7 phút để đọc
Chào anh em, trong suốt gần 10 năm kinh nghiệm trong lĩnh vực an ninh mạng và dành phần lớn thời gian cho hoạt động điều tra số (Digital Forensics), mình cũng đúc kết một số điều tâm đắc và mong muốn chia sẻ với anh em qua bài viết này. Bên cạnh khái niệm, quy trình chuẩn, mình cũng đưa thêm những kinh nghiệm thực tế, giúp anh em hiểu rõ cách truy vết tấn công và sử dụng công cụ điều tra số một cách hiệu quả. Nội dung không có gì quá nâng cao nhưng hi vọng vẫn hữu ích với những bạn đang mong muốn đi theo con đường này.
Điều tra số (Digital forensics) là gì?
1. Điều tra số là gì?
Điều tra số (Digital Forensics) là quá trình thu thập, phân tích và bảo quản bằng chứng số từ máy tính, thiết bị di động, mạng và các hệ thống lưu trữ đám mây nhằm phục vụ cho mục đích pháp lý hoặc bảo mật.
Ứng dụng thực tế của điều tra số:
- Truy vết hacker trong các cuộc tấn công mạng (APT, ransomware, phishing).
- Xác minh và khôi phục dữ liệu trong các vụ lộ lọt thông tin.
- Hỗ trợ cơ quan pháp luật trong các vụ án công nghệ cao.
- Phát hiện insider threat – nhân viên rò rỉ dữ liệu nội bộ.
Mình đã từng trực tiếp tham gia một vụ điều tra, trong đó hacker sử dụng kỹ thuật “Living off the Land” để che giấu dấu vết. Nếu không có phương pháp forensic chuẩn, rất khó để phát hiện ra kẻ tấn công. Đó chính là lý do điều tra số rất quan trọng trong thế giới an ninh mạng.
Các lĩnh vực trong digital forensics
Điều tra số không chỉ tập trung vào máy tính cá nhân, mà còn mở rộng sang hệ thống mạng, thiết bị di động, mã độc, và nền tảng đám mây.
1. Computer Forensics (Điều tra hệ thống máy tính)
Pháp y máy tính (Computer Forensics) là lĩnh vực cốt lõi trong điều tra số, chuyên về thu thập, phục hồi và phân tích dữ liệu trên máy tính cá nhân, server, ổ đĩa và các thiết bị lưu trữ.
Kỹ thuật điều tra quan trọng:
- Trích xuất và phục hồi dữ liệu bị xóa: Khi một file bị xóa, nó không thực sự biến mất ngay lập tức. Các công cụ như Autopsy, FTK Imager, TestDisk có thể giúp khôi phục file từ các sector chưa bị ghi đè.
- Phân tích file system & metadata:
- Tìm kiếm dấu vết chỉnh sửa file: So sánh timestamps (MAC times – Modified, Accessed, Created).
- Phân tích registry (Windows) để tìm bằng chứng về chương trình độc hại đã từng chạy.
- Khám nghiệm RAM (Memory Forensics):
- Dữ liệu trong RAM không được lưu trữ vĩnh viễn nhưng lại chứa thông tin quan trọng như keylogger, session login, hoặc malware chạy ngầm.
- Công cụ Volatility, Rekall có thể giúp phân tích bộ nhớ và truy xuất thông tin quan trọng.
- Truy vết hacker qua log hệ thống (Windows/Linux):
- Windows: Event Viewer, Sysmon, Security Logs.
- Linux: /var/log/auth.log, /var/log/syslog.
Thách thức:
- Mã hóa dữ liệu (BitLocker, VeraCrypt) gây khó khăn cho điều tra.
- Tấn công “Anti-Forensics” – Hacker có thể ghi đè hoặc xóa log hệ thống để xóa dấu vết.
Công cụ sử dụng:
- Autopsy, FTK Imager, Volatility, Rekall, Sleuth Kit.
2. Network Forensics (Điều tra lưu lượng mạng)
Pháp y mạng (Network Forensics) tập trung vào phân tích lưu lượng dữ liệu di chuyển qua hệ thống mạng để phát hiện các cuộc tấn công mạng, gián điệp mạng hoặc hành vi bất thường.
Kỹ thuật điều tra quan trọng:
Packet Capture – Bắt và phân tích gói tin:
- Công cụ Wireshark, Zeek (Bro IDS), tcpdump giúp trích xuất dữ liệu từ các giao thức như HTTP, DNS, FTP, SSH.
- Ví dụ: Nếu hacker sử dụng DNS tunneling, ta có thể kiểm tra các DNS query bất thường để truy vết.
Phân tích log tường lửa, IDS/IPS:
- Log từ Cisco ASA, Palo Alto, FortiGate giúp phát hiện hoạt động trái phép.
- Kiểm tra Syslog, NetFlow để truy vết địa chỉ IP của hacker.
Điều tra tấn công DDoS, Man-in-the-Middle, DNS Spoofing:
- Nếu hệ thống bị DDoS, kiểm tra log firewall để tìm IP attack sources.
- Nếu nghi ngờ Man-in-the-Middle, kiểm tra SSL certificates & ARP poisoning.
Thách thức:
- Dữ liệu mạng có dung lượng lớn → Cần công cụ tự động hóa để phân tích.
- Tấn công “fileless” – Hacker có thể sử dụng công cụ hợp pháp để che giấu hoạt động.
Công cụ sử dụng:
Wireshark, Zeek (Bro IDS), Splunk, Snort, Suricata.
3. Mobile Forensics (Điều tra thiết bị di động)
Pháp y thiết bị di động (Mobile Forensics) tập trung vào trích xuất dữ liệu từ điện thoại di động, GPS, ứng dụng nhắn tin, và hệ thống lưu trữ trên smartphone.
Kỹ thuật điều tra quan trọng:
Trích xuất dữ liệu từ điện thoại bị khóa hoặc đã xóa:
- Dùng Cellebrite UFED, Oxygen Forensic Suite để bypass mã khóa.
- Phân tích SQLite Database để tìm tin nhắn, lịch sử cuộc gọi.
Phân tích metadata từ ảnh, tin nhắn, cuộc gọi để dựng lại hành vi người dùng:
- GPS Location trong ảnh EXIF có thể tiết lộ vị trí thực tế của người dùng.
- Lịch sử WhatsApp, Signal, Telegram có thể bị trích xuất nếu chưa mã hóa toàn phần.
Thách thức:
- Tính năng mã hóa mạnh trên iOS & Android gây khó khăn trong trích xuất dữ liệu.
- Các ứng dụng nhắn tin mã hóa đầu cuối (Signal, Telegram) gần như không thể giải mã.
Công cụ sử dụng:
Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Suite.
4. Malware Forensics (Điều tra phần mềm độc hại)
Phân tích mã độc (Malware Forensics) giúp tìm hiểu cách thức hoạt động của malware, ransomware, rootkit để triển khai các biện pháp phòng chống.
Kỹ thuật điều tra quan trọng:
- Static Analysis – Phân tích mã nguồn của malware: Dùng IDA Pro, Ghidra, Radare2 để kiểm tra các hàm API độc hại.
- Dynamic Analysis – Chạy thử malware trong môi trường sandbox: Dùng Cuckoo Sandbox để kiểm tra hành vi của malware mà không ảnh hưởng hệ thống thật.
Thách thức:
Hacker có thể sử dụng kỹ thuật chống phân tích (Anti-Analysis, Anti-VM).
Công cụ sử dụng:
IDA Pro, Ghidra, Cuckoo Sandbox, YARA.
5. Cloud Forensics (Điều tra trên nền tảng Cloud)
Cloud Forensics tập trung vào phân tích log của các dịch vụ đám mây như AWS, Azure, Google Cloud để phát hiện hành vi gian lận hoặc tấn công.
Kỹ thuật điều tra quan trọng:
- Trích xuất và phân tích log từ AWS CloudTrail, Google Workspace Logs.
- Kiểm tra hoạt động đáng ngờ như đăng nhập bất thường, thay đổi quyền API.
Thách thức:
Dữ liệu trên cloud không thể truy cập trực tiếp như máy tính truyền thống.
Công cụ sử dụng:
AWS CloudTrail, Azure Security Center, Google Cloud Logging.
Quy trình điều tra số
1. Xác định và thu thập bằng chứng (Evidence Acquisition)
-
- Bảo toàn tính toàn vẹn của dữ liệu bằng cách tạo ảnh (forensic image).
- Sử dụng công cụ như FTK Imager, Autopsy, dd để tạo bit-by-bit copy.
- Hashing dữ liệu (MD5, SHA-256) để đảm bảo dữ liệu không bị thay đổi.
bash
CopyEdit
dd if=/dev/sda of=/mnt/forensics/image.dd bs=4M
md5sum /mnt/forensics/image.dd
2. Phân tích bằng chứng (có thể coi đây là phần quan trọng nhất)
- Phân tích file hệ thống: Xác định file bị xóa, metadata, timeline events.
- Phân tích bộ nhớ (RAM Forensics): Trích xuất mã độc chạy trên bộ nhớ.
- Phân tích lưu lượng mạng: Kiểm tra packet capture để truy vết hacker.
Ví dụ: Phân tích RAM để tìm keylogger hoặc malware chạy ngầm
Dùng Volatility để kiểm tra tiến trình đáng ngờ trên bộ nhớ RAM:
bash
CopyEdit
volatility -f memory.dmp --profile=Win7SP1x64 pslist
Nếu thấy process lạ chạy ngầm, đó có thể là một dấu hiệu của mã độc.
3. Báo cáo và sử dụng bằng chứng trước pháp luật
- Viết báo cáo chi tiết về phát hiện điều tra.
- Trình bày bằng chứng theo chuẩn pháp lý để đảm bảo có thể sử dụng trước tòa.
Lưu ý quan trọng:
- Không được chỉnh sửa dữ liệu gốc – tất cả phải phân tích trên bản sao.
- Ghi lại toàn bộ quá trình điều tra để đảm bảo tính hợp pháp.
Các công cụ điều tra số phổ biến mà bạn nên biết
1. Công cụ miễn phí & opensource
| Loại | Công cụ | Chức năng |
|---|---|---|
| Computer Forensics | Autopsy | Phân tích ổ đĩa & khôi phục dữ liệu |
| Network Forensics | Wireshark | Phân tích gói tin, tìm dấu vết tấn công |
| RAM Analysis | Volatility | Phân tích bộ nhớ, tìm malware |
| Malware Analysis | Ghidra, IDA Pro | Reverse engineering mã độc |
| Cloud Forensics | AWS CloudTrail | Theo dõi hoạt động trên AWS |
2. Công cụ phải trả phí để sử dụng
| Công cụ | Ứng dụng |
|---|---|
| EnCase | Điều tra máy tính chuyên sâu |
| FTK (Forensic Toolkit) | Phân tích pháp y ổ đĩa & RAM |
| Cellebrite UFED | Trích xuất dữ liệu từ thiết bị di động |
Mẹo chọn công cụ phù hợp
- Nếu cần phân tích máy tính → Dùng Autopsy, FTK Imager.
- Nếu điều tra tấn công mạng → Dùng Wireshark, Zeek.
- Nếu tìm malware, trojan → Dùng IDA Pro, Volatility.
Lời kết:
Điều tra số (digital forensic) không chỉ là một lĩnh vực kỹ thuật, mà còn là một công cụ quan trọng trong việc bảo vệ an ninh thông tin. Nếu bạn là một chuyên gia bảo mật, hiểu rõ quy trình và công cụ điều tra số sẽ giúp bạn phát hiện & xử lý các cuộc tấn công mạng hiệu quả hơn.
Lời khuyên cho người mới bắt đầu:
- Bắt đầu với công cụ mã nguồn mở như Autopsy, Wireshark, Volatility.
- Luyện tập với các bộ dữ liệu forensics thực tế.
- Học về Reverse Engineering để hiểu sâu hơn về mã độc.
Do dung lượng bài viết có hạn nên mình chưa thể đi sâu vào từng phần. Hẹn các bạn trong các bài viết tiếp theo. Nếu bạn quan tâm tới chủ đề này thì đừng quên đăng ký nhận newsletter nhé!
Bài viết liên quan: