HỌC VIỆN KỸ THUẬT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN
BỘ MÔN AN TOÀN THÔNG TIN

BÁO CÁO MÔN AN NINH MẠNG
DIGITAL FORENSICS – ĐIỀU TRA SỐ

Giáo viên hướng dẫn : Trần Hồng Quang
Nhóm 23
Trần Văn Anh Tuấn – TH2
Học viên thực hiện :
Lê Văn Vũ – TH2
Lê Thành Trung – TH1

HÀ NỘI – 2016

MỤC LỤC


CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ - DIGITAL
FORENSICS
1.1. Khái niệm
Điều tra số (đôi khi còn gọi là Khoa học điều tra số) là một nhánh của ngành
Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong
các thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính. Thuật ngữ điều
tra số ban đầu được sử dụng tương đương với điều tra máy tính nhưng sau đó được
mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết bị có khả năng lưu trữ
dữ liệu số.
Điều tra số có thể được định nghĩa là việc sử dụng các phương pháp, công cụ kỹ
thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực,
phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các

nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự
kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái
phép gây gián đoạn quá trình làm việc của hệ thống.

1.2. Mục đích – Ứng dụng
Trong thời đại công nghệ phát triển mạnh như hiện nay. Song song với các
ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọng trong việc


ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyêngia có thể phát
hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũng như
việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối với hết
thống.
Về mặt kỹ thuật thì điều tra số như: Điều tra mạng, điều tra bộ nhớ, điều tra
các thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang xảy
ra làm ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắc
phục, kiện toàn
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm
công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài
xử phạt với các hành vi phạm pháp.
Một cuộc điều tra số thường bao gồm 3 giai đoạn: Tiếp nhận dữ liệu hoặc ảnh
hóa tang vật, sau đó tiến hành phân tích và cuối cùng là báo cáo lại kết quả điều
tra được.
Việc tiếp nhận dữ liệu đòi hỏi tạo ra một bản copy chính xác các sector hay còn
gọi là nhân bản điều tra, của các phương tiện truyền thông, và để đảm bảo tính
toàn vẹn của chứng cứ thu được thì những gì có được phải được băm sử dụng
SHA1 hoặc MD5, và khi điều tra thì cần phải xác minh độ chính xác của các bản
sao thu được nhờ giá trị đã băm trước đó.
Trong giai đoạn phân tích, thì các chuyên gia sử dụng các phương pháp nghiệp
vụ, các kỹ thuật cũng như công cụ khác nhau để hỗ trợ điều tra, những kỹ thuật

này sẽ được đề cập chi tiết ở chương 3 của đồ án.
Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì tất
cả phải được tài liệu hóa lại rõ ràng, chi tiếp và báo cáo lại cho bộ phận có trách
nhiệm xử lý chứng cứ thu được.

1.3. Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?
• Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
• Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi
• Hiểu rõ cách làm việc của hệ thống
• Khi thực hiện điều tra tội phạm có liên quan đến công nghệ cao


•
•

Điều tra sự gian lận trong tổ chức
Điều tra các hoạt động gián điệp công nghiệp

1.4. Các bước thực hiện điều tra
Một cuộc điều tra số thường bao gồm 4 gian đoạn: Chuẩn bị (Preparation), tiếp
nhận dữ liệu hay còn gọi là ảnh hóa tang vật (Acquisition), phân tích (analysis) và
lập báo cáo (Reporting)

Các bước thực hiện điều tra số:
1.4.1. Preparation – Chuẩn bị
Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy
ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài
nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.
1.4.2. Acquisition - Ảnh hóa
Đây là bước tạo ra một bản sao chính xác các sector hay còn gọi là

nhân bản điều tra các phương tiện truyền thông, xác định rõ các nguồn
chứng cứ sau đó thu thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc sử
dụng hàm băm mật mã.
1.4.3. Analysis – Phân tích
Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ,
các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích
các bằng chứng thu được.
1.4.4. Reporting – Lập báo cáo
Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết
phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho
bộ phận có trách nhiệm xử lý chứng cứ thu được.
1.5. Một số loại hình điều tra phổ biến
1.5.1. Điều tra máy tính - Computer Forensics
Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều


tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong
máy tính và các phương tiện lưu trữ kỹ thuật số. Mục đích của điều tra máy
tính là nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại sự việc và ý
kiến về các thông tin thu được từ thiết bị kỹ thuật số.
Mặc dù thường được kết hợp với việc điều tra một loạt các tội phạm máy
tính, điều tra máy tính cũng có thể được sử dụng trong tố tụng dân sự. Bằng
chứng thu được từ các cuộc điều tra máy tính thường phải tuân theo những
nguyên tắc và thông lệ như những bằng chứng kỹ thuật số khác. Nó đã được sử
dụng trong một số trường hợp có hồ sơ cao cấp và đang được chấp nhận rộng
rãi trong các hệ thống tòa án Mỹ và Châu Âu.
1.5.2. Điều tra mạng - Network Forensics
Điều tra mạng (Network Forensics) là một nhánh của khoa học điều tra số
liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục
vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập.

Network Forensics cũng được hiểu như Digital Forensics trong môi- trườngmạng.
Network Forensics là một lĩnh vực tương đối mới của khoa học pháp y.
Sự phát triển mỗi ngày của Internet đồng nghĩa với việc máy tính đã trở thành
mạng lưới trung tâm và dữ liệu bây giờ đã khả dụng trên các chứng cứ số nằm
trên đĩa. Network Forensics có thể được thực hiện như một cuộc điều tra độc
lập hoặc kết hợp với việc phân tích pháp y máy tính (computer forensics) –
thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số hay
tái tạo lại quy trình phạm tội.


Sử dụng Wireshark phân tích tấn công Teadrop
1.5.3. Điều tra thiết bị di động - Mobile Device Forensics
Điều tra thiết bị di động (Mobile device Forensics) là một
nhánh của khoa học điều tra số liên quan đến việc thu hồi
bằng chứng kỹ thuật số hoặc dữ liệu từ các thiết bị di động.
Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động
mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và
khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính
bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát
triển rộng rãi trong những năm gần đây, nhưng các nghiên cứu
điều tra về thiết bị di động là một lĩnh vực tương đối mới, có
niên đại từ những năm 2000. Sự gia tăng các loại hình điện
thoại di động trên thị trường (đặc biệt là điện thoại thông minh)
đòi hỏi nhu cầu giám định các thiết bị này mà không thể đáp
ứng bằng các kỹ thuật điều tra máy tính hiện tại.


Sử dụng WPDeviceManager để trích xuất SMS
1.5.4. Điều tra Registry - Registry Forensics

Registry Forensics là loại hình điều tra liên quan đến việc trích xuất thông
tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết được
những thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong Register
Công cụ thường dùng: MuiCache View, Process Monitor, Regshot,
USBDeview…

Sử dụng Regsshot quan sát sự thay đổi trong Registry
1.5.5. Điều tra ổ đĩa - Disk Forensics
Disk Forensics là việc thu thập, phân tích dữ liệu được lưu trữ trên phương
tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó
xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích.
Công cụ thường dùng: ADS Locator, Disk Investigator, Passware
Encryption Analyzer, Disk Detector, Sleuth Kit, FTK…


Passware Encryption Analyzer xác định những file được bảo vệ bởi mật khẩu
1.5.6. Điều tra ứng dụng - Application Forensics
Application Forensics là loại hình điều tra phân tích các ứng dụng chạy trên
hệ thống như Email, dữ liệu trình duyệt, skype, yahoo… Qua đó trích xuất các bản
ghi được lưu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếm chứng cứ.
Công cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My
Last Search, Password Fox, Skype Log View…

Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền
1.5.7. Điều tra bộ nhớ - Memory Forensics
Memory Forensics là phương thức điều tra máy tính bằng việc ghi lại bộ nhớ
khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi
đã xảy ra trên hệ thống.



Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính
để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ. Những tập tin
thực thi có thể được sử dụng để chứng minh rằng hành vi của tội phạm đã xảy ra
hoặc để theo dõi nó đã diễn ra như thế nào
Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost,
Volatility, Mandiant Redline, DFF.

Sử dụng Volatility liệt kê các tiến trình đang chạy trên hệ thống
CHƯƠNG 2: ĐIỀU TRA MẠNG - NETWORK FORENSICS
Điều tra số là một lĩnh vực liên quan đến việc phục hồi và
điều tra các chứng cứ số được tìm thấy trong các thiết bị kỹ thuật
số, được phân chia thành 3 loại là: điều tra máy tính, điều tra
mạng và điều tra thiết bị di động. Trong đó, điều tra mạng
(Network Forensics) tập trung vào việc chặn bắt, sao lưu và phân
tích lưu lượng mạng nhằm phục vụ điều tra trong công tác phòng
chống tội phạm mạng. Bài báo cáo trình bày tổng quan về điều
tra mạng, giới thiệu quy trình và một số công cụ hỗ trợ trong việc
thực hiện điều tra.


Thuật ngữ điều tra mạng được đưa ra bởi chuyên gia bảo
mật máy tính Marcus Ranum vào đầu những năm 90 thế kỷ XX.
Điều tra mạng là một loại hình của điều tra số liên quan đến việc
giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho
việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm
nhập.
Không giống các loại hình khác của điều tra số, điều tra
mạng xử lý những thông tin dễ thay đổi và biến động, khó dự
đoán. Lưu lượng mạng được truyền đi và sau đó bị mất, do đó việc
điều tra được diễn ra rất linh hoạt, chủ động. Các điều tra viên chỉ

có thể dựa vào thông tin từ các thiết bị an toàn như bộ lọc gói,
tường lửa, hệ thống phát hiện xâm nhập đã được triển khai để dự
đoán hành vi vi phạm.
Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức
tạp và chuyên sâu, sử dụng thông tin được khai thác từ bộ nhớ
đệm (cache) của web, proxy hay chặn bắt thụ động lưu lượng truy
cập mạng và xác định các hành vi bất thường.
Tại Việt Nam, vấn đề khắc phục sự cố về ATTT cũng như điều
tra tìm hiểu nguồn gốc tấn công đang ở giai đoạn bắt đầu phát
triển. Các nghiên cứu về điều tra mạng ở Việt Nam vẫn còn nhiều
hạn chế, chưa tiếp cận được trình độ khoa học - kỹ thuật của các


nước phát triển cũng như chưa xây dựng được bộ công cụ riêng
phục vụ công tác điều tra mạng.
2.1 Quy trình thực hiện điều tra mạng
Điều tra mạng được phát triển như một phản ứng tất yếu với xu
hướng gia tăng tội phạm mạng, để khám phá ra nguồn gốc của
các cuộc tấn công mạng. Vì vậy, cần phải xây dựng một quy trình
cụ thể cho việc điều tra mạng. Quy trình chung cho việc phân tích
điều tra mạng nhằm xác định các bước thực hiện được xây dựng
từ mô hình điều tra số, được chia thành 9 giai đoạn như sau:

2.1.1. Giai đoạn 1. Chuẩn bị và ủy quyền
Trước khi bắt đầu một cuộc điều tra mạng, cần tiến
hành khảo sát cơ sở hạ tầng mạng nơi xảy ra sự cố về an


toàn. Điều tra mạng chỉ có thể áp dụng cho các môi trường
mà ở đó những công cụ an to àn mạng như hệ thống phát

hiện xâm nhập, hệ thống phân tích gói tin, tường lửa, phần
mềm đo đạc lưu lượng đã được triển khai tại những điểm
chiến

lược.

