CEH v13 AI – CEH VIETNAM

Tài liệu CHFI 2024 (EC Council) Module 13 Điều Tra Số Các Phần Mềm Độc Hại

Tài liệu CHFI 2024 (EC Council) Module 13 Điều Tra Số Các Phần Mềm Độc Hại Mục tiêu module Sau khi hoàn thành thành công module này, bạn sẽ có thể: Trước khi bắt đầu, hãy tham khảo vài ví dụ minh họa: Tình huống tổng quát: Công ty XYZ phát hiện hoạt động mạng bất…

IT-PRO

Tài liệu CHFI 2024 (EC Council) Module 13 Điều Tra Số Các Phần Mềm Độc Hại

Tài liệu CHFI 2024 (EC Council) Module 13 Điều Tra Số Các Phần Mềm Độc Hại P1
Lịch Khai Giảng Khóa Đào Tạo CHFI v10 + v11 Online Tại Việt Nam – 2024 – Ngày 18/7/2024

Mục tiêu module

Sau khi hoàn thành thành công module này, bạn sẽ có thể:

  1. Hiểu tầm quan trọng của việc thiết lập phòng thí nghiệm phân tích phần mềm độc hại có kiểm soát
  2. Định nghĩa phần mềm độc hại và liệt kê các cách phần mềm độc hại có thể xâm nhập vào hệ thống
  3. Thảo luận về các kỹ thuật mà kẻ tấn công sử dụng để phát tán phần mềm độc hại, và liệt kê các thành phần cơ bản của phần mềm độc hại
  4. Áp dụng các khái niệm về pháp y phần mềm độc hại, xác định và trích xuất phần mềm độc hại từ các hệ thống đang hoạt động và không hoạt động
  5. Chuẩn bị môi trường kiểm thử để phân tích phần mềm độc hại
  6. Xác định các quy tắc chung để thực hiện phân tích phần mềm độc hại
  7. Thực hiện phân tích phần mềm độc hại tĩnh và động và phân tích các tài liệu độc hại
  8. Hiểu các thách thức gặp phải khi thực hiện phân tích phần mềm độc hại

Trước khi bắt đầu, hãy tham khảo vài ví dụ minh họa:

  1. Phân tích tĩnh: Giả sử một điều tra viên của Security365 nhận được một tệp thực thi đáng ngờ. Họ sử dụng công cụ như IDA Pro để disassemble tệp và phát hiện ra một chuỗi mã hóa bất thường. Khi giải mã, họ tìm thấy một địa chỉ IP và cổng, cho thấy tệp này có thể đang cố gắng kết nối với một máy chủ điều khiển từ xa.
  2. Phân tích động: Một chuyên gia của Security365 chạy một tệp đáng ngờ trong môi trường sandbox. Sử dụng Process Monitor, họ quan sát thấy tệp này đang tạo ra nhiều khóa registry mới và cố gắng kết nối với nhiều địa chỉ IP khác nhau. Điều này xác nhận đây là một phần mềm độc hại có khả năng tự lan truyền.
  3. Phân tích tài liệu độc hại: Một khách hàng của Security365 báo cáo về một tệp PDF đáng ngờ. Khi phân tích, điều tra viên phát hiện tệp này chứa JavaScript ẩn. Khi được trích xuất và phân tích, JavaScript này được thiết kế để khai thác một lỗ hổng Adobe Reader cũ để thực thi mã độc hại.

Tình huống tổng quát:

Công ty XYZ phát hiện hoạt động mạng bất thường và nghi ngờ bị tấn công bởi phần mềm độc hại. Họ thuê Security365 để điều tra. Các chuyên gia của Security365 thực hiện các bước sau:

  1. Thu thập bằng chứng: Họ tạo bản sao của ổ cứng và bộ nhớ từ các máy tính bị ảnh hưởng.
  2. Phân tích tĩnh: Họ quét các tệp hệ thống để tìm các tệp đáng ngờ và thực hiện phân tích mã trên chúng.
  3. Phân tích động: Họ chạy các tệp đáng ngờ trong môi trường sandbox để quan sát hành vi.
  4. Phân tích mạng: Họ kiểm tra nhật ký mạng để tìm các kết nối bất thường.
  5. Phân tích bộ nhớ: Họ kiểm tra bộ nhớ để tìm các dấu hiệu của phần mềm độc hại đang chạy.
  6. Khôi phục dữ liệu: Họ cố gắng khôi phục bất kỳ dữ liệu nào có thể đã bị xóa bởi phần mềm độc hại.

Sau khi phân tích, Security365 xác định rằng công ty đã bị tấn công bởi một trojan ngân hàng tinh vi. Họ xác định được cách thức xâm nhập, phạm vi của sự cố, và cung cấp các khuyến nghị để loại bỏ mối đe dọa và ngăn chặn các cuộc tấn công trong tương lai.

Tình huống này minh họa cách các kỹ thuật khác nhau được thảo luận trong module được áp dụng trong một cuộc điều tra thực tế, từ việc thu thập bằng chứng ban đầu đến phân tích chi tiết và cuối cùng là đưa ra kết luận và khuyến nghị.

