L Ê TH Ị QU ỲNH HOA BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH: CÔNG NGHỆ THƠNG TIN KỸ THUẬT TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CÔNG APT LÊN HỆ THỐNG THÔNG TIN LÊ THỊ QUỲNH HOA KHÓA HÀ N ỘI - 2016 i BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ KỸ THUẬT TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CƠNG APT LÊN HỆ THỐNG THÔNG TIN LÊ THỊ QUỲNH HOA CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018 NGƯỜI HƯỚNG DẪN KHOA HỌC TS ĐỖ XUÂN CHỢ HÀ NỘI - 2016 ii LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Tác giả luận văn Lê Thị Quỳnh Hoa i LỜI CẢM ƠN Luận văn tốt nghiệp cao học hoàn thành Viện Đại học Mở Hà Nội Để hồn thành đề tài, tác giả xin bày tỏ lòng biết ơn chân thành sâu sắc tới Viện Đại học Mở Hà Nội, Khoa Sau đại học đặc biệt TS Đỗ Xuân Chợ trực tiếp hướng dẫn giúp đỡ tác giả với dẫn khoa học quý giá suốt trình thực hiện, nghiên cứu tạo điều kiện tốt để hồn thành đề tài Xin chân thành cảm ơn thầy cô giáo, nhà khoa học trực tiếp giảng dạy, truyền đạt kiến thức kinh nghiệm khoa học chuyên ngành công nghệ thông tin cho thân tác giả suốt thời gian học tập nghiên cứu Sau ngày tháng miệt mài nghiên cứu với tất nỗ lực thân với giúp đỡ đóng góp thầy, cơ, tác giả xây dựng hoàn thiện luận văn, nhiên khó tránh khỏi thiếu sót Tác giả mong nhận đóng góp, phê bình q thầy cô, nhà khoa học bạn công tác lĩnh vực để đề tài dần hoàn thiện Xin chân thành cảm ơn ! Hà Nội, ngày 10/05/2017 Tác giả luận văn Lê Thị Quỳnh Hoa ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ vi MỞ ĐẦU CHƯƠNG 1: TẤN CÔNG APT VÀ GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG APT 1.1 Giới thiệu công APT 1.2 Tổng quan công APT 1.2.1 Các đặc điểm cơng APT 1.2.2 Các giai đoạn công APT 1.2.3 Vòng đời cơng APT 1.3 Tấn công APT Việt Nam 10 1.4 Các phương pháp phòng chống cơng 16 1.4.1 Nguyên tắc xây dựng hệ thống phòng chống APT 17 1.4.2 Các phương pháp công nghệ phòng chống cơng APT 18 KẾT LUẬN CHƯƠNG 30 CHƯƠNG 2: 31 NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT 31 2.1 Tổng quan truy tìm chứng số 31 2.2 Một số kỹ thuật, phương pháp truy tìm chứng số cơng APT 33 2.2.1 Điều tra mạng (Network Forensics) 33 2.2.2 Điều tra nhớ 39 2.2.3 Một số phương pháp điều tra khác 49 KẾT LUẬN CHƯƠNG 50 CHƯƠNG 3: 51 MÔ PHỎNG VÀ THỬ NGHIỆM 51 iii 3.1 Thực nghiệm công APT 51 VMware Workstation 10 51 Kali Linux 51 3.1.1 Kịch công APT 52 3.1.2 Cách thức thực hiện: 53 3.2 Thực nghiệm truy tìm chứng số công APT 59 Mô điều tra công APT 59 KẾT LUẬN CHƯƠNG 70 KẾT LUẬN LUẬN VĂN 71 DANH MỤC TÀI LIỆU THAM KHẢO 72 iv DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt APT Advanced Persistent Threat Mối đe dọa liên tục nâng cao RSA Rivest Shamir Adleman Mã hóa khóa công khai HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn Hyper Text Transfer Protocol Trao đổi thông tin cách bảo mật Secure Internet Somple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản IPS Internet Protocols Bộ giao thức liên mạng SSL Secure Sockets Layer Tiêu chuẩn công nghệ bảo mật USB Universal Serial Bus Chuẩn kết nối đa dụng Information Technology Công nghệ thông tin HTTPS SMTP IT Chương trình cho phép điều khiển RAT Remote Administrator Tools FTP File Transfer Protocol Giao thức chuyển nhượng tập tin WAF Web