Các

hệ

thống

như

Honeynets,

network

telescope... cũng có thể được xây dựng để thu hút kẻ tấn
công, nhằm nghiên cứu các hành vi và tìm hiểu chiến thuật
của chúng. Đội ngũ chuyên gia quản lý những công cụ và hệ
thống này cần phải được đào tạo, huấn luyện để có thể thu
thập số bằng chứng tối đa và chất lượng nhất, nhằm tạo điều
kiện thuận lợi cho việc điều tra, quy kết hành vi phạm tội.
Giai đoạn này còn đòi hỏi một sự ủy quyền từ các bên liên
quan nhằm hạn chế những vi phạm liên quan đến quyền bảo
mật thông tin hay các chính sách an toàn của cá nhân hay tổ
chức bên trong hệ thống.
2.1.2. Giai đoạn 2. Phát hiện sự cố hoặc hành vi phạm
tội

Sau khi có được sự ủy quyền, điều tra viên cần tiến
hành nghiên cứu các cảnh báo được tạo ra bởi các công cụ
an toàn đã được triển khai. Thông thường, những cảnh báo
này sẽ chỉ ra các hành vi vi phạm chính sách an toàn được
thiết lập bởi tổ chức. Mọi hành động bất thường xuất hiện
trong các cảnh báo đều sẽ được phân tích dựa trên những
kiến thức về mạng máy tính hay kinh nghiệm nhận dạng các
tấn công mạng thường gặp của điều tra viên. Sự hiện diện và
tính chất của cuộc tấn công được xác định một cách sơ bộ
dựa vào các thông số khác nhau như: lưu lượng mạng, thời
gian hay tần suất xuất hiện các dấu hiệu bất thường. Lúc này
cần nhanh chóng đưa ra nhận định về hình thức tấn công
khả nghi. Đây là căn cứ cho việc quyết định tiếp tục điều tra
hay bỏ qua các cảnh báo (cảnh báo sai). Cần thực hiện các
biện pháp đề phòng như: sao lưu, ghi lại nội dung cảnh báo
để đảm bảo chứng cứ số không bị sửa đổi trong toàn bộ quá


trình, có hai hướng để tiếp cận vụ việc là ứng phó với sự cố
hoặc thu thập các dấu vết mạng.
2.1.3. Giai đoạn 3. Ứng phó sự cố
Việc ứng phó sẽ dựa trên các thông tin được thu thập từ
giai đoạn trước. Cần phải xây dựng quy trình ứng phó sự cố
nhằm ngăn chặn các cuộc tấn công trong tương lai và phục
hồi các tổn thất do tấn công gây ra. Trong cùng thời điểm
ứng phó sự cố, điều tra viên cần quyết định ngay việc có tiếp
tục điều tra và thu thập thêm thông tin hay không. Việc này
được áp dụng đối với những trường hợp mà cuộc điều tra
được triển khai trong khi tấn công đang xảy ra và vẫn chưa
có thông tin về tội phạm.

2.1.4. Giai đoạn 4. Thu thập các dấu vết mạng
Dữ liệu tiếp tục được thu thập từ những công cụ an toàn
mạng được sử dụng bổ sung. Các công cụ được sử dụng phải
an toàn, có khả năng chịu lỗi, giới hạn quyền truy cập và
phải có khả năng tránh sự thỏa hiệp. Các công cụ phải đảm
bảo thu thập được lượng chứng cứ tối đa mà chỉ gây ra tác
động tối thiểu đến nạn nhân. Một số công cụ có thể kể đến
như Wireshark, tcpdump, Snort, Tcpxtract, Foremost.... Hệ
thống mạng cũng cần được giám sát để xác định các tấn
công trong tương lai. Tính toàn vẹn của dữ liệu được ghi lại
và các bản ghi sự kiện mạng phải được đảm bảo, vì dữ liệu
mạng thay đổi một cách liên tục và ít có khả năng tạo ra
cùng một dạng dấu vết trong những lần sau. Không những
vậy, số lượng dữ liệu lớn cần yêu cầu một không gian bộ nhớ
tương đương và hệ thống phải đủ khả năng để xử lý các định
dạng khác nhau một cách thích hợp.
2.1.5. Giai đoạn 5. Duy trì và bảo vệ
Các dữ liệu thu được từ giai đoạn trước sẽ được lưu trữ
trên một thiết bị sao lưu. Việc “băm” giá trị của dữ liệu thu
được sẽ đảm bảo tính chính xác và độ tin cậy trong quá trình


