1. Trang chủ
  2. Công Nghệ Thông Tin

Điều tra số Điều tra mạng

27 2.9K 39
Điều tra số Điều tra mạng

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Tổng quan về điều tra số và điều tra mạng. Phân tích các bước điều tra. Các công cụ điều tra phổ biến. Thực hành demo điều tra mạng bằng phần mềm WireShark. Giúp hiểu rõ hơn về kỹ thuật điều tra mạng máy tính hiện nay. Bộ công cụ cần thiết cho việc điều tra.

HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN AN TOÀN THÔNG TIN BÁO CÁO MÔN AN NINH MẠNG DIGITAL FORENSICS – ĐIỀU TRA SỐ Giáo viên hướng dẫn : Trần Hồng Quang Nhóm 23 Trần Văn Anh Tuấn – TH2 Học viên thực : Lê Văn Vũ – TH2 Lê Thành Trung – TH1 HÀ NỘI – 2016 MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ - DIGITAL FORENSICS 1.1 Khái niệm Điều tra số (đôi gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao quát toàn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thông tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống 1.2 Mục đích – Ứng dụng Trong thời đại công nghệ phát triển mạnh Song song với ngành khoa học khác, điều tra số có đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chuyêngia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định hành vi, nguồn gốc vi phạm xảy hết thống Về mặt kỹ thuật điều tra số như: Điều tra mạng, điều tra nhớ, điều tra thiết bị điện thoại giúp cho tổ chức xác định nhanh xảy làm ảnh hưởng tới hệ thống, qua xác định điểm yếu để khắc phục, kiện toàn Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm công nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Một điều tra số thường bao gồm giai đoạn: Tiếp nhận liệu ảnh hóa tang vật, sau tiến hành phân tích cuối báo cáo lại kết điều tra Việc tiếp nhận liệu đòi hỏi tạo copy xác sector hay gọi nhân điều tra, phương tiện truyền thông, để đảm bảo tính toàn vẹn chứng thu có phải băm sử dụng SHA1 MD5, điều tra cần phải xác minh độ xác thu nhờ giá trị băm trước Trong giai đoạn phân tích, chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để hỗ trợ điều tra, kỹ thuật đề cập chi tiết chương đồ án Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiếp báo cáo lại cho phận có trách nhiệm xử lý chứng thu 1.3 Khi thực cần thiết thực điều tra số? • Khi hệ thống bị công mà chưa xác định nguyên nhân • Khi cần thiết khôi phục liệu thiết bị, hệ thống bị xóa • Hiểu rõ cách làm việc hệ thống • Khi thực điều tra tội phạm có liên quan đến công nghệ cao • • Điều tra gian lận tổ chức Điều tra hoạt động gián điệp công nghiệp 1.4 Các bước thực điều tra Một điều tra số thường bao gồm gian đoạn: Chuẩn bị (Preparation), tiếp nhận liệu hay gọi ảnh hóa tang vật (Acquisition), phân tích (analysis) lập báo cáo (Reporting) Các bước thực điều tra số: 1.4.1 Preparation – Chuẩn bị Bước thực việc mô tả lại thông tin hệ thống, xảy ra, dấu hiệu, để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra 1.4.2 Acquisition - Ảnh hóa Đây bước tạo xác sector hay gọi nhân điều tra phương tiện truyền thông, xác định rõ nguồn chứng sau thu thập bảo vệ tính toàn vẹn chứng việc sử dụng hàm băm mật mã 1.4.3 Analysis – Phân tích Đây giai đoạn chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để trích xuất, thu thập phân tích chứng thu 1.4.4 Reporting – Lập báo cáo Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiết báo cáo lại cho phận có trách nhiệm xử lý chứng thu 1.5 Một số loại hình điều tra phổ biến 1.5.1 Điều tra máy tính - Computer Forensics Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kỹ thuật số Mục đích điều tra máy tính nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại việc ý kiến thông tin thu từ thiết bị kỹ thuật số Mặc dù thường kết hợp với việc điều tra loạt tội phạm máy tính, điều tra máy tính sử dụng tố tụng dân Bằng chứng thu từ điều tra máy tính thường phải tuân theo nguyên tắc thông lệ chứng kỹ thuật số khác Nó sử dụng số trường hợp có hồ cao cấp chấp nhận rộng rãi hệ thống tòa án Mỹ Châu Âu 1.5.2 Điều tra mạng - Network Forensics Điều tra mạng (Network Forensics) nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Network Forensics hiểu Digital Forensics môi- trườngmạng Network Forensics lĩnh vực tương đối khoa học pháp y Sự phát triển ngày Internet đồng nghĩa với việc máy tính trở thành mạng lưới trung tâm liệu khả dụng chứng số nằm đĩa Network Forensics thực điều tra độc lập kết hợp với việc phân tích pháp y máy tính (computer forensics) – thường sử dụng để phát mối liên kết thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội Sử dụng Wireshark phân tích công Teadrop 1.5.3 Điều tra thiết bị di động - Mobile Device Forensics Điều tra thiết bị di động (Mobile device Forensics) nhánh khoa học điều tra số liên quan đến việc thu hồi chứng kỹ thuật số liệu từ thiết bị di động Thiết bị di động không đề cập đến điện thoại di động mà thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Việc sử dụng điện thoại với mục đích phạm tội phát triển rộng rãi năm gần đây, nghiên cứu điều tra thiết bị di động lĩnh vực tương đối mới, có niên đại từ năm 2000 Sự gia tăng loại hình điện thoại di động thị trường (đặc biệt điện thoại thông minh) đòi hỏi nhu cầu giám định thiết bị mà đáp ứng kỹ thuật điều tra máy tính Sử dụng WPDeviceManager để trích xuất SMS 1.5.4 Điều tra Registry - Registry Forensics Registry Forensics loại hình điều tra liên quan đến việc trích xuất thông tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Register Công cụ thường dùng: MuiCache View, Process Monitor, Regshot, USBDeview… Sử dụng Regsshot quan sát thay đổi Registry 1.5.5 Điều tra ổ đĩa - Disk Forensics Disk Forensics việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khôi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích Công cụ thường dùng: ADS Locator, Disk Investigator, Passware Encryption Analyzer, Disk Detector, Sleuth Kit, FTK… Passware Encryption Analyzer xác định file bảo vệ mật 1.5.6 Điều tra ứng dụng - Application Forensics Application Forensics loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng Công cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My Last Search, Password Fox, Skype Log View… Sử dụng skypelogview xem liệu trao đổi qua đường truyền 1.5.7 Điều tra nhớ - Memory Forensics Memory Forensics phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost, Volatility, Mandiant Redline, DFF Sử dụng Volatility liệt kê tiến trình chạy hệ thống CHƯƠNG 2: ĐIỀU TRA MẠNG - NETWORK FORENSICS Điều tra số lĩnh vực liên quan đến việc phục hồi điều tra chứng số tìm thấy thiết bị kỹ thuật số, phân chia thành loại là: điều tra máy tính, điều tra mạng điều tra thiết bị di động Trong đó, điều tra mạng (Network Forensics) tập trung vào việc chặn bắt, lưu phân tích lưu lượng mạng nhằm phục vụ điều tra công tác phòng chống tội phạm mạng Bài báo cáo trình bày tổng quan điều tra mạng, giới thiệu quy trình số công cụ hỗ trợ việc thực điều tra Thuật ngữ điều tra mạng đưa chuyên gia bảo mật máy tính Marcus Ranum vào đầu năm 90 kỷ XX Điều tra mạng loại hình điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Không giống loại hình khác điều tra số, điều tra mạng xử lý thông tin dễ thay đổi biến động, khó dự đoán Lưu lượng mạng truyền sau bị mất, việc điều tra diễn linh hoạt, chủ động Các điều tra viên dựa vào thông tin từ thiết bị an toàn lọc gói, tường lửa, hệ thống phát xâm nhập triển khai để dự đoán hành vi vi phạm Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp chuyên sâu, sử dụng thông tin khai thác từ nhớ đệm (cache) web, proxy hay chặn bắt thụ động lưu lượng truy cập mạng xác định hành vi bất thường Tại Việt Nam, vấn đề khắc phục cố ATTT điều tra tìm hiểu nguồn gốc công giai đoạn bắt đầu phát triển Các nghiên cứu điều tra mạng Việt Nam nhiều hạn chế, chưa tiếp cận trình độ khoa học - kỹ thuật trình, có hai hướng để tiếp cận vụ việc ứng phó với cố thu thập dấu vết mạng 2.1.3 Giai đoạn Ứng phó cố Việc ứng phó dựa thông tin thu thập từ giai đoạn trước Cần phải xây dựng quy trình ứng phó cố nhằm ngăn chặn công tương lai phục hồi tổn thất công gây Trong thời điểm ứng phó cố, điều tra viên cần định việc có tiếp tục điều tra thu thập thêm thông tin hay không Việc áp dụng trường hợp mà điều tra triển khai công xảy chưa có thông tin tội phạm 2.1.4 Giai đoạn Thu thập dấu vết mạng Dữ liệu tiếp tục thu thập từ công cụ an toàn mạng sử dụng bổ sung Các công cụ sử dụng phải an toàn, có khả chịu lỗi, giới hạn quyền truy cập phải có khả tránh thỏa hiệp Các công cụ phải đảm bảo thu thập lượng chứng tối đa mà gây tác động tối thiểu đến nạn nhân Một số công cụ kể đến Wireshark, tcpdump, Snort, Tcpxtract, Foremost Hệ thống mạng cần giám sát để xác định công tương lai Tính toàn vẹn liệu ghi lại ghi kiện mạng phải đảm bảo, liệu mạng thay đổi cách liên tục có khả tạo dạng dấu vết lần sau Không vậy, số lượng liệu lớn cần yêu cầu không gian nhớ tương đương hệ thống phải đủ khả để xử lý định dạng khác cách thích hợp 2.1.5 Giai đoạn Duy trì bảo vệ Các liệu thu từ giai đoạn trước lưu trữ thiết bị lưu Việc “băm” giá trị liệu thu đảm bảo tính xác độ tin cậy trình điều tra Một lưu khác liệu sử dụng cho việc phân tích lưu lượng mạng ban đầu thu bảo vệ Giai đoạn thực để đảm bảo trình điều tra chứng minh liệu gốc (đã bảo vệ) để đáp ứng yêu cầu pháp lý 2.1.6 Giai đoạn Kiểm tra Các dấu vết thu từ công cụ an ninh tổng hợp, xếp chuyển đổi thành liệu theo thời gian Điều nhằm đảm bảo thông tin quan trọng không bị lẫn lộn Những vết tích ẩn ngụy trang kẻ công cần phải khai phá Các thông tin dự phòng liệu không liên quan bị loại bỏ nhằm tập trung phân tích chứng có khả 2.1.7 Giai đoạn Phân tích Các vết tích sau xác định coi chứng số sở tiếp tục phân tích để khai thác dấu hiệu đặc biệt tội phạm; Có thể sử dụng phương pháp thống kê khai phá liệu để tìm kiếm liệu phù hợp với mẫu công nghi ngờ Một vài thông số quan trọng liên quan đến việc phân tích điều tra mạng như: thiết lập kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức hệ điều hành, tiến trình giả mạo, phần mềm hay rootkit cài đặt Những công cụ sử dụng giai đoạn NetworkMiner, Splunk, OllyDbg, Scapy Các mẫu công xâu chuỗi