BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ThS PHẠM DUY TRUNG, KS HOÀNG THANH NAM GIÁO TRÌNH THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG HÀ NỘI, 2013 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ThS PHẠM DUY TRUNG, KS HỒNG THANH NAM GIÁO TRÌNH THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG HÀ NỘI, 2013 MỤC LỤC CHƯƠNG GIỚI THIỆU VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG 1.1 KHÁI NIỆM 1.2 MỤC ĐÍCH, VAI TRỊ, Ý NGHĨA VÀ YÊU CẦU 1.2.1 Mục đích .6 1.2.2 Vai trò, ý nghĩa .9 1.2.3 Yêu cầu .12 1.3 PHÂN LOẠI DỮ LIỆU THU THẬP 13 1.3.1 Thông tin 13 1.3.2 Gỡ lỗi 13 1.3.3 Thông báo 13 1.3.4 Lỗi 14 1.3.5 Cảnh báo .15 1.4 GIỚI THIỆU MỘT SỐ CÔNG CỤ, GIAO THỨC, ĐỊNH DẠNG CHO THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG 16 1.4.1 Wireshark 16 1.4.2 tshark 25 CHƯƠNG THIẾT LẬP HỆ THỐNG THU THẬP THÔNG TIN AN NINH MẠNG 27 2.1 Kiến trúc thành phần hệ thống .28 2.1.1 Thu thập host .28 2.2.2 Thu thập mạng 29 2.2 Mơ hình triển khai .29 2.2.1 Triển khai chủ động 29 2.2.2 Triển khai thụ động 30 2.2.3 Honeypot/Honeynet 38 2.3.2 Phương thức thu thập kiện .49 CHƯƠNG QUY TRÌNH THU THẬP VÀ PHÂN TÍCH 53 3.1 Thu thập tập hợp liệu .53 3.2 Sàng lọc, chuẩn hóa tương quan liệu 55 3.3 Phân tích liệu 61 3.4 Tổng hợp lập báo cáo 67 CHƯƠNG KỸ THUẬT PHÂN TÍCH CƠ BẢN 74 4.1 Phân tích gói tin 74 4.1.1 Phân tích giao thức .74 4.1.2 Phân tích nội dung gói tin 81 4.2 Phân tích luồng liệu 85 4.2.1 Lọc liệu 86 4.2.2 Lựa chọn giá trị bật 86 4.2.3 Chuẩn đoán 86 4.3 Phân tích nhật ký kiện 102 4.4.1 Phân tích kiện hệ thống Windows 104 4.4.2 Phân tích kiện hệ thống UNIX/Linux 114 CHƯƠNG KỸ THUẬT PHÂN TÍCH NÂNG CAO .127 5.1 Phân tích thống kê 127 5.1.1 Phân tích tần suất .128 5.1.2 Đường sở (Baseline) 128 5.1.3 Học máy (Machine Learning) 132 5.2 Khai phá liệu nhật ký 136 5.2.1 Khái niệm khai phá liệu 136 5.2.2 Khai phá liệu nhật ký 136 5.2.3 Quá trình khai phá liệu 137 5.2.4 Kỹ thuật phân tích ghi .138 5.3 Phân tích liệu WLAN 145 5.3.1 Phân tích phổ 149 5.3.2 Thu thập liệu thụ động mạng không dây .150 5.3.3 Phân tích giao thức 802.11 .151 TÀI LIỆU THAM KHẢO 171 PHỤ LỤC 172 CHƯƠNG GIỚI THIỆU VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG 1.1 KHÁI NIỆM Thông tin an ninh mạng thông tin ghi lại hoạt động hệ thống mạng giúp người quản trị mạng khám phá nguồn gốc công an ninh vào hệ thống mạng vấn đề khác hệ thống mạng Thu thập phân tích thơng tin an ninh mạng thực nhiệm vụ thu thập liệu, kiện thông tin an ninh mạng phân tích chúng với mục đích phát cơng, lỗi lỗ hổng hệ thống từ liệu nhật ký lưu lại Việc thu thập phân tích thơng tin an ninh mạng thực trực tuyến ngoại tuyến Dữ liệu nhật ký chứa thơng tin ghi lại hệ thống Ví dụ, máy chủ web thường xuyên lưu lại người truy cập tài nguyên (hình ảnh, tập tin, vv…) trang web Nếu người dùng truy cập trang xác thực, thông tin lưu lại chứa tên người dụng (username) Đây ví dụ liệu nhật ký: sử dụng tên người dùng (username) để xác định người truy cập tài nguyên Các kiện cần lưu lại mục phân loại sau: - Sự kiện liên quan sách truy cập quản trị - Sự kiện liên quan đến sách bảo mật liệu toàn vẹn liệu - Sự