Thực hành điều tra server bị tấn công

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 16/01/20, 05:01 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 447
    Đã được thích: 207
    Điểm thành tích:
    43
    Một ngày nào đó server của công ty bạn bị tấn công. Sếp yêu cầu điều tra nguyên nhân, bạn phải làm sao? Hãy đọc bài của mình nhé :D

    Giới thiệu công cụ EventLog phục vụ điều tra hệ thống
    EventLog – nhật ký của Windows, toàn bộ các sự kiện tác động vào hệ thống như đăng nhập đăng xuất, remote desktop, bật tắt máy, cài đặt service... sẽ được ghi lại.
    upload_2020-1-16_17-26-41.png

    Event Log có 3 phần chính
    • Windows Logs: Là phần quan trọng nhất, phục vụ chủ yếu cho điều tra.
      • Application: Nơi lưu nhật ký các chương trình, phần mềm cài trên máy
      • Security: Nơi lưu nhật ký liên quan đến bảo mật của máy tính. Như đăng nhập đăng xuất, bật tắt máy...
      • System: Nơi lưu nhật ký liên quan đến tác động vào hệ thống file của Windows. Như cài đặt, bật tắt service…
      • Setup: Nơi lưu lại nhật ký cài đặt các bản vá của Windows.
      • Forwarded events: Nơi lưu nhật ký liên quan đến các máy tính khác trong mạng tác động tới máy tính của bạn.
    • Application and Services Logs: Nơi lưu lại nhật ký liên quan đến các chương trình, phần mềm của Windows hoặc của các chương, trình phần mềm đăng ký với Windows để ghi lại nhật ký.
    • Custom View: Bạn chỉ quan tâm đến một số sự kiện, bạn có thể vào phần này để cấu hình.
    Vị trí lưu file của Event log “%SystemRoot%\System32\Winevt\Logs”. Kích thước tối đa của mỗi file là 20MB, khi file log quá giới hạn các bản ghi cũ sẽ bị xóa bỏ. Tùy thuộc vào mục đích chúng ta có thể cấu hình tăng kích thước này lên.
    upload_2020-1-16_17-27-32.png

    Các event đặc biệt phục vụ quá trình điều tra
    Lịch sử Remote Desktop(Event ID = 1149)


    Truy cập vào Application and Service Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager\Operational lọc tìm các event mã 1149 để xem lịch sử remote desktop, từ đây chúng ta có thể thấy được rất nhiều thông tin hưu ích như: Địa chỉ IP, User, Domain, thời điểm remote vào server.
    Trong ví dụ bên dưới thấy được: Máy tính bị remote thông qua Administrator bằng máy có tên Gaara-PC, IP 30.x.x.174 vào lúc 10:08:14 PM ngày 15/01/2020.

    upload_2020-1-16_17-28-11.png

    Lịch sử shutdown, restart máy (EventID = 1074)

    Truy cập vào Windows Logs\System lọc tìm các event có mã 1074 để xem lịch sử bật tắt máy. Từ ví dụ bên dưới thấy được: Máy tính bị restart lúc 10:20:19 PM ngày 15/01/2020.

    upload_2020-1-16_17-28-31.png


    Lịch sử đăng nhập, đăng xuất(EventID = 4624, 4634, 4676)

    Truy cập vào Windows Logs\Security lọc tìm mã 4024(logon), 4034(logoff), 4676(xác thực) để xem lịch sử đăng nhập đăng xuất.
    Từ ví dụ bên dưới ta thấy được: Thời điểm đăng nhập, đăng xuất, thành công hay thất bại, IP… Log này rất hưu ích cho việc tìm tấn công brute force. Thật vậy tấn công brute force hacker sẽ thử một tập mật khẩu yếu với tần suất liên tục, dựa vào đặc điểm này rất dễ nhận biết trên log nếu một máy (IP) đăng nhập thất bại nhiều lần liên tục.
    upload_2020-1-16_17-28-59.png

    Lịch sử cài đặt service (Event ID = 7045)

    Truy cập vào Windows Logs\System lọc tìm mã 7045 để xem lịch sử cài đặt service. Từ ví dụ bên dưới thấy được: Service GoogleUpdate được cài đặt vào lúc 1:49:14 PM ngày 16/1/2020.

    upload_2020-1-16_17-29-14.png

    Trên là các mã event quan trọng phục vụ quá trình điều tra, ngoài ra còn một số event khác như: Tạo username, bật tắt cấu hình firewall, bật tắt UAC...Các bạn có thểm tìm hiểu thêm nhé.



    Thực hành điều tra nguyên nhân server bị tấn công

    Yêu cầu: Có một server bị mã hóa, toàn bộ dữ liệu quan trọng bị mã hóa hết. Sếp yêu cần tìm ra nguyên nhân và đưa ra phương án phòng tránh.
    Các bạn tải file clone server về import vào VirtualVox để thực hành nhé.

    Link tải: https://drive.google.com/file/d/1iMFR-bHGVu7W8yv9zjcf1Zp1z5Cng7M2/view?usp=sharing
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    ngocanhpy, totoroc and DiepNV88 like this.
  2. 5kytu

    5kytu W-------

    Tham gia: 18/09/15, 11:09 PM
    Bài viết: 29
    Đã được thích: 22
    Điểm thành tích:
    8
    Nâng level lên: trong trường hợp trên, nếu hacker cẩn thận xóa log, anh em sẽ xử lí như thế nào?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 28
    Đã được thích: 15
    Điểm thành tích:
    3
    Cảm ơn mod, bài viết rất có X
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. totoroc

    totoroc New Member

    Tham gia: 06/01/17, 02:01 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Mod có thể cung cấp cho mình password của server clone được không?
    Cảm ơn!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 447
    Đã được thích: 207
    Điểm thành tích:
    43
    123456a@ nhé bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 447
    Đã được thích: 207
    Điểm thành tích:
    43
    Mời cách anh em cho ý kiến :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. ngocanhpy

    ngocanhpy New Member

    Tham gia: 18/01/20, 10:01 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Đối với những server quan trọng thì vẫn nên backup logs hoặc remote ftp saving sẽ tốt hơn.
    Để chắc ăn thì cài một số tool manage ở standalone server làm watching.

    Hóng các cao nhân tiếp :))
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan