Step 5 – CSIRT : Ứng Phó Sự Cố ATTT Khẩn Cấp

Các bạn hãy google để tìm hiểu về thuật ngữ này, hoặc tham khảo các bài trình bày của instructor Đông Dương. CSIRT là một đội nhóm ứng cứu lại các sự cố máy tính, và cần có kiến thức về điều tra số. Đây là những bài học giao thoa với chủ đề digital forensic cũng như sự bổ sung tuyệt vời cho nội dung CHFI v9

Sau 4 bước (Step 1 – Step 4) bây giờ các bạn sẽ tìm hiểu những bài học Step 5. Qua bước này, các bạn sẽ hiểu thêm nhiều vấn đề và những lĩnh vực mà ra có thể áp dụng kiến thức hay kỹ năng điều tra số của mình.

Classroom này gồm có 11 bài học với tống thời lượng gần 15 giờ.

Lesson 01 – Chạy Digital Forensic Lab (1 giờ 2 phút)

Phần này các bạn xem lại cách run một số lab ảo chuyên dùng cho digital forensic như Kali Linux, cách share hay copy dữ liệu chứng cứ từ máy thật hay nguồn bên ngoài, các vlab DEFT (giống trong step Digital Forensic với Kali Linux) nên có thể SANS SIFT để dùng khi cần, và một con REMNUX (tải free, research)

Lesson 02.1 – Giới Thiệu Tool & Lab CHFI v9 (như các bài trước có giới thiệu) (2 giờ 13 phút)

Lesson 02.2 – Thu Thập Chứng Cứ

Lesson 03 – FTK Imager Và Phần Thực Hành Theo LAB 3, 4 Moduel 4 (CHFI v9 LAB) (1 giờ 40 phút)

Lesson 04 : Defeat Anti Forensic (Mod 5, Lab) (51 phút)

Các bạn hãy xem và làm bài tập lab 5 với các chủ đề bẻ khóa tài liệu pdf, doc …

Lesson 05 (1 giờ 47 phút) : Điều tra tình huống rò rĩ thông tin Data Leak Case (DLC) của NIST, kết hợp tài liệu SANS FOR 500

Các bài SANS FOR 500 BQT có trình bày khá chi tiết và cách chạy lab. Các bạn hãy tải vlab FOR 500 về và thực hành. Khu vực SANS FOR 500 nằm trên cassroom riêng trong group, còn đây là bài trình bày điều tra nguyên nhân rò rĩ dữ liệu…

Lưu ý : Bạn nào làm full lab DLC là xuất sắc. Tại Việt Nam số người đã làm full lab này không nhiều đâu.

Ở tình huống này Mr Informant đã câu kết với gián điệp để đánh cắp bí mật công nghệ của cty và bán cho bên ngoài. Tình huống như tại đây có mô tả, cả image chứng cứ cũng download trên đây về

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

Hãy xác định và trả lời đầy đủ các câu hỏi theo form sau

Lesson 05 : Thu Thập Và Phân Tích Chứng Cứ Động (1 giờ 42 phút), Volatility_Memory_forensic_banking-trouble

Trong phần này có bài OS forensic sẽ trình bày ở một lesson khác.

Lesso 06 – Sử dụng VOL Workbench để xủ lý các Thử thách của Root Me phần Digital Forensic (55 phút)

Lesson 07 – Xử lý Các thử thách root me (tiếp theo) . Phân tích sâu.

Lesson 08 : Điều tra nguyên nhân bị tấn công của máy chủ web BLUE Server (lab online THM) . Trước tình hình máy chủ BLUE bị khai thác cài cắm phần mềm đào tiền ảo, các bạn cần đánh giá và tìm hiểu nguyên nhân hay xác định các điểm yếu để đưa ra phương án xử lý lỗi nhằm giảm thiểu rũi ro. Bài này có kiến thức thuộc về phần pentest nhiều hơn, nhưng là kiến thức cần thiết của các thành viên nhóm CSIRT.

Sau khi tham khảo bài học các bạn hãy thực hành lại và chụp hình hoàn thành kết quả của lab trên THM cho BQT xem. Hoặc gởi thông tin tài khoản để BQT kiểm tra. Bài này thuộc learning path offensive defender của THM.

Lưu ý : bạn nào chưa có tài khoản THM hãy đăng ki tài khoản free tại đây http://www.tryhackme.com

Có một số bài cần tài khoản VIP thì phải nâng cấp tài khoản, nếu hoàn thành full Learning Path sẽ có cert của THM.

IRT Blue Server (THM) – 1 giờ 20 phút

Lesson 09 – TIếp tục với các thao tác điều tra từ xa, làm lab RDNMAP , quét THEROCK (57 phút)

Như vậy, hoàn thành Lesson 01 ta đã biết các điểm yêu mà hacker đã lợi dụng để thâm nhập. Tiếp theo, ta cần kiểm tra mật khẩu có yếu hay mạnh với Lc 7 hay Hashcat (lý thuyết, sẽ có bài liên quan ở những phần sau) bẻ khóa tập tin SAM, lấy hashdump … Cần chú ý các thao tác dùng lệnh với Metasploit.

Ngoài ra, trong Lesson 02, các bạn chạy thêm con THEROCK và làm một bài tập RDNmap trên THM, để hiểu về cách vận hành công cụ từng đứng hàng số 1 trên sectools , và dùng nó để kiểm tra các cổng mở trên máy chủ nhanh chóng, hiệu quả.

Lesson 10 – Thu Thập Chứng Cứ

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s