kiện liên quan đến độ sẵn sàng - Sự kiện liên quan đến sách mật mã 1.2 MỤC ĐÍCH, VAI TRỊ, Ý NGHĨA VÀ YÊU CẦU 1.2.1 Mục đích Thu thập phân tích thơng tin an ninh mạng cho biết điễn hệ thống mạng, từ thông tin hiệu mạng đến phát điểm yếu, lỗ hổng xâm nhập trái phép, … Các liệu thu thập nguồn thông tin tốt để xác định xảy sau cố an ninh hệ thống mạng Ngoài ra, liệu cung cấp chứng hoạt động phá hoại tin tặc, phục vụ cho công tác “điều tra số” Dưới số mục đích việc thu thập phân tích thơng tin an ninh mạng Quản lý tài nguyên Nhật ký không cho biết máy chủ hoạt động, mà cho biết ứng dụng chạy máy chủ Việc hỏng hóc, cố phần cứng phần mềm, lưu lại liệu nhật ký trước hệ thống thực hỏng hóc Và hồi phục sau hỏng hóc, việc đăng nhập thường xuyên giúp tìm ngun nhân Dưới ví dụ điển hình hỏng hóc mà tìm thấy log: May 21 08:33:00 foo.example.com kernel: pid 1427 (dd), uid inumber 8329 on /var: filesystem full Thông báo cho thấy hệ thống tập tin var máy chủ bị đầy Phát xâm nhập trái phép Thông tin an ninh mạng lưu lại (như ghi NIDS) hữu ích cho phát xâm nhập Ví dụ: Sep 17 07:00:02 host.example.com: sshd[721038]: Failed password for illegal user erin from 192.168.2.4 port 44670 ssh2 Thông tin đăng nhập cho thấy đăng nhập không thành công, cách sử dụng tên người dùng erin Những từ người sử dụng bất hợp pháp xuất khơng có tài khoản hệ thống Thơng báo kết kẻ công sử dụng công cụ quét ssh cố gắng để đăng nhập vào máy chủ thông qua SSH, sử dụng tập hợp tên người dùng phổ biến mật thường sử dụng Ví dụ chọn từ tập hợp hàng ngàn dò quét thực khoảng thời gian ngắn Chúng ta xem thông điệp từ Snort, NIDS mã nguồn mở Jan 16:19:23 host.example.com snort[1260]: RPC Info Query: 10.2.3.4 -> host.example.com:111 Jan 16:19:31 host.example.com snort[1260]: spp_portscan: portscan status from 10.2.3.4: connections across hosts: TCP(2), UDP(0) Các thông điệp cho thấy kẻ công thực quét cổng mạng tìm kiếm máy chủ chạy dịch vụ rcp.statd, dịch vụ có chứa số lỗ hổng mà kẻ cơng lợi dụng khai thác Các thông điệp cho thấy việc quét cổng thành công việc kết nối đến hai máy mạng Xử lý cố Các ghi có giá trị việc đánh giá xử lý cố nói chung cố an ninh nói riêng, từ thơng tin thu thập giúp tìm nguyên nhân gây cố, từ tìm biện pháp khắc phục phòng tránh cố Điều tra số Điều tra số trình xây dựng hình ảnh "những xảy ra" sau kiện kết thúc Hình ảnh thường xây dựng thông tin không đầy đủ, độ tin cậy thông tin quan trọng Các log phần thiết yếu trình điều tra Nhật ký, ghi lại, khơng bị thay đổi thơng qua q trình sử dụng bình thường hệ thống, có nghĩa họ loại hồ sơ "thường trú" Như vậy, họ cung cấp bổ sung phần xác liệu khác hệ thống mà dễ bị thay đổi Thơng thường liệu thu thập thường có ghi lại thời điểm thu nhận lưu lại ghi, chúng giúp cung cấp trình tự thời gian kiện, khơng cho biết xảy ra, mà cịn cho biết việc xảy theo trình tự thời gian Và ghi phía trước đến máy chủ (thường nhà sưu tập nhật ký trung tâm), nguồn cung cấp chứng cho thấy riêng biệt từ nguồn có nguồn gốc Nếu tính xác thơng tin nguồn gốc gọi vào câu hỏi (chẳng hạn vấn đề kẻ xâm nhập thay đổi xóa ghi), nguồn riêng biệt thơng tin xem bổ sung, nguồn đáng tin cậy Tương tự vậy, ghi từ nguồn khác nhau, chứng thực chứng khác củng cố tính xác nguồn nhật ký Bản ghi phục vụ để củng cố chứng khác thu thập Thường, tái tạo lại hình ảnh kiện không dựa phần nguồn gốc thông tin, liệu từ nhiều nguồn khác nhau: tập tin thời gian hệ thống, lịch sử lệnh người sử dụng, liệu mạng, ghi Thỉnh thoảng ghi bác bỏ chứng khác, mà tự cho thấy nguồn khác bị hỏng (ví dụ kẻ xâm nhập) Bằng chứng thể ghi lần gián tiếp khơng đầy đủ Ví dụ, ghi hiển thị hoạt động cụ thể, không làm Hoặc, ví dụ, q trình nhật ký kế tốn hiển thị lệnh người dùng chạy, đối số cho lệnh Vì vậy, ghi không luôn sử dụng nguồn thông tin Mặc dù, máy chủ bị cơng, ghi nguồn thông tin đáng tin cậy, cung cấp máy chủ chuyển tiếp ghi tới máy chủ trung tâm đăng nhập Các ghi thời điểm máy chủ bị xâm nhập tin cậy, ghi sau bị công nghi ngờ tốt Nhưng báo cáo mà bạn thu thập đến kiện giúp làm sáng tỏ xảy cho bạn hướng 1.2.2 Vai trị, ý nghĩa Quy trình bảo vệ an ninh mạng tiến hành chu trình mơ tả sau: Hình 1.1 Quy trình đảm bảo an ninh Chu trình bao gồm bốn giai đoạn: 10 Hình Chuỗi gói tin thu nhận Walleye Ta phân tích q trình cơng hacker vào hệ thống Honeynet: - Phân tích gói tin thứ ta thấy nội dung gói tin chứa đoạn mã (đánh dấu ô vuông), công RFI (Remote File Inclusion) thực tệp shell.txt WebServer có địa 10.3.3.3 180 - Shell.txt đoạn webshell, muốn biết nội dung đoạn mã độc hại xem xét nội dung gói tin Hình minh họa phân nội dung webshell với trợ giúp công cụ Ethereal Hình Một phần nội dung đoạn webshell - Tiếp theo phân tích gói tin để thấy hacker định làm ? Chúng ta thấy hacker định mở backdoor cổng 9999, với password kết nối cổng r57 Trong Walleye thấy rõ máy 10.1.1.2 xuất tệp /tmp/bd.c, backdoor hacker cài lên máy chúng ta, đồng thời ta thấy tiến trình bd chạy 10.1.1.2 181 Hình Tệp chứa backdoor tiến trình máy nạn nhân Ở gói tin tiếp theo, thấy rõ hacker kết nối tới máy 10.1.1.2 cổng 9999 Phân tích chi tiết gói tin thấy rõ “keystroke” hay lệnh hacker tương tác với 10.1.1.2 Chúng ta xem xét nội dung “keystroke” để biết hacker làm với hệ thống chúng kiểm soát máy 10.1.1.2 Hình hacker kết nối tới 10.1.1.2 thông qua backdoor với mật truy cập r57 Tiếp theo: 182 Đầu tiên, hacker sử dụng lệnh ls để xem nội dung thư mục thời (thư mục chứa nội dung trang web), sau hacker thực lệnh rm baomat.jpg, để xóa tệp ảnh giao diện trang web Do vậy, duyệt trang web không thấy ảnh giao diện trang web Chúng ta thấy khác thơng qua hai hình 5.15 hình 5.16 đây: 183 Hình Giao diện trang web ban đầu Hình Giao diện trang web bị xóa ảnh giao diện 184 Chúng ta xem xét hacker làm Chúng ta thấy sau xóa tệp ảnh giao diện, tệp baomat.jpg khơng cịn thư mục Tuy nhiên, lệnh ls lại thấy xuất tệp baomat.jpg Như vậy, đoán hacker tải lên tệp ảnh khác để thay Chúng ta vào lại trang web lần thấy giao diện bị thay đổi 185 Hình Giao diện trang web sau bị cơng Phân tích gói tin tiếp theo, thấy rõ hacker tải lên Web Server tệp ảnh thay khác Chúng ta tiếp tục q trình phân tích 186 Chúng ta để ý hai lần dùng lệnh ls, thư mục có thêm tệp ex_servu.c Chúng ta phán đốn kẻ cơng tải lên WebServer tệp Chúng ta thử kiểm tra nội dung gói tin để xem có phát hacker tải ex_servu.c lên WebServer cách nội dung tệp ex_servu.c Đoạn đánh dấu haker định tải lên máy 10.1.1.2 thơng qua giao thức HTTP Chúng ta xem tiếp nội dung gói tin, với hỗ trợ Ethereal, thấy nội dung tồn tệp ex_servu.c Hình minh họa phần nội dung tệp ex_seruv.c 187 Hình 10 Một phần nội dung tệp ex_servu.c Quay trở lại với gói tin chứa “keystroke” hacker, xem hacker tiếp tục làm tải lên tệp ex_servu.c Chúng ta thấy hacker thực biên dịch tệp ex_servu.c lệnh gcc thu tệp thi hành ex_servu Chúng ta xem xét tiếp: 188 Chúng ta thấy hacker thực tệp ex_servu nhằm vào máy 10.1.1.1 (đây máy FTP Server), sau thấy tiếp cmd hệ điều hành Microsoft Windows XP, đốn kẻ cơng sử dụng tệp ex_servu công vào máy 10.1.1.1 giành quyền điều khiển máy Hình quan hệ tiến trình diễn máy 10.1.1.2 bị hacker công hỗ trợ công cụ phân tích Walleye cho thấy rõ lệnh mà hacker sử dụng 189 190 Hình 5.20 Một phần sơ đồ quan hệ tiến trình 10.1.1.2 Hình tệp sử dụng 10.1.1.2 q trình cơng hacker, có hai tệp index.php ex_servu.c Hình “keystroke” (lệnh) hacker sử dụng để cơng hệ theo trình tự Chúng ta thấy hai gói tin tiếp theo: Hình 11 Hai gói tin liên quan đến công máy FTP Server Hai gói tin 10.1.1.2 cơng sang máy 10.1.1.1 giao thức ftp hệ thống Honeynet nhận kiểu công FTP 191 MDTM overflow, FTP invalid MDTM command Trong tệp log Snort điều Hình 12 Snort phát công tràn đệm vào FTP Server Tiếp tục sâu phân tích hai gói tin để rõ kỹ thuật công hacker mã nguồn ex_servu - Đoạn mã làm tràn nhớ, giống đoạn gạch chân gói tin - Đoạn shellcode thực mở giao diện dòng lệnh cmd Windows XP từ xa, so sánh với đoạn gạch chân thứ hai gói tin (chỉ phần) 192 - Đoạn đánh dấu ô vuông, hacker gửi câu lệnh “MDTM” ftp để thay đổi thời gian tệp FTP Server Q trình cơng tràn đệm diễn hacker gửi vùng gian thời gian không hợp lệ (invalid time zone) đối số câu lệnh MDTM: MDTM 20031111111111+AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAA shellcode Chú thích thêm Serv – U chương trình FTP Server chạy môi trường Windows XP Serv – U FTPD phiên 4.1.0.11 phiên trước có lỗ hổng bảo mật mà hacker lợi dụng để công tràn đệm 193 Mô cơng khai thác (exploit) đặc tính Serv – U, thời gian sửa đổi tệp, thường gọi MODIFICATION TIME (MTMD) Thuộc tính Serv – U bị cơng tràn hacker chèn đoạn mã độc hại để giành quyền kiểm sốt máy tính nạn nhân Sau chiếm quyền điều khiển máy 10.1.1.1, hacker thực số lệnh xem nội dung thư mục, xóa tệp C:\WINDOWS\Prefetch, hoạt động hacker bị ghi lại 194 thư mục ... thông tin dị tìm thơng tin) quan tr? ??ng, hạn chế công, xâm nhập pha Do vậy, thu thập phân tích thơng tin an ninh mạng đóng vai tr? ?? quan tr? ??ng quy tr? ?nh an ninh bảo vệ an ninh mạng giúp người quản tr? ??... sau: - Sự kiện liên quan sách truy cập quản tr? ?? - Sự kiện liên quan đến sách bảo mật liệu tồn vẹn liệu - Sự kiện liên quan đến độ sẵn sàng - Sự kiện liên quan đến sách mật mã 1.2 MỤC ĐÍCH, VAI TR? ??,... quan: 23 c) Thanh tra gói tin Mặc định Wireshark hiển thị gói tin với ba mục:  Danh sách gói tin: phần hiển thị gói tin chặn bắt, gói tin dịng với thơng tin sơ lượt, bao gồm: thời gian gói tin