Mục tiêu Module Network Forensic (Điều Tra Chứng Cứ Số Mạng Máy Tính)
Tài liệu học EC Council CHFI v11
Sau khi hoàn thành module này, bạn sẽ có thể:
- Hiểu về sẵn sàng pháp y số mạng và liệt kê các bước pháp y số mạng
- Hiểu tầm quan trọng của pháp y số mạng
- Thảo luận về các khái niệm ghi log cơ bản
- Tóm tắt các khái niệm tương quan sự kiện
- Kiểm tra các log của Router, Firewall, IDS, DHCP và ODBC
- Kiểm tra lưu lượng mạng
- Ghi chép bằng chứng thu thập được trên mạng
- Thực hiện tái tạo bằng chứng để điều tra
Pháp y số mạng đảm bảo rằng tất cả các luồng dữ liệu mạng đều có thể được theo dõi ngay lập tức, cho phép người giám sát nhận thấy việc sử dụng nội bộ sai mục đích và các mối đe dọa nâng cao. Module này thảo luận về tầm quan trọng của pháp y số mạng, phân tích các log từ nhiều thiết bị khác nhau, và điều tra lưu lượng mạng.
Pháp y số mạng bao gồm việc thu giữ và phân tích các sự kiện mạng để xác định nguồn gốc của các cuộc tấn công bảo mật hoặc các sự cố vấn đề khác bằng cách điều tra các tệp nhật ký.
Tình huống
Jessica mất tích khỏi nhà một tuần. Cô ấy để lại một lưu ý cho cha mình rằng cô ấy sẽ đi gặp bạn học. Vài tuần sau, thi thể của Jessica được tìm thấy gần một bãi rác.
Các nhà điều tra được gọi đến để điều tra cái chết của Jessica. Một cuộc điều tra sơ bộ về máy tính và nhật ký của Jessica đã tiết lộ một số sự thật giúp cảnh sát truy tìm kẻ giết người.
Pháp y số mạng
Pháp y số mạng là việc thu thập, ghi lại và phân tích các sự kiện mạng để phát hiện nguồn gốc của các sự cố bảo mật
Việc thu thập lưu lượng mạng trên một mạng về mặt lý thuyết là đơn giản, nhưng tương đối phức tạp trong thực tế; do lượng lớn dữ liệu chảy qua mạng và bản chất phức tạp của các giao thức Internet
Ghi lại lưu lượng mạng đòi hỏi rất nhiều tài nguyên, điều này khiến việc ghi lại tất cả dữ liệu chảy qua mạng là không khả thi
Hơn nữa, một điều tra viên cần sao lưu những dữ liệu đã ghi này để giải phóng phương tiện ghi và bảo quản dữ liệu cho phân tích trong tương lai
Pháp y số mạng có thể tiết lộ những thông tin sau:
- Nguồn gốc của các sự cố bảo mật
- Con đường xâm nhập
- Các kỹ thuật xâm nhập mà kẻ tấn công đã sử dụng
- Dấu vết và bằng chứng
Pháp y số mạng là việc triển khai sniffing, ghi lại, thu thập và phân tích lưu lượng mạng và nhật ký sự kiện để điều tra một sự cố bảo mật mạng. Việc thu thập lưu lượng mạng trên một mạng về mặt lý thuyết là đơn giản, nhưng tương đối phức tạp trong thực tế do nhiều lý do vốn có như lượng lớn dữ liệu chảy qua và bản chất phức tạp của các giao thức Internet. Ghi lại lưu lượng mạng đòi hỏi rất nhiều tài nguyên. Thông thường không thể ghi lại tất cả dữ liệu chảy qua mạng do khối lượng lớn. Ngoài ra, những dữ liệu đã ghi này cần được sao lưu để giải phóng phương tiện ghi và phục vụ phân tích trong tương lai.
Việc phân tích dữ liệu đã ghi là nhiệm vụ quan trọng và tốn nhiều thời gian nhất. Có nhiều công cụ phân tích tự động cho mục đích pháp y số, nhưng chúng không đủ, vì không có phương pháp chắc chắn nào để nhận ra lưu lượng giả mạo do kẻ tấn công tạo ra từ một nhóm lưu lượng thực. Đánh giá của con người cũng rất quan trọng vì với các công cụ phân tích lưu lượng tự động, luôn có khả năng xảy ra cảnh báo giả.
Pháp y số mạng là cần thiết để xác định loại tấn công qua mạng và truy tìm thủ phạm. Một quy trình điều tra thích hợp là cần thiết để đưa ra bằng chứng thu được trong quá trình điều tra tại tòa án.
Phân tích sau sự kiện và thời gian thực
Kiểm tra pháp y số các nhật ký được chia thành hai loại:
Phân tích sau sự kiện Phân tích thời gian thực
Kiểm tra pháp y số nhật ký
Phân tích sau sự kiện được thực hiện để điều tra điều gì đó đã xảy ra
Phân tích thời gian thực được thực hiện cho quá trình đang diễn ra
Lưu ý: Trong thực tế, IDS là phân tích thời gian thực, trong khi kiểm tra pháp y số là phân tích sau sự kiện
Kiểm tra pháp y số các nhật ký có hai loại:
Phân tích sau sự kiện Các điều tra viên thực hiện phân tích sau sự kiện của nhật ký để phát hiện điều gì đó đã xảy ra trong một mạng/thiết bị và xác định nó là gì.
Ở đây, một điều tra viên có thể xem qua các tệp nhật ký nhiều lần để kiểm tra và kiểm tra luồng của các lần chạy trước đó. So với phân tích thời gian thực, đây là một quá trình kỹ lưỡng, vì các điều tra viên cần kiểm tra cuộc tấn công một cách chi tiết và đưa ra báo cáo cuối cùng.
Phân tích thời gian thực Phân tích thời gian thực là một quá trình đang diễn ra, trả về kết quả đồng thời, để hệ thống hoặc người vận hành có thể phản hồi ngay lập tức với các cuộc tấn công.
Phân tích thời gian thực là phân tích được thực hiện cho quá trình đang diễn ra. Phân tích này sẽ hiệu quả hơn nếu các điều tra viên/quản trị viên phát hiện cuộc tấn công nhanh chóng. Trong phân tích này, điều tra viên chỉ có thể xem qua các tệp nhật ký một lần để đánh giá cuộc tấn công, không giống như phân tích sau sự kiện.
Lỗ hổng mạng
Lỗ hổng mạng
Lỗ hổng mạng nội bộ
Lỗ hổng mạng bên ngoài
Những lỗ hổng này xảy ra do các mối đe dọa như tấn công DoS/DDoS và ngăn chặn dữ liệu mạng
Những lỗ hổng này xảy ra do việc mở rộng quá mức băng thông và tắc nghẽn
Lỗ hổng mạng
Những tiến bộ công nghệ to lớn trong mạng cũng dẫn đến sự gia tăng nhanh chóng về độ phức tạp và lỗ hổng của mạng. Điều duy nhất mà người dùng có thể làm là giảm thiểu những lỗ hổng này, vì việc loại bỏ hoàn toàn các lỗ hổng là không thể. Có nhiều yếu tố bên trong và bên ngoài khiến một mạng dễ bị tổn thương.
Lỗ hổng mạng nội bộ Lỗ hổng mạng nội bộ xảy ra do việc mở rộng quá mức băng thông và tắc nghẽn.
- Mở rộng quá mức băng thông: Mở rộng quá mức băng thông xảy ra khi nhu cầu người dùng vượt quá tổng tài nguyên.
- Tắc nghẽn: Tắc nghẽn thường xảy ra khi nhu cầu người dùng vượt quá tài nguyên trong các phân đoạn mạng cụ thể.
Các hệ thống quản lý mạng chỉ đạo những vấn đề này và phần mềm đến nhật ký hoặc các giải pháp quản lý khác. Quản trị viên hệ thống kiểm tra các hệ thống này và xác định vị trí của các điểm chậm mạng. Sử dụng thông tin này, họ định tuyến lại lưu lượng trong kiến trúc mạng để tăng tốc độ và chức năng của mạng.
Lỗ hổng mạng bên ngoài Lỗ hổng mạng bên ngoài xảy ra do các mối đe dọa như tấn công DoS/DDoS và ngăn chặn dữ liệu mạng.
Tấn công DoS và DDoS là kết quả từ một hoặc nhiều cuộc tấn công. Những cuộc tấn công này chịu trách nhiệm làm chậm hoặc vô hiệu hóa mạng và được coi là một trong những mối đe dọa nghiêm trọng nhất mà một mạng phải đối mặt. Để giảm thiểu cuộc tấn công này, hãy sử dụng các công cụ giám sát hiệu suất mạng cảnh báo cho người dùng hoặc quản trị viên về một cuộc tấn công.
Ngăn chặn dữ liệu là một lỗ hổng phổ biến trong các mạng LAN và WLAN. Trong loại tấn công này, kẻ tấn công xâm nhập vào một phiên bảo mật và do đó giám sát hoặc chỉnh sửa dữ liệu mạng để truy cập hoặc chỉnh sửa hoạt động mạng. Để giảm thiểu những cuộc tấn công này, người dùng hoặc quản trị viên cần áp dụng các hệ thống xác thực người dùng và tường lửa để hạn chế những người dùng trái phép truy cập vào mạng.
Tấn công mạng
Các cuộc tấn công phổ biến nhất được thực hiện chống lại mạng:
Các cuộc tấn công cụ thể đối với mạng không dây:
Nghe trộm Sửa đổi dữ liệu Giả mạo địa chỉ IP Tấn công từ chối dịch vụ Tấn công trung gian Đánh hơi gói tin Liệt kê Chiếm quyền phiên Tràn bộ đệm Lây nhiễm qua email Tấn công phần mềm độc hại Tấn công dựa trên mật khẩu Tấn công Router
Tấn công điểm truy cập giả mạo Kết nối sai của khách hàng Tấn công điểm truy cập cấu hình sai Kết hợp trái phép Tấn công kết nối Ad Hoc Tấn công điểm truy cập HoneySpot Giả mạo MAC của AP Tấn công gây nhiễu tín hiệu
Các cuộc tấn công phổ biến nhất chống lại mạng:
Nghe trộm Nghe trộm là một kỹ thuật được sử dụng để chặn các kết nối không an toàn nhằm đánh cắp thông tin cá nhân, điều này là bất hợp pháp.
Sửa đổi dữ liệu Khi kẻ xâm nhập có quyền truy cập vào thông tin nhạy cảm, bước đầu tiên của họ là thay đổi dữ liệu. Vấn đề này được gọi là tấn công sửa đổi dữ liệu.
Giả mạo địa chỉ IP Giả mạo IP là một kỹ thuật được sử dụng để có quyền truy cập trái phép vào máy tính. Ở đây, kẻ tấn công gửi các tin nhắn đến máy tính với địa chỉ IP cho thấy các tin nhắn đang đến từ một máy chủ đáng tin cậy.
Từ chối dịch vụ (DoS) Trong một cuộc tấn công DoS, kẻ tấn công làm tràn ngập mục tiêu với một lượng lớn lưu lượng truy cập không hợp lệ, do đó dẫn đến cạn kiệt các tài nguyên có sẵn trên mục tiêu. Mục tiêu sau đó ngừng phản hồi các yêu cầu đến tiếp theo, do đó dẫn đến từ chối dịch vụ đối với người dùng hợp pháp.
Tấn công trung gian Trong các cuộc tấn công trung gian, kẻ tấn công tạo các kết nối độc lập với người dùng/nạn nhân và chuyển tiếp tin nhắn giữa họ, khiến họ tin rằng cuộc trò chuyện của họ là trực tiếp.
Đánh hơi gói tin Đánh hơi gói tin đề cập đến quá trình thu thập lưu lượng truy cập chảy qua một mạng, với mục đích thu thập thông tin nhạy cảm như tên người dùng và mật khẩu và sử dụng chúng cho các mục đích bất hợp pháp. Trong mạng máy tính, trình đánh hơi gói tin thu thập các gói tin mạng. Các công cụ phần mềm được gọi là Cain&Able được sử dụng để phục vụ mục đích này.
Liệt kê Liệt kê là quá trình thu thập thông tin về một mạng có thể giúp tấn công mạng đó. Kẻ tấn công thường thực hiện liệt kê qua Internet. Trong quá trình liệt kê, các thông tin sau được thu thập:
- Tô pô của mạng
- Danh sách các máy chủ đang hoạt động
- Kiến trúc và loại lưu lượng truy cập (ví dụ: TCP, UDP, IPX)
- Các lỗ hổng tiềm ẩn trong hệ thống máy chủ
Chiếm quyền phiên Một cuộc tấn công chiếm quyền phiên đề cập đến việc khai thác cơ chế tạo mã thông báo phiên hoặc các biện pháp kiểm soát bảo mật mã thông báo, sao cho kẻ tấn công có thể thiết lập kết nối trái phép với máy chủ mục tiêu.
Tràn bộ đệm
Bộ đệm có khả năng lưu trữ dữ liệu. Nếu số lượng dữ liệu vượt quá dung lượng ban đầu của bộ đệm, thì xảy ra tràn bộ đệm. Để duy trì dữ liệu hữu hạn, cần phải phát triển các bộ đệm có thể chuyển hướng thông tin bổ sung khi cần thiết. Thông tin thừa có thể tràn vào các bộ đệm lân cận, phá hủy hoặc ghi đè lên dữ liệu hợp pháp.
Lây nhiễm qua email Cuộc tấn công này sử dụng email làm phương tiện tấn công một mạng. Gửi thư rác và các phương tiện khác được sử dụng để làm tràn ngập mạng và gây ra một cuộc tấn công DoS.
Tấn công phần mềm độc hại Phần mềm độc hại là một loại mã hoặc phần mềm độc hại được thiết kế để làm hỏng hệ thống. Kẻ tấn công cố gắng cài đặt phần mềm độc hại trên hệ thống mục tiêu; khi người dùng cài đặt nó, nó sẽ làm hỏng hệ thống.
Tấn công dựa trên mật khẩu Tấn công dựa trên mật khẩu là một quá trình mà kẻ tấn công thực hiện nhiều lần đăng nhập vào một hệ thống hoặc ứng dụng để sao chép đăng nhập hợp lệ và có quyền truy cập vào nó.
Tấn công Router Đó là quá trình một kẻ tấn công cố gắng xâm phạm bộ định tuyến và có quyền truy cập vào nó.
Các cuộc tấn công cụ thể đối với mạng không dây:
Tấn công điểm truy cập giả mạo Kẻ tấn công hoặc người trong cuộc tạo ra một lối đi phía sau vào mạng đáng tin cậy bằng cách cài đặt một điểm truy cập không an toàn bên trong tường lửa. Sau đó, họ sử dụng bất kỳ điểm truy cập phần mềm hoặc phần cứng nào để thực hiện loại tấn công này.
Kết nối sai của khách hàng Khách hàng có thể kết nối hoặc liên kết với một AP bên ngoài mạng hợp pháp một cách cố ý hoặc vô tình. Một kẻ tấn công có thể cố ý kết nối với mạng đó và tiến hành các hoạt động độc hại có thể lạm dụng tình huống này. Loại kết nối sai của khách hàng này có thể dẫn đến các cuộc tấn công kiểm soát truy cập.
Tấn công điểm truy cập cấu hình sai Cuộc tấn công này xảy ra do cấu hình sai của điểm truy cập không dây. Đây là lỗ hổng dễ khai thác nhất mà kẻ tấn công có thể khai thác. Khi khai thác thành công, toàn bộ mạng có thể mở ra cho các lỗ hổng và cuộc tấn công. Một trong những cách gây ra cấu hình sai là áp dụng tên người dùng và mật khẩu mặc định để sử dụng điểm truy cập.
Kết hợp trái phép Trong cuộc tấn công này, kẻ tấn công lợi dụng các điểm truy cập mềm, là các radio WLAN có trong một số máy tính xách tay. Kẻ tấn công có thể kích hoạt các điểm truy cập này trong hệ thống của nạn nhân thông qua một chương trình độc hại và có quyền truy cập vào mạng.
Tấn công kết nối Ad Hoc Trong một cuộc tấn công kết nối Ad Hoc, kẻ tấn công thực hiện cuộc tấn công bằng cách sử dụng bộ điều hợp USB hoặc thẻ không dây. Trong phương pháp này, máy chủ kết nối với một trạm không an toàn để tấn công một trạm cụ thể hoặc tránh bảo mật điểm truy cập.
Tấn công điểm truy cập HoneySpot Nếu nhiều WLAN cùng tồn tại trong cùng một khu vực, người dùng có thể kết nối với bất kỳ mạng có sẵn nào. Loại WLAN đa dạng này rất dễ bị tấn công. Thông thường, khi một khách hàng không dây bật lên, nó dò tìm các mạng không dây gần đó để tìm một SSID cụ thể. Kẻ tấn công lợi dụng hành vi này của khách hàng không dây bằng cách thiết lập một mạng không dây trái phép bằng cách sử dụng một AP giả mạo. AP này có ăng-ten công suất cao (khuếch đại cao) và sử dụng cùng SSID của mạng mục tiêu. Người dùng thường xuyên kết nối với nhiều WLAN có thể kết nối với AP giả mạo. Những AP này do kẻ tấn công lắp đặt là các AP “honeypot”. Chúng truyền tín hiệu đèn hiệu mạnh hơn các AP hợp pháp. Các NIC tìm kiếm tín hiệu mạnh nhất có sẵn có thể kết nối với AP giả mạo. Nếu một người dùng được ủy quyền kết nối với một AP honeypot, nó tạo ra một lỗ hổng bảo mật và tiết lộ thông tin người dùng nhạy cảm như danh tính, tên người dùng và mật khẩu cho kẻ tấn công.
Giả mạo MAC của AP Sử dụng kỹ thuật giả mạo MAC, kẻ tấn công có thể cấu hình lại địa chỉ MAC theo cách khiến nó xuất hiện như một điểm truy cập được ủy quyền đối với một máy chủ trên mạng đáng tin cậy. Các công cụ để thực hiện loại tấn công này là changemac.sh, SMAC và Wicontrol.
Tấn công gây nhiễu tín hiệu Trong cuộc tấn công này, kẻ tấn công gây nhiễu các tín hiệu WiFi để ngăn chặn tất cả lưu lượng truy cập hợp pháp sử dụng điểm truy cập. Kẻ tấn công chặn các tín hiệu bằng cách gửi một lượng lớn lưu lượng truy cập bất hợp pháp đến điểm truy cập bằng cách sử dụng một số công cụ nhất định.
CEH v13 AI - CEH VIETNAM 
Bình luận về bài viết này