CHFI v11 Hướng Dẫn Thực Hành Mô-đun 08: Điều tra số Mạng

James, một quản lý ứng phó sự cố tại một công ty phần mềm, nhận được một khiếu nại từ Jessica, một nhân viên của công ty, rằng cô ấy đang nhận được những email nhạy cảm từ một người hoặc danh tính không rõ. Và cô ấy nghi ngờ rằng một nhân viên khác đang gửi những email này. James muốn nắm bắt và phân tích tất cả các gói tin đến và đi tại nơi làm việc của công ty để truy tìm người đang gửi những email nhạy cảm này cho Jessica.

Mục tiêu thực hành

Mục tiêu của bài thực hành này là giúp bạn hiểu cách phân tích các gói tin của một mạng mục tiêu. Điều tra mạng lưới và tìm kiếm bằng chứng cho thấy hoạt động bất thường. Hoàn thành bài thực hành này sẽ bao gồm các nội dung sau:

• Điều tra mạng lưới
• Phân tích nhật ký mạng để tìm bằng chứng xác minh sự xuất hiện của các cuộc tấn công khác nhau trên mạng.

Tổng quan về Điều tra số mạng

Điều tra số mạng là quá trình xác định các hoạt động độc hại diễn ra trên mạng và truy tìm nguồn gốc của chúng. Quá trình điều tra số mạng bao gồm việc ghi lại, thu thập, phân tích và truy xuất thông tin từ các nguồn khác nhau để xác định các mối đe dọa và lỗ hổng an ninh mạng. Nó cho phép điều tra viên kiểm tra lưu lượng mạng và dữ liệu nhật ký để xác định và khắc phục các sự cố an ninh mạng khác nhau.

Nhiệm vụ thực hành

Các nhiệm vụ được đề xuất để hỗ trợ bạn thực hiện điều tra số mạng:

• Xác định và điều tra tấn công Brute Force FTP bằng Splunk.
• Xác định và điều tra các cuộc tấn công mạng bằng Kiwi Log Viewer.
• Xác định và điều tra các cuộc tấn công mạng khác nhau bằng Wireshark.
• Phân tích nhật ký SSH.
• Thu thập và phân tích các gói tin thô bằng Python.

Thực hành 1: Xác định và điều tra tấn công Brute Force FTP bằng Splunk.

Kịch bản thực hành

Một kẻ tấn công đã cố gắng giành quyền truy cập và kiểm soát máy tính mục tiêu (máy tính của nạn nhân). Là một điều tra viên, bạn phải quan sát mẫu và số lần đăng nhập và xác định xem kẻ tấn công đã thành công trong việc lấy được thông tin đăng nhập của nạn nhân hay chưa.

Là một điều tra viên số, bạn phải có kiến thức tốt về các cuộc tấn công liên quan đến mạng và có kinh nghiệm trong phân tích.

Mục tiêu thực hành

Điều tra một cuộc tấn công Brute Force bao gồm việc kiểm tra các gói tin được thu thập từ mạng để tìm các sự kiện đăng nhập không thành công nhiều lần và cuối cùng là một sự kiện đăng nhập thành công, cho thấy một cuộc tấn công Brute Force thành công.

Mục tiêu của bài thực hành này là kiểm tra một cuộc tấn công brute-force đã xảy ra trên một máy chủ FTP bằng công cụ SIEM Splunk Enterprise.

Tổng quan về bài thực hành

Bài thực hành này làm quen bạn với quy trình kiểm tra một cuộc tấn công brute-force đã xảy ra trên một máy chủ FTP bằng công cụ SIEM Splunk Enterprise.

