vietbao

Xâm nhập thế giới hacker (kỳ 2): Truy tìm

Bấm ngay Subscribe / Đăng Ký xem video hay mới nhất >>

Xam nhap the gioi hacker ky 2 Truy tim
Một sáng nọ, giám đốc công ty A. nhận được một email có tiêu đề đẫm mùi giang hồ “Công ty A - Sống hay Chết?” từ địa chỉ email của… GĐ phụ trách kỹ thuật với nội dung thông báo rằng toàn bộ hệ thống mạng của công ty đã bị kiểm soát.

Chuyện không phải đùa khi kèm theo đó là một file chứa cấu trúc thư mục của một số máy chủ phục vụ web đặt tại văn phòng chính cùng với yêu cầu một số tiền lớn để giữ im lặng và không khai thác dữ liệu về khách hàng của công ty. Nhiệm vụ của tôi là trả lời cho được các câu hỏi: Ai đã làm gì? Khi nào và như thế nào?

Công ty A. là một công ty lớn có chi nhánh trên toàn thế giới với hàng ngàn nhân viên. Chính sách bảo mật của công ty A. rất tốt và được cập nhật đều đặn hàng tháng. Các nhân viên IT của công ty A cũng có nhiều kinh nghiệm trong việc xử lý các sự cố trên hệ thống mạng.

Để phục vụ cho việc truy cập dữ liệu cho toàn bộ các chi nhánh trên khắp thế giới, văn phòng chính quyết định sử dụng hệ thống VPN (1) để dễ quản lý và có các chính sách bảo mật hợp lý.

Một buổi sáng thứ hai đầu tuần như mọi ngày đầu tuần khác, P. - tổng giám đốc của công ty A., ngồi đọc các email từ đối tác, cấp dưới, thông tin phản hồi của khách hàng … Nhưng hôm nay, TGĐ P. bị thu hút bởi một email có tiêu đề đẫm mùi giang hồ “Công ty A - Sống hay Chết?” từ địa chỉ email của giám đốc phụ trách kỹ thuật với nội dung thông báo rằng toàn bộ hệ thống mạng của công ty đã bị kiểm soát.

Đáng ngạc nhiên hơn là email gửi kèm một file chứa cấu trúc thư mục của một số máy chủ phục vụ web đặt tại văn phòng chính cùng với yêu cầu một số tiền lớn để giữ im lặng và không khai thác dữ liệu về khách hàng của công ty. Chẳng những vậy, kẻ tống tiền còn đồng thời kèm theo một lời cảnh cáo rằng không nên đụng gì tới các máy chủ đã bị xâm nhập nếu không sẽ phải trả giá đắt!

“Một chuyện đừa ư? Thế này thì không thể nào đùa rồi!”, TGĐ P. tự nhủ. Bốc điện thoại, điện ngay cho GĐ kỹ thuật M. và P. nhanh chóng được xác nhận rằng M. không hề gửi một email nào như thế. Bộ phận IT của công ty nhanh chóng bắt tay vào việc và đưa ra giải pháp cho tình huống. Họ rút cable của máy chủ tình nghi bị xâm nhập ra khỏi hệ thống mạng nhưng lập tức, màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen! Nhân viên bộ phận IT hốt hoảng tắt máy và gọi điện cho tôi.

Chứng cứ

Ngay chiều hôm đó, tôi có mặt tại “hiện trường” xảy ra “vụ án”. “Tổ chức khá quy mô và bài bản”, tôi tự nhủ sau khi tiếp cận với hệ thống mạng của công ty A. Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN, một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF. Tôi lập tức đặt ra 2 giả thuyết: 1. Hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty; 2). HF có lỗi và bị khai thác lỗi đó.

Theo cảm tính và kinh nghiệm làm việc, tôi kiểm tra ngay phần HF để có thể loại trừ bớt các trường hợp ít có khả năng xảy ra. Đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Có thể loại bỏ trường hợp bị tấn công trực tiếp từ bên ngoài? Vẫn chưa có gì chắc chắn cả!

Quay lại các máy chủ đã bị “chết”, tôi ngán ngẩm khi biết rằng toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Cũng may là dữ liệu khách hàng của các máy này đã được sao lưu trên ổ băng từ. Như vậy là hiện trường xảy ra vụ án đã bị phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới. Điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm. Tôi kết thúc một ngày mệt mỏi với hàng trăm dòng syslog của HF và 3 cái máy chủ đã bị xóa sạch ổ cứng.

Lần theo dấu vết

Ngày hôm sau, sau đợt tổng kiểm tra HF, tôi quay lại với manh mối duy nhất lúc đó là email đã được gửi tới tổng giám đốc của công ty. Phân tích email header và log của mail server, tôi nhận ra rằng email này được gửi từ IP 192.168.4.36. Như vậy giả thuyết hệ thống bị tấn công từ bên trong có vẻ khả thi và rõ ràng nhất nhưng công ty có cả một hệ thống mạng lớn với rất nhiều trạm làm việc khắp nơi trên thế giới. Tôi yêu cầu bộ phận IT xác định IP này thuộc chi nhánh nào. Các thông tin về IP 192.168.4.36 được nhanh chóng thu thập.

C:>nslookup

Default Server : ns1.company.com

Address : 172.160.7.41

>192.168.4.36

Server : ns1.company.com

Address : 172.160.7.41

Name : 192-168-4-36-TS.sales-vpn2.e-asia.company.com

Address : 192.168.4.36

Những thông tin này khá hữu ích. Nhờ nó mà tôi biết được email này được gửi từ chi nhánh Y và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên K. - một nhân viên làm việc lâu năm trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional. Theo yêu cầu của ban quản lý, ổ cứng của máy tính này nhanh chóng được tháo ra và chuyển tới văn phòng chính.

Hai ngày sau. Ổ cứng của máy tính từ chi nhánh Y đã được chuyển tới. Tôi gắn nó vào một máy tính độc lập với mạng của công ty A. và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.

Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi tôi kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, NVK (vốn là tài khoản của nhân viên K.) tôi đã tìm thấy một tài khoản khác đó là tài khoản 0wn. Tôi điện cho K. và được anh ta xác nhận rằng không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản 0wn là một account được tạo ra để lần sau đăng nhập dễ dàng hơn chăng?

Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, tôi tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống). Phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s tôi nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.

Uhm, system32.exe này là cái gì vậy nhỉ? Tôi quyết định chạy thử xem nó là cái gì. Sau một hồi loay hoay với đủ các khóa chuyển, tôi xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.

Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, tôi chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.

Wow, kiểm tra tiếp thử xem sao! Tôi sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:> quen thuộc.

Một bức tranh sơ lược nhanh chóng được phác họa trong đầu tôi: hacker tấn công vào máy trạm của nhân viên K. để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”. Có vẻ hợp logic nhưng vẫn có vài điểm chưa thuyết phục. Đó là gì nhỉ? Tôi mệt mỏi thiếp đi và đành khám phá câu trả lời vào ngày mai.

THANH TRỰC

Tin, bài liên quan:
Kỳ 1: Cuộc đột nhập lúc nửa đêm
Kỳ tới: Lộ mặt

__________________________

(1) VPN : Virtual Private Network : mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.

(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.

(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ bị đánh lừa. Các hacker cao thủ có thể giả mạo IP để thực hiện các kết nối bất hợp pháp từ IP ko phải nằm trong Trusted Zone.

Việt Báo
Comment :Xâm nhập thế giới hacker (kỳ 2): Truy tìm
Ý kiến bạn đọc
Viết phản hồi
Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Xâm nhập thế giới hacker (kỳ 2): Truy tìm bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Xam nhap the gioi hacker ky 2 Truy tim ở dạng tiếng Việt không dấu. Hoặc Xâm nhập thế giới hacker (kỳ 2): Truy tìm ở dạng có dấu. Bài viết trong chuyên đề của chuyên mục Công Nghệ
Hackers Infiltrate the World (Part 2): Search
company directors, the company's network, from address, email address, server, enter and inspect, the world, entire computer, hf, hacker, to, service
One morning, company director A. receive an email titled wet smell Wanderer "Company A - Living or Dead?" from email address ... Technical Director responsible for the message that the entire network of the company was under the control ..
Cách bảo vệ tài khoản iCloud để tránh bị kẻ xấu lợi dụng

Với người dùng iPhone thì tài khoản iCloud rất quan trọng, nó không chỉ chứa dữ liệu cá nhân mà còn là công cụ để tìm iPhone bị mất hay khóa máy từ xa. Một trường hợp nữa là có những kẻ xấu lợi dụng sơ hở của các cửa hàng để khóa iCloud iPhone, iPad gây rắc rối không nhỏ. Tình trạng bị "chơi khăm" như vậy trong thực tế không hề hiếm nên trong bài viết này mì

7 ứng dụng không nên bỏ lỡ trên iPhone
7 ứng dụng không nên bỏ lỡ trên iPhone

Rất nhiều ứng dụng thú vị mà có thể bạn bỏ lỡ vì chưa biết đến. Bài viết này sẽ giới thiệu tới các bạn một số ứng dụng được yêu thích trong lĩnh vực hỗ trợ học tiếng Anh, chia sẻ file, trò chơi cũng như quản lý các chuyến du lịch.

  • Thoi su 24h267 An mang dau long tu viec ly hon gia hoa that
    Thời sự 24h(26/7): Án mạng đau lòng từ việc ly hôn giả hóa thật

    Sự thật sốc về cô gái “hở bạo” tiếp thị Bệnh viện thẩm mỹ Kangnam; Mẹ nạn nhân bị cưa chân phản bác kết luận của Sở Y tế; Vụ trao nhầm con: Nước mắt vẫn chưa ngừng rơi!; Người đàn ông bỏ xe bánh mỳ, nhảy sông Đà vì bị truy sát?; Bệnh nhân phải đóng trước 220 nghìn mới được đi vệ sinh ở bệnh viện

  • Thoi su 24h257 Can bo hon nguc nang Biang
    Thời sự 24h(25/7): Cán bộ hôn ngực nàng Biang

    Kẻ "gạ tình" người mẹ liên quan gì đến vụ cháu bé bị mất tích ở Long Biên?; Vụ xả thải: Bộ TNMT thông báo nóng với Formosa; Ông bố đập sữa trước cửa siêu thị: "Đã mua chịu lại còn kiếm chuyện"; Cán bộ hôn ngực nàng Biang: Xử lý đúng quy trình; Ngày con dâu bỏ đi, bố mẹ chồng khóc cạn nước mắt thương 5 cháu nhỏ

  • Thoi su 24h217 Cong ly nao cho nguoi vo mang noi dau tot cung
    Thời sự 24h(21/7): Công lý nào cho người vợ mang nỗi đau tột cùng

    Đình chỉ hay khen thưởng CSGT "giơ chân" cản người phạm luật?; Xót xa những vụ tự tử vì bệnh tật và tận cùng nghèo khó; "Rác thải Formosa tràn lan, trách nhiệm chính thuộc xã, phường"; Vụ cô gái bị chồng thiêu: Công lý nào cho người vợ đang mang nỗi đau tột cùng?; Mổ nhầm chân: chuyên môn yếu kém hay tắc trách?

  • Thoi su 24h197 Dung sung bat tre em cuop taxi
    Thời sự 24h(19/7): Dùng súng bắt trẻ em, cướp taxi

    Phía sau bản án tử của Vũ Văn Tiến: Con dại một lần, mẹ đau một đời; Hà Nội sẽ trồng cây phượng hoa màu tím, nở quanh năm; Mưa xô ngã cầu bêtông tiền tỷ: Quy trình trách nhiệm; Vụ chất thải Formosa: Doanh nghiệp nói khác Sở TNMT?; Chiếu laser Nội Bài: Phát hiện thủ phạm nhưng khó xử lý

  • Thoi su 24h187 Lo duong day gai goi chan dong showbiz
    Thời sự 24h(18/7): Lộ đường dây gái gọi chấn động showbiz