với công xây dựng tái lại giúp điều tra viên nắm ý định phương thức hành động kẻ công Kết giai đoạn xác nhận hành động khả nghi 2.1.8 Giai đoạn Điều tra, quy kết trách nhiệm Các thông tin có từ giai đoạn Phân tích dùng để xác định ai? Cái gì? Ở đâu? Khi nào? Như nào? Tại gây cố? Việc giúp cho việc xây dựng lại kịch công quy kết trách nhiệm Phần khó khăn việc phân tích điều tra mạng xác định danh tính kẻ công Có hai cách thức mà kẻ công sử dụng để che giấu danh tính giả mạo IP thực công bàn đạp 2.1.9 Giai đoạn Báo cáo tổng kết Phần hoàn tất trình điều tra mạng xây dựng báo cáo tổng kết Nội dung báo cáo tổng kết trình bày cho người quản lý tổ chức cán pháp chế chứng số thu thập trình điều tra số tài liệu hệ thống liên quan Bên cạnh đó, báo cáo điều tra toàn diện vụ việc trình bày biện pháp khuyến nghị để ngăn ngừa cố tương tự xảy tương lai Các kết tài liệu hóa để sử dụng điều tra sau này, cải thiện chất lượng sản phẩm bảo mật 2.2 Một số công cụ hỗ trợ điều tra mạng Hỗ trợ cho trình điều tra mạng công cụ phục vụ cho công tác điều tra, có khả chặn bắt, lưu, trích xuất, khôi phục phân tích liệu mạng Những công cụ giúp điều tra viên xác định thời gian, cách thức, nội dung mà liệu truyền hay nhận về, cung cấp lượng chứng số nhanh chóng, xác, tạo thuận lợi cho việc điều tra Ba công cụ ứng dụng phổ biến như: 2.2.1 Wireshark WireShark có bề dày lịch sử, Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ông đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp lẫn nghiệp dư đưa nhiều tính để thu hút đối tượng khác 2.2.2 Snort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử dụng để giám sát liệu di chuyển mạng Cũng hệ thống phát xâm nhập Host-based, cài đặt Host cụ thể để phát công nhắm đến Host Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Snort chủ yếu IDS dựa luật, nhiên Input plug-in tồn để phát bất thường Header giao thức Snort sử dụng luật lưu trữ File Text, chỉnh sửa người quản trị Các luật thuộc loại lưu File khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu cung cấp nhằm phân tích liệu thu Tìm dấu hiệu sử dụng chúng luật vấn đề đòi hỏi tinh tế, sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu thực tế Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập thêm vào luật Cũng xóa vài luật tạo trước để tránh việc báo động sai 2.2.3 Foremost Foremost chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề cấu trúc liệu bên Quá trình thường gọi chạm khắc liệu (data carving) Foremost làm việc tệp tin ảnh, chẳng hạn tạo dd, Safeback, Encase, trực tiếp từ ổ cứng Tiêu đề phụ đề xác định tệp tin cấu hình sử dụng switch dòng lệnh dựa dạng tệp tin tích hợp Các dạng tích hợp tra cứu cấu trúc liệu định dạng tệp tin cung cấp nhằm đảm bảo việc phục hồi nhanh đáng tin cậy 2.2.4 NetworkMiner NetworkMiner công cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) cho Windows NetworkMiner sử dụng công cụ chặn bắt gói tin thụ động nhằm nhận biết hệ điều hành, phiên làm việc, tên host, port mở mà không cần đặt luồng liệu lên mạng NetworkMiner phân tích tệp tin pcap trường hợp ngoại tuyến tái tạo tập tin truyền tải, cấu trúc thư mục hay chứng từ tệp tin pcap Mục đích NetworkMiner thu thập liệu (chẳng hạn chứng pháp lý) host mạng thu thập liệu lưu lượng truy cập, quan tâm đến trung tâm máy chủ (nhóm thông tin máy) trung tâm gói tin (thông tin danh sách gói tin, khung nhìn ) NetworkMiner tiện dụng phân tích mã độc C&C (command & control – lệnh điều khiển) kiểm soát lưu lượng truy cập từ mạng lưới botnet 2.3 Kết luận Điều tra mạng loại hình điều tra quan trọng với mô hình an toàn mạng, tập trung vào việc chặn bắt phân tích gói tin mạng kiện cho mục đích điều tra, cung cấp chứng số tội phạm mạng Cùng với phát triển công nghệ ATTT phức tạp hình thức công mạng, điều tra mạng yêu cầu công cụ hỗ trợ mới, tiến trình mới, thủ tục kỹ cho trình phân tích, thẩm định Bên cạnh đó, điều tra mạng đặt thách thức hệ thống tư pháp nhà hoạch định pháp luật xây dựng quy định, chế tài phù hợp với phát triển loại hình điều tra, phòng chống tội phạm công nghệ cao CHƯƠNG 3: DEMO Tình huống: Một máy tính mạng nội bị nghi ngờ công từ xa, quản trị mạng dùng công cụ chuyên dụng bắt kết nối đến máy nạn nhân thời gian diễn công Sau dump toàn nội dung file(tracfiic) Yêu cầu phân tích file dump tìm nguồn gốc nguyên nhân vụ công để có giải pháp khắc phục Để giải yêu cầu trên, vượt qua vấn đề nhỏ Lưu ý file dump có đuôi mở rộng pcap (packet capture), sử dụng wireshark công cụ phân tích Wireshark chương trình bắt phân tích gói tin, giao thức mạnh, chi tiết người tìm hiểu thêm tài liệu khác 3.1 Địa IP kẻ công nạn nhân Mở file pcap wireshark, thấy danh sách gói tin truy cập đến máy nạn nhân Vào Menu Statistics/Enpoint List/IP v4 để xem danh sách IP bắt Có tất IP: • 192.150.11.111 IP nội bộ, IP nạn nhân • 98.114.205.102 IP kẻ công 3.2 Thông tin kẻ công Xem xét gói tin cụ thể: Thông tin khung chi tiết gói tin, cho ta biết máy kẻ công có địa MAC 0008e23b5601(Cisco) Tôi sử dụng trang http://cqcounter.com/ tìm số thông tin này: 3.3 Có phiên TCP(TCP session) file dump ? Khi nhìn vào khung wireshark bạn thấy có nhiều gói tin, phần lớn chúng gói tin chào hỏi, xác thực, truyền nhận liệu phiên TCP Để xem số phiên TCP có, vào Menu Statistics –> Conversations, tab TCP Chúng ta thấy thực tế có phiên qua cổng khác nhau: 3.4 Cuộc công kéo dài ? Chỉ cần xem thời gian frame frame cuối câu trả lời Frame đầu tiên: Frame cuối cùng: Như công diễn khoảng 16 giây 3.5 Dịch vụ máy nạn nhân mục tiêu công ? Nhìn vào phiên TCP liệt kê phía trên, ý đến cổng 445 máy nạn nhân Đây cổng chạy giao thức SMB(Server Message Block), cung cấp khả chia sẻ file máy tính máy in máy tính SMB biết đến với việc dính số lỗ hổng bảo mật Lọc Packet theo info, duyệt phát thêm nghi vấn mới: Nếu bạn thử Google biết DsRoleUpgradeDownlevelServer hàm thư viện NETAPI32.dll chạy dịch vụ Local Security Authority Subsystem Service(LSASS) windows thông qua giao thức SMB Và điều quan trọng LSASS bị dính lỗi bảo mật với hàm DsRoleUpgradeDownlevelServer(), chi tiết lỗi công bố CVE-20030533 (http://www.cve.mitre.org/cgi-bin/cve…=CAN-2003-0533) Microsoft đưa vá cho lỗi với mã update MS04-011 (http://technet.microsoft.com/en-us/s…letin/ms04-011) Từ có thêm kết luận máy tính nạn nhân chạy hệ điều hành windows, cụ thể windows xp windows 2000 Bạn kiểm tra điều việc lọc gói tin SMB xem thuộc tính native OS đó: Vậy biết số thông tin kẻ công, biết dịch vụ máy nạn nhân mục tiêu công Tôi tạm dừng đây, phân tích kỹ cách hacker thực vụ công, làm để khai thác lỗ hổng 3.6 Mô lại công Hacker 3.6.1 Quét cổng 445 để xem cổng có mở không, điều thể qua gói tin SYN, SYN/ACK, ACK, FYN liên tục 3.6.2 Thiết lập kết nối IPC request đến dịch vụ lsarpc Bạn đọc tìm hiểu thêm hình thức kết nối IPC$, hacker gửi kết nối với giá trị username password rỗng, biết đến với kiểu công Null Session 3.6.3 Khai thác lỗi Buffer Over Flow hàm DsRoleUpgradeDownlevelServer() thông qua việc truyền shellcode(Frame #33) 3.6.4 Shellcode mở cổng 1957 cho phép backdoor chạy đó, hacker qua cổng truyền command vào(Frame #42) Lệnh mà hacker thực là: Lệnh có tác dụng yêu cầu máy nạn nhân kết nối ftp đến cổng 8884 hacker download file ssms.exe sau thực thi file Đến việc khai thác coi hoàn thành Mọi người ý thêm frame từ #71 sau, đoạn nhận file ssms.exe, file gửi qua socket thành mảnh nhỏ ghép lại sau 3.7 Truy tìm mã độc Như hình dung công xảy nào, vụ điều tra Phải xác định mã độc mà hacker sử dụng hoạt động nào, trước hết cần thu mẫu Đầu tiên Shellcode mà hacker sử dụng Chọn Frame #33, khung Packet Bytes chọn chế độ Reassembled TCP thấy đầy đủ nội dung mà hacker gửi đến máy nạn nhân.(Khi gửi tin qua TCP liệu phân mảnh nhiều gói tin khác nhau, Reassembled TCP giúp ghép mảnh liệu lại với nhau) Sau loại bỏ lệnh NOPE(mã 90) thu shellcode thực mà hacker dùng: Chúng ta tiến hành phục hồi shellcode cách đưa đoạn shellcode vào chương trình test shell này: Với file ssms.exe, trình bày phần trước download máy nạn nhân thông qua socket bị phân mảnh nhiều gói tin Gộp file đầy đủ cách sử dụng tính Follow TCP Stream Wireshark Save As file exe 3.8 Phân tích mã độc Ở bước trên, thu file shellcode file ssms.exe Việc phân tích cụ thể xem file thực thi làm việc máy nạn nhân Bạn đọc nên đọc thêm lọat Reverse Engineering WhiteHat để hiểu rõ công việc Chúng ta không phân tích kỹ bước đây, lí vượt xa phạm vi chủ đề Network Forensics Kết kiểm tra ssms.exe virustotal không ngạc nhiên 48/51 AV nhận diện virus: https://www.virustotal.com/en/file/b is/1396850758/ Đến điều tra xem đến hồi kết, tìm số thông tin hacker (mặc dù để tìm kẻ công đời cần phụ thuộc vào yếu tố pháp luật hơn) Dưới góc độ kỹ thuật biết cách hacker công hệ thống nào, biết hệ thống bị dính lỗ hổng nguy tiềm ẩn để cập nhật vá khắc phục cố không tái diễn tương lai [...]... công tác điều tra mạng 2.1 Quy trình thực hiện điều tra mạng Điều tra mạng được phát triển như một phản ứng tất yếu với xu hướng gia tăng tội phạm mạng, để khám phá ra nguồn gốc của các cuộc tấn công mạng Vì vậy, cần phải xây dựng một quy trình cụ thể cho việc điều tra mạng Quy trình chung cho việc phân tích điều tra mạng nhằm xác định các bước thực hiện được xây dựng từ mô hình điều tra số, được chia... và điều khiển) kiểm soát lưu lượng truy cập từ mạng lưới botnet 2.3 Kết luận Điều tra mạng là một loại hình điều tra quan trọng với mô hình an toàn mạng, tập trung vào việc chặn bắt và phân tích các gói tin trên mạng cũng như các sự kiện cho mục đích điều tra, cung cấp chứng cứ số về tội phạm mạng Cùng với sự phát triển của công nghệ ATTT và sự phức tạp của các hình thức tấn công mạng, điều tra mạng. .. một số tài liệu hệ thống liên quan Bên cạnh đó, một báo cáo điều tra toàn diện của vụ việc sẽ được trình bày cùng các biện pháp được khuyến nghị để ngăn ngừa những sự cố tương tự xảy ra trong tương lai Các kết quả được tài liệu hóa để sử dụng trong những cuộc điều tra sau này, cũng như cải thiện chất lượng các sản phẩm bảo mật 2.2 Một số công cụ hỗ trợ điều tra mạng Hỗ trợ cho quá trình điều tra mạng. .. tích điều tra mạng là xác định danh tính kẻ tấn công Có hai cách thức mà kẻ tấn công sử dụng để che giấu danh tính là giả mạo IP và thực hiện tấn công bàn đạp 2.1.9 Giai đoạn 9 Báo cáo tổng kết Phần hoàn tất quá trình điều tra mạng là xây dựng báo cáo tổng kết Nội dung báo cáo tổng kết trình bày cho người quản lý tổ chức và cán bộ pháp chế về các chứng cứ số thu thập được trong quá trình điều tra và... trình điều tra mạng là các công cụ phục vụ cho công tác điều tra, có khả năng chặn bắt, sao lưu, trích xuất, khôi phục và phân tích các dữ liệu mạng Những công cụ này có thể giúp điều tra viên xác định thời gian, cách thức, nội dung mà dữ liệu được truyền đi hay nhận về, cung cấp lượng chứng cứ số nhanh chóng, chính xác, tạo thuận lợi cho việc điều tra Ba công cụ được ứng dụng phổ biến như: 2.2.1 Wireshark... điều tra số, được chia thành 9 giai đoạn như sau: 2.1.1 Giai đoạn 1 Chuẩn bị và ủy quyền Trước khi bắt đầu một cuộc điều tra mạng, cần tiến hành khảo sát cơ sở hạ tầng mạng nơi xảy ra sự cố về an toàn Điều tra mạng chỉ có thể áp dụng cho các môi trường mà ở đó những công cụ an to àn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa, phần mềm đo đạc lưu lượng đã được triển... quá trình phân tích, thẩm định Bên cạnh đó, điều tra mạng cũng đặt ra một thách thức mới đối với hệ thống tư pháp và các nhà hoạch định pháp luật xây dựng các quy định, chế tài phù hợp với sự phát triển của loại hình điều tra, phòng chống tội phạm công nghệ cao này CHƯƠNG 3: DEMO Tình huống: Một máy tính trong mạng nội bộ bị nghi ngờ tấn công từ xa, quản trị mạng dùng những công cụ chuyên dụng bắt các... dụng phương pháp thống kê và khai phá dữ liệu để tìm kiếm những dữ liệu phù hợp với các mẫu tấn công nghi ngờ Một vài thông số quan trọng liên quan đến việc phân tích điều tra mạng như: sự thiết lập các kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình giả mạo, phần mềm hay rootkit được cài đặt Những công cụ được sử dụng trong giai đoạn này là NetworkMiner,... đến nạn nhân Một số công cụ có thể kể đến như Wireshark, tcpdump, Snort, Tcpxtract, Foremost Hệ thống mạng cũng cần được giám sát để xác định các tấn công trong tương lai Tính toàn vẹn của dữ liệu được ghi lại và các bản ghi sự kiện mạng phải được đảm bảo, vì dữ liệu mạng thay đổi một cách liên tục và ít có khả năng tạo ra cùng một dạng dấu vết trong những lần sau Không những vậy, số lượng dữ liệu... bảo tính chính xác và độ tin cậy trong quá trình điều tra Một bản sao lưu khác của dữ liệu sẽ được sử dụng cho việc phân tích và lưu lượng mạng ban đầu thu được cũng sẽ được bảo vệ Giai đoạn này được thực hiện để đảm bảo quá trình điều tra có thể được chứng minh ngay trên dữ liệu gốc (đã được bảo vệ) để đáp ứng các yêu cầu pháp lý 2.1.6 Giai đoạn 6 Kiểm tra Các dấu vết thu được từ các công cụ an ninh ... ĐIỀU TRA MẠNG - NETWORK FORENSICS Điều tra số lĩnh vực liên quan đến việc phục hồi điều tra chứng số tìm thấy thiết bị kỹ thuật số, phân chia thành loại là: điều tra máy tính, điều tra mạng điều. .. VỀ ĐIỀU TRA SỐ - DIGITAL FORENSICS 1.1 Khái niệm Điều tra số (đôi gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, ... quan điều tra mạng, giới thiệu quy trình số công cụ hỗ trợ việc thực điều tra Thuật ngữ điều tra mạng đưa chuyên gia bảo mật máy tính Marcus Ranum vào đầu năm 90 kỷ XX Điều tra mạng loại hình điều

