Bài giảng Pháp chứng kỹ thuật số: Bài 8

Ậ Ố

Ứ

Ỹ

PHÁP CH NG K THU T S

ộ

i ph m trên Internet Pháp

ứ

ạ ề Bài 8: Đi u tra t ố ch ng s trên Internet

ả

ồ

ả Gi ng viên: TS. Đàm Quang H ng H i

ạ

ộ ể ạ i ph m t gi a t

ộ ố ệ

ệ ộ ạ T i ph m trên Internet tôi ph m công ngh cao• Đi m khác bi ệ ề

ữ ộ truy n th ng chính là ph

ộ ạ ạ ự ế i. ộ ủ

ệ ngh thông tin đ ph m t

ể • T i ph m công ngh cao th c hi n đ

ạ ệ i ph m công ngh cao và t ươ ng ti n ph m t ử ụ • T i ph m công ngh cao s d ng s ti n b c a công ộ i. ự ề ộ c,

ạ ậ ượ ườ ệ ạ ạ ộ ệ ữ ệ ượ c nh ng hành vi ạ ộ ạ ể ượ ố i mà t ph m t i ph m truy n th ng không th làm đ ồ ở ạ ư ộ ể ộ ắ ư ệ i ph m ng i nh t t Nam nh ng có th tr m c p Vi ở ướ ề ủ ườ ộ ượ i nào đó đang n c ti n c a m t ng đ c ngoài. ệ ạ ộ ầ i ph m công ngh • Không c n dùng chìa khóa v n năng, t ủ ề i c vào "kho ti n" c a ng

ẫ ể ế ạ ể cao v n có th xâm nh p đ khác đ chi m đo t.

ấ

ườ

T n công vào máy ng

i dùng

ủ ộ

ệ

ạ

Hành vi c a t

i ph m công ngh cao

ề

ạ ổ ể

ệ ủ ộ i ph m công ngh cao khác nhi u • Hành vi c a t ạ ư ấ ớ ộ i ph m c đi n, nh : t n công trái phép ể ấ

ậ

ữ

so v i t ữ vào website đ l y đi nh ng thông tin bí m t, thay ả vào đó nh ng thông tin gi

ạ

ể

• T i ph m công ngh cao có th phá ho i website ả

ạ ấ ắ

ộ ằ

ụ

ệ ả ẻ th tín d ng, l y c p tài kho n

ộ

ế

t ph i có hi u bi

ớ ộ i cũng khác v i t ể ả ệ ượ

ự

ạ i ph m ế ề t v công c hành vi

ộ

b ng virút, làm gi cá nhân… ố ượ ạ • Đ i t ng ph m t ề ấ ố truy n th ng, nh t thi ớ ệ ngh thông tin thì m i th c hi n đ ạ ph m t

i.

ệ

ị ấ

L a đ o Công ngh cao • Đ i t

ng l a đ o l p ra m t trang web, l y đ a ch gi

ừ ả ố ượ ỹ ồ

ộ ữ ậ ườ ỉ ả ở ạ i tham gia vào m ng

ổ ủ ọ

ớ ố ề ừ ả ở ữ ườ ừ ả ậ M r i nh p tên tu i c a nh ng ng ướ i cùng v i s ti n h đã góp. l ố ượ • Đ i t i tham

ắ ọ ậ ố ề ủ

ở ỹ ậ ế ằ

ả

ơ ứ

ế ề ộ t cũng là m t nguyên nhân khi n nhi u

ng l a đ o m máy tính cho nh ng ng ấ gia xem, h t n m t nhìn th y tên mình, s ti n c a mình trên màn hình thì vui và tin là mình đang kinh doanh tài ệ ớ ậ chính v i t p đoàn t r ng vi c M th t mà không bi ộ ạ t o ra m t trang web là vô cùng đ n gi n. ọ ừ ấ ữ ộ • M t nguyên nhân n a đó là do m c lãi su t mà b n l a ả ư ớ ấ ả ẫ ấ đ o đ a ra quá h p d n, quá cao so v i t t c các hình ộ ề ử ợ ứ th c huy đ ng ti n g i h p pháp khác. ế ể ế ự • S thi u hi u bi ườ ị ắ ừ i b m c l a. ng

ỗ ổ

ệ

ạ

ộ

T i ph m công ngh cao và L h ng

ỗ ổ

ầ ẹ

ế ạ ự ầ

ề

ẻ ấ ặ ả ề

ằ

ị

ạ ộ ạ

ệ ố

ườ

ế

ề ể • L h ng (bug) là các đi m y u trong ph n m m ộ cho phép k t n công phá ho i s toàn v n, đ ặ ữ ậ ủ ẵ s n sàng ho c b o m t c a ph n m m ho c d ử ệ ầ li u do ph n m m x lý. ẻ ấ ấ ể ộ ố ỗ ổ h ng nguy hi m nh t cho phép k t n • M t s l công khai thác h th ng b xâm ph m b ng cách khi n h th ng ch y các mã đ c h i mà ng i dùng không h bi

ế ớ

ộ

ệ ố ạ ề ế t. ị

• Th gi

ở ự i đã b rúng đ ng b i s hoành hành c a

ắ

ậ ủ

ệ

ủ ữ Flame và Duqu, nh ng virus đánh c p thông tin ệ ố m t c a các h th ng đi n toán