Application Firewall Tường lửa ứng dụng web SQL Structured Query Language IP máy tính từ xa Ngơn ngữ truy vấn mang tính cấu trúc Internet Protocol Giao thức kết nối Internet DLP Data Leak Prevention Ngăn chặn rò rỉ liệu DNS Domain Name System Hệ thống tên miền NAC Network Access Control Điều khiển truy cập mạng URL Uniform Resource Locator Tham chiếu tài nguyên mạng Internet SIEM ISO RAM Security Information Event Managemet International Organization for Standardization Random Access Memory Giám sát an toàn mạng Tổ chức tiêu chuẩn hóa quốc tế Bộ nhớ truy cập ngẫu nhiên v DANH MỤC CÁC HÌNH VẼ Hình 1.2 Các đặc điểm cơng APT Hình 1.3 Các cơng cụ cho công APT Hình 1.4 Spear phishing email với nội dung có đính kèm malware Hình 1.5 Các giai đoạn cơng APT Error! Bookmark not defined Hình 1.6 Các loại file đính kèm thơng dụng email spear phishing Error! Bookmark not defined Hình 1.7 Liên kết đến trang web chứa mã độc Hình 1.8 Đính kèm tệp độc hại Hình 1.9 RSA spear phishing email Error! Bookmark not defined Hình 1.10 Kết scan tệp đính kèm .Error! Bookmark not defined Hình 1.11 Malware khởi tạo kết nối gửi từ nạn nhân đến máy chủ C and C Error! Bookmark not defined Hình 1.12 Vòng đời cơng APT Hình 1.13 Tấn cơng APT tài nguyên môi trường Error! Bookmark not defined Hình 1.14 Email đính kèm tệp độc hại quy trình cơng APT VCCcorp 12 Hình 1.15 Tấn cơng APT vào Bộ Công An Việt Nam 14 Hình 1.16 Liên kết đến trang web chứa mã độc quy trình cơng vào ngành Hàng Không Việt Nam 14 Hình 1.17 Quy trình cơng APT Việt Nam 15 Hình 1.18 Sự khác biệt APT, Bot Malwar Error! Bookmark not defined Hình 1.20 Mơ hình Web Gateway 26 Hình 1.21 Mơ hình Mail Gateway 26 Hình 1.22 Cấu trúc thành phần hệ thống ZombieZero 27 Hình 1.23 Cơ cấu tổ chức hệ thống ZombieZero chống lại APT Error! Bookmark not defined vi Hình 1.24 Giao diện giải pháp ZombieZero Personal chống công APT Error! Bookmark not defined Hình 2.1 Ba yếu tố trình điều tra chứng số 32 Hình 2.2 Bốn giai đoạn truy tìm chứng số 32 Hình 2.3 Mơ tả quy trình điều tra mạng 34 Hình 2.4 Mơ tả công cụ Wireshark 37 Hình 2.5 Mơ tả cơng cụ Snort 38 Hình 2.6 cơng cụ DumpIt ghi lại nhớ RAM 40 Hình 2.7 Các tiến trình thực thi nhớ 42 Hình 2.8 Các tập tin mở Registry Handles 43 Hình 2.9 Các kết nối mạng có hệ thống 43 Hình 2.10 Mật mã hóa 44 Hình 2.11 Phân tích mã độc Error! Bookmark not defined Hình 2.12 Cơng cụ Volatility 46 Hình 2.13 Cơng cụ Digital Forensics Framework 46 Hình 2.14 Cơng cụ Kit Autopsy 47 Hình 2.15 Cơng cụ Mandiant Redline: Mandiant Readline 48 Hình 2.16 Cơng cụ SANS SIFT 48 Hình 3.1 Hình minh họa giao diện metasploit 54 Hình 3.2 Sử dụng kiểm tra thông số module 54 Hình 3.3 Cài đặt cho tập tin chứa mã độc 55 Hình 3.4 Lắng nghe kết nối metasploit 55 Hình 3.5 Giả mạo email gửi cho nạn nhân 56 Hình 3.6 Kết nối khởi tạo 56 Hình 3.7 upload công cụ đánh cắp mật đến máy nạn nhân 57 Hình 3.8 Lưu tài khoản người dùng vào file 57 Hình 3.9 download danh sách password người dùng 58 Hình 3.10 Hacker sử dụng email đánh cắp để tiến hành công đối tượng khác 58 Hình 3.11 file pcap thu 59 vii Hình 3.12 Lọc theo conversation 60 Hình 3.13 Kết request gửi 60 Hình 3.14 Quá trình kết nối dược khởi tạo 61 Hình 3.15 Kết nối đáng ngờ khởi tạo lúc : 23h44’ 15/8/2016 61 Hình 3.16 Dump nhớ Ram máy tính 62 Hình 3.17 