Điều Tra Số

Thứ hai - 06/07/2015 03:53

Điều Tra Số

GIỚI THIỆU DỊCH VỤ

 
Công nghệ thông tin ngày nay đóng góp vai trò rất lớn trong cuộc sống hằng ngày ở nhiều lĩnh vực với tốc độ phát triển rất nhanh, song song với nó các hoạt động tội phạm máy tính như lừa đảo tài chính, xâm nhập trái phép, đánh cắp định danh số, đánh cắp tài sản trí tuệ cũng ngày càng phát triển, trở nên tinh vi khó phát hiện và có thể gây nhiều thiệt hại. Để chống lại các hoạt động này, điều tra số đóng vai trò quan trọng, trong đó, điều tra số là các hoạt động liên quan đến thu thập và phân tích dữ liệu số để sử dụng nó nhằm xác định nguyên nhân, cách thức của các loại tội phạm này ở mức độ cao có thể sử dụng nó như là chứng cứ pháp lý.

 

Một cuộc điều tra số thông thường sẽ điều tra từ các dữ liệu được lấy từ ổ cứng máy tính hay các thiết bị lưu trữ khác, việc điều tra này được thực hiện theo các thủ tục và chính sách đã được tiêu chuẩn hóa nhằm xác định liệu các thiết bị này có bị truy cập trái phép hay không. Việc điều tra này được nhóm điều tra thực hiện sử dụng các phương pháp khác nhau (Như phân tích tĩnh hay động), các công cụ khác nhau. Để một cuộc điều tra thành công, nhóm điều tra phải có kiến thức chuyên sâu về nhiều lĩnh vực khác nhau: từ kiến thức về các kiểu hệ điều hành (Windows, Linux, Mac OS), các dạng mã độc, cơ chế ghi nhận và quản lý log ở các thiết bị, các dạng mẫu hoạt động bất thường ở góc độ bộ nhớ, mạng,… và thậm chí đến mức có kiến thức về các điều luật cũng như các tổ chức pháp lý tương ứng.

Mục đích

Một cuộc điều tra số thông thường sẽ hướng tới các mục tiêu sau:
  • Nhận dạng các hoạt động bất thường.
  • Nhận dạng các lỗ hổng bảo mật.
  • Xác định các thiệt hại nếu hệ thống đã bị xâm nhập.
  • Truy tìm nguồn gốc xâm nhập.
  • Xác định các bước để tiến hành các thủ tục pháp lý nếu cần thiết.
  • Thiết lập các giải pháp để gia cố hoặc sửa lại các lỗ hổng.

