Case Study: xoá vết (cover tracks)

English | Vietnamese

Nội Quy

Diễn đàn

Portal

Danh sách thành viên

Thống kê

Tìm kiếm

Phòng đọc

Đăng ký

Đăng nhập [ | https ]

Diễn đàn chính

Case Studies

Case Study: xoá vết (cover tracks)

[Phân tích] Case Study: xoá vết (cover tracks)	16/03/2012 10:22:50 (+0700) \| #31 \| 258993

conmale
Administrator

Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline

.lht. wrote:

Ở dạng tấn công [từ bên trong] này, điểm yếu/mạnh dễ nhận thấy nhất là:

Yếu:
- Các hệ thống theo dõi sẽ dễ dàng thu thập được thông tin và hành động. Trong đó "hành động" dễ bị nhận diện và phát hiện nhất.

Mạnh:
- Ta dễ dàng nắm được cấu hình của hệ thống mạng đó để lên kế hoạch cover track.

Giả sử ai đó tạo 1 cái tunnel xuyên qua payload của HTTP đến cổng 443 của một hostname nào đó rất thông thường (my.chungkhoan.vn) chẳng hạn rồi cứ để đỏ cả ngày, không làm gì hết hoặc thỉnh thoảng để cho làm ra vẻ thông thưởng, chạy một cái script để nó gởi nhận vài trăm gói tin.

Sau một ngày hay vài ngày, người đó mới bắt đầu SSH ra đến my.chungkhoan.vn xuyên qua HTTP tunnel rồi từ đó mới nhảy sang một VPN hoặc một (hoặc nhiều) anymous proxy để thực hiện việc quay ngược vào đích (5.5.5.5) thì sao?

Nên nhớ, traffic đi xuyên qua từ máy con (5.5.5.6) --> tunnel out 1 (2.2.2.2) cực kỳ nhỏ nếu chỉ dùng command line bình thường. Trong khi tin tặc âm thầm làm chuyện này, công ty ấy có hàng ngàn đến hàng triệu packets ra vào thì lấy cái gì phân biệt được đặt tính của traffic đi từ máy con (5.5.5.6) --> tunnel out 1 (2.2.2.2)?

Sở dĩ em thấy rõ trong trường hợp này bởi vì đã có cái sườn sẵn. Trong tình huống bình thường của một ngày sinh hoạt bình thường, traffic đi từ máy con (5.5.5.6) --> tunnel out 1 (2.2.2.2 cho my.chungkhoan.vn) ở cổng 443 là traffic cực kỳ bình thường.

What bringing us together is stronger than what pulling us apart.

[Phân tích] Case Study: xoá vết (cover tracks)	16/03/2012 16:41:46 (+0700) \| #32 \| 259045

chube
Member

Joined: 22/10/2010 02:34:04
Bài gởi: 105
Đến từ: ░░▒▒▓▓██
Offline

- Riêng track thứ 2 - tấn công từ bên trong - anh conmale đưa ra tình huống như trên đã gợi ý phần nào điểm mạnh của dạng tấn công này :
+ Khi máy con (5.5.5.6) tấn công 1 cách trực tiếp đến máy đích (5.5.5.5) sẽ để lại nhiều dấu vết -như anh có đề cập ở trên- , vậy ta phải chuyển sang dạng gián tiếp, tức là qua nhiều công đoạn hơn.
Từ đây ta thấy điểm mạnh đầu tiên có thể xem xét ở đây chính là tối thiểu hoá lượng dấu vết có thể để lại trong quá trình tấn công. (Xét theo góc độ cover track anh cũng đã đề cập ở trên, firewall chỉ có thể thấy được lượng traffic đi từ máy con đến (2.2.2.2) và sau đó mất hút. Rõ ràng rất khó để có được chút manh mối.)

+ Khi máy con trong kịch bản anh đề ra sử dụng nhiều bước trung gian thì điểm mạnh kế tiếp hẳn nhiên là tăng độ anonymously,, vì bắt đầu từ giai đoạn tạo ssh trong tunnel http thì mọi thứ đã được mã hoá - dĩ nhiên là attacker có thể áp dụng khoá riêng cho việc kết nối 2 bên bao gồm máy con (5.5.5.6) và (2.2.2.2) để tăng độ an toàn thông qua việc xác thực - cho đến giai đoạn jump sang 1 server anonymous thì khi tấn công đích (5.5.5.5), mọi dấu vết thu lại (nếu có) đều gây bất lợi cho việc điều tra
(Xét theo góc độ cover track thì attacker cũng có thể áp dụng những kịch bản nhằm đánh lạc hướng sự điều tra , 1 ví dụ anh conmale đã nêu rõ bên trên.)

- Xét về điểm yếu có thể có trong cách tấn công trên thì với ý kiến cá nhân ( có thể còn thiếu sót ) em xin nêu ra 1 vài điểm như sau :

- Do hành động này là gián tiếp cho nên phải thông qua nhiều giai đoạn - nên nhớ rằng kịch bản đưa ra đã được đơn giản hoá do thực tế còn muôn vàn cách biến hoá khác nhau - cho nên điểm yếu đầu tiên đó là ta đã tăng sự phân tán trong việc xoá vết bởi vì sao ? Chỉ cần 1 động tác thừa hoặc 1 chi tiết bỏ sót thì mọi khả năng bị trace lại đều khả hữu. Vì vậy ở mỗi giai đoạn attacker cần có 1 kế hoạch cụ thể để dựa vào đó mà thực hiện việc cover tracks 1 cách hiệu quả.

- ( Đây là điểm em chưa đủ kinh nghiệm để có thể khẳng định! ) Do máy con được nêu ra ở đây (5.5.5.6) thuộc cùng mạng của máy đích (5.5.5.5) cho nên khi attacker thực hiện tấn công sẽ phải thực hiện ngay trên máy tại công ty, việc này có thể dẫn đến 1 vài điểm yếu khác , ta giả tỉ rằng máy con này của công ty bị giới hạn quyền hạn nên khi máy đích bị tấn công, nếu họ triển khai theo hướng điều tra nội bộ, ắt hẳn phải điều tra máy trong cùng mạng, vì vậy nhiều rủi ro tại công đoạn này cũng có thể xảy ra.

.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/

[Phân tích] Case Study: xoá vết (cover tracks)	19/03/2012 17:27:58 (+0700) \| #33 \| 259290

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline

Chủ đề này thật sự rất rộng không thể gộp lại trong một bài viết được nên mình sẽ gửi nhiều bài trong chủ đề này cho từng phạm vi nhỏ cần được xóa vết cùng cách xóa vết, để thuận tiện cho mọi người thảo luận thêm.

Xóa vết ở máy tính được dùng làm xuất phát điểm tấn công
Dựa trên flow mà anh conmale đã đưa ra thì mình chỉ xét máy con (1.1.1.1):

máy con (1.1.1.1) --> jump server 1 (2.2.2.2) ---> jump server 2 (3.3.3.3) --> firewall bảo vệ đích (4.4.4.4) --> đích (5.5.5.5).

Giải pháp:
Dùng một Linux Live CD như BackTrack với option "BackTrack Forensics - No Drive or Swap Mount" để đảm bảo không lưu lại vết/chứng cứ các hoạt động của bạn vào ổ cứng của máy con.

Ưu điểm: BackTrack Live CD sẽ sử dụng bộ nhớ RAM để lưu tất cả các file mà BackTrack dùng, khi tắt nguồn và khởi động lại máy, thông tin trên RAM của lần làm việc trước sẽ không còn để forensics cũng như không có dữ liệu hay chứng cứ nào được lưu vào ổ cứng của máy con.

Giải pháp này tránh được các nhược điểm nếu bạn sử dụng hệ điều hành Windows, các vết các hoạt động của bạn có thể được lưu lại ở nhiều nơi trên ổ cứng mà bạn khó lòng kiểm soát hết được, ví dụ như các file thumbs.db, pagefile.sys,..., các vùng ổ cứng được format.

Nếu cần lưu lại dữ liệu thì có thể dùng TrueCrypt để lưu dữ liệu trong một TrueCrypt Hidden Volume là 1 encrypted file container nằm trong một TrueCrypt Volume khác trên một ổ USB flash riêng, cả hai TrueCrypt Volume này đều được bảo vệ với những bộ password và keyfile khác nhau, password có độ dài ít nhất 20 ký tự để chống dạng tấn công brute force.

Cần đảm bảo là TrueCrypt Hidden Volume đươc dùng để lưu dữ liệu ở trên chỉ được mở trong môi trường mà bạn đảm bảo là sạch hoàn toàn, không có trojan (như khi dùng BackTrack Linux Live CD chẳng hạn), nếu không mọi thứ có thể bị đổ vỡ.

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Phân tích] Case Study: xoá vết (cover tracks)	21/03/2012 12:18:27 (+0700) \| #34 \| 259459

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Bài gởi: 315
Đến từ: /dev/null
Offline

bolzano_1989 wrote:

Giải pháp này tránh được các nhược điểm nếu bạn sử dụng hệ điều hành Windows, các vết các hoạt động của bạn có thể được lưu lại ở nhiều nơi trên ổ cứng mà bạn khó lòng kiểm soát hết được, ví dụ như các file thumbs.db, pagefile.sys,..., các vùng ổ cứng được format.

Nếu lỡ để bị lưu trên ổ cứng thì đọc thêm ở đây để học cách xoá.
Code:

/hvaonline/posts/list/35052.html#215288

[Phân tích] Case Study: xoá vết (cover tracks)	28/03/2012 16:03:21 (+0700) \| #35 \| 260134

chiro8x
Member

Joined: 26/09/2010 00:38:37
Bài gởi: 661
Đến từ: /home/chiro8x
Offline

Em sẽ không đào thêm vào những phần các bạn đã nói rõ ở trên, em chỉ xin mạn phép đào vào phần ISP. Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.

Kịch bản em đưa ra là các ISP này sử dụng hệ thống phân tích các truy vấn "khả nghi" tiến hành lọc và khoanh vùng đối tượng.

- Người dùng bình thường (normal user) sẽ sữ dụng các ứng dụng để tiếp cận với internet, sữ dụng các dịch vụ phổ biến, tiện ích phổ biến, truy cập tên miền phổ biến.

Yahoo
Facebook
Email
Web
etc...

- Người dùng cao cấp (superuser) sẽ sữ dụng các ứng dụng không phổ biến, có những hoạt động không phổ biến đối với nhóm người dùng kia.

nmap
tracert
whois
nslookup
brute froce tools
etc...

ISP sẽ xây dựng một ứng dụng lọc các gói tin đi qua network interface của họ và xây dựng một database cho từng đối tượng superuser có trong mạng của họ, khoanh vùng các superuser và xem xét hoạt động của superuser, cũng như thói quen.

Ngoài ra các ISP thực hiện MAN IN THE MIDDLE ATTACK đối với các đối tượng khả nghi.

Thông qua những hoạt động sau có thể giúp cho ISP nắm được hành động của supperuser:
- DNS Query: DNS Query sử dụng UDP, không encrypt dữ liệu gửi đi. Động thái này của ISP sẽ giúp ISP tìm hiểu thói quen của superuser. Chẳng hạn normal user rất ít khi vào HVA, hoặc các trang thông tin bảo mật khác, nhưng nhóm superuser lại quan tâm tới các thông tin ở đây hơn.
- Footprinting: Các hoạt động như nmap, nslookup...để lại những dấu vết đặc thù.
Chẳng hạn khi chúng ta dùng nmap xảy ra quá trình rất đặc thù là các gói SYN được tạo ra rất nhiều và gửi tới target nhưng không bao giờ trả lời các gói SYN/ACK bằng một gói ACK cả.