ỗ ổ

L h ng Zero Day

ậ ặ

ư ượ

ộ • L h ng zero day là m t thu t ng đ ch nh ng l ố

c công b ho c ch a đ

ỗ ổ

• L i d ng nh ng l

h ng này, hacker và b n t

ệ ố

ữ ể ỉ ữ ỗ ụ ắ ư ượ c kh c ph c. ạ ọ ộ i ph m c vào h th ng máy tính

ệ

ể

ắ

ỗ ổ ổ h ng ch a đ ợ ụ ữ ậ ượ ể ạ m ng có th xâm nh p đ ậ ủ c a các doanh nghi p, t p đoàn đ đánh c p hay thay ổ ữ ệ đ i d li u.

ủ ượ

ộ ỗ ổ h ng zeroday là 348 ệ

c phát hi n ra ho c vá l

• Tu i th trung bình c a m t l c khi nó đ ậ

ố

ạ i, ế h ng th m chí còn s ng "th " h n th . ề ấ

ẵ

• T i ph m công ngh cao s n sàng tr kho n ti n r t

ạ

ặ ọ ơ ả ả h ng zeroday.

ệ ỗ ổ i các l

ọ ổ ướ ngày tr ề ỗ ổ nhi u l ạ ộ ể ớ l n đ mua l

ấ

ỗ ổ

T n công vào các l

ậ ả h ng b o m t

ệ

ỗ ổ

ậ ượ

• Hi n nay các l

ề

ụ

ầ

ị

ề ầ

ặ ậ

ấ ả

ề

ấ

ậ

ỗ

ệ ả h ng b o m t đ c phát hi n ủ ệ ề càng nhi u trong các h đi u hành, các máy ch cung c p d ch v ho c các ph n m m khác, ... các i hãng s n xu t luôn c p nh t các ph n m m vá l ủ c a mình.

ư

ể

ắ

ẩ

ậ ể

ậ

ườ ử ụ

• Nh ng thông tin có th ăn c p nh tên, m t kh u i s d ng, các thông tin m t chuy n qua

ầ

ế ậ

ậ

t c p nh t thông tin và nâng

i dùng c n thi ả

ữ ủ c a ng ạ m ng. ườ • Ng ấ c p phiên b n cũ.

ụ ấ

Ví d : t n công Java Zeroday CVE20131493

ữ

ư Xem xét File log l u tr trên máy tính

ừ

• Các file log máy tính có th t o ra và duy trì t

ư

ữ ệ ạ

ệ ố ậ

ể ạ ặ ằ ự ộ đ ng ho c b ng tay, ậ

ệ ố

ữ ẳ ậ

nh ng d li u h th ng t ch ng h n nh các t p tin đăng nh p h th ng và nh t ký máy ch proxy. ả ượ ầ

ượ ạ

c đ u ra đ

c t o ra t

các

ừ ng d ng máy tính/quy trình trong đó thông ộ ườ

ả

ầ

ủ ồ ơ • Các h s ph i đ ụ ữ ệ ng, không ph i là d li u đ u vào m t cá

ứ th nhân t o raạ

• Các file log máy tính là nh ng d li u đi n t

ữ ể

ậ ố ầ ặ

ữ ệ ớ ử

ặ ỹ ả ề

ề

ệ ử ầ ộ ho c k thu t s đ u có th xem v i m t ph n ả ầ m m b ng tính ho c ph n m m x lý văn b n.

ụ

ề

ầ

ớ

Ví d : File Log v i ph n m m HijacThis

ử ụ

ề

ầ

ố

S d ng trên ph n m m ch ng Virus

ề

ườ

ng các máy tính có cài ph n m m ặ

ề

ạ

ầ i quá trình ngăn ch n

ể ắ ầ

• Ph n m m ch ng Virus có th b t đ u di

• Thông th ố ch ng Virus đ u có ghi l Virus ầ ầ

ố ộ ạ ướ

ề ề

ệ ủ c khi nó có c h i đ t

t c a ơ ộ ể ả i

ề

ph n m m đ c h i tr ặ v và cài đ t

ượ

ể

ậ

ồ

ể ứ • Pháp ch ng viên có th xem xét các thông tin này ớ c cùng v i các thông tin truy c p Web đ tìm đ ố ngu n g c Virus

ề

ầ

ố

Ph n m m ch ng Virus

ộ

Mã đ c Malware

ữ

ậ

• Thu t ng " Malware " bao hàm t

ượ

ế ế ể

ạ ấ ả t c các lo i ạ t k đ làm h i máy tính

ph n m m đ c thi ho c m ng máy tính.

ộ ạ

ề ạ ề ườ

t, th

c

ư

ầ ặ ể ượ ầ ặ • Ph n m m đ c h i có th đ c cài đ t trên máy ườ ế i dùng không hay bi mà ng ng thông qua ặ ộ ế ừ ả ượ ố ả i xu ng đ các liên k t l a đ o ho c n i dung t ườ ộ ng dùng. đăng nh là n i dung th

Malware

ề

ạ

ồ

ấ

Các lo i Malware ổ • Mã đ c Malware bao g m r t nhi u lo i ph

ệ

ề ề

ạ ộ ư ế bi n nh : • Virus • Sâu máy tính (worm) • Trojan horse • Botnets • Keylogger. • Ph n m m gián đi p (spyware) ầ • Ph n m m qu ng cáo. ả ầ

Virus, Worm, Trojan horse

ươ

c g n vào ch

ng

ườ

ủ

ố

ề ầ • Virus là ph n m m đ c h i đ ộ ể ự trình khác đ th c thi m t nhi m v không mong mu n trên máy tính c a ng

ộ ạ ượ ắ ệ ụ i dùng.

ự

ặ ả

ể

ễ

ị

• Worm th c thi mã (code) tùy ý và cài đ t b n sao ủ c a nó vào máy tính b nhi m đ sau đó lây nhi m vào các máy khác.

ư

ượ

ặ ươ

ư

ế c vi ư

ự

ụ

ấ

ố • Trojan horse không gi ng nh worm ho c virus. ố ng trình t ra trông gi ng nh là 1 ch Nó đ ể ấ nào đó, nh ng th c ch t nó là công c dùng đ t n công

Virus, Worm, Trojan

ữ

ự

ữ

ề ươ ng t ủ ọ ư ề ề

ể

ế ố ớ

ộ

ệ ầ Botnets, Keylogger, Ph n m m gián đi p • Botnets là nh ng ch Trojan cho ng trình t ẻ ấ phép k t n công s d ng máy c a h nh là nh ng ế Zoombie (máy tính b chi m quy n đi u khi n hoàn ể toàn ) và chúng ch đ ng k t n i v i m t Server đ ề ễ d dàng đi u khi n.

ươ ử ụ ị ủ ộ ể ầ

ỗ

ạ

• Keylogger là ph n m m ghi l

ủ ồ

ề i chu i gõ phím c a ệ ể ữ i dùng. Nó có th h u ích cho vi c tìm ngu n ệ ố i sai trong các h th ng máy tính

ả

ạ

ề • Ph n m m gián đi p ự ế

ể ạ

ườ ng ố ỗ g c l ệ là lo i virus có kh năng thâm ầ ệ ề ậ i "di nh p tr c ti p vào h đi u hành mà không đ l ứ ch ng".

ị

ể ủ

ử

ử ở ầ ị

ằ ễ ệ

ở ể

ế ị ư ạ ơ

L ch s phát tri n c a Malware ế ữ ể ủ • Kh i đ u l ch s phát tri n c a mình, nh ng Malware th ữ ệ ầ h đ u tiên lây nhi m gi a các máy tính b ng vi c lây ề ủ ễ nhi m vào vùng MBR c a các đĩa m m dùng đ kh i ặ ộ đ ng máy tính ho c trao đ i d li u. ữ ữ ệ • Các thi ể

ổ ữ ệ ệ ự ư ể ủ

ế ị ư ỉ • Ngày nay, không ch lây nhi m qua các thi

ệ ố ễ

ể ạ ộ t b l u tr d li u hi n đ i h n nh USB, CD,... ệ Malware cũng phát tri n theo s phát tri n c a công ngh . ữ ậ ễ t b l u tr v t lý mà Malware còn có th lây nhi m gi a các h th ng ế ố thông qua các k t n i m ng m t các t

ượ ử ụ ụ ữ ự ộ đ ng. • Các công c Forensic và Malware Analysic đ

ủ ứ

ế ả i quy t,

c s d ng đ ể ễ phân tích cách th c lây nhi m, payload, hành vi c a ể ư ể chúng đ có th đ a ra các cách gi ặ ngăn ch n chúng

ụ ạ ộ

Ví d ho t đ ng Malware

Mã hóa và tránh né phát hi nệ

ượ

ử ụ

ừ ữ

ả ế vi

t Malware s d ng t

ậ

ằ

ệ

ể

ệ

ử ụ

ụ

c Malware s d ng ph c

ng đ

ữ

nh ng Đ c các tác gi ầ năm đ u th p niên 1990 nh m mã hóa payload và ả b n thân chúng đ tránh né vi c phát hi n các công ụ ư c nh Antivirus, IDS, .... ượ ườ ậ ỹ K thu t này th ư ụ ụ v vào nh ng m c đích chính nh :

• Tránh né vi c phát hi n c a IDS/IPS, Antivirus •

ệ ủ ệ

Ẩ

ư ượ ề n kênh C&C • Mã hóa l u l ể ng đi u khi n

ả

ụ

ố

ả

ự ị

ạ ộ ỉ

ữ ứ

ứ

ố

ứ ứ ộ

ư ủ

ấ Ví d : Virus Rookit t n công vào b ng danh ệ ố sách hàm h th ng ườ ng ho t đ ng d a vào • Trong Windows, Rootkit th ụ ị ư ế ơ c ch móc n i vào b ng l u đ a ch các hàm d ch v ệ ố h th ng (System Service Dispatch Table SSDT). ề ấ ể ề • Đ đi u tra nh ng v n đ này, Pháp ch ng viên có ừ ằ ể ấ th l y b ng ch ng t nghiên c u pháp ch ng s trên ụ ớ ự ộ b nh d a vào framework nh c a b công c Volatility. ả

ứ ả

ế ề

ể ầ

ẩ

• K t qu đi u tra giúp Pháp ch ng viên hi u chi n ấ c móc n i SSDT, giúp nhà s n xu t ph n m m ủ ọ i u h n s n ph m c a h .

