ݺߣ

ݺߣShare a Scribd company logo

RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf

B
bienxanhlunglinh1

Rà xoát điềun tra hacking

1 of 43
Download to read offline
RÀ SOÁT ĐIỀU TRA MÃ ĐỘC TRÊN WINDOWS Hà Nội, tháng 10 năm 2023 1
NỘI DUNG KIẾN THỨC VỀ MÃ ĐỘC PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC THU THẬP VÀ GỠ BỎ MÃ ĐỘC ĐIỀU TRA THỰC HÀNH 2 I II III IV V THẢO LUẬN VI
I. KIẾN THỨC VỀ MÃ ĐỘC 3 1. Định nghĩa mã độc 2. Phân loại mã độc 3. Đặc điểm kỹ thuật của mã độc
ĐỊNH NGHĨA MÃ ĐỘC 4 Mã độc, Tiếng Anh là malware, là từ viết tắt của “malicious software”, là chương trình phần mềm được thiết kế để gây hại hoặc làm những hành động không mong muốn trên hệ thống máy tính. Ví dụ: phá huỷ, đánh cắp, sửa đổi thông tin, chiếm quyền điều khiển hệ thống,…
PHÂN LOẠI MÃ ĐỘC 5 Phân loại mã độc để làm gì? - Dễ dàng nhận biết được đặc điểm tính chất của mã độc thông qua tên gọi Phân loại mã độc như thế nào? - Theo dạng tồn tại, tính chất lây nhiễm - Theo hành vi
PHÂN LOẠI MÃ ĐỘC 6 Phân loại theo dạng tồn tại, tính chất lây nhiễm
PHÂN LOẠI MÃ ĐỘC 7 Phân loại theo hành vi
PHÂN LOẠI MÃ ĐỘC 8 Các tiêu chuẩn phân loại mã độc - Microsoft: https://docs.microsoft.com/en-us/microsoft- 365/security/intelligence/malware-naming?view=o365-worldwide - Kaspersky: https://www.kaspersky.com/resource- center/threats/malware-classifications
ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 9 Dạng tồn tại FILE FILELESS
ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 10 Có thành phần khởi chạy cùng hệ thống
ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 11 Tiến trình
ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 12 Kết nối C&C
ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 13 - File thường không có chữ ký số - Tên file không có nghĩa, nghi ngờ - Đường dẫn nghi ngờ - Có thành phần khởi động cùng hệ thống - Có kết nối mạng Mã độc có những đặc điểm sau:
2. RÀ SOÁT MÃ ĐỘC 14 - Mục đích việc rà soát mã độc - Phương pháp rà soát mã độc - Rà soát tiến trình - Rà soát thành phần khởi động - Rà soát file Nội dung:
MỤC ĐÍCH RÀ SOÁT MÃ ĐỘC 15 Mục đích việc rà soát mã độc: • Kiểm tra xem trên hệ thống có mã độc hay không. • Điều tra, gỡ bỏ, phân tích mã độc → ngăn chặn kịp thời mã độc lây lan trong hệ thống. Khi nào cần thực hiện rà soát mã độc • Trước khi đưa hệ thống vào vận hành • Rà soát định kỳ sau khi vận hành • Hệ thống có dấu hiệu bị tấn công
PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC 16 - Rà soát tiến trình - Rà soát thành phần khởi động - Rà soát network - Rà soát thư mục và file - Các kỹ thuật đặc thù khác
RÀ SOÁT TIẾN TRÌNH 17 - Phương pháp rà soát tiến trình trên máy tính Windows như sau: Kiểm tra đặc điểm kỹ thuật của tất cả các tiến trình trên máy, tìm kiếm các tiến trình có đặc điểm bất thường - Các đặc điểm kỹ thuật của một tiến trình cần chú ý trong quá trình rà soát là: • Tên tiến trình • Chữ ký số của tiến trình • Kết quả kiểm tra trên virustotal (nếu có) • Đường dẫn file của tiến trình • Command line của tiến trình • Kết nối mạng của tiến trình • Các thư viện liên kết động (Dynamic Library – DLL) được nạp (load) bởi tiến trình
RÀ SOÁT TIẾN TRÌNH 18 Hướng dẫn sử dụng công cụ Process Explorer
RÀ SOÁT THƯ VIỆN 19
RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG 20 - Phương pháp rà soát các chương trình tự động khởi chạy trên máy tính Windows như sau: Kiểm tra đặc điểm kỹ thuật của tất cả các chương trình tự động khởi chạy trên máy, tìm kiếm các chương trình có đặc điểm bất thường - Các đặc điểm kỹ thuật của các chương trình tự động khởi chạy cần chú ý khi thực hiện rà soát là: • Đường dẫn file chương trình • Chữ ký số của file chương trình • Kết quả kiểm tra trên virustotal (nếu có) • Command line của chương trình tự động khởi chạy
RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG 21 Hướng dẫn sử dụng công cụ Autoruns
RÀ SOÁT NETWORK 22 Đặc điểm thường thấy ở mã độc nguy hiểm như spyware, backdoor,…chúng đều có đặc điểm chung là kết nối internet về máy chủ để nhận lệnh điều khiển. Khi rà soát kết nối cần chú ý đến những đặc điểm sau: - Kết nối đến địa chỉ lạ, địa chỉ bị gắn nhãn là độc hại,.. - Kết nối đến port lạ - Tiến trình hệ thống kết nối đến C&C → khả năng cao tiến trình đã bị tấn công injection. - Tần suất kết nối của tiến trình.
