Pháp chứng kỹ thuật số cung cấp cho sinh viên với một cách tiếp cận có hệ thống khi tiến hành một điều tra pháp chứng máy tính (cả hai loại điều tra công quyền và điều tra công ty), các yêu cầu của một phòng thí nghiệm pháp chứng máy tính bao gồm cả thiết bị phục hồi dữ liệu, phần cứng và phần mềm cần thiết để xác nhận pháp chứng kỹ thuật số trong phòng thí nghiệm.

1. Bài 8: Pháp chứng số trên Internet
Giảng viên: TS. Đàm Quang Hồng Hải
PHÁP CHỨNG SỐ TRÊN MÁY TÍNH
VÀ MẠNG

2. Điều tra trên với tôi phạm công nghệ cao
• Điểm khác biệt giữa tội phạm công nghệ cao và tội phạm
truyền thống chính là phương tiện phạm tội.
• Tội phạm công nghệ cao sử dụng sự tiến bộ của công nghệ
thông tin để phạm tội.
• Tội phạm công nghệ cao thực hiện được những hành vi
phạm tội mà tội phạm truyền thống không thể làm được,
như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được
tiền của một người nào đó đang ở nước ngoài.
• Không cần dùng chìa khóa vạn năng, tội phạm công nghệ
cao vẫn có thể xâm nhập được vào "kho tiền" của người
khác để chiếm đoạt.

3. Tấn công vào máy người dùng

4. Hành vi của tội phạm công nghệ cao
• Hành vi của tội phạm công nghệ cao khác nhiều so
với tội phạm cổ điển, như: tấn công trái phép vào
website để lấy đi những thông tin bí mật, thay vào
đó những thông tin giả
• Tội phạm công nghệ cao có thể phá hoại website
bằng virút, làm giả thẻ tín dụng, lấy cắp tài khoản cá
nhân…
• Đối tượng phạm tội cũng khác với tội phạm truyền
thống, nhất thiết phải có hiểu biết về công nghệ
thông tin thì mới thực hiện được hành vi phạm tội.

5. Tội phạm công nghệ cao và Lỗ hổng
• Lỗ hổng (bug) là các điểm yếu trong phần mềm cho
phép kẻ tấn công phá hoại sự toàn vẹn, độ sẵn sàng
hoặc bảo mật của phần mềm hoặc dữ liệu do phần
mềm xử lý.
• Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn
công khai thác hệ thống bị xâm phạm bằng cách
khiến hệ thống chạy các mã độc hại mà người dùng
không hề biết.
• Thế giới đã bị rúng động bởi sự hoành hành của
Flame và Duqu, những virus đánh cắp thông tin
mật của các hệ thống điện toán

6. Lỗ hổng Zero Day
• Lỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng
chưa được công bố hoặc chưa được khắc phục.
• Lợi dụng những lỗ hổng này, hacker và bọn tội phạm
mạng có thể xâm nhập được vào hệ thống máy tính của
các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ
liệu.
• Tuổi thọ trung bình của một lỗ hổng zero-day là 348
ngày trước khi nó được phát hiện ra hoặc vá lại, nhiều
lỗ hổng thậm chí còn sống "thọ" hơn thế.
• Tội phạm công nghệ cao sẵn sàng trả khoản tiền rất lớn
để mua lại các lỗ hổng zero-day.

7. Tấn công vào các lỗ hổng bảo mật
• Hiện nay các lỗ hổng bảo mật được phát hiện càng
nhiều trong các hệ điều hành, các máy chủ cung cấp
dịch vụ hoặc các phần mềm khác, ... các hãng sản
xuất luôn cập nhật các phần mềm vá lỗi của mình.
• Những thông tin có thể ăn cắp như tên, mật khẩu
của người sử dụng, các thông tin mật chuyển qua
mạng.
• Người dùng cần thiết cập nhật thông tin và nâng cấp
phiên bản cũ.

8. Tấn công Zero-day với Flash

9. Malware quét trên mạng Lan

10. Xem xét File log lưu trữ trên máy tính
• Các file log máy tính có thể tạo ra và duy trì từ
những dữ liệu hệ thống tự động hoặc bằng tay,
chẳng hạn như các tập tin đăng nhập hệ thống và
nhật ký máy chủ proxy.
• Các hồ sơ phải được đầu ra được tạo ra từ các ứng
dụng máy tính/quy trình trong đó thông thường,
không phải là dữ liệu đầu vào một cá nhân tạo ra
• Các file log máy tính là những dữ liệu điện tử hoặc
kỹ thuật số đầu có thể xem với một phần mềm bảng
tính hoặc phần mềm xử lý văn bản.

11. Ví dụ: File Log HijacThis

12. Sử dụng trên phần mềm chống Virus
• Thông thường các máy tính có cài phần mềm chống
Virus đều có ghi lại quá trình ngăn chặn Virus
• Phần mềm chống Virus có thể bắt đầu diệt của phần
mềm độc hại trước khi nó có cơ hội để tải về và cài
đặt
• Điều tra viên có thể xem xét các thông tin này cùng
với các thông tin truy cập Web để tìm được nguồn
gốc Virus

13. Phần mềm chống Virus

14. Điều tra mã độc
• Điều tra viên cần tìm các thông tin bằng chứng,
bằng cách nào mà một thủ phạm, một hacker có thể
giành quyền truy cập vào một mạng máy tính.
• Mã độc gửi e-mail lừa đảo , thông qua việc sử dụng kỹ
thuật để thu hút hoặc kích thích George người dùng đến
một trang web có cài đặt mã độc hại trong nền.
• E-mail lừa đảo đôi khi trong khi thuyết phục ngườ dùng
cung cấp cho ID ngân hàng và mật khẩu, thông tin tài
khoản.
• Phương pháp E-mail lừa đảo rất hiệu quả nếu tìm kiếm
một tập hợp các khách hàng như khách hàng của một
ngân hàng chung.

15. Lừa đảo Công nghệ cao
• Đối tượng lừa đảo lập ra một trang web, lấy địa chỉ giả ở
Mỹ rồi nhập tên tuổi của những người tham gia vào mạng
lưới cùng với số tiền họ đã góp.
• Đối tượng lừa đảo mở máy tính cho những người tham gia
xem, họ tận mắt nhìn thấy tên mình, số tiền của mình trên
màn hình thì vui và tin là mình đang kinh doanh tài chính
với tập đoàn ở Mỹ thật mà không biết rằng việc tạo ra một
trang web là vô cùng đơn giản.
• Một nguyên nhân nữa đó là do mức lãi suất mà bọn lừa đảo
đưa ra quá hấp dẫn, quá cao so với tất cả các hình thức huy
động tiền gửi hợp pháp khác.
• Sự thiếu hiểu biết cũng là một nguyên nhân khiến nhiều
người bị mắc lừa.

16. Mã “độc” từ website của yahoo

17. Mã độc Malware
• Thuật ngữ " malware " bao hàm tất cả các loại phần
mềm được thiết kế để làm hại máy tính hoặc mạng
máy tính.
• Phần mềm độc hại có thể được cài đặt trên máy mà
người dùng không hay biết, thường thông qua các
liên kết lừa đảo hoặc nội dung tải xuống được đăng
như là nội dung thường dùng.
17

18. Malware

19. Các loại Malware
• Mã độc Malware bao gồm rất nhiều loại phổ biến
như:
• Virus
• Sâu máy tính (worm)
• Trojan horse
• Botnets
• Keylogger.
• Phần mềm gián điệp (spyware)
• Phần mềm quảng cáo.

20. Virus, Worm, Trojan horse
• Virus là phần mềm độc hại được gắn vào chương
trình khác để thực thi một nhiệm vụ không mong
muốn trên máy tính của người dùng.
• Worm thực thi mã (code) tùy ý và cài đặt bản sao
của nó vào máy tính bị nhiễm để sau đó lây nhiễm
vào các máy khác.
• Trojan horse không giống như worm hoặc virus.
Nó được viết ra trông giống như là 1 chương trình
nào đó, nhưng thực chất nó là công cụ dùng để tấn
công
20

21. Virus, Worm, Trojan

22. Botnets, Keylogger, Phần mềm gián điệp
• Botnets là những chương trình tương tự Trojan cho
phép kẻ tấn công sử dụng máy của họ như là những
Zoombie (máy tính bị chiếm quyền điều khiển hoàn
toàn ) và chúng chủ động kết nối với một Server để dễ
dàng điều khiển.
• Keylogger là phần mềm ghi lại chuỗi gõ phím của
người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc
lỗi sai trong các hệ thống máy tính
• Phần mềm gián điệp là loại virus có khả năng thâm
nhập trực tiếp vào hệ điều hành mà không để lại "di
chứng".

23. Lịch sử phát triển của Malware
• Khởi đầu lịch sử phát triển của mình, những Malware thế hệ
đầu tiên lây nhiễm giữa các máy tính bằng việc lây nhiễm
vào vùng MBR của các đĩa mềm dùng để khởi động máy
tính hoặc trao đổi dữ liệu.
• Các thiết bị lưu trữ dữ liệu hiện đại hơn như USB, CD,...
Malware cũng phát triển theo sự phát triển của công nghệ.
• Ngày nay, không chỉ lây nhiễm qua các thiết bị lưu trữ vật
lý mà Malware còn có thể lây nhiễm giữa các hệ thống
thông qua các kết nối mạng một các tự động.
• Các công cụ Forensic và Malware Analysic được sử dụng
để phân tích cách thức lây nhiễm, payload, hành vi của
chúng để có thể đưa ra các cách giải quyết,
ngăn chặn chúng

24. Quá trình phát triển của Malware
• Lịch sử phát triển của một số Malware và giao thức
mạng được Malware sử dụng:
24

25. Ví dụ hoạt động Malware

26. Botnet
• Là một mạng lớn gồm nhiều máy tính bị lây nhiễm Malware
(Zoombie) và được kết nối tới một Server và chịu sự điều
khiển của Server này nhằm phục vụ các tác vụ như Ddos,
Spam, ăn cắp thông tin,...
• Được thừa hưởng, hội tụ những kỹ thuật tiên tiến như
remote control, tự động lây nhiễm, phân cấp – phân tán
quản lý.
• Phương thức hoạt động không có nhiều thay đổi so với
những thế hệ hệ thống đầu tiên.
• Các hệ thống Botnet hiện đại sử dụng các Malware tinh vi
hơn khi xây dựng hệ thống để tránh né sự phát hiện của các
cảm biến, Antivirus,...
26

27. Botnet
• Hệ thống Botnet đơn giản
27

28. Chứng cớ số về hoạt động của Botnet

29. Mã hóa và tránh né
Được các tác giả viết Malware sử dụng từ những năm
đầu thập niên 1990 nhằm mã hóa payload và bản thân
chúng để tránh né việc phát hiện các công cụ như
Antivirus, IDS, ....
Kỹ thuật này thường được Malware sử dụng phục vụ
vào những mục đích chính như:
• Tránh né việc phát hiện của IDS/IPS, Antivirus
• Ẩn kênh C&C
• Mã hóa lưu lượng điều khiển
29

30. Hệ thống chỉ huy và điều khiển phân tán
Được xây dựng nhằm thay thế các hệ thống điều khiển
tập trung truyền thống
• Khó khăn khi quản lý số lượng lớn các máy tính bị lây
nhiễm trong mạng.
• Dễ bị phát hiện bởi các công cụ Pháp chứng
• Dễ dàng bị ngăn chặn lây nhiễm khi bị phát hiện, Khó
khăn trong việc chuyển đổi quyền điều khiển và sử dụng
Ưu điểm của hệ thống chỉ huy và điều khiển phân tán
• Tính dự phòng cao. Tránh né các cơ chế phát hiện
• Bảo vệ được các hệ thống chủ chỉ huy và điều khiển
30

31. Hệ thống chỉ huy và điều khiển phân tán
31

32. Hệ thống chỉ huy và điều khiển phân tán
32

33. Cơ chế tự động cập nhật
33
• Để có thể tồn tại trong ‘môi trường’ hiện đại, Malware cần
phải thích ứng được với ‘môi trường’.
• Trong những năm cuối thập niên 1990, các Malware phát
triển với tốc độ nhanh chóng nhờ được thiết kế với khả năng
tự cập nhật thông qua mạng, cho phép kẻ tấn công có thể
thay đổi Malware về phương thức lây nhiễm, payload, hành
vi một cách nhanh chóng.
• Các thế hệ Malware đầu tiên có thể tự cập nhật như
W95/Babylonia trên giao thức HTTP. Các Malware hiện đại
hơn được trang bị các cơ chế xác thực, chữ ký điện tử, mã
hóa bản cập nhật bằng các thuật toán mã hóa RSA 128 bit
(W95/Hybris), sử dụng các giao thức phổ biến như HTTP,
P2P,...

34. Malware đa hình (Polymorphic malware)
• Sự ưu việt của các công cụ bảo mật và điều tra hỗ trợ rất
nhiều trong việc phát hiện sớm các mối nguy của Malware
truyền thống để sớm có các biện pháp ngăn chặn lây nhiễm
khiến các Malware được thiết kế ngày càng tinh vi để đối
phó lại các kỹ thuật phân tích lưu lượng.
• Những Malware đầu tiên có hành vi tương đối ‘đồng nhất’
như sử dụng duy nhất hoặc các port, giao thức chỉ định nên
khi bị phát hiện thì dễ dàng bị ngăn chặn bởi antivirus, IDS.
• Ví dụ: W32/Blaster có thể bị phát hiện bởi những lưu lượng
bất thường trên các port TCP 135, TCP 444, TCP 69 UDP
69. W32/Witty sử dụng source port UDP 4000 để trao đổi
dữ liệu
...
34

35. Đa hình
• Để tránh việc bị phát hiện và ngăn chặn một cách dễ
dàng như vậy, các Malware hiện đại được thiết kế
tinh vi hơn về cách thức hoạt động và lây nhiễm
như:
• Sử dụng nhiều cách thức lây nhiễm khác nhau
• Thay đổi port sử dụng
• Dùng các kỹ thuật quét tinh vi mục tiêu mới như:
• Quét random
• Quét hoán đổi
• Quét giả
• Quét phân tán
• Quét định thì
35

36. Trộn lẫn hành vi
• Với các công cụ và các cảm biến ngày càng phức tạp và tinh
vi dùng trong bảo mật và forensic có thể phân biệt được các
tác vụ hợp pháp hoặc không hợp pháp dẫn đến các Malware
có thể nhanh chóng bị phát hiện
• Các Malware mới để thích ứng và tồn tại được cần phải
che giấu hành động của mình kỹ hơn. Một trong những
kỹ thuật dùng để che dấu là trộn lẫn các hành động bất
hợp pháp của mình vào những hành động hợp pháp nhằm
che mắt được các bộ cảm biến, antivirus,…
• Ví dụ: Hầu hết các công ty, tổ chức đều không thể khóa
toàn bộ lưu lượng của giao thức HTTP/HTTPS. Lợi dụng
đặc điểm này, các mạng Botnet HTTP-Based lây nhiễm
rộng rãi thông qua kết nối HTTP/HTTPS.
36

37. Fast-Flux
• Là kỹ thuật được thiết kế cho các Malware dễ dàng che
giấu hành vi bằng cách thay đổi liên tục bản ghi địa chỉ
các Server điều khiển (thường có TTL 5- 10) khiến việc
ngăn chặn các máy tính lây nhiễm giao tiếp với Server
điều khiển trở nên khó khăn.
• Sử dụng nhiều loại giao thức như HTTP, SMTP, POP,
DNS, P2P,… và các kỹ thuật như kênh chỉ huy và điều
khiển phân tán, cân bằng tải trên web, tái điều hướng,…
gây khó khăn cho việc ngăn chặn và truy tìm Server
Root.
• Rất hiệu quả trong việc né tránh sự giám sát của của các
cảm biến, antivirus, …
37

38. Advanced Persistent Threat (APT)
• Vào tháng 1/2010, Google khởi đầu việc thông báo rằng các
victim có nguồn gốc từ Trung Quốc đang thực hiện chiến
dịch ăn cắp các thông tin nhạy cảm ‘có chủ đích’ từ các tổ
chức tài chính, các công ty công nghệ và các tổ chức nghiên
cứu tại Mỹ như Symantec, Adobe, Northrup, Google,
Grumman,…
• Thuật nghữ APT được dùng để chỉ kiểu tấn công dai dẳng
và có chủ đích vào thực thể xác định nào đó. Các cuộc tấn
công như thế này thường được hẫu thuận rất lớn từ một
chính phủ hoặc một tổ chức nào đó.
• Thường khai thác kết hợp cùng lúc nhiều lỗi zero-day cùng
với kỹ thuật cutting-edge tấn công vào các mục tiêu cần tấn
công và không lây lan mạnh ra bên ngoài
38

39. Hành vi của Malware
• Các phần mềm độc hại ngày càng phát triển tinh vi,
đặc biệt là các cuộc tấn công zero-day và trở thành
một phần của internet.
• Có thể kiểm tra nhiễm malware bằng cách theo sự
thay đổi bất thường của lưu lượng mạng.
• Tấn công APT (Advanced Persistent Threat – Cách
thức tấn công mạng sử dụng kỹ thuật cao) sẽ là thử
thách lớn cho các nhà bảo mật trong thời gian tới.
39

40. Cách thức lây nhiễm Malware
• Các phương thức lây nhiễm phổ biến:
• Email
• Web
• Chia sẻ qua mạng
• Network-based
• Khai thác lỗ hổng mạng
40

41. Cách thức lây nhiễm
41
Ví dụ : Tấn công bằng thư rác của blog

42. Giao yêu cầu và điều khiển C&C
• Kênh yêu cầu và điều khiển (Command-and-
Control) cho phép điều khiển tấn công từ xa.
• Các hình thức lây nhiễm qua C&C phổ biến.
• HTTP
• Các trang mạng xã hội (Facebook, Twitter)
• Peer to peer
• IRC (Internet Relay Chat)
• Môi trường điện toán đám mây
42

43. Kênh Command-and-Control tới Server

44. Ví dụ: cấu trúc gói tin HTTP sử dụng kết
nối với Server Command-and-Control

45. Hành vi Payload
• Payload: tấn công lưu lượng của một virus có thể
được sử dụng để hủy chức năng của máy tính và phá
hủy dữ liệu.
• Các hoạt động của mạng và biểu hiện của malware
sau khi lây nhiễm thay đổi liên tục, tùy thuộc vào
mục đích kẻ tấn công, môi trường và các yếu tố
khác.
• Các xu hướng xâm nhập hệ thống gồm : Spam, DoS,
spyware, keylogging.
45

46. Phát triển của Malware và Network forensics
• Với hơn 2 thập kỷ quan sát sự phát triển của Malware, ta có
thể khẳng định rằng trong tương lai Malware vẫn sẽ tiếp tục
phát triển.
• Như truyền thống, các Malware vẫn cần phải tiếp tục lây
nhiễm lên các hệ thống mới, cần phải giao tiếp được với các
Server điều khiển
• Trong tương lai Malware có thể được thiết kế nhiều phương thức
giao tiếp khác nhau có nhiều ưu điểm hơn phục vụ cho quá trình
giao tiếp, truyền dữ liệu và tương tác với con người.
• Các công cụ Forensic được phát triển hướng đến các thiết bị
di động khi số lượng thiết bị di động đang ngày càng tăng
nhanh.
46

47. Malware và Network forensics
• Các kỹ thuật lây nhiễm cũ nếu vẫn còn tác dụng thì vẫn
được sử dụng, đặc biệt là các kỹ thuật nontarget và less
skillful.
• Các công cụ Forensic có thể dễ bị ‘lạc hậu’ so với sự
phát triển của Malware
• Người làm Forensic phải cần gạt bỏ những suy nghĩ cứng
nhắc khi làm công việc này, cần phải suy nghĩ sáng tạo, nắm
bắt trước được các hướng hành động của Malware để thực
hiện tốt công việc.
• Và như sự phát triển sinh học, Malware luôn biến đổi và
có thể tự biến đổi để phù hợp và thích nghi.
47

48. Các công cụ dùng trong Malware Forensic
48

49. Phân tích, phát hiện xâm nhập
• Sau khi chạy snort và bắt gói tin, ta kiểm tra các file
cảnh báo /var/log/alerts
• Các rule bị phát hiện nguy hiểm:
49

50. Công cụ Fiddler
• Fiddler được phát triển bởi Microsoft trong cuộc chiến
chống thông tin rác từ các website với thế mạnh là khả năng
phân tích Web. Fiddler là công cụ xác định vị trí và sửa lỗi
Proxy HTTP, lưu trữ bản ghi tất cả lưu lượng HTTP giữa
máy tính và Internet
• Tất cả các trang web truy cập, tải về phần mềm và chuyển
hướng được ghi lại trong một bản ghi phiên.
• Fiddler có các công cụ để giải thích và lấy thông tin trong
nhiều cách khác nhau. Điều tra viên có thể dùng Fiddler tìm
xem các trang web nào thực hiện những công việc gì và có
thể phát hiện việc cài malware…

51. Mô hình hoạt động của Fiddler

52. Tính năng của Fiddler
• Fiddler hoạt động như một proxy cục bộ;
• Fiddler đăng ký như hệ thống proxy trong khi chụp
xem, phân tích và sửa đổi lưu lượng truy cập web từ
bất kỳ ứng dụng
• Fiddler hoạt động trên hầu hết các thiết bị (ví dụ
Windows Mobile)
• Fiddler cho phép với giao thức HTTPS chặn bắt
thông qua các yêu cầu.
• Fiddler dễ mở rộng với công nghệ JavaScript hoặc.
NET

53. Giao diện Fiddler

54. Bộ lọc trong Fiddler

55. Hết bài 8