Nhiệm vụ thực hành

1. Theo mặc định, máy ảo Windows Server 2022 được chọn. Nhấn Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ Administrator được chọn. Nhấn Pa w0rd để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.
3. Nếu màn hình Networks xuất hiện, nhấn Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
4. Điều hướng đến E:\CHF\Tools\CHFv11 Module 08 Network Forensics\Security Information and Event Management Tools\Splunk\splunk-9.1.2-1d8d6c9c18559-x64-release.msi và nhấp đúp vào splunk-9.1.2-1d8d6c9c18559-x64-release.msi.
5. Cửa sổ cài đặt Splunk Enterprise sẽ xuất hiện. Đảm bảo bạn chọn hộp Check this box to accept the License Agreement để chấp nhận thỏa thuận cấp phép và nhấn Next để tiếp tục.
   Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấn Run.
6. Cửa sổ thiết lập Splunk Enterprise sẽ xuất hiện và yêu cầu bạn nhập thông tin đăng nhập cho quản trị viên. Nhập Investigator làm tên người dùng và password làm mật khẩu. Mật khẩu phải chứa ít nhất 8 ký tự ASCII có thể in.
7. Cửa sổ thiết lập Splunk Enterprise sẽ đưa bạn đến bước tiếp theo của quá trình cài đặt. Đảm bảo bạn chọn hộp Create Start Menu Shortcut và sau đó nhấn Install.
8. Hoạt động trên sẽ bắt đầu quá trình cài đặt.
9. Quá trình cài đặt sẽ mất một thời gian để hoàn tất. Bạn sẽ được thông báo bởi công cụ khi quá trình cài đặt hoàn tất. Trong bước cuối cùng của quá trình thiết lập, hãy đảm bảo rằng tùy chọn Launch browser with Splunk Enterprise được chọn và sau đó nhấn Finish để thoát khỏi cửa sổ thiết lập.
10. Nếu cửa sổ How do you want to open this? xuất hiện và hỏi bạn muốn sử dụng trình duyệt nào để khởi chạy Splunk, hãy chọn Google Chrome và sau đó nhấn OK.
    Splunk Enterprise sẽ được khởi chạy thông qua Google Chrome. Trên thanh địa chỉ của trình duyệt, bạn sẽ thấy 127.0.0.1:8000.
11. Tại đây, chúng ta sẽ sử dụng địa chỉ IP của máy ảo Windows Server 2022 để duyệt Splunk Enterprise. Do đó, nhập 10.10.1.22:8000 vào thanh địa chỉ của trình duyệt và sau đó nhấn Enter.
12. Trên trang web kết quả, hãy nhập thông tin đăng nhập mà bạn đã tạo cho tài khoản Splunk Enterprise trong quá trình thiết lập, sau đó nhấn Sign In.
13. Hoạt động trên sẽ đăng nhập bạn vào tài khoản Splunk Enterprise của bạn.
14. Các bước sau đây sẽ trình bày việc thực hiện các nhiệm vụ thực hành của chúng ta sau khi đăng nhập vào tài khoản Splunk Enterprise.
15. Bây giờ bạn sẽ thấy trang chủ của Splunk Enterprise, nơi bạn sẽ tìm thấy tùy chọn Add Data, như trong ảnh chụp màn hình. Nhấn Add Data.
16. Nếu cửa sổ Welcome, Administrator xuất hiện, nhấn Skip.
17. Bây giờ, cuộn xuống trang chủ để tìm và nhấn tùy chọn Upload files from my computer.
18. Nếu cửa sổ Helping You Get More Value from Splunk xuất hiện, như trong ảnh chụp màn hình bên dưới, nhấn Got it! để tiếp tục.
19. Phần Select Source bây giờ sẽ xuất hiện. Nhấn Select File, như trong ảnh chụp màn hình.
20. Một cửa sổ Open sẽ xuất hiện, điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và chọn FTP_bruteforce.csv. Nhấn Open để tải lên tệp.
21. Tệp FTP Brute Force.csv sẽ được tải lên thành công. Nhấn Next để tiếp tục.
    Ở đây, chúng ta sẽ điều tra xem có cuộc tấn công brute-force nào đã xảy ra trên máy chủ FTP hay không, do đó chúng ta đang sử dụng tệp bằng chứng FTP Brute Force.csv.
22. Trong bước tiếp theo, bạn sẽ thấy phần Set Source Type. Nhấn Save As, như trong ảnh chụp màn hình.
23. Cửa sổ Save Source Type sẽ xuất hiện. Trong trường Name, chúng ta sẽ nhập FTP Brute Force.csv. Chúng ta cần nhấn Save để tiếp tục.
24. Bạn sẽ quay lại phần Set Source Type. Nhấn Next ở phía trên bên phải của trang để tiếp tục.
25. Trong bước tiếp theo, bạn sẽ thấy phần Input Settings. Nhấn Review ở phía trên bên phải của trang để tiếp tục.
26. Trong bước tiếp theo, bạn sẽ thấy phần Review. Đảm bảo các chi tiết trong phần Review là chính xác và sau đó nhấn Submit để tiếp tục. Nếu cần, hãy sửa các chi tiết bằng cách quay lại các phần trước bằng cách nhấn Back và sau đó quay lại phần Review và nhấn Submit để tiếp tục.
27. Sau khi nhấn Submit, cửa sổ ứng dụng sẽ hiển thị thông báo sau: File has been uploaded successfully. Bây giờ, nhấn Start Searching để tìm nạp các mục nhật ký từ tệp FTP Brute Force.csv.
28. Bạn bây giờ sẽ thấy các mục từ tệp nhật ký đã tải lên được hiển thị trong Splunk Enterprise bên dưới tab Events. Bây giờ, nhiệm vụ của chúng ta là kiểm tra các mục nhật ký sự kiện để tìm dấu hiệu của một cuộc tấn công brute-force.
    Nếu bạn thấy cửa sổ bật lên Welcome, Administrator, nhấn Skip.
    Số lượng mục nhật ký được tìm nạp bởi Splunk Enterprise đôi khi có thể thay đổi trong môi trường thực hành của bạn.
    Ngày và giờ cũng có thể khác nhau khi bạn thực hiện bài thực hành này.
29. Chúng ta cần phân tích thủ công tất cả các mục này để tìm kiếm lưu lượng đáng ngờ. Khi chúng ta lọc cẩn thận từng mục với các thuật ngữ Response: 230 User logged in, chúng ta quan sát thấy một gói tin có mã phản hồi 230 và một thông báo rằng người dùng đã đăng nhập. Bây giờ, chúng ta cần xác định xem lần đăng nhập này là hợp lệ hay là một nỗ lực đăng nhập brute-force. Địa chỉ IP được quan sát thấy trong gói tin này là 10.10.1.11 và 10.10.1.8, như được chỉ ra trong ảnh chụp màn hình bên dưới.
30. Vì các địa chỉ IP liên quan đến gói tin đáng ngờ là 10.10.1.11 và 10.10.1.8, chúng ta cần kiểm tra xem có các mục nào khác liên quan đến các địa chỉ IP này hay không. Để áp dụng bộ lọc này, hãy xóa tất cả các ký tự trong hộp tìm kiếm bên dưới New Search và sau đó nhập “10.10.1.11”, và sau đó nhấn Enter hoặc nhấn vào biểu tượng Search.
    Bạn sẽ thấy một số mục gói tin cho thấy lưu lượng giữa 10.10.1.8 và 10.10.1.11 bên dưới tab Events, như được chỉ ra trong ảnh chụp màn hình bên dưới.
    Các hiện vật phản ánh trên các trang khác nhau của Splunk trong quá trình điều tra của chúng ta có thể không phải lúc nào cũng phản ánh trên cùng một trang trong môi trường thực hành của bạn. Điều này có thể khác nhau với các hiện vật trong tệp bằng chứng. Bạn không cần phải tập trung vào ngày giờ cụ thể được hiển thị trong cột Time, vì chúng chỉ là dấu hiệu cho ngày giờ khi tệp bằng chứng được tải lên. Do đó, chúng nằm ngoài phạm vi điều tra của chúng ta.
31. Chúng ta sẽ xác định nguồn gốc/đích của lưu lượng mạng.
32. Để làm điều này, hãy mở rộng nút cho mục gói tin trên cùng mà bạn thấy trong ảnh chụp màn hình bên trên bằng cách nhấp vào mũi tên trong cột Time. Bạn sẽ thấy một danh sách thả xuống, trong đó bạn sẽ thấy các trường Destination và extracted_Source, chứa địa chỉ IP 10.10.1.11 và 10.10.1.8 tương ứng, như được chỉ ra trong ảnh chụp màn hình bên dưới. Điều này có nghĩa là lưu lượng bắt nguồn từ địa chỉ IP 10.10.1.8 và đích là 10.10.1.11. Từ đó, chúng ta có thể suy ra rằng địa chỉ IP của kẻ tấn công là 10.10.1.8 và địa chỉ IP của nạn nhân là 10.10.1.11.
33. Bây giờ, hãy quay lại và cuộn xuống trong danh sách các mục nhật ký để tìm mục gói tin cho thấy mã phản hồi 530 với thông báo User cannot log in, như được chỉ ra trong ảnh chụp màn hình. Điều này cho thấy một lần đăng nhập không thành công, trong đó người dùng bị từ chối truy cập vào tài khoản do thông tin đăng nhập không chính xác.
34. Bây giờ, chúng ta sẽ kiểm tra xem có nhiều gói tin được gắn cờ với Response: 530 User cannot log in hay không. Sự hiện diện của các gói tin như vậy sẽ cho thấy một cuộc tấn công brute-force đã được cố gắng từ địa chỉ IP nguồn là 10.10.1.8 trên địa chỉ IP mục tiêu/nạn nhân là 10.10.1.11.
35. Để kiểm tra thêm các lần đăng nhập không thành công, hãy cuộn xuống danh sách các mục gói tin. Ở đây, bạn sẽ tìm thấy một lần đăng nhập không thành công khác được gắn cờ với Response: 530 User cannot log in, như được chỉ ra trong ảnh chụp màn hình bên dưới.
36. Bây giờ, chúng ta sẽ kiểm tra thêm các lần đăng nhập không thành công bằng cách cuộn xuống danh sách các mục gói tin. Ở đây, chúng ta thấy hai lần đăng nhập không thành công khác tại các số mục gói tin là 195 và 196, được gắn cờ với Response: 530 User cannot log in, như được chỉ ra trong các ảnh chụp màn hình bên dưới.
    Số mục gói tin có thể khác nhau trong môi trường thực hành của bạn.
37. Các phát hiện trên củng cố thêm khả năng một cuộc tấn công brute-force đã được cố gắng từ 10.10.1.8 trên 10.10.1.11.
38. Điều hướng đến Page 2 và cuộn xuống danh sách các mục gói tin. Trên trang này, chúng ta tìm thấy một lần đăng nhập không thành công khác được gắn cờ với Response: 530 User cannot log in, như được chỉ ra trong ảnh chụp màn hình bên dưới.
39. Tất cả các phát hiện trên cho thấy đã có nhiều lần đăng nhập không thành công từ địa chỉ IP 10.10.1.8 trên 10.10.1.11. Điều này chứng minh một cuộc tấn công brute-force.
40. Các bước trên tạo thành một phương pháp thủ công để tìm kiếm các nỗ lực tấn công brute-force. Bây giờ, chúng ta sẽ tìm kiếm các nỗ lực tấn công brute-force bằng cách áp dụng các bộ lọc.
41. Từ trang hiện tại, hãy mở rộng nút cho bất kỳ mục nào được gắn cờ với Response: 530 User cannot log in bằng cách nhấp vào mũi tên bên trái của gói tin.
42. Bây giờ bạn sẽ thấy một danh sách thả xuống hiển thị các chi tiết liên quan đến gói tin. Kiểm tra các thành phần Destination, extracted_Source và Info, như được chỉ ra trong ảnh chụp màn hình.
43. Bây giờ, hãy di chuyển lên và cuộn lên trong bảng điều khiển bên trái của cửa sổ ứng dụng. Bạn sẽ tìm thấy các trường có tên Destination, extracted_Source và Info, như được chỉ ra trong ảnh chụp màn hình bên dưới.
44. Đầu tiên, nhấn vào Destination từ cửa sổ bật lên kết quả, sau đó nhấn vào địa chỉ IP 10.10.1.8, như được chỉ ra trong ảnh chụp màn hình.
45. Bây giờ, nhấn vào extracted_Source và từ cửa sổ bật lên kết quả, nhấn vào địa chỉ IP 10.10.1.11, như được chỉ ra trong ảnh chụp màn hình.
46. Bây giờ, nhấn vào Info từ cửa sổ bật lên kết quả, sau đó nhấn vào Response: 530 User cannot log in, như được chỉ ra trong ảnh chụp màn hình.
47. Sau khi hoàn thành các bước được mô tả ở trên, bạn sẽ tìm thấy các thuật ngữ tìm kiếm bên dưới New Search: “10.10.1.8” Destination=”10.10.1.8″ extracted_Source=”10.10.1.11″ Info=”Response: 530 User cannot log in.”
    Đây là các thuật ngữ bộ lọc của chúng ta. Để áp dụng chúng, nhấn Enter hoặc nhấn vào biểu tượng Search, như được chỉ ra bên dưới.
48. Bây giờ bạn sẽ tìm thấy hơn 1000 sự kiện được gắn cờ với Response: 530 User cannot log in, cho thấy các lần đăng nhập không thành công, như được chỉ ra trong ảnh chụp màn hình bên dưới.
49. Bằng cách áp dụng các bộ lọc được mô tả ở trên, chúng ta có thể tìm thấy một số lần đăng nhập không thành công, đây là một trong những dấu hiệu chính của một cuộc tấn công brute-force.
50. Tương tự, chúng ta sẽ tìm kiếm một sự kiện đăng nhập thành công.
51. Trong trường tìm kiếm bên dưới New Search, hãy thay thế Response: 530 User cannot log in bằng Response: 230 User logged in, trong khi giữ nguyên tất cả các thuật ngữ bộ lọc khác trong trường intact. Sau khi thay thế các thuật ngữ bộ lọc như đã nêu ở đây, nhấn Enter hoặc nhấn vào biểu tượng Search, như được chỉ ra trong ảnh chụp màn hình bên dưới.
52. Bây giờ bạn sẽ tìm thấy một sự kiện được gắn cờ với mã phản hồi 230 User logged in, cho thấy rằng kẻ tấn công đã thành công trong việc đăng nhập, như được chỉ ra trong ảnh chụp màn hình bên dưới.
53. Lưu ý rằng sự kiện đăng nhập thành công ở trên có số mục gói tin là 8622 và chỉ xảy ra sau tất cả các lần đăng nhập không thành công, có số mục gói tin nhỏ hơn 8622 (theo thứ tự giá trị số). Bạn sẽ tìm thấy số mục gói tin ở đầu cột Event.
    Trong Splunk, mục nhật ký mới nhất/gần đây nhất/gói tin sẽ được liệt kê ở đầu bộ hoặc đầu tiên trong tập hợp các sự kiện. Và do đó, mục nhật ký/gói tin cũ hơn sẽ có giá trị số lớn hơn mục nhật ký/gói tin mới hơn trong môi trường thực hành của bạn. Vì vậy, trong trường hợp này, sự kiện “User logged in” với mã phản hồi 230 có số mục gói tin là 8622 xảy ra muộn hơn, sau tất cả các lần đăng nhập không thành công. Hãy nhớ rằng mục nhật ký/gói tin được tạo muộn hơn sẽ có số mục gói tin lớn hơn.
54. Phát hiện của chúng ta cho thấy mạnh mẽ rằng địa chỉ IP 10.10.1.11 đã bị tấn công brute-force bởi địa chỉ IP 10.10.1.8. Địa chỉ IP 10.10.1.8 được xem là gửi các gói tin phản hồi và do đó 10.10.1.11 được xem là nạn nhân (địa chỉ IP mà kẻ tấn công đang nhắm mục tiêu).
55. Bây giờ, chúng ta sẽ tìm thấy bất kỳ địa chỉ IP nào khác mà kẻ tấn công đã nhắm mục tiêu.
56. Để làm điều này, hãy xóa tất cả các địa chỉ IP khỏi trường tìm kiếm bên dưới New Search (các địa chỉ IP được sử dụng trong các bước trước) và sau đó nhập thuật ngữ bộ lọc Info=”Response: 530 User cannot log in.”, và sau đó nhấn Enter hoặc nhấn vào biểu tượng Search, như được chỉ ra bên dưới.
57. Bây giờ bạn sẽ thấy danh sách các mục gói tin cho thấy tất cả các lần đăng nhập không thành công đã xảy ra trên mạng, như được chỉ ra trong ảnh chụp màn hình.
58. Sau khi cuộn qua tất cả các mục gói tin được tạo trong bước trước, chúng ta không tìm thấy địa chỉ IP nào khác ngoài 10.10.1.11 đã bị tấn công trong mạng, như được ghi lại trong nhật ký. Điều này cho thấy không có địa chỉ IP nào khác bị tấn công trên mạng.
    Trong thời gian thực, có thể bạn sẽ gặp một số địa chỉ IP đã bị tấn công trên mạng. Do đó, là một điều tra viên, bạn phải điều tra các gói tin đã được ghi lại kỹ lưỡng để kiểm tra xem có nhiều cuộc tấn công brute-force đã được cố gắng hay không.
59. Theo cách này, bạn có thể điều tra lưu lượng mạng để tìm các sự kiện độc hại.
60. Đóng tất cả các cửa sổ đang mở.

