửi bên APT loại công âm thầm, không phá hỏng file/máy tính, chúng có khả “ẩn khó phát loại công Các vụ thất thoát liệu xảy với RSA, CitiBank Global Payments,… Trong khuôn khổ nghiên cứu Học Viện Công Nghệ Bưu Chính Viễn Thông có số đề tài nghiên cứu xoay quanh vấn đề công APT, như: đề tài “Tấn công APT lên hệ thống thông tin biện pháp phòng chống báo cáo năm 2014 Sinh viên Đoàn Xuân Quỳnh Hay đề tài thạc sỹ kỹ thuật năm 2015 Nguyễn Khánh Chi: “ Nghiên cứu phương pháp phòng chống công APT Tuy nhiên, chưa có tài liệu nêu cách truy tìm chứng c ng dấu vết mà kẻ công để lại công APT, nhằm giúp phòng tránh lỗ hổng công APT nhằm vào Mục đích nghiên cứu Nghiên cứu công nghệ công APT: kỹ thuật, giai đoạn, mục đích, phương pháp… Nghiên cứu giải pháp công nghệ để phòng chống công APT Nghiên cứu phương pháp để truy tìm chứng số công APT ng dụng công nghệ truy tìm chứng số công APT Đối tƣợng phạm vi nghiên cứu Đối tượng nghiên cứu: Các phương pháp, giải pháp công nghệ nhằm truy tìm chứng số công APT vào hệ thống thông tin Phạm vi nghiên cứu: Các kỹ thuật, phương thức, giải pháp, công nghệ để truy tìm chứng số công APT lên hệ thống thông tin Phƣơng pháp nghiên cứu Dựa sở lý thuyết công APT; Dựa công nghệ truy tìm chứng số; Dựa đặc điểm nhận dạng công mạng đặc biệt công APT; Nội dung luận văn gồm ba chương phần kết luận: Chương 1: Tổng quan công APT giải pháp phòng chống công APT Chương 2: Nghiên cứu phương pháp truy tìm chứng số công APT Chương 3: Mô thử nghiệm CHƢƠNG 1: TỔNG QUAN VỀ CUỘC TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÕNG CHỐNG TẤN CÔNG APT 1.1 Tổng quan công APT 1.1.1 Khái niệm APT Tấn công APT (Advanced Persistent Threat - tạm dịch mối đe dọa liên tục nâng cao) hình thức công tập trung, có chủ đích, thiết kế riêng cho mục tiêu, để xâm nhập vào đối tượng có chứa liệu nhằm tìm kiếm thông tin giá trị gửi bên Các thành phần từ viết tắt APT: Advanced (Nâng cao) Persistent (Dai dẳng) Threat (Nguy hay mối đe dọa) 1.1.2 Các đặc điểm APT Targeted (mục tiêu): Hacker xác định cách xác mục tiêu cụ thể để công khai thác tới tổ chức, cá nhân, quốc gia, nhà nước cụ thể,… Persistent (Dai dẳng): Quá trình công APT diễn theo nhiều giai đoạn khác thời gian dài Sử dụng nhiều kĩ thuật, phương pháp khác để công vào mục tiêu đến thành công Evasive (Tránh né ẩn mình): Tấn công APT thiết kế để “qua mặt hầu hết giải pháp đảm bảo ATTT truyền thông Firewall, IPS, Antivirus, … Complex (Phức tạp): APT phối kết hợp nhiều kĩ thuật khác cách khoa học nhằm mục tiêu nhiều lỗ hổng bảo mật tổ chức Các Malware: Malware thuật ngữ chung bao gồm nhiều loại phần mềm với điểm chung xâm nhập thông tin hệ thống nhiều lý Kỹ thuật Social Engineering: Trong công APT, kẻ công sử dụng spear-phishing email (một dạng phishing) đính kèm với file vô hại mà mục tiêu có khả mở Khai thác lổ hổng Zero-day Exploit khác: Zero-day exploit lỗ hổng sản phẩm phần mềm mà cho phép kẻ công thực thi mã không mong muốn giành quyền kiểm soát máy tính mục tiêu Insiders Recruits: Insider Attack - công nội Insider Attack có mạnh lớn, gián điệp phép truy cập vật lý vào hệ thống công ty, di chuyển vào tự công ty Forged Fake Certificates (giả mạo chứng điện tử): Thông thường tin tặc sử dụng chứng SSL giả mạo cho website thật mạo danh trang web hợp pháp 1.1.3 Các giai đoạn công APT Giai đoạn Reconnaissance (Thăm dò/Trinh sát); Giai đoạn Preparation (chuẩn bị); Giai đoạn Targeting; Giai đoạn Further Access (Leo thang đặc quyền); Giai đoạn Data Gathering (Đánh cắp liệu); Giai đoạn Maintenance and Administration (duy trì diện) 1.1.4 Sự khác biệt APT hình thức công khác Mục tiêu công rõ ràng, cụ thể; Thời gian nghiên cứu hệ thống công dài; Thu thập thông tin; Nhắm vào điểm yếu hệ thống; Duy trì việc truy cập dài hạn; Không phá hủy hay làm ảnh hưởng đến quy trình làm việc hệ thống 1.2 Các giải pháp phòng chống công APT 1.2.1 Các yêu cầu hệ thống phòng chống công APT Khi triển khai giải pháp phòng chống APT toàn hệ thống, chúng phải đảm bảo hai nhiệm vụ sau: Phát ngăn chặn mối đe dọa để bảo vệ hệ thống khỏi công nội c ng từ bên ng phó tình giúp tự động khắc phục đẩy nhanh chu trình ứng cứu có cố Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu sau: Chống lại mối đe dọa: Giải pháp phòng chống thực cần cung cấp khả chống lại công nhằm vào giai đoạn vòng đời APT: trước tải về, chúng lưu thông mạng chúng cài đặt thiết bị đầu cuối Bảo vệ liệu khỏi bị đánh cắp: Một giải pháp phòng chống toàn diện thực trực tiếp phát ngăn chặn việc tiếp cận trái phép thông tin nhạy cảm, có giá trị Phân tích vấn đề an ninh mạng: Một giải pháp phòng chống cung cấp hồ sơ lịch sử tất hoạt động mạng, đó, bạn quay ngược thời gian để tìm kiếm mối đe dọa mà hệ thống thời điểm Báo cáo linh hoạt 1.2.2 Các phương pháp phòng chống công APT Quản lý rủi ro Nhiệm vụ quan trọng phòng chống APT hiểu cần bảo vệ “Mỗi tổ chức phải lập kế hoạch quản lý rủi ro, phân bổ ngân sách nguồn lực để bảo vệ tài sản có giá trị tổ chức Các công nghệ Antivirus: Antivirus trở nên quen thuộc với người sử dụng máy tính Firewalls: Tường lửa có lịch sử lâu dài việc ngăn chặn cho phép gói tin mạng dựa nguồn gốc địa IP đích số cổng Penetration Testing: Đánh giá độ an toàn cách công (đánh trận giả) Xác định khả bị công, khả kết hợp nguy nhỏ thành mối nguy lớn Xác định nguy mà công cụ tự động không phát Khả hệ thống việc ngăn chặn loại hình công Lượng hoá vấn đề cần đầu tư cho bảo mật Data Leak Prevention (DLP - ngăn chặn rò rỉ liệu): Tăng cường giám sát lưu lượng truy cập cho hoạt động bên độc Quét email từ bên web traffic để ngăn chặn liệu bị đánh cắp Whitelisting Network whitelisting sử dụng phép giao vận nội định đạt tài nguyên mạng khác Blacklisting: Trong whitelist danh sách rõ ràng cho phép thực truy cập vào tài nguyên Instrution Prevention(IPS)/Instrution Detection (IDS): Bằng việc sử dụng sản phẩm mà cung cấp IPS IDS, tổ chức thêm lớp giám sát giao vận để theo sát hoạt động đáng nghi Two-Factor Authentication (Xác thực dùng hai nhân tố) Phương pháp xác thực dùng hai nhân tố sử dụng thông thường bao gồm username password tiêu chuẩn cộng với token xác thực dựa phần mềm phần cứng, cung cấp mật sử dụng lần, phải nhập vào username password trình bày cho máy chủ xác thực Cài đặt “honey pots”: Honey pots hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp Web Filtering/IP reputation: Web filtering để chặn truy cập đến trang web không tốt c ng trang web chứa phần mềm độc hại Thực thi chương trình quản lý lỗ hổng: Đảm bảo thường xuyên đánh giá mạng lỗ hổng biết Chạy quét xác thực vô quan trọng, máy trạm hệ thống có nguy cao với APT Network Access Control (NAC - Điều khiển truy cập mạng): Giải pháp kiểm tra tính tuân thủ bảo mật hệ thống NAC giải pháp ngăn chặn máy tính mạng truy cập vào nguồn tài nguyên Sandboxing: Sandbox kỹ thuật quan trọng lĩnh vực bảo mật có tác dụng cô lập ứng dụng, ngăn chặn phần mềm độc hại để chúng làm hỏng hệ thống máy tính, hay cài cắm mã độc nhằm ăn cắp thông tin cá nhân Application Control (Kiểm soát ứng dụng): Application Control cho phép xác định kiểm soát ứng dụng mạng, cổng, giao thức hay địa IP Web Gateway: Web Gateway lọc chặn virus, Spyware, Phishing, trước chúng thâm nhập vào hệ thống, ngăn chặn nguy liệu Mail Gateway: Mail Gateway tích hợp khả phòng chống thư rác nhiều lớp chống lừa đảo (anti-phishing) sử dụng lọc mã độc phần mềm gián điệp Security for Endpoint: Ngăn chặn virus máy trạm Khả chống bùng nổ virus mạng cục Khả kiểm soát việc truy cập Web Client Khả quản lý tập trung toàn hệ thống phòng chống virus Khả ngăn chặn Client truy cập tới trang web “độc hại Internet Device Control: Kiểm soát thiết bị ngoại vi phép sử dụng đơn vị hay tổ chức Security Information Event Management (SIEM): Là giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an toàn thông tin cho hệ thống Giải pháp FireEye phòng chống công APT Giải pháp phòng chống mối hiểm họa hệ FireEye (Web, Email, File, Central Management Malware Analysis) giải pháp tiên phong ngành bảo mật với chế signature-less, ngăn chặn công có mục tiêu, zero-day, APT qua kênh Web, Email File FireEye Web Malware Protection System(MPS) FireEye Email Malware Protection System(MPS) FireEye File Malware Protection System (MPS) FireEye Central Management System(CMS) FireEye Malware Analysis System(MAS) FireEye Dynamic Threat Intelligence Việc tích hợp giải pháp FireEye cho phép tất URL email gửi đến Web MPS với mức độ ưu tiên cao trình phân tích email Web MPS phân tích người dùng nhấp vào link liên kết email Sử dụng nhau, Email MPS cung cấp phân tích tập tin đính kèm email bối cảnh, Web MPS phân tích web URL, File MPS quét phân tích file, MAS cung cấp chi tiết malware phục vụ việc điều tra, CMS tương quan URL độc hại với email nạn nhân đưa nhìn tổng quan công Tất phát MPS Web, File MPS, Email MPS lọc CMS để tích hợp với hệ thống phân tích MAS Ví dụ, MAS kết nối với CMS, cho phép tùy chọn mẫu phần mềm độc hại phát email, tập tin, hệ thống Web MPS Submit to MAS để đưa phân tích sau phục vụ việc điều tra công Công nghệ fireeye multiplex virtual execution (vx) engine: Tất thiết bị FireEye - MAS, MPS Web, MPS Email, File MPS - thực thi file nghi ngờ, file đính kèm, tập tin, URL Tự động quét phần mềm độc hại đáng nghi ngờ thông qua quy tắc (rules) lọc để so sánh với thiết lập có biết đến, sau chuyểnqua môi giả lập ảo FireEye (VX) để thực thi 1.2.3 Con người Sử dụng công nghệ bảo mật chưa đủ, công APT thường mở đầu công spear phishing email việc đào tạo, huấn luyện người phải thực 1.3 Kết luận chƣơng Những kết đạt chương sau: - Trình bày vấn đề công APT khái niệm, đặc điểm, giai đoạn công cụ thường sử dụng công APT - Trình bày khác biệt công APT công mã độc truyền thống - Trình bày nhiệm vụ yêu cầu hệ thống phòng chống công APT cần phải có - Trình bày kỹ thuật phương pháp để phòng chống công APT 12 Tiếp nhận liệu (Acquisition): Tiếp nhận liệu bước tạo xác liệu (chứng số) hay gọi nhân điều tra phương tiện truyền thông Để đảm bảo tính toàn vẹn chứng thu liệu phải sử dụng kỹ thuật mật mã “băm liệu, trình điều tra cần phải xác minh độ xác thu Phân tích (Analysis): Là giai đoạn chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật c ng công cụ khác để trích xuất, thu thập phân tích chứng thu Lập báo cáo (Reporting): Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiết báo cáo lại cho phận có trách nhiệm xử lý chứng thu được, chuyên gia phân tích phải đưa kỹ thuật điều tra, công nghệ, phương thức sử dụng, c ng chứng thu được, tất phải giải thích rõ ràng báo cáo trình điều tra 2.3 Truy tìm chứng số công APT 2.3.1 Kỹ thuật phân tích nhớ Kỹ thuật phân tích nhớ (Memory Forensics) kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân c ng hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Phương pháp để có nhớ RAM: Để có nhớ RAM phân tích RAM chuyên viên phân tích phải biết sử dụng kỹ thuật để thu lại (Acquisition) Có phương pháp để thu lại nhớ RAM: Thu lại nhớ RAM dựa phần cứng liên quan đến việc tạm ngưng trình xử lý máy tính thực truy cập nhớ trực tiếp để có nhớ, coi tin cậy hệ điều hành phần mềm hệ thống bị xâm nhập bị làm sai kẻ công, nhận hình ảnh xác nhớ, không phụ thuộc vào thành phần hệ thống Thu lại nhớ RAM dựa phần mềm kỹ thuật thường sử dụng phổ biến việc sử dụng công cụ đáng tin cậy phát triển cung cấp chuyên gia điều tra số 13 Vai trò kỹ thuật phân tích nhớ Khoa học điều tra số chứng minh vai trò quan trọng phân tích nhớ, việc điều tra nhớ RAM nơi mà liệu sẵn sàng để ghi lại phân tích, cung cấp chứng có giá trị, vượt qua số hạn chế phương pháp điều tra truyền thống (phân tích đĩa vật lý), giải vấn đề mà công nghệ mã hóa gây khó khăn trình điều tra Một hạn chế khác phương pháp điều tra truyền thống người phân tích không đủ khả việc khám phá thông tin tiến trình chạy nhớ, dễ bỏ qua việc điều tra ứng dụng, hệ thống sử dụng thời điểm công diễn ra, c ng liệu che giấu nhớ Nhưng Memory Forensics, việc dễ dàng Chính việc phân tích điều tra nhớ RAM cho nhìn sâu sắc nhất, xác diễn hệ thống thời điểm hệ thống bị công Ứng dụng kỹ thuật Memory Forensics Vì tất thứ trước nạp vào hệ điều hành qua RAM nên kỹ thuật Memory Forensics có ứng dụng lớn trong việc điều tra bao gồm: Các tiến trình chạy hệ thống Các tập tin mở Registry Handles Các kết nối mạng có hệ thống Mật khóa mật mã Các tập tin bị xóa Mã độc hại tập tin bị lây nhiễm Một số công cụ thường dùng thực điều tra nhớ: Volatility, Mandiant Redline, SANS Investigate Forensic Toolkit (SIFT) Workstation 2.3.2 Kỹ thuật điều tra mạng Điều tra mạng (Network Forensics) nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập vào hệ thống máy tính Điều tra mạng bao gồm việc chặn bắt, ghi âm phân tích kiện mạng để khám phá nguồn gốc công cố vấn đề 14 Vai trò phân tích điều tra mạng Sự tăng trưởng kết nối mạng phức tạp hoạt động mạng kèm với gia tăng số lượng tội phạm mạng buộc doanh nghiệp c ng quan thực thi pháp luật phải vào để thực điều tra, phân tích Công việc có khó khăn đặc biệt giới ảo, vấn đề lớn điều tra viên hiểu liệu số mức thấp c ng việc xếp, tái tạo lại chúng Ứng dụng phân tích điều tra mạng Mục tiêu quan trọng phân tích điều tra mạng cung cấp đầy đủ chứng để khởi tố tội phạm hình Điều tra mạng loại hình điều tra quan trọng với mô hình an toàn mạng, tập trung vào việc chặn bắt phân tích gói tin mạng c ng kiện cho mục đích điều tra, cung cấp chứng số tội phạm mạng Bên cạnh đó, điều tra mạng c ng đặt thách thức hệ thống tư pháp nhà hoạch định pháp luật xây dựng quy định, chế tài phù hợp với phát triển loại hình điều tra, phòng chống tội phạm công nghệ cao Công cụ thường dùng: Wireshark, Tcpdump, Network Miner, Wildpackets, Bro ids, Xplico, Snort,… 2.4 Kết luận chƣơng Như chương luận văn nghiên cứu vấn đề sau: Phần đầu chương luận văn đề cập đến khái niệm bản, thuật ngữ chuyên ngành, phương pháp tiếp cận, sách nguyên tắc trình truy tìm chứng số Từ đưa nhìn tổng quát lĩnh vực truy tìm chứng số để hỗ trợ cách hiệu việc truy tìm thông tin công Trình bày số phương pháp kỹ thuật áp dụng để truy tìm chứng số công APT Qúa trình phân tích rằng: có phương pháp áp dụng để truy tìm chứng số công APT kỹ thuật truy tìm chứng số dựa việc phân tích nhớ mạng Trong luận văn áp dụng kỹ thuật phân tích nhớ để truy tìm chứng số công APT Nghiên cứu giới thiệu công cụ hỗ trợ truy tìm chứng số công APT 15 CHƢƠNG 3: MÔ PHỎNG VÀ THỬ NGHIỆM 3.1 Giới thiệu công cụ thực mô 3.1.1 VMware Workstation 10 Máy ảo chương trình đóng vai trò máy vi tính ảo Nó chạy hệ điều hành (hệ điều hành chủ) cung cấp phần cứng ảo tới hệ điều hành khách VMware phần mềm ảo hóa máy tính mạnh mẽ dành cho nhà phát triển, kiểm tra phần mềm chuyên gia IT cần chạy nhiều hệ điều hành lúc máy PC Chức VMware: Giúp máy tính chạy song song nhiều hệ điều hành Giúp khai thác tối đa công suất máy tính Tăng tính linh hoạt nâng cấp phần cứng 3.1.2 Kali Linux Kali Linux OS hữu ích chuyên gia đánh giá bảo mật, OS tập hợp phân loại gần tất công cụ thiết yếu mà chuyên gia đánh giá bảo mật c ng cần sử dụng đến tác nghiệp 3.1.3 Lỗ hổng CVE-2010-1240 Lỗ hổng CVE-2010-1240 gây xâm nhập trái phép có khả cho phép kẻ công kiểm soát hệ thống bị ảnh hưởng Khi người dùng mở file PDF kẻ công làm cho máy tính tự kích hoạt đoạn mã javascript file SWF có chứa mã độc Một công đoạn đầu thành công, mã độc thả tệp tin nhị phân vào máy tính bị nhiễm Cuối cùng, file độc hoạt động Trojan cửa sau bắt đầu gửi thông tin quan trọng mà lấy cắp từ hệ thống bị lây nhiễm máy chủ từ xa Lỗ hổng CVE-2010-1240 vị trí công mà phần mềm diệt virus chưa thể xác định 3.2 Thực nghiệm công APT Máy công: Sử dụng HĐH Kali Linux 2.0 Máy nạn nhân: Windows XP có cài đặt phần mềm Adobe Reader Công cụ: Metasploit Các lỗ hổng khai thác: CVE-2010-1240 16 3.2.1 Kịch công Một nhân viên công ty X công ty cung cấp máy tính để làm việc Trên máy tính sử dụng hệ điều hành phần mềm lỗi thời Win XP, Adobe Reader Lợi dụng điều kẻ công công vào máy tính nhân viên đánh cắp liệu quan trọng để bán lại cho công ty đối thủ Kẻ công sử dụng file pdf có chứa mã độc gửi cho nạn nhân, phương pháp Social Engineering, kẻ công tạo email với tiêu đề hấp dẫn để dụ nạn nhân download file pdf Sau nạn nhân download mở file pdf, kẻ công chiếm quyền điều khiển máy tính 3.2.2 Mô ph ng công Tiến hành công Sau xác định thông tin nạn nhân, kẻ công sử dụng chương trình metasploit nhằm khai thác lỗ hổng xâm nhập Để khởi động metasploit, Terminnal kẻ công gõ msfconsole Tiếp theo, kẻ công sử dụng câu lệnh hình để sử dụng tạo file pdf có chứa mã độc Sau dùng lệnh exploit, chương trình tự động tạo file có chứa mã độc Tiếp tục, kẻ công sử dụng module multi hander để lắng nghe kết nối nạn nhân mở file pdf Hình 3.5: Lắng nghe kết nối metasploit 17 Tiến hành gửi file chứa mã độc cho nạn nhân qua email Để tăng độ tin cậy dễ dàng đánh lừa nạn nhân, kẻ công giả mạo đường link tên miền đáng tin cậy Hình 3.6: Giả mạo email gửi cho nạn nhân Ngay nạn nhân mở mail nhấp vào đường link, payload nhanh chóng khởi tạo kết nối đến máy kẻ công Từ đây, kẻ công có quyền truy cập vào máy tính nạn nhân 3.3 Thực nghiệm điều tra công APT 3.3.1 Kịch Trong vai điều tra viên, điều tra viên nhận yêu cầu điều tra máy tính bị nhiễm mã độc Nhiệm vụ tìm thông tin kẻ công, file chứa mã độc hành vi Phương pháp truy tìm dựa kỹ thuật phân tích nhớ Phân tích dựa file dump memory máy tính nạn nhân Máy điều tra viên: Linux, Window Công cụ: Volatility, IDAPRo, TCPview, Process Monitor, 010 editor 3.3.2 Thực nghiệm điều tra File cung cấp memory dump, điều tra viên sử dụng công cụ Volatility để phân tích : Điều tra viên có thông tin Hệ điều hành (Windows XP SP2 SP3) Kiểm tra danh sách tiến trình chạy lúc nhớ dump: 18 Hình 3.9: Các tiến trình chạy Điều tra viên thấy có tiến trình firefox.exe (trình duyệt Firefox), AcroRd32.exe (trình đọc PDF Acrobat Reader) Theo tình có khả mã độc lây nhiễm thông qua file PDF người dùng sử dụng AcroRd32.exe để đọc Ngoài điều tra viên ý đến tiến trình có tên LAB1.pdf Đây mã độc lây nhiễm vào máy Nhìn vào thời gian tiến trình, thấy máy tính nạn nhân bị lây nhiễm vào lúc 23h18’ ngày 15/6/2016 Để rõ tiến hành kiểm tra kết nối mạng mở lúc Hình 3.10: Các kết nối mạng 19 Nhận xét : - Có tiến trình kết nối đến mạng (PID 1884 – firefox.exe, PID 772-LAB1.pdf) - Tiến trình firefox kết nối đến port 80 443 điều bình thường - Tiến trình Lab1.pdf mở kết nối đến 10.20.15.210:7777 Đây IP sử dụng mạng nội bộ, có khả lớn, kẻ công người công ty - Thực dump memory tiến trình kiểm tra tổng quát, điều tra viên thu vài địa đáng ngờ: http://spadesquad.com/test/tailieu.pdf - Đây đường dẫn có chứa file pdf Khả cao, file pdf nhiễm mã đôc nạn nhân tải Hình 3.11: Liên kết đáng ngờ Như thấy, nạn nhân tải sử dụng chương trình Acrobat Reader, Mozilla Firefox phiên c Đồng thời truy cập vào trang web cho có chứa mã độc (http://spadesquad.com/test/tailieu.pdf) Điều tra viên tải lại file pdf tiến hành phân tích loại c ng hành vi mã độc 20 Hình 3.12: File PDF đƣợc mở 010 editor Khi mở file PDF, đoạn javascript nhỏ xuất payload file có tên “LAB1.pdf Sau đó, đoạn shell nhỏ Windows kiểm tra tồn payload thư mục: “Desktop , “My Documents , “Documents , “Escritorio , “Mis Documentos Nếu payload tồn thư mục này, chương trình mở thư mục chạy payload “cmd.exe Kiểm tra phần mềm Process Monitor, mở File PDF, chương trình yêu cầu chọn vị trí giải nén payload “LAB1.pdf quyền thực thi shellcode “cmd.exe Hình 3.15: Giải nén thực thi payload 21 Khi đó, “LAB1.pdf gửi yêu cầu kết nối tới socket 10.20.15.210:7777 Tuy có phần mở rộng “.pdf thực chất file thực thi Có thể nhận thấy file payload có phần mô tả “ApacheBench command line utility Phân tích sơ file “LAB1.pdf : Hình 3.16: Các hàm file LAB1.pdf Qua phần import, điều tra viên thấy chương trình có sử dụng hàm thư viện ADVAPI32, WS2_32 WINSOCK32 Các hàm dùng để thực tạo kết nối thông qua socket Trong phần triển khai hàm nhận thấy rằng: kẻ công viết chương trình kỹ thuật viết shellcode chương trình obfuscate để nhằm che giấu c ng làm khó người phân tích 22 Hình 3.17: Phân tích file Lab1.pdf IDA Pro Theo hình 1.17 thấy kẻ công load hàm thư viện liên kết động để tránh bị phát Ví dụ hacker sử dụng đoạn để load thư viện WS2_32 Tiếp theo kẻ công gọi hàm thư viện có địa “0x6b8029 Việc gọi địa giúp kẻ công che giấu chức hàm Ngay sau đó, kẻ công liên tục gọi lệnh push liên tục để làm người điều tra khó theo dõi luồng thực thi chương trình Sau phân tích tĩnh debug, kết luận chức payload khởi tạo kết nối đến socket đinh trước Sau phân tích file pdf tay, kết thu c ng thông qua virustotal.com, điều tra viên kết luận file payload sửa đổi chương trình “ApacheBench command line utility Nó có tác dụng backdoor, tạo kết nối tới server lắng nghe Từ kẻ công dễ dàng kiểm soát máy tính nạn nhân thông qua kết nối Sau phân tích file pdf tay, kết thu c ng thông qua virustotal.com, điều tra viên kết luận file payload sửa đổi chương trình “ApacheBench command line utility Nó có tác dụng backdoor, tạo 23 kết nối tới server lắng nghe Từ kẻ công dễ dàng kiểm soát máy tính nạn nhân thông qua kết nối Từ kết thu rút kết luận cho trình điều tra như: - Nạn nhân bị công file pdf có chứa mã độc gửi qua mail - Khoảng thời gian bị công vào: 23h18’ ngày 15/6/2016 - Mã độc có nhiệm vụ khởi tạo kết nối đến máy kẻ công cho phép kẻ công chiếm quyền điều khiển máy nạn nhân - IP kẻ công có địa là: 10.20.15.210 Đây địa mạng nội Khả cao máy khác mạng nội c ng bị lây nhiễm kẻ công người mạng nội 3.4 Khắc phục hậu Mặc dù việc phân tích điều tra coi đến hồi kết c ng cần khắc phục hậu vá lỗ hổng có hệ thống để tránh cho việc bị công lần Một số biện pháp cần tiến hành: - Xóa file pdf có chứa mã độc - Tiến hành update vá cho Window Adobe Reader - Cài đặt phần mềm diệt virut kích hoạt firewall - Nâng cao khả tự phòng vệ cho người dùng Cần cẩn thận click vào đường link email không rõ nguồn gốc 3.5 Kết chƣơng Nghiên cứu tìm hiểu công cụ phục vụ cho việc công APT c ng công cụ phục vụ cho truy tìm chứng số nói chung cho truy tìm chứng số công APT Thực công APT sở công cụ kỹ thuật tiên tiến Quy trình công APT áp dụng hoàn toàn phù hợp với đặc điểm dấu hiệu công APT Kết công rằng, công APT thực chất kỹ thuật công cao cấp mà tập hợp kỹ thuật công đơn giản lợi dụng lỗ hổng người Thực truy tìm chứng số công APT công cụ kỹ thuật có Dựa phương pháp kỹ thuật điều tra nhớ phân tích 24 mã độc, học viên vấn đề quan trọng cần có điều tra là: người công, công qua lỗ hổng nào, công 25 KẾT LUẬN Kết đạt đƣợc Các kết đạt cụ thể sau: Trình bày tổng quan công APT bao gồm đặc điểm, giai đoạn, quy trình, mức độ nguy hiểm APT với công thông thường Trình bày số biện pháp, kỹ thuật công nghệ phòng chống công APT Kết nghiên cứu rằng: để đảm bảo an toàn bảo mật thông tin trước công APT áp dụng kỹ thuật, công cụ hay công nghệ mà cần phải áp dụng tổ hợp công nghệ với nhiều pha cần thực Cung cấp khái niệm bản, thuật ngữ chuyên ngành, phương pháp tiếp cận, sách nguyên tắc trình truy tìm chứng số Từ đưa nhìn tổng quát lĩnh vực truy tìm chứng số để hỗ trợ cách hiệu việc truy tìm chứng số công Trình bày phương pháp áp dụng để truy tìm chứng số công APT Từ kết nghiên cứu đánh giá phương pháp truy tìm chứng số, học viên được, phương pháp kỹ thuật truy tìm có ưu điểm nhược điểm riêng Tuy nhiên, luận văn, học viên lựa chọn kỹ thuật truy tìm nhớ để truy tìm chứng số công APT Từ sở lý thuyết giới thiệu, luận văn mô thực nghiệm công APT theo lý thuyết kịch quy trình công miêu tả thực truy tìm chứng số công APT công cụ kỹ thuật có Dựa phương pháp kỹ thuật điều tra nhớ phân tích mã độc, học viên vấn đề quan trọng cần có điều tra là: người công, công qua lỗ hổng nào, công nào,… Từ kết đạt đưa nhận xét đánh giá Định hƣớng phát triển Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: Tiếp tục hoàn thiện, nghiên cứu phương pháp truy tìm chứng số công mạng công APT 26 Nghiên cứu áp dụng công nghệ BIGDATA việc truy tìm chứng số công APT [...]... để truy tìm chứng cứ số của cuộc tấn công APT Qúa trình phân tích chỉ ra rằng: có 2 phương pháp được áp dụng hiện nay để truy tìm chứng cứ số của tấn công APT là kỹ thuật truy tìm chứng cứ số dựa trên việc phân tích bộ nhớ và mạng Trong luận văn sẽ áp dụng kỹ thuật phân tích bộ nhớ để truy tìm chứng cứ số của tấn công APT Nghiên cứu và giới thiệu các công cụ hỗ trợ truy tìm chứng cứ số của cuộc tấn công. .. việc truy tìm chứng cứ số của các cuộc tấn công Trình bày 2 phương pháp cơ bản được áp dụng để truy tìm chứng cứ số của cuộc tấn công APT Từ kết quả nghiên cứu và đánh giá về các phương pháp truy tìm chứng cứ số, học viên chỉ ra được, mỗi phương pháp và kỹ thuật truy tìm đều có ưu điểm và nhược điểm riêng Tuy nhiên, trong luận văn, học viên lựa chọn kỹ thuật truy tìm bộ nhớ để truy tìm chứng cứ số của. .. chƣơng Nghiên cứu và tìm hiểu về các công cụ phục vụ cho việc tấn công APT c ng như các công cụ phục vụ cho truy tìm chứng cứ số nói chung và cho truy tìm chứng cứ số của cuộc tấn công APT Thực hiện tấn công APT trên cơ sở của các công cụ và các kỹ thuật tiên tiến Quy trình tấn công APT được áp dụng hoàn toàn phù hợp với các đặc điểm và dấu hiệu của cuộc tấn công APT Kết quả tấn công chỉ ra rằng, tấn công. .. người tấn công, tấn công qua lỗ hổng nào, tấn công khi nào,… Từ các kết quả đạt được đã đưa ra các nhận xét đánh giá 2 Định hƣớng phát triển Trên những kết quả đã làm được luận văn có thể nghiên cứu và phát triển theo các hướng sau: Tiếp tục hoàn thiện, nghiên cứu về các phương pháp truy tìm chứng cứ số của tấn công mạng và tấn công APT 26 Nghiên cứu và áp dụng công nghệ BIGDATA trong việc truy tìm chứng. ..9 CHƢƠNG 2: NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT 2.1 Tổng quan về chứng cứ số 2.1.1 Khái niệm chứng cứ số Chứng cứ số (Digital Evidence), hay còn gọi là bằng chứng điện tử (Electronic Evidence) là mọi thông tin có giá trị pháp lý được lưu trữ, được truy n dẫn trong dạng thức số và có giá trị pháp lý trước tòa Trước khi chấp nhận bằng chứng số, quan tòa phải xác định... của ISO đề cập đến các yêu cầu về thẩm quyền giám định, kiểm chuẩn được công bố 2.2 Kỹ thuật truy tìm chứng cứ số 2.2.1 Khái niệm truy tìm chứng cứ số Truy tìm chứng cứ số (còn gọi là Khoa học điều tra số) là một nhánh của ngành khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số sau cuộc tấn công có chủ đích 2.2.2 Mục đích truy tìm chứng cứ số. .. đã nghiên cứu các vấn đề sau: Phần đầu chương 2 của luận văn đề cập đến các khái niệm cơ bản, các thuật ngữ chuyên ngành, các phương pháp tiếp cận, các chính sách và các nguyên tắc cơ bản trong quá trình truy tìm chứng cứ số Từ đó đưa ra cái nhìn tổng quát về lĩnh vực truy tìm chứng cứ số để có thể hỗ trợ một cách hiệu quả trong việc truy tìm thông tin của các cuộc tấn công Trình bày một số phương pháp. .. tìm bộ nhớ để truy tìm chứng cứ số của cuộc tấn công APT Từ những cơ sở lý thuyết đã giới thiệu, luận văn đã mô phỏng và thực nghiệm cuộc tấn công APT theo đúng lý thuyết về kịch bản và quy trình của cuộc tấn công này đã miêu tả và thực hiện truy tìm chứng cứ số của cuộc tấn công APT trên các công cụ và các kỹ thuật đang có hiện nay Dựa trên phương pháp của kỹ thuật điều tra bộ nhớ và phân tích mã... tra là: ai là người tấn công, tấn công qua lỗ hổng nào, tấn công khi nào 25 KẾT LUẬN 1 Kết quả đạt đƣợc Các kết quả đạt được cụ thể như sau: Trình bày tổng quan về tấn công APT bao gồm các đặc điểm, giai đoạn, quy trình, mức độ nguy hiểm của APT với các cuộc tấn công thông thường Trình bày một số biện pháp, kỹ thuật và công nghệ phòng chống các cuộc tấn công APT Kết quả nghiên cứu chỉ ra rằng: để... dấu hiệu của cuộc tấn công APT Kết quả tấn công chỉ ra rằng, tấn công APT thực chất không phải là một kỹ thuật tấn công cao cấp mà chỉ là tập hợp các kỹ thuật tấn công đơn giản lợi dụng lỗ hổng của con người Thực hiện truy tìm chứng cứ số của cuộc tấn công APT trên các công cụ và các kỹ thuật đang có hiện nay Dựa trên phương pháp của kỹ thuật điều tra bộ nhớ và phân tích 24 mã độc, học viên đã chỉ ra