    Thực phẩm bẩn: Nghịch cảnh con người đang âm thầm giết hại nhau; Vụ chất thải Formosa: Thêm nhiều mâu thuẫn giật mình; Ân hận của người mẹ mỗi đứa con sinh ra của... một ông bố khác nhau; Bác sĩ ra chợ quyên tiền cứu bệnh nhi: Đời xấu xa sao cây táo nở hoa?; Cá hồ chết bốc mùi thối, cả khu phố bịt khẩu trang suốt ngày

  • Thoi su 24h147 Bi ban than cua bo hiep dam den mang thai
    Thời sự 24h(14/7): Bị bạn thân của bố hiếp dâm đến mang thai

    Formosa tự đổi công nghệ luyện cốc: Hành vi tội ác; Uất ức lời kể 5 ngư dân bị tàu TQ đâm chìm tàu ở Hoàng Sa; Nghi án mẹ ép con gái uống thuốc trừ sâu để cùng chết; Bàng hoàng phát hiện suốt 3 năm nuôi nhầm con của 1 gia đình ở cách nhà mình 5 km; Tiếp viên ở quán karaoke ăn mặc mát mẻ, ngồi trên đùi khách rót bia

  • Thoi su 24h137 Chong thieu song vo vi bi can nhan
    Thời sự 24h(13/7): Chồng thiêu sống vợ vì bị cằn nhằn

    Thực hư chuyện 'bố đi hát karaoke gặp đúng con gái làm dịch vụ'; "Bảo kê" xe cấp cứu: Bộ trưởng Y tế vào cuộc quá chậm?; Vụ chôn rác thải Formosa trong trang trại của Giám đốc: Có sai luật?; Tạm giữ nhóm "quái xế" cùng 20 chân dài mặc mát mẻ phục vụ karaoke; 10 năm, gần 60 ngàn tỷ đồng tham nhũng nhưng chỉ thu hồi được 4,6 ngàn tỷ

  • Thoi su 24h127 Vo bop cua quy khien chong chet tuc tuoi
    Thời sự 24h(12/7): Vợ bóp của quý khiến chồng chết tức tưởi

    Phạt 100 triệu phòng khám "mạo danh" Sở Y tế HN "chặt chém" khách; Xe cứu thương ngoại tỉnh phải “mua” bệnh nhân ở Hà Nội?; Formosa lén lút chôn chất thải ở trang trại của Giám đốc Công ty Môi trường; Gây bức xúc lớn, các dự án giao thông BOT được Quốc hội đưa vào giám sát; Vụ gần 400 GV ở Thanh Hóa mất việc: 50-100 triệu đồng chạy làm GV hợp đồng?

  • Thoi su 24h117 Co gai tre xinh dep tu vong ben ve duong
    Thời sự 24h(11/7): Cô gái trẻ xinh đẹp tử vong bên vệ đường

    Sự cố môi trường Formosa: Xác định hàm lượng độc tố dưới đáy biển; Thuê giúp việc 6 triệu/tháng, chủ nhà phẫn nộ vì em bé bị véo tai, ăn tát; Nhà máy làm chết cá đầu nguồn sông Đà không có khu xử lý nước thải; Từ vụ chặn xe cấp cứu: Bảo vệ bệnh viện hay lực lượng..."bảo kê"?; Dọa đuổi ông lão xuống xe, nhân viên xe buýt bị đình chỉ việc

  • Nghin le chuyen tuan qua 1707 23072016
    Nghìn lẻ chuyện tuần qua 17/07 - 23/07/2016

    Đau chân trái bác sĩ mổ nhầm chân phải; CSGT giơ chân, người đi xe máy lao dải phân cách; Cán bộ giao thông trách mắng người dân vì tự ý vá đường; Bé gái 4 tuổi mất tích bất ngờ, gia đình kêu gọi giúp đỡ ... là những tin tức xã hội nổi bật được dư luận quan tâm trong tuần qua.

  • Su kien quoc te noi bat 177237
    Sự kiện quốc tế nổi bật (17/7-23/7)

    Khủng bố trung tâm mua sắm ở Munich làm 10 người thiệt mạng; Samsung xin lỗi vì những clip mua dâm của chủ tịch Lee; Trump chính thức nhận đề cử tổng thống; Trung Quốc ngang ngược tuyên bố tiếp tục cải tạo tại Biển Đông là những tin chính trong tuần qua.

  • Ban tin Suc khoe tuan qua 177 237
    Bản tin Sức khỏe tuần qua (17/7- 23/7)

    Bị thương chân trái, mổ nhầm chân phải: BV Việt Đức nói gì; Hai bé sơ sinh dính liền ở Hà Giang đã mất; Siêu âm thai bình thường, sinh con bị dị tật: Bài học nào cho bố mẹ; Vợ thờ ơ với 'chuyện ấy', lí do là ở chồng;... là những thông tin Sức khỏe được quan tâm nhất tuần qua.

  • Tong Hop Doi Song Tuan Qua 170724072016
    Tổng Hợp Đời Sống Tuần Qua (17/07-24/07/2016)

    Hàng loạt những sản phẩm kém chất lượng, ảnh hưởng nghiêm trọng đến sức khỏe người tiêu dùng được phát hiện . Bài toán chi tiêu gia đình, cùng những câu chuyện gia đình, vụ đánh ghen ầm ĩ làm ta giật mình trước lối sống ngày nay, là các thông tin nổi bật nhất tuần.

  • Toan canh kinh te tuan 1707 23072016
    Toàn cảnh kinh tế tuần (17/07 - 23/07/2016)

    'Đại án' 9000 tỷ đồng tại Ngân hàng Xây dựng, lương của các sếp tập đoàn gần nửa tỷ đồng, giá xăng điều chỉnh giảm mạnh, vấn nạn cà phể bẩn, tăng trưởng tín dụng tiếp tục có con số mới ... Cùng với những thông tin về tài chính- ngân hàng, bất động sản, thị trường tiêu dùng..là những tin tức - sự kiện kinh tế nổi bật tuầ

  • Nghin le chuyen tuan qua 1007 16072016
    Nghìn lẻ chuyện tuần qua 10/07 - 16/07/2016

    Formosa chôn 100 tấn chất thải tại Hà Tĩnh; Ngư dân bàng hoàng kể tàu TQ tông chìm tàu cá ở Hoàng Sa; Cô giáo Sài Gòn bị tố tán tỉnh nam sinh lớp 8; 3 năm nuôi nhầm con của 1 gia đình ở cách nhà mình 5 km ... là những tin tức xã hội nổi bật được dư luận quan tâm trong tuần qua.

  • Su kien quoc te noi bat 107167
    Sự kiện quốc tế nổi bật (10/7-16/7)

    Toà PCA ra phán quyết Trung Quốc không có chủ quyền lịch sử ở Biển Đông; Tân Thủ tướng Anh Theresa May công bố danh sách nội các mới; Khủng bố đẫm máu đúng Quốc khánh Pháp; Đảo chính thất bại ở Thổ Nhĩ Kỳ... là những tin chính trong tuần qua.

  • Ban tin Suc khoe tuan qua 107 167
    Bản tin Sức khỏe tuần qua (10/7- 16/7)

    Ổ bệnh bạch hầu đang bùng phát mạnh tại Bình Phước; Bác sĩ ra chợ xin từ thiện cứu 2 bé song sinh dính liền; Cảm động câu chuyện về sản phụ ung thư phổi quyết giữ thai nhi; Mách bạn bài thuốc điều trị sẩy thai từ hàng trăm năm trước;... là những thông tin Sức khỏe được quan tâm nhất tuần qua.

  • Toan canh kinh te tuan 1007 16072016
    Toàn cảnh kinh tế tuần (10/07- 16/07/2016)

    Lại nóng chuyện huy động 500 tấn vàng trong dâm, lãi suất tiêu dùng lên tới 70-80%/năm, EVN chiếm hơn 1/3 tổng số nợ mà Chính phủ phải bảo lãnh, nhiều ngân hàng báo lãi khủng trong quý II, kiểm tra xử phạt hàng loạt công ty đa cấp... Cùng với những thông tin về tài chính- ngân hàng, bất động sản, thị trường tiêu dùng..là nhữ