Thực hành 2: Điều tra các cuộc tấn công mạng bằng Kiwi Log Viewer

Kịch bản thực hành

Johnson, một điều tra viên số, đã được giao nhiệm vụ kiểm tra một cuộc tấn công mạng. Johnson phải xác định xem kẻ tấn công có thành công trong việc thiết lập kết nối với mạng của công ty hay không. Hơn nữa, anh ta cũng phải truy xuất các hiện vật liên quan đến cuộc tấn công mạng.

Những công cụ nào Johnson nên sử dụng để thực hiện điều tra của mình?

Mục tiêu thực hành

Một điều tra viên số phải biết cách kiểm tra và truy xuất các hiện vật liên quan đến các hoạt động độc hại trên mạng.

Mục tiêu thực hành

Những kẻ tấn công thực hiện các cuộc tấn công mạng để truy cập trái phép vào mạng của tổ chức hoặc bất kỳ máy tính nào trên mạng với mục đích đánh cắp thông tin nhạy cảm.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách kiểm tra các nhật ký được ghi lại trên mạng để tìm các hiện vật của một hoạt động độc hại.

Tổng quan về bài thực hành

Bài thực hành này giúp bạn làm quen với quy trình thu thập và phân tích lưu lượng mạng bằng Kiwi Log Viewer, một công cụ được các ngành công nghiệp sử dụng rộng rãi để phân tích số.

Nhiệm vụ thực hành

1. Trên máy Windows Server 2022, hãy điều hướng đến E:\CHF\Tools\CHFv11 Module 08 Network Forensics\Traffic Capturing and Analysis Tools\Kiwi Log Viewer. Nhấp đúp vào Kiwi_LogViewer_2.1.0_Win32.setup.exe để khởi chạy trình thiết lập, chấp nhận thỏa thuận cấp phép và làm theo hướng dẫn cài đặt được hướng dẫn bởi trình hướng dẫn để cài đặt ứng dụng.
2. Trong bước cuối cùng của quá trình cài đặt, hãy chọn tùy chọn Run Kiwi Log Viewer 2.1.0 và nhấp vào Finish.
3. Giao diện người dùng Kiwi Log Viewer sẽ xuất hiện. Nhấp vào File từ thanh menu và chọn Open File….
4. Cửa sổ Select a log file to open sẽ xuất hiện. Điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và chọn tất cả các tệp từ menu thả xuống File Type. Nhấp vào nRAT.csv và sau đó nhấp vào Open để chọn tệp.
5. Kiwi Log Viewer bây giờ sẽ hiển thị tất cả các nhật ký của tệp đã chọn. Chúng ta cần phân tích các nhật ký này để xác định hoạt động độc hại trên mạng.
6. Lưu lượng được hiển thị trong nhật ký cho thấy sự giao tiếp giữa hai máy trên cổng 5952, là cổng mặc định được sử dụng bởi nRAT v0.7d. Trong phần được tô sáng trong ảnh chụp màn hình, chúng ta thấy lưu lượng từ 10.10.1.22 (trên cổng 3924) đến 10.10.1.11. Từ đó, chúng ta có thể suy ra rằng máy khách nRAT đang chạy trên máy 10.10.1.11, được xác định là máy của kẻ tấn công.
7. Bây giờ, chúng ta sẽ kiểm tra một tệp nhật ký khác có chứa các nhật ký được ghi lại trong một cuộc tấn công brute-force. Chọn File từ thanh menu và nhấp vào Open File….
8. Cửa sổ Select a log file to open sẽ xuất hiện. Điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics, chọn FTP_bruteforce.csv từ menu thả xuống File Type và sau đó nhấp vào Open để tải lên tệp.
9. Kiwi Log Viewer bây giờ sẽ hiển thị tất cả các nhật ký của tệp đã tải lên, như được hiển thị trong ảnh chụp màn hình sau.
10. Thông thường, khi máy khách nhập thông tin đăng nhập không hợp lệ, máy chủ sẽ trả về các phản hồi như Response: 530, Response: 230 và Response: 331 tùy thuộc vào yêu cầu. Khi chúng ta kiểm tra các nhật ký liên quan đến lưu lượng FTP, chúng ta sẽ tập trung nhiều hơn vào các phản hồi để phân tích loại yêu cầu nào đến từ máy khác (máy của kẻ tấn công).
11. Như chúng ta có thể thấy trong ảnh chụp màn hình bên dưới, máy chủ FTP trên máy khác liên tục trả về Response: 530, được tạo ra khi nhập sai mật khẩu.
    Để tìm thấy các phản hồi này, bạn cần cuộn xuống cửa sổ ứng dụng.
12. Chúng ta sẽ áp dụng tô sáng cho các phản hồi để phân biệt chúng. Để áp dụng chúng, hãy truy cập Options và chọn Highlighting…, như được hiển thị trong ảnh chụp màn hình.
13. Cửa sổ Highlighting Options sẽ xuất hiện, như được chỉ ra trong ảnh chụp màn hình bên dưới. Nhấp vào biểu tượng + (1). Một mục mới (2) sẽ xuất hiện bên dưới mục Highlights. Chọn mục đó và sau đó nhập chuỗi Response: 530 vào chuỗi String to Match (3). Để nguyên màu nền mặc định là màu đỏ (4).
14. Kết quả của hoạt động trên, tất cả các nhật ký có chứa chuỗi Response: 530 sẽ được tô sáng bằng màu đỏ. Điều này sẽ tô sáng tất cả các nhật ký có chứa Response: 530, đại diện cho các lần đăng nhập không thành công do mật khẩu không đúng.
15. Tương tự, để tô sáng thêm các nhật ký, nhấp vào biểu tượng + (1) trên cửa sổ Highlighting Options. Một mục khác (2) sẽ xuất hiện bên dưới mục Highlights. Nhấp vào mục này (2) và nhập Response: 230 vào chuỗi String to Match (3). Bây giờ, nhấp vào Choose Background Color (4) và sau đó chọn màu xanh lá cây và nhấp vào OK (5). Tô sáng này sẽ làm nổi bật tất cả các nhật ký có chứa chuỗi Response: 230 bằng màu xanh lá cây. Nhật ký có chứa Response: 230 đại diện cho các lần đăng nhập thành công thông qua thông tin đăng nhập hợp lệ.
16. Bây giờ, bạn sẽ quan sát thấy các nhật ký được tô sáng theo màu được chỉ định, như trong ảnh chụp màn hình sau.
17. Bạn có thể thấy rằng có nhiều nhật ký được tô sáng bằng màu đỏ. Từ đó, chúng ta có thể suy ra rằng nhiều lần đăng nhập đáng ngờ đã xảy ra trên máy chủ, cho thấy một cuộc tấn công brute-force.
18. Cuộn xuống các nhật ký. Bạn sẽ quan sát thấy một trong các nhật ký số 230 được tô sáng bằng màu xanh lá cây, có nghĩa là máy chủ đã phản hồi với Response: 230, cho thấy một lần đăng nhập thành công trên máy chủ. Điều này cho thấy một cuộc tấn công brute-force thành công.
19. Theo cách này, bạn có thể điều tra lưu lượng mạng để tìm các sự kiện độc hại.
20. Đóng tất cả các cửa sổ.

