Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet - Đàm Quang Hồng Hải

Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên InternetGiảng viên: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐTội phạm trên Internet - tôi phạm công nghệ caoĐiểm khác biệt giữa tội phạm công nghệ cao và tội phạm truyền thống chính là phương tiện phạm tội. Tội phạm công nghệ cao sử dụng sự tiến bộ của công nghệ thông tin để phạm tội.Tội phạm công nghệ cao thực hiện được những hành vi phạm tội mà tội phạm truyền thống không thể làm được, như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được tiền của một người nào đó đang ở nước ngoài.Không cần dùng chìa khóa vạn năng, tội phạm công nghệ cao vẫn có thể xâm nhập được vào "kho tiền" của người khác để chiếm đoạt. Tấn công vào máy người dùngHành vi của tội phạm công nghệ caoHành vi của tội phạm công nghệ cao khác nhiều so với tội phạm cổ điển, như: tấn công trái phép vào website để lấy đi những thông tin bí mật, thay vào đó những thông tin giả Tội phạm công nghệ cao có thể phá hoại website bằng virút, làm giả thẻ tín dụng, lấy cắp tài khoản cá nhânĐối tượng phạm tội cũng khác với tội phạm truyền thống, nhất thiết phải có hiểu biết về công nghệ thông tin thì mới thực hiện được hành vi phạm tội. Lừa đảo Công nghệ caoĐối tượng lừa đảo lập ra một trang web, lấy địa chỉ giả ở Mỹ rồi nhập tên tuổi của những người tham gia vào mạng lưới cùng với số tiền họ đã góp. Đối tượng lừa đảo mở máy tính cho những người tham gia xem, họ tận mắt nhìn thấy tên mình, số tiền của mình trên màn hình thì vui và tin là mình đang kinh doanh tài chính với tập đoàn ở Mỹ thật mà không biết rằng việc tạo ra một trang web là vô cùng đơn giản.Một nguyên nhân nữa đó là do mức lãi suất mà bọn lừa đảo đưa ra quá hấp dẫn, quá cao so với tất cả các hình thức huy động tiền gửi hợp pháp khác.Sự thiếu hiểu biết cũng là một nguyên nhân khiến nhiều người bị mắc lừa.Tội phạm công nghệ cao và Lỗ hổngLỗ hổng (bug) là các điểm yếu trong phần mềm cho phép kẻ tấn công phá hoại sự toàn vẹn, độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu do phần mềm xử lý. Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn công khai thác hệ thống bị xâm phạm bằng cách khiến hệ thống chạy các mã độc hại mà người dùng không hề biết.Thế giới đã bị rúng động bởi sự hoành hành của Flame và Duqu, những virus đánh cắp thông tin mật của các hệ thống điện toán Lỗ hổng Zero DayLỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được khắc phục.Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ liệu.Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện ra hoặc vá lại, nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế. Tội phạm công nghệ cao sẵn sàng trả khoản tiền rất lớn để mua lại các lỗ hổng zero-day.Tấn công vào các lỗ hổng bảo mậtHiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các máy chủ cung cấp dịch vụ hoặc các phần mềm khác, ... các hãng sản xuất luôn cập nhật các phần mềm vá lỗi của mình. Những thông tin có thể ăn cắp như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Người dùng cần thiết cập nhật thông tin và nâng cấp phiên bản cũ.Ví dụ: tấn công Java Zero-day CVE-2013-1493Xem xét File log lưu trữ trên máy tính Các file log máy tính có thể tạo ra và duy trì từ những dữ liệu hệ thống tự động hoặc bằng tay, chẳng hạn như các tập tin đăng nhập hệ thống và nhật ký máy chủ proxy. Các hồ sơ phải được đầu ra được tạo ra từ các ứng dụng máy tính/quy trình trong đó thông thường, không phải là dữ liệu đầu vào một cá nhân tạo raCác file log máy tính là những dữ liệu điện tử hoặc kỹ thuật số đầu có thể xem với một phần mềm bảng tính hoặc phần mềm xử lý văn bản.Ví dụ: File Log với phần mềm HijacThisSử dụng trên phần mềm chống Virus Thông thường các máy tính có cài phần mềm chống Virus đều có ghi lại quá trình ngăn chặn VirusPhần mềm chống Virus có thể bắt đầu diệt của phần mềm độc hại trước khi nó có cơ hội để tải về và cài đặtPháp chứng viên có thể xem xét các thông tin này cùng với các thông tin truy cập Web để tìm được nguồn gốc VirusPhần mềm chống Virus Mã độc MalwareThuật ngữ " Malware " bao hàm tất cả các loại phần mềm được thiết kế để làm hại máy tính hoặc mạng máy tính.Phần mềm độc hại có thể được cài đặt trên máy mà người dùng không hay biết, thường thông qua các liên kết lừa đảo hoặc nội dung tải xuống được đăng như là nội dung thường dùng.14MalwareCác loại MalwareMã độc Malware bao gồm rất nhiều loại phổ biến như:VirusSâu máy tính (worm)Trojan horseBotnetsKeylogger.Phần mềm gián điệp (spyware)Phần mềm quảng cáo. Virus, Worm, Trojan horse Virus là phần mềm độc hại được gắn vào chương trình khác để thực thi một nhiệm vụ không mong muốn trên máy tính của người dùng.Worm thực thi mã (code) tùy ý và cài đặt bản sao của nó vào máy tính bị nhiễm để sau đó lây nhiễm vào các máy khác.Trojan horse không giống như worm hoặc virus. Nó được viết ra trông giống như là 1 chương trình nào đó, nhưng thực chất nó là công cụ dùng để tấn công17Virus, Worm, TrojanBotnets, Keylogger, Phần mềm gián điệp Botnets là những chương trình tương tự Trojan cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie (máy tính bị chiếm quyền điều khiển hoàn toàn ) và chúng chủ động kết nối với một Server để dễ dàng điều khiển.Keylogger là phần mềm ghi lại chuỗi gõ phím của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tínhPhần mềm gián điệp là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di chứng". Lịch sử phát triển của MalwareKhởi đầu lịch sử phát triển của mình, những Malware thế hệ đầu tiên lây nhiễm giữa các máy tính bằng việc lây nhiễm vào vùng MBR của các đĩa mềm dùng để khởi động máy tính hoặc trao đổi dữ liệu. Các thiết bị lưu trữ dữ liệu hiện đại hơn như USB, CD,... Malware cũng phát triển theo sự phát triển của công nghệ.Ngày nay, không chỉ lây nhiễm qua các thiết bị lưu trữ vật lý mà Malware còn có thể lây nhiễm giữa các hệ thống thông qua các kết nối mạng một các tự động.Các công cụ Forensic và Malware Analysic được sử dụng để phân tích cách thức lây nhiễm, payload, hành vi của chúng để có thể đưa ra các cách giải quyết, ngăn chặn chúngVí dụ hoạt động MalwareMã hóa và tránh né phát hiệnĐược các tác giả viết Malware sử dụng từ những năm đầu thập niên 1990 nhằm mã hóa payload và bản thân chúng để tránh né việc phát hiện các công cụ như Antivirus, IDS, .... Kỹ thuật này thường được Malware sử dụng phục vụ vào những mục đích chính như:Tránh né việc phát hiện của IDS/IPS, AntivirusẨn kênh C&CMã hóa lưu lượng điều khiển22Ví dụ: Virus Rookit tấn công vào bảng danh sách hàm hệ thốngTrong Windows, Rootkit thường hoạt động dựa vào cơ chế móc nối vào bảng lưu địa chỉ các hàm dịch vụ hệ thống (System Service Dispatch Table - SSDT). Để điều tra những vấn đề này, Pháp chứng viên có thể lấy bằng chứng từ nghiên cứu pháp chứng số trên bộ nhớ dựa vào framework như của bộ công cụ Volatility.Kết quả điều tra giúp Pháp chứng viên hiểu chiến lược móc nối SSDT, giúp nhà sản xuất phần mềm chống Virus tối ưu hơn sản phẩm của họ.Bảng SSDT (System Service Dispatch Table)Kỹ thuật hooking vào SSDT của RookitCông cụ VolatilityVolatility: bộ công cụ điều tra trên bộ nhớ Volatility có thể điều tra các hoạt động của process kể cả process của rookit.Phần mềm chống Virus sử dụng SSDT hooking SSDT hooking cũng là một phương pháp phổ biến được sử dụng bởi một số phần mềm chống Virus để thiết lập các hạn chế truy cập các tài nguyên hệ thống. Các sản phẩm chống virus thường móc vào SSDT để quét các chương trình đang chạy.Các sản phẩm chống Virus thường hooking bằng cách thay đổi địa chỉ được lưu trữ trong hàm SSDT Native, và trỏ địa chỉ đến các hàm chống Virus.Cơ chế tự động cập nhật Malware28Để có thể tồn tại trong ‘môi trường’ hiện đại, Malware cần phải thích ứng được với ‘môi trường’. Trong những năm cuối thập niên 1990, các Malware phát triển với tốc độ nhanh chóng nhờ được thiết kế với khả năng tự cập nhật thông qua mạng, cho phép kẻ tấn công có thể thay đổi Malware về phương thức lây nhiễm, payload, hành vi một cách nhanh chóng.Các thế hệ Malware đầu tiên có thể tự cập nhật như W95/Babylonia trên giao thức HTTP. Các Malware hiện đại hơn được trang bị các cơ chế xác thực, chữ ký điện tử, mã hóa bản cập nhật bằng các thuật toán mã hóa RSA 128 bit (W95/Hybris), sử dụng các giao thức phổ biến như HTTP, P2P,... Malware đa hình (Polymorphic malware)Sự ưu việt của các công cụ bảo mật và điều tra hỗ trợ rất nhiều trong việc phát hiện sớm các mối nguy của Malware truyền thống để sớm có các biện pháp ngăn chặn lây nhiễm khiến các Malware được thiết kế ngày càng tinh vi để đối phó lại các kỹ thuật phân tích lưu lượng.Những Malware đầu tiên có hành vi tương đối ‘đồng nhất’ như sử dụng duy nhất hoặc các port, giao thức chỉ định nên khi bị phát hiện thì dễ dàng bị ngăn chặn bởi antivirus, IDS.Ví dụ: W32/Blaster có thể bị phát hiện bởi những lưu lượng bất thường trên các port TCP 135, TCP 444, TCP 69 UDP 69. W32/Witty sử dụng source port UDP 4000 để trao đổi dữ liệu ...29Đa hìnhĐể tránh việc bị phát hiện và ngăn chặn một cách dễ dàng như vậy, các Malware hiện đại được thiết kế tinh vi hơn về cách thức hoạt động và lây nhiễm như:Sử dụng nhiều cách thức lây nhiễm khác nhauThay đổi port sử dụngDùng các kỹ thuật quét tinh vi mục tiêu mới như:Quét randomQuét hoán đổiQuét giảQuét phân tánQuét định thì30Trộn lẫn hành viVới các công cụ và các cảm biến ngày càng phức tạp và tinh vi dùng trong bảo mật và forensic có thể phân biệt được các tác vụ hợp pháp hoặc không hợp pháp dẫn đến các Malware có thể nhanh chóng bị phát hiệnCác Malware mới để thích ứng và tồn tại được cần phải che giấu hành động của mình kỹ hơn. Một trong những kỹ thuật dùng để che dấu là trộn lẫn các hành động bất hợp pháp của mình vào những hành động hợp pháp nhằm che mắt được các bộ cảm biến, antivirus,Ví dụ: Hầu hết các công ty, tổ chức đều không thể khóa toàn bộ lưu lượng của giao thức HTTP/HTTPS. Lợi dụng đặc điểm này, các mạng Botnet HTTP-Based lây nhiễm rộng rãi thông qua kết nối HTTP/HTTPS.31 Fast-FluxLà kỹ thuật được thiết kế cho các Malware dễ dàng che giấu hành vi bằng cách thay đổi liên tục bản ghi địa chỉ các Server điều khiển (thường có TTL 5- 10) khiến việc ngăn chặn các máy tính lây nhiễm giao tiếp với Server điều khiển trở nên khó khăn.Sử dụng nhiều loại giao thức như HTTP, SMTP, POP, DNS, P2P, và các kỹ thuật như kênh chỉ huy và điều khiển phân tán, cân bằng tải trên web, tái điều hướng, gây khó khăn cho việc ngăn chặn và truy tìm Server Root.Rất hiệu quả trong việc né tránh sự giám sát của của các cảm biến, antivirus, 32Advanced Persistent Threat (APT)Vào tháng 1/2010, Google khởi đầu việc thông báo rằng các victim có nguồn gốc từ Trung Quốc đang thực hiện chiến dịch ăn cắp các thông tin nhạy cảm ‘có chủ đích’ từ các tổ chức tài chính, các công ty công nghệ và các tổ chức nghiên cứu tại Mỹ như Symantec, Adobe, Northrup, Google, Grumman,Thuật nghữ APT được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào thực thể xác định nào đó. Các cuộc tấn công như thế này thường được hẫu thuận rất lớn từ một chính phủ hoặc một tổ chức nào đó.Thường khai thác kết hợp cùng lúc nhiều lỗi zero-day cùng với kỹ thuật cutting-edge tấn công vào các mục tiêu cần tấn công và không lây lan mạnh ra bên ngoài33Hành vi của MalwareCác phần mềm độc hại ngày càng phát triển tinh vi, đặc biệt là các cuộc tấn công zero-day và trở thành một phần của internet.Có thể kiểm tra nhiễm malware bằng cách theo sự thay đổi bất thường của lưu lượng mạng.Tấn công APT (Advanced Persistent Threat – Cách thức tấn công mạng sử dụng kỹ thuật cao) sẽ là thử thách lớn cho các nhà bảo mật trong thời gian tới.34 Cách thức lây nhiễm MalwareCác phương thức lây nhiễm phổ biến:EmailWebChia sẻ qua mạngNetwork-basedKhai thác lỗ hổng mạng35Cách thức lây nhiễm36Ví dụ : Tấn công bằng thư rác của blog Hành vi PayloadPayload: tấn công lưu lượng của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu. Các hoạt động của mạng và biểu hiện của malware sau khi lây nhiễm thay đổi liên tục, tùy thuộc vào mục đích kẻ tấn công, môi trường và các yếu tố khác.Các xu hướng xâm nhập hệ thống gồm : Spam, DoS, spyware, keylogging.37BotnetLà một mạng lớn gồm nhiều máy tính bị lây nhiễm Malware (Zoombie) và được kết nối tới một Server và chịu sự điều khiển của Server này nhằm phục vụ các tác vụ như Ddos, Spam, ăn cắp thông tin,...Được thừa hưởng, hội tụ những kỹ thuật tiên tiến như remote control, tự động lây nhiễm, phân cấp – phân tán quản lý. Phương thức hoạt động không có nhiều thay đổi so với những thế hệ hệ thống đầu tiên.Các hệ thống Botnet hiện đại sử dụng các Malware tinh vi hơn khi xây dựng hệ thống để tránh né sự phát hiện của các cảm biến, Antivirus,...38BotnetHệ thống Botnet đơn giản39Chứng cớ số về hoạt động của Botnet Hệ thống chỉ huy và điều khiển phân tánĐược xây dựng nhằm thay thế các hệ thống điều khiển tập trung truyền thốngKhó khăn khi quản lý số lượng lớn các máy tính bị lây nhiễm trong mạng. Dễ bị phát hiện bởi các công cụ Pháp chứngDễ dàng bị ngăn chặn lây nhiễm khi bị phát hiện, Khó khăn trong việc chuyển đổi quyền điều khiển và sử dụngƯu điểm của hệ thống chỉ huy và điều khiển phân tánTính dự phòng cao. Tránh né các cơ chế phát hiệnBảo vệ được các hệ thống chủ chỉ huy và điều khiển41Hệ thống chỉ huy và điều khiển phân tán42Hệ thống chỉ huy và điều khiển phân tán43Ví dụ: cấu trúc gói tin điều khiển BotnetKênh yêu cầu và điều khiển C&CKênh yêu cầu và điều khiển (Command-and-Control) cho phép điều khiển tấn công từ xa.Các hình thức lây nhiễm qua C&C phổ biến.HTTPCác trang mạng xã hội (Facebook, Twitter)Peer to peerIRC (Internet Relay Chat)Môi trường điện toán đám mây45Kênh Command-and-Control tới ServerĐiều tra mã độcPháp chứng viên cần tìm các thông tin bằng chứng, bằng cách nào mà một thủ phạm, một hacker có thể giành quyền truy cập vào một mạng máy tính. Mã độc gửi e-mail lừa đảo , thông qua việc sử dụng kỹ thuật để thu hút hoặc kích thích George người dùng đến một trang web có cài đặt mã độc hại trong nền.E-mail lừa đảo đôi khi trong khi thuyết phục ngườ dùng cung cấp cho ID ngân hàng và mật khẩu, thông tin tài khoản. Phương pháp E-mail lừa đảo rất hiệu quả nếu tìm kiếm một tập hợp các khách hàng như khách hàng của một ngân hàng chung.Ví dụ: điều tra hoạt động Botnet sử dụng Honeypot Honeypot: một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.Phân loại HoneypotHoneypot tương tác thấp: mô phỏng giả các dịch vụ, ứng dụng, hệ điều hành. Mức độ rủi ro thấp, dễ triển khai, bảo dưỡng nhưng giới hạn về dịch vụ.Honeypot tương tác cao: là các dịch vụ, ứng dụng, hệ điều hành thật. Mức độ thu thập thông tin cao, rủi ro cao, tốn thời gian vận hành và bảo dưỡng.Nội dung thu thập thông tin Thực hiện vào tại Junewon Park Digital Forensic Research Laboratories, Auckland University of Technology, New Zealand năm 2014.Trong 11 ngày, có 3,227 tấn công, 1,466 mẫu Malware and 110 mã code.96% các malware độc ​​hại là các Conflicker.B và Conflicker.C Bot.Các bằng chứng tĩnh sau đó đã được biên soạn và sử dụng để chạy một phỏng trên một máy an toàn.Các Pháp chứng viên có thể sao chép lại nghiên cứu này và so sánh kết quả trong việc phát triển kiến ​​thức trong lĩnh vực này của điều tra pháp chứng.Phân tích IRC- BOT khi sử dụng CWSandboxPhân tích IRC- BOT khi sử dụng CWSandboxTrong t.hợp này, bằng cách tạo ra một tập tin thực thi của Windows có tên a.bat tại thư mục gốc của Windows. Và sau đó, có hành động đáng ngờ là chạy hàng loạt các hướng dẫn dòng lệnh.Ví dụ, các Process # 2 (ID: 24), Process # 3 (ID: 1572), Quy trình # 5 (ID: 816), và quá trình # 6 (ID: 1964) thực hiện các hướng dẫn sau đây:C: \> cmd / c net stop "SharedAccess“C: \> a.batC: \> cmd / c net stop "Security Center"C: \> cmd / c net start "SharedAccess“Vô hiệu hóa kết nối InternetTắt chế độ an toàn của máy tínhTắtcác gói phần mềm diệt virusCuối cùng tiến hành thay đổi các giá trị trong Registry bằng regestry.exe mà máy tính người dùng không phát hiện ra đượcNội dung thực thi trên máy nhiễmCác giá trị registry bị thay đổi bởi botnetMalware và Network forensicsCác kỹ thuật lây nhiễm cũ nếu vẫn còn tác dụng thì vẫn được sử dụng, đặc biệt là các kỹ thuật nontarget và less skillful.Các công cụ Forensic có thể dễ bị ‘lạc hậu’ so với sự phát triển của Malware Pháp chứng viên phải cần gạt bỏ những suy nghĩ cứng nhắc khi làm công việc này, cần phải suy nghĩ sáng tạo, nắm bắt trước được các hướng hành động của Malware để thực hiện tốt công việc.Và như sự phát triển sinh học, Malware luôn biến đổi và có thể tự biến đổi để phù hợp và thích nghi.55Phát triển của Malware và Network forensicsVới hơn 2 thập kỷ quan sát sự phát triển của Malware, ta có thể khẳng định rằng trong tương lai Malware vẫn sẽ tiếp tục phát triển.Như truyền thống, các Malware vẫn cần phải tiếp tục lây nhiễm lên các hệ thống mới, cần phải giao tiếp được với các Server điều khiển Trong tương lai Malware có thể được thiết kế nhiều phương thức giao tiếp khác nhau có nhiều ưu điểm hơn phục vụ cho quá trình giao tiếp, truyền dữ liệu và tương tác với con người.Các công cụ Forensic được phát triển hướng đến các thiết bị di động khi số lượng thiết bị di động đang ngày càng tăng nhanh.56Điều tra nguồn gốc Malware từ WebsiteMã độc có thể phát tán từ Website hợp pháp đã bị hacker tấn công và nắm quyền kiểm soát, thay vì phá hoại, kẻ xấu lại lợi dụng chúng gieo Malware.Hacker thay đổi mã nguồn để đưa và các object là các Malware.Người dùng khi truy cập Website sẽ download các Malware về máy tính của mình.Ví dụ: Malware từ website của yahooCông cụ phân tích Website FiddlerFiddler được phát triển bởi Microsoft trong cuộc chiến chống thông tin rác từ các website với thế mạnh là khả năng phân tích Web. Fiddler là công cụ xác định vị trí và sửa lỗi Proxy HTTP, lưu trữ bản ghi tất cả lưu lượng HTTP giữa máy tính và InternetTất cả các trang web truy cập, tải về phần mềm và chuyển hướng được ghi lại trong một bản ghi phiên. Fiddler có các công cụ để giải thích và lấy thông tin trong nhiều cách khác nhau. Pháp chứng viên có thể dùng Fiddler tìm xem các trang web nào thực hiện những công việc gì và có thể phát hiện việc cài malwareMô hình hoạt động của FiddlerTính năng của FiddlerFiddler hoạt động như một proxy cục bộ; Fiddler đăng ký như hệ thống proxy trong khi chụp xem, phân tích và sửa đổi lưu lượng truy cập web từ bất kỳ ứng dụng Fiddler hoạt động trên hầu hết các thiết bị (ví dụ Windows Mobile) Fiddler cho phép với giao thức HTTPS chặn bắt thông qua các yêu cầu.Fiddler dễ mở rộng với công nghệ JavaScript hoặc. NETGiao diện FiddlerBộ lọc trong FiddlerHết bài 8