Phân tích thơng tin file dump 63 Hình 3.18 Các tiến trình chạy 63 Hình 3.19 Danh sách kết nối mạng 64 Hình 3.21 File PDF mở 010 editor 65 Hình 3.22 Kiểm tra file phần mềm TCP View 66 Hình 3.23 Quá trình scan RTFScan 66 Hình 3.24 Dấu hiệu shellcode 67 Hình 3.25 Kết phân tích mã độc 67 Hình 3.26 Kết phân tích mã độc 68 Hình 3.27 Phân tích file từ virutotal.com 68 Hình 3.28 Tài khoản bị hacker thu 69 viii Hình 3.10 download danh sách password người dùng Hình 3.11 Hacker sử dụng email đánh cắp để tiến hành công đối tượng khác 58 3.2 Thực nghiệm truy tìm chứng số cơng APT Mơ điều tra cơng APT Tình huống: Trong vai điều tra viên, yêu cầu điều tra tìm máy tính nhiễm mã độc hệ thống, với phải điều tra nguồn gốc kẻ công Công cụ điều tra viên lựa chọn để phục vụ cho trình điều tra: Máy điều tra viên: Linux, Window; Công cụ: AccessData FTK Imager, Volatility, IDAPRo, TCPview, Process Monitor, 010 editor, Wireshark, hiew; Tiến hành điều tra: Điều tra viên tiến hành phân tích dựa file gói tin thu dump memory máy tính nạn nhân Đầu tiên, điều tra viên tiến hành điều tra file pcap thu trình theo dõi lưu lượng hệ thống Hình 3.12 file pcap thu Trên hình 3.12 thể kết gói tin truyền hệ thống Để làm sáng tỏ nghi vấn số giao thức trao đổi tin Điều tra viên sử dụng công cụ Wireshark để kiểm tra kết nối tính lọc Conversation 59 Hình 3.13 Lọc theo conversation Trên hình 3.13 thể có nhiều kết nói hoạt động Rõ ràng địa 192.168.57.135 hoạt động có nhiều kết nối bên Đây dấu hiệu đáng ngờ kẻ cơng Rất địa kẻ công Điều tra viên tiếp tục kiểm tra cách lọc requet mà địa thực nhằm tìm nguồn gốc yêu cầu Hình 3.14 Kết request gửi 60 Ngoại trừ địa đáng tin cậy google.com, máy tính gửi request truy cập đến file có “doc” Có thể nguồn gốc cơng Mặt khác, nhìn vào danh sách gói tin thấy sau download file này, có kết nối khởi tạo đến địa 192.168.57.140 Hình 3.15 Quá trình kết nối dược khởi tạo Trở lại với gói tin thu ip 192.168.57.135, điều tra viên kết luận sơ là: Nạn nhân download file từ đường link lạ qua gmail (có nhiều ip google) lúc: 23h44’ 15/8/2016 Hình 3.16 Kết nối đáng ngờ khởi tạo lúc : 23h44’ 15/8/2016 61 Để điều tra rõ kết nối này, điều tra viên chuyển qua điều tra nhớ Ram máy tính với hỗ trợ công cụ AccessData FTK Imager Điều tra viên tiến hành dump nhớ Ram máy nạn nhân để phục vụ cho công việc điều tra, việc điều tra qua file dump nhớ giúp tránh việc xáo trộn trường Hình 3.17 Dump nhớ Ram máy tính Sau thấy File Điều tra viên cần phải phân tích để thu thông tin khác Đây bước quan trọng giúp cho điều tra viên xác định thơng tin mà hacker thực máy tính nạn nhân Để làm điều đó, điều tra viên sử dụng cơng cụ Volatility để phân tích memory dump Từ kết hình 3.18 cho thấy thơng tin Hệ điều hành (Windows XP SP2 SP3) 62 Hình 3.18 Phân tích thơng tin file dump Kiểm tra danh sách tiến trình chạy lúc nhớ dump Hình 3.19 Các tiến trình chạy Kết hình 3.19 rằng: có tiến trình firefox.exe (trình duyệt Firefox), Winword.exe (Microsoft Word) chạy 63 Theo tình ban đầu điều tra viên dự đốn có khả mã độc lây nhiễm thông qua file doc người dùng sử dụng Winword.exe để đọc Ngoài điều tra viên ý đến tiến trình Winword.exe firefox.exe Nhìn vào thời gian tiến trình, thấy máy tính nạn nhân bị lây nhiễm vào lúc 23h44’ ngày 15/8/2016 Thời gian trùng khớp với phân tích file pcap Để rõ điều tra viên tiến hành kiểm tra kết nối mạng mở lúc Hình 3.20 Danh sách kết nối mạng Từ hình 3.20 cho điều tra viên số thơng tin: Có tiến trình kết nối đến mạng (PID 2576 – firefox.exe, PID 2864 - Winword.exe) Tiến trình firefox kết nối đến port 80 443 dự đoán nạn nhân sử dụng internet Tiến trình Winword.exe mở kết nối đến 192.168.57.140 Tiến trình Winword.exe kết nối qua port 4444 Đây khơng phải port mặc định window Chính kết nối đến máy tính Hacker Thực dump memory tiến trình kiểm tra tổng quát, điều tra viên thu vài địa đáng ngờ: 64 “http://spadesquad.com/tailieu/document.doc.” Đây đường dẫn có chứa file doc Khả cao, file doc nhiễm mã đơc nạn nhân tải Hình 3.21 Kiểm tra liên kết đáng ngờ Để chứng minh có phải máy tính nạn nhân bị cơng từ mã độc ẩn chứa file doc hay không Điều tra viên tiến hành tải lại file doc tiến hành phân tích loại hành vi mã độc công cụ 010 editor Hình 3.22 File DOC mở 010 editor 65 Từ hình 3.22 cho thấy: dựa vào header file, thực chất file RTF đính kèm payload Tiến hành kiểm tra file phần mềm TCP View ProcessEx thu kết hình 3.23 Hình 3.23 Kiểm tra file phần mềm TCP View Phân tích sơ file “tailieu.doc” thấy: nạn nhân click vào file gửi yêu cầu kết nối tới socket 192.168.57.140:4444 Để chứng minh file “tailieu.doc” có chứa mã độc, điều tra viên tiến hành quét file công cụ RTFScan Hình 3.24 Quá trình scan RTFScan 66 Quá trình scan cho thấy file có mã độc bắt đầu offset 0xa43, tiến hành phân tích payload cơng cụ hiew kết hình 3.25 Hình 3.25 Dấu hiệu shellcode Một mục tiêu phân tích để tìm shellcode thực khai thác kích hoạt May mắn, chuỗi shellcode dễ dàng phát tài liệu RTF, đặc trưng chuỗi "E9" (một opcode liện hệ với hàm JMP) loạt of90s (NOP) Vì vậy, dump shellcode, điều tra viên tháo rời phân tích cách dễ dàng Hình 3.26 Kết phân tích mã độc 67 Ở hacker gọi thư viện MSCOMCTL.OCX (30 3c 58 27), dấu hiệu đặc trưng lỗ hổng CVE-2012-0158 Lỗ hổng CVE-2012-0158 xảy đoạn mã xử lý ListView, ListView2, TreeView TreeView2 ActiveX Control thuộc thư viện MSCOMCTL.OCX dẫn đến lỗi Buffer Overflow Hình 3.27 Kết phân tích mã độc Tiếp theo, Hacker khởi tạo kết nối TCP đến địa định sẵn, Sau phân tích tĩnh debug, điều tra viên kết luận chức payload làm tràn đệm dẫn tới lỗi Buffer Overflow, từ khởi tạo kết nối đến socket đinh trước Hình 3.28 Phân tích file từ virutotal.com 68 Ngồi kiểm tra máy tính nạn nhân, điều tra viên thu cơng cụ có tên BrowserPassworddump Đây công cụ sử dụng để đánh cắp tài khoản người dùng lưu trình duyệt Kiểm tra file pass.txt kèm, thu tài khoản thư ký Hình 3.29 Tài khoản bị hacker thu Từ kết thu điều tra viên rút kết luận cho trình điều tra như: Nạn nhân bị cơng file doc có chứa mã độc gửi qua mail; Khoảng thời gian bị công vào: 23h44’ ngày 15/8/2016; Mã độc có nhiệm vụ khởi tạo kết nối đến máy kẻ công cho phép Hacker chiếm quyền điều khiển máy nạn nhân; IP kẻ cơng có địa là: 192.168.57.140; Kẻ cơng đánh cắp tài khoản cô thư ký sử dụng để cơng vào đối tượng khác công ty; 69 KẾT LUẬN CHƯƠNG Thực công APT sở kỹ thuật công social engineering với công cụ hỗ trợ công tiên tiến Kết công rằng, công APT thực chất kỹ thuật công cao cấp mà tập hợp kỹ thuật công đơn giản lợi dụng lỗ hổng người Nghiên cứu tìm hiểu công cụ hỗ trợ cho công tác truy tìm chứng số cơng mạng nói chung