Hãy tìm hiểu các khóa học blue team hay incident response tại đây để nâng cao trình độ trong lĩnh vực đối phó sự cố an toàn thông tin.

Mục đích: Quản trị viên hệ thống thường ở tuyến đầu trong bảo mật máy tính. Hướng dẫn này nhằm hỗ trợ Quản trị viên hệ thống trong việc tìm kiếm dấu hiệu của một hệ thống bị xâm phạm.

Cách sử dụng Bảng hướng dẫn này: Định kỳ (hàng ngày, hàng tuần, hoặc mỗi khi bạn đăng nhập vào hệ thống bạn quản lý), hãy chạy qua các bước nhanh này để tìm kiếm hành vi bất thường có thể do xâm nhập máy tính gây ra. Mỗi lệnh này chạy cục bộ trên hệ thống.

Bảng hướng dẫn này được chia thành các phần sau:

• Quy trình và Dịch vụ Bất thường
• Tệp và Khóa Đăng ký Bất thường
• Sử dụng Mạng Bất thường
• Tác vụ Lập lịch Bất thường
• Tài khoản Bất thường
• Mục nhập Nhật ký Bất thường
• Các Mục Bất thường Khác
• Công cụ Hỗ trợ Bổ sung

Quy trình và Dịch vụ Bất thường: Tìm kiếm các quy trình bất thường/không mong đợi, và tập trung vào các quy trình có Tên người dùng “SYSTEM” hoặc “Administrator” (hoặc người dùng trong nhóm Quản trị viên). Bạn cần quen thuộc với các quy trình và dịch vụ bình thường và tìm kiếm các sai lệch.

Sử dụng giao diện đồ họa, chạy Task Manager: C:> taskmgr.exe

Sử dụng dòng lệnh: C:> tasklist C:> wmic process list full

Cũng tìm kiếm các dịch vụ bất thường. Sử dụng giao diện đồ họa: C:> services.msc

Sử dụng dòng lệnh: C:> net start C:> sc query

Để có danh sách các dịch vụ liên kết với mỗi quy trình: C:> tasklist /svc

Ví dụ minh họa: Giả sử bạn phát hiện một quy trình có tên lạ “malware.exe” đang chạy với quyền SYSTEM. Đây có thể là dấu hiệu của phần mềm độc hại đã xâm nhập hệ thống.

Sử dụng Mạng Bất thường:

Xem các chia sẻ tệp và đảm bảo mỗi chia sẻ đều có mục đích kinh doanh xác định: C:> net view \127.0.0.1

Liệt kê các phiên SMB mở với máy này: C:> net session

Liệt kê các phiên SMB mà máy này đã mở với các hệ thống khác: C:> net use

Xem hoạt động NetBIOS qua TCP/IP: C:> nbtstat -S

Tìm các cổng TCP và UDP đang lắng nghe bất thường: C:> netstat -na

Để liên tục cập nhật và cuộn đầu ra của lệnh này sau mỗi 5 giây: C:> netstat -na 5

Cờ -o hiển thị ID quy trình sở hữu: C:> netstat -nao 5

Cờ -b hiển thị tên thực thi và các DLL đã tải cho kết nối mạng: C:> netstat -naob 5

Một lần nữa, bạn cần hiểu việc sử dụng cổng bình thường cho hệ thống và tìm kiếm các sai lệch.

Cũng kiểm tra cấu hình Tường lửa Windows: C:> netsh advfirewall firewall show rule name=all

Ví dụ minh họa: Nếu bạn thấy một kết nối đáng ngờ đến một địa chỉ IP không xác định trên cổng 4444, đây có thể là dấu hiệu của một backdoor đang hoạt động trên hệ thống.

Tệp và Khóa Đăng ký Bất thường:

Kiểm tra việc sử dụng không gian tệp để tìm kiếm sự giảm đột ngột trong không gian trống, sử dụng giao diện đồ họa (nhấp chuột phải vào phân vùng), hoặc gõ: C:> dir c:\

Tìm kiếm các chương trình lạ trong các khóa đăng ký khởi động trong cả HKLM & HKCU: Software\Microsoft\Windows\CurrentVersion\Run Software\Microsoft\Windows\CurrentVersion\Runonce Software\Microsoft\Windows\CurrentVersion\RunonceEx

Sử dụng giao diện đồ họa: C:> regedit

Sử dụng dòng lệnh: C:> reg query <reg key>

Ví dụ minh họa: Nếu bạn phát hiện một khóa đăng ký mới trong RunOnce có tên “suspicious.exe”, đây có thể là một chỉ báo của phần mềm độc hại đang cố gắng duy trì sau khi khởi động lại.

Tác vụ Lập lịch Bất thường:

Tìm kiếm các tác vụ lập lịch bất thường, đặc biệt là những tác vụ chạy dưới quyền người dùng trong nhóm Quản trị viên, dưới quyền SYSTEM, hoặc với tên người dùng trống.

Sử dụng giao diện đồ họa, chạy Task Scheduler: Start > Programs > Accessories > System Tools > Scheduled Tasks

Sử dụng dòng lệnh: C:> schtasks

Kiểm tra các mục tự động khởi động khác để tìm các mục không mong đợi, nhớ kiểm tra các thư mục và khóa đăng ký tự động khởi động của người dùng.

Sử dụng giao diện đồ họa, chạy msconfig và xem tab Startup: Start > Run, msconfig.exe

Sử dụng dòng lệnh: C:> wmic startup list full

Ví dụ minh họa: Nếu bạn phát hiện một tác vụ lập lịch có tên “DataExfiltration” chạy mỗi đêm lúc 3 giờ sáng, đây có thể là dấu hiệu của một kẻ tấn công đang cố gắng trích xuất dữ liệu từ hệ thống của bạn.

Tài khoản Bất thường:

Tìm kiếm các tài khoản mới, không mong đợi trong nhóm Quản trị viên:

C:> lusrmgr.msc Nhấp vào Groups, Nhấp đúp vào Administrators, sau đó kiểm tra thành viên của nhóm này.

Điều này cũng có thể được thực hiện tại dòng lệnh: C:> net user C:> net localgroup administrators

Ví dụ minh họa: Nếu bạn phát hiện một tài khoản có tên “backdoor_admin” trong nhóm Administrators, đây là một dấu hiệu rõ ràng của xâm nhập và cần được điều tra ngay lập tức.

Mục nhập Nhật ký Bất thường:

Kiểm tra nhật ký của bạn để tìm các sự kiện đáng ngờ, chẳng hạn như:

• “Event log service was stopped.”
• “Windows File Protection is not active on this system.”
• “The protected System file [file name] was not restored to its original, valid version because the Windows File Protection…”
• “The MS Telnet Service has started successfully.”
• Tìm kiếm số lượng lớn các lần đăng nhập không thành công hoặc tài khoản bị khóa.

Để thực hiện việc này bằng giao diện đồ họa, chạy trình xem sự kiện Windows: C:> eventvwr.msc

Ví dụ minh họa: Nếu bạn thấy hàng trăm lần đăng nhập không thành công từ một địa chỉ IP duy nhất trong vòng vài phút, đây có thể là dấu hiệu của một cuộc tấn công brute-force đang diễn ra.

Các Mục Bất thường Khác:

Tìm kiếm hiệu suất bất thường chậm chạp và một quy trình bất thường chiếm dụng CPU: Task Manager > Process và Performance tabs Hoặc, chạy: C:> taskmgr.exe

Tìm kiếm các sự cố hệ thống bất thường, vượt quá mức bình thường cho hệ thống đã cho.

Ví dụ minh họa: Nếu bạn thấy một quy trình có tên “cryptominer.exe” đang sử dụng 100% CPU, đây có thể là dấu hiệu của phần mềm đào tiền điện tử độc hại đã xâm nhập hệ thống của bạn.

Công cụ Hỗ trợ Bổ sung:

Các công cụ sau đây không được tích hợp sẵn trong hệ điều hành Windows nhưng có thể được sử dụng để phân tích các vấn đề bảo mật chi tiết hơn. Mỗi công cụ có sẵn để tải xuống miễn phí tại trang web được liệt kê.

KHUYẾN CÁO: ITPRO không chịu trách nhiệm tạo ra, phân phối, bảo hành hoặc hỗ trợ bất kỳ công cụ nào sau đây.

Từ Microsoft Sysinternals (https://technet.microsoft.com/en-us/sysinternals):

• Psexec: Cho phép một máy Windows từ xa chạy lệnh.
• Process Monitor: Phân tích hoạt động của quy trình chi tiết trong thời gian thực.
• Sysmon: Ghi lại thông tin chi tiết về nhiều hoạt động Windows, bao gồm quy trình, dịch vụ, kết nối mạng và nhiều hơn nữa.

Từ http://processhacker.sourceforge.net:

• Process Hacker: Đi sâu vào bên trong các quy trình để phân tích hành vi và tương tác của chúng với phần còn lại của hệ thống Windows.

Từ http://www.dban.org:

• Darik’s Boot and Nuke: Một công cụ xóa ổ đĩa ghi đè lên các tệp nhiều lần để đảm bảo chúng không thể được khôi phục.

Trung tâm An ninh Internet đã phát hành các mẫu bảo mật Windows khác nhau và các công cụ chấm điểm bảo mật miễn phí tại www.cisecurity.org.

Nếu bạn phát hiện hành vi bất thường: ĐỪNG HOẢNG LOẠN! Hệ thống của bạn có thể đã hoặc chưa bị tấn công. Vui lòng liên hệ ngay với Đội Xử lý Sự cố để báo cáo các hoạt động và nhận thêm hỗ trợ.

Ví dụ minh họa: Giả sử bạn đang sử dụng Process Monitor và phát hiện một quy trình đang liên tục đọc và ghi vào các tệp nhạy cảm trong thư mục C:\Users. Đây có thể là dấu hiệu của phần mềm độc hại đang cố gắng trích xuất thông tin người dùng.

Đây là phần cuối của bản dịch. Tài liệu này cung cấp một hướng dẫn toàn diện về cách phát hiện các dấu hiệu xâm nhập trên hệ thống Windows, bao gồm các lệnh cụ thể để kiểm tra và các công cụ bổ sung để phân tích sâu hơn. Nó nhấn mạnh tầm quan trọng của việc hiểu rõ trạng thái bình thường của hệ thống để có thể phát hiện các bất thường.

Tình huống tổng quát “tưởng tượng” cho ITPRO EDU:

ITPRO EDU là một công ty bảo mật mạng hàng đầu tại Việt Nam. Một ngày, họ nhận được cuộc gọi khẩn cấp từ một ngân hàng lớn, báo cáo rằng hệ thống của họ đang hoạt động chậm bất thường và có dấu hiệu của việc truy cập trái phép.

Nhiệm vụ của đội ngũ ITPRO EDU là nhanh chóng điều tra và xác định xem liệu có xâm nhập hay không, đồng thời đưa ra các biện pháp khắc phục.

Các bước ITPRO EDU thực hiện:

1. Kiểm tra quy trình và dịch vụ bất thường:
   • Sử dụng Task Manager và các lệnh như tasklist để tìm các quy trình lạ.
   • Họ phát hiện một quy trình có tên “svchost123.exe” đang chạy với quyền SYSTEM.
2. Kiểm tra sử dụng mạng bất thường:
   • Sử dụng lệnh netstat -nao để xem các kết nối mạng.
   • Phát hiện một kết nối đáng ngờ đến một địa chỉ IP ở nước ngoài trên cổng 4444.
3. Kiểm tra tệp và khóa đăng ký:
   • Sử dụng regedit để kiểm tra các khóa đăng ký khởi động.
   • Tìm thấy một khóa mới trong HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run có tên “BackdoorService”.
4. Kiểm tra tác vụ lập lịch:
   • Sử dụng Task Scheduler để tìm các tác vụ bất thường.
   • Phát hiện một tác vụ có tên “DataExfiltration” chạy mỗi đêm lúc 2 giờ sáng.
5. Kiểm tra tài khoản:
   • Sử dụng lệnh net user để liệt kê tài khoản.
   • Phát hiện một tài khoản mới có tên “admin_support” trong nhóm Administrators.
6. Kiểm tra nhật ký:
   • Sử dụng Event Viewer để xem các sự kiện đáng ngờ.
   • Tìm thấy nhiều lần đăng nhập thất bại từ một địa chỉ IP nước ngoài.
7. Sử dụng công cụ bổ sung:
   • Triển khai Process Monitor để phân tích sâu hơn hoạt động của quy trình đáng ngờ.
   • Sử dụng Sysmon để ghi lại chi tiết về các hoạt động hệ thống.

Kết luận: ITPRO EDU xác định rằng hệ thống ngân hàng đã bị xâm nhập. Họ nhanh chóng cô lập hệ thống bị ảnh hưởng, xóa phần mềm độc hại, đóng các backdoor, và khôi phục hệ thống từ bản sao lưu sạch. Sau đó, họ tư vấn cho ngân hàng về cách tăng cường bảo mật để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Tình huống này minh họa cách ITPRO EDU áp dụng các kỹ năng và công cụ được mô tả trong tài liệu để phát hiện và ứng phó với một cuộc xâm nhập thực tế.

https://itpro.edu.vn/cac-khoa-hoc-an-toan-thong-tin-khoa-hoc-may-tinh-quoc-te/