HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN  Học phần: An tồn mạng Bài báo cáo: Tìm hiểu công cụ FTK Imager Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Nguyễn Thị Tường Vân Mã sinh viên: B18DCAT258 HÀ NỘI – 2021 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG BIỂU MỞ ĐẦU CHƯƠNG I: GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH Về Computer Forensics (Điều tra số): Về công cụ FTK Imager: CHƯƠNG II: CÀI ĐẶT VÀ SỬ DỤNG 11 Hướng dẫn cài đặt: 11 a Cài đặt thiết bị cục (local devices): 11 b Cài đặt thiết bị di động (portable devices): 11 Hướng dẫn sử dụng: 12 a Làm việc với giao diện người dùng: 12 b Làm việc với chứng số 18 c Các tệp đầu FTK Imager: 20 CHƯƠNG III: DEMO 22 Nội dung: Forensics hình ảnh đĩa FTK Imager 22 Thông tin, mô tả kịch bản: 22 Thực hành: 22 Kết luận: 33 KẾT LUẬN 35 TÀI LIỆU THAM KHẢO 36 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng Anh Thuật ngữ tiếng Việt FTK Forensics Toolkit Bộ công cụ điều tra số IP Internet Protocol Giao thức Internet RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên CD Compact Disc Đĩa quang DVD Digital Optical Disc Đĩa video kỹ thuật số MD5 Message Digest Algorithm Giải thuật Tiêu hóa tin nhắn SHA-1 Secure Hash Algorithm Giải thuật băm an toàn SID System Identifier Mã định dạng đối tượng RHEL Red Hat Enterprise Linux Máy RHEL SSH Secure Shell Giao thức đăng nhập vào server từ xa SOC Security Operations Center Trung tâm điều hành an ninh ID Identifier Định danh CVE Common Vulnerabilities and Danh sách lỗi bảo mật máy Exposures tính cơng khai Common Vulnerability Scoring Hệ thống chấm điểm lỗ hổng bảo System mật Operating System Hệ điều hành CVSS OS FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 DANH MỤC CÁC HÌNH VẼ Tên Mơ tả Trang Hình 1-1 Logo cơng cụ FTK Imager Hình 2-1 Giao diện người dùng 11 Hình 2-2 Thanh Menu 12 Hình 2-3 File menu 13 Hình 2-4 View menu 13 Hình 2-5 Mode menu 14 Hình 2-6 Help menu 14 Hình 2-7 Toolbar 14 Hình 2-8 Properties tab 17 Hình 2-9 Hex Value Interpreter tab 17 Hình 2-10 Custom Content Sources tab 18 Hình 2-11 Hộp Select Source Add Evidence Item 19 Hình 2-12 Hộp Select File Add Evidence Item 19 Hình 2-13 Drive/Image Verify Result 21 Hình 3-1 Phiên máy RHEL 22 Hình 3-2 Log để xác định IP cơng 23 Hình 3-3 Tấn cơng brute-force thành cơng vào tài khoản 24 ‘rossantron’ Hình 3-4 Tấn cơng brute-force thành cơng vào tài khoản ‘chandler’ 24 Hình 3-5 Các tài khoản có login shell (1/2) 25 Hình 3-6 Các tài khoản có login shell (2/2) 25 Hình 3-7 Các nhóm tài khoản có quyền sudo /etc/sudoers 26 Hình 3-8 Các tài khoản nhóm wheel /etc/group 27 Hình 3-9 Mật bị mã hóa tài khoản /etc/shadow 27 FTK Imager Hình 3-10 Nguyễn Thị Tường Vân – B18DCAT258 Crack mật tài khoản rossantron 28 JohnTheRipper Hình 3-11 Lỗ hổng polkit 28 Hình 3-12 IP nạn nhân /var/log/secure 29 Hình 3-13 Xác định dịch vụ kẻ công sử dụng 29 Hình 3-14 Email tên máy cơng 30 Hình 3-15 Bash history tài khoản rachel 31 Hình 3-16 File /var/log/cron 32 Hình 3-17 Vị trí ython script c2c.py 32 Hình 3-18 Nội dung python script c2c.py 33 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 DANH MỤC CÁC BẢNG BIỂU Tên Bảng 2-1 Mô tả Các thành phần Toolbar Trang 15 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 MỞ ĐẦU Đầu tiên, em xin gửi lời cảm ơn tới Học viện Cơng nghệ Bưu viễn thơng đưa học phần An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn tới TS Đặng Minh Tuấn, người giảng dạy truyền đạt nhiều kiến thức bổ ích học phần An tồn mạng nói riêng An tồn thơng tin nói chung Ngày nay, thời đại chuyển đổi số, tầm quan trọng an tồn thơng tin ngày lớn Hầu hết nước, tổ chức đề sách luật để bảo mật liệu Với gia tăng đáng kể tội phạm mạng năm gần vai trị Forensics (hay điều tra số) ngày lớn Điều tra số giúp thu thập thơng tin, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Để điều tra cách nhanh chóng xác, cần cơng cụ hỗ trợ, công cụ lâu đời hiệu điều tra số FTK Imager, công ty Access Data, công ty cổ phần Exterro phát triển Trong tiểu luận này, em trình bày chi tiết cơng cụ tiểu luận em gồm ba phần sau:  Chương I:  Chương II:  Chương III: Giới thiệu, lịch sử hình thành cơng cụ Cài đặt sử dụng công cụ Demo công cụ FTK Imager điều tra số FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 CHƯƠNG I: GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH Về Computer Forensics (Điều tra số): a Định nghĩa, lịch sử đời mục tiêu:  Trong an tồn thơng tin nói riêng khao học máy tính nói chung, Computer Forensics, hay cịn gọi điều tra số, công việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng q trình điều tra  Khái niệm Forensics (Forensics Science – khoa học pháp y) tên gọi xuất phát từ lĩnh vực y tế từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác, có Khoa học máy tính  Computer Forensics đời vào năm 1980 phát triển máy tính cá nhân, xảy trộm cắp thiết bị phần cứng, mát liệu, vi phạm quyền, virus may tính phá hoại… Các doanh nghiệp phủ nước ý thức vấn đề bảo mật  Cốt lõi điều tra số phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa b Tại phải tiến hành điều tra số: Khi bị hacker công để lại hậu không mong muốn, cần phải xác định ngun nhân bị cơng, tìm cách khắc phục để việc không tái diễn hay xa xác định thủ phạm Đó lúc cần đến điều tra số (forensics) c Nguyên tắc trao đổi Locard ứng dụng điều tra số:  Edmond Locard (1877 - 1966), mệnh danh Sherlock Holmes nước Pháp, ông chuyên gia điều tra pháp y, người sáng lập Viện Hình học trường Đại học Tổng hợp Lyon  Locard phát biểu nguyên tắc, mà sau trở thành kim nam cho ngành khoa học điều tra, ông ta cho hai người tiếp xúc với nhau, thứ từ người trao đổi với người khác ngược lại, việc trao đổi có xảy ra, bắt nghi phạm  Nguyên tắc hoàn toàn Computer Forensics Cụ thể, bạn làm việc với máy tính hay hệ thống thông tin, tất hành động bạn bị ghi vết lại Tuy nhiên, việc tìm thủ phạm trường hợp khó khăn FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 nhiều thời gian nhiều đặc thù Computer Forensics đề cập d Đặc điểm Computer Forensics:  Dữ liệu cần phân tích lớn, dữ liệu dạng text thơi với dung lượng vài MB có lượng thơng tin lớn Trong thực tế cịn khổng lồ  Dữ liệu thường khơng cịn nguyên vẹn, bị thay đổi, phân mảnh bị lỗi  Bảo quản liệu khó khăn, liệu thu có tính tồn vẹn cao, thay đổi nhỏ làm ảnh hưởng đến tất  Dữ liệu gồm nhiều loại khác nhau: file hệ thống, ứng dụng, văn bản,…  Vấn đề để forensics thường khác trừu tượng: mã máy, dump file, network packet,…  Dữ liệu dễ dàng bị giả mạo  Xác định tội phạm khó khăn, bạn tìm liệu hacker (IP, email, profile, ) để xác định đối tượng thật ngồi đời khơng đơn giản e Đối tượng điều tra số: Để thuận tiện cho việc điều tra, Computer Forensics phân để làm việc với đối tượng định sau:  Physical Media, Media Management: liên quan đế phần cứng, tổ chức phân vùng, phục hồi liệu bị xóa…  File System: phân tích file hệ thống, hệ điều hành Windows, Linux hay Android  Network: phân tích gói mạng, bất thường mạng  Memory: phân tích liệu nhớ, thường liệu lưu RAM dump Về công cụ FTK Imager: FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 1-1 Logo công cụ FTK Imager Khi biết định nghĩa, mục đích tầm quan trọng việc điều tra số thời đại bùng nổ công nghệ thông tin nay, ta cần công cụ hỗ trợ việc điều tra số cho nhanh chóng xác, FTK Imager cơng cụ hữu hiệu để thực điều FTK Imager công cụ công ty Access Data, công ty cổ phần Exterro xây dựng phát triển Đây công cụ sử dụng để xem trước lưu liệu, từ nhanh chóng truy cập vào chứng số thực phân tích sâu Vì FTK Imager làm việc chủ yếu với hình ảnh đĩa (hay disk image), nên để hiểu rõ FTK Imager, ta cần tìm hiểu định nghĩa Một hình ảnh đĩa phần mềm đĩa vật lý, lưu trữ tồn liệu từ đĩa, bao gồm cấu trúc tập tin tất file thư mục từ đĩa, tập tin Bởi hình ảnh đĩa xác, chúng sử dụng để chép đĩa phục vụ lưu đầy đủ trường hợp khôi phục hệ thống Với FTK Imager, ta có thể: FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 CHƯƠNG III: DEMO Nội dung: Forensics hình ảnh đĩa FTK Imager Thông tin, mô tả kịch bản:  Link: https://cyberdefenders.org/labs/77  Mô tả: doanh nghiệp EDR bị lập trình viên cũ cơng máy RedHat Linux Bài lab cho sẵn hình ảnh đĩa máy nạn nhân có định dạng E01, nhiệm vụ ta đóng vai nhân viên team ứng cứu cố để phân tích tìm chứng số, xác định kẻ công nguyên nhân máy bị công, từ có hướng giải phù hợp  Các công cụ sử dụng bài: FTKImager, JohnTheRipper Thực hành: a Xác định phiên (version) máy RHEL: Truy cập file /etc/redhat-release để xem phiên máy: Hình 3-1 Phiên máy RHEL  Máy RHEL có phiên 8.4 22 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 b Xác định IP công: Truy cập /var/log/secure để xem log đăng nhập vào hệ thống Hình 3-2 Log để xác định IP cơng Nhận thấy có nhiều log đăng nhập khơng thành cơng từ IP 192.168.196.128  IP công 192.168.196.128 c Xác định kỹ thuật kẻ công sử dụng để cướp quyền truy cập hệ thống số thơng tin kỹ thuật cơng đó: Tương tự xác định IP công, truy cập /var/log/secure để xem log đăng nhập vào hệ thống 23 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-3 Tấn cơng brute-force thành cơng vào tài khoản ‘rossantron’ Hình 3-4 Tấn công brute-force thành công vào tài khoản ‘chandler’ Sau nhiều lần thử đăng nhập không thành công, cuối tài khoản chandler đăng nhập thành công  Kỹ thuật công sử dụng brute-force mật user dùng để cướp quyền truy cập vào hệ thống chandler rossantron (đều user có login shell tìm thấy bên dưới) Sau cướp quyền truy cập thành công, kẻ công sử dụng user chandler để tạo user rachel để thực công xa d Xác định số users có login shell: 24 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Đây tài khoản có khả thực cơng vào hệ thống cao (đặc biệt công leo thang đặc quyền – privilege escalation) Truy cập file /etc/passwd để xem shell mặc định tài khoản: Hình 3-5 Các tài khoản có login shell (1/2) 25 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-6 Các tài khoản có login shell (2/2)  Có users có login shell là: root, cyberdefenders, rossantron, chandler, tribbiani rachel e Xác định số users có quyền chạy lệnh quyền sudo (super user): Tương tự trên, users có nguy cao kẻ công  Truy cập file /etc/sudoers để xem đặc quyền users hệ thống  Xác định users group wheel có quyền sudo Hình 3-7 Các nhóm tài khoản có quyền sudo /etc/sudoers  Tiếp tục truy cập /etc/group để xem users group wheel 26 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-8 Các tài khoản nhóm wheel /etc/group  Có users có quyền chạy lệnh sudo là: cyberdefenders rachel f Xác định mật người dùng ‘rossantron’:  Truy cập file /etc/shadow để xem mật bị mã hóa tài khoản Hình 3-9 Mật bị mã hóa tài khoản /etc/shadow  Sử dụng JohnTheRipper để crack mật  Xác định mật tài khoản ‘rossantron’ rachelgreen 27 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-10 Crack mật tài khoản rossantron JohnTheRipper  Mật tài khoản rossantron đổi thành rachelgreen g Xác định địa IP máy nạn nhân: Đến đây, ta tổng hợp lại chút để xác định bối cảnh công Đây kiểu công hay gặp, kẻ công công vào lỗ hổng xác thực người dùng để leo thang đặc quyền, cách khai thác lỗ hổng tồn tại, thơng qua tạo user cấp cao đặt mật cho Trong trường hợp này, kẻ công truy cập vào tài khoản chandler, sau tạo tài khoản cấp cao rachel cách khai thác vào lỗ hổng polkit (policy kit) Truy cập log dnf.rpm, dễ thấy polkit daemon bị hạ cấp, kẻ cơng dễ dàng khai thác lỗ hổng Hình 3-11 Lỗ hổng polkit Từ đó, ta xác định IP nạn nhân /var/log/secure 28 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-12 IP nạn nhân /var/log/secure  IP nạn nhân 192.168.196.129 Dễ thấy, IP nạn nhân có subnet với IP cơng (192.168.196.128) Điều cho thấy kẻ cơng công reverse shell, kết nối ssh hay truy cập vật lý đến máy nạn nhân h Xác định dịch vụ mà kẻ công sử dụng để cướp quyền truy cập hệ thống: Sau xác định tài khoản công chandler  truy cập bash_history tài khoản để tìm tiết diện cơng (attack vector) /home/chandler/.bash_history Hình 3-13 Xác định dịch vụ kẻ công sử dụng  Có thể thấy, kẻ cơng thêm khóa SSH (được mã hóa RSA) vào authorized_keys đường dẫn ssh/ để trì đăng nhập Truy cập đường dẫn /.ssh export file authorized_keys 29 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258  Thu public key mã hóa theo RSA chứa email tên máy kẻ cơng Hình 3-14 Email tên máy công  Xác định dịch vụ mà kẻ công dùng để cướp quyền truy cập SSH i Xác định MITRE ID kỹ thuật mà kẻ sử dụng để trì đăng nhập:  Sử dụng kỹ thuật recon Google dorking để tìm MITRE ID kỹ thuật công mà kẻ công sử dụng  Xác định kỹ thuật cơng có MITRE ID T1098.004 (kỹ thuật cơng vào khóa SSH)  Chi tiết MITRE ID T1098.004: o Mô tả: kẻ cơng thay đổi nội dung file authorized_keys SSH để trì đăng nhập máy nạn nhân Các phân phối Linux macOS thường sử dụng phương thức xác thực sử dụng SSH key cho việc quản lý đăng nhập từ xa o Nền tảng thực công: hệ điều hành Linux macOS o Quyền bản: người dùng (user), quản trị (admin) j Xác định CVE mà kẻ công sử dụng để leo thang đặc quyền  Tương tự ý trên, sử dụng kỹ thuật recon Google dorking để tìm CVE mà kẻ công sử dụng  Xác định CVE-2021-3560  Chi tiết CVE-2021-3560: o Mô tả: lỗ hổng leo thang đặc quyền Linux lợi dụng lỗ hổng xác thực người dùng polkit (policy kit), cho phép leo thang đặc quyền lên user root thông qua công timing terminal 30 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 o Các phiên bị ảnh hưởng: Red Hat Enterprise Linux (RHEL) 6, 7, 8.x Red Hat Virtulization for Red Hat Enterprise Linux Red Hat OpenShift Container Platform 4.7 o Điểm CVSS: 7.8 o Mức độ nghiêm trọng: Cao o Tiết diện công (attack vector): Local o Mức độ phức tạp: Thấp k Xác định backdoor mà kẻ công gắn vào máy nạn nhân Đến đây, nói ta xác định động kẻ cơng Hóa ra, kẻ cơng đặt keylogger backdoor vào máy nạn nhân  Đây cơng có chủ đích (APT) Như đề cập phía trên, kẻ cơng tạo tài khoản rachel dựa lỗ hổng xác thực người dùng polkit, truy cập /.bash_history tài khoản xem để xem lệnh thực thi Hình 3-15 Bash history tài khoản rachel  Nhận thấy user sử dụng crontab để schedule python script 31 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Truy cập /var/log/cron: Hình 3-16 File /var/log/cron  Tìm thấy Command-n-Control python script có tên c2c.py đặt /usr/bin/c2c.py Truy cập đường dẫn để xem nội dung file c2c.py (có thể export khơng): Hình 3-17 Vị trí ython script c2c.py Export xem nội dung file c2c.py: + Tổng quan, đoạn script set up SMTP server, nhận lệnh từ kẻ công, giống reverse shell + Ngồi ra, cịn xác định gmail mà gửi lệnh cho backdoor cdefender16@gmail.com hình 32 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 Hình 3-18 Nội dung python script c2c.py Kết luận: Nhờ công cụ FTK Imager, ta thu thâp chứng số quan trọng đưa kết luận phương diện bao gồm kỹ thuật cơng, danh tính kẻ cơng chứng số:  Về kỹ thuật công: kiểu công hay gặp, kẻ công công vào lỗ hổng xác thực người dùng để leo thang đặc quyền, cách khai thác lỗ hổng tồn tại, thơng qua tạo user cấp cao đặt mật cho Cụ thể lab này, kẻ công truy cập vào tài khoản chandler, sau tạo tài khoản cấp cao rachel cách khai thác lỗ hổng polkit (policy kit) Kỹ thuật công loại lỗ hổng tham chiếu MITRE ID T1098.004 CVE-2021-3560 (đã gắn link phần Tài liệu tham khảo) 33 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258  Về danh tính kẻ cơng: xác định user gốc dùng để công chandler IP công 192.168.196.128  Về chứng số: kẻ cơng để lại keylogger tên xfil.py sau tạo backdoor có tên c2c.py để trì đăng nhập 34 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 KẾT LUẬN Trong báo cáo này, em trình bày tìm hiểu em cơng cụ FTK Imager Bài báo cáo em chia thành ba phần chính: Chương I giới thiệu điều tra số công cụ FTK, bước đầu hiểu công cụ Tiếp theo, sang đến chương II, em trình bày cách cài đặt thiết bị khác cách sử dụng tính trội công cụ Trong chương III, báo cáo cung cấp ứng dụng thực tế FTK Imager điều tra số, qua xác định thơng tin kỹ thuật cơng, danh tính kẻ cơng hay chứng số mà kẻ công để lại Thông qua báo cáo này, em nắm kiến thức quan tọng điều tra số cách sử dụng công cụ FTK Imager Tuy nhiên, thời gian thực kiến thức hạn chế nên báo cáo chưa đầy đủ cần nghiên cứu, bổ sung thêm 35 FTK Imager Nguyễn Thị Tường Vân – B18DCAT258 TÀI LIỆU THAM KHẢO [1] AccessData FTK Imager, “User Guide”, 2012 [Online] https://ad-pdf.s3.amazonaws.com/Imager%203_1_4_UG.pdf [2] Github, “CyberDefenders CTF101 Write-up”, 2021 [Online] https://github.com/Panagiotis-INS/CyberDefenders/blob/main/CyberDefenders_CTF01/Notes.md [3] MITRE, “Account Manipulation: SSH Authorized Keys” [Online] https://attack.mitre.org/techniques/T1098/004/ [4] Whitehat, “Forensics – Tổng quan Computer Forensics” [Online] https://whitehat.vn/threads/forensic-1-tong-quan-ve-computer-forensics.1082/ [5] Whitehat, “Hướng dẫn khai thác lỗ hổng leo quyền tồn năm Polkit” [Online] https://whitehat.vn/threads/huong-dan-khai-thac-lo-hong-leo-quyen-ton-tai-7-nam-trongpolkit.14944/ 36 ... học phần An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn tới TS Đặng Minh Tuấn, người giảng dạy truyền đạt nhiều kiến thức bổ ích học phần An tồn mạng nói riêng An tồn thơng... số, tầm quan trọng an tồn thơng tin ngày lớn Hầu hết nước, tổ chức đề sách luật để bảo mật liệu Với gia tăng đáng kể tội phạm mạng năm gần vai trị Forensics (hay điều tra số) ngày lớn Điều tra... server từ xa SOC Security Operations Center Trung tâm điều hành an ninh ID Identifier Định danh CVE Common Vulnerabilities and Danh sách lỗi bảo mật máy Exposures tính cơng khai Common Vulnerability