cơng APT nói riêng Thực truy tìm chứng số cơng APT cơng cụ kỹ thuật có Kết phân tích trả lời câu hỏi: người công, công qua lỗ hổng nào, công 70 KẾT LUẬN LUẬN VĂN Kết đạt Các kết đạt cụ thể sau: Trình bày tổng quan công APT bao gồm đặc điểm, giai đoạn, quy trình, mức độ nguy hiểm APT với công thông thường Kết nghiên cứu rằng: công APT công cao cấp ngày nguy hiểm, cần phải có nghiên cứu cụ thể điều tra chứng số công để xây dựng hệ thống phòng chống phát sớm cơng Trình bày số cơng APT Việt Nam nêu số dự đốn cơng APT vào hệ thống thơng tin tương lai Trình bày số biện pháp, kỹ thuật cơng nghệ phòng chống cơng APT Kết nghiên cứu rằng: để đảm bảo an tồn bảo mật thơng tin trước cơng APT khơng thể áp dụng kỹ thuật, cơng cụ hay cơng nghệ mà cần phải áp dụng tổ hợp công nghệ với nhiều pha cần thực Trình bày tổng quan quy trình điều tra chứng số cơng mạng nói chung cơng APT nói riêng Mơ thực nghiệm công APT theo lý thuyết kịch quy trình công APT công cụ kỹ thuật có Kết q trình điều tra vấn đề quan trọng cần có điều tra là: người công, công qua lỗ hổng nào, công Định hướng phát triển Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: Nghiên cứu biến thể dấu hiệu nhận biết công APT Nghiên cứu áp dụng công nghệ BIGDATA việc truy tìm chứng số công APT 71 DANH MỤC TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT Viện Cơng Nghệ An Tồn Thông Tin (IST) (2015), Coffee Bảo Mật lần 1- Các cập nhật tình hình mã độc Đỗ Ngọc Anh, Viện Đại học mở Hà Nội, (2015), “Tấn cơng wifi phương pháp truy tìm dấu vết tội phạm công wifi ”, Đề tài luận văn thạc sĩ TÀI LIỆU TIẾNG ANH Cunt P Garrison (2010) Digital Forensics for Network, Internet, and Cloud Computing, Elsevier, Waltham, USA Eric Cole (2012), Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization, Elsevier, Waltham, USA Don Jones (2011), Avanced Persistent Threat and Real-Time Threat Management,9pp Dr Eric Code (2013), Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization, Elsevier, USA, 60pp Jon Oltsik, Jenifer Gahm, Kristine Kao, Bill Lundell, and John Mc Kinigt (2011), ESG Research Report: Advanced Persistent Threat Analysis, 56pp TÀI LIỆU WEB gfi.com, http://www.gfi.com/blog/advanced-persisdent-threat-apt-a-hyped-upmarketing-term-or-a-security-conern/, [tham khảo tháng 5/ 2016] networkworld.com,http://www.networkwold.com/article/2199388/security/w hat-is-an-advanced-persistent-threat-anyway-.html, [tham khảo tháng 6/ 2016] 10 Svtech.com, http://www.svtech.com.vn/article/1214/, [tham khảo tháng 4/ 2016] 11 Tấn công mã độc Tài liệu internet: http://www.pcworld.com.vn/b/chuyen-muc/chuyen-muc/2009/11/1194927/tan-cong-madoc-doi-pho [data 01.4.2016] 72 ... HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ KỸ THUẬT TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CÔNG APT LÊN HỆ THỐNG THÔNG TIN LÊ THỊ QUỲNH HOA CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018 NGƯỜI HƯỚNG DẪN... cơng APT cần phải có nghiên cứu cụ thể để tìm giải pháp nhằm phòng chống truy tìm đáp trả cơng Vì lý học viên chọn Đề tài " Kỹ thuật truy tìm chứng số công APT lên hệ thống thông tin CHƯƠNG 1: TẤN... PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT 31 2.1 Tổng quan truy tìm chứng số 31 2.2 Một số kỹ thuật, phương pháp truy tìm chứng số công APT 33 2.2.1 Điều tra mạng