điều tra. Một bản sao lưu khác của dữ liệu sẽ được sử dụng
cho việc phân tích và lưu lượng mạng ban đầu thu được cũng
sẽ được bảo vệ. Giai đoạn này được thực hiện để đảm bảo
quá trình điều tra có thể được chứng minh ngay trên dữ liệu
gốc (đã được bảo vệ) để đáp ứng các yêu cầu pháp lý.
2.1.6. Giai đoạn 6. Kiểm tra
Các dấu vết thu được từ các công cụ an ninh sẽ được
tổng hợp, sắp xếp và chuyển đổi thành các dữ liệu theo thời

gian. Điều này nhằm đảm bảo thông tin quan trọng không bị
mất hoặc lẫn lộn. Những vết tích ẩn hoặc ngụy trang của kẻ
tấn công cần phải được khai phá. Các thông tin dự phòng và
dữ liệu không liên quan bị loại bỏ nhằm tập trung phân tích
các bằng chứng có khả năng nhất.
2.1.7. Giai đoạn 7. Phân tích
Các vết tích sau khi được xác định sẽ được coi là chứng
cứ số cơ sở và được tiếp tục phân tích để khai thác những
dấu hiệu đặc biệt của tội phạm; Có thể sử dụng phương pháp
thống kê và khai phá dữ liệu để tìm kiếm những dữ liệu phù
hợp với các mẫu tấn công nghi ngờ. Một vài thông số quan
trọng liên quan đến việc phân tích điều tra mạng như: sự
thiết lập các kết nối mạng, truy vấn DNS, phân mảnh gói tin,
kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình giả
mạo, phần mềm hay rootkit được cài đặt. Những công cụ
được sử dụng trong giai đoạn này là NetworkMiner, Splunk,
OllyDbg, Scapy.... Các mẫu tấn công được xâu chuỗi với nhau
và tấn công sẽ được xây dựng và tái hiện lại giúp các điều
tra viên nắm được ý định và phương thức hành động của kẻ
tấn công. Kết quả của giai đoạn này là sự xác nhận các hành
động khả nghi.
2.1.8. Giai đoạn 8. Điều tra, quy kết trách nhiệm
Các thông tin có từ giai đoạn Phân tích sẽ được dùng để
xác định ai? Cái gì? Ở đâu? Khi nào? Như thế nào? Tại sao


gây ra sự cố? Việc này sẽ giúp cho việc xây dựng lại kịch bản
tấn công và quy kết trách nhiệm. Phần khó khăn nhất của
việc phân tích điều tra mạng là xác định danh tính kẻ tấn
công. Có hai cách thức mà kẻ tấn công sử dụng để che giấu

danh tính là giả mạo IP và thực hiện tấn công bàn đạp.
2.1.9. Giai đoạn 9. Báo cáo tổng kết
Phần hoàn tất quá trình điều tra mạng là xây dựng báo
cáo tổng kết. Nội dung báo cáo tổng kết trình bày cho người
quản lý tổ chức và cán bộ pháp chế về các chứng cứ số thu
thập được trong quá trình điều tra và một số tài liệu hệ
thống liên quan. Bên cạnh đó, một báo cáo điều tra toàn
diện của vụ việc sẽ được trình bày cùng các biện pháp được
khuyến nghị để ngăn ngừa những sự cố tương tự xảy ra
trong tương lai. Các kết quả được tài liệu hóa để sử dụng
trong những cuộc điều tra sau này, cũng như cải thiện chất
lượng các sản phẩm bảo mật.

2.2. Một số công cụ hỗ trợ điều tra mạng
Hỗ trợ cho quá trình điều tra mạng là các công cụ phục vụ cho
công tác điều tra, có khả năng chặn bắt, sao lưu, trích xuất, khôi
phục và phân tích các dữ liệu mạng. Những công cụ này có thể
giúp điều tra viên xác định thời gian, cách thức, nội dung mà dữ
liệu được truyền đi hay nhận về, cung cấp lượng chứng cứ số
nhanh chóng, chính xác, tạo thuận lợi cho việc điều tra. Ba công
cụ được ứng dụng phổ biến như:
2.2.1. Wireshark
WireShark có một bề dày lịch sử, Gerald Combs là người
đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi
là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi
phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để


theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại
thời điểm đó, ông không thể đạt được thoả thuận với công ty đã

thuê ông về việc bản quyền của thương hiệu Ethereal. Thay
vào đó, Combs và phần còn lại của đội phát triển đã xây dựng
một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006,
dự án tên là WireShark.
WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát
triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã
tồn tại dưới cái tên Ethereal không được phát triển thêm.
Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến
như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân
tích chuyên nghiệp lẫn nghiệp dư và nó đưa ra nhiều tính năng
để thu hút mỗi đối tượng khác nhau.
2.2.2. Snort
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS)
mã nguồn mở miễn phí. NIDS là một kiểu của hệ thống phát
hiện xâm nhập (IDS), được sử dụng để giám sát dữ liệu di
chuyển trên mạng. Cũng có thể các hệ thống phát hiện xâm
nhập Host-based, được cài đặt trên một Host cụ thể và chỉ để
phát hiện các sự tấn công nhắm đến Host đó. Mặc dù tất cả các
phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort
được đánh giá là hệ thống tốt nhất hiện nay.
Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các
Input plug-in cũng tồn tại để phát hiện sự bất thường trong các
Header của giao thức. Snort sử dụng các luật được lưu trữ trong
các File Text, có thể được chỉnh sửa bởi người quản trị. Các luật
thuộc về mỗi loại được lưu trong các File khác nhau. File cấu
hình chính của Snort là snort.conf. Snort đọc những luật này
vào lúc khởi tạo và xây dựng cấu trúc dữ liệu cung cấp nhằm
phân tích các dữ liệu thu được. Tìm ra các dấu hiệu và sử dụng
chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì càng sử
dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu



thập dữ liệu trong thực tế. Snort có một tập hợp các luật được
định nghĩa trước để phát hiện các hành động xâm nhập và
chúng ta cũng có thể thêm vào các luật của chính mình. Cũng
có thể xóa một vài luật đã được tạo trước để tránh việc báo
động sai.
2.2.3. Foremost
Foremost là một chương trình điều khiển (console) dùng để khôi phục tệp
tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu bên trong. Quá trình này
thường được gọi là chạm khắc dữ liệu (data carving). Foremost có thể làm việc
trên các tệp tin ảnh, chẳng hạn được tạo ra bởi dd, Safeback, Encase,... hoặc
trực tiếp từ trên ổ cứng. Tiêu đề và phụ đề có thể được xác định bởi một tệp tin
cấu hình hoặc có thể sử dụng một switch dòng lệnh dựa trên dạng tệp tin tích
hợp. Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin
được cung cấp được nhằm đảm bảo việc phục hồi sẽ nhanh và đáng tin cậy
hơn.
2.2.4. NetworkMiner
NetworkMiner là một công cụ phân tích điều tra mạng (Network
Forensics Analysis Tool – NFAT) cho Windows. NetworkMiner có thể được
sử dụng như một công cụ chặn bắt gói tin thụ động nhằm nhận biết các hệ
điều hành, các phiên làm việc, tên host, các port mở... mà không cần đặt bất
cứ luồng dữ liệu nào lên mạng.
NetworkMiner cũng có thể phân tích các tệp tin .pcap trong trường hợp
ngoại tuyến và tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ
tệp tin .pcap. Mục đích của NetworkMiner là thu thập dữ liệu (chẳng hạn như
chứng cứ pháp lý) về các host trên mạng chứ không phải thu thập dữ liệu về lưu
lượng truy cập, là quan tâm đến trung tâm máy chủ (nhóm các thông tin trên
từng máy) chứ không phải là trung tâm gói tin (thông tin về danh sách các gói
tin, khung nhìn...). NetworkMiner cũng rất tiện dụng khi phân tích mã độc như

C&C (command & control – ra lệnh và điều khiển) kiểm soát lưu lượng truy cập
từ mạng lưới botnet.


2.3. Kết luận
Điều tra mạng là một loại hình điều tra quan trọng với mô
hình an toàn mạng, tập trung vào việc chặn bắt và phân tích các
gói tin trên mạng cũng như các sự kiện cho mục đích điều tra,
cung cấp chứng cứ số về tội phạm mạng. Cùng với sự phát triển
của công nghệ ATTT và sự phức tạp của các hình thức tấn công
mạng, điều tra mạng yêu cầu những công cụ hỗ trợ mới, tiến trình
mới, thủ tục mới cũng như các kỹ năng mới cho quá trình phân
tích, thẩm định. Bên cạnh đó, điều tra mạng cũng đặt ra một
thách thức mới đối với hệ thống tư pháp và các nhà hoạch định
pháp luật xây dựng các quy định, chế tài phù hợp với sự phát triển
của loại hình điều tra, phòng chống tội phạm công nghệ cao này.


CHƯƠNG 3: DEMO
Tình huống: Một máy tính trong mạng nội bộ bị nghi ngờ tấn công từ
xa, quản trị mạng dùng những công cụ chuyên dụng bắt các kết nối đến máy
nạn nhân trong thời gian diễn ra cuộc tấn công. Sau đó dump ra toàn bộ nội
dung này ra file(tracfiic) .Yêu cầu phân tích file dump và tìm ra nguồn gốc và
nguyên nhân vụ tấn công để có giải pháp khắc phục.
Để giải quyết yêu cầu trên, chúng ta sẽ lần lượt vượt qua từng vấn đề nhỏ.
Lưu ý ở đây file dump có đuôi mở rộng .pcap (packet capture), tôi sẽ sử dụng
wireshark là công cụ phân tích chính. Wireshark là một chương trình bắt và phân
tích gói tin, giao thức rất mạnh, chi tiết về nó mọi người có thể tìm hiểu thêm ở
những tài liệu khác.
3.1. Địa chỉ IP của kẻ tấn công và của nạn nhân

Mở file .pcap bằng wireshark, chúng ta có thể thấy ngay danh sách các gói
tin truy cập đến máy nạn nhân

Vào Menu Statistics/Enpoint List/IP v4 để xem danh sách các IP bắt được.

Có tất cả 2 IP:
• 192.150.11.111 là IP nội bộ, chính là IP của nạn nhân
• 98.114.205.102 là IP của kẻ tấn công
3.2. Thông tin về kẻ tấn công
Xem xét một gói tin cụ thể:


Thông tin trong khung chi tiết gói tin, cho ta biết máy kẻ tấn công có địa chỉ
MAC là 0008e23b5601(Cisco)
Tôi sử dụng trang và tìm ra được một số thông tin như
thế này:

3.3. Có bao nhiêu phiên TCP(TCP session) trong file dump
này ?
Khi nhìn vào khung chính của wireshark bạn sẽ thấy có rất nhiều gói tin,
nhưng phần lớn trong chúng là những gói tin chào hỏi, xác thực, truyền nhận dữ
liệu của một phiên TCP nào đó
Để xem số phiên TCP hiện có, vào Menu Statistics –> Conversations, tab
TCP. Chúng ta sẽ thấy thực tế chỉ có 5 phiên qua các cổng khác nhau:

3.4. Cuộc tấn công kéo dài bao lâu ?
Chỉ cần xem thời gian của frame đầu tiên và frame cuối cùng là sẽ câu trả lời
Frame đầu tiên:



Frame cuối cùng:
Như vậy cuộc tấn công diễn ra trong khoảng 16 giây.
3.5. Dịch vụ nào trên máy nạn nhân có thể là mục tiêu tấn
công ?
Nhìn vào các phiên TCP được liệt kê phía trên, tôi chú ý đến cổng 445 của
máy nạn nhân. Đây là cổng chạy giao thức SMB(Server Message Block), cung cấp
khả năng chia sẻ file giữa các máy tính hoặc máy in và máy tính. SMB từng được
biết đến với việc dính một số lỗ hổng bảo mật.
Lọc các Packet theo info, duyệt lần lượt tôi phát hiện thêm một nghi vấn
mới:

Nếu bạn thử Google thì sẽ biết DsRoleUpgradeDownlevelServer là một hàm
trong thư viện NETAPI32.dll chạy dịch vụ Local Security Authority Subsystem
Service(LSASS) trên windows thông qua giao thức SMB.
Và điều quan trọng là LSASS từng bị dính lỗi bảo mật với hàm
DsRoleUpgradeDownlevelServer(), chi tiết lỗi được công bố tại CVE-20030533
( Microsoft cũng đã
đưa
ra
bản
vá
cho
lỗi
này
với
mã
update
MS04-011
( />Từ đây chúng ta có thêm một kết luận là máy tính nạn nhân chạy hệ điều
hành windows, cụ thể là windows xp hoặc windows 2000. Bạn có thể kiểm tra điều

này bằng việc lọc các gói tin SMB và xem thuộc tính native OS trong đó:


Vậy là chúng ta đã biết được một số thông tin về kẻ tấn công, biết được dịch
vụ nào trên máy nạn nhân là mục tiêu của cuộc tấn công này. Tôi tạm dừng ở đây,
ở bài tiếp theo chúng ta sẽ phân tích kỹ hơn cách hacker thực hiện vụ tấn công, hắn
đã làm như thế nào để khai thác lỗ hổng trên.
3.6. Mô phỏng lại cuộc tấn công của Hacker
3.6.1. Quét cổng 445 để xem cổng này có mở không, điều này thể hiện qua các gói
tin SYN, SYN/ACK, ACK, FYN liên tục

3.6.2. Thiết lập kết nối IPC và request đến dịch vụ lsarpc


Bạn đọc có thể tìm hiểu thêm về hình thức kết nối IPC$, ở đây hacker đã gửi
kết nối với giá trị username và password đều rỗng, còn được biết đến với kiểu tấn
công Null Session.
3.6.3. Khai thác lỗi Buffer Over Flow của hàm DsRoleUpgradeDownlevelServer()
thông qua việc truyền shellcode(Frame #33)

3.6.4. Shellcode mở cổng 1957 cho phép backdoor chạy trên đó, hacker qua cổng
này truyền command vào(Frame #42)

Lệnh mà hacker thực hiện là:

Lệnh này có tác dụng yêu cầu máy nạn nhân kết nối ftp đến cổng 8884 của
hacker và download file ssms.exe sau đó thực thi file này. Đến đây việc khai thác
coi như hoàn thành.



Mọi người có thể chú ý thêm các frame từ #71 về sau, đây là các đoạn nhận
file ssms.exe, file được gửi qua socket thành các mảnh nhỏ và ghép lại sau đó

3.7. Truy tìm mã độc
Như vậy là chúng ta đã hình dung được cuộc tấn công xảy ra như thế nào,
nhưng một vụ điều tra thì không chỉ có vậy. Phải xác định được mã độc mà hacker
sử dụng hoạt động như thế nào, nhưng trước hết cần thu được mẫu này.
Đầu tiên là Shellcode mà hacker đã sử dụng. Chọn Frame #33, trong khung
Packet Bytes chọn chế độ Reassembled TCP chúng ta sẽ thấy đầy đủ nội dung mà
hacker gửi đến máy nạn nhân.(Khi gửi tin qua TCP thì dữ liệu có thể phân mảnh ở
nhiều gói tin khác nhau, Reassembled TCP sẽ giúp chúng ta ghép các mảnh dữ liệu
này lại với nhau)


Sau khi loại bỏ các lệnh NOPE(mã 90) thì thu được shellcode thực sự mà
hacker đã dùng:

Chúng ta tiến hành phục hồi shellcode này bằng cách đưa đoạn shellcode
này vào một chương trình test shell như thế này: