Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet gồm các nội dung: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet, tấn công vào máy người dùng, lỗ hổng Zero Day... Mời các bạn cùng tham khảo nội dung chi tiết.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 8: Điều tra tội phạm Internet - Pháp chứng số Internet Giảng viên: TS Đàm Quang Hồng Hải Tội phạm Internet - tơi phạm cơng nghệ cao • • • Điểm khác biệt tội phạm công nghệ cao tội phạm truyền thống phương tiện phạm tội Tội phạm công nghệ cao sử dụng tiến công nghệ thông tin để phạm tội Tội phạm công nghệ cao thực hành vi phạm tội mà tội phạm truyền thống làm được, tội phạm ngồi Việt Nam trộm cắp tiền người nước ngồi • Khơng cần dùng chìa khóa vạn năng, tội phạm cơng nghệ cao xâm nhập vào "kho tiền" người khác để chiếm đoạt Tấn công vào máy người dùng Hành vi tội phạm cơng nghệ cao • Hành vi tội phạm công nghệ cao khác nhiều so với tội phạm cổ điển, như: công trái phép vào website để lấy thơng tin bí mật, thay vào thơng tin giả • Tội phạm cơng nghệ cao phá hoại website virút, làm giả thẻ tín dụng, lấy cắp tài khoản cá nhân… • Đối tượng phạm tội khác với tội phạm truyền thống, thiết phải có hiểu biết cơng nghệ thơng tin thực hành vi phạm tội Lừa đảo Cơng nghệ cao • Đối tượng lừa đảo lập trang web, lấy địa giả Mỹ nhập tên tuổi người tham gia vào mạng lưới với số tiền họ góp • Đối tượng lừa đảo mở máy tính cho người tham gia xem, họ tận mắt nhìn thấy tên mình, số tiền hình vui tin kinh doanh tài với tập đồn Mỹ thật mà khơng biết việc tạo trang web vô đơn giản • Một ngun nhân mức lãi suất mà bọn lừa đảo đưa hấp dẫn, cao so với tất hình thức huy động tiền gửi hợp pháp khác • Sự thiếu hiểu biết nguyên nhân khiến nhiều người bị mắc lừa Tội phạm công nghệ cao Lỗ hổng • Lỗ hổng (bug) điểm yếu phần mềm cho phép kẻ công phá hoại toàn vẹn, độ sẵn sàng bảo mật phần mềm liệu phần mềm xử lý • Một số lỗ hổng nguy hiểm cho phép kẻ công khai thác hệ thống bị xâm phạm cách khiến hệ thống chạy mã độc hại mà người dùng khơng biết • Thế giới bị rúng động hoành hành Flame Duqu, virus đánh cắp thông tin mật hệ thống điện tốn Lỗ hổng Zero Day • Lỗ hổng zero day thuật ngữ để lỗ hổng chưa công bố chưa khắc phục • Lợi dụng lỗ hổng này, hacker bọn tội phạm mạng xâm nhập vào hệ thống máy tính doanh nghiệp, tập đồn để đánh cắp hay thay đổi liệu • Tuổi thọ trung bình lỗ hổng zero-day 348 ngày trước phát vá lại, nhiều lỗ hổng chí cịn sống "thọ" • Tội phạm cơng nghệ cao sẵn sàng trả khoản tiền lớn để mua lại lỗ hổng zero-day Tấn công vào lỗ hổng bảo mật • Hiện lỗ hổng bảo mật phát nhiều hệ điều hành, máy chủ cung cấp dịch vụ phần mềm khác, hãng sản xuất cập nhật phần mềm vá lỗi • Những thơng tin ăn cắp tên, mật người sử dụng, thơng tin mật chuyển qua mạng • Người dùng cần thiết cập nhật thông tin nâng cấp phiên cũ Ví dụ: cơng Java Zero-day CVE-2013-1493 Xem xét File log lưu trữ máy tính • Các file log máy tính tạo trì từ liệu hệ thống tự động tay, chẳng hạn tập tin đăng nhập hệ thống nhật ký máy chủ proxy • Các hồ sơ phải đầu tạo từ ứng dụng máy tính/quy trình thông thường, liệu đầu vào cá nhân tạo • Các file log máy tính liệu điện tử kỹ thuật số đầu xem với phần mềm bảng tính phần mềm xử lý văn Nội dung thu thập thơng tin • Thực vào Junewon Park Digital Forensic Research Laboratories, Auckland University of Technology, New Zealand năm 2014 • • • • Trong 11 ngày, có 3,227 cơng, 1,466 mẫu Malware and 110 mã code 96% malware độc hại Conflicker.B Conflicker.C Bot Các chứng tĩnh sau biên soạn sử dụng để chạy máy an tồn Các Pháp chứng viên chép lại nghiên cứu so sánh kết việc phát triển kiến thức lĩnh vực điều tra pháp chứng Phân tích IRC- BOT sử dụng CWSandbox Phân tích IRC- BOT sử dụng CWSandbox • Trong t.hợp này, cách tạo tập tin thực thi Windows có tên a.bat thư mục gốc Windows Và sau đó, có hành động đáng ngờ chạy hàng loạt hướng dẫn dịng lệnh Ví dụ, Process # (ID: 24), Process # (ID: 1572), Quy trình # (ID: 816), trình # (ID: 1964) thực hướng dẫn sau đây: C: \> cmd / c net stop "SharedAccess“ C: \> a.bat C: \> cmd / c net stop "Security Center" C: \> cmd / c net start "SharedAccess“ • • • • Vơ hiệu hóa kết nối Internet Tắt chế độ an tồn máy tính Tắtcác gói phần mềm diệt virus Cuối tiến hành thay đổi giá trị Registry regestry.exe mà máy tính người dùng khơng phát Nội dung thực thi máy nhiễm Các giá trị registry bị thay đổi botnet Malware Network forensics • Các kỹ thuật lây nhiễm cũ cịn tác dụng sử dụng, đặc biệt kỹ thuật nontarget less skillful • Các cơng cụ Forensic dễ bị ‘lạc hậu’ so với phát triển Malware • Pháp chứng viên phải cần gạt bỏ suy nghĩ cứng nhắc làm công việc này, cần phải suy nghĩ sáng tạo, nắm bắt trước hướng hành động Malware để thực tốt cơng việc • Và phát triển sinh học, Malware biến đổi tự biến đổi để phù hợp thích nghi 55 Phát triển Malware Network forensics • Với thập kỷ quan sát phát triển Malware, ta khẳng định tương lai Malware tiếp tục phát triển • Như truyền thống, Malware cần phải tiếp tục lây nhiễm lên hệ thống mới, cần phải giao tiếp với Server điều khiển • Trong tương lai Malware thiết kế nhiều phương thức giao tiếp khác có nhiều ưu điểm phục vụ cho trình giao tiếp, truyền liệu tương tác với người • Các cơng cụ Forensic phát triển hướng đến thiết bị di động số lượng thiết bị di động ngày tăng nhanh 56 Điều tra nguồn gốc Malware từ Website • Mã độc phát tán từ Website hợp pháp bị hacker cơng nắm quyền kiểm sốt, thay phá hoại, kẻ xấu lại lợi dụng chúng gieo Malware • • Hacker thay đổi mã nguồn để đưa object Malware Người dùng truy cập Website download Malware máy tính Ví dụ: Malware từ website yahoo Cơng cụ phân tích Website Fiddler • Fiddler phát triển Microsoft chiến chống thông tin rác từ website với mạnh khả phân tích Web Fiddler cơng cụ xác định vị trí sửa lỗi Proxy HTTP, lưu trữ ghi tất lưu lượng HTTP máy tính Internet • • Tất trang web truy cập, tải phần mềm chuyển hướng ghi lại ghi phiên Fiddler có cơng cụ để giải thích lấy thơng tin nhiều cách khác Pháp chứng viên dùng Fiddler tìm xem trang web thực cơng việc phát việc cài malware… Mơ hình hoạt động Fiddler Tính Fiddler • • Fiddler hoạt động proxy cục bộ; Fiddler đăng ký hệ thống proxy chụp xem, phân tích sửa đổi lưu lượng truy cập web từ ứng dụng • • • Fiddler hoạt động hầu hết thiết bị (ví dụ Windows Mobile) Fiddler cho phép với giao thức HTTPS chặn bắt thông qua yêu cầu Fiddler dễ mở rộng với công nghệ JavaScript NET Giao diện Fiddler Bộ lọc Fiddler Hết ... Service Dispatch Table - SSDT) • Để điều tra vấn đề này, Pháp chứng viên lấy chứng từ nghiên cứu pháp chứng số nhớ dựa vào framework công cụ Volatility • Kết điều tra giúp Pháp chứng viên hiểu chiến... tác vụ hợp pháp không hợp pháp dẫn đến Malware nhanh chóng bị phát • Các Malware để thích ứng tồn cần phải che giấu hành động kỹ Một kỹ thuật dùng để che dấu trộn lẫn hành động bất hợp pháp vào... 45 Kênh Command-and-Control tới Server Điều tra mã độc • Pháp chứng viên cần tìm thông tin chứng, cách mà thủ phạm, hacker giành quyền truy cập vào mạng máy tính • Mã độc gửi e-mail lừa đảo ,