BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH Thu thập phân tích chứng từ nhật ký Server Người hướng dẫn Thầy Nguyễn Mạnh Thắng Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU DANH MỤC TỪ VIẾT TẮT LỜI MỞ ĐẦU CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ LOG SERVER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm 1.1.2 Đặc điểm chứng điện tử 1.1.3 Các thuộc tính chứng điện tử 10 1.2 Tổng quan Server 10 1.2.1 Khái niệm 10 1.2.2 Phân loại 11 1.2.3 Vấn đề bảo mật Server 12 1.3 Tổng quan Log Server 13 1.3.1 File log server 13 1.3.2 Mục đích việc thu thập phân tích log 16 1.3.3 Vai trò File log server 16 1.3.4 Phân tích file log bảo mật server 17 1.4 Kết luận chương 17 CHƯƠNG II THU THẬP VÀ PHÂN TÍCH NHẬT KÝ SERVER 18 2.1 Windows Log File 18 2.1.1 Event Log 18 2.1.2 Firewall Log 22 2.2 Linux Log File 23 2.3 Application Server Log File 26 2.3.1 Web Server log file 26 2.3.2 Database Server log file 29 2.3.3 Mail Server log file 32 2.4 Một số công cụ thu thập log phổ biến 36 2.4.1 Splunk 36 2.4.2 Syslog-ng 42 2.4 Kết luận chương 43 CHƯƠNG III: TRIỂN KHAI THỰC NGHIỆM 44 3.1 Mô tả thực nghiệm 44 3.1.1 Xây dựng mơ hình 44 3.1.2 Quy trình thực 44 3.2 Tiến hành thực nghiệm 45 3.2.1 Cài đặt Splunk 45 3.2.2 Cài đặt Xampp, DVWA Splunk Forwarder 50 3.2.3 Tiến hành cơng, thu phân tích log 54 3.3 Kết luận chương 66 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 BẢNG PHÂN CÔNG CÔNG VIỆC 69 DANH MỤC HÌNH ẢNH Hình 2.1 Giao diện lựa chọn đặt cảnh báo Splunk 39 Hình 2.2 Khắc phục cố Splunk 40 Hình 2.3 Biểu đồ dựa kết câu lệnh tìm kiếm 40 Hình 2.4 Lưu thông tin vào Dashboard 41 Hình 3.1 Mơ hình triển khai thu thập phân tích log từ server 44 Hình 3.2 Tạo user group cho Splunk 45 Hình 3.3 Giải nén Splunk package 45 Hình 3.4 liệt kê nội dung thư mục 46 Hình 3.5 Quá trình cài đặt Splunk 46 Hình 3.6 Giao diện đăng nhập vào splunk 47 Hình 3.7 Giao diện qủan trị Splunk 47 Hình 3.8 Thêm liệu vào splunk 48 Hình 3.9 Giao diện lựa chọn thêm liệu 48 Hình 3.10 Giao diện lựa chọn nguồn liệu đầu vào 49 Hình 3.11 Giao diện cà đặt Xampp 50 Hình 3.12 Khởi động apache MySQL 50 Hình 3.13 Giao diện đăng nhập vào trang quản trị DVWA 51 Hình 3.14 Giao diện DVWA 51 Hình 3.15 Cài đặt Splunk Forwarder 52 Hình 3.16 Giao diện nhập IP cổng máy chủ Splunk 52 Hình 3.17 Giao diện mở cổng 9997 53 Hình 3.18 Lựa chọn thu thập log 53 Hình 3.19 Mở cổng Burp Suite 54 Hình 3.20 Lựa chọn options proxy 54 Hình 3.21 Vulnerability SQL injection 55 Hình 3.22 Giao diện Burp Suite thu lại 55 Hình 3.23 Khởi chạy sqlmap 56 Hình 3.24 Lựa chọn CSDL DVWA 57 Hình 3.25 Dữ liệu thu sau công SQL Injection 57 Hình 3.26 Giao diện thiết lập tùy chọn thu log 58 Hình 3.27 Source Splunk Forwarder 58 Hình 3.28 Các log ghi lại 59 Hình 3.29 Thơng tin Field 59 Hình 3.30 thơng tin Field 60 Hình 3.31 Bảng uri_query 60 Hình 3.32 Bảng uri_path 61 Hình 3.33 Bảng submit 61 Hình 3.34 Bảng date_wday 62 Hình 3.35 Bảng danh sách ip attack 62 Hình 3.36 Kết sau thực scan 63 Hình 3.37 Tấn cơng dị qt mật xác thực SSH 63 Hình 3.38 Kết sau lọc 64 Hình 3.39 Các trường thuộc tính chi tiết kết nối cụ thể 65 Hình 3.40 Kiểm kết nối 66 DANH MỤC BẢNG BIỂU Bảng 2.1 Cấu trúc trường log 19 Bảng 2.2 Event ID liên quan