Dưới đây là một số ví dụ đáng chú ý:

  1. Vụ án WannaCry Ransomware (2017):

WannaCry là một cuộc tấn công ransomware toàn cầu ảnh hưởng đến hàng trăm nghìn máy tính trên 150 quốc gia.

Chi tiết vụ án:

  • Phần mềm độc hại sử dụng lỗ hổng EternalBlue trong hệ thống Windows để lây lan.
  • Nó mã hóa dữ liệu của nạn nhân và đòi tiền chuộc bằng Bitcoin.
  • Các nhà nghiên cứu bảo mật, bao gồm Marcus Hutchins, đã phân tích mã và phát hiện ra một “công tắc kill” có thể ngăn chặn sự lây lan của malware.

Quá trình điều tra:

  • Phân tích tĩnh và động của mã malware được thực hiện để hiểu cơ chế hoạt động.
  • Các chuyên gia từ Kaspersky và Symantec đã truy tìm nguồn gốc của cuộc tấn công.
  • Phân tích blockchain được sử dụng để theo dõi các khoản thanh toán tiền chuộc.

Kết quả:

  • Cuộc tấn công được quy cho nhóm Lazarus, được cho là có liên quan đến Triều Tiên.
  • Vụ án này làm nổi bật tầm quan trọng của việc cập nhật hệ thống và có kế hoạch ứng phó sự cố.
  1. Vụ án Stuxnet (2010):

Stuxnet là một loại malware phức tạp được thiết kế để tấn công các hệ thống công nghiệp, cụ thể là các cơ sở hạt nhân của Iran.

Chi tiết vụ án:

  • Malware này sử dụng nhiều lỗ hổng zero-day và chứng chỉ số hợp lệ bị đánh cắp.
  • Nó nhắm mục tiêu cụ thể vào các hệ thống điều khiển công nghiệp Siemens.

Quá trình điều tra:

  • Các chuyên gia từ Symantec, Kaspersky và các tổ chức khác đã phân tích mã trong nhiều tháng.
  • Họ đã phát hiện ra một mã độc phức tạp với nhiều lớp mã hóa và kỹ thuật trốn tránh.
  • Phân tích cho thấy malware được thiết kế đặc biệt để phá hủy các máy ly tâm làm giàu uranium.

Kết quả:

  • Vụ án này được coi là ví dụ đầu tiên về vũ khí mạng được sử dụng để tấn công cơ sở hạ tầng vật lý.
  • Nó làm thay đổi cách nhìn về an ninh mạng trong lĩnh vực công nghiệp và chính phủ.
  1. Vụ án Target Data Breach (2013):

Một trong những vụ vi phạm dữ liệu lớn nhất, ảnh hưởng đến khoảng 40 triệu thẻ tín dụng và debit của khách hàng Target.

Chi tiết vụ án:

  • Kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp từ một nhà cung cấp HVAC để xâm nhập vào mạng của Target.
  • Họ cài đặt malware trên các máy POS để thu thập dữ liệu thẻ tín dụng.

Quá trình điều tra:

  • Các chuyên gia điều tra số đã phân tích nhật ký hệ thống và mạng để xác định điểm xâm nhập.
  • Họ đã phân tích malware được sử dụng trên các máy POS để hiểu cách nó hoạt động và trích xuất dữ liệu.
  • Các kỹ thuật pháp y mạng được sử dụng để theo dõi luồng dữ liệu bị đánh cắp.

Kết quả:

  • Vụ việc này làm nổi bật tầm quan trọng của bảo mật chuỗi cung ứng và giám sát liên tục.
  • Target phải chi trả hàng trăm triệu đô la cho các biện pháp khắc phục và bồi thường.

Những vụ án này minh họa cho sự phức tạp và tầm quan trọng của phân tích phần mềm độc hại và điều tra số trong thế giới hiện đại. Chúng cho thấy rằng các kỹ năng và công cụ được thảo luận trong module này là rất quan trọng để hiểu, phòng chống và ứng phó với các mối đe dọa mạng ngày càng tinh vi.

Ngoài ra, còn có một số tình huống tấn công bằng mã độc diễn ra tại Việt Nam như :

Vụ án APT32 (OceanLotus) nhắm vào Việt Nam (2017-2020):
APT32, còn được gọi là OceanLotus, là một nhóm tin tặc được cho là có liên quan đến Việt Nam, chuyên nhắm vào các tổ chức chính phủ, doanh nghiệp và cá nhân ở Đông Nam Á. Họ triển khai nhiều loại malware tùy chỉnh, bao gồm backdoor và công cụ gián điệp. APT32 sử dụng các chiến dịch lừa đảo tinh vi, gửi email có chứa tài liệu độc hại.

Vụ án mã độc tống tiền GandCrab tại Việt Nam (2018-2019):GandCrab là một loại ransomware phổ biến, ảnh hưởng đến nhiều quốc gia, trong đó có Việt Nam. Nó mã hóa các tệp của nạn nhân và đòi tiền chuộc bằng cryptocurrency. GandCrab lây nhiễm thông qua email lừa đảo và các trang web bị xâm phạm.

Bình luận về bài viết này

Thịnh hành