PHÁP CHỨNG KỸ THUẬT SỐ

Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet

Giảng viên: TS. Đàm Quang Hồng Hải


Tội phạm trên Internet - tơi phạm cơng nghệ cao

•
•
•

Điểm khác biệt giữa tội phạm công nghệ cao và tội phạm truyền thống chính là phương tiện phạm tội.
Tội phạm công nghệ cao sử dụng sự tiến bộ của công nghệ thông tin để phạm tội.
Tội phạm công nghệ cao thực hiện được những hành vi phạm tội mà tội phạm truyền thống không thể
làm được, như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được tiền của một người nào đó đang ở
nước ngồi.

•

Khơng cần dùng chìa khóa vạn năng, tội phạm cơng nghệ cao vẫn có thể xâm nhập được vào "kho tiền"
của người khác để chiếm đoạt.


Tấn công vào máy người dùng


Hành vi của tội phạm cơng nghệ cao

•

Hành vi của tội phạm công nghệ cao khác nhiều so với tội phạm cổ điển, như: tấn công trái
phép vào website để lấy đi những thơng tin bí mật, thay vào đó những thơng tin giả

•

Tội phạm cơng nghệ cao có thể phá hoại website bằng virút, làm giả thẻ tín dụng, lấy cắp
tài khoản cá nhân…

•

Đối tượng phạm tội cũng khác với tội phạm truyền thống, nhất thiết phải có hiểu biết về
cơng nghệ thơng tin thì mới thực hiện được hành vi phạm tội.


Lừa đảo Cơng nghệ cao

•

Đối tượng lừa đảo lập ra một trang web, lấy địa chỉ giả ở Mỹ rồi nhập tên tuổi của những người tham
gia vào mạng lưới cùng với số tiền họ đã góp.

•

Đối tượng lừa đảo mở máy tính cho những người tham gia xem, họ tận mắt nhìn thấy tên mình, số tiền
của mình trên màn hình thì vui và tin là mình đang kinh doanh tài chính với tập đồn ở Mỹ thật mà
khơng biết rằng việc tạo ra một trang web là vô cùng đơn giản.

•


Một ngun nhân nữa đó là do mức lãi suất mà bọn lừa đảo đưa ra quá hấp dẫn, quá cao so với tất cả
các hình thức huy động tiền gửi hợp pháp khác.

•

Sự thiếu hiểu biết cũng là một nguyên nhân khiến nhiều người bị mắc lừa.


Tội phạm cơng nghệ cao và Lỗ hổng

•

Lỗ hổng (bug) là các điểm yếu trong phần mềm cho phép kẻ tấn cơng phá hoại sự tồn vẹn,
độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu do phần mềm xử lý.

•

Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn công khai thác hệ thống bị xâm phạm bằng
cách khiến hệ thống chạy các mã độc hại mà người dùng khơng hề biết.

•

Thế giới đã bị rúng động bởi sự hoành hành của Flame và Duqu, những virus đánh cắp
thơng tin
mật của các hệ thống điện tốn


Lỗ hổng Zero Day

•


Lỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được
khắc phục.

•

Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống
máy tính của các doanh nghiệp, tập đồn để đánh cắp hay thay đổi dữ liệu.

•

Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện ra hoặc vá
lại, nhiều lỗ hổng thậm chí cịn sống "thọ" hơn thế.

•

Tội phạm cơng nghệ cao sẵn sàng trả khoản tiền rất lớn để mua lại các lỗ hổng zero-day.


Tấn cơng vào các lỗ hổng bảo mật

•

Hiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các máy
chủ cung cấp dịch vụ hoặc các phần mềm khác, ... các hãng sản xuất ln cập nhật các
phần mềm vá lỗi của mình.

•

Những thơng tin có thể ăn cắp như tên, mật khẩu của người sử dụng, các thơng tin mật

chuyển qua mạng.

•

Người dùng cần thiết cập nhật thông tin và nâng cấp phiên bản cũ.


Ví dụ: tấn cơng Java Zero-day CVE-2013-1493


Xem xét File log lưu trữ trên máy tính

•

Các file log máy tính có thể tạo ra và duy trì từ những dữ liệu hệ thống tự động hoặc bằng
tay, chẳng hạn như các tập tin đăng nhập hệ thống và nhật ký máy chủ proxy.

•

Các hồ sơ phải được đầu ra được tạo ra từ các ứng dụng máy tính/quy trình trong đó thơng
thường, khơng phải là dữ liệu đầu vào một cá nhân tạo ra

•

Các file log máy tính là những dữ liệu điện tử hoặc kỹ thuật số đầu có thể xem với một
phần mềm bảng tính hoặc phần mềm xử lý văn bản.


Ví dụ: File Log với phần mềm HijacThis



Sử dụng trên phần mềm chống Virus

•

Thơng thường các máy tính có cài phần mềm chống Virus đều có ghi lại q trình ngăn
chặn Virus

•

Phần mềm chống Virus có thể bắt đầu diệt của phần mềm độc hại trước khi nó có cơ hội để
tải về và cài đặt

•

Pháp chứng viên có thể xem xét các thơng tin này cùng với các thơng tin truy cập Web để
tìm được nguồn gốc Virus


Phần mềm chống Virus


Mã độc Malware

•

Thuật ngữ " Malware " bao hàm tất cả các loại phần mềm được thiết kế để làm hại máy
tính hoặc mạng máy tính.

•


Phần mềm độc hại có thể được cài đặt trên máy mà người dùng không hay biết, thường
thông qua các liên kết lừa đảo hoặc nội dung tải xuống được đăng như là nội dung thường
dùng.

14


Malware


Các loại Malware

•

Mã độc Malware bao gồm rất nhiều loại phổ biến như:

•
•
•
•
•
•
•

Virus
Sâu máy tính (worm)
Trojan horse
Botnets
Keylogger.

Phần mềm gián điệp (spyware)
Phần mềm quảng cáo.


Virus, Worm, Trojan horse

•

Virus là phần mềm độc hại được gắn vào chương trình khác để thực thi một nhiệm vụ
khơng mong muốn trên máy tính của người dùng.

•

Worm thực thi mã (code) tùy ý và cài đặt bản sao của nó vào máy tính bị nhiễm để sau đó
lây nhiễm vào các máy khác.

•

Trojan horse khơng giống như worm hoặc virus. Nó được viết ra trơng giống như là 1
chương trình nào đó, nhưng thực chất nó là cơng cụ dùng để tấn công

17


Virus, Worm, Trojan


Botnets, Keylogger, Phần mềm gián điệp

•


Botnets là những chương trình tương tự Trojan cho phép kẻ tấn công sử dụng máy của họ như là
những Zoombie (máy tính bị chiếm quyền điều khiển hoàn toàn ) và chúng chủ động kết nối với
một Server để dễ dàng điều khiển.

•

Keylogger là phần mềm ghi lại chuỗi gõ phím của người dùng. Nó có thể hữu ích cho việc tìm
nguồn gốc lỗi sai trong các hệ thống máy tính

•

Phần mềm gián điệp là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không
để lại "di chứng".


Lịch sử phát triển của Malware

•

Khởi đầu lịch sử phát triển của mình, những Malware thế hệ đầu tiên lây nhiễm giữa các máy tính bằng
việc lây nhiễm vào vùng MBR của các đĩa mềm dùng để khởi động máy tính hoặc trao đổi dữ liệu.

•

Các thiết bị lưu trữ dữ liệu hiện đại hơn như USB, CD,... Malware cũng phát triển theo sự phát triển của
cơng nghệ.

•


Ngày nay, khơng chỉ lây nhiễm qua các thiết bị lưu trữ vật lý mà Malware cịn có thể lây nhiễm giữa
các hệ thống thông qua các kết nối mạng một các tự động.

•

Các cơng cụ Forensic và Malware Analysic được sử dụng để
payload, hành vi của chúng để có thể đưa ra các cách giải quyết,
ngăn chặn chúng

phân tích cách thức lây nhiễm,


Ví dụ hoạt động Malware


Mã hóa và tránh né phát hiện
Được các tác giả viết Malware sử dụng từ những năm đầu thập niên 1990 nhằm mã hóa
payload và bản thân chúng để tránh né việc phát hiện các công cụ như Antivirus, IDS, ....
Kỹ thuật này thường được Malware sử dụng phục vụ vào những mục đích chính như:

•
•
•

Tránh né việc phát hiện của IDS/IPS, Antivirus
Ẩn kênh C&C
Mã hóa lưu lượng điều khiển

22



Ví dụ: Virus Rookit tấn cơng vào bảng danh sách hàm hệ thống

•

Trong Windows, Rootkit thường hoạt động dựa vào cơ chế móc nối vào bảng lưu địa chỉ các hàm
dịch vụ hệ thống (System Service Dispatch Table - SSDT).

•

Để điều tra những vấn đề này, Pháp chứng viên có thể lấy bằng chứng từ nghiên cứu pháp chứng
số trên bộ nhớ dựa vào framework như của bộ công cụ Volatility.

•

Kết quả điều tra giúp Pháp chứng viên hiểu chiến lược móc nối SSDT, giúp nhà sản xuất phần
mềm chống Virus tối ưu hơn sản phẩm của họ.


Bảng SSDT (System
Service Dispatch Table)


Kỹ thuật hooking vào SSDT của Rookit