Câu chuyện số 2: Bị kiểm soát từ xa (1)

Episode2: Controlled f-rom the beyond

byEduard Blenkers, 19 August 2011, 13:20

Theo:http://www.h-online.com/security/features/CSI-Internet-Controlled-f-rom-the-beyond-1322313.html

Bàiđược đưa lên Internet ngày: 19/08/2011

Lờingười dịch: Máy tính của bạn đang bị điều khiển từxa và bạn đã phát hiện ra điều đó. Bạn muốn đượcđiều tra và phát hiện ra kẻ thủ phạm để đưa chúngra tòa. Loạt bài này sẽ dạy chúng ta một số bướcđiều tra để thực hiện được điều đó.

1. Bị kiểm soát từ xa

2. Những dấu vết đầu tiên

3. Tiến lên phía trước

4. Làm sạch

Loạtbài thứ 2 “CSI: Internet” ban đầu từng được xuấtbản trong tạp chí của C bắt đầu với số 15/2011. Đểkết nối tới các bài viết trong loạt bài đầu xin hãytham chiếu tới trang CSI:Internet HQ.

Thesecond series of "CSI:Internet" was originally published inc'tmagazinestarting with issue 15/2011. For links to articles in the firstseries please refer to our CSI:InternetHQ page.

CSI:Internet

Chuôngđiện thoại reo. Người gọi tự giới thiệu là ngàiWaldmann. Ông có trách nhiệm về a ninh CNTT trong một côngty cỡ vừa và đã tham gia một trong những khóa huấnluyện trước đó. Ông đang được sếp của mình triệutới, người đã phát hiện ra rằng máy tính cá nhân PCcủa mình đã phát triển một sống của riêng nó. Đã cónhững hoạt động ma quái giống như đọc các thư điệntử, mở các tệp đính kèm, tìm các chi tiết liên hệ vàkiểm tra lịch làm việc - tất cả diễn ra mà ông khônghề sờ tới con chuột máy tính.

Thetelephone rings. The caller introduces himself as Mr. Waldmann. He isin c-harge of IT security in a medium-sized company and attended oneof our training sessions some time ago. He is being summoned by hisboss, who has discovered that his PC has developed a life of its own.There were ghostly activities like reading emails, openingattachments, fetching contact details and checking the calendar –all taking place without him touching the mouse.

ÔngWaldmann cảm thấy tin chắc rằng ông có thể tự mìnhphân tích vụ việc nhưng ông đã chú ý tới tiến trìnhcủa chúng ta và biết rằng đây chắc chắn là một cuộctấn công của một tin tặc, thì điều này không chỉ làviệc tìm ra những gì đã xảy ra. Hầu như quan trọng hơnlà để đảm bảo cho bằng chứng của cuộc tấn công sẽphải được đưa ra tòa. Và đó là nơi mà tôi, như mộtnhà điều tra hình sự, đã tới.

Nhưmột vị khách mời không còn hoạt động tích cực nữa,tôi đã khuyên khách hàng của mình rút bỏ cắm điệnkhỏi máy tính bị tổn thương nghiêm trọng của ông chủngay lập tức. Không, đừng có tắt máy đi! Điều đó cóthể cho phép các scripts tiềm tàng để chạy bị tắt vàcó thể xóa đi các dấu vết có giá trị, hoặc hệ thốngthậm chí có thể cài đặt một số bản vá. Chỉ kéodắc cắm. Tôi hứa sẽ tới ngay lập tức và nhắc kỳông ta không rời mắt khỏi chiếc máy cho tới tận khitôi tới.

Khitôi tới trước ngưỡng cửa một tiếng đồng hồ sauđó, tôi thấy ông Waldmann đang ngồi trong chiếc ghế bànhcủa sếp ông ta, hình như đang loay hoay với cuốn sổ taycủa ông sếp. Tuy nhiên, trước khi tôi có thể phản đốithì ông ta đặt nó xuống và giải thích rằng ông ta đãnhờ ai đó mang chiếc máy chính của ông ta cho ông ta. Đốitượng điều tra là ở dưới bàn - một chiếc máy tínhcá nhân đơn thuần.

MrWaldmann feels confident that he could analyse the incident himselfbut he's paid attention to our course and knows that with a hackerattack this obvious, it is not just about finding out what happened.Almost more important is to secure evidence of the attack that willhold up in court. And that's whe-re I, as a forensic investigator,come in.

Asthe unknown visitor is no longer active, I advise my client to pullthe power plug out of his boss's potentially compromised workstationat once. No, don't shut it down! That could allow potential shut-downscripts to run that could destroy valuable traces, or the systemcould even install some patches. Just pull the plug. I promise tocome by immediately and impress on him not to take his eyes off thesystem until I arrive.

WhenI arrive at the premises about an hour later, I find Mr Waldmannsitting in his boss's chair, apparently messing around with hisboss's notebook. However, before I can protest he puts the lid downand explains that he had someone bring him his own machine. Theobject under investigation is under the table – a plain PC.

Saulời chào nhanh, tôi bắt tay vào làm việc và tiến hànhthủ tục thường làm của tôi: trên một ổ đĩa cứngmới, tôi thiết lập một cấu trúc thư mục cho tất cảcác thông tin và ngay lập tức các kết quả có liên quantới vụ việc; Tôi viết ngày tháng và thời gian và chụpảnh chiếc máy tính, bao gồm cả cận cảnh nhãn hiệudạng thiết bị và số kiểm kê. Sau đó tôi đã mở vỏmáy và tiến tới ổ đĩa cứng. Tôi tiếp tục chụp ảnhtất cả các chi tiết sẽ được đặt trong hồ sơ củadự án này sau đó - một tiếp cận hệ thống và ngănnắp có kỷ luật là chủ chốt của một công việc điềutra hình sự.

Khitôi đang đóng gói ổ cứng, ông Waldmann hùng hồn khăngkhăng rằng, nếu theo tất cả các khả năng có thể, cácdữ liệu nhạy cảm phải không được để lại tạichỗ. Tôi tới một phòng thí nghiệm tạm thời thiết lậpcho các tuần tiếp sau, và người bảo vệ của công ty,được mời tới theo điện thoại, cục cằn thay đổichiếc khóa. Vâng, điều đó là cần thiết, tôi giảithích cho người cảnh vệ an ninh - sau tất cả, chúng takhông thể tuyên bố các nhân viên của công ty có thể cóliên quan tới vụ việc, và chúng ta không muốn rủi rochiếc đĩa cứng bị ăn cắp. Người bảo vệ trao 2 chìakhóa duy nhất cho tôi và ông Waldmann. Nên làm như vậy lúcnày; sau tất cả, chúng ta không đang làm việc với khoahọc tên lửa ở đây.

Thậmchí trước khi xem xét lần đầu chiếc đĩa cứng, tôikhởi động máy mà không cần có đĩa. Tôi có quan tâmtới thời gian của hệ thống chiếc máy: 14:53. Liếc quachiếc đồng hồ đeo tay, tôi thấy nó chỉ cùng thờigian. Ông Waldmann, người không rời mắt khỏi tôi, nóivới tôi một cách tự hào về máy chủ thời gian NTP cụcbộ của ông ta về các máy tính của công ty được đồngbộ hóa thường xuyên theo những khoảng thời gian. Điềuđó làm cho công việc của tôi dễ dàng hơn nhiều, vì nócho phép chúng ta chỉ đơn giản khớp các thông tin đầuvào của tệp lưu ký log của các máy chủ tường lửa vàủy quyền proxy với các dấu mốc thời gian của một tệpđược yêu cầu. Sự không nhất quán về thời gian giữacác đồng hồ các lớn bao nhiêu, thì càng khó bấy nhiêuđể tìm ra các thông tin đầu vào trong tệp lưu ký ủyquyền có sử dụng, ví dụ, dấu thời gian của một tệptrong bộ nhớ cache của trình duyệt.

Đểđiều tra đĩa cứng, tôi sử dụng công cụ chuyên nghiệpquan trọng nhất của tôi: trình chống ghi. Thiết bị nàyđược chèn vào giữa trình kiểm soát và đĩa cứng, vànhiệm vụ của nó là để khóa bất kỳ sự truy cập ghinào ở mức đĩa cứng. Điều này đảm bảo rằng cácthành phần như trình quét virus của tôi sẽ không xóa đibằng chứng quí giá khỏi đĩa một cách hấp tấp.

Bàitiếp: Những dấu vết đầu tiên.

Aftera quick hello, I get to work and go through my usual routine: on anew hard disk, I set up a folder structure for all the informationand intermediate results pertaining to the case; I write down thedate and time and take pictures of the computer, including close-upsof the device's type label and inventory number. Then I open thehousing to get to the hard disk. I take further pictures of all thedetails, which will be placed in the project folder later – asystematic and orderly approach is the central pillar of a forensicinvestigator's work.

AsI'm packing up the hard disk, Mr Waldmann eloquently insists that, ifat all possible, the sensitive data mustn't leave the premises. So Iget a provisional lab set up for the coming weeks, and the companycaretaker, having been summoned by phone, grumpily changes the lock.Yes, that is necessary, I explain to the security officer – afterall, we can't rule out that company employees may be involved in thematter, and we don't want to risk having the hard disk stolen. Thecaretaker hands the only two keys to me and Mr Waldmann. That shoulddo for now; after all, we're not dealing with rocket science here.

Evenbefore taking a first look at the hard disk, I boot the disk-lessworkstation. I'm interested in its system time: 14:53. Glancing at mywrist watch, I see that it shows the same time. Mr Waldmann, whodoesn't take his eyes off me, proudly tells me about his local NTPtime server which of the company's computers are synchronisedwith at regular intervals. That makes my job much easier already,because it allows us to simply match the log file entries of firewalland proxy servers with a file's time stamps as required. The greaterthe time discrepancy between clocks, the harder it is to find amatching entry in the proxy log file using, for example, the timestamp of a file in the browser cache.

Thewrite blocker prevents write accesses to the hard disk that is to beinvestigated

Toexamine the hard disk, I bring out my most important professionaltool: the writeblocker. This device is in-serted between the controller and thehard disk, and its task is to block any write accesses at a hardwarelevel. This ensures that components such as my virus scanner don'tprematurely wipe precious evidence f-rom the disk.

Next:First traces

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com