banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Case Studies Case Study: xoá vết (cover tracks)  XML
  [Analyzing]   Case Study: xoá vết (cover tracks) 29/02/2012 14:12:55 (+0700) | #1 | 256226
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Case study "phân tích hiện trường sau khi bị thâm nhập" /hvaonline/posts/list/41207.html) có những ý kiến và thảo luận nghiêng hẳn sang hướng "xoá vết". Bởi vậy, tôi mở case study tiếp theo với chủ đề "xoá vết".

Có lẽ định nghĩa "xoá vết" để làm gì không còn cần thiết nữa nhưng biên độ "xoá vết" cần được xác định cho rõ. Xoá vết bao gồm tất cả những hành động huỷ bỏ mọi dấu vết trên mỗi chặng xâm nhập. Bởi vậy, khi đưa ra thảo luận, bạn cần xác định cụ thể bạn đang nói về hành động huỷ bỏ dấu vết ở chặng nào, môi trường nào và hoàn cảnh nào. Bạn cũng cần phân tích và nêu ra lý do tại sao bạn cần làm như vậy.

Mời bà con tham gia.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 06:12:53 (+0700) | #2 | 256354
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Vì các phương pháp "xoá vết" / "ẩn danh" còn tuỳ thuộc vào môi trường, hoàn cảnh và tâm lý con người nên em lấy 1 ví dụ giả định để thảo luận xung quanh trường hợp cụ thể này.

Về phía client (quá trình chuẩn bị):

Theo em thấy, trước khi muốn mình "ẩn danh" khi kết nối đến Internet thì phải biết và nắm rõ trước là server yêu cầu cái gì từ client và client sẽ cung cấp cái gì lên cho server. Từ đó ta mới có nền tảng để tự tìm cách bảo vệ và che dấu thông tin khi kết nối vào Internet.

Ở phần này, ta cần phải có hiểu biết nhất định về các giao thức (protocols).
Nắm được thông tin, cấu hình, cách sử dụng các dịch vụ ta sử dụng để kết nối Internet.

=> 1 khi mà nắm được những thứ đó, nó sẽ giúp bạn biết được những thông tin nào từ phía client sẽ được gửi cho server, lúc này ta có thể xem "những gì có thể fake" và "những gì không thể fake".

* Vậy ở đây, ta có thể fake được những gì trong đống server yêu cầu client phải cung cấp ?
- Đối với giao thức HTTP, ta có thể giả mạo User-Agent , thông tin về client như thời gian hệ thống, ...

* Thế những thứ "không thể tự giả mạo" được như là IP Address thì sao ?
- Đến lúc này, ý tưởng "nhồi" vào giữa client-server 1 proxy trung gian làm nhiệm vụ là người tiếp nhận các gói tin của client và chuyển tiếp đến server "với danh nghĩa là nó gửi đi" và server trả lời lại cho proxy rồi proxy lại làm công việc chuyển tiếp của nó ...

=> Tìm chọn và sử dụng những proxy nhiều người sử dụng nhưng cái quan trọng là hỗ trợ tối đa việc bảo mật thông tin cá nhân của người dùng.

Vậy là ta đã kiểm soát và giả mạo được đống thông tin quan trọng. Nhưng không có gì đảm bảo được là ta vẫn an toàn, còn client-side-script (javascript, flash,...) nữa mà, và còn rất nhiều "bằng chứng" có thể buộc tội được ta nếu bị phát hiện ...

=> Vô hiệu hoá những plugins/add ons/ Functions hỗ trợ việc chạy client-side-script.

Về phía server (quá trình xoá dấu vết sau khi khai thác):

Ở chặng này, chúng ta cần phải thu thập đầy đủ thông tin về server (như là phiên bản hệ thống, thông tin và phiên bản các dịch vụ, cấu hình)

=> Từ những thông tin mà ta thu thập được, giúp ta tìm ra được nơi lưu trữ logs (syslogs,app logs, ...). Khi có được những thứ này, ta sẽ gặp 1 trong những tình huống sau:
+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch !
+ Bạn không có quyền hạn để tác động được đến những file logs + server cấu hình có giới hạn ... Chẳng lẽ bó tay sao ? smilie
Tất nhiên là không rồi, hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ...
Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ...
+ Bạn không có quyền hạn để tác động được đến những file logs + server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi smilie Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:

Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra.
Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên.

Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ...
 

-> Ngồi hi vọng rằng : "Anh quản trị gì đó ơi, anh lười cho em được nhờ !"

Bước cuối cùng trước khi out khỏi hệ thống, bạn đừng quên clear sạch đống "rác và cả chiến tích" của bạn tạo ra smilie Nhiều trường hợp các bạn bị truy ra là cũng vì 1 số thói quen của các bạn hay để lại ở cái đống này lắm :-"


---------------------------------


Hì tiện đây mình có 1 "quiz question" này, các bạn thử nghĩ xem tại sao nhé smilie


Như mình từng đề cập đến, nhiều khi vì quá cẩn thận mà bạn vô tình để lộ sơ hở và chính sự cẩn thận của bạn lại hại bạn.

Mình có ví dụ sau:
Nhiều bạn nói rằng, máy sử dụng dịch vụ VPN và "để đề phòng + đánh lạc hướng", các bạn "cài thêm máy ảo" và thực hiện các hành động của mình trên máy ảo.

Câu hỏi của mình là, tại sao ở trường hợp này nó lại "rất nguy hiểm" nếu như bạn "quên 1 thứ ..." ? Và cái thứ mà mình nhắc đến kia là công việc gì smilie
 


... smilie
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 11:38:22 (+0700) | #3 | 256411
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
Hoàn cảnh : 2 chuyên gia vừa tốt nghiệp khoá hacker mũ xích lô đang lên kế hoạch về cách thâm nhập và xoá dấu vết của 1 server chuyên kinh doanh vé số khuya sổ sau khi đọc chủ đề case studies Cover Tracks trên diễn đàn hva.

Anh A: Với kiến thức và kinh nghiệm của 1 sysadmin thì chúng dễ dàng khám phá được hệ thống bị xâm nhập và sẽ thử trace ra chúng ta.

Anh B : hầu hết các attacker kinh nghiệm đều theo 1 series guideline khi thâm nhập hệ thống. Trong giai đoạn thăm dò, tui sẽ khảo sát kĩ lưỡng mạng mục tiêu để tìm được điểm yếu, quá trình này dĩ nhiên là chủ động nên vì thế hầu hết ta cần thực hiện nó đằng sau 1 cái proxy server chẳng hạn như socks…vv. À, để chắc ăn thì MAC address của ta cũng thay đổi luôn . Còn 1 thứ nữa là phải xác định kĩ mục tiêu không nên là 1 cái honeypot thì tui mới chơi sau đó ta sẽ xoá log hoặc nhiễu log và … chơi rootkit.

Anh B: Hừm để ta đoán vậy là chú sẽ sử dụng 1 proxy servers như SOCKS kết hợp với ssh chứ gì.

Anh A : trừ khi tui dùng private proxy vì proxy server thường giữ log lưu toàn bộ ai sử dụng kết nối của họ và như thế thì ko đúng tiêu chí của tui là anonymous. Vậy tui sẽ chọn cách đi qua nhiều 1 loạt numerous server trước khi tui đạt được tới đích.
- Không nói đâu xa, 1 cái phổ biến mà tui thấy mấy anh giang hồ hay xài là Tor (http://tor.eff.org) vì nó sử dụng cryptography để tạo forward secrecy giữa các router vì thế dữ liệu ban đầu ko thể nhìn thấy.
- Thêm vào đó, đám router này được sử dụng ở khắp các quốc gia khác nhau với những stricter privacy law khác nhau hơn là ở VN hihi. Ngoài ra tui cũng có thể xài program khác như proxy chain chẳng hạn (http://www.proxychains.sourceforge.net).

Anh B : Hừm chú em nên nhớ 1 câu mà anh Nguyễn Minh Đức đã nói à : “… sớm hay muộn thủ phạm cũng sẽ bị bắt” Anh chưa phục đâu, hồi nãy chú em nói đến honey pot ta mới nhớ, thế nhỡ họ xài honey pot thì làm sao đây, giờ anh giả sử họ có honey pot với máy ảo vmware đấy !

Anh A : honeypot là 1 cái hũ mật ong để bẫy mấy chú ong với giả lập 1 hệ thống bị lỗi ( fictitious vunerable system) phải không anh, nhưng mà anh ơi năm nay là năm Thìn, năm cao số của em mà, giới hacker từ lâu đã phát triển những kĩ thuật để detect và disable logging trên hệ thống rồi mà anh hihi.
-Theo em biết thì có 2 loại honey pot : honey id là low-interaction và honey net là high-interaction, đặc tính thì anh lên google kiếm giùm em, dù vậy cả 2 đều có đặc điểm là xài virtual machine để mô phỏng nhiều máy như VMWare chẳng hạn, ok em sẽ fingerprinting nó trên window và detect nó trên linux, how?
Có nhiều cách để detect mình chạy dứơi vmware như :
Copyright Vendor strings trong những file khác nhau
VMware specific hardware drivers
VMware specific BIOS
VMware specific MAC addresses
Installed VMware tools
Issues of the hardware virtualization (e.g. virtual sets of some registers)

Trong VMware, toàn bộ việc truy xuất bộ nhớ đều thông qua GDT và LDT, cà 2 bảng chứa những segment cung cấp base address, access right, type, length và usage cho mỗi segment

1 interrupt descriptor table (IDT) tương tự như GDT và LDT, nhưng nó chứa gate descriptors cung cấp truy cập đến interrupt and exception handlers. Mỗi bảng lại được tham chiếu bởi SGDT, SLDT, và SIDT …( Để tránh việc lạc đề, em xin tạm dừng vì nó liên quan đến từng tầng kernel trên mỗi os – window thì phải sử dụng i/o backdoor - thì cách detect khác nhau.)

Anh B : Ok chú nói nhiều mệt quá, ta hỏi chú nếu chú xâm nhập rồi thì chú định làm gì, để lại file hacked à ?

Anh A : Dạ không, tuỳ hệ điều hành của server mà em sẽ dùng những biện pháp khác nhau nhưng tựu chung là em sẽ cài 1 con rootkit lên server anh để tiện theo dõi và … xoá vết vì có muôn vàn cách để anh trace em, thôi thì em thiên biến vạn hoá tuỳ động thái mấy ảnh vậy, mặc dù em biết đây cũng là con dao 2 lữơi hihi. Vậy vấn đề em cần bàn ở đây sẽ là Giấu file mã độc ( Hiding data ) trên server, trên windows thì em dùng tính năng Alternate Data Stream (ADS) cho NTFS, còn Linux thì em dùng ext2hide chẳng hạn. Sau đó em sẽ sửa chữa hoặc remove luôn con log…vv

Anh B : Vậy tóm lại nãy giờ anh với chú nói chuyện thì anh sẽ tổng kết mấy ý của chú như sau :
- Dùng Proxy để thăm dò
- Xác định target có phải là honey pot
- Cài rootkit để tiện cover tracks
- Tấn công log các kiểu
Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 12:32:58 (+0700) | #4 | 256418
[Avatar]
vitcon01
Member

[Minus]    0    [Plus]
Joined: 29/04/2009 11:28:21
Messages: 306
Offline
[Profile] [PM]
Về phía server (quá trình xoá dấu vết sau khi khai thác):

Ở chặng này, chúng ta cần phải thu thập đầy đủ thông tin về server (như là phiên bản hệ thống, thông tin và phiên bản các dịch vụ, cấu hình)

=> Từ những thông tin mà ta thu thập được, giúp ta tìm ra được nơi lưu trữ logs (syslogs,app logs, ...). Khi có được những thứ này, ta sẽ gặp 1 trong những tình huống sau:
+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch !
+ Bạn không có quyền hạn để tác động được đến những file logs + server cấu hình có giới hạn ... Chẳng lẽ bó tay sao ? smilie
Tất nhiên là không rồi, hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ...
Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ...
+ Bạn không có quyền hạn để tác động được đến những file logs + server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi smilie Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:  

--->cho mình hỏi tí, trường hợp log đã đổ về server log center thì sao hã bạn?
JK - JH
()()()
LTKT - LTT
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 13:27:42 (+0700) | #5 | 256432
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

vitcon01 wrote:
Về phía server (quá trình xoá dấu vết sau khi khai thác):

Ở chặng này, chúng ta cần phải thu thập đầy đủ thông tin về server (như là phiên bản hệ thống, thông tin và phiên bản các dịch vụ, cấu hình)

=> Từ những thông tin mà ta thu thập được, giúp ta tìm ra được nơi lưu trữ logs (syslogs,app logs, ...). Khi có được những thứ này, ta sẽ gặp 1 trong những tình huống sau:
+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch !
+ Bạn không có quyền hạn để tác động được đến những file logs + server cấu hình có giới hạn ... Chẳng lẽ bó tay sao ? smilie
Tất nhiên là không rồi, hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ...
Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ...
+ Bạn không có quyền hạn để tác động được đến những file logs + server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi smilie Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:  

--->;cho mình hỏi tí, trường hợp log đã đổ về server log center thì sao hã bạn? 


==> Khi log được đổ về server log center thì bạn không có quyền chỉnh sửa và đụng chạm. Điều bạn chỉ có thể làm là làm nhiễu log, đợi mớ log trên hết hạn và cầu nguyện cho Quản trị log server đó lười biếng. Bạn đọc kỹ lại bài viết của .lht.

Các thảo luận của các bạn hình như đang lệch sang hướng "Làm sao để ẩn danh tối đa khi xâm nhập"

Để "xóa dấu vết" một cách toàn diện thì bạn phải xác định:
  • Hành động của bạn có thể lưu dấu vết ở những chỗ nào?
  • Tính chất của các dấu vết bạn để lại

Từ đó bạn mới lên được quy trình xóa dấu vết chi tiết

Thường khi xâm nhập thì dấu vết của bạn thường lưu tại các điểm sau:
- Client (Máy tính của bạn)
- Modem và Gateway của ISP
- Proxy hay các node mạng bạn đi qua ()
- Hệ thống mạng máy tính đích (Có thể là một server, hoặc có thêm IPS, Firewalđal, ... )
- Nơi bạn công bố thông tin (HVA, facebook, blog ... )
Ví dụ: nếu bạn là hacker tấn công Server BKAV thì bạn sẽ làm gì để ẩn danh và xóa dấu vết???
Mời mọi người tiếp tục thảo luận!

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 15:06:26 (+0700) | #6 | 256454
vn.rootkit
Member

[Minus]    0    [Plus]
Joined: 22/01/2009 00:12:32
Messages: 18
Offline
[Profile] [PM]
Khi thực hiện 1 cuộc xâm nhập, điều cần thiết nhất phải quan tâm đến làm sao có thể cover tracks một cách toàn diện nhất (Ở đây mình không đề cấp tới những kẻ tấn công mà có 1 thế lực nào đó đứng sau chống lưng thì có thể cover hoặc không cover). Để thực hiện việc này thì phải xem xét đến các thành phần mà có thể log lại dấu chân của kẻ tấn công.

Nếu bạn là kẻ tấn công, thông thường khi xâm nhập thì sẽ thực hiện qua các giai đoạn :
- Tìm hiểu thông tin, xem xét đánh giá target
- Khai thác, tấn công target
- Công bố kết quả, nghe ngóng thông tin về cuộc tấn công.


Trong các giai đoạn này, các thông tin của bạn sẽ hiện diện ở 4 điểm mấu chốt:
- Điểm xuất phát: máy tính cá nhân, nơi truy cập,..: Các thông tin này bạn hoàn toàn chủ động trong việc cover.
+Việc xóa vết trên máy tính của bạn có thể thực hiện bằng nhiều cách khác nhau như sử dụng proxy, virtual machine, VPN,....
+Nơi truy cập: bạn có thể kiếm cho bạn vài cái SIM 3G rác rẻ tiền rồi dùng một lần bỏ, hoặc bạn có thể ra 1 quán cafe internet xa lắc xa lơ mà bạn chẳng bao giờ mò chân tới. Còn nếu như bạn nào hôm trước vừa nói là có thể trace ra số điện thoại mà bạn vào quán cafe đó khi bạn thực hiện tấn công thì để yên tâm bạn nên để điện thoại ở nhà smiliesmilie
- Đường truyền trung gian (ISP, proxy,..): Tại điểm này thì bạn hoàn toàn bị động trong việc cover. Chính vì thế nên bạn phải giấu được thông tin trước khi các thông tin của bạn bước vào vị trí này và hoàn toàn phó thác may rủi cho những nhà quản lý vị trí này nếu bạn cover không kỹ.
- Mục tiêu: Dù bạn có khả năng nâng quyền hạn của bạn trên mục tiêu thế nào đi nữa thì hoàn toàn bạn vẫn có thể không truy cập được vào toàn bộ log của mục tiêu (ví dụ như bạn không có quyền chỉnh sửa log hay vào log center,v.v..) thì về cơ bản thì theo mình là chỉ còn cách làm nhiễu loạn log, làm đầy log, hoặc sau 1 thời gian thì quay trở lại (cách này mình hay dùng vì khi nào cần lấy thông tin thì mới quay lại)... (như .lht. đã phân tích ở trên) Với cách làm như vậy thì quản trị mạng khi theo dõi sẽ vất vả hơn khi trace ra thời điểm bạn tấn công cũng như cách thức bạn tấn công như thế nào..
- Quan hệ xã hội: điểu yếu nhất trong hệ thống thông tin chính là con người. Mặc dù bạn là người tấn công nhưng cũng chính bạn với các mối quan hệ xã hội của bạn lại là nơi yếu nhất và dễ bị lộ nhất.
+ Bạn có thể gặp gỡ với bạn bè, chiến hữu của bạn trong một cuộc vui hoặc có chuyện buồn trong cuộc sống cần tâm sự với bạn bè nên cần có đôi ba chén để giải khuây chẳng hạn, có thể khi uống đến một mức nào đó thì những thông tin thầm kín về cuộc tấn công hoàn toàn có thể bị chính bạn đưa ra trước bàn nhậu. Một vài người trong cuộc nhậu đó nắm được thông tin và dù vô tình hay cố ý đưa lên mạng thì bạn chắc chắn sẽ bị sờ gáy.
+ Hay mức độ cẩn trọng sẽ giảm dần theo thời gian. Đến một lúc nào đó, bạn nghĩ là mọi chuyện đã qua và bạn có thể thoải mái yên tâm vi vu lướt đến nhưng nơi mà trước đó bạn đã cẩn trọng công bố thông tin thì cũng có thể lúc đó bạn bị tóm!
+ Họ sử dụng social enginering để xác định bạn là người ở đâu, thói quen là gì thông qua các cách sử dụng ngữ điệu, câu, chữ khi bạn nói về chiến công của bạn trên mạng (cái này mình tích lũy được khi theo dõi thông tin mọi người cho rằng anonymous vn sử dụng translator machine, hoặc cố tình viết theo ngữ điệu khác lạ)

Như vậy, để cover một cách toàn diện thì việc đó sẽ được thực hiện trên cả 3 giai đoạn trên cũng như tối đa cover trên cả 4 điểm mấu chốt trong từng giai đoạn.
1. Giai đoạn tìm hiểu thông tin, xem xét đánh giá target: Có thể quản trị hệ thống mà bạn xâm nhập thành công về sau này sẽ review lại được giai đoạn thăm dò hệ thống của bạn và có thể sẽ tòi ra bạn trong số những khách viếng thăm hệ thống của họ. Bởi khi bạn thăm dò, ít nhiều trên công việc thăm dò của bạn sẽ để lại các vết khác lạ so với các truy cập thông thường.
2. Giai đoạn khai thác, tấn công target: Giai đoạn này thì hoàn toàn phải cover một cách cực kỳ thận trọng. Khi bắt đầu cuộc điều tra thì thông thường họ sẽ tập trung vào tìm hiểu bạn đã làm gì ở giai đoạn này nhất. Chính vì thế mà bất kỳ một sai sót để lộ thông tin ở giai đoạn này cũng sẽ giết chết bạn.Ví dụ như bạn để lại 1 cái backdoor chẳng hạn, họ có thể analyze con này và có thể tìm được một chút manh mối gì đó (đặc biệt nếu con backdoor này là do bạn tự compile nên sẽ có một số thông tin bạn không để ý bị ghi lại và con backdoor này).
3. Giai đoạn công bố kết quả, nghe ngóng thông tin về cuộc tấn công, quay lại hiện trường:
Giai đoạn này nếu như không cover cẩn thận thì hoàn toàn nó sẽ làm cho mọi công sức của bạn từ trước đến giờ đổ ra biển lớn hết. Trong quá trình điều tra, thường thì họ sẽ tỏa đi khắp mọi nơi để nghe ngóng thông tin về bạn, bất kỳ một dữ kiện nhỏ nhất nào liên quan đền việc tấn công họ cũng sẽ vồ lấy và khai thác thông tin đó một cách triệt để, từ thông tin email, thông tin cá nhân liên quan, thông tin trên các diễn đàn, mạng xã hội khác và từ đó họ sẽ thực hiện sàng lọc đối tượng . Nếu bạn chủ quan, vội vàng tung ra ngay chiến lợi phẩm để khoe, để nâng danh mình lên hoặc để thách thức mà quên việc cover thì chính nó sẽ tố cáo thủ phạm là ai (điển hình mới nhất là vụ handheld.vn). Chính vì thế mà nếu bạn ở giai đoạn này thì chắc chắn phải rất cẩn thận hoặc bạn nên quên giai đoạn này đi, cứ để mọi người nói sao thì nói còn bạn không tham gia hay bình luận gì hết.

Trong bài này mình không nói cụ thể về cách cover tracks thế nào mà chỉ phân tích về các tình huống có thể xảy ra trước, trong và sau quá trình xâm nhập. Do không có nhiều thời gian để viết nên có những chỗ viết hơi vắn tắt hoặc do kiến thức có hạn nên sẽ có vài điểm không hợp lý thì mọi người bỏ qua và cứ cho nhận xét thẳng thắn để mình khắc phục.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 01/03/2012 21:13:05 (+0700) | #7 | 256520
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Nếu khi tôi tấn công 1 mục tiêu thì sẽ:
- Tìm hiểu thông tin và thăm dò victim: Cả về hệ thống máy chủ và các thành phần liên quan của hệ thống. Ngoài ra để chắc chắn cần biết được Policy làm việc của nhân viên chỗ đó.
- Khai thác lỗ hổng victim: Phải biết cách trừng phạt sai lầm của victim dù là sai lầm nhỏ nhất.
- Tuy từng mục đích của cuộc tấn công: có cuộc tấn công thì có thể công bố, có cuộc tấn công thì sau khi tấn công xong xoá sạch vết và chạy mất dép.

Bằng chứng tấn công sẽ được tìm thấy tại:
- Dụng cụ sử dụng để tấn công: laptop, ...
- Thông tin lưu lại trên con đường tấn công: log của ISP, log tại 1 số nơi khác.
- Thông tin tại hiện trường: cụ thể đây là server bị ta tấn công.
- Thông tin từ "một miệng thì kín mà chín miệng thì hở".

Vì vậy cách xoá vết (thực hiện cả khi thăm dò và tấn công):
- Tại dụng cụ gây án: Thường thì cách sạch nhất để không tìm thấy là dùng 1 cái VMware để gây án.
Nhưng chưa hẳn thế là đã an toàn. Đôi khi bạn hack được 1 cái server 2K3, rồi remote vào và bị tìm ra chỉ vì cái "Computer Name" của bạn. Vì thế thông tin ở cái VMware này có thể để random thì càng tốt. từ Computer Name đến Username và email, password. Có thể dùng Kaspersky Password Manager để generator ra những thông tin cho từng thành phần của VMware và lưu lại file txt trong VMware để tiện đọc lại.
Nếu bạn bị tịch thu máy và tìm ra cái image của VMware -> theo tôi cách tốt nhất là mua 1 cái usb và cất cái image vào đấy. Xong việc thì để nó đi đâu cũng được. Dùng loại KingMax Superslim như 1 chiếc sim điện thoại, nếu cần tiêu huỷ thì cho lên bếp ga đốt cho ra tro. Như thế này sẽ hoàn toàn sạch dấu vết ở dụng cụ gây án.
- Tại con đường tấn công:
+ Internet: Ở đây mình nghĩ dùng Tor là rất mạnh, có thể remote VPS -> Tor. Việc lần theo dấu vết Tor là rất khó khăn, thường thì lúc không tấn công cũng để VPS là 1 relay traffic (non exit-relay) của Tor. thế này thì bình thường nó đã là 1 node của tor rồi nên càng khó điều tra. Gây án xong thì xoá sạch dấu vết tại VPS.
+ LAN: nếu bạn tiến hành tấn công vào 1 server nào đó trong mạng LAN thì thông tin bị lưu sẽ là: mac address, computer name, account dùng để join vào mạng (join vào Domain controller). Ở chặng này cần phải fake mac address, đổi computer name (nếu mà muốn gắp lửa bỏ tay người thì hoàn toàn có thể scan trước computer name và mac address của người khác và để đấy, nhằm lúc thằng đấy đi vắng thì fake sang thông tin của nó) còn về account dùng để join mạng thì nên chôm 1 acc của đứa khác, có thể là brute force hay là liếc trộm, ...
- Tại hiện trường: Ở đây tôi thích nhất là cách ngồi đợi và rình dập chủ server. Điều tra thật kỹ, và nếu họ backup tự động thì cố mà nghiên cứu cách để khi tấn công thì làm thịt luôn cả em server backup.
Cách tấn công mà tôi cho là hoàn hảo nhất là "con ngựa thành Troia". Code sẵn 1 con Trojan để chạy trên server chỉ chờ đến thời gian là tự động tấn công, việc chú ý vào nhân viên của nơi tấn công là 1 điều rất quan trọng, thông thường nếu các cơ quan làm việc đến trưa thứ 7 thì set cho con Trojan tấn công vào khoàng 3h chiều trở đi, thế là trong cả đêm thứ 7 và chủ nhật Trojan hoàn toàn có quyền tung hoành trên server của cơ quan đó. Nếu đó là 1 kỳ nghỉ dài khoảng 1 tuần thì Trojan có thể thực hiện xoá toàn bộ dấu vết tại Hard Disk của cơ quan đó, thậm chí có thể chạy 10 lần (server linux):
Code:
dd if=/dev/urandom of=partition_of_data
thế thì không thể Recovery được.
Nếu để Trojan tỉnh dậy phá hoại sau vài tháng thì lúc này có thể server sẽ hết sạch log của toàn bộ cuộc tấn công để đưa Trojan lên trước đó. Nếu server save các bản backup thì cho nhớ cho Trojan xoá sạch toàn bộ các bản backup.
- Tại "một miệng thì kín mà chín miệng thì hở": Có 1 ví dụ không thể nào hay hơn trong vụ: Đại học FPT: khi sinh viên gian lận và hack vào server trường -> /hvaonline/posts/list/41260.html
Cụ thể ở đây cu cậu sửa bài tôi đã để lộ thông tin cho quá nhiều người nên tôi biết và điều tra theo. Nếu chỉ 1 mình cậu ta âm thầm làm việc và không ai biết thì chắc tôi vẫn đang cặm cụi ngồi học lại liên tục và dài dài và tự bảo sao mình học kiểu gì mà điểm luôn kém thế smilie.
Cách xoá vết tại chặng này thì chắc là không cần nói thì ai cũng biết.

Ngoài ra còn 1 điểm đặc biệt cần chú ý: Cần xác định chắc chắn cẩn thận trước khi tấn công. Phải tin tưởng vào chính mình khi đã làm việc gì. Ví dụ: khi bạn tấn công vào 1 mạng hệ thống nào đó, mà bị triệu tập để gặp. Chắc chắn là sẽ không thể tìm được mình, đừng có nghe vài câu: "server hệ thống có lưu lại log của bạn, ..., bạn có thể nhận đi và tội sẽ rất nhẹ, sẽ được khoan hồng". Nếu bạn tin tưởng vào chính mình và phải chắc chắn rằng toàn bộ thông tin đã được xoá sạch thì hãy nhìn thẳng vào mặt người hỏi bạn câu đấy và nói: "KHÔNG!".

Các cách xoá vết ở trên chỉ là để tham khảo, còn cách tốt nhất là đừng có làm smilie Đôi khi chỉ cần 1 sơ suất nhỏ mà lại được chuyển từ màu áo xanh tươi Chelsea sang Juventus thì đó thật là 1 điều tội tệ smilie
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 02/03/2012 09:39:47 (+0700) | #8 | 256617
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
 

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn
- Một người lạ đến quán net thì có bị để ý hay không?
- Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không?
- Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa?

An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn smilie

Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:
tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không?
- Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không?
- Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....)
...

Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc smilie

Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong smilie

Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 02/03/2012 12:39:34 (+0700) | #9 | 256635
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
Tui lười viết dài, nên chắc tóm tắt:
1. Vào hệ thống mới tức là vào môi trường lạ, và admin của môi trường là chủ môi trường đó, vì vậy bước đầu tiên quan trọng nhất luôn luôn là điều tra về môi trường chuẩn bị thâm nhập. Điều tra thông qua social engineering, dùng tool v.v... Chỉ khi bạn biết khá khá về môi trường bạn chuẩn bị attack thì bạn mới có thể xoá dấu vết được.
2. Nguyên lý cơ bản: tất cả những gì bạn chạm đến đều có dấu vết của bạn => như Ky0 nói, muốn người ta biết thì đừng có làm. Dù cho bạn chuẩn bị xoá dấu vết kỹ (dùng tor, vm, proxy ...) thì với đủ time người ta cũng sẽ lần ra bạn.
3. Vào hệ thống thì bạn cần 1 pc, 1 đường mạng, và 1 server, như vậy sẽ có trace của bạn ở máy pc, ở các thiết bị mạng, và ở server.
3.1 Ở PC bạn có thể dùng tor v.v... để giấu luồng traffic, xoá VM để xoá marking.
3.2 Đối với thiết bị mạng và server, nếu hệ thống dùng central log + central analysis (SIEM system) thì bạn chỉ có thể gây nhiễu để làm khó khăn cho việc truy vết.
3.3 Gây nhiễu thông qua việc phát hiện cơ chế log của server, cơ chế gửi log đến central server và sau đó phun dữ liệu giả vào. Tuy nhiên sẽ phải rất cẩn thận để dữ liệu giả đủ nhiều và đủ hợp lý để che được các hành vi của bạn vì nếu tạo dữ liệu giả lộ liễu thì bạn sẽ tự hại mình trước do nhiều nhiễu sẽ dễ trigger các sensor của admin đặt ra => sau khi vào được server thì việc đầu tiên phải làm là giải quyết liền log daemon và tạo log daemon giả.
4. Sau khi hack xong thì đừng nổ smilie cái miệng hại cái thân. Nhiều khi bạn sẽ bị bắt gián tiếp thông qua một việc không đâu vào đâu lúc bạn bất cẩn, và họ sẽ có cách làm cho bạn phải thừa nhận những việc bạn đã làm, kể cả những việc bạn không làm smilie
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 03:45:50 (+0700) | #10 | 256880
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bà con tham gia thảo luận xôm tụ lắm nhưng vẫn chưa có cái nhìn toàn diện nên khó khai triển cho rốt ráo. Tớ xin đưa ra vài điểm mấu chốt để dễ khai triển.

Khi nói đến "tracks" (trong tinh thần cover-tracks), ta nói đến điểm nguồn (source) và điểm đích (destination).

Nguồn ở đây là một public IP trực tiếp tương tác với đích:

Nguồn ---> Đích.

Trong đó,

- Những gì đằng sau nguồn đều là tracks.
- Những gì trước đích và chung quanh đích đều là tracks.

Ví dụ, một perpetrator tấn công một máy chủ có IP là zz.zz.zz.zz và public IP của perpetrator là xx.xx.xx.xx. Nếu biểu thị ở một dạng "flow" đơn giản thì có thể là:

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).

Với biểu thị trên thì "nguồn" chính là 3.3.3.3 và "đích" chính là 5.5.5.5.

Nếu packets đi từ 1.1.1.1 xuyên qua các jump servers (VPN, VPS, anonymous proxies....) trước khi trở thành 3.3.3.3 đối với đích 5.5.5.5 thì tất các những jump servers ấy đều thuộc về "tracks".

Ở phía "đích", ngoài FW (4.4.4.4) còn có thể có những "stealth" IDS nằm ẩn và thu thập tất cả mọi thông tin đi từ "nguồn" 3.3.3.3 (bởi vì IDS không thể nào detect được những gì thuộc về 2.2.2.2 hoặc 1.1.1.1 hoặc nếu được thì chỉ là những thông tin mơ hồ vì hầu hết anonymous proxy đúng nghĩa sẽ xoá hết những thông tin nguyên thuỷ của client đứng sau nó). Ở phía đích, ngoài IDS còn có thể có kernel-based keylogger thu thập hết những "actions" xảy ra trên chính 5.5.5.5).

Nói tóm lại, "xoá vết" bao gồm tất cả những gì đi từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) đến điểm đích và những gì xung quanh điểm đích. Bởi vậy, ngoài việc xoá (hoặc ẩn) những thông tin trên những chặng trung gian còn phải tìm hiểu xem đích được cái gì bảo vệ và theo dõi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 09:20:30 (+0700) | #11 | 256900
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

conmale wrote:
Bà con tham gia thảo luận xôm tụ lắm nhưng vẫn chưa có cái nhìn toàn diện nên khó khai triển cho rốt ráo. Tớ xin đưa ra vài điểm mấu chốt để dễ khai triển.

Khi nói đến "tracks" (trong tinh thần cover-tracks), ta nói đến điểm nguồn (source) và điểm đích (destination).

Nguồn ở đây là một public IP trực tiếp tương tác với đích:

Nguồn ---> Đích.

Trong đó,

- Những gì đằng sau nguồn đều là tracks.
- Những gì trước đích và chung quanh đích đều là tracks.

Ví dụ, một perpetrator tấn công một máy chủ có IP là zz.zz.zz.zz và public IP của perpetrator là xx.xx.xx.xx. Nếu biểu thị ở một dạng "flow" đơn giản thì có thể là:

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).

Với biểu thị trên thì "nguồn" chính là 3.3.3.3 và "đích" chính là 5.5.5.5.

Nếu packets đi từ 1.1.1.1 xuyên qua các jump servers (VPN, VPS, anonymous proxies....) trước khi trở thành 3.3.3.3 đối với đích 5.5.5.5 thì tất các những jump servers ấy đều thuộc về "tracks".

Ở phía "đích", ngoài FW (4.4.4.4) còn có thể có những "stealth" IDS nằm ẩn và thu thập tất cả mọi thông tin đi từ "nguồn" 3.3.3.3 (bởi vì IDS không thể nào detect được những gì thuộc về 2.2.2.2 hoặc 1.1.1.1 hoặc nếu được thì chỉ là những thông tin mơ hồ vì hầu hết anonymous proxy đúng nghĩa sẽ xoá hết những thông tin nguyên thuỷ của client đứng sau nó). Ở phía đích, ngoài IDS còn có thể có kernel-based keylogger thu thập hết những "actions" xảy ra trên chính 5.5.5.5).

Nói tóm lại, "xoá vết" bao gồm tất cả những gì đi từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) đến điểm đích và những gì xung quanh điểm đích. Bởi vậy, ngoài việc xoá (hoặc ẩn) những thông tin trên những chặng trung gian còn phải tìm hiểu xem đích được cái gì bảo vệ và theo dõi. 

==> Đây cũng là vấn đề đau đầu khi forensic mà gặp tình trạng trên smilie.

Để đạt được những điều trên thì ta cần phải tiến hành thăm do chi tiết mục tiêu. Tuy nhiên quá trình thăm dò cũng có thể tạo ra các track khác. ta cũng cần phải cover được những cái track này. Đối với các hacker chuyên nghiệp thì họ thường lựa chọn thời điểm ra tay rất xa với thời điểm thăm dò (Điểm này cũng sẽ phát sinh nhiều vấn đề).

Mời mọi người tiếp tục thảo luận chi tiết về từng chặng! smilie
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 11:21:07 (+0700) | #12 | 256920
xBoyx
Member

[Minus]    0    [Plus]
Joined: 04/12/2010 08:58:30
Messages: 37
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 11:34:38 (+0700) | #13 | 256922
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
while(1){}
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 11:36:36 (+0700) | #14 | 256923
xBoyx
Member

[Minus]    0    [Plus]
Joined: 04/12/2010 08:58:30
Messages: 37
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 05/03/2012 11:40:00 (+0700) | #15 | 256925
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

xBoyx wrote:
... 


Đây là case study chớ không phải là nơi hỏi các thắc mắc. Nên tham gia đóng góp vào case study. Nếu có thắc mắc thì mở một chủ đề mới ở box thích hợp để trao đổi riêng ra.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 06/03/2012 11:38:06 (+0700) | #16 | 257020
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

conmale wrote:

Nói tóm lại, "xoá vết" bao gồm tất cả những gì đi từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) đến điểm đích và những gì xung quanh điểm đích. Bởi vậy, ngoài việc xoá (hoặc ẩn) những thông tin trên những chặng trung gian còn phải tìm hiểu xem đích được cái gì bảo vệ và theo dõi. 


Case này của anh cũng rộng quá. Em thắy việc xoá vết chỉ chủ động được tại 1.1.1.1 -> 3.3.3.3, phần côn lại thì hên xui quá.
Tuỳ vào mức độ được truy cập của người quản lý mà có cách riêng để xoá vết. Với 1 số web master thuê hosting để đặt website thì có thể 1 số cu cậu sau khi chèn shell lên còn khéo léo chạy thêm lệnh "touch" để chỉnh lại ngày giờ modify cho những quản lý nào mà kiểm tra hosting bằng time modify thì không phát hiện hosting mính dính "chấu".
Còn đối với cách quản lý "thu thập hết những "actions" xảy ra trên chính 5.5.5.5" và mỗi ngày đọc log server 1 lần như anh conmale đang làm thì việc cover tracks chủ yếu là làm thế nào cho anh conmale không tìm được mình smilie.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 06/03/2012 14:09:54 (+0700) | #17 | 257037
[Avatar]
phonglanbiec
Member

[Minus]    0    [Plus]
Joined: 03/07/2006 20:56:00
Messages: 162
Offline
[Profile] [PM]
Mình xin phân tích dựa trên cái sơ đồ của anh comale theo ý kiến cá nhân:

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).

Từ 1.1.1.1 --> 2.2.2.2: Mặc định khi mình connect ra ngoài thì những thông tin của mình như IP, ngày giờ truy cập đều tự động log trên ISP. Do đó, nếu muốn giấu thông tin lên ISP để sau ngày khỏi bị "truy ngược" lại là rất khó. Tuy nhiên, thay vì giấu thông tin đến những server có log thì thay vào đó, ta connect đến những điểm log ít nhất. Như 1 PC nào đó bị ta hack chẳng hạn. Khi đó, nếu bị "truy ngược" trong quá trình điều tra của cơ quan an ninh thì đến PC đã bị ta hack, thông tin của ta lộ ra ít hơn.

Từ 2.2.2.2 --> 3.3.3.3: Trong giai đoạn này, ta vẫn còn chút lựa chọn trong việc chọn jump server 2. Do vậy, trong giai đoạn này cần kiến thức của ta là chọn jump server log thông tin ít, ta có can thiệp được hay không, Windows server thì log những gì, Linux server thì log những gì, từ những thông tin đó có thể tìm ra ta hay không.


Từ 3.3.3.3 --> 4.4.4.4: Đến giai đoạn này thì chắc chắn thông tin như IP, thời gian truy cập của ta (ở đây được hiểu là 3.3.3.3) sẽ đươc log lại toàn bộ, bên cạnh đó những requests của ta là gì cũng được log theo. Cho nên, giai đoạn này ta không thể che giấu hết thân phận của mình, mà chỉ có thể "qua mặt" firewall như những requests của ta có hợp lệ hay không? nếu chấp nhận bất hợp lệ thì tỷ lê giữa hợp lệ/bất hợp lệ là bao nhiêu? (vì giả sử có điều tra, thì người điều tra cũng khó phân biệt được ta là 1 zombie bị lợi dụng, vô tình thấy lỗi hay là cố ý thấy lỗi), firewall sử dụng để lọc là gì? liệu có điểm yếu hay không? firewall đó mặc định log những gì? options thì log được gì nữa không?

Từ 4.4.4.4 --> 5.5.5.5: Giai đoạn này ta đã xác định mình tấn công những gì: OS, Web server hay là application server? Nếu tấn công vào OS, bug ta tấn công có được log lại như 1 sự kiện lỗi hay không? hay bug đó server xử lý như 1 request bình thường? Tương tư như web server và application server. Với mỗi loại tấn công ta còn xác định mình đã có trong tay những gì, có can thiệp hệ thống được hay không? Nếu can thiệp được, có can thiệp được logs hay không? Nếu không can thiệp được, ta có thể làm nhiễu log hay không? Nếu làm nhiễu, thì ta phải dùng nhiều thông tin khác nhau để làm nhiễu như IP khác nhau, User-Agent khác nhau, các bước trong quá trình tấn công khác nhau nhằm làm khó khăn hơn trong việc xác định người tấn công.

Tuy nhiên, sự thật là sự thật, nếu người khác có thời gian, chắc chắn họ sẽ tìm ra. Do vậy, ngoài việc có thể/không có thể can thiệp vào log của server. Ta còn phải tạo cho mình 1 vỏ bọc an toàn. Ví dụ như máy tính ta sau khi tấn công xong phải huỷ hết mọi thông tin: ví dụ như tấn công từ VMWare, sau khi tấn công xong thì lưu mọi thông tin đó lên Internet, huỷ ngay máy VMWare đó. Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình smilie

[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 06/03/2012 17:39:29 (+0700) | #18 | 257048
dancerhp
Member

[Minus]    0    [Plus]
Joined: 14/09/2009 12:22:00
Messages: 11
Offline
[Profile] [PM]

phonglanbiec wrote:
...
Tuy nhiên, sự thật là sự thật, nếu người khác có thời gian, chắc chắn họ sẽ tìm ra. Do vậy, ngoài việc có thể/không có thể can thiệp vào log của server. Ta còn phải tạo cho mình 1 vỏ bọc an toàn. Ví dụ như máy tính ta sau khi tấn công xong phải huỷ hết mọi thông tin: ví dụ như tấn công từ VMWare, sau khi tấn công xong thì lưu mọi thông tin đó lên Internet, huỷ ngay máy VMWare đó. Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình smilie

 


Mình thấy nếu mà dùng cách sử dụng backdoor, log ảo để chứng mình không ổn lắm smilie nếu bạn làm vậy thì người ta cũng có thể chứng minh bạn đã làm vậy smilie
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 06/03/2012 19:19:22 (+0700) | #19 | 257056
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).
 


Cái sơ đồ này anh conmale đưa ra để mọi người phân biệt rõ từng chặng mà mình đi qua nó. Ở đây mỗi chặng nó ít nhiều đều lưu lại 1 số thông tin/ hành động của ta. Tuỳ trường hợp mà cái sơ đồ này sẽ thay đổi cho phù hợp với tình huống, trong nhiều trường hợp, jump server 1 ở đây sẽ là ISP (Internet service provider). Lúc này sẽ có 1 nhóm người khi truy cập vào Internet sẽ có chung 1 IP Address:


máy nhà (1.1.1.1 | IP mạng nội bộ của ISP) --> ISP (2.2.2.2 | IP access to internet) ---> jump server (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).
 


Chú ý điểm được nhấn mạnh:


- Những gì đằng sau nguồn đều là tracks.
- Những gì trước đích và chung quanh đích đều là tracks.
 


Vậy ở đây điểm được nhấn mạnh là

jump server (3.3.3.3) | firewall bảo vệ đích (4.4.4.4) | đích (5.5.5.5) 


Vì thế

từ điểm xuất phát (1.1.1.1) xuyên qua những chặng trung gian (n.n.n.n) 


Ta cần biết ở chặng trung gian cuối cùng,cái gì "đã" được "hide / protect" và những gì "giữ nguyên cho tới khi đến đích".
Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.

Vậy ta cần chú ý những gì ?
- Những hành động của chúng ta và ảnh hưởng / tác động của nó đến hệ thống đích.
- Thông tin về hệ thống đích (cấu hình, phiên bản, dịch vụ được sử dụng).

Với những thông tin về hệ thống, từ đó sẽ giúp ta hình dung ra được toàn cảnh phía hệ thống đích:
+ Các dịch vụ đang sử dụng sẽ nói cho ta biết hệ thống đó đang sử dụng những IDS loại nào và nó detect / logs lại những gì.
+ Thông tin cấu hình sẽ giúp ta biết được "những giới hạn" của hệ thống đó.

Từ đó , như bài trước mình đề cập đến 1 số tình huống sau:

+ Bạn có quyền hạn ghi/ xoá trên những file logs: Ta có thể fake, thay vào đó những thông báo/ cảnh báo giả để đánh lạc hướng điều tra hoặc ta cũng có thể "thanh toán" thẳng đám này ... diệt gọn và sạch !

+ Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server cấu hình có giới hạn ...
Ta hãy nhìn vào "cấu hình server", ta thấy cái gì ? ... "Giới hạn dung lương lưu trữ" ...
Ở đây cũng lại phụ thuộc vào những yếu tố liên quan đến cấu hình quản lý logs của server, thời gian live và giới hạn dung lượng logs cho phép. Dựa vảo những "giới hạn" đó mà ta có thể tìm cách làm server "tự xử" - Chẳng hạn bạn cố tình flood 1 loạt những thứ khiến server phải cảnh báo -> Flood liên tục cho đến khi "chạm giới hạn" thì server sẽ tự xoá đống logs kia để lấy chỗ cho đống logs mới ...

+ Bạn không có quyền hạn để tác động được đến những file logs và trong hoàn cảnh server "không có giới hạn" . Nếu ở trường hợp này thì mệt rồi smilie Thôi ta đành "lẩn trốn 1 thời gian" và áp dụng cách sau:


Từ đây ta nhận thấy 1 điều rằng, đôi khi những cái "current" logs thường có "khoảng thời gian không được động đến cho đến khi 1 sự việc nào đó sảy ra" và cần phải kiểm tra.
Với 1 hệ thống lớn, nhiều người truy cập. Chắc hản sẽ có ấn định xoá logs trong 1 khoảng thời gian (có thể là sau vài tuần cho đến vài tháng) để tránh tình trạng hệ thống có nhiều "rác" ngốn hết tài nguyên.

Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ... 


-> Ngồi hi vọng rằng : "Anh quản trị gì đó ơi, anh lười cho em được nhờ !"
 


Ngoài ra, những hành động/ tác động của ta đến hệ thống cũng phải được chú ý. Những gì ta tạo ra cần phải được clear. Những "tàn tích" cần phải được xử lý cẩn thận (file được tạo/ chỉnh sửa khi nào, thời gian tạo/ chỉnh sửa) ...
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 07/03/2012 22:13:08 (+0700) | #20 | 257138
[Avatar]
phonglanbiec
Member

[Minus]    0    [Plus]
Joined: 03/07/2006 20:56:00
Messages: 162
Offline
[Profile] [PM]

.lht. wrote:

Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.
 


Như mình đã nói, thông tin ta connect đến các chặng này thì không thể che dấu được, mỗi bước đi của ta ít nhiều đều để lại dấu chân. Nhưng quan trọng ta chọn đi ở đâu, chẳng hạn như đi ra biển (các servers) thì dấu chân để lại nhiều; còn đi trên gạch (các PC đã bị ta hack) thì dấu chân của ta để lại ít hơn.

Suy nghĩ của mình khi viết bài này: mình đặt mình là người điều tra, và người điều tra nghĩ gì, sau đó mình làm ngược lại với suy nghĩ đó smilie
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 08/03/2012 00:54:56 (+0700) | #21 | 257142
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

phonglanbiec wrote:

.lht. wrote:

Đến đây, có thể "thông tin" máy ta được che giấu (khi đi qua các proxies) nhưng "hành động" của chúng ta không thể nào che giấu được khi qua những chặng này.
 


Như mình đã nói, thông tin ta connect đến các chặng này thì không thể che dấu được, mỗi bước đi của ta ít nhiều đều để lại dấu chân. Nhưng quan trọng ta chọn đi ở đâu, chẳng hạn như đi ra biển (các servers) thì dấu chân để lại nhiều; còn đi trên gạch (các PC đã bị ta hack) thì dấu chân của ta để lại ít hơn.

Suy nghĩ của mình khi viết bài này: mình đặt mình là người điều tra, và người điều tra nghĩ gì, sau đó mình làm ngược lại với suy nghĩ đó smilie 


Cái gì cũng phải theo thực tế bạn à, chẳng lẽ lúc nào cũng có 1 cái "PC-hacked" cho ta nghịch ? Và còn chưa kể đến tốc độ kết nối khi thông qua các bước đó liệu bạn có đủ kiên nhẫn để ngồi hack khi mà tốc độ truy cập xuyên qua nhiều bước bị giảm dần ? smilie

Mà như trên mình có nói, "thông tin ta connect" hầu như khi đi qua các proxies trung gian đã được xoá và thay đổi chứ không phải "không thể che dấu được". Cái "không thể che dấu được" ở đây mình đề cập đến chính là "hành động".

smilie
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 13/03/2012 17:43:32 (+0700) | #22 | 258449
Flicker675
Member

[Minus]    0    [Plus]
Joined: 16/03/2010 22:32:51
Messages: 3
Offline
[Profile] [PM]

Ky0 wrote:

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
 

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn
- Một người lạ đến quán net thì có bị để ý hay không?
- Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không?
- Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa?

An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn smilie

Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:
tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không?
- Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không?
- Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....)
...

Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc smilie

Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong smilie

Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu

- Ky0 -
 


Ngoài ra còn cái MAC cũng khá quan trọng bạn nhỉ.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 13/03/2012 17:48:41 (+0700) | #23 | 258451
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Flicker675 wrote:

Ky0 wrote:

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
 

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn
- Một người lạ đến quán net thì có bị để ý hay không?
- Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không?
- Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa?

An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn smilie

Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:
tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không?
- Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không?
- Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....)
...

Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc smilie

Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong smilie

Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu

- Ky0 -
 


Ngoài ra còn cái MAC cũng khá quan trọng bạn nhỉ. 


Cái MAC gì? Sao không nói rõ hơn?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 14/03/2012 19:38:24 (+0700) | #24 | 258651
Bika
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 07:11:56
Messages: 6
Offline
[Profile] [PM]

Flicker675 wrote:

Ky0 wrote:

chube wrote:

Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
 

Một vài người cho rằng kiếm một quán net ở xa xa và ít đến để hack thì khó bị truy tìm hơn
- Một người lạ đến quán net thì có bị để ý hay không?
- Một người vào quán net tải một mớ thứ về và đôi lúc dùng dòng lệnh đen xì có bị mọi người để ý không?
- Chưa kể một mớ trojan keylog có thể tồn tại trên các máy tính ở quán net nữa?

An toàn trong trường hợp này là đến những quán net đông người và quản lý lười biếng. Ví dụ: mấy tiệm internet ở làng đại học Thủ Đức chẳng hạn smilie

Một vài người bảo dùng 3G và SIM rác thì không lo bị truy tìm.

mrro wrote:
tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết 

- USB 3G có số seri mã nhận dạng hay không?
- Các thông số của USB 3G có được gửi đến trạm phát sóng hoặc nhà mạng không?
- Mạng 3G làm thế nào để quản lý các thuê bao? (về mặt kỹ thuật, tránh xung đột với thuê bao khác ....)
...

Để thực sự an toàn thì bạn chỉ sử dụng USB 3G một lần và hủy cùng với cái SIM rác sau khi xong việc smilie

Giải pháp tốt nhất thì dùng các mạng wifi miễn phí, cái này thì chạy vòng vòng thì cũng được vài cái rồi làm giống như phanledaivuong smilie

Nhưng để an toàn nhất thì chúng ta không nên làm việc xấu

- Ky0 -
 


Ngoài ra còn cái MAC cũng khá quan trọng bạn nhỉ. 

Trong kết nối TCP/IP thì MAC là địa chỉ vật lí của từng máy và có giá trị sử dụng ở tầng host-to-network (data link). Xin nói thêm về MAC 1 chút là mỗi máy (chính xác hơn là thiết bị kết nối) sẽ có một địa chỉ dưới dạng:
zz:zz:zz:yy:yy:yy
trong đó zz:zz:zz là được đăng kí bởi nhà sản xuất thiết bị kết nối.
Muốn biết được cái MAC của máy đối tượng thì ít ra mình chí ít phải vào được modem wifi mà đối tượng đang kết nối. Để chắc ăn hơn thì mượn máy đối tượng vào cmd và gỏ ipconfig. (chi tiết này không chính xác)
Khi xác định được MAC rồi thì mình sẽ kết luận được máy đối tượng dùng thiết bị kết nối của hãng nào sản xuất smilie
Xin bổ xung 1 chi tiết nữa là MAC bạn có thể chỉnh bằng tay tuỳ thích. Nên dù có nắm dãy số này bạn cũng chẳng biết được gì
Tóm lại, không ăn nhập gì với chủ đề này cả.

đã sửa lại sao khi làm theo lời của maithangbs
Vì hạnh phúc gia đình, vì lợi ích công ty,vì tài khoản ngân hàng, không sài thằng BKav.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 14/03/2012 20:14:00 (+0700) | #25 | 258656
[Avatar]
maithangbs
Elite Member

[Minus]    0    [Plus]
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
[Profile] [PM] [Email] [Yahoo!]
@Bika: bạn thử tìm kiếm với tù khác "thay đổi MAC address" n kết quả để bạn tuỳ biến
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 15/03/2012 00:53:12 (+0700) | #26 | 258701
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Ý của anh conmale ở đây hỏi bạn là:
"Cái MAC mà bạn nhắc đến liên quan ở trường hợp này không, tại sao ?"
chứ anh ý đâu có hỏi bạn MAC là gì đâu mà bạn giải thích như vậy smilie

Như maithangbs nói, MAC Address có thể thay đổi được. Và mình cũng xin bổ sung thêm là máy đích (server) sẽ không có được MAC của máy nguồn (client) nếu 2 máy không nằm cùng trong 1 mạng nội bộ (LAN).

Mình thấy đã có người giải thích như sau, bạn thử đọc nhé smilie

Actually, the MAC-address stored in the packet is changed on every hop of a packet's journey.

MAC is shorthand for Media Access Control, with media refering to the local communication media. While source and destination IP-Addresses remain the same throughout the journey (and are used for long-distance routing decisions), the source and destination MAC-Addresses just indicate the next hop.

Because of this, the MAC-Address stored in packets received by your server should be the MAC address of your point of presence-router, or of the equipment of your provider.

You might want to have a look at the OSI Layer model and encapsulation.

 
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 15/03/2012 01:47:18 (+0700) | #27 | 258703
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Xét ở góc độ forensics cho những dấu hiệu trên mạng Internet mà xét đến MAC thì hơi khó bởi vì MAC address không bao giờ được chuyển tải qua mỗi router.

Nếu kẻ thâm nhập đã nhảy qua VPN, anonymous proxies.... để đến đích thì chẳng còn cái MAC nào thuộc về máy con của kẻ thâm nhập để mà xét hết.

Người mang ý kiến xét MAC ở đây chứng tỏ kiến thức mạng rất giới hạn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 16/03/2012 04:08:22 (+0700) | #28 | 258953
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Lần trước tôi đưa ra một dạng "track":

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).

Đây là dạng tấn công từ kẻ ở bên ngoài. Vậy, dạng tấn công từ kẻ ở bên trong thì sao?

Có rất nhiều người nghĩ rằng tin tặc thường tấn công từ bên ngoài vào nhưng thực tế khảo sát và thống kê thì cho thấy, hơn 80% những dạng tấn công nguy hiểm và chết người đi từ chính bên trong (nội bộ mục tiêu).

Hãy xét dạng "track" sau:

máy con (5.5.5.6) --> tunnel out 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).


Ở đây, máy con 5.5.5.6 thuộc network với hệ thống đích 5.5.5.5 nhưng máy con không tấn công trực tiếp vì nó sẽ để quá nhiều dấu tích. Bởi vậy, máy con sẽ tạo tunnel ra 2.2.2.2 rồi từ 2.2.2.2 nó nhảy sang 3.3.3.3 để từ đó, nó mới tấn công vào 5.5.5.5.

Ở góc độ xoá vết, firewall bảo vệ network 5.5.5.0 cùng lắm chỉ có thể thấy 5.5.5.6 tạo một connection đến IP 2.2.2.2 nào đó và dấu vết mất hút ngay điểm đó. Vậy, điểm yếu và điểm mạnh của dạng tấn công và cover track ở trên nằm chỗ nào?

PS: tất nhiên, đây chỉ là một dạng đơn giản hoá vì thực tế có vô vàn các biến hoá.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 16/03/2012 09:01:09 (+0700) | #29 | 258984
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Ở đây, máy con 5.5.5.6 thuộc network với hệ thống đích 5.5.5.5 nhưng máy con không tấn công trực tiếp vì nó sẽ để quá nhiều dấu tích. Bởi vậy, máy con sẽ tạo tunnel ra 2.2.2.2 rồi từ 2.2.2.2 nó nhảy sang 3.3.3.3 để từ đó, nó mới tấn công vào 5.5.5.5.

Ở góc độ xoá vết, firewall bảo vệ network 5.5.5.0 cùng lắm chỉ có thể thấy 5.5.5.6 tạo một connection đến IP 2.2.2.2 nào đó và dấu vết mất hút ngay điểm đó. Vậy, điểm yếu và điểm mạnh của dạng tấn công và cover track ở trên nằm chỗ nào?  


Ở khu vực firewall kiểm tra luồng traffic vào ra, firewall nhận thấy luồng traffic từ 5.5.5.6 đi ra và luồng nào đó từ 2.2.2.2 đi vào có sự tương quang rõ rệt. Tuy người quan sát không nhận biết tại sao có 1 nhóm đi ra từ 5.5.5.6 đi ra rồi không có traffic trả về tương ứng cho dịch vụ. Nhưng người quan sát lại thấy 1 luồng đi vào từ 2.2.2.2 có cùng vùng dịch vụ(port chẳng hạn) và trường sequence chẳng hạn... khá là lạ. Từ đó mới thấy nghi ngờ.
Chuyện này phải ngồi nhìn thời gian dài mới thấy ra được, và có chủ ý quan sát.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Case Study: xoá vết (cover tracks) 16/03/2012 09:46:06 (+0700) | #30 | 258988
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Ở dạng tấn công [từ bên trong] này, điểm yếu/mạnh dễ nhận thấy nhất là:

Yếu:
- Các hệ thống theo dõi sẽ dễ dàng thu thập được thông tin và hành động. Trong đó "hành động" dễ bị nhận diện và phát hiện nhất.

Mạnh:
- Ta dễ dàng nắm được cấu hình của hệ thống mạng đó để lên kế hoạch cover track.
Trash from trash is the place for new good things ~
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|