Khoa Kỹ Vấn Đạo (Đế Chế Kinh Tế Mới Tại Nước Việt)
-
Chương 199: BKAV Điều tra
****
Bốn mươi phút sau,
Giá cả và các điều khoản cơ bản rất nhanh được Trần Công Luận và giám đốc kinh doanh của BKAV thông qua. Theo đó đội ngũ nhân sự của BKAV do Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng Lê Công Trình trực tiếp dẫn đầu đang tích cực làm việc với đội ngũ kỹ thuật của FPT Telecom.
Trình khi này là người đang lên tiếng:
- Quân, chính sách sao lưu giữ liệu của công ty như thế nào? Lần gần đây nhất là khi nào?
Quân lập tức trả lời:
- Hai ngày một lần và bắt đầu vào 10h đêm các ngày lẻ trong tháng.
Trình đưa tay lật xem đồng hồ giây lát rồi nói:
- Tối qua là 27, vậy nghĩa là tối qua vừa có một đợt sao lưu đúng không?
Quân gật đầu:
- Đúng thế!
- Quá trình sao lưu có gặp vấn đề gì không?
Quân đưa mắt nhìn về phía một người nhân viên, người này lập tức hiểu ý trả lời:
- Báo cáo các anh, tối qua mọi việc diễn ra bình thường không gặp cản trở gì cả.
Nhận được câu trả lời khẳng định, Trình khẽ thở phào rồi nói:
- Tốt! Vậy là dữ liệu có thể backup được cơ bản. Trường hợp dữ liệu máy chủ có bị xóa thì chúng ta vẫn có thể khôi phục được.
Hơi dừng lại một chút Trình quay sang một người nhân viên trong đội hỏi:
- Cậu Huy, kết quả kiểm tra sơ bộ thế nào?
Huy nghe Trình hỏi thì lập tức lên tiếng:
- Báo cáo sếp, Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN (1), một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF.
Trình nghe xong thì cau mày suy luận, nếu đúng như những gì cậu nhân viên nói thì sẽ chỉ có hai khả năng được đặt ra, một là hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty, hai là HF có lỗi và bị khai thác lỗi đó.
Nghĩ tới đây, Trình ra lệnh cho nhân viên:
- Các cậu lập tức rút cable của toàn bộ máy chủ ra khỏi hệ thống mạng cho tôi.
- Vâng, sếp!
Nhân viên lập tức răm rắp làm theo lời của Trình theo đó màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen!
- Cậu Huy, kiểm tra ngay phần HF xem sao.
Huy đứng lên cẩn thận xem xét tới gần ba mươi phút rồi mới quay lại báo cáo:
- Sếp, đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Đồng thời em kiểm tra máy chủ thì toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Như vậy là bọn chúng đã phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới.
Nghe tới đây thì Trình hiểu điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm.
Lại trầm ngâm thêm giây lát Trình lại quay sang Huy nói:
- Cho tôi kiểm tra email bọn tin tặc đã gửi tới cho Giám đốc bên FPT Telecom.
Dữ liệu sau đó rất nhanh có trên tay Trình. Phân tích email header và log của mail server, hắn nhận ra rằng email này được gửi từ IP 192.168.4.36. Lần theo địa chỉ IP này Trình biết được email này được gửi từ Bộ phận quản lý khách hàng và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên tên Nguyễn Việt Hoàng - quản lý một trang tin trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional.
Đã lần ra được manh mối, Trình lập tức yêu cầu Quân cho người đi tháo ổ cứng của máy tính này, gắn nó vào một máy tính độc lập với mạng của FPT Telecom và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.
Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi Trình kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, Nguyễn Việt Hoàng, Trình và đồng sự đã tìm thấy một tài khoản khác.
Sau khi được Nguyễn Việt Hoàng xác nhận anh ta không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản này có thể là một account được tạo ra để lần sau đăng nhập dễ dàng hơn.
Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, Trình tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống).
Khi nhìn thấy thứ này, Trình phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s Trình nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.
Sau khi quyết định chạy thử tập tin system32.exe với đủ các khóa chuyển, Trình xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.
Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, Trình chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.
Tiếp đó, Trình sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:> quen thuộc.
Một bức tranh sơ lược nhanh chóng được phác họa trong đầu Trình: hacker tấn công vào máy trạm của nhân viên Nguyễn Việt Hoàng để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”. Có vẻ hợp logic nhưng Trình cảm thấy vẫn có vài điểm chưa thuyết phục, hắn nâng cằm lẩm bẩm:
- Nhưng rốt cục đó là cái gì được chứ?
Ghi chú:
(1) VPN: Virtual Private Network: mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.
(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.
(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ bị đánh lừa. Các hacker cao thủ có thể giả mạo IP để thực hiện các kết nối bất hợp pháp từ IP ko phải nằm trong Trusted Zone.
Bốn mươi phút sau,
Giá cả và các điều khoản cơ bản rất nhanh được Trần Công Luận và giám đốc kinh doanh của BKAV thông qua. Theo đó đội ngũ nhân sự của BKAV do Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng Lê Công Trình trực tiếp dẫn đầu đang tích cực làm việc với đội ngũ kỹ thuật của FPT Telecom.
Trình khi này là người đang lên tiếng:
- Quân, chính sách sao lưu giữ liệu của công ty như thế nào? Lần gần đây nhất là khi nào?
Quân lập tức trả lời:
- Hai ngày một lần và bắt đầu vào 10h đêm các ngày lẻ trong tháng.
Trình đưa tay lật xem đồng hồ giây lát rồi nói:
- Tối qua là 27, vậy nghĩa là tối qua vừa có một đợt sao lưu đúng không?
Quân gật đầu:
- Đúng thế!
- Quá trình sao lưu có gặp vấn đề gì không?
Quân đưa mắt nhìn về phía một người nhân viên, người này lập tức hiểu ý trả lời:
- Báo cáo các anh, tối qua mọi việc diễn ra bình thường không gặp cản trở gì cả.
Nhận được câu trả lời khẳng định, Trình khẽ thở phào rồi nói:
- Tốt! Vậy là dữ liệu có thể backup được cơ bản. Trường hợp dữ liệu máy chủ có bị xóa thì chúng ta vẫn có thể khôi phục được.
Hơi dừng lại một chút Trình quay sang một người nhân viên trong đội hỏi:
- Cậu Huy, kết quả kiểm tra sơ bộ thế nào?
Huy nghe Trình hỏi thì lập tức lên tiếng:
- Báo cáo sếp, Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN (1), một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF.
Trình nghe xong thì cau mày suy luận, nếu đúng như những gì cậu nhân viên nói thì sẽ chỉ có hai khả năng được đặt ra, một là hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty, hai là HF có lỗi và bị khai thác lỗi đó.
Nghĩ tới đây, Trình ra lệnh cho nhân viên:
- Các cậu lập tức rút cable của toàn bộ máy chủ ra khỏi hệ thống mạng cho tôi.
- Vâng, sếp!
Nhân viên lập tức răm rắp làm theo lời của Trình theo đó màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen!
- Cậu Huy, kiểm tra ngay phần HF xem sao.
Huy đứng lên cẩn thận xem xét tới gần ba mươi phút rồi mới quay lại báo cáo:
- Sếp, đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Đồng thời em kiểm tra máy chủ thì toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Như vậy là bọn chúng đã phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới.
Nghe tới đây thì Trình hiểu điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm.
Lại trầm ngâm thêm giây lát Trình lại quay sang Huy nói:
- Cho tôi kiểm tra email bọn tin tặc đã gửi tới cho Giám đốc bên FPT Telecom.
Dữ liệu sau đó rất nhanh có trên tay Trình. Phân tích email header và log của mail server, hắn nhận ra rằng email này được gửi từ IP 192.168.4.36. Lần theo địa chỉ IP này Trình biết được email này được gửi từ Bộ phận quản lý khách hàng và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên tên Nguyễn Việt Hoàng - quản lý một trang tin trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional.
Đã lần ra được manh mối, Trình lập tức yêu cầu Quân cho người đi tháo ổ cứng của máy tính này, gắn nó vào một máy tính độc lập với mạng của FPT Telecom và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.
Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi Trình kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, Nguyễn Việt Hoàng, Trình và đồng sự đã tìm thấy một tài khoản khác.
Sau khi được Nguyễn Việt Hoàng xác nhận anh ta không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản này có thể là một account được tạo ra để lần sau đăng nhập dễ dàng hơn.
Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, Trình tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống).
Khi nhìn thấy thứ này, Trình phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s Trình nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.
Sau khi quyết định chạy thử tập tin system32.exe với đủ các khóa chuyển, Trình xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.
Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, Trình chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.
Tiếp đó, Trình sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:> quen thuộc.
Một bức tranh sơ lược nhanh chóng được phác họa trong đầu Trình: hacker tấn công vào máy trạm của nhân viên Nguyễn Việt Hoàng để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”. Có vẻ hợp logic nhưng Trình cảm thấy vẫn có vài điểm chưa thuyết phục, hắn nâng cằm lẩm bẩm:
- Nhưng rốt cục đó là cái gì được chứ?
Ghi chú:
(1) VPN: Virtual Private Network: mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.
(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.
(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ bị đánh lừa. Các hacker cao thủ có thể giả mạo IP để thực hiện các kết nối bất hợp pháp từ IP ko phải nằm trong Trusted Zone.
Quay lại
Bình luận
Bình luận
Bình luận Facebook