đến quản lý tài khoản 20 Bảng 2.3 Event Scheduled Task 20 Bảng 2.4 Event dịch vụ 20 Bảng 2.5 Event LAN, Wireless 21 Bảng 2.6 Event ID liên quan đến tiến trình 21 Bảng 2.7 Event ID thực thi chương trình 21 DANH MỤC TỪ VIẾT TẮT USB Universal Serial Bus DNS Domain Name System CPU Central Processing Unit RAM Random Access Memory FTP File Transfer Protocol DHCP Dynamic Host Configuration Protocol ERP Enterprise Resource Planning CRM Customer Relationship Management CLF Common Log Format IIS Internet Information Services HTTP Hyper Text Transfer Protocol CEF Common Event Format SSIS SQL Server IntegrationServices SSH Secure Socket Shell ETL Extract Transform Load SMTP Simple Mail Transfer Protocol POP3 Post Office Protocol Version IMAP Internet Message Access Protocol TCP Transmisson Control Protocol SSO Single Sign On UDP User Datagram Protocol SAN Storage Aera Networking LỜI MỞ ĐẦU Ngày nay, công nghệ thông tin chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học công nghệ nói chung cơng nghệ thơng tin nói riêng đem lại nhiều lợi ích cho người Bên cạnh đó, tổ chức phải đối mặt với nhiều thách thức, mà công nghệ phát triển, giá trị thông tin truyền tải lưu trữ hệ thống máy tính ngày cao Bài tốn an tồn thơng tin ln vấn đề cần trọng kỹ thuật công ngày tinh vi song song với việc đảm bảo hệ thống vận hành an tồn, u cầu ứng phó giải có cố xảy để đưa hệ thống vào tình trạng hoạt động bình thường thời gian nhanh vấn đề trọng tâm File log server cung cấp cho quản trị viên tồn thơng tin hoạt động server, hỗ trợ giải rắc rối mà server gặp phải miễn họ biết phân tích ứng dụng thông tin nhận vào khắc phục Tác dụng log vơ to lớn, giúp quản trị viên theo dõi hệ thống tôt hơn, giải vấn đề gặp phải với hệ thống service Việc áp dụng phân tích liệu log vào bảo mật server lĩnh vực rộng lớn khó để làm chi tiết khuôn khổ đề tài này, nhóm chúng em tập trung vào tìm hiểu số kỹ thuật thu thập phân tích thống tin an ninh mạng lấy từ nhật ký Server triển khai hướng giải Bản báo cáo có phần: Chương I: Tổng quan chứng điện tử Log Server Chương giới thiệu số nội dung tổng quan chứng điện tử, log server; tầm quan trọng file log việc ứng dụng file log bảo mật server Chương II: Thu thập phân tích Log Server: Chương sâu vào tìm kỹ thuật số công cụ phổ biến sử dụng để thu thập phân tích nhật ký loại Server Chương III: Thực nghiệm: Chương áp dụng quy trình kỹ thuật phần để tiến hành điều tra thu thập, phân tích chứng từ nhật ký Server CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ LOG SERVER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm Chứng điện tử hiểu chứng thu từ liệu có tạo thiết bị mà chức phụ thuộc vào chương trình phần mềm từ liệu lưu trữ truyền tải qua hệ thống máy tính mạng truyền thơng Có thể nói cách khái quát, chứng điện tử tất thông tin, liệu thu thập từ thiết bị điện tử máy tính thiết bị lưu trữ thông tin, liệu hay thông tin liệu từ mạng máy tính, điện thoại di động, máy ảnh kỹ thuật số,… từ internet 1.1.2 Đặc điểm chứng điện tử Ngoài đặc điểm chứng truyền thống, chứng điện tử có số đặc điểm riêng: Khơng thể nhìn thấy mắt thường: Chứng điện tử tìm thơng qua lệnh, đơi chúng tìm thấy nơi mà chun gia tìm kiếm nơi tiếp cận công cụ đặc biệt Dễ bị ẩn hay biến mất: Một số thiết bị số điều kiện định nhớ máy tính (dữ liệu chứa chứng cứ) bị đè (hoặc thay đổi) chức hoạt động thông thường thiết bị Điều dừng đột ngột hệ thống hay cài đặt thông tin đè lên thông tin cũ thiếu dung lượng nhớ hay yếu tố mơi trường nhiệt độ cao, làm hỏng nhớ lưu trữ Có thể bị thay đổi bị phá hủy: Trong trình sử dụng thông thường, thiết bị điện tử thay đổi trạng thái nhớ chúng theo yêu cầu người sử dụng trình cập nhật liệu hay lưu thay đổi hay trình cập nhật tự động liệu hệ điều hành, thiết bị Tính ngun bản: Dữ liệu điện tử chép vô thời hạn với giống hệt gốc Tức là, xem chứng mang đầy đủ đặc tính nguyên gốc 1.1.3 Các thuộc tính chứng điện tử Tính khách quan: Chứng có thật, tồn khách quan, có nguồn gốc rõ ràng, không bị làm cho sai lệch, biến dạng, tìm thấy lưu máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang, email, website, điện toán đám mây, account, nickname đối tượng, server nhà cung cấp dịch vụ Internet,… Tính liên quan: Chứng thu có liên quan đến hành vi phạm tội, sử dụng để xác định tình tiết vụ án Tính liên quan thể ngun lý, cơng nghệ hình thành dấu vết điện tử, thông tin không gian, thời gian hình thành liệu (logfile, IP, siêu liệu, hàm hash), địa lưu trữ, nội dung liệu chứa thông tin đối tượng, hành vi phạm tội, nơi hoạt động đối tượng, cookies truy cập, nguồn gốc nội dung email, chat, tin nhắn, công nghệ tốn thẻ, nạn nhân, thiệt hại,… Tính hợp pháp: Chứng phải thu thập luật, trình khám xét, thu giữ vật chứng, sử dụng cơng nghệ (thiết bị phần cứng phần mềm) quan pháp luật công nhận, để lưu liệu, bảo quản, phục hồi, phân tích, tìm kiếm giám định liệu làm chứng Cơ quan điều tra phải thu thập theo thủ tục tố tụng hình sự: Máy tính, máy điện thoại, email, USB, đĩa CD/DVD, liệu thu từ máy chủ, chặn bắt đường truyền,…phải ghi vào biên bản, niêm phong theo quy định, không bị tác động làm thay đổi liệu kể từ thu giữ hợp pháp can thiệp để thay đổi Chuyên gia phục hồi liệu sử dụng công nghệ phần mềm phục hồi liệu, thiết bị chống ghi (Read Only – đọc) chép liệu sử dụng để phục hồi, phân tích, tìm kiếm liệu, chuyển thành dạng đọc được, nghe được, nhìn thấy 1.2 Tổng quan Server 1.2.1 Khái niệm Server (máy chủ) hiểu theo ba nghĩa sau đây: ● Là thiết bị cấu hình IP tĩnh, có khả kết nối với internet, có khả xử lý cao khả lưu trữ lớn Ở phần mềm cài 10 Ở mục User ID ta chọn giá trị 2, thực submit, hình trả kết truy xuất từ database với giá trị vừa nhập Câu truy vấn sql: SELECT first_name, last_name FROM users WHERE user_id = '2'; Hình 3.21 Vulnerability SQL injection Copy lại đoạn mã /dvwa/vulnerabilities/sqli/?id=3&Submit=Submit Hình 3.22 Giao diện Burp Suite thu lại Lấy cookie: cookie="security=low; PHPSESSID=bul8jj4g182i1adq5rl43hukfp 55 SQLMAP công cụ khai thác lỗ hổng sở liệu SQL Nó xem cơng cụ khai thác SQL tốt Khởi động : Sqlmap [-u url mục tiêu] [tùy chọn] Ta có câu lệnh khởi chạy sqlmap: sqlmap -u 'http://192.168.1.139/dvwa/vulnerabilities/sqli/?id=2&Submit=Sub mit' cookie="security=low; PHPSESSID=bul8jj4g182i1adq5rl43hukfp" –dbs Hình 3.23 Khởi chạy sqlmap Trong đó:  dbs option để liệt kê sở liệu website  sqlmap [-u url mục tiêu] [tùy chọn] danh sách đầy đủ options 56 Chọn link dẫn với địa ip cookie để