WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Inside Cyber Warfare - Chương IX: Điều tra truy vết (Phần cuối)
Team Cymru và báo cáo Darknet
“Ai đang theo dõi cơ sở hạ tầng SCADA của bạn?” một bài tóm tắt mà Team Cymru xuất bản vào đầu năm 2009, xem xét các hoạt động scan mà họ phát hiện trong một vùng không gian mạng, nơi lẽ ra không nên có các hoạt động scan như vậy. (Ví dụ, không có các dịch vụ hoạt động hoặc các máy chủ ở đó) và do đó, các hoạt động hoặc lưu lượng truy cập được coi là nguy hại ở một mức độ nào đó. Họ gọi vùng này là một “mạng tối” (Darknet). Theo giải thích trong bài tóm tắt, “Lưu lượng truy cập vào một Darknet thường xuất phát từ các hoạt động scan được tạo bởi các công cụ hoặc mã độc tự động, tìm kiếm các cổng dễ bị tấn công với mục đích bất chính”. Những cổng này thuộc về Hệ thống giám sát và thu thập dữ liệu (SCADA).
Các hệ thống SCADA thường được sử dụng bởi các công ty tiện ích, nhà máy điện hạt nhân, hệ thống xử lý nước, hệ thống thông tin liên lạc và nhiều quy trình công nghiệp khác. Mặc dù có các biện pháp bảo vệ, các hệ thống này vẫn dễ bị tấn công mạng bởi một số lý do khác nhau. Một yếu tố phức tạp trong việc bảo vệ hệ thống là sự lỗi thời của phần mềm sử dụng, trong một số trường hợp các phần mềm từ tận những năm 1970. Phần mềm SCADA hiện đại hơn đã cập nhật bảo mật, nhưng phụ thuộc vào Internet công cộng. Nói chung, những kẻ tấn công sẽ quét các lỗ hổng và điều chỉnh các cuộc tấn công của mình dựa trên những gì phát hiện.
Các nhà nghiên cứu của nhóm Cymru đã ghi lại địa chỉ IP của các máy thực hiện những lần quét cổng này và xác định vị trí địa lý cho từng địa điểm bằng cách sử dụng traceroute (xem Hình 9-4)
Mỹ
Hai hotspot chính để quét dường như xuất phát từ các IP nằm ở Houston, Texas và Miami, Florida.
Tây Âu
Có các hotspot ở London (Vương quốc Anh), Seville (Tây Ban Nha) và các địa điểm ở Scandinavia và Nam Pháp.
Đông Âu
Các hotspot trong khu vực này bao gồm St. Petersburg, Moscow và một địa điểm ở Ukraine và Bucharest, Romania.
Viễn Đông
Cho đến nay đây là nơi các hotspot tập trung nhiều nhất, Viễn Đông có các IP quét SCADA ở Thái Lan, Hồng Kông, Đài Loan, Hàn Quốc, Nhật Bản và một số địa điểm ở Trung Quốc.
Các tác giả của báo cáo này cho rằng các hoạt động scan được tạo ra bởi các máy tính bị lây nhiễm, do đó việc định vị địa lý các IP quét không nên lấy làm bằng chứng về các hoạt động gián điệp của chính phủ nước ngoài hay các tác nhân không thuộc quốc gia đó. Thông tin đã nêu bên trên đề cập đến việc quét các cổng liên quan đến SCADA sau: udp/20000, tcp/502, udp/2222 và tcp/44818.
Hình 9-4. Nguồn gốc địa lý của các lần quét darknet cho năm 2008
Sử dụng WHOIS
Bất cứ khi nào một cá nhân hoặc công ty đăng ký một URL, họ đều được yêu cầu về mặt pháp lý cung cấp dữ liệu nhận dạng chính xác (tên, địa chỉ, thông tin liên hệ). Đây là một yêu cầu của ICANN và được nhiều nhà cung cấp dịch vụ đăng ký tên miền hợp pháp chấp hành. Thật không may, không phải tất cả các nhà cung cấp thực hiện nhiệm vụ theo dõi đó, bao gồm cả ICANN (mặc dù tỷ lệ đăng ký gian lận đã giảm gần đây).
Trong trường hợp của StopGeorgia.ru, tên miền đã được đăng ký bằng một bí danh xuất hiện trên nhiều trang web spam (xem Chương 7). Điều này cũng xảy ra với các dịch vụ đăng ký tên miền không thực hiện kiểm tra xác minh trên tất cả các ứng dụng mới. Thật không may, có một số công ty coi việc đăng ký lỏng lẻo là một sự đánh đổi công bằng để tăng doanh thu bán hàng. Đây là một phần quan trọng trong thách thức về doanh nghiệp vi phạm khi hoạt động trên Internet.