Ngày đăng: 09/12/2016, 08:50

Xem thêm: Điều tra số Điều tra mạng, Điều tra số Điều tra mạng, CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ - DIGITAL FORENSICS, CHƯƠNG 2: ĐIỀU TRA MẠNG - NETWORK FORENSICS, 1 Quy trình thực hiện điều tra mạng 

Từ khóa liên quan

Mục lục

  • CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ - DIGITAL FORENSICS

    • 1.1. Khái niệm

    • 1.2. Mục đích – Ứng dụng

    • 1.3. Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?

    • 1.4. Các bước thực hiện điều tra

      • 1.4.1. Preparation – Chuẩn bị 

      • 1.4.2. Acquisition - Ảnh hóa 

      • 1.4.3. Analysis – Phân tích 

      • 1.4.4. Reporting – Lập báo cáo 

      • 1.5. Một số loại hình điều tra phổ biến

        • 1.5.1. Điều tra máy tính - Computer Forensics 

        • 1.5.2. Điều tra mạng - Network Forensics

        • 1.5.3. Điều tra thiết bị di động - Mobile Device Forensics

        • 1.5.4. Điều tra Registry - Registry Forensics

        • 1.5.5. Điều tra ổ đĩa - Disk Forensics

        • 1.5.6. Điều tra ứng dụng - Application Forensics

        • CHƯƠNG 2: ĐIỀU TRA MẠNG - NETWORK FORENSICS

          • 2.1 Quy trình thực hiện điều tra mạng 

            • 2.1.1. Giai đoạn 1. Chuẩn bị và ủy quyền

            • 2.1.2. Giai đoạn 2. Phát hiện sự cố hoặc hành vi phạm tội

            • 2.1.3. Giai đoạn 3. Ứng phó sự cố

            • 2.1.4. Giai đoạn 4. Thu thập các dấu vết mạng

            • 2.1.5. Giai đoạn 5. Duy trì và bảo vệ

            • 2.1.6. Giai đoạn 6. Kiểm tra

            • 2.1.7. Giai đoạn 7. Phân tích

Tài liệu cùng người dùng

Tài liệu liên quan