Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet gồm các nội dung: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet, tấn công vào máy người dùng, lỗ hổng Zero Day... Mời các bạn cùng tham khảo nội dung chi tiết.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 8: Điều tra tội phạm trên Internet Pháp chứng số trên Internet Giảng viên: TS. Đàm Quang Hồng Hải Tội phạm trên Internet tơi phạm cơng nghệ cao Điểm khác biệt giữa tội phạm cơng nghệ cao và tội phạm • • • • truyền thống chính là phương tiện phạm tội. Tội phạm cơng nghệ cao sử dụng sự tiến bộ của cơng nghệ thơng tin để phạm tội Tội phạm cơng nghệ cao thực hiện được những hành vi phạm tội mà tội phạm truyền thống khơng thể làm được, như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được tiền của một người nào đó đang ở nước ngồi Khơng cần dùng chìa khóa vạn năng, tội phạm cơng nghệ cao vẫn có thể xâm nhập được vào "kho tiền" của người khác để chiếm đoạt. Tấn cơng vào máy người dùng Hành vi của tội phạm cơng nghệ cao • • • Hành vi của tội phạm cơng nghệ cao khác nhiều so với tội phạm cổ điển, như: tấn cơng trái phép vào website để lấy đi những thơng tin bí mật, thay vào đó những thơng tin giả Tội phạm cơng nghệ cao có thể phá hoại website bằng virút, làm giả thẻ tín dụng, lấy cắp tài khoản cá nhân… Đối tượng phạm tội cũng khác với tội phạm truyền thống, nhất thiết phải có hiểu biết về cơng nghệ thơng tin thì mới thực hiện được hành vi phạm tội. Lừa đảo Cơng nghệ cao • • • • Đối tượng lừa đảo lập ra một trang web, lấy địa chỉ giả ở Mỹ rồi nhập tên tuổi của những người tham gia vào mạng lưới cùng với số tiền họ đã góp. Đối tượng lừa đảo mở máy tính cho những người tham gia xem, họ tận mắt nhìn thấy tên mình, số tiền của mình trên màn hình thì vui và tin là mình đang kinh doanh tài chính với tập đồn ở Mỹ thật mà khơng biết rằng việc tạo ra một trang web là vơ cùng đơn giản Một ngun nhân nữa đó là do mức lãi suất mà bọn lừa đảo đưa ra q hấp dẫn, q cao so với tất cả các hình thức huy động tiền gửi hợp pháp khác Sự thiếu hiểu biết cũng là một ngun nhân khiến nhiều người bị mắc lừa Tội phạm cơng nghệ cao và Lỗ hổng • • • Lỗ hổng (bug) là các điểm yếu trong phần mềm cho phép kẻ tấn cơng phá hoại sự tồn vẹn, độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu do phần mềm xử lý. Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn cơng khai thác hệ thống bị xâm phạm bằng cách khiến hệ thống chạy các mã độc hại mà người dùng khơng hề biết Thế giới đã bị rúng động bởi sự hồnh hành của Flame và Duqu, những virus đánh cắp thơng tin mật của các hệ thống điện tốn Lỗ hổng Zero Day • • • • Lỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng chưa được cơng bố hoặc chưa được khắc phục Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đồn để đánh cắp hay thay đổi dữ liệu Tuổi thọ trung bình của một lỗ hổng zeroday là 348 ngày trước khi nó được phát hiện ra hoặc vá lại, nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế. Tội phạm cơng nghệ cao sẵn sàng trả khoản tiền rất lớn để mua lại các lỗ hổng zeroday Tấn cơng vào các lỗ hổng bảo mật • • • Hiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các máy chủ cung cấp dịch vụ hoặc các phần mềm khác, các hãng sản xuất ln cập nhật các phần mềm vá lỗi của mình. Những thơng tin có thể ăn cắp như tên, mật khẩu của người sử dụng, các thơng tin mật chuyển qua mạng. Người dùng cần thiết cập nhật thông tin và nâng cấp phiên bản cũ Ví dụ: tấn cơng Java Zeroday CVE20131493 Xem xét File log lưu trữ trên máy tính • • • Các file log máy tính có thể tạo ra và duy trì từ những dữ liệu hệ thống tự động hoặc bằng tay, chẳng hạn như các tập tin đăng nhập hệ thống và nhật ký máy chủ proxy. Các hồ sơ phải được đầu ra được tạo ra từ các ứng dụng máy tính/quy trình trong đó thơng thường, khơng phải là dữ liệu đầu vào một cá nhân tạo ra Các file log máy tính là những dữ liệu điện tử hoặc kỹ thuật số đầu có thể xem với một phần mềm bảng tính hoặc phần mềm xử lý văn bản Nội dung thu thập thơng tin • • • • • Thực hiện vào tại Junewon Park Digital Forensic Research Laboratories, Auckland University of Technology, New Zealand năm 2014 Trong 11 ngày, có 3,227 tấn cơng, 1,466 mẫu Malware and 110 mã code 96% các malware độc h ại là các Conflicker.B và Conflicker.C Bot Các bằng chứng tĩnh sau đó đã được biên soạn và sử dụng để chạy một phỏng trên một máy an tồn Các Pháp chứng viên có thể sao chép lại nghiên cứu này và so sánh kết quả trong việc phát triển kiến th ức trong lĩnh vực này của điều tra pháp chứng Phân tích IRC BOT khi sử dụng CWSandbox Phân tích IRC BOT khi sử dụng CWSandbox • Trong t.hợp này, bằng cách tạo ra một tập tin thực thi của Windows có tên a.bat tại thư mục gốc của Windows. Và sau đó, có hành động đáng ngờ là chạy hàng loạt các hướng dẫn dòng lệnh v Ví dụ, các Process # 2 (ID: 24), Process # 3 (ID: 1572), Quy trình # 5 (ID: 816), và q trình # 6 (ID: 1964) thực hiện các hướng dẫn sau đây: C: \> cmd / c net stop "SharedAccess“ C: \> a.bat C: \> cmd / c net stop "Security Center" C: \> cmd / c net start "SharedAccess“ • • • • Vơ hiệu hóa kết nối Internet Tắt chế độ an tồn của máy tính Tắtcác gói phần mềm diệt virus Cuối cùng tiến hành thay đổi các giá trị trong Registry bằng regestry.exe mà máy tính người dùng khơng phát hiện ra được Nội dung thực thi trên máy nhiễm Các giá trị registry bị thay đổi bởi botnet Malware và Network forensics • • Các kỹ thuật lây nhiễm cũ nếu vẫn còn tác dụng thì vẫn được sử dụng, đặc biệt là các kỹ thuật nontarget và less skillful Các cơng cụ Forensic có thể dễ bị ‘lạc hậu’ so với sự phát triển của Malware • • Pháp chứng viên phải cần gạt bỏ những suy nghĩ cứng nhắc khi làm cơng việc này, cần phải suy nghĩ sáng tạo, nắm bắt trước được các hướng hành động của Malware để thực hiện tốt cơng việc Và như sự phát triển sinh học, Malware ln biến đổi và có thể tự biến đổi để phù hợp và thích nghi 55 Phát triển của Malware và Network forensics • • Với hơn 2 thập kỷ quan sát sự phát triển của Malware, ta có thể khẳng định rằng trong tương lai Malware vẫn sẽ tiếp tục phát triển Như truyền thống, các Malware vẫn cần phải tiếp tục lây nhiễm lên các hệ thống mới, cần phải giao tiếp được với các Server điều khiển • • Trong tương lai Malware có thể được thiết kế nhiều phương thức giao tiếp khác nhau có nhiều ưu điểm hơn phục vụ cho q trình giao tiếp, truyền dữ liệu và tương tác với con người Các cơng cụ Forensic được phát triển hướng đến các thiết bị di động khi số lượng thiết bị di động đang ngày càng tăng nhanh 56 Điều tra nguồn gốc Malware từ Website • • • Mã độc có thể phát tán từ Website hợp pháp đã bị hacker tấn cơng và nắm quyền kiểm sốt, thay vì phá hoại, kẻ xấu lại lợi dụng chúng gieo Malware Hacker thay đổi mã nguồn để đưa và các object là các Malware Người dùng khi truy cập Website sẽ download các Malware về máy tính của mình Ví dụ: Malware từ website của yahoo Cơng cụ phân tích Website Fiddler • • • Fiddler được phát triển bởi Microsoft trong cuộc chiến chống thơng tin rác từ các website với thế mạnh là khả năng phân tích Web. Fiddler là cơng cụ xác định vị trí và sửa lỗi Proxy HTTP, lưu trữ bản ghi tất cả lưu lượng HTTP giữa máy tính và Internet Tất cả các trang web truy cập, tải về phần mềm và chuyển hướng được ghi lại trong một bản ghi phiên. Fiddler có các cơng cụ để giải thích và lấy thơng tin trong nhiều cách khác nhau. Pháp chứng viên có thể dùng Fiddler tìm xem các trang web nào thực hiện những cơng việc gì và có thể phát hiện việc cài malware… Mơ hình hoạt động của Fiddler Tính năng của Fiddler • • • • • Fiddler hoạt động như một proxy cục bộ; Fiddler đăng ký như hệ thống proxy trong khi chụp xem, phân tích và sửa đổi lưu lượng truy cập web từ bất kỳ ứng dụng Fiddler hoạt động trên hầu hết các thiết bị (ví dụ Windows Mobile) Fiddler cho phép với giao thức HTTPS chặn bắt thơng qua các u cầu Fiddler dễ mở rộng với cơng nghệ JavaScript hoặc. NET Giao diện Fiddler Bộ lọc trong Fiddler Hết bài 8 ... đề này, Pháp chứng viên có thể lấy bằng chứng từ nghiên cứu pháp chứng số trên bộ nhớ dựa vào framework như của bộ công cụ Volatility Kết quả điều tra giúp Pháp chứng viên ... được các tác vụ hợp pháp hoặc khơng hợp pháp dẫn đến các Malware có thể nhanh chóng bị phát hiện • Các Malware mới để thích ứng và tồn tại được cần phải che giấu hành động của mình kỹ hơn. Một trong những kỹ thuật dùng để che dấu là trộn lẫn các hành ... đại hơn được trang bị các cơ chế xác thực, chữ ký điện tử, mã hóa bản cập nhật bằng các thuật tốn mã hóa RSA 1 28 bit (W95/Hybris), sử dụng các giao thức phổ biến như HTTP, P2P, 28 Malware đa hình (Polymorphic malware) • • • Sự ưu việt của các cơng cụ bảo mật và điều tra hỗ trợ rất