Trong các trường hợp khác, tên miền được đăng ký bằng thông tin dữ liệu bị đánh cắp. Một trường hợp mà tác giả được thông báo, dữ liệu bị đánh cắp là từ một quân nhân Mỹ đóng tại Iraq. Khi người đó trở về Mỹ sau chuyến đi, anh đã bị bộ phận điều tra liên hệ chất vấn về trang web “khủng bố” của mình. Cuộc điều tra đã bị hủy bỏ khi xác định rằng danh tính của anh ta bị đánh cắp và được sử dụng để đăng ký tên miền; tuy nhiên, phán quyết đó đã không xảy ra kịp thời và gây ra một chút tổn hại cho nạn nhân và gia đình anh ta.
Mặc dù vậy, việc kiểm tra đăng ký WHOIS cũng đưa ra một đầu mối khác trong chuỗi bằng chứng. Đôi khi xảy ra một số lỗi và các trang web chính phủ thực sự được sử dụng làm dữ liệu nhận dạng (ví dụ: GhostNet). Điều này hiếm, nhưng có xảy ra. Một phần trong bất kỳ cuộc điều tra thông tin tình báo nguồn mở OSINT là tìm kiếm những chi tiết nhỏ mà ngay cả những cá nhân cẩn thận nhất cũng thi thoảng mắc phải.
Cuộc điều tra của Đại học Cambridge về hoạt động gián điệp của Trung Quốc nhắm vào Văn phòng của Đức Dalai Lama (OHHDL) đã khẳng định giá trị của việc kiểm tra dữ liệu WHOIS:
Trong quá trình giám sát mạng ban đầu, chúng tôi đã phát hiện các tệp nhạy cảm bị chuyển ra khỏi OHHDL bằng giao thức HTTP đã sửa đổi: theo Trung tâm Thông tin mạng khu vực Châu Á – Thái Bình Dương APNIC, phần mềm độc hại thu thập các tệp từ các ổ đĩa nội bộ và gửi đến 3 máy chủ tại tỉnh Tứ Xuyên (Trung Quốc), thông qua sử dụng giao thức tùy chỉnh dựa trên HTTP. Phần mềm độc hại sử dụng các thông điệp HTTP GET và HTTP POST để truyền tệp ra ngoài và có vẻ cũng để xác minh việc truyền thành công. Tứ Xuyên cũng là nơi đơn vị tình báo Trung Quốc được giao nhiệm vụ đặc biệt theo dõi OHHDL.
Thông tin WHOIS có thể được kiểm tra bằng nhiều bộ công cụ Internet trực tuyến miễn phí, chẳng hạn như http://www.dnsstuff.com, http://www.robtex.com, http://www.demon.net/external/ và http://www.whois.sc, chỉ đơn giản bằng cách cung cấp tên miền hoặc địa chỉ IP.
Thận trọng khi sử dụng WHOIS
Cần phải rất thận trọng khi sử dụng WHOIS trong một cuộc điều tra.
Thông tin trên một website về chiến tranh mạng, trang web cực đoan hoặc trang web của tin tặc rất có khả năng là thông tin bị đánh cắp, lừa đảo hoặc bị cắt xén. Ngay cả những người đăng ký hợp pháp cũng có thể chọn sử dụng dịch vụ bảo mật để che giấu thông tin WHOIS của mình.
Một cảnh báo khác là nhiều trang web có thể được lưu trữ trên cùng một máy chủ nhưng lại chẳng liên quan gì đến nhau.
Ngoài những vấn đề này, một cuộc điều tra về WHOIS vẫn có thể cung cấp những thông tin giá trị. Sau đây là một số mẹo có thể hữu ích khi điều tra các nền tảng tấn công khác tương tự như StopGeorgia.ru liên quan tới các cuộc tấn công mạng xuyên biên giới:
Nếu dữ liệu rõ ràng là giả (tên và địa chỉ bị cắt xén hoặc vô nghĩa) thì đó không phải là một trang web hợp pháp.
Nếu dữ liệu có vẻ hợp pháp khi tìm kiếm trên web về tên và địa chỉ email lại thấy nó đã được sử dụng để đăng ký nhiều trang web trong danh sách đen, thì một lần nữa, đó không phải là một trang web hợp pháp.
“Ai đang theo dõi cơ sở hạ tầng SCADA của bạn?” một bài tóm tắt mà Team Cymru xuất bản vào đầu năm 2009, xem xét các hoạt động scan mà họ phát hiện trong một vùng không gian mạng, nơi lẽ ra không nên có các hoạt động scan như vậy. (Ví dụ, không có các dịch vụ hoạt động hoặc các máy chủ ở đó) và do đó, các hoạt động hoặc lưu lượng truy cập được coi là nguy hại ở một mức độ nào đó. Họ gọi vùng này là một “mạng tối” (Darknet). Theo giải thích trong bài tóm tắt, “Lưu lượng truy cập vào một Darknet thường xuất phát từ các hoạt động scan được tạo bởi các công cụ hoặc mã độc tự động, tìm kiếm các cổng dễ bị tấn công với mục đích bất chính”. Những cổng này thuộc về Hệ thống giám sát và thu thập dữ liệu (SCADA).
Các hệ thống SCADA thường được sử dụng bởi các công ty tiện ích, nhà máy điện hạt nhân, hệ thống xử lý nước, hệ thống thông tin liên lạc và nhiều quy trình công nghiệp khác. Mặc dù có các biện pháp bảo vệ, các hệ thống này vẫn dễ bị tấn công mạng bởi một số lý do khác nhau. Một yếu tố phức tạp trong việc bảo vệ hệ thống là sự lỗi thời của phần mềm sử dụng, trong một số trường hợp các phần mềm từ tận những năm 1970. Phần mềm SCADA hiện đại hơn đã cập nhật bảo mật, nhưng phụ thuộc vào Internet công cộng. Nói chung, những kẻ tấn công sẽ quét các lỗ hổng và điều chỉnh các cuộc tấn công của mình dựa trên những gì phát hiện.
Các nhà nghiên cứu của nhóm Cymru đã ghi lại địa chỉ IP của các máy thực hiện những lần quét cổng này và xác định vị trí địa lý cho từng địa điểm bằng cách sử dụng traceroute (xem Hình 9-4)
Mỹ
Hai hotspot chính để quét dường như xuất phát từ các IP nằm ở Houston, Texas và Miami, Florida.
Tây Âu
Có các hotspot ở London (Vương quốc Anh), Seville (Tây Ban Nha) và các địa điểm ở Scandinavia và Nam Pháp.
Đông Âu
Các hotspot trong khu vực này bao gồm St. Petersburg, Moscow và một địa điểm ở Ukraine và Bucharest, Romania.
Viễn Đông
Cho đến nay đây là nơi các hotspot tập trung nhiều nhất, Viễn Đông có các IP quét SCADA ở Thái Lan, Hồng Kông, Đài Loan, Hàn Quốc, Nhật Bản và một số địa điểm ở Trung Quốc.
Các tác giả của báo cáo này cho rằng các hoạt động scan được tạo ra bởi các máy tính bị lây nhiễm, do đó việc định vị địa lý các IP quét không nên lấy làm bằng chứng về các hoạt động gián điệp của chính phủ nước ngoài hay các tác nhân không thuộc quốc gia đó. Thông tin đã nêu bên trên đề cập đến việc quét các cổng liên quan đến SCADA sau: udp/20000, tcp/502, udp/2222 và tcp/44818.
Hình 9-4. Nguồn gốc địa lý của các lần quét darknet cho năm 2008
Sử dụng WHOIS
Bất cứ khi nào một cá nhân hoặc công ty đăng ký một URL, họ đều được yêu cầu về mặt pháp lý cung cấp dữ liệu nhận dạng chính xác (tên, địa chỉ, thông tin liên hệ). Đây là một yêu cầu của ICANN và được nhiều nhà cung cấp dịch vụ đăng ký tên miền hợp pháp chấp hành. Thật không may, không phải tất cả các nhà cung cấp thực hiện nhiệm vụ theo dõi đó, bao gồm cả ICANN (mặc dù tỷ lệ đăng ký gian lận đã giảm gần đây).
Trong trường hợp của StopGeorgia.ru, tên miền đã được đăng ký bằng một bí danh xuất hiện trên nhiều trang web spam (xem Chương 7). Điều này cũng xảy ra với các dịch vụ đăng ký tên miền không thực hiện kiểm tra xác minh trên tất cả các ứng dụng mới. Thật không may, có một số công ty coi việc đăng ký lỏng lẻo là một sự đánh đổi công bằng để tăng doanh thu bán hàng. Đây là một phần quan trọng trong thách thức về doanh nghiệp vi phạm khi hoạt động trên Internet.
Trong các trường hợp khác, tên miền được đăng ký bằng thông tin dữ liệu bị đánh cắp. Một trường hợp mà tác giả được thông báo, dữ liệu bị đánh cắp là từ một quân nhân Mỹ đóng tại Iraq. Khi người đó trở về Mỹ sau chuyến đi, anh đã bị bộ phận điều tra liên hệ chất vấn về trang web “khủng bố” của mình. Cuộc điều tra đã bị hủy bỏ khi xác định rằng danh tính của anh ta bị đánh cắp và được sử dụng để đăng ký tên miền; tuy nhiên, phán quyết đó đã không xảy ra kịp thời và gây ra một chút tổn hại cho nạn nhân và gia đình anh ta.
Mặc dù vậy, việc kiểm tra đăng ký WHOIS cũng đưa ra một đầu mối khác trong chuỗi bằng chứng. Đôi khi xảy ra một số lỗi và các trang web chính phủ thực sự được sử dụng làm dữ liệu nhận dạng (ví dụ: GhostNet). Điều này hiếm, nhưng có xảy ra. Một phần trong bất kỳ cuộc điều tra thông tin tình báo nguồn mở OSINT là tìm kiếm những chi tiết nhỏ mà ngay cả những cá nhân cẩn thận nhất cũng thi thoảng mắc phải.
Cuộc điều tra của Đại học Cambridge về hoạt động gián điệp của Trung Quốc nhắm vào Văn phòng của Đức Dalai Lama (OHHDL) đã khẳng định giá trị của việc kiểm tra dữ liệu WHOIS:
Trong quá trình giám sát mạng ban đầu, chúng tôi đã phát hiện các tệp nhạy cảm bị chuyển ra khỏi OHHDL bằng giao thức HTTP đã sửa đổi: theo Trung tâm Thông tin mạng khu vực Châu Á – Thái Bình Dương APNIC, phần mềm độc hại thu thập các tệp từ các ổ đĩa nội bộ và gửi đến 3 máy chủ tại tỉnh Tứ Xuyên (Trung Quốc), thông qua sử dụng giao thức tùy chỉnh dựa trên HTTP. Phần mềm độc hại sử dụng các thông điệp HTTP GET và HTTP POST để truyền tệp ra ngoài và có vẻ cũng để xác minh việc truyền thành công. Tứ Xuyên cũng là nơi đơn vị tình báo Trung Quốc được giao nhiệm vụ đặc biệt theo dõi OHHDL.
Thông tin WHOIS có thể được kiểm tra bằng nhiều bộ công cụ Internet trực tuyến miễn phí, chẳng hạn như http://www.dnsstuff.com, http://www.robtex.com, http://www.demon.net/external/ và http://www.whois.sc, chỉ đơn giản bằng cách cung cấp tên miền hoặc địa chỉ IP.
Thận trọng khi sử dụng WHOIS
Cần phải rất thận trọng khi sử dụng WHOIS trong một cuộc điều tra.
Thông tin trên một website về chiến tranh mạng, trang web cực đoan hoặc trang web của tin tặc rất có khả năng là thông tin bị đánh cắp, lừa đảo hoặc bị cắt xén. Ngay cả những người đăng ký hợp pháp cũng có thể chọn sử dụng dịch vụ bảo mật để che giấu thông tin WHOIS của mình.
Một cảnh báo khác là nhiều trang web có thể được lưu trữ trên cùng một máy chủ nhưng lại chẳng liên quan gì đến nhau.
Ngoài những vấn đề này, một cuộc điều tra về WHOIS vẫn có thể cung cấp những thông tin giá trị. Sau đây là một số mẹo có thể hữu ích khi điều tra các nền tảng tấn công khác tương tự như StopGeorgia.ru liên quan tới các cuộc tấn công mạng xuyên biên giới:
Nếu dữ liệu rõ ràng là giả (tên và địa chỉ bị cắt xén hoặc vô nghĩa) thì đó không phải là một trang web hợp pháp.
Nếu dữ liệu có vẻ hợp pháp khi tìm kiếm trên web về tên và địa chỉ email lại thấy nó đã được sử dụng để đăng ký nhiều trang web trong danh sách đen, thì một lần nữa, đó không phải là một trang web hợp pháp.
- Nếu, như trong trường hợp của Tập đoàn Innovative IT Solutions (công ty lưu trữ tên miền StopGeorgia.ru) dữ liệu là chính xác, bước tiếp theo là thực hiện tìm kiếm trên web về địa chỉ doanh nghiệp.
- Nếu nhiều doanh nghiệp được đăng ký tại cùng một địa chỉ, rất có thể đó là một cơ sở cho thuê hộp thư và rất có thể doanh nghiệp được lập cho các mục đích khác.
- Nếu địa điểm kinh doanh liền kề với văn phòng chính phủ hoặc, thậm chí là văn phòng Bộ Quốc phòng (như trường hợp của Steadyhost.ru trong Chương 7), bạn đã có thêm một thông tin giá trị cho quá trình điều tra.
Nguồn: Inside Cyber Warfare
Tác giả: Jeffrey Carr
Tác giả: Jeffrey Carr