Quy trình

Các công việc chuẩn bị ban đầu
Trước khi việc điều tra diễn ra, cần thực hiện một số thao tác nhằm đảm bảo tính hiệu quả, các thao tác thông thường diễn ra như sau:
  • Thu thập tất cả các thông tin ban đầu liên quan đến sự cố xảy ra, như thời gian, mức độ nghiêm trọng, các thành phần liên quan.
  • Nhận dạng các nguy cơ có thể xảy ra khi tiến hành điều tra: như thời gian phải dừng hệ thống để phục vụ cho việc điều tra và phục hồi lại từ sự cố, các nguy cơ về thiệt hại tài chính, lộ dữ liệu nhạy cảm.
  • Nhận dạng các thông tin về mạng, các thiết bị, hệ thống và ứng dụng liên quan đến sự cố, như: tài liệu về mô hình mạng, máy chủ.
  • Nhận dạng các thiết bị lưu trữ có liên quan như: thiết bị USB, ổ đĩa cứng, CD, DVD, các memory cards.
  • Nhận dạng các công cụ sẽ được sử dụng cho việc điều tra.
  • Nhận dạng các luồng dữ liệu trao đổi trong hệ thống mạng (network traffic) trong trường hợp cần thiết.
  • Lập tài liệu tất các các hoạt động trong quá trình điều tra.
  • Ánh xạ ổ đĩa cứng thiết bị và sử dụng cơ chế hash để đảm bảo dữ liệu gốc không bị thay đổi trong quá trình điều tra.
Thu thập dữ liệu
Bước đầu tiên trong việc điều tra là tiến hành nhận dạng, gán nhãn, lưu trữ và thu thập dữ liệu từ các nguồn thích hợp liên quan đến sự cố và phải tuân theo các thủ tục nhất định để đảm bảo tính toàn vẹn dữ liệu. Có hai kiểu dữ liệu khác nhau có thể được thu thập trong việc điều tra số, đó là dữ liệu có thể bị thay đổi (volatile data) và dữ liệu không thể thay đổi (non-volatile). Dữ liệu có thể bị thay đổi là những dữ liệu tồn tại khi hệ thống đang hoạt động và sẽ mất đi khi tắt, ví dụ như dữ liệu trong RAM, Registry, Caches, Các kết nối đang mở. Dữ liệu không bị thay đổi là các dữ liệu vẫn còn khi hệ thống tắt đi: như các tài liệu trong ổ đĩa cứng, các dạng log như firewall log, antivirus log, web access log, ids log,…. Các dạng dữ liệu khác nhau này đòi hỏi phải sử dụng các công cụ và thủ tục khác nhau để truy xuất và thu thập. Và các dạng dữ liệu này có thể được thu thập ở mức local hay từ xa thông qua môi trường mạng.
Thẩm tra dữ liệu
Sau khi dữ liệu được thu thập thẩm tra để trích xuất ra các thông tin cần thiết bằng các công cụ thích hợp để phục vụ cho việc phân tích. Các hoạt động thẩm tra bao gồm: Thẩm tra File system, Windows registry, Network, Database, Memory Dump, các File capture các luồng dữ liệu mạng. Cụ thể một số dạng:
Thẩm tra File System
Nhóm điều tra cần có kiến thức chuyên sâu về các kiểu File System tương ứng với các thiết bị khác nhau, như FAT, NTFS cho các họ điều hành Windows, Ext2/3/4, JFS, BTRFS,… cho các họ điều hành Linux/Unix để thu thập được dữ liệu một cách hiệu quả, có khả năng nhận dạng được cấu trúc File System, khả năng phục hồi dữ liệu từ các dữ liệu bị xóa, hay thông tin về các phân vùng bị hỏng, các dạng dữ liệu bị ẩn dấu (như các kỹ thuật data stream trên các ổ đĩa NTFS).
Thẩm tra Windows Registry
Windows registry có thể xem như một cơ sở dữ liệu chứa các thông tin về các cấu hình được dùng như nguồn tham chiếu của việc thực thi các chương trình hay trong quá trình hoạt động của các tiến trình, cấu trúc của Windows registry, được chi thành các vùng gọi là “Hives”, một số Hives quan trọng:
  • HKEY_CLASSES_ROOT.
  • HKEY_CURRENT_USER.
  • HKEY_LOCAL_MACHINE.
  • HKEY_CURRENT_CONFIG.
Dữ liệu trong Windows registry có thể ở dạng volatile hay non-volatile, điều này có nghĩa là các nhà điều tra cần quen thuộc với các chức năng của các hives, các khóa, dữ liệu của khóa để có thể thu thập dữ liệu có hiệu quả.
Thẩm tra các luồng dữ liệu mạng
Việc thẩm tra các luồng dữ liệu trao đổi trong mạng được tiến hành ở hai dạng. Dạng đầu tiên liên quan đến bảo mật là là thẩm tra để tìm kiếm, theo dõi các luồng dữ liệu nghi ngờ là các hoạt động xâm nhập. Một dạng khác liên quan đến thu thập các chứng cứ pháp lý, ở đây luồng dữ liệu được ghi lại để tìm kiếm các file bị lộ ra ngoài, các phiên trao đổi thông tin thông qua email, chat…
Thẩm tra cơ sở dữ liệu
Cơ sử dữ liệu là một tập hợp các dữ liệu hay thông tin lưu trữ trong file hay tập hợp các file. Việc truy xuất thông tin được thực hiện thông qua một tập các câu truy vấn. Việc thẩm tra dữ liệu phục vụ cho việc điều tra số ở mức cơ sở dữ liệu là cần thiết trong một số trường hợp như kẻ tấn công đã xâm nhập thành công hệ cơ sở dữ liệu để đánh cắp thông tin nhạy cảm ra ngoài.

 

Quá trình thẩm tra có thể bắt đầu từ các audit log của các hệ cơ sở dữ liệu, nơi ghi nhận việc đăng nhập, cũng như các hoạt động truy xuất của các tài khoản nếu được cấu hình đúng trước đó.

Phân tích dữ liệu
Sau khi các dữ liệu được thu thập và trích xuất, cần tiến hành phân tích dữ liệu, việc phân tích này thường tiến hành theo các bước: đầu tiên kiểm tra xem liệu có các file ẩn hay là các file lạ nào tồn tại trên hệ thống hay không (như các dạng rootkit, web shell). Kế tiếp nhận dạng các tiến trình lạ đang hoạt động hay các socket bất thường đang được mở. Đội điều tra cũng tiến hành tìm kiếm các hoạt động bất thường từ phía các ứng dụng. Sau đó các account của người dùng sẽ được kiểm tra, thu thập các hoạt động bất thường. Đội kiểm tra cũng phân tích các thông tin liên quan đến mức độ vá của hệ thống, tình trạng cập nhật, các dạng lỗ hổng bảo mật có thể bị khai thác liên quan. Mục tiêu chính của việc phân tích là xác định liệu có các hoạt động bất thường nào đó đã xảy ra không. Khi đã xác định các nguồn bất thường này rồi, nhóm điều tra sẽ thiết lập chiến lược điều tra cụ thể tiếp theo như: phân tích triệt để bộ nhớ, phân tích triệt để file system, phân tích các file log, ghi nhận các event, từ các event hình thành nên các hoạt động đã được thực hiện, phân tích timeline để xác định các khoảng sự kiện diễn ra. Một nguồn quan trọng và phức tạp trong quá trình phân tích, đó là các dạng mã độc. Các hoạt động phân tích mã độc bao gồm:
  • Tìm kiếm các dạng Malware phổ biến trên hệ thống.
  • Thẩm tra lại các chương trình đã được cài đặt.
  • Thẩm tra các chương trình kiểu Prefetch.
  • Thẩm tra các file thực thi.
  • Thẩm tra các chương trình Auto-start.
  • Thẩm tra các Scheduled Jobs.
  • Phân tích log.
  • Thẩm tra các hoạt động của User Accounts, File System, Registry.
Thông thường, trước khi tiến hành phân tích mã độc, đội điều tra sẽ tạo môi trường phân tích ảo ví dụ như dựa trên Virtual Box hay VMware để tránh ảnh hưởng đến hệ thống thực.

 

Việc phân tích các mã độc này có thể chia thành phân tích tĩnh hay phân tích hành vi.

Phân tích tĩnh
Phân tích tĩnh là kiểu phân tích mã độc được tiến hành mà không thực thi chương trình mã độc. Việc phân tích này tốt hơn phân tích động về mặt an toàn trong quá trình phân tích. Do mã độc không được thực thi nên không ngại việc các dữ liệu bị xóa hay bị thay đổi. Có nhiều kỹ thuật khác nhau trong phân tích tĩnh như: File Fingerprintng, Virus Scanning, Packer Detection, Phân tích PE format, các kỹ thuật Disassembly (như sử dụng các bộ IDA).
Phân tích động
Phân tích động là kiểu phân tích mã độc bằng cách tiến hành thực thi mã độc và quan sát các hoạt động của nó. Việc phân tích này còn được gọi là phân tích hành vi. Quá trình phân tích này thường được thực hiện trong một môi trường Sandbox. Có nhiều công cụ và Sandbox khác nhau để thực hiện kiểu phân tích này, ví dụ; Process monitor, Wireshark…

BÁO CÁO

 
Một báo cáo điều tra số đưa ra các bằng chứng về các hoạt động tội phạm đã diễn ra. Trong đó liệt kê chi tiết các phân tích đã thực hiện, các công cụ sử dụng, các kết quả thu thập được, các thiệt hại (nếu có) đã xảy ra cũng như các hướng khắc phục gia cố hệ thống. Cụ thể, nội dung trong bảng báo cáo bao gồm:
  • Mục tiêu của bảng báo cáo.
  • Thông tin về nhóm thực hiện.
  • Tóm tắt về các sự cố đã xảy ra.
  • Các bằng chứng.
  • Chi tiết về quá trình phân tích.
  • Kết luận.
  • Các tài liệu hỗ trợ liên quan.

 
Tổng số điểm của bài viết là: 5 trong 1 đánh giá
Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

 

Những tin cũ hơn

Bản quyền thuộc CEH.VN