RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf

RÀ SOÁT ĐIỀU TRA MÃ
ĐỘC TRÊN WINDOWS
Hà Nội, tháng 10 năm 2023
1

NỘI DUNG
KIẾN THỨC VỀ MÃ ĐỘC
PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC
THU THẬP VÀ GỠ BỎ MÃ ĐỘC
ĐIỀU TRA
THỰC HÀNH
2
I
II
III
IV
V
THẢO LUẬN
VI

I. KIẾN THỨC VỀ MÃ ĐỘC
3
1. Định nghĩa mã độc
2. Phân loại mã độc
3. Đặc điểm kỹ thuật của mã độc

ĐỊNH NGHĨA MÃ ĐỘC
4
Mã độc, Tiếng Anh là malware, là từ viết tắt của
“malicious software”, là chương trình phần mềm
được thiết kế để gây hại hoặc làm những hành
động không mong muốn trên hệ thống máy tính.
Ví dụ: phá huỷ, đánh cắp, sửa đổi thông tin,
chiếm quyền điều khiển hệ thống,…

PHÂN LOẠI MÃ ĐỘC
5
Phân loại mã độc để làm gì?
- Dễ dàng nhận biết được đặc điểm tính chất của
mã độc thông qua tên gọi
Phân loại mã độc như thế nào?
- Theo dạng tồn tại, tính chất lây nhiễm
- Theo hành vi

6
Phân loại theo dạng tồn tại, tính chất lây nhiễm

7
Phân loại theo hành vi

8
Các tiêu chuẩn phân loại mã độc
- Microsoft: https://docs.microsoft.com/en-us/microsoft-
365/security/intelligence/malware-naming?view=o365-worldwide
- Kaspersky: https://www.kaspersky.com/resource-
center/threats/malware-classifications

ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC
9
Dạng tồn tại
FILE FILELESS

10
Có thành phần khởi chạy cùng hệ thống

11
Tiến trình

12
Kết nối C&C

13
- File thường không có chữ ký số
- Tên file không có nghĩa, nghi ngờ
- Đường dẫn nghi ngờ
- Có thành phần khởi động cùng hệ thống
- Có kết nối mạng
Mã độc có những đặc điểm sau:

2. RÀ SOÁT MÃ ĐỘC
14
- Mục đích việc rà soát mã độc
- Phương pháp rà soát mã độc
- Rà soát tiến trình
- Rà soát thành phần khởi động
- Rà soát file
Nội dung:

MỤC ĐÍCH RÀ SOÁT MÃ ĐỘC
15
Mục đích việc rà soát mã độc:
• Kiểm tra xem trên hệ thống có mã độc hay không.
• Điều tra, gỡ bỏ, phân tích mã độc → ngăn chặn kịp thời mã độc
lây lan trong hệ thống.
Khi nào cần thực hiện rà soát mã độc
• Trước khi đưa hệ thống vào vận hành
• Rà soát định kỳ sau khi vận hành
• Hệ thống có dấu hiệu bị tấn công

PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC
16
- Rà soát tiến trình
- Rà soát thành phần khởi động
- Rà soát network
- Rà soát thư mục và file
- Các kỹ thuật đặc thù khác

RÀ SOÁT TIẾN TRÌNH
17
- Phương pháp rà soát tiến trình trên máy tính Windows như sau: Kiểm tra đặc
điểm kỹ thuật của tất cả các tiến trình trên máy, tìm kiếm các tiến trình có đặc
điểm bất thường
- Các đặc điểm kỹ thuật của một tiến trình cần chú ý trong quá trình rà soát là:
• Tên tiến trình
• Chữ ký số của tiến trình
• Kết quả kiểm tra trên virustotal (nếu có)
• Đường dẫn file của tiến trình
• Command line của tiến trình
• Kết nối mạng của tiến trình
• Các thư viện liên kết động (Dynamic Library – DLL) được nạp (load) bởi tiến
trình

RÀ SOÁT TIẾN TRÌNH
18
Hướng dẫn sử dụng công cụ Process Explorer

RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG
20
- Phương pháp rà soát các chương trình tự động khởi chạy trên máy tính Windows như sau: Kiểm tra
đặc điểm kỹ thuật của tất cả các chương trình tự động khởi chạy trên máy, tìm kiếm các chương
trình có đặc điểm bất thường
- Các đặc điểm kỹ thuật của các chương trình tự động khởi chạy cần chú ý khi thực hiện rà soát là:
• Đường dẫn file chương trình
• Chữ ký số của file chương trình
• Kết quả kiểm tra trên virustotal (nếu có)
• Command line của chương trình tự động khởi chạy

RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG
21
Hướng dẫn sử dụng công cụ Autoruns

RÀ SOÁT NETWORK
22
Đặc điểm thường thấy ở mã độc nguy hiểm như spyware, backdoor,…chúng đều có đặc điểm chung
là kết nối internet về máy chủ để nhận lệnh điều khiển. Khi rà soát kết nối cần chú ý đến những đặc
điểm sau:
- Kết nối đến địa chỉ lạ, địa chỉ bị gắn nhãn là độc hại,..
- Kết nối đến port lạ
- Tiến trình hệ thống kết nối đến C&C → khả năng cao tiến trình đã bị tấn công injection.
- Tần suất kết nối của tiến trình.

RÀ SOÁT NETWORK
23
Hướng dẫn sử dụng công cụ TCPVIEW

RÀ SOÁT FILE TRÊN MÁY
24
- Phương pháp rà soát các file trên máy tính Windows như sau: Từ thông tin những file cần kiểm
tra là những file đã tìm kiếm được từ quá trình rà soát khác (rà soát tiến trình, rà soát chương
trình tự động khởi chạy,…) hoặc từ cảnh báo an toàn thông tin hoặc từ nguồn khác.
- Kiểm tra đặc điểm kỹ thuật của file trên máy, xác định file có đặc điểm bất thường, kiểm tra các
file bất thường đó xem có phải mã độc hay không.
- Các đặc điểm kỹ thuật của một file cần chú ý khi thực hiện rà soát là:
• Đường dẫn file
• Phần mở rộng của file (đuôi file):
• Thuộc tính file
• Biểu tượng (icon) của file
• Ngày tạo và sửa đổi file
• Kết quả kiểm tra trên virustotal

RÀ SOÁT FILE TRÊN MÁY
25
Vì thế:
Trước khi rà soát file cần show tất cả các file có
thuộc tính ẩn trên máy tính.
Mã độc thường có thuộc tính “ẩn” để che giấu.

3. THU THẬP VÀ GỠ BỎ MÃ ĐỘC
26
Nội dung:
- Cách thu thập mẫu mã độc
- Cách gỡ bỏ mã độc khỏi hệ thống

THU THẬP MẪU MÃ ĐỘC
27
Cách thực hiện:
- Xác định chính xác tiến trình/ file cần lấy
- Thực hiện chụp lại thông tin tiến trình/ file trên hệ thống để lưu trữ
thông tin hỗ trợ điều tra sau này
- Thực hiện copy file mã độc. Nén và đặt mật khẩu để tránh bị các chương
trình AV xoá

GỠ BỎ MÃ ĐỘC
28
CHÚ Ý: Chỉ thực hiện gỡ bỏ mã độc khi xác minh chính xác là mã độc và đã
thực hiện lấy đủ mẫu mã độc. Vì sau khi đã thực hiện gỡ bỏ mã độc thì rất
khó để lấy lại các thông tin mẫu mã độc.
Cách thực hiện:
- Kill tiến trình (nếu có)
- Xoá file (nếu có)
- Xoá thành phần khởi động (nếu có)

4. ĐIỀU TRA
29
- Mục tiêu của việc điều tra truy vết tấn công
- Phương pháp của việc điều tra truy vết tấn công

MỤC TIÊU CỦA VIỆC ĐIỀU TRA TRUY VẾT TẤN CÔNG
30
- Xác định đầy đủ nguồn gốc của cuộc tấn công, bao gồm:
+ Đối tượng tấn công: IP tấn công, Email tấn công, User tấn công,…)
+ Lỗ hổng bị khai thác: CVE, 0-day, 1-day,…
- Xác định đầy đủ các hành vi kẻ tấn công đã thực hiện sau khi chiếm quyền
điều khiển
+ Ví dụ: Tạo mã độc, user mới, backdoor, đánh cắp dữ liệu,…
- Xác định được hành vi leo thang vào các hệ thống khác
+ Dò quét các thiết bị trong mạng, tấn công vào máy chủ ứng dụng,
DB, AD,…

PHƯƠNG PHÁP ĐIỀU TRA
31
Dựa vào các mạnh mối mà kẻ tấn công để lại trên hệ thống:
+ Thời gian
+ Thông tin mã độc/backdoor
+ IP/Domain kẻ tấn công sử dụng
+ File/Thư mục

32
Dựa vào các nguồn dữ liệu hiện có:
+ Dữ lệu giám sát: cảnh báo, sự kiện bất thường
+ Các nguồn logs: logs ứng dụng, logs OS : MTF, Prefetch, EventLogs,…
+ Memory
+ Registry

33
Dựa vào các nguồn dữ liệu hiện có:
+ Dữ lệu giám sát: cảnh báo, sự kiện bất thường
+ Các nguồn logs: logs ứng dụng: accesslogs, DBlogs,… logs OS : MTF, Prefetch,
EventLogs,…
+ Memory
+ Registry

LOGS HỆ ĐIỀU HÀNH WINDOWS
34

LOGS HỆ ĐIỀU HÀNH WINDOWS
35
- Chú ý 1: Không phải tất cả các sự kiện (event ID) của Windows đều được lưu lại.
Mặc định Windows chỉ lưu lại một số sự kiện, các sự kiện khác muốn có phải thực
hiện cấu hình để Windows lưu.
- Chú ý 2: Mặc định log của hệ điều hành có mức giới hạn (thường là 20 MB), nên
việc này sẽ ảnh hưởng tới việc điều tra do mất log.

CÁC EVENT ID CẦN CHÚ Ý
36
Event ID Description Log Name
4624 Successful Logon Security
4625 Failed Login Security
4776 Successful /Failed Account Authentication Security
4720 A user account was created Security
4732 A member was added to a security-enabled local group Security
4728 A member was added to a security-enabled global group Security
7030 Service Creation Errors System
7040
The start type of the IPSEC Services service was changed from
disabled to auto start.
System
7045 Service Creation System

ĐIỀU TRA FILE
39
Xác định thời điểm đầu tiên mã độc xâm nhập vào hệ thống
23:10 - 25/04/2023 ?

ĐIỀU TRA MFT FILE
40
Phân tích MFT file trên hệ thống
23:10 - 25/04/2023

ĐIỀU TRA LOGS ỨNG DỤNG
41

TRAO ĐỔI & THẢO LUẬN
42

RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf

Recommended

Recommended

More Related Content

Similar to RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf

Similar to RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf (20)

Recently uploaded

Recently uploaded (20)

RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf