Thực hành điều tra server bị tấn công

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Thực hành điều tra server bị tấn công
Một ngày nào đó server của công ty bạn bị tấn công. Sếp yêu cầu điều tra nguyên nhân, bạn phải làm sao? Hãy đọc bài của mình nhé :D

1704784799570.png

Giới thiệu công cụ EventLog phục vụ điều tra hệ thống

EventLog – nhật ký của Windows, toàn bộ các sự kiện tác động vào hệ thống như đăng nhập đăng xuất, remote desktop, bật tắt máy, cài đặt service... sẽ được ghi lại.

upload_2020-1-16_17-26-41.png

Event Log có 3 phần chính
  • Windows Logs: Là phần quan trọng nhất, phục vụ chủ yếu cho điều tra.
    • Application: Nơi lưu nhật ký các chương trình, phần mềm cài trên máy
    • Security: Nơi lưu nhật ký liên quan đến bảo mật của máy tính. Như đăng nhập đăng xuất, bật tắt máy...
    • System: Nơi lưu nhật ký liên quan đến tác động vào hệ thống file của Windows. Như cài đặt, bật tắt service…
    • Setup: Nơi lưu lại nhật ký cài đặt các bản vá của Windows.
    • Forwarded events: Nơi lưu nhật ký liên quan đến các máy tính khác trong mạng tác động tới máy tính của bạn.
  • Application and Services Logs: Nơi lưu lại nhật ký liên quan đến các chương trình, phần mềm của Windows hoặc của các chương, trình phần mềm đăng ký với Windows để ghi lại nhật ký.
  • Custom View: Bạn chỉ quan tâm đến một số sự kiện, bạn có thể vào phần này để cấu hình.
Vị trí lưu file của Event log “%SystemRoot%\System32\Winevt\Logs”. Kích thước tối đa của mỗi file là 20MB, khi file log quá giới hạn các bản ghi cũ sẽ bị xóa bỏ. Tùy thuộc vào mục đích chúng ta có thể cấu hình tăng kích thước này lên.

upload_2020-1-16_17-27-32.png

Các event đặc biệt phục vụ quá trình điều tra

Lịch sử Remote Desktop(Event ID = 1149)


Truy cập vào Application and Service Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager\Operational lọc tìm các event mã 1149 để xem lịch sử remote desktop, từ đây chúng ta có thể thấy được rất nhiều thông tin hưu ích như: Địa chỉ IP, User, Domain, thời điểm remote vào server.
Trong ví dụ bên dưới thấy được: Máy tính bị remote thông qua Administrator bằng máy có tên Gaara-PC, IP 30.x.x.174 vào lúc 10:08:14 PM ngày 15/01/2020.

upload_2020-1-16_17-28-11.png

Lịch sử shutdown, restart máy (EventID = 1074)

Truy cập vào Windows Logs\System lọc tìm các event có mã 1074 để xem lịch sử bật tắt máy. Từ ví dụ bên dưới thấy được: Máy tính bị restart lúc 10:20:19 PM ngày 15/01/2020.

upload_2020-1-16_17-28-31.png


Lịch sử đăng nhập, đăng xuất(EventID = 4624, 4634, 4676)

Truy cập vào Windows Logs\Security lọc tìm mã 4024(logon), 4034(logoff), 4676(xác thực) để xem lịch sử đăng nhập đăng xuất.
Từ ví dụ bên dưới ta thấy được: Thời điểm đăng nhập, đăng xuất, thành công hay thất bại, IP… Log này rất hưu ích cho việc tìm tấn công brute force. Thật vậy tấn công brute force hacker sẽ thử một tập mật khẩu yếu với tần suất liên tục, dựa vào đặc điểm này rất dễ nhận biết trên log nếu một máy (IP) đăng nhập thất bại nhiều lần liên tục.

upload_2020-1-16_17-28-59.png

Lịch sử cài đặt service (Event ID = 7045)

Truy cập vào Windows Logs\System lọc tìm mã 7045 để xem lịch sử cài đặt service. Từ ví dụ bên dưới thấy được: Service GoogleUpdate được cài đặt vào lúc 1:49:14 PM ngày 16/1/2020.

upload_2020-1-16_17-29-14.png

Trên là các mã event quan trọng phục vụ quá trình điều tra, ngoài ra còn một số event khác như: Tạo username, bật tắt cấu hình firewall, bật tắt UAC...Các bạn có thểm tìm hiểu thêm nhé.

Thực hành điều tra nguyên nhân server bị tấn công

Yêu cầu: Có một server bị mã hóa, toàn bộ dữ liệu quan trọng bị mã hóa hết. Sếp yêu cần tìm ra nguyên nhân và đưa ra phương án phòng tránh.

Các bạn tải file clone server về import vào VirtualVox để thực hành nhé.

Link tải: https://drive.google.com/file/d/1iMFR-bHGVu7W8yv9zjcf1Zp1z5Cng7M2/view?usp=sharing
 
Chỉnh sửa lần cuối bởi người điều hành:
Nâng level lên: trong trường hợp trên, nếu hacker cẩn thận xóa log, anh em sẽ xử lí như thế nào?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cảm ơn mod, bài viết rất có X
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mod có thể cung cấp cho mình password của server clone được không?
Cảm ơn!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nâng level lên: trong trường hợp trên, nếu hacker cẩn thận xóa log, anh em sẽ xử lí như thế nào?
Đối với những server quan trọng thì vẫn nên backup logs hoặc remote ftp saving sẽ tốt hơn.
Để chắc ăn thì cài một số tool manage ở standalone server làm watching.

Hóng các cao nhân tiếp :))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Một ngày nào đó server của công ty bạn bị tấn công. Sếp yêu cầu điều tra nguyên nhân, bạn phải làm sao? Hãy đọc bài của mình nhé :D

Giới thiệu công cụ EventLog phục vụ điều tra hệ thống
EventLog – nhật ký của Windows, toàn bộ các sự kiện tác động vào hệ thống như đăng nhập đăng xuất, remote desktop, bật tắt máy, cài đặt service... sẽ được ghi lại.
View attachment 5708

Event Log có 3 phần chính
  • Windows Logs: Là phần quan trọng nhất, phục vụ chủ yếu cho điều tra.
    • Application: Nơi lưu nhật ký các chương trình, phần mềm cài trên máy
    • Security: Nơi lưu nhật ký liên quan đến bảo mật của máy tính. Như đăng nhập đăng xuất, bật tắt máy...
    • System: Nơi lưu nhật ký liên quan đến tác động vào hệ thống file của Windows. Như cài đặt, bật tắt service…
    • Setup: Nơi lưu lại nhật ký cài đặt các bản vá của Windows.
    • Forwarded events: Nơi lưu nhật ký liên quan đến các máy tính khác trong mạng tác động tới máy tính của bạn.
  • Application and Services Logs: Nơi lưu lại nhật ký liên quan đến các chương trình, phần mềm của Windows hoặc của các chương, trình phần mềm đăng ký với Windows để ghi lại nhật ký.
  • Custom View: Bạn chỉ quan tâm đến một số sự kiện, bạn có thể vào phần này để cấu hình.
Vị trí lưu file của Event log “%SystemRoot%\System32\Winevt\Logs”. Kích thước tối đa của mỗi file là 20MB, khi file log quá giới hạn các bản ghi cũ sẽ bị xóa bỏ. Tùy thuộc vào mục đích chúng ta có thể cấu hình tăng kích thước này lên.
View attachment 5709

Các event đặc biệt phục vụ quá trình điều tra
Lịch sử Remote Desktop(Event ID = 1149)


Truy cập vào Application and Service Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager\Operational lọc tìm các event mã 1149 để xem lịch sử remote desktop, từ đây chúng ta có thể thấy được rất nhiều thông tin hưu ích như: Địa chỉ IP, User, Domain, thời điểm remote vào server.
Trong ví dụ bên dưới thấy được: Máy tính bị remote thông qua Administrator bằng máy có tên Gaara-PC, IP 30.x.x.174 vào lúc 10:08:14 PM ngày 15/01/2020.

View attachment 5710

Lịch sử shutdown, restart máy (EventID = 1074)

Truy cập vào Windows Logs\System lọc tìm các event có mã 1074 để xem lịch sử bật tắt máy. Từ ví dụ bên dưới thấy được: Máy tính bị restart lúc 10:20:19 PM ngày 15/01/2020.

View attachment 5711


Lịch sử đăng nhập, đăng xuất(EventID = 4624, 4634, 4676)

Truy cập vào Windows Logs\Security lọc tìm mã 4024(logon), 4034(logoff), 4676(xác thực) để xem lịch sử đăng nhập đăng xuất.
Từ ví dụ bên dưới ta thấy được: Thời điểm đăng nhập, đăng xuất, thành công hay thất bại, IP… Log này rất hưu ích cho việc tìm tấn công brute force. Thật vậy tấn công brute force hacker sẽ thử một tập mật khẩu yếu với tần suất liên tục, dựa vào đặc điểm này rất dễ nhận biết trên log nếu một máy (IP) đăng nhập thất bại nhiều lần liên tục.
View attachment 5712

Lịch sử cài đặt service (Event ID = 7045)

Truy cập vào Windows Logs\System lọc tìm mã 7045 để xem lịch sử cài đặt service. Từ ví dụ bên dưới thấy được: Service GoogleUpdate được cài đặt vào lúc 1:49:14 PM ngày 16/1/2020.

View attachment 5713

Trên là các mã event quan trọng phục vụ quá trình điều tra, ngoài ra còn một số event khác như: Tạo username, bật tắt cấu hình firewall, bật tắt UAC...Các bạn có thểm tìm hiểu thêm nhé.



Thực hành điều tra nguyên nhân server bị tấn công

Yêu cầu: Có một server bị mã hóa, toàn bộ dữ liệu quan trọng bị mã hóa hết. Sếp yêu cần tìm ra nguyên nhân và đưa ra phương án phòng tránh.
Các bạn tải file clone server về import vào VirtualVox để thực hành nhé.

Link tải: https://drive.google.com/file/d/1iMFR-bHGVu7W8yv9zjcf1Zp1z5Cng7M2/view?usp=sharing
Link tải die rồi bro.
Mong bro update lại nhé
Cám ơn bro
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
server tấn công
Bên trên