ế ề ố ượ l ố ư ơ ả ố ch ng Virus t

ả

B ng SSDT (System Service Dispatch Table)

ủ

ậ

ỹ

K thu t hooking vào SSDT c a Rookit

ụ

Công c Volatility

ộ

ớ • Volatility: b công c đi u tra trên b nh ủ

ộ ạ ộ

ể ả

ủ

ụ ề ể ề Volatility có th đi u tra các ho t đ ng c a process k c process c a rookit.

ố

ử ụ

ươ

ổ ế

ở

ố

ạ

ộ ộ ố ế

ậ

ề ầ Ph n m m ch ng Virus s d ng SSDT hooking • SSDT hooking cũng là m t ph ng pháp ph bi n ề ầ c s d ng b i m t s ph n m m ch ng Virus t l p các h n ch truy c p các tài nguyên

ườ

ẩ

• Các s n ph m ch ng virus th

ươ

ể

ố ng trình đang ch y. ố

ằ

ng móc vào SSDT ạ ườ ng hooking b ng ữ c l u tr trong hàm SSDT ố

ượ ử ụ đ ế ậ ể đ thi ệ ố h th ng. ả đ quét các ch ẩ ả • Các s n ph m ch ng Virus th ỉ ượ ư ổ ị cách thay đ i đ a ch đ ỉ ế ỏ ị Native, và tr đ a ch đ n các hàm ch ng Virus.

đ ng c p nh t Malware

ậ ườ

ạ ng’ hi n đ i, Malware

ườ c v i ‘môi tr ệ ng’.

ơ ế ự ộ C ch t ể ồ ạ ể • Đ có th t n t ứ ả ầ c n ph i thích ng đ ữ

ậ i trong ‘môi tr ượ ớ ố

ậ

ờ ượ c thi

• Trong nh ng năm cu i th p niên 1990, các Malware phát ể ớ ố ộ ả tri n v i t c đ nhanh chóng nh đ t k v i kh ạ ậ ự ậ năng t c p nh t thông qua m ng, cho phép k t n công ứ ề ươ ể có th thay đ i Malware v ph ộ payload, hành vi m t cách nhanh chóng.

ế ế ớ ẻ ấ ễ ổ ng th c lây nhi m,

• Các th h Malware đ u tiên có th t

ế ệ ể ự ậ ầ

ự ị ư ậ c p nh t nh ệ ệ ữ

ậ

ậ ằ ử ụ ổ ế ứ

ứ W95/Babylonia trên giao th c HTTP. Các Malware hi n ơ ế ạ ơ ượ đ i h n đ c trang b các c ch xác th c, ch ký đi n ả ậ ử , mã hóa b n c p nh t b ng các thu t toán mã hóa RSA t ư 128 bit (W95/Hybris), s d ng các giao th c ph bi n nh HTTP, P2P,...

ề ụ ả ệ ủ ỗ ợ ấ ậ t c a các công c b o m t và đi u tra h tr r t

Malware đa hình (Polymorphic malware) ự ư • S u vi ề

ủ ố

ố ặ

ễ c thi

ượ ậ ỹ i các k thu t phân tích l u l

• Nh ng Malware đ u tiên có hành vi t

ệ ớ ệ nhi u trong vi c phát hi n s m các m i nguy c a ể ớ ề Malware truy n th ng đ s m có các bi n pháp ngăn ch n ế lây nhi m khi n các Malware đ ạ ể ố tinh vi đ đ i phó l ầ ươ ng đ i ‘đ ng

ệ ế ế t k ngày càng ư ượ ng. ồ ố ứ ư ử ụ ữ ấ ặ

ệ ễ ặ ở ị

ỉ ấ nh t’ nh s d ng duy nh t ho c các port, giao th c ch ị ị đ nh nên khi b phát hi n thì d dàng b ngăn ch n b i antivirus, IDS.

ữ ư ở ể ị • Ví d : W32/Blaster có th b phát hi n b i nh ng l u

ườ ụ ấ ng b t th ệ ng trên các port TCP 135, TCP 444, TCP 69

ử ụ

ượ l ể UDP 69. W32/Witty s d ng source port UDP 4000 đ ổ ữ ệ trao đ i d li u

...

Đa hình

ệ • Đ tránh vi c b phát hi n và ngăn ch n m t cách ế

c thi

t

ề

ể ễ ế

ệ ạ ộ

ứ

ễ ề

ổ

ử ụ ậ ụ ớ

ộ ặ ệ ị ạ ượ ư ậ d dàng nh v y, các Malware hi n đ i đ ơ k tinh vi h n v cách th c ho t đ ng và lây ư ễ nhi m nh : • S d ng nhi u cách th c lây nhi m khác nhau ứ ử ụ • Thay đ i port s d ng • Dùng các k thu t quét tinh vi m c tiêu m i nh : ư

ỹ • Quét random • Quét hoán đ iổ • Quét giả • Quét phân tán ị • Quét đ nh thì

ế ụ

ộ ẫ ớ

ả ể ệ

ợ ẫ ặ t ế c các tác v h p pháp ho c không h p pháp d n đ n

ị

Tr n l n hành vi ứ ạ ả • V i các công c và các c m bi n ngày càng ph c t p và ậ tinh vi dùng trong b o m t và forensic có th phân bi ượ ụ ợ đ ệ ể các Malware có th nhanh chóng b phát hi n • Các Malware m i đ thích ng và t n t ồ ạ ượ ầ ớ ể i đ

c c n ộ ấ ộ

ỹ ơ ộ ẫ ả ữ ể ấ ậ

ữ ộ

ng c a giao th c HTTP/HTTPS. L i d ng

ứ ủ ph i che gi u hành đ ng c a mình k h n. M t trong ỹ nh ng k thu t dùng đ che d u là tr n l n các hành ợ ủ ấ ợ ộ đ ng b t h p pháp c a mình vào nh ng hành đ ng h p ộ ả ế ắ ượ ằ c các b c m bi n, antivirus,… pháp nh m che m t đ ụ ầ ổ ứ ề ế ể ch c đ u không th khóa • Ví d : H u h t các công ty, t ủ ợ ụ ứ ộ ư ượ toàn b l u l ễ ạ ể ặ đ c đi m này, các m ng Botnet HTTPBased lây nhi m ế ố ộ r ng rãi thông qua k t n i HTTP/HTTPS.

ế ế

ậ ượ

c thi ằ

FastFlux ỹ • Là k thu t đ ấ ỉ

ổ ườ

ề ặ

ế

ệ

ở

ễ t k cho các Malware d dàng ụ ả che gi u hành vi b ng cách thay đ i liên t c b n ghi ể ị đ a ch các Server đi u khi n (th ng có TTL 5 10) ễ khi n vi c ngăn ch n các máy tính lây nhi m giao ể ti p v i Server đi u khi n tr nên khó khăn.

ớ ế ử ụ

ề ạ

ề

ư ư

ỉ

ể

ề ướ

ỹ ằ

ệ

ặ

ứ • S d ng nhi u lo i giao th c nh HTTP, SMTP, POP, ề ậ DNS, P2P,… và các k thu t nh kênh ch huy và đi u ả khi n phân tán, cân b ng t ng, i trên web, tái đi u h … gây khó khăn cho vi c ngăn ch n và truy tìm Server Root. ấ

ủ ủ

ự

ệ

• R t hi u qu trong vi c né tránh s giám sát c a c a

ế

ả

ả các c m bi n, antivirus, …

ở ầ

ồ ằ ệ ố ừ

ắ ự ủ ệ ố ạ ả

ị ổ ứ ệ

ỹ ư

Advanced Persistent Threat (APT) • Vào tháng 1/2010, Google kh i đ u vi c thông báo r ng Trung Qu c đang th c hi n các victim có ngu n g c t ừ ế chi n d ch ăn c p các thông tin nh y c m ‘có ch đích’ t ổ ứ ch c ch c tài chính, các công ty công ngh và các t các t ứ ạ i M nh Symantec, Adobe, Northrup, nghiên c u t Google, Grumman,… ượ ữ

• Thu t ngh APT đ

ậ

• Th

ể ỉ ể ấ c dùng đ ch ki u t n công dai ị ự ủ ẳ d ng và có ch đích vào th c th xác đ nh nào đó. Các ậ ấ ượ ẫ ộ ấ c h u thu n r t cu c t n công nh th này th ớ ừ ộ ch c nào đó. l n t ề ỗ ườ ủ ặ ế ợ i zeroday

ể ườ ư ế ng đ ộ ổ ứ m t chính ph ho c m t t ng khai thác k t h p cùng lúc nhi u l ớ ỹ ụ ậ

ấ ạ cùng v i k thu t cuttingedge t n công vào các m c tiêu ầ ấ c n t n công và không lây lan m nh ra bên ngoài

ủ Hành vi c a Malware

ể

ộ ạ

ệ

ề • Các ph n m m đ c h i ngày càng phát tri n tinh ở ộ ấ t là các cu c t n công zeroday và tr

ầ ủ

ễ

ườ

ủ ư ượ

ầ ặ vi, đ c bi ộ thành m t ph n c a internet. ể ể ổ ấ thay đ i b t th

ằ ạ ng m ng.

ẽ

ậ

ạ

ỹ

ả

ậ

ờ

ớ

ự • Có th ki m tra nhi m malware b ng cách theo s ng c a l u l ấ • T n công APT (Advanced Persistent Threat – Cách ử ụ ứ ấ th c t n công m ng s d ng k thu t cao) s là ử th thách l n cho các nhà b o m t trong th i gian i.ớ t

ứ

ễ

Cách th c lây nhi m Malware

ổ ế

ễ

ứ

ươ

ng th c lây nhi m ph bi n:

ạ

• Các ph • Email • Web • Chia s qua m ng ạ ẻ • Networkbased • Khai thác l ỗ ổ

h ng m ng

ứ

ễ

Cách th c lây nhi m

Ví dụ : Tấn công bằng thư rác của blog

Hành vi Payload

ủ

ấ • Payload: t n công l u l ượ ử ụ

ộ ủ

ể ủ

ể ư ượ ng c a m t virus có th ứ đ c s d ng đ h y ch c năng c a máy tính và ủ ữ ệ phá h y d li u. ủ ạ ộ

ể

ạ

• Các ho t đ ng c a m ng và bi u hi n c a

ổ

ệ ủ ụ ườ

ế ố ướ

ậ

ồ

ễ malware sau khi lây nhi m thay đ i liên t c, tùy ẻ ấ ộ ng và thu c vào m c đích k t n công, môi tr các y u t • Các xu h

ụ khác. ệ ố ng xâm nh p h th ng g m : Spam,

DoS, spyware, keylogging.

Botnet

ộ ồ ớ ề ễ

ượ ế

ị ộ ụ ụ

• Đ c th a h

ạ • Là m t m ng l n g m nhi u máy tính b lây nhi m ố ớ c k t n i t i m t Server và Malware (Zoombie) và đ ằ ể ủ ị ự ề ch u s đi u khi n c a Server này nh m ph c v các tác ụ ư v nh Ddos, Spam, ăn c p thông tin,... ượ ữ ế ỹ

ắ ộ ụ ng, h i t ự ộ ễ ấ ư ậ nh ng k thu t tiên ti n nh đ ng lây nhi m, phân c p – phân tán

• Ph

ạ ộ ề ớ ổ ứ ng th c ho t đ ng không có nhi u thay đ i so v i

ế ệ ệ ố ầ ưở ừ remote control, t ả qu n lý. ươ ữ nh ng th h h th ng đ u tiên.

ệ ố

ạ ử ụ ể ủ ự ự ệ

ế ả ệ • Các h th ng Botnet hi n đ i s d ng các Malware tinh vi ệ ố ơ h n khi xây d ng h th ng đ tránh né s phát hi n c a các c m bi n, Antivirus,...

Botnet

ệ ố

ơ

ả • H th ng Botnet đ n gi n

ớ ố ề

ạ ộ

ứ

ủ

Ch ng c s v ho t đ ng c a Botnet

ỉ

ệ ố ượ

ể ệ ố

ề ế

ự

ề

ằ

ề

ả ớ ị

H th ng ch huy và đi u khi n phân tán Đ c xây d ng nh m thay th các h th ng đi u ố ể ậ khi n t p trung truy n th ng • Khó khăn khi qu n lý s l ố ượ

ng l n các máy tính b lây

ạ

nhi m trong m ng. ở ệ ứ ụ

ễ ễ ị ễ ễ ệ ị

• D b phát hi n b i các công c Pháp ch ng • D dàng b ngăn ch n lây nhi m khi b phát hi n, Khó ặ ử ổ khăn trong vi c chuy n đ i quy n đi u khi n và s d ngụ

ị ề ề ể ể ệ

ủ ệ ố

ề

ể

ỉ u đi m c a h th ng ch huy và đi u khi n phân

Ư ể tán

ơ ế

• Tính d phòng cao. Tránh né các c ch phát hi n ệ • B o v đ

ự ệ ượ ệ ố ề ể ả ủ ỉ c các h th ng ch ch huy và đi u khi n

ệ ố

ể

ề

ỉ

H th ng ch huy và đi u khi n phân tán

ệ ố

ề

ể

ỉ

H th ng ch huy và đi u khi n phân tán

ụ ấ

ể

ề

Ví d : c u trúc gói tin đi u khi n Botnet

ề

ể

ầ

Kênh yêu c u và đi u khi n C&C

ầ

ể ể ấ

ừ ổ ế

ứ

ề • Kênh yêu c u và đi u khi n (Commandand ề Control) cho phép đi u khi n t n công t xa. ễ • Các hình th c lây nhi m qua C&C ph bi n.

ạ

• HTTP • Các trang m ng xã h i (Facebook, Twitter) ộ • Peer to peer • IRC (Internet Relay Chat) • Môi tr

ườ ệ ng đi n toán đám mây

ớ

Kênh CommandandControl t

i Server

ề

ầ

ằ

ủ ạ

ộ

ộ ạ

ề

ộ

ộ ử

ộ Đi u tra mã đ c ứ ứ • Pháp ch ng viên c n tìm các thông tin b ng ch ng, ằ b ng cách nào mà m t th ph m, m t hacker có ậ ể th giành quy n truy c p vào m t m ng máy tính. • Mã đ c g i email l a đ o , thông qua vi c s d ng k ỹ ừ ả ặ

ệ ử ụ ườ

ậ ể ộ ặ

• Email l a đ o đôi khi trong khi thuy t ph c ng

i dùng thu t đ thu hút ho c kích thích George ng ề ế đ n m t trang web có cài đ t mã đ c h i trong n n. ườ

ộ ạ ế ậ ụ ẩ ừ ả ấ

ả ế ệ

ủ ư ợ

dùng cung c p cho ID ngân hàng và m t kh u, thông tin tài kho n. ả • Ph ươ ế ộ ừ ả ấ ng pháp Email l a đ o r t hi u qu n u tìm ộ ậ ki m m t t p h p các khách hàng nh khách hàng c a m t ngân hàng chung.

ề

ụ

ạ ộ

ử ụ

Ví d : đi u tra ho t đ ng Botnet s d ng Honeypot • Honeypot: m t h th ng tài nguyên thông tin đ

ượ c xây ẻ ử ụ ữ ừ ớ

ả ạ ợ

ớ ệ ố ộ ệ ố ụ ự d ng v i m c đích gi d ng đánh l a nh ng k s d ng ủ ự ậ và xâm nh p không h p pháp, thu hút s chú ý c a chúng, ậ ế ngăn không cho chúng ti p xúc v i h th ng th t.

ỏ các d ch v , ng

ị ễ ể

ớ ạ

ươ ụ ụ ứ ả ấ ng tác th p: mô ph ng gi ấ ứ ộ ủ ụ d ng, h đi u hành. M c đ r i ro th p, d tri n khai, ụ ề ị ả ưỡ i h n v d ch v . b o d ụ ứ ị • Honeypot t

ạ Phân lo i Honeypot ươ • Honeypot t ệ ề ư ng nh ng gi ng tác cao: là các d ch v , ng d ng, h đi u ứ ộ

ủ ậ ậ

ả ưỡ ậ ờ ệ ề ố hành th t. M c đ thu th p thông tin cao, r i ro cao, t n th i gian v n hành và b o d ng.

ậ

ộ

N i dung thu th p thông tin

• Th c hi n vào t

ự ệ ạ i Junewon Park Digital Forensic Research

Laboratories, Auckland University of Technology, New Zealand năm 2014.

• Trong 11 ngày, có 3,227 t n công, 1,466 m u Malware and

ấ ẫ

110 mã code.

ộ ạ • 96% các malware đ c h i là các Conflicker.B và

Conflicker.C Bot.

• Các b ng ch ng tĩnh sau đó đã đ

ứ ượ ử ụ ạ c biên so n và s d ng

ộ ằ ể ạ đ ch y m t ph ng trên m t máy an toàn.

ứ

ứ ế ế

ự ủ ứ ỏ ộ ạ ể • Các Pháp ch ng viên có th sao chép l i nghiên c u này ứ ể ệ ả và so sánh k t qu trong vi c phát tri n ki n th c trong ề lĩnh v c này c a đi u tra pháp ch ng.

ử ụ

Phân tích IRC BOT khi s d ng CWSandbox

ử ụ

Phân tích IRC BOT khi s d ng CWSandbox

ợ ằ ự

ạ ạ ộ ậ • Trong t.h p này, b ng cách t o ra m t t p tin th c thi c a ư ụ ố ủ ủ i th m c g c c a Windows. Và

ạ ạ ờ

ộ ệ ẫ ng d n dòng l nh.

ụ

C: \> cmd / c net stop "SharedAccess“

ế ố

ủ

ệ ế ộ

C: \> a.bat

ắ ắ

ề

ệ

ố

• Vô hi u hóa k t n i Internet • T t ch đ an toàn c a máy tính ầ t virus • T tcác gói ph n m m di ổ • Cu i cùng ti n hành thay đ i các

C: \> cmd / c net stop "Security Center"

ằ

ị

C: \> cmd / c net start "SharedAccess“

ệ

ế giá tr trong Registry b ng regestry.exe mà máy tính ng ượ dùng không phát hi n ra đ

i ườ c

ướ ệ ẫ Windows có tên a.bat t sau đó, có hành đ ng đáng ng là ch y hàng lo t các ướ h v Ví d , các Process # 2 (ID: 24), Process # 3 (ID: 1572), Quy trình # 5 (ID: 816), và quá trình # 6 (ID: 1964) th c ự hi n các h ng d n sau đây:

ự

ễ

ộ

N i dung th c thi trên máy nhi m

ổ ở

ị

ị Các giá tr registry b thay đ i b i botnet

Malware và Network forensics

ậ

ỹ

ẫ

ụ

• Các k thu t lây nhi m cũ n u v n còn tác d ng thì

ậ

ỹ

ễ ặ

ệ

ế t là các k thu t nontarget

c s d ng, đ c bi

ẫ ượ ử ụ v n đ và less skillful.

ể ễ ị ạ ậ

ớ ự • Các công c Forensic có th d b ‘l c h u’ so v i s

ứ

ắ

ạ ỏ ữ ả

ộ

ầ ể ủ ng hành đ ng c a Malware đ

ắ ướ ượ ệ ố

ắ ự

ệ

ế

ổ

ọ

• Và nh s phát tri n sinh h c, Malware luôn bi n đ i

c đ t công vi c. ể ổ ể

ể ự ế

ợ

ụ ể ủ phát tri n c a Malware • Pháp ch ng viên ph i c n g t b nh ng suy nghĩ c ng ả ầ ứ ạ ệ nh c khi làm công vi c này, c n ph i suy nghĩ sáng t o, ướ n m b t tr c các h th c hi n t ư ự và có th t

bi n đ i đ phù h p và thích nghi.

ể ủ

Phát tri n c a Malware và Network forensics

• V i h n 2 th p k quan sát s phát tri n c a Malware, ta

ể ủ ậ ỷ

ươ ằ ẫ ẽ ng lai Malware v n s

ự ị ẳ có th kh ng đ nh r ng trong t ể ti p t c phát tri n. ề ố ả ế ụ

• Nh truy n th ng, các Malware v n c n ph i ti p t c lây ớ ầ c v i

ớ ơ ể ế ụ ư ễ ẫ ầ ả ế ượ ớ

ươ

ệ ố ể

c thi ể

nhi m lên các h th ng m i, c n ph i giao ti p đ các Server đi u khi n • Trong t ươ ứ

ề t k nhi u ph ụ ụ ườ

ề ữ ệ

ề ng lai Malware có th đ ế ế

ể ượ ề ư th c giao ti p khác nhau có nhi u u đi m h n ph c v cho quá ươ trình giao ti p, truy n d li u và t c phát tri n h ế ị

ế ụ • Các công c Forensic đ t

ế ế ơ ớ ng tác v i con ng ể ướ ế ng đ n các thi ộ t b di đ ng đang ngày càng

ố ượ ộ ượ ng thi

ị b di đ ng khi s l tăng nhanh.

ề

ồ

ố

ừ

Đi u tra ngu n g c Malware t

Website

ộ

ể

• Mã đ c có th phát tán t

ề

ể

ẻ ấ ạ ợ ụ

ắ i l

ể ư

ổ

ị ợ ừ Website h p pháp đã b ấ hacker t n công và n m quy n ki m soát, thay vì ạ i d ng chúng gieo Malware. phá ho i, k x u l ồ • Hacker thay đ i mã ngu n đ đ a và các object là

các Malware.

ườ

ẽ

• Ng

i dùng khi truy c p Website s download các

ề

ậ ủ

Malware v máy tính c a mình.

ụ

ừ

Ví d : Malware t

ủ website c a yahoo

ở ế

ớ

ị

ữ

ả ề ề i v ph n m m và

ể ướ ượ

ụ Công c phân tích Website Fiddler ộ ể ượ c phát tri n b i Microsoft trong cu c chi n • Fiddler đ ế ạ ả ừ ố các website v i th m nh là kh ch ng thông tin rác t ụ ị năng phân tích Web. Fiddler là công c xác đ nh v trí và ấ ả ư ượ ữ ả ư ử ỗ i Proxy HTTP, l u tr b n ghi t t c l u l s a l HTTP gi a máy tính và Internet • T t c các trang web truy c p, t ng đ

ấ ả chuy n h

ầ ậ ộ ả i trong m t b n ghi phiên. ấ

i thích và l y thông tin trong ứ ể ề

ữ ự ệ

ệ ệ ể ệ ạ c ghi l ụ ể ả • Fiddler có các công c đ gi nhi u cách khác nhau. Pháp ch ng viên có th dùng Fiddler tìm xem các trang web nào th c hi n nh ng công vi c gì và có th phát hi n vi c cài malware…

Bài giảng Pháp chứng kỹ thuật số: Bài 8 - TS. Đàm Hồng Hải

Ậ Ố

Ứ

Ỹ

PHÁP CH NG K THU T S

ộ

i ph m trên Internet ­ Pháp

ứ

ạ ề Bài 8: Đi u tra t ố ch ng s trên Internet

ả

ồ

ả Gi ng viên: TS. Đàm Quang H ng H i

ạ

ệ ộ ạ T i ph m trên Internet ­ tôi ph m công ngh cao• Đi m khác bi ệ ề

ấ

ườ

T n công vào máy ng

i dùng

ủ ộ

ệ

ạ

Hành vi c a t

i ph m công ngh cao

ề

ạ ổ ể

ệ ủ ộ i ph m công ngh cao khác nhi u • Hành vi c a t ạ ư ấ ớ ộ i ph m c đi n, nh : t n công trái phép ể ấ

ậ

ữ

so v i t ữ vào website đ l y đi nh ng thông tin bí m t, thay ả vào đó nh ng thông tin gi

ạ

ể

ạ ấ ắ

ộ ằ

ụ

ệ ả ẻ th tín d ng, l y c p tài kho n

ộ

ế

t ph i có hi u bi

ớ ộ i cũng khác v i t ể ả ệ ượ

ự

ạ i ph m ế ề t v công c hành vi

ộ

b ng virút, làm gi cá nhân… ố ượ ạ • Đ i t ng ph m t ề ấ ố truy n th ng, nh t thi ớ ệ ngh thông tin thì m i th c hi n đ ạ ph m t

i.

ệ

L a đ o Công ngh cao • Đ i t

ừ ả ố ượ ỹ ồ

ỗ ổ

ệ

ạ

ộ

T i ph m công ngh cao và L h ng

ỗ ổ

ầ ẹ

ế ạ ự ầ

ề

ẻ ấ ặ ả ề

ằ

ị

ạ ộ ạ

ệ ố

ườ

ế

ế ớ

ộ

ệ ố ạ ề ế t. ị

ở ự i đã b rúng đ ng b i s hoành hành c a

ắ

ậ ủ

ệ

ủ ữ Flame và Duqu, nh ng virus đánh c p thông tin ệ ố m t c a các h th ng đi n toán

ỗ ổ

L h ng Zero Day

ấ

ỗ ổ

T n công vào các l

ậ ả h ng b o m t

ệ

ỗ ổ

ậ ượ

i ph m trên Internet Pháp

ệ ộ ạ T i ph m trên Internet tôi ph m công ngh cao• Đi m khác bi ệ ề

Ví d : t n công Java Zeroday CVE20131493