truy vấn liệu: sqlmap -u 'http://192.168.1.139/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit' -cookie="security=low; PHPSESSID=bul8jj4g182i1adq5rl43hukfp" -D dvwa -dump-all Hình 3.24 Lựa chọn CSDL DVWA Option –D tên sở liệu , dump sở liệu MySQL SQLMap phát đưa thông tin lỗ hổng mục tiêu Sau cơng vào tồn liệu MySQL bao gồm: username, password Hình 3.25 Dữ liệu thu sau cơng SQL Injection 57 Lựa chọn host KTMM máy web server apache Chọn câu lệnh index=”main” để lấy tất log mà chuyển từ Splunk Forwarder sang Hình 3.26 Giao diện thiết lập tùy chọn thu log Đây nguồn mà Setting Splunk Forwarder chuyển sang Chọn C:\\xampp\apache\logs\access.log Ghi lại log apache tỷ lệ phần trăm log lưu lại Splunk Hình 3.27 Source Splunk Forwarder 58 Các log ghi lại: Hình 3.28 Các log ghi lại ● Địa ip máy attack :192.168.1.135 ● Ngày tháng 11/12/2021 11:50:43 ● Loại cơng SQL Injection có id =2 câu lệnh truy vấn ● Sử dụng type sqlmap Thơng tin Field: Hình 3.29 Thơng tin Field 59  Bao gồm submit sau nhập id; Byte 53  Ip client 192.168.1.135 máy attack  Trường id nhập vào Hình 3.30 thông tin Field  Uri_query câu lệnh truy vấn  Uri_path đường dẫn  Useragent Sqlmap/1.5.8  Time 11:50 Bảng uri_query: Hình 3.31 Bảng uri_query 60  Top 10 value uri_query câu lệnh truy vấn top v = 5.1.1 count 95 2.414  Top id = tổng số lần 0.203% Bảng uri_path: Hình 3.32 Bảng uri_path  Đường dẫn /dvwa/vulnerabilities/sqli/ với count 3,800 82.771%  phpmyadmin count 28 0.61 % dvwa login count 52 Bảng submit: Hình 3.33 Bảng submit  Trường submit count 226 lần 5.9 %  Trường id = count 61 Bảng date_wday: Đây bảng thống kê theo ngày công với Saturday ngày nhiều với giá trị đếm count 4,267 chiểm 92.922% Hình 3.34 Bảng date_wday Bảng danh sách ip attack: Hình 3.35 Bảng danh sách ip attack Splunk thống kê:  IP 192.168.1.135 giá trị count đếm bàng 4,042 chiếm 88.023 %  IP 127.0.0.1 với giá trị count đếm bàng 479 chiếm 10,431%  IP 192.168.1.1 count 71 chiếm 1.546% 62 Kịch : Tấn công Brute Force DVWA Tấn công Đầu tiên, sử dụng công cụ Nmap để quét cổng, thông tin hệ điều hành Server với cú pháp: nmap -O 192.168.1.5 Trong :  -O cho phép quét hệ điều hành  192.168.1.5 : địa cần quét Hình 3.36 Kết sau thực scan Các port 22, 80, 443, 9998 tương ứng với dịch vụ SSH, HTTP, HTTPS trạng thái open (mở), port 8000 closed hệ điều hành cài đặt Linux Khi biết dịch vụ SSH mở, sử dụng công cụ Medusa Kali Linux để thực công với câu lệnh : medusa -h 192.168.1.5 -u root -P /root/password.txt -M ssh Hình 3.37 Tấn cơng dị qt mật xác thực SSH 63 Trong :  -h 192.168.1.5 : địa đích  -u root : tên user cần lấy mật  -P /root/password.txt : file từ điển mật lưu Kết thu mật tài khoản root : Phân tích log Sử dụng câu lệnh search host=”Web server” source=/var/log/secure fail* ssh để lọc hành vi đăng nhập thất bại vào dịch vụ SSH Trong đó:  host=”Web server” : Tên host giám sát  source=/var/log/secure : Dữ liệu lấy từ file log từ /var/log/secure Server  fail* ssh : từ khóa để tìm kiếm xác hơn: ssh: xác định kết nối đến dịch vụ SSH; fail* xác định kết nối thất bại, sử dụng ký tự * giá trị trường fail* để khớp với định dạng khác kết nối failed, failure, fail,… Kết sau lọc: Hình 3.38 Kết sau lọc 64 Sau lọc, ta có kết nối xác thực thất bại (authentication failure) đến dịch vụ SSH Server, kèm theo trường thuộc tính khác như: rhost (địa IP remote host ), tty, user,time,… Hình 3.39 Các trường thuộc tính chi tiết kết nối cụ thể Tiếp tục lọc địa IP có lượng xác thực thất bại liên tiếp đến dịch vụ SSH lớn câu lệnh Search: host="Web Server" source="/var/log/secure" fail* ssh | stats count by rhost | search count>50 Trong :  stats count by rhost : thực đếm tổng IP Remote host  search count>50 : tìm kiếm IP có tổng kết nối lớn 50 Sau lọc phát địa IP thỏa mãn : 192.168.1.6 65 Thực kiểm tra lại kết nối đến từ IP ta thấy yêu cầu xác thực thất bại liên tiếp nhiều lần Hình 3.40 Kiểm kết nối Tìm kiếm user bị dị qt mật rhost: 192.168.1.6 với câu lệnh search: host="Web Server" source="/var/log/secure" fail* ssh "rhost=192.168.1.6"| stats count by user Đếm user xác thực thất bại từ rhost=192.168.1.6 Kết tìm user root : Kết luận, host có địa IP 192.168.1.6 thực dò quét mật xác thực tài khoản root đến dịch vụ SSH Server Ngăn chặn Tại Server truy cập chỉnh sửa file sshd_config từ đường dẫn /etc/ssh Thiết lập số lần nhập mật tối đa vượt tự ngắt kết nối ,thay đổi với trường thuộc tính MaxAuthTries số lần nhập sai mật tối đa lần 3.3 Kết luận chương Trong chương nhóm hồn thành mục tiêu đề ra, triển khai thực nghiệm 66 KẾT LUẬN Kết đạt Qua trình tìm hiểu, nghiên cứu tham khảo nguồn tài liệu, nhóm hồn thành đề tài thời gian quy định đạt số kết sau: Hiểu khía cạnh việc phân tích log Biết cách sử dụng công cụ Splunk dạng công Nghiên cứu cho phép theo dõi hành vi nguy hại cách dựa việc phân tích log với cơng cụ Splunk Hạn chế Bên cạnh kết đạt được, số hạn chế việc chưa nắm rõ hết ngôn ngữ searching Splunk Search Processing Language (SPL) Bên cạnh kết báo cáo cơng cụ chưa tối ưu, khó nhìn, liệu dư thừa cịn nhiều thơng tin quan chưa khai thác hết Bài nghiên cứu lấy liệu log từ server mà Splunk cài đặt, chưa thực thu thập quản lý log tập chung Chưa thực phân tích log từ máy chủ Windows 67 TÀI LIỆU THAM KHẢO [1] https://anninhmang.net/bao-mat/thuc-hanh-tan-cong-sql-injection-tren-dvwa/ [2].https://docs.splunk.com/Documentation/Splunk/7.3.0/SearchTutorial/Welcomet otheSearchTutorial [3] https://thudinh.blogspot.com/2017/10/dvwa-sql-injection-low-level.html [4] OWASP ModSecurity Core Rule Set (CRS) Project (Official Repository) Open Source: https://github.com/SpiderLabs/owasp-modsecurity-crs 68 BẢNG PHÂN CÔNG CÔNG VIỆC Phạm Văn Đạt Chương 3, thực demo Phạm Văn Hạnh Chương 3, thực demo Phạm Văn Lăng Chương 1, làm slide Nguyễn Thị Linh Chương 2, làm word Nguyễn Thị Lan Chương 2, làm word 69 ... file log từ thấy tầm quan trọng việc phân tích file log bảo mật server Chương tìm hiểu sâu cách thức thu thập phân tích log số loại server 17 CHƯƠNG II THU THẬP VÀ PHÂN TÍCH NHẬT KÝ SERVER 2.1... trình kỹ thu? ??t phần để tiến hành điều tra thu thập, phân tích chứng từ nhật ký Server CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ LOG SERVER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm Chứng điện... ứng dụng file log bảo mật server Chương II: Thu thập phân tích Log Server: Chương sâu vào tìm kỹ thu? ??t số công cụ phổ biến sử dụng để thu thập phân tích nhật ký loại Server Chương III: Thực nghiệm: