1. Trang chủ
  2. Giáo Dục - Đào Tạo

Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính

44 1 0
Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Tìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tínhTìm hiểu một số kỹ thuật thu thập và phân tích thông tin an ninh mạng từ bộ nhớ máy tính

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - BÁO CÁO Đề tài: Tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính Lớp: L01 Sinh viên thực hiện: Nguyễn Thị Ninh - AT140229 Phạm Thị Lưu Ly - AT140222 Hoàng Thị Lan - AT140220 Nguyễn Văn Tuấn - AT140450 Giảng viên: Nguyễn Thị Hồng Hà Hà Nội, 5/2021 LỜI MỞ ĐẦU Ngày nay, công nghệ thông tin chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học cơng nghệ nói chung cơng nghệ thơng tin nói riêng đem lại nhiều lợi ích cho người, rút ngắn khoảng cách giao tiếp, tiết kiệm thời gian chi phí cơng việc Bên cạnh đó, tổ chức phải đối mặt với nhiều thách thức, mà công nghệ phát triển, giá trị thông tin truyền tải lưu trữ hệ thống máy tính ngày cao, mục tiêu cơng nhằm vào máy tính để đánh cắp thơng tin quan trọng, làm ảnh hưởng đến uy tín tổ chức Bài tốn an tồn thơng tin ln vấn đề cần trọng kỹ thuật công ngày tinh vi song song với việc đảm bảo an toàn hệ thống vận hành an toàn, u cầu ứng phó giải có cố xảy để đưa hệ thống vào tình trạng hoạt động bình thường thời gian nhanh ln vấn đề trọng tâm Vì vậy, nhóm em lựa chọn đề tài “Tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính” để tìm hiểu số kỹ thuật thu thập phân tích thống tin an ninh mạng lấy từ nhớ máy tính triển khai hướng giải Bài báo cáo bao gồm phần: Chương I: Tổng quan thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính: giới thiệu tổng quan điều tra số, vai trò, ứng dụng quy trình thu thập phân tích nhớ máy tính Chương II: Một số kỹ thuật cơng cụ thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính: giới thiệu kỹ thuật số công cụ phổ biến sử dụng để thu thập phân tích thơng tin an ninh từ nhớ máy tính Chương III: Triển khai mơ hình thu thập phân tích thơng tin an ninh từ nhớ máy tính Chương áp dụng quy trình kỹ thuật phần để tiến hành điều tra thu thập, phân tích thơng tin từ nhớ máy tính Mặc dù cố gắng kiến thức Page thời gian nhiều hạn chế nên chắn đề tài khơng khỏi có thiếu sót, chúng em mong nhận ý kiến đóng góp thầy bạn sinh viên để chúng em tìm hiểu sâu đề tài Chúng em xin chân thành cảm ơn! Page MỤC LỤC LỜI MỞ ĐẦU DANH MỤC HÌNH ẢNH .5 CHƯƠNG I – TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH .7 1.1 Giới thiệu điều tra số 1.2 Giới thiệu phân tích điều tra nhớ máy tính 1.3 Giới thiệu thu thập nhớ máy tính .9 1.4 Vai trò ứng dụng thu thập phân tích nhớ máy tính 10 1.5 Quy trình thu thập phân tích thơng tin từ nhớ máy tính 10 1.5.1 Kiểm tra xác minh 11 1.5.2 Mô tả hệ thống 12 1.5.3 Thu thập chứng 12 1.5.4 Thiết lập mốc thời gian phân tích 12 1.5.5 Phân tích phương tiện truyền liệu .13 1.5.6 Khôi phục liệu .13 1.5.7 Tìm kiếm chuỗi 13 1.5.8 Lập báo cáo 14 CHƯƠNG II – MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 15 2.1 Các kỹ thuật sử dụng thu thập phân tích thơng tin từ nhớ máy tính 15 2.1.1 Thu lại nhớ khả biến 15 2.1.2 Xác định nơi tìm nhớ khả biến 16 2.1.3 Liệt kê tiến trình thực thi 16 2.1.4 Liệt kê kết nối mạng có hệ thống .16 2.1.5 Phục hồi tập tin ánh xạ nhớ 17 2.1.6 Phân tích ngược tập tin chứa mã độc .17 Page 2.1.7 2.2 Phân tích registry .18 Một số công cụ 19 2.2.1 Volatility 19 2.2.2 DFF - Digital Forensic Framework 20 2.2.3 The Sleuth Kit Autospy .21 2.2.4 SANS Investigate Forensic Toolkit (SIFT) .22 3.1 Xây dựng toán .24 3.2 Lựa chọn công nghệ 24 3.2.1 Quy trình thực hiện: 24 3.2.2 Các cơng cụ sử dụng để thu thập, phân tích: 25 3.3 Thu thập chứng phân tích 25 3.3.1 Xác định hệ thống tiến hành kiểm tra, xác định môi trường thực phân tích 25 3.2.1 Phân tích tiến trình 26 3.2.2 Phân tích mạng .33 3.2.3 Phân tích Registry 34 3.2.4 Phân tích Kernel Memory Objects 37 3.3 Báo cáo kết đạt 40 KẾT LUẬN 42 TÀI LIỆU THAM KHẢO 43 Page DANH MỤC HÌNH ẢNH Hình 1.1: Sơ đồ quy trình điều tra nhớ .11 Hình 2.1: Kiểm tra kết nối mạng .17 Hình 2.2: Các plugins mà volatility hỗ trợ 19 Hình 2.3: Giao diện VolUtility 20 Hình 2.4: Giao diện DFF 21 Hình 2.5: Giao diện cơng cụ The Sleuth Kit 22 Hình 2.6: Giao diện SANS SIFT .23 Hình 3.1: Thông tin hệ thống cần điều tra .26 Hình 3.2: Module pslist Volatility 27 Hình 3.4:Các tiến trình nhớ .27 Hình 3.5: Khơng có tiến trình bị ẩn 28 Hình 3.6: Tiến trình cha/con 29 Hình 3.7: Module Prodump .30 Hình 3.8: Kết scan virustotal  executable.1640 30 Hình 3.9: Chi tiết executable.1640 31 Hình 3.10: Module sockets 31 Hình 3.11: Chi tiết cmdline .32 Hình 3.12: Module coonscan 33 Hình 3.13: Tham số tiến trình 33 Hình 3.14: Module sockets 34 Hình 3.15: Địa ảo vật lý Registry 35 Hình 3.16: In giá trị Registry 36 Hình 3.17: Dump liệu tài khoản registry 36 Hình 3.18: Danh sách trình điều khiển 37 Hình 3.19: Danh sách driver nạp 38 Hình 3.20:danh sách file object .39 Page Hình 3.20: đường dẫn cúa chương trình Reader_sl.exe 39 Hình 3.22: Liên kết Symlink 40 Page CHƯƠNG I – TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH 1.1 Giới thiệu điều tra số Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, cơng gây gián đoạn q trình làm việc hệ thống Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Một số loại hình điều tra số phổ biến: - Registry Forensics: Đây loại hình điều tra liên quan đến việc trích xuất thông tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Register - Disk Forensics: Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khơi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích Page - Mobile forensics: Là loại hình điều tra thực thiết bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập liệu, chứng kỹ thuật số - Application Forensics: Là loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng - Network Forensics: Là nhánh digital forensics liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thơng tin, kiện liên quan, tìm kiếm chứng pháp lý, mục đích phát bất thường, dấu hiệu xâm nhập môi trường mạng - Memory Forensics: Là phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ 1.2 Giới thiệu phân tích điều tra nhớ máy tính Memory Forensics kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Kỹ thuật điều tra sử dụng q trình phân tích tĩnh từ gói tin thu được, thông tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, cung cấp thơng tin có chưa đầy đủ, chưa đủ sức thuyết phục Như biết phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng điều tra hình Nhưng cụ thể kỹ thuật Page mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Tính hữu ích loại hình điều tra thực tế, thơng tin tìm thấy nhớ RAM, hiểu gần chạy hệ thống nạn nhân 1.3 Giới thiệu thu thập nhớ máy tính Sự thành cơng phân tích thường phụ thuộc vào khởi đầu giai đoạn thu thập điều tra Trong giai đoạn này, điều tra viên phải đưa định liệu cần thu thập phương pháp tốt để thu thập liệu Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp công cụ cụ thể sử dụng thường phụ thuộc vào mục tiêu điều tra đặc điểm hệ thống điều tra Một nhà điều tra kỹ thuật số tìm cách bảo vệ trạng thái mơi trường kỹ thuật số theo cách cho phép điều tra viên đạt suy luận xác thơng qua phân tích Dữ liệu lưu trữ đĩa RAM cung cấp hai thành phần quan trọng mơi trường đó.Quan điểm truyền thống điều tra số tập trung vào giả định độ tin cậy suy luận hoàn toàn phụ thuộc vào việc thu thập chứng mà không thay đổi trạng thái Ví dụ, thủ tục xử lý chứng thường chấp nhận liên quan đến việc tắt hệ thống tạo (ảnh) liệu thiết bị lưu trữ đĩa để phân tích ngoại tuyến Các quy trình thủ tục chuyển đổi tập trung vào việc giảm thiểu thay đổi file liệu hệ thống Khi lĩnh vực kỹ thuậtđiều tra số phát triển, trở nên rõ ràng với việc lưu trữ chọn lọc số chứng chi phí chứng quan trọng khác ảnh hưởng đến độ xác suy luận đưa Điều đặc biệt quan trọng tác nhân độc hại ln tìm cách khai thác hạn chế kỹ thuật thu thập chứng pháp y kỹ thuật số truyền thống Bằng cách so sánh liệu từ nhiều nguồn (đĩa, mạng, nhớ, v.v.) môi trường kỹ thuật số, hiểu rõ xảy hệ thống so với góc nhìn hạn chế tiếp nhận liệu từ nhớ đĩa Với nguồn Page Với module pstree, thị tiến trình cha/con Hình 3.6: Tiến trình cha/con Vậy ta có tiến trình cha tệp tin 0x81e7bda0 reader_sl.exe 0 2012-07-22 02:42:36 UTC+0000 Là 0x821dea70 explorer.exe 02:42:36 UTC+0000 1484 1464 17 1640 1484 415 39 2012-07-22 Đc chạy explorer.exe 0x821dea70:explorer.exe UTC+0000 0x81e7bda0:reader_sl.exe UTC+0000 1484 1464 1640 1484 17 415 2012-07-22 02:42:36 39 2012-07-22 02:42:36 Adobe\reader tạo kết nối mạng bên đáng ngờ Trích xuất tiến trình nghi ngờ, tiến hành dịch ngược để phân tích sâu tiến trình Sử dụng module prodump Volatility Page 29 Hình 3.7: Module Prodump Sau trích xuất tiến trình thành file thực thi, sử dụng cơng cụ virus total để xác minh chương trình có độc hại hay khơng Hình 3.8: Kết scan virustotal  executable.1640 Kết 30/69 engines nhận tiến trình executable.1640 mã độc (https://www.virustotal.com/gui/file/ 5b136147911b041f0126ce82dfd24c4e2c79553b65d3240ecea2dcab4452dcb5/ detection ) Page 30 Hình 3.9: Chi tiết executable.1640 MD5 : 12cf6583f5a9171a1d621ae02b4eb626 SHA-1 :61ed2778d7669d6835823369fd04278626303362 Ta cs thể thấy tất kết nối mở thời diểm ,kiểm tra kết nối tạo thời điểm thực thi sockets Hình 3.10: Module sockets Page 31 Để thu thập thông tin chi tiết ta vào cmdline Hình 3.11: Chi tiết cmdline explorer.exe pid: 1484 Command line : C:\WINDOWS\Explorer.EXE Sau tạo tệp EXE kết luận mã độc bị nhiễm Trojan Có thể nguyên nhân dẫn đến cpu máy chủ hoạt động mức 100% tải tệp độc hại Để phân tích rõ xác cách thức hoạt động chương trình này, cần phải sâu vào nội dung phân tích mã độc dịch ngược phần mềm Tuy nhiên, hai nội dung phân tích mã độc dịch ngược phần mềm nằm nội dung tập lớn Bài tập lớn tập trung đến kỹ thuật thu thập phân tích, điều tra số nhớ máy tính Page 32 3.2.2 Phân tích mạng Thơng tin kết nối mạng bao gồm cổng lắng nghe hệ thống, kết nối thiết lập thông tin liên kết hệ thống với kết nối từ xa, thơng tin lấy từ nhớ Các thông tin kết nối mạng cho ta biết backdoor kết nối hệ thống, máy chủ điều khiển botnet dựa vào kết nối Thơng tin kết nối mạng yếu tố quan trọng đáng tin cậy điều tra hệ thống bị thỏa hiệp Các phần mềm độc hại botnet cố gắng tạo kết nối bên Và quét mạng hiển thị hết tất kết nối connscan Hình 3.12: Module coonscan Và ta thấy tất hai kết nối mạng : 0x02087620 172.16.112.128:1038 41.168.5.140:8080 0x023a8008 172.16.112.128:1037 125.19.103.198:8080 1484 1484 Hình 3.13: Tham số tiến trình Chúng ta thấy bên tệp kết luận Reader_sl.exe gửi liệu từ người dùng đến 41.168.5.140 Sử dụng công cụ ip2location để tìm thơng tin địa ip, lấy thơng tin quan trọng là: Page 33 Hình 3.14: Module sockets -Máy chủ đặt Nam Phi 3.2.3 Phân tích Registry Các tập tin mở xử lý registry (registry handles) truy xuất tiến trình lưu trữ nhớ Thông tin tập tin mở hay xử lý liên quan đến Registry có giá trị việc điều tra Chúng ta hiểu này, giả sử có tiến trình phần mềm độc hại chạy hệ thống tập tin mở giúp người điều tra khám phá nơi mà mã độc hại Page 34 lưu trữ đĩa Trong trường hợp phân tích điều tra nhớ RAM với việc phân tích Registry thực việc tạo dựng lại liệu registry, ví dụ để hiển thị giá trị chứa trong Registry winlogon, sử dụng lệnh printkey volatility Để xác định địa ảo registry nhớ đường dẫn đầy đủ tương ứng đĩa, sử dụng module hivelist Hình 3.15: Địa ảo vật lý Registry Để hiển thị khóa con, giá trị, liệu kiểu liệu chứa khóa đăng ký định, sử dụng module printkey Page 35 Hình 3.16: In giá trị Registry Để trích xuất giải mã thơng tin đăng nhập lưu trữ registry, sử dụng module hashdump Hình 3.17: Dump liệu tài khoản registry Xem lại hoạt động người dùng cách sử dụng module userassist Page 36 3.2.4 Phân tích Kernel Memory Objects Để xem danh sách trình điều khiển kernel chạy hệ thống, sử dụng lệnh modules Hình 3.18: Danh sách trình điều khiển Để tìm DRIVER_OBJECT nhớ vật lý, sử dụng module driverscan: Page 37 Hình 3.19: Danh sách driver nạp Để tìm FILE_OBJECT nhớ vật lý, sử dụng lệnh filescan Page 38 Hình 3.20:danh sách file object Dựa vào thơng tin này, ta biết xác đường dẫn cúa chương trình Reader_sl.exe \Device\HarddiskVolume1\Program Files\Adobe\Reader 9.0\Reader\ reader_sl.exe Hình 3.20: đường dẫn cúa chương trình Reader_sl.exe Với module symlinkscan, Volatility quét đối tượng liên kết tượng trưng xuất thông tin chúng Page 39 Hình 3.22: Liên kết Symlink 3.3 Báo cáo kết đạt Thơng qua q trình phân tích nhớ máy chủ webserver công ty bên A, rút kết luận sau:  Một tiến trình Reader_sl.exe PID 1640 với Explorer ParentPID 1484  Một kết nối mở theo hướng 41.168.5.140:8080 PID 1484 sử dụng  41.168.5.140 tìm thấy kết xuất quy trình 1640- máy chủ đặt Nam Phi  1640 tệp thực thi phát Trojan độc hại Page 40 Biện pháp khắc phục: - Ngay cách ly máy chủ khỏi môi trường internet - Gỡ bỏ mã độc tồn hệ thống, cài đặt phần mềm anti-virus lên hệ thống - Xoá tài khoản kẻ cơng tạo Thay đổi lại tồn mật hệ thống - Rà sốt lại tồn mã nguồn, sở liệu website Rà soát lại toàn hệ thống máy chủ web Page 41 KẾT LUẬN Ngày nay, tình hình an tồn thơng tin giới diễn vô phức tạp quan tâm hết Vấn đề an ninh nhớ máy tính nhiều người quan tâm tìm hiểu, đưa giải pháp khác để đảm bảo an ninh cho nhớ máy tính Việc sử dụng kỹ thuật thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính giúp người quản lý thơng tin an ninh từ nhớ máy tính cách tốt hơn, sớm phát công vào nhớ máy tính Báo cáo đạt mục tiêu sau: - Nắm vấn đề thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Các kỹ thuật, quy trình thu thập, phân tích thơng tin an ninh mạng từ nhớ máy tính - Thực thu thập phân tích thơng tin an ninh mạng từ nhớ máy tính cơng cụ Volatility Tuy nhiên, trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hy vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao Page 42 TÀI LIỆU THAM KHẢO Kristine Amari- Techniques and Tools for Recovering and AnalyzingData from Volatile Memory - SANS Institute Reading Room site 2009 Roberto Obialero – Forensic Analysis of a Compromised Intranet Server – SANS Institute Reading Room site 2006 Michael Hale Ligh, Andrew Case, Jamie Levy, Aaron Walters – The Art of Memory Forensics: Dectecting Malware and Threats in Windows, Linux, and Mac Memory,1st Edition Page 43

Ngày đăng: 15/02/2023, 19:04

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan