BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
******
ĐỒ ÁN TỐT NGHIỆP
Ứng dụng MEMORY FORENSICS trong điều tra và phân tích hệ thống bị thỏa hiệp

Chuyên ngành: An toàn thông tin
Gv hướng dẫn: Th.s Vũ Đình Thu
Sv thực hiện: Lê Công Phú
Hà Nội, 06/2013
1
NỘI DUNG

ĐẶT VẤN ĐỀ

MỤC TIÊU CỦA ĐỒ ÁN

CÁC NỘI DUNG THỰC HIỆN

KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN
2
MỤC TIÊU CỦA ĐỒ ÁN
3
Mục tiêu

Hiểu được tầm quan trọng của chứng cứ số.

Nắm bắt được kiến thức nền tảng cần có khi điều tra phân tích bộ nhớ.

Nắm bắt được quy trình phân tích chứng cứ số


Kỹ thuật hiện đang được các chuyên gia phân tích chứng cứ số sử dụng.

Ứng dụng kỹ thuật điều tra và phân tích bộ nhớ vào thực tế để giải quyết sự cố an toàn
thông tin khi một hệ thống bị thỏa hiệp.
4
CÁC NỘI DUNG THỰC HIỆN
5
Các nội dung thực hiện

Tổng quan về phân tích điều tra số

Phân tích điều tra bộ nhớ và nền tảng kỹ thuật cho phân tích điều tra bộ nhớ

Quy trình và cách thức thực hiện phân tích điều tra bộ nhớ

Ứng dụng phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp

DEMO
6
Tổng quan về phân tích điều tra số
7
Tổng quan về phân tích điều tra số

Khái niệm
Điều tra số là ngành khoa học máy tính bao gồm việc điều tra và
phục hồi các dữ liệu tìm thấy trong các thiết bị kỹ thuật số để tìm kiếm
các chứng cứ số liên quan đến tội phạm công nghệ cao.

Ứng dụng của điều tra số
o

Về mặt kỹ thuật:

Điều tra số giúp cho tổ chức xác định các vấn đề liên quan
đến an toàn thông tin xảy ra đối với hệ thống của họ, qua đó
xác định được các điểm yếu để khắc phục, kiện toàn.
o
Về mặt pháp lý:

Điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm
công nghệ cao có được những chứng cứ số thuyết phục để áp
dụng các chế tài xử phạt với các hành vi phạm pháp.
8
Tổng quan về phân tích điều tra số (cont…)


Quy trình thực hiện điều tra số
o
Tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật
o
Tiến hành phân tích
o
Báo cáo kết quả điều tra được.


Các loại hình điều tra số phổ biến
o
Điều tra máy tính

Điều tra bộ nhớ


Điều tra tập tin hệ thống

Phân tích điều tra Registry
o
Điều tra mạng
o
Điều tra thiết bị di động
9
Phân ch điều tra bộ nhớ và nền tảng kỹ thuật cho phân
ch điều tra bộ nhớ
10
Phân ch điều tra bộ nhớ và nền tảng kỹ thuật cho phân ch
điều tra bộ nhớ

Khái niệm
o
Memory Forensics là kỹ thuật điều tra máy tính bằng việc ghi lại bộ nhớ
khả biến (bộ nhớ RAM) của hệ thống thời điểm có dấu hiệu nghi ngờ,
hoặc đang bị tấn công để tiến hành điều tra, giúp cho việc xác định nguyên
nhân cũng như các hành vi đã xảy ra trên hệ thống.

Vai trò
o
Giúp xác định nhanh nguyên nhân hệ thống bị tấn công, cũng như các kỹ
thuật mà kẻ tấn công đã sử dụng từ đó có thể khắc phục và giảm thiểu thiệt
hại gây ra đối với các tổ chức khi mà hệ thống của họ đã bị thỏa hiệp
o
Cung cấp cho cơ quan pháp lý các chứng cứ thuyết phục về mặt công nghệ
cao để xử lý tội phạm theo quy định của pháp luật.
11

Phân ch điều tra bộ nhớ và nền tảng kỹ thuật cho phân ch điều tra bộ nhớ
(cont…)

Tại sao lại phải phân tích điều tra bộ nhớ
o
Tất cả mọi thứ trong hệ điều hành đều đi qua RAM
o
Những dữ liệu tìm thấy trong bộ nhớ khả biến.

Các tiến trình và các tập tin đang mở

Mã độc

Các kết nối mạng, các sockets, URLs, địa chỉ IP

Nội dung người dùng tạo ra

Mật khẩu và các khóa mật mã

Cấu hình phần cứng và phần mềm

Các khóa Registry trong windows và các nhật ký sự kiện.

…
Phân ch điều tra bộ nhớ và nền tảng kỹ thuật cho phân ch điều tra bộ nhớ
(cont…)

Nền tảng kỹ thuật cho phân ch điều tra bộ nhớ
o
Nhân hệ điều hành và tập 'n hệ thống

o
Cơ chế quản lý bộ nhớ của hệ điều hành

Quản lý bộ nhớ ảo theo cấu trúc phân trang

Quản lý bộ nhớ vật lý
o
Kỹ thuật phân ch mã độc

Phân tích động

Phân tích tĩnh
o
Các kỹ thuật tấn công hệ thống máy tính

Khai thác lỗ hổng phần mềm

Tấn công sử dụng mã độc

Một số kỹ thuật khác
13
Quy trình và cách thức thực hiện điều tra bộ nhớ
14
Quy trình và cách thức thực hiện điều tra bộ nhớ

Môi trường phân ch điều tra bộ nhớ
o

Phân tích điều tra bộ nhớ trên hệ điều hành windows
o

Phân tích điều tra bộ nhớ trên hệ điều hành linux
o
Phân tích điều tra bộ nhớ trên OSx
15
Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…)

Quy trình thực hiện phân ch điều tra bộ nhớ
1.
Ki
ểm tra xác minh
2. Mô tả hệ thống
3. Thu thập chứng cứ
4. Thiết lập mốc thời gian và phân ch
5. Lập báo cáo
16
Quy trình và cách thức thực hiện điều tra bộ nhớ (cont…)

Công cụ sử dụng trong phân tích dữ liệu từ bộ nhớ khả biến
o
Những công cụ cơ bản
o
Volatility
o
DFF – Digital Forensics Framework
o
TheSleuth kit và Autopsy
o
Mandiant Realine
o
SANS Investigate Forensics Toolkit (SIFT) Workstation

17
Ứng dụng của phân tích điều tra bộ nhớ trong phân tích
điều tra hệ thống bị thỏa hiệp
18
Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị
thỏa hiệp

Trong phân tích điều tra hệ thống bị thỏa hiệp thì Memory Forensics có thể xác định.
o
Những tiến trình đang chạy trên hệ thống bị thỏa hiệp tại thời điểm hình ảnh bộ nhớ được “chụp lại”,
bao gồm các tiến trình ẩn.
o
Các kết nối ra vào hệ thống.
o
Xác định các Modules dll, các tập tin khả nghi
o
Các địa chỉ URLs đáng ngờ hoặc các địa chỉ ip liên quan đến tiến trình.
o
Các khóa mật mã
19
Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp
(cont…)
o
Xác định được các tập tin đang mở có liên quan tới một tiến trình nào đó.
o
Xác định được bất kỳ chuỗi nghi ngờ liên quan đến một tiến trình cụ thể.
o
Có thể trích xuất các tập tin độc hại từ bộ nhớ và phân tích nó.
o
Có thể khôi phục lại các tập tin đã bị xóa.

20
Ứng dụng của phân tích điều tra bộ nhớ trong phân tích điều tra hệ thống bị thỏa hiệp
(cont…)
o
Có thể xác định được địa chỉ ip của kẻ tấn công và vị trí của nó.
o
Có thể xác định được các tài khoản đã được kẻ tấn công tạo ra trên hệ thống.
o
Xác định được các thay đổi trong Registry bởi mã độc.
o
Mối quan hệ giữa các tiến trình với nhau.
o
Ý định của mã độc khi lây nhiễm vào hệ thống.
21
DEMO
22
Q&A
23