RÀ SOÁT NETWORK 23 Hướng dẫn sử dụng công cụ TCPVIEW
RÀ SOÁT FILE TRÊN MÁY 24 - Phương pháp rà soát các file trên máy tính Windows như sau: Từ thông tin những file cần kiểm tra là những file đã tìm kiếm được từ quá trình rà soát khác (rà soát tiến trình, rà soát chương trình tự động khởi chạy,…) hoặc từ cảnh báo an toàn thông tin hoặc từ nguồn khác. - Kiểm tra đặc điểm kỹ thuật của file trên máy, xác định file có đặc điểm bất thường, kiểm tra các file bất thường đó xem có phải mã độc hay không. - Các đặc điểm kỹ thuật của một file cần chú ý khi thực hiện rà soát là: • Đường dẫn file • Phần mở rộng của file (đuôi file): • Thuộc tính file • Biểu tượng (icon) của file • Ngày tạo và sửa đổi file • Kết quả kiểm tra trên virustotal
RÀ SOÁT FILE TRÊN MÁY 25 Vì thế: Trước khi rà soát file cần show tất cả các file có thuộc tính ẩn trên máy tính. Mã độc thường có thuộc tính “ẩn” để che giấu.
3. THU THẬP VÀ GỠ BỎ MÃ ĐỘC 26 Nội dung: - Cách thu thập mẫu mã độc - Cách gỡ bỏ mã độc khỏi hệ thống
THU THẬP MẪU MÃ ĐỘC 27 Cách thực hiện: - Xác định chính xác tiến trình/ file cần lấy - Thực hiện chụp lại thông tin tiến trình/ file trên hệ thống để lưu trữ thông tin hỗ trợ điều tra sau này - Thực hiện copy file mã độc. Nén và đặt mật khẩu để tránh bị các chương trình AV xoá
GỠ BỎ MÃ ĐỘC 28 CHÚ Ý: Chỉ thực hiện gỡ bỏ mã độc khi xác minh chính xác là mã độc và đã thực hiện lấy đủ mẫu mã độc. Vì sau khi đã thực hiện gỡ bỏ mã độc thì rất khó để lấy lại các thông tin mẫu mã độc. Cách thực hiện: - Kill tiến trình (nếu có) - Xoá file (nếu có) - Xoá thành phần khởi động (nếu có)
4. ĐIỀU TRA 29 - Mục tiêu của việc điều tra truy vết tấn công - Phương pháp của việc điều tra truy vết tấn công
MỤC TIÊU CỦA VIỆC ĐIỀU TRA TRUY VẾT TẤN CÔNG 30 - Xác định đầy đủ nguồn gốc của cuộc tấn công, bao gồm: + Đối tượng tấn công: IP tấn công, Email tấn công, User tấn công,…) + Lỗ hổng bị khai thác: CVE, 0-day, 1-day,… - Xác định đầy đủ các hành vi kẻ tấn công đã thực hiện sau khi chiếm quyền điều khiển + Ví dụ: Tạo mã độc, user mới, backdoor, đánh cắp dữ liệu,… - Xác định được hành vi leo thang vào các hệ thống khác + Dò quét các thiết bị trong mạng, tấn công vào máy chủ ứng dụng, DB, AD,…
PHƯƠNG PHÁP ĐIỀU TRA 31 Dựa vào các mạnh mối mà kẻ tấn công để lại trên hệ thống: + Thời gian + Thông tin mã độc/backdoor + IP/Domain kẻ tấn công sử dụng + File/Thư mục
PHƯƠNG PHÁP ĐIỀU TRA 32 Dựa vào các nguồn dữ liệu hiện có: + Dữ lệu giám sát: cảnh báo, sự kiện bất thường + Các nguồn logs: logs ứng dụng, logs OS : MTF, Prefetch, EventLogs,… + Memory + Registry
PHƯƠNG PHÁP ĐIỀU TRA 33 Dựa vào các nguồn dữ liệu hiện có: + Dữ lệu giám sát: cảnh báo, sự kiện bất thường + Các nguồn logs: logs ứng dụng: accesslogs, DBlogs,… logs OS : MTF, Prefetch, EventLogs,… + Memory + Registry
LOGS HỆ ĐIỀU HÀNH WINDOWS 34
LOGS HỆ ĐIỀU HÀNH WINDOWS 35 - Chú ý 1: Không phải tất cả các sự kiện (event ID) của Windows đều được lưu lại. Mặc định Windows chỉ lưu lại một số sự kiện, các sự kiện khác muốn có phải thực hiện cấu hình để Windows lưu. - Chú ý 2: Mặc định log của hệ điều hành có mức giới hạn (thường là 20 MB), nên việc này sẽ ảnh hưởng tới việc điều tra do mất log.
CÁC EVENT ID CẦN CHÚ Ý 36 Event ID Description Log Name 4624 Successful Logon Security 4625 Failed Login Security 4776 Successful /Failed Account Authentication Security 4720 A user account was created Security 4732 A member was added to a security-enabled local group Security 4728 A member was added to a security-enabled global group Security 7030 Service Creation Errors System 7040 The start type of the IPSEC Services service was changed from disabled to auto start. System 7045 Service Creation System
LOGS RDP 37
ĐIỀU TRA TIẾN TRÌNH 38
ĐIỀU TRA FILE 39 Xác định thời điểm đầu tiên mã độc xâm nhập vào hệ thống 23:10 - 25/04/2023 ?
ĐIỀU TRA MFT FILE 40 Phân tích MFT file trên hệ thống 23:10 - 25/04/2023
ĐIỀU TRA LOGS ỨNG DỤNG 41
TRAO ĐỔI & THẢO LUẬN 42
43

Recommended

SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
Con Ranh
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hacking
Huynh Khang
ݺߣ báo cáo: System Hacking
ݺߣ báo cáo: System Hackingݺߣ báo cáo: System Hacking
ݺߣ báo cáo: System Hacking
Huynh Khang
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Quý Đồng Nast
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
Anhh Hữu
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Quý Đồng Nast
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.ppt
SninhCng1
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộcݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Loc Tran
Bai10 he thong bao ve bao mat
Bai10 he thong bao ve bao matBai10 he thong bao ve bao mat
Bai10 he thong bao ve bao mat
Vũ Sang
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
v7q3t
Keylogger
KeyloggerKeylogger
Keylogger
Golden Eyes
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptx
SugarCane18
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
nataliej4
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
hanhha12
Ids
Ids Ids
Ids
ducmanhkthd
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
dong55
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdffile_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
BcNguynQuang1
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
dong55
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal Suite
Phạm Trung Đức
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp
Service-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfService-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdf
biherok177
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTUChương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
ngKhi80
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
phuonguyn2400

More Related Content

Similar to RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf (20)

Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Quý Đồng Nast
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.ppt
SninhCng1
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộcݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Loc Tran
Bai10 he thong bao ve bao mat
Bai10 he thong bao ve bao matBai10 he thong bao ve bao mat
Bai10 he thong bao ve bao mat
Vũ Sang
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
v7q3t
Keylogger
KeyloggerKeylogger
Keylogger
Golden Eyes
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptx
SugarCane18
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
nataliej4
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
hanhha12
Ids
Ids Ids
Ids
ducmanhkthd
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
dong55
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdffile_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
BcNguynQuang1
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
dong55
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal Suite
Phạm Trung Đức
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp
Service-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfService-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdf
biherok177
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Quý Đồng Nast
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.ppt
SninhCng1
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộcݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
ݺߣ báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Loc Tran
Bai10 he thong bao ve bao mat
Bai10 he thong bao ve bao matBai10 he thong bao ve bao mat
Bai10 he thong bao ve bao mat
Vũ Sang
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
v7q3t
Keylogger
KeyloggerKeylogger
Keylogger
Golden Eyes
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptx
SugarCane18
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
nataliej4
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
hanhha12
Ids
Ids Ids
Ids
ducmanhkthd
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
Chương 6. Phân tích một số cơ chế và hành vi thông thường của mã độ...
dong55
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdffile_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
BcNguynQuang1
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
Liên Hán
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdfChương 9. Phát hiện và xử lý sự cố mã độc.pdf
Chương 9. Phát hiện và xử lý sự cố mã độc.pdf
dong55
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal Suite
Phạm Trung Đức
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp
Service-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfService-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdf
biherok177

Recently uploaded (18)

Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTUChương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
ngKhi80
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
phuonguyn2400
Bac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.pptBac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.ppt
LuPhm10
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
KimAnhDng
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docxGiáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
thanhyt004
Airport Vocabulary IN ENGLISH BBBHHBHBHBHB
Airport Vocabulary IN ENGLISH BBBHHBHBHBHBAirport Vocabulary IN ENGLISH BBBHHBHBHBHB
Airport Vocabulary IN ENGLISH BBBHHBHBHBHB
HBng40
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
phuonguyn2400
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptxBài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
2251010138
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptxcd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
ThyLinh936093
Nghiên cứu sinh học về đột biến Nhiễm sắc thể
Nghiên cứu sinh học về đột biến Nhiễm sắc thểNghiên cứu sinh học về đột biến Nhiễm sắc thể
Nghiên cứu sinh học về đột biến Nhiễm sắc thể
nguyenphuonguyen1412
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdfMICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
Du học MICE - Du học tiếng Anh
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdfCHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
Huyn804581
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docxGRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
AnhDuc498595
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmmpppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
ngPhan57
bac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
bac-gau-den-va-hai-chu-tho-co-chu_02122022.pptbac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
bac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
LuPhm10
Cours 3 Les voyelles nasales semi voyelles.pptx
Cours 3 Les voyelles nasales semi voyelles.pptxCours 3 Les voyelles nasales semi voyelles.pptx
Cours 3 Les voyelles nasales semi voyelles.pptx
HaihuyDong
Bac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.pptBac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.ppt
LuPhm10
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCMBài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
2251010138
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTUChương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
Chương 3. Đối lưu nhiệt. hóa hữu cơ TDTU
ngKhi80
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
[PPT11] Bài 7 - Đọc - Cà Mau quê xứ.pptx
phuonguyn2400
Bac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.pptBac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.ppt
LuPhm10
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
373E879C-764F-11EF-AA2F-F5F8FA70038B.pdf
KimAnhDng
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docxGiáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
Giáo án Ngữ văn 10 KNTT BỘ 2 NGƯỜI CẦM QUYỀN....docx
thanhyt004
Airport Vocabulary IN ENGLISH BBBHHBHBHBHB
Airport Vocabulary IN ENGLISH BBBHHBHBHBHBAirport Vocabulary IN ENGLISH BBBHHBHBHBHB
Airport Vocabulary IN ENGLISH BBBHHBHBHBHB
HBng40
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
[PPT11] Bài 7 - Đọc - Và tôi vẫn muốn mẹ....ppt
phuonguyn2400
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptxBài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
Bài giảng LSĐ.pptx.pptx Bài giảng LSĐ.pptx.pptx
2251010138
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptxcd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
cd-van-6_-t47-b4-thtv-tu-dong-am-tu-da-nghia_11072023.pptx
ThyLinh936093
Nghiên cứu sinh học về đột biến Nhiễm sắc thể
Nghiên cứu sinh học về đột biến Nhiễm sắc thểNghiên cứu sinh học về đột biến Nhiễm sắc thể
Nghiên cứu sinh học về đột biến Nhiễm sắc thể
nguyenphuonguyen1412
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdfMICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
MICE Trường Anh ngữ IU Cebu Brochure 2025.pdf
Du học MICE - Du học tiếng Anh
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdfCHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
CHINH PHỤC LÝ THUYẾT SINH HỌC BẰNG SƠ ĐỒ TƯ DUY.pdf
Huyn804581
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docxGRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
GRAMMAR PRACTICE TEST 01 ANSWER KEY.docx
AnhDuc498595
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmmpppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
pppppp.pptxmmmmmmmmmmmmmmmmmoommmmmmmmmmmmmmmmm
ngPhan57
bac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
bac-gau-den-va-hai-chu-tho-co-chu_02122022.pptbac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
bac-gau-den-va-hai-chu-tho-co-chu_02122022.ppt
LuPhm10
Cours 3 Les voyelles nasales semi voyelles.pptx
Cours 3 Les voyelles nasales semi voyelles.pptxCours 3 Les voyelles nasales semi voyelles.pptx
Cours 3 Les voyelles nasales semi voyelles.pptx
HaihuyDong
Bac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.pptBac gau den va hai chu tho co NGUYET.ppt
Bac gau den va hai chu tho co NGUYET.ppt
LuPhm10
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCMBài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
Bài giảng TTHCM.pptx Bài giảng TTHCMBài giảng TTHCM
2251010138

RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf

  • 1. RÀ SOÁT ĐIỀU TRA MÃ ĐỘC TRÊN WINDOWS Hà Nội, tháng 10 năm 2023 1
  • 2. NỘI DUNG KIẾN THỨC VỀ MÃ ĐỘC PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC THU THẬP VÀ GỠ BỎ MÃ ĐỘC ĐIỀU TRA THỰC HÀNH 2 I II III IV V THẢO LUẬN VI
  • 3. I. KIẾN THỨC VỀ MÃ ĐỘC 3 1. Định nghĩa mã độc 2. Phân loại mã độc 3. Đặc điểm kỹ thuật của mã độc
  • 4. ĐỊNH NGHĨA MÃ ĐỘC 4 Mã độc, Tiếng Anh là malware, là từ viết tắt của “malicious software”, là chương trình phần mềm được thiết kế để gây hại hoặc làm những hành động không mong muốn trên hệ thống máy tính. Ví dụ: phá huỷ, đánh cắp, sửa đổi thông tin, chiếm quyền điều khiển hệ thống,…
  • 5. PHÂN LOẠI MÃ ĐỘC 5 Phân loại mã độc để làm gì? - Dễ dàng nhận biết được đặc điểm tính chất của mã độc thông qua tên gọi Phân loại mã độc như thế nào? - Theo dạng tồn tại, tính chất lây nhiễm - Theo hành vi
  • 6. PHÂN LOẠI MÃ ĐỘC 6 Phân loại theo dạng tồn tại, tính chất lây nhiễm
  • 7. PHÂN LOẠI MÃ ĐỘC 7 Phân loại theo hành vi
  • 8. PHÂN LOẠI MÃ ĐỘC 8 Các tiêu chuẩn phân loại mã độc - Microsoft: https://docs.microsoft.com/en-us/microsoft- 365/security/intelligence/malware-naming?view=o365-worldwide - Kaspersky: https://www.kaspersky.com/resource- center/threats/malware-classifications
  • 9. ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 9 Dạng tồn tại FILE FILELESS
  • 10. ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 10 Có thành phần khởi chạy cùng hệ thống
  • 11. ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 11 Tiến trình
  • 12. ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 12 Kết nối C&C
  • 13. ĐẶC ĐIỂM KỸ THUẬT CỦA MÃ ĐỘC 13 - File thường không có chữ ký số - Tên file không có nghĩa, nghi ngờ - Đường dẫn nghi ngờ - Có thành phần khởi động cùng hệ thống - Có kết nối mạng Mã độc có những đặc điểm sau:
  • 14. 2. RÀ SOÁT MÃ ĐỘC 14 - Mục đích việc rà soát mã độc - Phương pháp rà soát mã độc - Rà soát tiến trình - Rà soát thành phần khởi động - Rà soát file Nội dung:
  • 15. MỤC ĐÍCH RÀ SOÁT MÃ ĐỘC 15 Mục đích việc rà soát mã độc: • Kiểm tra xem trên hệ thống có mã độc hay không. • Điều tra, gỡ bỏ, phân tích mã độc → ngăn chặn kịp thời mã độc lây lan trong hệ thống. Khi nào cần thực hiện rà soát mã độc • Trước khi đưa hệ thống vào vận hành • Rà soát định kỳ sau khi vận hành • Hệ thống có dấu hiệu bị tấn công
  • 16. PHƯƠNG PHÁP RÀ SOÁT MÃ ĐỘC 16 - Rà soát tiến trình - Rà soát thành phần khởi động - Rà soát network - Rà soát thư mục và file - Các kỹ thuật đặc thù khác
  • 17. RÀ SOÁT TIẾN TRÌNH 17 - Phương pháp rà soát tiến trình trên máy tính Windows như sau: Kiểm tra đặc điểm kỹ thuật của tất cả các tiến trình trên máy, tìm kiếm các tiến trình có đặc điểm bất thường - Các đặc điểm kỹ thuật của một tiến trình cần chú ý trong quá trình rà soát là: • Tên tiến trình • Chữ ký số của tiến trình • Kết quả kiểm tra trên virustotal (nếu có) • Đường dẫn file của tiến trình • Command line của tiến trình • Kết nối mạng của tiến trình • Các thư viện liên kết động (Dynamic Library – DLL) được nạp (load) bởi tiến trình
  • 18. RÀ SOÁT TIẾN TRÌNH 18 Hướng dẫn sử dụng công cụ Process Explorer
  • 19. RÀ SOÁT THƯ VIỆN 19
  • 20. RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG 20 - Phương pháp rà soát các chương trình tự động khởi chạy trên máy tính Windows như sau: Kiểm tra đặc điểm kỹ thuật của tất cả các chương trình tự động khởi chạy trên máy, tìm kiếm các chương trình có đặc điểm bất thường - Các đặc điểm kỹ thuật của các chương trình tự động khởi chạy cần chú ý khi thực hiện rà soát là: • Đường dẫn file chương trình • Chữ ký số của file chương trình • Kết quả kiểm tra trên virustotal (nếu có) • Command line của chương trình tự động khởi chạy
  • 21. RÀ SOÁT THÀNH PHẦN KHỞI ĐỘNG 21 Hướng dẫn sử dụng công cụ Autoruns
  • 22. RÀ SOÁT NETWORK 22 Đặc điểm thường thấy ở mã độc nguy hiểm như spyware, backdoor,…chúng đều có đặc điểm chung là kết nối internet về máy chủ để nhận lệnh điều khiển. Khi rà soát kết nối cần chú ý đến những đặc điểm sau: - Kết nối đến địa chỉ lạ, địa chỉ bị gắn nhãn là độc hại,.. - Kết nối đến port lạ - Tiến trình hệ thống kết nối đến C&C → khả năng cao tiến trình đã bị tấn công injection. - Tần suất kết nối của tiến trình.
  • 23. RÀ SOÁT NETWORK 23 Hướng dẫn sử dụng công cụ TCPVIEW
  • 24. RÀ SOÁT FILE TRÊN MÁY 24 - Phương pháp rà soát các file trên máy tính Windows như sau: Từ thông tin những file cần kiểm tra là những file đã tìm kiếm được từ quá trình rà soát khác (rà soát tiến trình, rà soát chương trình tự động khởi chạy,…) hoặc từ cảnh báo an toàn thông tin hoặc từ nguồn khác. - Kiểm tra đặc điểm kỹ thuật của file trên máy, xác định file có đặc điểm bất thường, kiểm tra các file bất thường đó xem có phải mã độc hay không. - Các đặc điểm kỹ thuật của một file cần chú ý khi thực hiện rà soát là: • Đường dẫn file • Phần mở rộng của file (đuôi file): • Thuộc tính file • Biểu tượng (icon) của file • Ngày tạo và sửa đổi file • Kết quả kiểm tra trên virustotal
  • 25. RÀ SOÁT FILE TRÊN MÁY 25 Vì thế: Trước khi rà soát file cần show tất cả các file có thuộc tính ẩn trên máy tính. Mã độc thường có thuộc tính “ẩn” để che giấu.
  • 26. 3. THU THẬP VÀ GỠ BỎ MÃ ĐỘC 26 Nội dung: - Cách thu thập mẫu mã độc - Cách gỡ bỏ mã độc khỏi hệ thống
  • 27. THU THẬP MẪU MÃ ĐỘC 27 Cách thực hiện: - Xác định chính xác tiến trình/ file cần lấy - Thực hiện chụp lại thông tin tiến trình/ file trên hệ thống để lưu trữ thông tin hỗ trợ điều tra sau này - Thực hiện copy file mã độc. Nén và đặt mật khẩu để tránh bị các chương trình AV xoá
  • 28. GỠ BỎ MÃ ĐỘC 28 CHÚ Ý: Chỉ thực hiện gỡ bỏ mã độc khi xác minh chính xác là mã độc và đã thực hiện lấy đủ mẫu mã độc. Vì sau khi đã thực hiện gỡ bỏ mã độc thì rất khó để lấy lại các thông tin mẫu mã độc. Cách thực hiện: - Kill tiến trình (nếu có) - Xoá file (nếu có) - Xoá thành phần khởi động (nếu có)
  • 29. 4. ĐIỀU TRA 29 - Mục tiêu của việc điều tra truy vết tấn công - Phương pháp của việc điều tra truy vết tấn công
  • 30. MỤC TIÊU CỦA VIỆC ĐIỀU TRA TRUY VẾT TẤN CÔNG 30 - Xác định đầy đủ nguồn gốc của cuộc tấn công, bao gồm: + Đối tượng tấn công: IP tấn công, Email tấn công, User tấn công,…) + Lỗ hổng bị khai thác: CVE, 0-day, 1-day,… - Xác định đầy đủ các hành vi kẻ tấn công đã thực hiện sau khi chiếm quyền điều khiển + Ví dụ: Tạo mã độc, user mới, backdoor, đánh cắp dữ liệu,… - Xác định được hành vi leo thang vào các hệ thống khác + Dò quét các thiết bị trong mạng, tấn công vào máy chủ ứng dụng, DB, AD,…
  • 31. PHƯƠNG PHÁP ĐIỀU TRA 31 Dựa vào các mạnh mối mà kẻ tấn công để lại trên hệ thống: + Thời gian + Thông tin mã độc/backdoor + IP/Domain kẻ tấn công sử dụng + File/Thư mục
  • 32. PHƯƠNG PHÁP ĐIỀU TRA 32 Dựa vào các nguồn dữ liệu hiện có: + Dữ lệu giám sát: cảnh báo, sự kiện bất thường + Các nguồn logs: logs ứng dụng, logs OS : MTF, Prefetch, EventLogs,… + Memory + Registry
  • 33. PHƯƠNG PHÁP ĐIỀU TRA 33 Dựa vào các nguồn dữ liệu hiện có: + Dữ lệu giám sát: cảnh báo, sự kiện bất thường + Các nguồn logs: logs ứng dụng: accesslogs, DBlogs,… logs OS : MTF, Prefetch, EventLogs,… + Memory + Registry
  • 34. LOGS HỆ ĐIỀU HÀNH WINDOWS 34
  • 35. LOGS HỆ ĐIỀU HÀNH WINDOWS 35 - Chú ý 1: Không phải tất cả các sự kiện (event ID) của Windows đều được lưu lại. Mặc định Windows chỉ lưu lại một số sự kiện, các sự kiện khác muốn có phải thực hiện cấu hình để Windows lưu. - Chú ý 2: Mặc định log của hệ điều hành có mức giới hạn (thường là 20 MB), nên việc này sẽ ảnh hưởng tới việc điều tra do mất log.
  • 36. CÁC EVENT ID CẦN CHÚ Ý 36 Event ID Description Log Name 4624 Successful Logon Security 4625 Failed Login Security 4776 Successful /Failed Account Authentication Security 4720 A user account was created Security 4732 A member was added to a security-enabled local group Security 4728 A member was added to a security-enabled global group Security 7030 Service Creation Errors System 7040 The start type of the IPSEC Services service was changed from disabled to auto start. System 7045 Service Creation System
  • 38. ĐIỀU TRA TIẾN TRÌNH 38
  • 39. ĐIỀU TRA FILE 39 Xác định thời điểm đầu tiên mã độc xâm nhập vào hệ thống 23:10 - 25/04/2023 ?
  • 40. ĐIỀU TRA MFT FILE 40 Phân tích MFT file trên hệ thống 23:10 - 25/04/2023
  • 41. ĐIỀU TRA LOGS ỨNG DỤNG 41
  • 42. TRAO ĐỔI & THẢO LUẬN 42
  • 43. 43