HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN MÔN HỌC PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH THU THẬP & PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ Giảng viên: Nguyễn Việt Thắng Thực hiện: Lê Minh Quân Nguyễn Lân Hạnh Vi Thùy Linh Phan Văn Thế Hà Nội, 2021 LỜI CẢM ƠN Trong trình thực tập lớn này, nhóm chúng em xin chân thành cảm ơn giúp đỡ tận tình quý thầy khoa An tồn thơng tin – Học viện Kỹ thuật Mật mã Đặc biệt, chúng em xin cảm ơn thầy Nguyễn Việt Thắng- Giảng viên trường Học Viện Kỹ thuật Mật mã hướng dẫn nhiệt tình tạo điều kiện tốt để thực đề tài Chúng em xin chân thành cảm ơn Nhóm sinh viên thực LỜI MỞ ĐẦU Ngày nay, với phát triển khoa học kỹ thuật ngành công nghệ thơng tin chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học cơng nghệ nói chung cơng nghệ thơng tin nói riêng đem lại nhiều lợi ích cho người, rút ngắn khoảng cách giao tiếp, tiết kiệm thời gian chi phí cơng việc Bên cạnh đó, tổ chức phải đối mặt với nhiều thách thức, mà công nghệ phát triển, giá trị thông tin truyền tải lưu trữ hệ thống máy tính ngày cao, mục tiêu cơng nhằm vào máy tính để đánh cắp thơng tin quan trọng, làm ảnh hưởng đến uy tín tổ chức Bài tốn an tồn thơng tin ln vấn đề cần trọng kỹ thuật công ngày tin vi song song với việc đảm bảo an tồn hệ thống vận hành an tồn, u cầu ứng phó giải có cố xảy để đưa hệ thống vào tình trạng hoạt động bình thường thời gian nhanh ln vấn đề trọng tâm Vì vậy, nhóm em lựa chọn đề tài “Thu thập phân tích chứng từ nhớ” để tìm hiểu số kỹ thuật thu thập phân tích thống tin an ninh mạng lấy từ nhớ máy tính triển khai hướng giải MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG : TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ Điều tra số (Computer Forensics ) Đặc điểm Computer Forensics Thu thập Phân tích điều tra nhớ máy tính 2.1 Giới thiệu phân tích điều tra nhớ máy tính 2.2 Giới thiệu thu thập nhớ máy tính 2.3 Vai trị ứng dụng thu thập phân tích nhớ máy tính Quy trình thu thập phân tích thơng tin từ nhớ máy tính 10 11 3.1 Kiểm tra xác minh 11 3.2 Mô tả hệ thống 12 3.3 Thu thập chứng 12 3.4 Thiết lập mốc thời gian phân tích 13 3.5 Phân tích phương tiện truyền liệu 13 3.6 Khôi phục liệu 14 3.7 Tìm kiếm chuỗi 14 3.8 Lập báo cáo 14 CHƯƠNG II – MỘT SỐ KỸ THUẬT VÀ CÔNG CỤ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ MÁY TÍNH 15 Kỹ thuật sử dụng thu thập phân tích chứng từ nhớ máy tính 15 1.1 Thu lại nhớ khả biến (Acquisition) 15 1.2 Xác định nơi tìm nhớ khả biến 16 1.3 Liệt kê tiến trình thực thi 16 1.4 Liệt kê kết nối mạng có hệ thống 17 1.5 Mật khóa mật mã 18 1.7 Phân tích ngược tập tin chứa mã độc 19 1.8 Phân tích registry 20 Một số công cụ 20 2.1 Volatility 20 2.2 DFF - Digital Forensic Framework 22 2.3 The Sleuth Kit Autospy 23 CHƯƠNG III – TRIỂN KHAI MƠ HÌNH THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH BẰNG CƠNG CỤ VOLATILITY 25 Xây dựng tốn 25 Lựa chọn cơng nghệ 25 2.1 Quy trình thực hiện: 25 2.2 Các cơng cụ sử dụng để thu thập, phân tích: 26 Thu thập chứng phân tích 26 3.1 Xác định hệ thống tiến hành kiểm tra, xác định môi trường thực phân tích 26 3.2 Phân tích tiến trình 27 3.3 Phân tích mạng 29 3.4 Phân tích Registry 31 Báo cáo kết đạt 36 CHƯƠNG : TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ Điều tra số (Computer Forensics ) Khái niệm Forensics (Forensics Science – khoa học pháp y) : xuất phát từ lĩnh vực y học từ kỷ 18 liên quan đến điều tra pháp y Computer Forensics (điều tra số) : nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, công gây gián đoạn q trình làm việc hệ thống ● Mục đích : Mục tiêu cốt lõi việc điều tra phát hiện, bảo quản, khai thác đưa kết luận liệu thu thập Cần lưu ý : liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa ● Ứng dụng : Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể ○ Về mặt kỹ thuật: điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống ○ Về pháp lý: Giúp quan điều tra có chứng thuyết phục, phục vụ cho việc điều tra tội phạm công nghệ cao ● Đặc điểm Computer Forensics ○ Dữ liệu cần phân tích lớn, liệu text thơi với dung lượng vài MB có lượng thơng tin lớn Trong thực tế cịn khổng lồ ○ Dữ liệu thường khơng cịn ngun vẹn, bị thay đổi, phân mảnh bị lỗi ○ Bảo quản liệu khó khăn, liệu thu có tính tồn vẹn cao, thay đổi nhỏ làm ảnh hưởng đến tất ○ Dữ liệu Forensics gồm nhiều loại khác nhau: file hệ thống, ứng dụng,… ○ Dữ liệu dễ dàng bị giả mạo ○ Xác định tội phạm khó khăn, bạn tìm liệu hacker(IP, email, profile…) để xác định đối tượng thật ngồi đời khơng phải việc đơn giản ● Một số loại hình điều tra số phổ biến: ○ Registry Forensics: Đây loại hình điều tra liên quan đến việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt…) liệu Register ○ Disk Forensics: Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích xuất liệu ẩn, khôi phục tập tin bị xóa, qua xác định người tạo thay đổi liệu thiết bị phân tích ○ Mobile forensics: Là loại hình điều tra thực thiết bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập liệu, chứng kỹ thuật số ○ Application Forensics: Là loại hình điều tra phân tích ứng dụng chạy hệ thống Email, liệu trình duyệt, skype, yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng ○ Network Forensics: Là nhánh digital forensics liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, kiện liên quan, tìm kiếm chứng pháp lý, mục đích phát bất thường, dấu hiệu xâm nhập môi trường mạng ○ Memory Forensics: Là phương thức điều tra máy tính việc ghi lại nhớ khả biến (bộ nhớ RAM) hệ thống sau tiến hành phân tích làm rõ hành vi xảy hệ thống Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ Thu thập Phân tích điều tra nhớ máy tính 2.1 Giới thiệu phân tích điều tra nhớ máy tính Điều tra nhớ (Memory Forensics) :là hình thức điều tra phân tích quan trọng kỹ thuật điều tra số cho phép nhà điều tra xác định hành vi bất thường, không phép (unauthorized) máy tính hay máy chủ mục tiêu Để thực điều này, công cụ, phần mềm dùng để “chụp” lại snapshot tình trạng nhớ hệ thống (còn gọi memory dump) Sau đó, tập tin “chụp” lưu trữ, xử lý, tìm kiếm phân tích nhân viên điều tra Nhắc đến điều tra liệu nhớ, nhắc đến kỹ thuật phân tích liệu lưu RAM Đây kỹ thuật điều tra máy tính việc ghi lại nhớ RAM hệ thống thời điểm có dấu hiệu nghi ngờ, bị công để tiến hành điều tra, giúp cho việc xác định nguyên nhân hành vi xảy hệ thống, cung cấp chứng phục vụ cho việc xử lý tội phạm Kỹ thuật điều tra sử dụng q trình phân tích tĩnh từ gói tin thu được, thông tin từ nhật ký hệ thống ghi lại, chưa xác định nguồn gốc kỹ thuật công, cung cấp thơng tin có chưa đầy đủ, chưa đủ sức thuyết phục Như biết, phân tích điều tra nhớ RAM giống tất nỗ lực điều tra số khác, liên quan đến việc thu thập thơng tin, để cung cấp chứng chứng sử dụng trọng điều tra hình Nhưng cụ thể kỹ thuật mà người điều tra cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú trọng nhớ vật lý máy tính Những tập tin thực thi sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Tính hữu ích loại hình điều tra thực tế, thơng tin tìm thấy trọng nhớ RAM, hiểu gần chạy hệ thống nạn nhân 2.2 Giới thiệu thu thập nhớ máy tính Sự thành cơng phân tích thường phụ thuộc vào khởi đầu giai đoạn thu thập điều tra Trong giai đoạn này, điều tra viên phải đưa định liệu cần thu thập phương pháp tốt để thu thập liệu Về bản, thu thập nhớ chép nội dung nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp công cụ cụ thể sử dụng thường phụ thuộc vào mục tiêu điều tra đặc điểm hệ thống điều tra Một nhà điều tra kỹ thuật số tìm cách bảo vệ trạng thái môi trường kỹ thuật số theo cách cho phép điều tra viên đạt suy luận xác thơng qua phân tích Dữ liệu lưu trữ đĩa RAM cung cấp hai thành phần quan trọng mơi trường đó.Quan điểm truyền thống điều tra số tập trung vào giả định độ tin cậy suy luận hoàn toàn phụ thuộc vào việc thu thập chứng mà khơng thay đổi trạng thái Ví dụ, thủ tục xử lý chứng thường chấp nhận liên quan đến việc tắt hệ thống tạo (ảnh) liệu thiết bị lưu trữ đĩa để phân tích ngoại tuyến Các quy trình thủ tục chuyển đổi tập trung vào việc giảm thiểu thay đổi file liệu hệ thống Khi lĩnh vực kỹ thuật điều tra số phát triển, trở nên rõ ràng với việc lưu trữ chọn lọc số chứng chi phí chứng quan trọng khác ảnh hưởng đến độ xác suy luận đưa Điều đặc biệt quan trọng tác nhân độc hại ln tìm cách khai thác hạn chế kỹ thuật thu thập chứng pháp y kỹ thuật số truyền thống Bằng cách so sánh liệu từ nhiều nguồn (đĩa, mạng, nhớ, v.v.) mơi trường kỹ thuật số, hiểu rõ xảy hệ thống so với góc nhìn hạn chế tiếp nhận liệu từ nhớ đĩa Với nguồn thay này, phải chấp nhận tất phương pháp chuyển đổi, bao gồm thủ tục chuyển đổi đĩa truyền thống, dẫn đến số biến dạng môi trường kỹ thuật số Các nhà điều tra phải hiểu cách mà thay đổi tác động đến kết phân tích thứ tự mà cần phải thu thập liệu để giảm tác động Quá trình thực thường ưu tiên dựa thứ tự thay đổi giảm dần (tức là, chứng cho thấy thay đổi nhanh thu thập trước chứng ổn định hơn) Và thực tế, điều có nghĩa chứng nhớ khả biến cần thu thập trước 2.3 Vai trò ứng dụng thu thập phân tích nhớ máy tính Khoa học điều tra số chứng minh vai trò quan trọng Memory Forensics, việc điều tra nhớ RAM nơi mà liệu sẵn sàng để ghi lại phân tích, cung cấp chứng có giá trị, vượt qua số hạn chế phương pháp điều tra truyền thống (phân tích đĩa vật lý), giải vấn đề mà cơng nghệ mã hóa gây khó khăn q trình điều tra Những phương pháp phân tích truyền thống bị giới hạn số chỗ, ví dụ tiến hành phân tích thường gặp khó khăn khơng truy cập liệu mã hóa trừ bẻ khóa mật người dùng Mà biết khóa mật lưu trữ đĩa Tuy nhiên thiết nạp vào lưu trữ nhớ RAM, tiến hành phân tích nhớ cho phép sử dụng kỹ thuật công cụ để khôi phục mật khóa mật mã cách dễ dàng Một hạn chế khác phương pháp điều tra truyền thống người phân tích khơng đủ khả việc khám phá thông tin tiến trình chạy nhớ, dễ bỏ qua việc điều tra ứng dụng, hệ thống sử dụng thời điểm công diễn ra, liệu che giấu nhớ Nhưng Memory Forensics, việc dễ dàng Ứng dụng Memory Forensics phân tích điều tra cơng máy tính sử dụng cơng nghệ cao, với kỹ thuật tinh vi, đủ để tránh việc để lại chứng ổ đĩa cứng máy tính Chính việc phân tích điều tra nhớ RAM cho nhìn sâu sắc nhất, xác diễn hệ thống thời điểm hệ thống bị cơng Quy trình thu thập phân tích thơng tin từ nhớ máy tính Sơ đồ mơ tả quy trình điều tra nhớ máy tính: Hình 1.1: Sơ đồ quy trình điều tra nhớ 3.1 Kiểm tra xác minh Khi bắt đầu trình điều tra nhiệm vụ việc kiểm tra xác minh Việc kiểm tra xác minh cung cấp nhìn bao qt thơng tin ghi lại hệ thống, ứng dụng ngăn chặn virus hệ thống hay thiết bị mạng (firewall, IDS, router) Tuy nhiên, việc kiểm tra xác minh gặp phải số tình khó khăn như: ● Hệ thống máy tính bị ngưng trệ phương tiện truyền thơng bị đóng băng là: Một Vmware hay Virtualbox có cài sẵn windows xp, win 7,…, số ứng dụng thông dụng java, adobe flash, firefox,…và máy ảo khơng có kết nối mạng máy thật có kết nối máy thật, máy thật sử dụng Linux khơng có kết nối mạng Một số công cụ 2.1 Volatility Volatility framework với nhiều plugins dùng để phân tích tìm kiếm thông tin từ chứng thu Các plugins viết để phân tích điều tra nhớ theo kiến trúc hệ điều hành windows Hình 2.2: Các plugins mà volatility hỗ trợ Việc phân tích tiến hành môi trường độc lập với hệ thống ghi lại chứng cứ, volatility cài đặt làm việc hệ điều hành Linux windows, lĩnh vực Memory Forensic cơng cụ khơng thể thiếu để điều tra phân tích thực công việc xác định tiến trình chạy hệ thống đó, registry handles, sockets mở mạng, danh sách dlls nhập vào tiến trình, thư viện, hàm, API hooks người dùng nhân … Ngồi giao diện sử dụng dịng lệnh volatility cịn cộng đồng mã nguồn mở phát triển thêm giao diện web để giúp cho người phân tích có nhìn trực quan Phiên giao diện web mang tên VolUtility lập trình viên “kevthehermit” phát triển dựa tảng django python Hình 2.3: Giao diện VolUtility Với giao diện web giúp cho người phân tích điều tra nhớ có nhìn tổng quan giúp cho việc phân tích nhanh giao diện dòng lệnh 2.2 DFF - Digital Forensic Framework DFF phần mềm mã nguồn mở phục vụ cho việc điều chứng tội phạm công nghệ cao DFF xây dựng để phục vụ cho việc dễ dàng thu thập thông tin việc trì phân tích chứng kỹ thuật số mà không gây ảnh hưởng đến liệu hệ thống Một số tính mà DFF hỗ trợ như: Phân tích xây dựng lại Windows registry Trích xuất nhiều liệu siêu liệu Phục hồi liệu ẩn liệu bị xóa Liệt kê tiến trình chạy Liệt kê kết nối mạng tồn hệ thống - Sử dụng tính tìm kiếm dựa vào thời gian, nội dung Hình 2.4: Giao diện DFF 2.3 Mandiant Redline Mandiant Redline cơng cụ miễn phí hàng đầu mandiant cung cấp khả điều tra máy chủ để người dùng tìm thấy liệu hoạt động tập tin độc hại thơng qua việc phân tích nhớ tập tin hệ thống Công cụ Mandiant RedLine cung cấp khả phân tích tệp tin nhớ máy cụ thể Công cụ giúp thu thập thơng tin tiến trình, trình điều khiển chạy từ nhớ thu thập tệp tin siêu liệu hệ thống, liệu registry, thông tin mạng, dịch vụ, nhiệm vụ lịch sử duyệt web để giúp xây dựng hồ đánh giá đe dọa tổng thể giúp ích cho q trình điều tra an ninh mạng 2.4 The Sleuth Kit Autospy TheSleuth Kit Autospy công cụ nôi tiếng phân tích điều tra tội phạm máy tính Đây công cụ mã nguồn mở hỗ trợ nhiều hệ điều hành windows, Linux, OSX họ Unix khác, chúng thường sử dụng để phân tích nhớ khả biến ghi lại từ hệ thống thực phân tích chuyên sâu hệ thống tập tin NTFS, FAT, HFS+, Ext3 UFS nhiều loại ổ đĩa khác hệ thống Hình 2.5: Giao diện cơng cụ The Sleuth Kit TheSleuth Kit mạnh việc khôi phục thông tin bị xóa bỏ dựa vào cấu trúc băm chữ kí đối tượng bị xóa Bộ Sleuth Kit công cụ điều tra số, điều tra an ninh mạng mã nguồn mở, sử dụng để phân tích chuyên sâu cho hệ thống tệp tin khác Autospy giao diện đồ họa người dùng cho Sleuth Kit, kèm với tính Timeline Analysic, Hash Filtering, File System Analysis Keyword Searching, với khả thêm module khác cho chức mở rộng CHƯƠNG III – TRIỂN KHAI MƠ HÌNH THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ BỘ NHỚ MÁY TÍNH BẰNG CƠNG CỤ VOLATILITY Lựa chọn cơng nghệ 1.1 Quy trình thực hiện: Giai đoạn 1: Xác định tính tồn vẹn chứng thu để đảm bảo tính tồn vẹn chứng khẳng định chưa bị thay đổi Giai đoạn 2: Xác định hệ thống mà tiến hành kiểm tra, xác định mơi trường thực phân tích Giai đoạn 3: Thu thập chứng Tất thông tin máy tính có sẵn phải đưa vào mơi trường điều tra an tồn để thực cơng việc điều tra, phân tích Nhằm đảm bảo chứng thu thập nguyên vẹn Tất liệu thu từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa) phải ghi lại ký mã thuật tốn MD5, SHA1 để đảm bảo tính tồn vẹn chứng Giai đoạn 4: Thiết lập mốc thời gian phân tích Q trình thiết lập mốc thời gian phục vụ hữu ích cho việc theo dõi hoạt động hệ thống như: - Thời gian cuối tệp tin thực thi chạy - Các tệp tin/thư mục tạo, xóa khoảng thời gian - … Quá trình thiết lập mốc thời gian gồm phần: - Phần 1: Thời gian bước tạo tệp tin trung gian (bao gồm thông tin: liệu, siêu liệu) - Phần 2: Sắp xếp loại liệu theo thời gian tăng dần Giai đoạn 5: Phân tích phương tiện truyền liệu Phân tích phương tiện truyền thơng để tìm kiếm đầu mối phía sau hệ thống bị thỏa hiệp Việc phân tích phương tiện truyền thông (vật lý, liệu, siêu liệu, hệ thống tệp tin) để tìm kiếm chứng việc cài đặt tệp tin thực thi thư mục nghi ngờ thêm vào, gỡ bỏ Giai đoạn 6: Khơi phục liệu Tìm kiếm nhớ, trích xuất liệu chưa phân bố ngăn xếp, phục hồi tập tin bị xoá Giai đoạn 7: Tìm kiếm chuỗi Với thơng tin thu thập được, người phân tích tìm kiếm chuỗi cụ thể bên tệp tin để tìm kiếm thơng tin hữu ích ip, địa email, từ truy tìm dấu vết bị cơng Giai đoạn 8: Lập báo cáo Tất giai đoạn phải lập báo cáo mô tả chi tiết thông tin thu thập Báo cáo phải có kỹ thuật điều tra, cơng nghệ, phương thức sử dụng, chứng thu 1.2 Các cơng cụ sử dụng để thu thập, phân tích: - Volatility: dùng để thu thập thông tin an ninh mạng - Virustotal.com: dùng để scan tiến trình xem có virus hay khơng - ipvoid.com: kiểm tra thơng tin ip Thu thập chứng phân tích 2.1 Xác định hệ thống tiến hành kiểm tra, xác định mơi trường thực phân tích Bây tiến hành xác định xem hệ thống mà tiến hành điều tra hệ thống gì, hệ điều hành Linux hay hệ điều hành Windows, bước định nhìn cho hướng mơi trường điều tra phân tích nhớ khả biến khác Với thông tin cung cấp từ bên công ty A sử dụng volatility để biết thông tin hệ thống cần điều tra, ta biết mơi trường cần phân tích Windows XP SP2 x86 Hình 2.1: Thơng tin hệ thống cần điều tra 2.2 Phân tích tiến trình Tất tiến trình chạy lưu trữ nhớ lấy việc sử dụng công cụ dựa vào cấu trúc hệ thống điều tra Từ đưa vào hệ thống kết thúc tiến trình tồn trạng thái khác Trong hệ điều hành có nhiều tiến trình khác nhau, tiến trình tiến trình con, hay tiến trình cha tiến trình kia, tất tiến trình tìm thấy nhớ RAM Các tiến trình ẩn trích xuất khỏi nhớ ghi lại Khi tiến trình kết thúc cư trú nhớ khơng gian cư trú chưa phân bổ lại Sử dụng Volatility với pslist để liệt kê tiến trình chạy thực thi hệ thống thời gian gần nhất: Hình 2.2: Module pslist Volatility Nâng cao hơn, psscan liệt kê tiến trình bị ẩn bị Hình 2.3:Các tiến trình nhớ Sử dụng pstree, để hiển thị tiến trình cha - Hình 2.4: Tiến trình cha - Qua việc phân tích tiến trình chạy thời hệ thống, nhận thấy process khơng có bất thường, chưa thể xác định vấn đề 2.3 Phân tích mạng Thơng tin kết nối mạng bao gồm cổng lắng nghe hệ thống, kết nối thiết lập thông tin liên kết hệ thống với kết nối từ xa, thơng tin lấy từ nhớ Các thông tin kết nối mạng cho ta biết backdoor kết nối hệ thống, máy chủ điều khiển botnet dựa vào kết nối Thông tin kết nối mạng yếu tố quan trọng đáng tin cậy điều tra hệ thống bị thỏa hiệp Tiến hành phân tích kết nối thời có, dựa vào connscan Hình 2.5: Scan mạng với connscan Ta thấy máy có kết nối đến địa IP 193.104.41.75 cổng 80/http PID 856 Ta kiểm tra IP với ipvoid.com Hình 2.6: Kiểm tra IP 193.104.41.75 Ta thấy IP khơng nằm blacklist Ta kiểm tra tiến trình chạy với PID 856: Hình 2.7: Kiểm tra tiến trình có PID 856 Theo biết svchost tiến trình hệ thống quan trọng Trong trường hợp thông thường, file svchost virus, mà thành phần quan trọng số Windows service Nhưng đây, tiến trình svchost riêng PID 856 lại kết nối với IP 193.104.41.75 Hình 2.8: Kiểm tra tiến trình có tên svchost.exe Như ta thấy tiến trình svchost.exe PID 856 khơng bình thường 2.4 Phân tích Registry Các tập tin mở xử lý registry (registry handles) truy xuất tiến trình lưu trữ nhớ Thông tin tập tin mở hay xử lý liên quan đến Registry có giá trị việc điều tra Chúng ta hiểu này, giả sử có tiến trình phần mềm độc hại chạy hệ thống tập tin mở giúp người điều tra khám phá nơi mà mã độc hại lưu trữ đĩa Trong trường hợp phân tích điều tra nhớ RAM với việc phân tích Registry thực việc tạo dựng lại liệu registry, ví dụ để hiển thị giá trị chứa trong Registry winlogon, sử dụng lệnh printkey volatility Để xác định địa ảo registry nhớ đường dẫn đầy đủ tương ứng đĩa, sử dụng hivelist Hình 2.9: Địa ảo vật lý Registry Để trích xuất giải mã thơng tin đăng nhập lưu trữ registry, sử dụng module hashdump Hình 2.10: Dump liệu tài khoản registry Ta user khơng có bất thường Để hiển thị khóa con, giá trị, liệu kiểu liệu chứa khóa đăng ký định, sử dụng printkey Ở ta xem khóa WinLogon Hình 3.10: Thơng tin key WinLogon Ta thấy Userinit có đường dẫn , đường dẫn đến C:\WINDOWS\system32\userinit.exe đường dẫn đến C\WINDOWS\sdra64.exe Thơng thường userinit.exe tệp chịu trách nhiệm thực thi tập lệnh đăng nhập, thiết lập kết nối mạng khởi động Explorer.exe tệp an tồn Nhưng sdra64.exe qua google ta thấy sdra64.exe tệp thực thi tạo Trojan.Zbot, phần mềm độc hại ăn cắp thơng tin nhạy cảm từ máy tính 2.5 Phân tích ngược tập tin chứa mã độc Tiếp tục tìm kiếm tệp tin tiêm vào, DLL nhớ dump Hình 2.5.1: Thơng tin key WinLogon Ta quay lại kiểm tra xem file PID 856 dump file Hình 2.5.2: Địa tiến trình PID 856 Ta kiểm tra file process.0x80ff88d8.0xb70000.dmp virustotal Hình 2.5.3: Kiểm tra file virustotal Ta thấy file tạo ZeuS.Trojan Một trojan để dễ dàng hoạt động tắt tường lửa, kiểm tra cấu hình tường lửa Hình 2.5.4: Kiểm tra thơng tin tường lửa Ta thấy tường lửa bị tắt Báo cáo kết đạt Thơng qua q trình phân tích nhớ máy rút kết luận sau: - Máy chủ bị nhiễm trojan Zeus, trojan Zeus có hành vi biến máy nạn nhân thành botnet để thực công DDOS, đồng thời đánh cắp thông tin nhạy cảm thông tin ngân hàng Tường lửa bị tắt - Các tiến trình độc hại là: + svchost.exe với PID 856 Biện pháp khắc phục: - Gỡ bỏ mã độc tồn hệ thống, cài đặt phần mềm anti-virus lên hệ thống - Sửa lại registry WinLogon, loại bỏ sdra64.exe Thay đổi lại toàn mật hệ thống - Thiết lập khởi động lại tường lửa - Lưu ý người dùng máy khơng click link lạ, đính kèm email lạ TÀI LIỆU THAM KHẢO [1] What Are Memory Forensics? A Definition of Memory Forensics [2 https://phulc.wordpress.com/2014/08/14/memory-forensics/ [3] Malware Analyst's Cookbook and DVD, Michael Hale Ligh, Steven Adai, Blake Hartstein, Matthew Richard [4] The Official CHFI Study Guide for Computer Hacking Forensics Investigators [Exam 312-49], Dave Kleiman [5] Advances in memory forensics, Fabio Pagani ... CÔNG CỤ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ MÁY TÍNH 15 Kỹ thu? ??t sử dụng thu thập phân tích chứng từ nhớ máy tính 15 1.1 Thu lại nhớ khả biến (Acquisition) 15 1.2 Xác định nơi tìm nhớ khả... CHỨNG CỨ TỪ BỘ NHỚ MÁY TÍNH Kỹ thu? ??t sử dụng thu thập phân tích chứng từ nhớ máy tính 1.1 Thu lại nhớ khả biến (Acquisition) Có phương pháp để thu lại nhớ khả biến là: Thu dựa phần cứng thu dựa... QUAN VỀ THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ BỘ NHỚ Điều tra số (Computer Forensics ) Đặc điểm Computer Forensics Thu thập Phân tích điều tra nhớ máy tính 2.1 Giới thiệu phân tích điều tra nhớ máy