- Sử dụng ToR: sử dụng tor mặc dù an toàn thậm chí DNS Query cũng được mã hóa (em đã xác nhận bằng việc thử nghiệm truy vấn các trang HTTPS và bắt phân tích bằng WireShark), nhưng khi bạn sử dụng ToR quá nhiều sẽ tạo nên nhiều nghi vấn mơ hồ. Và họ có thể tiến hành phân tích các IP bạn kết nối thông qua SSL xem liệu nó có domain không, các cổng bạn kể nối tới có phải cổng mà normal user hay dùng không. (tất nhiên là một nút trong mạng ToR nơi cung cấp dịch vụ cho bạn không thể dặt port của nó là 21/25/80/88 rồi, các port mặc định này không rãnh, và bạn cũng không có quyền chọn lựa nút nào trong mạng ToR bạn sẽ đi qua). Như anh conmale phân tích việc kết nối vào mạng ToR gồm 2 quá trình là kết nối với mạng ToR nhận thông tin định tuyến sau đó tiến hành gửi dữ liệu vào mạng ToR thông qua các nút trung gian. Có lẽ ở bước đầu tiên bạn đã bị phân loại và đưa vào sổ theo dỏi.

- Ngoài ra chỉ cần can thiệp vào transport layer cũng có thể phân loại người dùng rồi.

Phương pháp xóa vết em đưa ra:

- Thay đổi thông tin: Đổi username và MAC address tương ứng cho 1 user khác của ISP. Tất nhiên cũng cần sẳn sàng để đổi ngược lại khi "có biến". (Việc này muốn làm cần phải tìm được 1 router cùng ver với mình, sau đó phải build lại frimware cho nó, cái này có SDK từng thằng).

- Sử dụng /etc/hosts giảm bớt các DSN query.

- Định nghĩa một phương thức bảo mật khác hoặc dùng một phương thức thường được sử dụng nhất để truy vấn và gửi dữ liệu ra bên ngoài HTTP/HTTPS/ICMP....(data field của ICMP có thể là nơi tốt đễ chứa dữ liệu đã encrypt chỉ một chút sáng tạo nhỏ sẽ giúp bạn có một proxy khá lí thú). Đến đây em thấy ý kiến của anh conmale thực sự hay:

conmale wrote:

Giả sử ai đó tạo 1 cái tunnel xuyên qua payload của HTTP đến cổng 443 của một hostname nào đó rất thông thường (my.chungkhoan.vn) chẳng hạn rồi cứ để đỏ cả ngày, không làm gì hết hoặc thỉnh thoảng để cho làm ra vẻ thông thưởng, chạy một cái script để nó gởi nhận vài trăm gói tin.

Sau một ngày hay vài ngày, người đó mới bắt đầu SSH ra đến my.chungkhoan.vn xuyên qua HTTP tunnel rồi từ đó mới nhảy sang một VPN hoặc một (hoặc nhiều) anymous proxy để thực hiện việc quay ngược vào đích (5.5.5.5) thì sao?

Ý kiến này gợi mở nhiều điều và đảm bảo gây khó khăn đủ cho ISP cũng nãn đôi phần.

P/s: em xin lỗi hôm bửa hỏi không đúng chổ.

while(1){}

[Phân tích] Case Study: xoá vết (cover tracks)	23/04/2012 10:33:06 (+0700) \| #36 \| 261898

hoahongtuoi
Member

Joined: 31/05/2009 21:19:45
Bài gởi: 1
Offline

chiro8x wrote:

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.

Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.

Chuyên mua bán hoa tuơi các loại.

[Phân tích] Case Study: xoá vết (cover tracks)	23/04/2012 11:17:57 (+0700) \| #37 \| 261899

miyumi2
Member

Joined: 11/03/2012 15:33:55
Bài gởi: 57
Offline

hoahongtuoi wrote:

chiro8x wrote:

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.

Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.

Làm thế nào nhà mạng thống kê được lưu lượng sử dụng internet (dù là cáp đồng, cáp quang hay usb 3G) để cuối tháng in hóa đơn tính tiền cho bạn? Bạn tự tìm hiểu, đó cũng sẽ là lời giải thích cho đề nghị của bạn.

[Phân tích] Case Study: xoá vết (cover tracks)	28/04/2012 11:15:35 (+0700) \| #38 \| 262144

phonglanbiec
Member

Joined: 03/07/2006 20:56:00
Bài gởi: 162
Offline

miyumi2 wrote:

hoahongtuoi wrote:

chiro8x wrote:

Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.

Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.

Làm thế nào nhà mạng thống kê được lưu lượng sử dụng internet (dù là cáp đồng, cáp quang hay usb 3G) để cuối tháng in hóa đơn tính tiền cho bạn? Bạn tự tìm hiểu, đó cũng sẽ là lời giải thích cho đề nghị của bạn.

Chẳng có ISP nào mà không log những thông tin đó lại. Nên nếu chỉ nói ISP VN thì hơi tội cho họ quá!

[Phân tích] Case Study: xoá vết (cover tracks)	21/06/2012 20:08:59 (+0700) \| #39 \| 265401

WANWULIN
Member

Joined: 13/03/2008 23:37:37
Bài gởi: 76
Đến từ: Tây Ninh
Offline

Đó là nhiệm vụ của ngta mà, với lại họ cũng chỉ thống kê lưu lượng thôi chứ log thì khó lắm, 1 lượng rất lớn

KW 1394
+84 1635 123 678

[Phân tích] Case Study: xoá vết (cover tracks)	22/06/2012 10:19:32 (+0700) \| #40 \| 265427

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Bài gởi: 315
Đến từ: /dev/null
Offline

Nhiều lúc phát hiện ra "Victim" lại đi "cover tracks" cho "attacker" smilie

[Phân tích] Case Study: xoá vết (cover tracks)	06/08/2012 12:18:19 (+0700) \| #41 \| 268115

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline

Làm sao phát hiện và xóa vết trong trường hợp malicious proxy và malicious TOR node? Bạn nào dùng TOR hay các loại proxy cần chú ý trường hợp sau:

Owning "bad" guys {and mafia} with Javascript botnets:
https://media.blackhat.com/bh-us-12/Briefings/Alonso/BH_US_12_Alonso_Owning_Bad_Guys_Slides.pdf
http://media.blackhat.com/bh-us-12/Briefings/Alonso/BH_US_12_Alonso_Owning_Bad_Guys_WP.pdf

[Phân tích] Case Study: xoá vết (cover tracks)	29/04/2013 00:06:19 (+0700) \| #42 \| 275316

cuongps
Member

Joined: 25/09/2010 05:30:23
Bài gởi: 9
Offline

.Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình. => Cao thủ.

[Phân tích] Case Study: xoá vết (cover tracks)	02/05/2013 09:05:09 (+0700) \| #43 \| 275368

Ky0
Moderator

Joined: 16/08/2009 23:09:08
Bài gởi: 532
Offline

cuongps wrote:

.Máy luôn sẵn sàng có 1 chương trình làm backdoor, 1 log ảo nhằm nếu bị phát hiện, thì ta vẫn có thể chứng minh mình là 1 nạn nhân trong 1 quá trình. => Cao thủ.

Nên đưa ra các dẫn chứng và phân tích cụ thể cho ý kiến của mình! Case Studies không phải là nơi "chém gió" như các mục khác.

Trân trọng!

- Ky0 -

UITNetwork.com
Let's Connect

Chuyển đến:

Các thành viên đang hiện diện ở đây
1 Khách