CEH v13 AI – CEH VIETNAM

,

Hướng dẫn Phát hiện Hành vi Độc hại trong Windows (CHFI v11)

Mục lục 1. Giới thiệu Trong điều tra sự cố, khả năng phân biệt giữa hành vi bình thường và bất thường thường là yếu tố quyết định thành công. Tài liệu này cung cấp hướng dẫn về cách nhận diện các dấu hiệu đáng ngờ trong hệ thống Windows để phát hiện xâm nhập.…

IT-PRO

Mục lục

  1. Giới thiệu
  2. Tiến trình Độc hại
  3. Dịch vụ Không Xác định
  4. Chèn Mã và Rootkit
  5. Dấu hiệu Bám trụ
  6. Hoạt động Mạng Đáng ngờ
  7. Các Tiến trình Windows Chuẩn

1. Giới thiệu

Trong điều tra sự cố, khả năng phân biệt giữa hành vi bình thường và bất thường thường là yếu tố quyết định thành công. Tài liệu này cung cấp hướng dẫn về cách nhận diện các dấu hiệu đáng ngờ trong hệ thống Windows để phát hiện xâm nhập.

2. Tiến trình Độc hại

Tác giả malware thường sử dụng một trong hai chiến lược để che giấu tiến trình độc hại:

  1. Ngụy trang như tiến trình hợp lệ
  2. Sử dụng kỹ thuật chèn mã và rootkit

2.1. Các dấu hiệu cần kiểm tra:

  • Tên tiến trình giống tiến trình hệ thống nhưng:
  • Chạy từ đường dẫn sai
  • Có tiến trình cha không đúng
  • Chạy với SID không phù hợp
  • Tên bị đánh vần sai (ví dụ: scvhost.exe thay vì svchost.exe)
  • Tham số dòng lệnh bất thường
  • DLL đáng ngờ chạy qua rundll32.exe
  • DLL được chèn vào tiến trình hợp lệ

2.2. Kiểm tra chữ ký số

  • Sử dụng Mandiant Redline để kiểm tra chữ ký trong bộ nhớ
  • Dùng Authenticode Tools hoặc sigcheck.exe để phân tích offline
  • Trên Windows 7 Enterprise mặc định, tất cả tiến trình, driver, dịch vụ và tác vụ đều được Microsoft ký

3. Dịch vụ Không Xác định

Dịch vụ Windows được thiết kế để chạy ứng dụng nền mà không cần tương tác người dùng.

3.1. Đặc điểm dịch vụ Windows

  • Có thể là executable riêng biệt hoặc DLL
  • Nhiều DLL dịch vụ được nhóm dưới svchost.exe
  • Cấu hình lưu trong registry: HKLM\SYSTEM\CurrentControlSet\Services
  • Thông tin cấu hình bao gồm:
  • Tên dịch vụ
  • Tên hiển thị
  • Đường dẫn thực thi
  • Kiểu khởi động
  • Quyền hạn
  • Phụ thuộc

3.2. Phân tích dịch vụ

  • Offline: Kiểm tra cấu hình trong registry
  • Online: Sử dụng lệnh “sc” với các tham số:
  • queryex
  • qc
  • qprivs
  • qtriggerinfo

4. Chèn Mã và Rootkit

4.1. Chèn mã (Code Injection)

  • Phương pháp phổ biến để ẩn mã độc
  • Hiếm khi hợp lệ trừ khi debug phần mềm
  • Có thể phát hiện qua phân tích bộ nhớ

4.2. Rootkit

  • Mục đích: Che giấu hoạt động và dữ liệu
  • Công cụ phát hiện: GMER, Rootkit Revealer
  • Phương pháp hiệu quả nhất: phân tích bộ nhớ offline
  • Công cụ phân tích: Mandiant Redline, Volatility

5. Dấu hiệu Bám trụ

Malware thường sử dụng các kỹ thuật sau để tồn tại sau khi khởi động lại:

5.1. Phương pháp phổ biến

  • Tác vụ định kỳ (Scheduled Tasks)
  • Khóa registry tự khởi động
  • Thay thế hoặc tạo dịch vụ
  • Tấn công DLL Search Order
  • Thư viện hệ thống bị chèn mã

5.2. Phương pháp nâng cao

  • PowerShell background job
  • Local Group Policy
  • MS Office Add-In
  • Flash BIOS

6. Hoạt động Mạng Đáng ngờ

6.1. Các dấu hiệu cần chú ý

  • Tiến trình không phải trình duyệt kết nối qua port 80/443/8080
  • Trình duyệt kết nối qua port không chuẩn
  • Kết nối đến IP đáng ngờ trong/ngoài nước
  • Yêu cầu web trực tiếp đến IP thay vì tên miền
  • Kết nối RDP từ nguồn lạ
  • Truy vấn DNS đến tên miền bất thường

7. Các Tiến trình Windows Chuẩn

7.1. System

  • Đường dẫn: Không có (kernel)
  • Tiến trình cha: Không có
  • Số lượng: 1
  • Tài khoản: Local System
  • Mô tả: Quản lý thread kernel-mode

7.2. smss.exe (Session Manager)

  • Đường dẫn: %SystemRoot%\System32\smss.exe
  • Tiến trình cha: System
  • Số lượng: 1 master + 1 child/session
  • Tài khoản: Local System
  • Mô tả: Quản lý phiên làm việc

7.3. csrss.exe (Client/Server Runtime Subsystem)

  • Đường dẫn: %SystemRoot%\System32\csrss.exe
  • Số lượng: 2 hoặc nhiều hơn
  • Tài khoản: Local System
  • Mô tả: Quản lý tiến trình và thread

7.4. services.exe

  • Đường dẫn: %SystemRoot%\System32\services.exe
  • Tiến trình cha: wininit.exe
  • Số lượng: 1
  • Tài khoản: Local System
  • Mô tả: Quản lý dịch vụ và tác vụ nền

7.5. svchost.exe

  • Đường dẫn: %SystemRoot%\System32\svchost.exe
  • Tiến trình cha: services.exe
  • Số lượng: 5 hoặc nhiều hơn
  • Mô tả: Host cho các dịch vụ Windows

7.6. explorer.exe

  • Đường dẫn: %SystemRoot%\explorer.exe
  • Số lượng: 1/user
  • Tài khoản: User đăng nhập
  • Mô tả: Giao diện người dùng Windows

Lưu ý quan trọng

  1. Luôn xác minh:
  • Đường dẫn của tiến trình
  • Tiến trình cha
  • Tài khoản chạy
  • Thời điểm khởi động
  • Tham số dòng lệnh
  1. Kiểm tra chữ ký số của các file thực thi
  2. Theo dõi hoạt động mạng bất thường
  3. Lưu ý các cơ chế bám trụ phổ biến

CHFI v10 / v11 – Khóa học Chuyên về Điều Tra Số

Bình luận về bài viết này

Thịnh hành