Câu chuyện số 2: Bị kiểm soát từ xa (4)

Theo:http://www.h-online.com/security/features/CSI-Internet-Controlled-f-rom-the-beyond-1322313.html?page=4

Bài được đưa lênInternet ngày: 19/08/2011

Làm sạch

Cleaningup

Lờingười dịch: Thủ phạm cuối cùng cũng đã được tìmra, một nhân viên trong công ty, đã sử dụng phần mềmđiều khiển từ xa để lấy trộm các thông tin của sếptrong giờ làm việc và nghiên cứu nó sau giờ làm việc.Bạn hãy đọc và tự ngẫm xem, có bao giờ bạn bị rơivào những tình huống đó không, và bạn nên xử lý thếnào.

Buổi sáng bắt đầuvới một sự thất vọng nhỏ: việc khớp các chữ kýtệp đã không đưa ra được tìm kiếm mới nào. Vì thếtôi sẽ cần xem các chương trình được cài đặt. ÔngWaldmann ngay lập tức muốn chọc vào thư mục chươngtrình. Tuy nhiên, tôi đã giải thích cho ông rõ rằng chúngta đang hoạt động tuân theo sách qui tắc của tôi - cóhệ thống và kỷ luật. Nếu không, ông có thể đã tựthực hiện các điều tra ngay từ đầu - và rủi ro sẽkhông có bằng chứng tại tòa.

Vì máy tính xách tayđã được cài đật thông qua một máy chủ triển khai,tôi trước hết gọi nhân viên an ninh ít nói của tôi đểđưa ra một máy xách tay được cài đặt mới cùng y dạngnhư của ông Steinbach để tham khảo.

Sau khi kiểm tra tỉmỉ thiết bị bằng tay, và không thấy gì, tôi làm việcvới giả thiết rằng máy tính không có virus, nhưng tôiđã ra một lưu ý rằng một rootkit không rõ có thể vẫncòn làm việc. Vài cái nháy chuột sau đó tôi đã sửdụng máy PC tham khảo để tạo một bảng băm của tấtcả các chương trình thực thi bao gồm các tệp .exe, DLL,các trình điều khiển... Tôi sau đó khớp các giá trịbăm với ảnh của ổ đĩa của Steinbach và đánh dấu tấtcả các tệp chương trình một cách phù hợp.

Số lượng còn lạicác tệp chương trình là có thể quản lý được, và mộtsản phẩm đặc biệt nổi lên: VNC, chương trình bảo trìtừ xa chúng tôi đã thấy trên PC vãng lai. Thú vị đặcbiệt là PushVNC.exe, một chương trình đã trao các quyềnquản trị đủ, có thể cài đặt dịch vụ VNC lên máytính khác mà không làm cho một biểu tượng nào xuấthiện trong khay hệ thống.

Các mẩu đố chữnày bắt đầu tạo nên một bức tranh. Ông Steinbach hìnhnhư đã cài đặt một dịch vụ VNC lên máy tính củalãnh đạo IT và đã bị chộp một cách ngu ngốc khi kiểmsoát từ xa máy tính này thông qua VNC. Để tìm ra liệuSteinbach đã xem được các thông tin khác chưa, tôi kiểmtra thư mục Recent\ trong hồ sơngười sử dụng của ông ta. Thư mục này thường ẩndưới Windows và thường chứa hàng trăm các tệp liênkết, mỗi liên kết trong số chúng có chứa tệp đã đượcmở cũng như đường dẫn và các dấu thời gian.

Themorning begins with a minor disappointment: matching the filesignatures has not produced any new findings. I will therefore needto look over the installed programs. Mr Waldmann immediately wants toget stuck into the program folder. However, I make it clear to himthat we are operating according to my rule book – orderly andsystematic. Otherwise, he could have done the investigations himselfin the first place – and risk going down in flames in court.

Asthe notebook was installed via a deployment server, I first get myreticent security officer to provide a freshly installed notebook ofthe same type as Mr Steinbach's for reference.

Afterthoroughly checking the device manually, and finding nothing, I workon the assumption that the computer is virus free, but I make amental note that an unknown rootkit could still be at work. A fewmouse clicks later I've used the reference PC to cre-ate a hash tableof all executable programs including .exe files, DLLs, drivers etc. Ithen match the hash values with the image of Steinbach's hard diskand mark all known program files as irrelevant.

Theremaining number of program files is manageable, and one productparticularly stands out: VNC, the remote maintenance program wealready found on the haunted PC. Of particular interest isPushVNC.exe, a program that, given sufficient admin privileges, caninstall the VNC service on another computer without causing an iconto appear in the system tray.

Thepieces of the puzzle are beginning to form a picture. Mr Steinbachapparently installed a VNC service on the IT executive's computer andwas stupidly caught out when remotely controlling the computer viaVNC. To find out whether Steinbach viewed other information, Iexamine the Recent\directory in his user profile. This folder is usually hidden underWindows and often contains hundreds of link files, each of whichincludes the file that was opened as well as its path and time stamp.

Thưmục chứa các liên keets tới hầu hết các tài liệu đượcmở gần đây chỉ trở nên nhìn thấy được trong Windowsmột khi các thiết lập trong Tools/Folder Options/View đượcthay đổi.

Hồ sơ người sửdụng chứa nhiều liên kết tới mạng nói lên rằng cómột cấu trúc \\IP_address\C$ vàlà, vì thế, các kết nối tới người quản trị chia sẻtrong một vài máy tính. Waldmann nhanh chóng cho rằngSteinbach không có việc gì đối với bất kỳ hệ thốngnày nào. Tôi tạo một dòng thời gian có sử dụng cácdấu thời gian trong các tệp liên kết. Kết quả hé lộmột mẫu thường xuyên: Steinbach đã tìm kiếm những chiasẻ quản trị của máy tính đối với các tệp quan tâmtiềm tàng trong thời gian làm việc của ông ta, và sau đónghiên cứu các tệp đó sau giờ làm việc.

Chúng tôi in ra mộtsố tài liệu bị tổn thương và trình bày những pháthiện của chúng tôi cho lãnh đạo IT và lãnh đạo nhânlực. Sau đó bị sốc tìm thấy thư ký của ông ta trongsố những nạn nhân của cuộc tấn công gián điệp,nhưng âm thầm một lần nữa sau khi nhanh chóng nhìn quacác tài liệu chúng tôi đã phát hiện. Chỉ có đồ thịtổ chức đã làm ông ta chú ý: những biện pháp dự thảotái cấu trúc có cho tới nay chỉ được thảo thuận vớiban lãnh đạo và phòng nhân sự, và tài liệu còn là bímật như “đặc biệt bí mật” lúc này. Những thảoluận tiếp tục sớm phát hiện ra rằng lòng tin về quảnlý trong nhân viên của họ đã bị xói mòn. Dù, tôithuyết phục họ hoãn quyết định của họ về hành độngtiếp theo sẽ được thực hiện là gì. Một điều khoảnvẫn còn mở trong danh sách công việc phải làm của tôi:Tôi muốn xem xét hệ thống khởi động một cách chi tiếtđể đảm bảo rằng các trình quét virus đã không bỏsót một rootkit nào cả.

Thefolder that contains the links to the most recently opened documentsonly becomes visible under Windows once the settings underTools/Folder Options/View have been changed

Theuser profile contains numerous links to network shares that have an\\IP_address\C$structure and are, therefore, connections to the admin shares onvarious computers. Waldmann quickly establishes that Steinbach has nobusiness on any of these systems. I cre-ate a time line using the timestamps in the link files. The result reveals a regular pattern:Steinbach searched the computers' administrative shares forpotentially interesting files during his working hours, and thenstudied the files after work.

Weprint out some of the compromised documents and present our findingsto the head of IT and the head of human resources. The latter isshocked to find his secretary among the victims of the spying attack,but calms down again after briefly looking over the documents we havefound. Only the org c-hart has attracted his attention: the draftrestructuring measures have so far only been discussed by the boardand the human resources department, and the document was stillclassified as "strictly confidential" at the time. Furtherdiscussions soon reveal that the management's trust in their employeehas been shattered. Nevertheless, I convince them to postpone theirdecision about what further action is to be taken. One item is stillopen on my to-do list: I want to examine the system start in detailto make sure that the virus scanners haven't missed a rootkit afterall.

Rất thận trọng, tôinhìn vào đăng ký và hệ thống tệp để tìm ra các trìnhđiều khiển và dịch vụ nào được kích hoạt khi khởiđộng. Các trình điều khiển và dịch vụ được liệtkê trong khóa Servieces (các dịch vụ) của CurrentControlSet;các cờ riêng rẽ quản lý sự kích hoạt của phần mềm.Toàn bộ quá trình khởi động được mô tả chi tiếttheo công việc tiêu chuẩn của Windows Internals. Cơ hộikhác cho tính năng của báo cáo đăng ký bộ công cụ điềutra của tôi sẽ tới để cứu lại. Sau khi tổng hợp cácdữ liệu của tôi với một bảng có chứa cấu hình củamột hệ thống Windows mới được cài đặt, tôi sớm dòtìm ra các trình điều khiển và dịch vụ được cài đặtbổ sung. Chúng tất cả có liên quan tới một sản phẩmđã được cài đặt theo cách thông thường. Kiểm tra cáckhóa thông thường như Run vàRunOnce không đưa ra bất kỳ sựbất bình thường nào. Vì thế tôi có thể không đưa ralý do nào để tin rằng Steinbach là vô tội.

Tất cả thứ đó vớitôi là những thứ phải làm cuối cùng, và kỹ lưỡngnhất, một phần công việc của tôi: để viết một báocáo điều tra giải thích kịch bản kỹ thuật theo mộtcách thức mà ai đó không “hít thở với những bytes”thì không thể hiểu được chúng. Tài liệu cuối cùng là40 trang và không trao cho Steinbach bất kỳ cơ hội tha thứnào. Tôi sau đó phát hiện ra rằng ông ta đã rời bỏcông ty “theo thỏa thuận của cả 2 bên”, và tôi đồrằng, hơi nản lòng, liệu một tiếp cận ít có tính hệthống hơn có là đủ để đưa ra kết quả y như vậykhông.

Verycarefully, I look at the registry and file system to find out whichdrivers and services are launched during start-up. The drivers andservices are listed in the Services key of the CurrentControlSet;individual flags handle the activation of the software. The entireboot process is described in detail in the WindowsInternals standard work. Another opportunity for my forensictoolkit's registry report feature to come to the rescue. Aftercombining my data with a table that contains the configuration of afreshly installed Windows system, I soon detect the additionallyinstalled drivers and services. They are all associated with aproduct that has been installed in the regular way. Checking theusual keys such as Runand RunOncedoesn't produce any abnormalities. I can therefore offer no reason tobelieve that Steinbach is innocent.

Allthat's left for me to do is the last, and most elaborate, part of mywork: to write an investigation report which explains the technicalscenario in such a way that someone who doesn't "breathe bytes"can understand them. The final document is 40 pages long and doesn'tgive Steinbach any room for excuses. I later find out that he leftthe company "by mutual agreement", and I wonder, slightlyfrustrated, whether a slightly less systematic approach would havebeen enough to produce the same result.

AboutCSI:Internet

Về CSI: Internet

Trong loạt bài“Điều tra hiện trường tội phạm: Internet”, cácchuyên gia xem xét các tệp khả nghi có sử dụng mọi mưumẹo trong cuốn sách. Hãy nhìn qua vai họ khi họ theo dõicác phần mềm độc hại - vì tất cả điều này thựcsự có thể đã xảy ra. Tất cả các ví dụ phần mềmđộc hại được chỉ ra trong CSI: Internet từng được sửdụng trong các cuộc tấn công thật và đã được phântích có sử dụng những biện pháp bao gồm những thứđược mô tả ở đây. Những câu chuyện đi kèm đượctruyền cảm hứng bằng những vụ việc thực tế, và chỉnhững cái tên của những người có liên quan là đã đượcthay đổi.

Eduard Blenkers,chuyên gia của chúng tôi trong loạt 2 câu chuyện này, làmviệc như một nhà tư vấn cao cấp tại Viện Chuyển giaoTri thức Fast Lane tại Düsseldorf, Đức. Ông là một trongnhững chuyên gia mà các công ty gọi khi họ có những vịkhách không mời ở dạng các virus, sâu hoặc tin tặc,hoặc khi các dữ liệu của họ rơi vào những bàn taykhông đúng.

Loạt bài thứ 2của “CSI: Internet” ban đầu đã được xuất bản trongtạp chí C bắt đầu với số 15/201. Để liên kết tớicác bài báo trong loạt bài đầu, hãy tham chiếu tớitrang CSI:Internet HQ.

Inour "Crime Scene Investigation:Internet" series, expertsexamine suspicious files using every trick in the book. Watch overtheir shoulders as they track down malware – because all thisreally could have happened. All the malware samples shown inCSI:Internet have been used in real attacks and have been analysedusing methods including those described. The accompanying narrativesare inspired by real incidents, and only the names of those involvedhave been invented.

EduardBlenkers, our expert for series two episode two, works as a seniorconsultant at the FastLane Institute of Knowledge Transfer in Düsseldorf, Germany. Heis one of the specialists that companies call when they have unwantedvisitors in the form of viruses, worms or hackers, or when their datahas fallen into the wrong hands.

Thesecond series of "CSI:Internet" was originally published inc't magazinestarting with issue 15/2011. For links to articles in the firstseries please refer to our CSI:InternetHQ page.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com