Thực hành 3: Xác định và điều tra các cuộc tấn công mạng khác nhau bằng Wireshark

Kịch bản thực hành

Một công ty dịch vụ tài chính phát hiện ra rằng bí mật thương mại và tài sản trí tuệ của họ đang bị đánh cắp. Công ty nghi ngờ rằng mạng của họ có thể đã bị tấn công. Để điều tra sự cố, công ty đã thuê các điều tra viên số để xác định xem mạng của họ có bị tấn công hay không và xác định các loại tấn công mạng khác nhau.

Các điều tra viên bây giờ phải phân tích các gói tin được thu thập từ lưu lượng mạng của công ty. Bằng cách phân tích các gói tin này, các điều tra viên sẽ có thể xác định các loại tấn công khác nhau có liên quan đến sự cố.

Mục tiêu thực hành

Các điều tra viên số phải có kiến thức tốt về quy trình phân tích các gói tin mạng để xác định các hiện vật liên quan đến các cuộc tấn công mạng khác nhau.

Mục tiêu thực hành

Việc điều tra các cuộc tấn công mạng bao gồm việc phân tích các gói tin di chuyển trên mạng tại một thời điểm nhất định để truy xuất hoặc xác nhận sự xuất hiện của các cuộc tấn công mạng khác nhau.

Mục tiêu của bài thực hành này là làm như sau:

• Phân tích nhật ký mạng.
• Kiểm tra các gói tin đến và đi để tìm các hiện vật của các cuộc tấn công mạng khác nhau.

Tổng quan về bài thực hành

Bài thực hành này giúp bạn làm quen với quy trình kiểm tra các tệp thu thập gói tin mạng cho các cuộc tấn công mạng khác nhau và điều tra chúng bằng Wireshark.

Nhiệm vụ thực hành

1. Trên máy ảo Windows Server 2022, hãy điều hướng đến E:\CHF\Tools\Wireshark. Nhấp đúp vào Wireshark-4.2.0-x64.exe để khởi chạy trình thiết lập và làm theo hướng dẫn cài đặt được hướng dẫn bởi trình hướng dẫn để hoàn tất cài đặt Wireshark.
   Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấn Run.
   Trong quá trình cài đặt, trong phần Additional Tasks, bạn có thể chọn biểu tượng Wireshark Desktop như được hiển thị trong ảnh chụp màn hình bên dưới để thuận tiện khởi chạy ứng dụng từ màn hình Desktop nếu cần.
   Đối với các bước cài đặt còn lại, bạn có thể để tất cả các tùy chọn ở mặc định và tiếp tục để hoàn tất cài đặt.
2. Sau khi hoàn tất cài đặt, hãy điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và nhấp đúp vào HTTP Traffic.pcapng.
3. Hoạt động trên sẽ khởi chạy cửa sổ giao diện người dùng Wireshark và hiển thị các gói tin được thu thập trong HTTP Traffic.pcapng, như được hiển thị trong ảnh chụp màn hình sau.
4. Một cửa sổ Software Update xuất hiện, nhấp vào nút Skip this version.
5. Bây giờ chúng ta sẽ điều tra lưu lượng để tìm bất kỳ mật khẩu văn bản thuần túy nào được lưu trữ trong đó.
6. Bây giờ chúng ta sẽ áp dụng bộ lọc http để ứng dụng chỉ hiển thị kết quả liên quan đến lưu lượng được tạo thông qua http. Nhập http vào trường Filter và nhấn Enter để lọc lưu lượng, như được chỉ ra trong ảnh chụp màn hình bên dưới.
7. Ứng dụng sẽ hiển thị các kết quả liên quan đến lưu lượng được tạo thông qua http, như được chỉ ra trong ảnh chụp màn hình bên dưới.
8. Sau khi kiểm tra các mục http được hiển thị bởi ứng dụng trong ảnh chụp màn hình ở trên, rõ ràng là lưu lượng được liên kết với trang web xem phim và đang được truyền bằng văn bản thuần túy.
9. Thông thường, thông tin đăng nhập của người dùng được lưu trữ trong các yêu cầu POST. Do đó, việc kiểm tra các gói tin có chứa yêu cầu POST có thể giúp điều tra viên tìm thấy thông tin đăng nhập của người dùng.
10. Bây giờ chúng ta sẽ lọc lưu lượng để chỉ lấy kết quả cụ thể cho các yêu cầu POST. Bây giờ, nhập http.request.method == POST vào trường Filter và nhấn Enter. Wireshark bây giờ sẽ lọc lưu lượng và hiển thị tất cả các yêu cầu POST trên mạng. Thông tin đăng nhập của người dùng được lưu trữ trong yêu cầu này có thể được tìm thấy trong bảng Packet Details ở giữa cửa sổ ứng dụng, bên dưới nút HTML Form URL Encoded.
11. Bên dưới nút HTML Form URL Encoded, thông tin đăng nhập của một trong các tài khoản người dùng đã được tìm thấy thành công, như được hiển thị trong ảnh chụp màn hình sau.
12. Bây giờ, chúng ta sẽ tìm kiếm các bất thường DNS trên mạng. Đóng tệp thu thập gói tin hiện tại trong Wireshark bằng cách nhấp vào Close (X) trên cửa sổ ứng dụng hoặc bằng cách điều hướng đến File -> Quit từ thanh menu.
13. Bây giờ, hãy điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và nhấp đúp vào DNS Remote Shell.pcap.
14. Lưu lượng mạng được thu thập trong tệp DNS Remote Shell.pcap bây giờ sẽ được hiển thị trong giao diện người dùng Wireshark, như được hiển thị trong ảnh chụp màn hình sau.
15. Trong bài thực hành này, chúng ta sẽ trình diễn một bất thường DNS do một shell từ xa cố gắng thiết lập kết nối với một cổng trên máy chủ DNS.
16. Vì DNS sử dụng cổng 53 để giao tiếp với máy khách, chúng ta sẽ lọc lưu lượng truyền trên cổng 53. Để lọc lưu lượng trên cổng 53, hãy nhập lệnh tcp.port == 53 vào trường Filter và nhấn Enter. Wireshark sẽ lọc lưu lượng trên cổng 53 và hiển thị nó như trong ảnh chụp màn hình sau.
17. Khi chúng ta kiểm tra địa chỉ IP đầu tiên từ gói tin được liệt kê, tức là gói tin 14, chúng ta thấy rằng cổng 1396 trên Source IP address (192.168.1.2) đang cố gắng kết nối với cổng 53 trên Destination IP address (192.168.1.3) thông qua yêu cầu (SYN). Như thấy trên 192.168.1.2, địa chỉ này đại diện cho máy chủ DNS. Khi chúng ta kiểm tra Packet 17, chúng ta thấy rằng địa chỉ IP 192.168.1.2, là máy chủ DNS, đang phản hồi với địa chỉ IP 192.168.1.3. Khi kiểm tra Packet 18, chúng ta thấy rằng 192.168.1.3 đang gửi một (SYN, ACK) (xác nhận SYN) cho 192.168.1.2 để thiết lập kết nối từ xa với máy chủ DNS. Từ các quan sát này, chúng ta có thể suy ra rằng 192.168.1.3 là máy khách đang cố gắng thiết lập kết nối từ xa với cổng 1396 trên cổng 53 với máy chủ DNS, như được chỉ ra trong các gói tin 14, 17 và 18 trong ảnh chụp màn hình bên dưới.
18. Bây giờ, chúng ta sẽ kiểm tra dữ liệu chảy qua các gói tin ở trên. Để xem dữ liệu theo trình tự, chúng ta sẽ sử dụng tùy chọn Follow TCP Stream trong Wireshark.
19. Nhấp chuột phải vào bất kỳ gói tin nào từ 14 đến 38

(ở đây, chúng ta đã nhấp chuột phải vào gói tin 14), chọn Follow từ menu ngữ cảnh, và sau đó nhấp vào TCP Stream từ danh sách thả xuống kết quả, như được hiển thị trong ảnh chụp màn hình bên dưới.
20. Thao tác trên sẽ mở cửa sổ Wireshark – Follow TCP Stream (tcp.stream eq 1) – DNS Remote Shell.pcap, cho thấy chúng ta rằng một danh sách thư mục đã được thực hiện trên máy từ xa (máy của nạn nhân) bởi kẻ tấn công, điều này thể hiện rõ từ ảnh chụp màn hình bên dưới. Điều này cho thấy kẻ tấn công đã cố gắng truy cập các tệp hoặc thư mục trên máy từ xa. Sau khi xem xong nội dung trong cửa sổ, hãy nhấp vào Close, như được hiển thị trong ảnh chụp màn hình.
21. Bây giờ, chúng ta sẽ tìm kiếm các nỗ lực brute-force FTP trên mạng. Đóng tệp thu thập gói tin hiện tại trong Wireshark.
22. Điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và nhấp đúp vào FTP Brute-Force.pcapng.
23. Các mục lưu lượng mạng được thu thập trong FTP Brute-Force.pcapng bây giờ sẽ được hiển thị trong cửa sổ giao diện người dùng Wireshark, như được hiển thị trong ảnh chụp màn hình sau.
24. Áp dụng bộ lọc ftp.response.code == 530 để theo dõi tất cả các lần đăng nhập không thành công trên FTP. Sau khi áp dụng bộ lọc, ứng dụng sẽ tìm nạp kết quả liên quan đến các lần đăng nhập không thành công, như được hiển thị trong ảnh chụp màn hình bên dưới.
25. Ảnh chụp màn hình ở trên cho thấy nhiều lần đăng nhập không thành công được thực hiện từ IP nguồn 10.10.1.11 đến IP đích 10.10.1.8, điều này cho thấy mạnh mẽ một cuộc tấn công brute-force.
26. Áp dụng bộ lọc ftp.response.code == 230 để xem các lần đăng nhập thành công trên máy chủ FTP. Ứng dụng sẽ tìm nạp kết quả cho thấy các lần đăng nhập thành công từ IP nguồn 10.10.1.11 đến IP đích 10.10.1.8, như được hiển thị trong ảnh chụp màn hình bên dưới. Điều này cho thấy kẻ tấn công đã lấy được thông tin đăng nhập của nạn nhân thành công.
27. Bây giờ, chúng ta sẽ tìm kiếm các nỗ lực tấn công SYN Flooding trên mạng. Đóng tệp thu thập gói tin hiện tại trong Wireshark.
28. Điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và nhấp đúp vào Syn Flooding.pcapng.
29. Bây giờ, các mục lưu lượng mạng được thu thập trong tệp Syn Flooding.pcapng sẽ được hiển thị trong cửa sổ giao diện người dùng Wireshark.
30. Chúng ta cần hiểu rằng trong một cuộc tấn công SYN Flooding, kẻ tấn công liên tục gửi các gói tin [SYN] đến địa chỉ IP của mục tiêu/nạn nhân. Đáp lại, nạn nhân liên tục gửi các gói tin xác nhận [SYN, ACK] đến kẻ tấn công, thông báo rằng họ đã sẵn sàng để thiết lập kết nối. Lý tưởng nhất là nếu kẻ tấn công thực sự muốn thiết lập kết nối với nạn nhân, họ sẽ gửi lại một gói tin xác nhận [ACK] cho nạn nhân để đáp lại gói tin xác nhận [SYN, ACK] của họ.
31. Tuy nhiên, trong một cuộc tấn công SYN Flooding, kẻ tấn công không bao giờ xác nhận các gói tin [SYN, ACK] của nạn nhân, mà tiếp tục gửi các gói tin [SYN] của riêng họ đến nạn nhân, làm tràn ngập mạng bằng các gói tin [SYN]. Cuối cùng, khi mạng của nạn nhân bị tràn ngập các gói tin [SYN] và nạn nhân xác nhận một trong các gói tin [SYN] này bằng gói tin [SYN, ACK] của họ, kẻ tấn công liên tục gửi các gói tin đặt lại [RST] đến nạn nhân để họ có thể tiếp tục làm tràn ngập mạng của nạn nhân bằng các gói tin [SYN].
32. Việc làm tràn ngập quá mức mạng của nạn nhân bằng các gói tin [SYN] này làm cho máy chủ không phản hồi, do đó gây ra một cuộc tấn công Từ chối Dịch vụ.
33. Cuộn xuống cửa sổ ứng dụng để tìm các gói tin SYN được gửi từ địa chỉ IP của kẻ tấn công hoặc Nguồn (10.10.1.8) đến địa chỉ IP của nạn nhân hoặc Đích (10.10.1.11), để đáp lại, nạn nhân xác nhận bằng các gói tin [SYN, ACK] của họ, như được chỉ ra trong ảnh chụp màn hình bên dưới.
34. Trong ảnh chụp màn hình ở trên, khu vực được tô sáng 1 cho thấy các gói tin [SYN] được gửi bởi kẻ tấn công đến nạn nhân, khu vực được tô sáng 2 cho thấy nạn nhân xác nhận các gói tin [SYN] của kẻ tấn công bằng các gói tin [SYN, ACK] của họ, khu vực được tô sáng 3 một lần nữa cho thấy các gói tin [SYN] được gửi bởi kẻ tấn công đến nạn nhân, và khu vực được tô sáng 4 một lần nữa cho thấy nạn nhân xác nhận các gói tin [SYN] của kẻ tấn công bằng các gói tin [SYN, ACK] của họ.
Trong bài thực hành này, chúng ta thấy rằng cuộc tấn công SYN Flooding bắt nguồn từ một địa chỉ IP duy nhất. Trong thời gian thực, bạn có thể thấy một kẻ tấn công sử dụng nhiều địa chỉ IP giả mạo để gây ra SYN Flooding.
35. Bây giờ hãy cuộn xuống xa hơn trong cửa sổ để tìm các gói tin [RST] lặp lại được gửi từ kẻ tấn công đến nạn nhân, như được hiển thị trong ảnh chụp màn hình bên dưới.
36. Nhiều gói tin [RST] được gửi bởi kẻ tấn công đến nạn nhân thay vì xác nhận các gói tin [SYN, ACK] của nạn nhân bằng gói tin [ACK], như đã thấy trong các ảnh chụp màn hình trong các bước trước đó, tạo thành bằng chứng mạnh mẽ về một cuộc tấn công SYN Flooding. Điều này có nghĩa là SYN Flooding bắt nguồn từ 10.10.1.8 (IP nguồn) và kết thúc tại 10.10.1.11 (IP đích).
37. Nhấp vào Statistics từ thanh menu và chọn I/O Graph từ danh sách thả xuống.
38. Cửa sổ Wireshark – I/O Graphs – Syn Flooding.pcapng sẽ mở ra hiển thị biểu đồ I/O cho các nỗ lực SYN Flooding. Để xem các trường hợp SYN Flooding, hãy đảm bảo rằng chỉ có tùy chọn TCP Errors được chọn, như được chỉ ra trong ảnh chụp màn hình bên dưới. Ứng dụng sẽ hiển thị cho bạn tất cả các trường hợp SYN Flooding đã cố gắng thông qua biểu đồ theo Packets/Second. Sau khi bạn xem xong biểu đồ này, hãy nhấp vào Close và quay lại cửa sổ chính của ứng dụng.
39. Bây giờ, hãy điều hướng đến Statistics -> Protocol Hierarchy từ thanh menu. Cửa sổ Wireshark Protocol Hierarchy Statistics – Syn Flooding.pcapng sẽ xuất hiện, nơi bạn có thể kiểm tra giá trị thống kê của mỗi giao thức. Như được chỉ ra trong ảnh chụp màn hình bên dưới, hãy kiểm tra chi tiết truyền gói tin so với Transmission Control Protocol (TCP), nơi bạn sẽ tìm thấy một lượng lớn các gói tin TCP, điều này cho thấy mạnh mẽ một cuộc tấn công SYN Flooding.
40. Bây giờ, chúng ta sẽ tìm kiếm các nỗ lực đầu độc ARP trên mạng. Đóng tệp thu thập gói tin hiện tại trong Wireshark.
41. Điều hướng đến E:\CHF\Tools\Evidence Files\Wireshark Sample Capture Files\Files for Network Forensics và nhấp đúp vào ARP Poisoning.pcapng.
42. Bây giờ, các mục lưu lượng mạng được thu thập trong tệp ARP Poisoning.pcapng sẽ được hiển thị trong cửa sổ giao diện người dùng Wireshark, như được hiển thị trong ảnh chụp màn hình bên dưới.
43. Khi ARP Poisoning đã được cố gắng, Wireshark sẽ phát hiện các địa chỉ IP trùng lặp trên giao thức ARP với thông báo cảnh báo Duplicate IP address detected for [IP address]. Do đó, chúng ta cần kiểm tra xem việc sử dụng địa chỉ IP trùng lặp đã được phát hiện hay chưa.
44. Để định vị địa chỉ IP trùng lặp trong lưu lượng, hãy áp dụng bộ lọc arp.duplicate-address-detected. Wireshark phát hiện địa chỉ IP trùng lặp trên giao thức ARP với thông báo cảnh báo Duplicate IP address detected for 10.10.1.1, như được hiển thị trong ảnh chụp màn hình bên dưới. Địa chỉ IP trùng lặp có thể được nhìn thấy trong bảng Packet Details ở giữa cửa sổ ứng dụng và trong bảng trên cùng của nó.
45. Theo cách này, bạn có thể phân tích các tệp thu thập gói tin đã ghi lại lưu lượng trên mạng như một phần của cuộc điều tra số.
46. Đóng tất cả các cửa sổ.

Thực hành 4: Phân tích nhật ký SSH

Kịch bản thực hành

Một tổ chức nghi ngờ rằng đã có sự gián đoạn trong các dịch vụ của họ liên quan đến SSH. Họ đã thuê Steve, một điều tra viên số, để điều tra sự cố. Steve bây giờ phải phân tích tệp nhật ký được trích xuất từ ảnh máy điều tra để kiểm tra các nhật ký liên quan đến dịch vụ SSH để tìm hoạt động đáng ngờ.

Mục tiêu thực hành

Mục tiêu của bài thực hành này là:

• Phân tích nhật ký SSH

Tổng quan về bài thực hành

Bài thực hành này giúp bạn làm quen với quy trình điều tra nhật ký SSH trong một cuộc điều tra.

Nhiệm vụ thực hành

1. Nhấp vào Ubuntu Forensics để chuyển sang máy Ubuntu Forensics.
2. Theo mặc định, hồ sơ người dùng jason được chọn, nhập toor vào trường Password và nhấn Enter để đăng nhập.
3. Bây giờ, chúng ta sẽ phân tích nhật ký SSH từ một tệp nhật ký cho các lần đăng nhập không thành công. Để làm như vậy, hãy nhấp vào biểu tượng Files từ bảng Favourites để khởi chạy cửa sổ File Manager.
4. Cửa sổ File Manager xuất hiện, trỏ đến thư mục Home. Nhấp vào thư mục được đánh dấu trang chfi-tools on 10.10.1.22.
5. Thư mục CHFI-Tools xuất hiện trong cửa sổ.
6. Bây giờ, hãy truy cập CHFIv11 Module 08 Network Forensics -> SSH logs và sao chép tệp auth.log và dán nó vào thư mục Home.
   Vì mục đích trình diễn, chúng ta đang thực hiện tác vụ này trên một tệp auth.log đã lưu. Trong thời gian thực, bạn có thể tìm thấy tệp auth.log tại /var/log.
7. Bây giờ, nhấp vào biểu tượng Terminal từ bảng khởi chạy để khởi chạy dòng lệnh terminal.
8. Dòng lệnh terminal khởi chạy. Bạn cần quyền root trong terminal để cài đặt một ứng dụng.
9. Bây giờ, nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
10. Bây giờ, bạn sẽ vào terminal root, như được hiển thị trong ảnh chụp màn hình sau.
11. Trong cửa sổ Terminal, nhập grep “Failed password” auth.log và nhấn Enter để liệt kê tất cả các lần đăng nhập SSH không thành công từ tệp auth.log.
12. Ngoài ra, bạn có thể chạy cat auth.log | grep “Failed password” để liệt kê tất cả các lần đăng nhập SSH không thành công từ tệp auth.log.
13. Chạy lệnh sau để xem một số thông tin bổ sung về các lần đăng nhập SSH không thành công: egrep “Failed|Failure” auth.log.
14. Bây giờ chúng ta sẽ liệt kê tất cả các địa chỉ IP đã cố gắng đăng nhập và không thể đăng nhập vào máy chủ SSH. Để làm như vậy, hãy nhập grep “Failed password” auth.log | awk ‘{print $11}’ | uniq -c | sort -nr trong cửa sổ Terminal và nhấn Enter.
15. Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng nỗ lực brute-force đã được thực hiện chỉ từ một địa chỉ IP (10.10.1.8).
16. Theo cách này, bạn có thể phân tích nhật ký SSH từ một tệp nhật ký cho các lần đăng nhập không thành công.
17. Đóng tất cả các cửa sổ.

Thực hành 5: Thu thập và phân tích các gói tin thô bằng Python

Kịch bản thực hành

Các điều tra viên có thể thu thập và phân tích các gói tin thô bằng Python, có thể được thực hiện bằng cách sử dụng các thư viện như Pyshark. Pyshark là một trình bao bọc cho Tshark (CLI của Wireshark) có thể truy cập dữ liệu gói tin bằng các thành ngữ Pythonic.

Mục tiêu thực hành

Các điều tra viên số phải có kiến thức tốt về việc thu thập và phân tích các gói tin thô bằng Python.

Mục tiêu thực hành

Việc điều tra các cuộc tấn công mạng bao gồm việc phân tích các gói tin di chuyển trên mạng tại một thời điểm nhất định để truy xuất các hiện vật tiết lộ hoặc xác nhận sự xuất hiện của các cuộc tấn công mạng khác nhau.

Mục tiêu của bài thực hành này là:

• Thu thập và phân tích các gói tin thô bằng Python.

Tổng quan về bài thực hành

Bài thực hành này giúp bạn làm quen với quy trình thu thập và phân tích các gói tin thô bằng Python.

Trong bài thực hành này, chúng tôi đang xem xét rằng dấu vết của cuộc điều tra không phải là một vấn đề lớn.

Nhiệm vụ thực hành

1. Nhấp vào Ubuntu Forensics để chuyển sang máy Ubuntu Forensics. Theo mặc định, hồ sơ người dùng jason được chọn, nhập toor làm mật khẩu vào trường Password và nhấn Enter để đăng nhập.
2. Bây giờ, nhấp vào biểu tượng Terminal từ bảng khởi chạy để khởi chạy dòng lệnh terminal.
3. Dòng lệnh terminal khởi chạy. Bạn cần quyền root trong terminal.
4. Bây giờ, nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
5. Bây giờ, chúng ta sẽ thu thập và phân tích các gói tin thô bằng tập lệnh Python. Trong cửa sổ terminal, nhập gedit packet_capture.py và nhấn Enter để mở cửa sổ trình soạn thảo văn bản.
   Bạn có thể đặt tên cho tệp theo tên bạn chọn.
6. Tệp packet_capture.py mở ra. Nhập mã như được hiển thị trong ảnh chụp màn hình.
   Trong tập lệnh python bên dưới, thư viện Pyshark có thể thu thập các gói tin mạng trong thời gian thực và phân tích chúng theo chương trình.
7. Sau khi lưu tệp packet_capture.py, đóng cửa sổ trình soạn thảo văn bản.
8. Trong cửa sổ Terminal, nhập pip install pyshark và nhấn Enter để cài đặt thư viện pyshark.
9. Bây giờ, nhập apt install tshark và nhấn Enter. Trong lời nhắc Do you want to continue?, nhập y và nhấn Enter để cài đặt thư viện tshark.
   Nếu bạn gặp bất kỳ lỗi nào trong khi cài đặt công cụ, hãy chạy apt-get update và nhấn Enter. Sau khi cập nhật các gói, hãy chạy lại lệnh trên.
10. Trong cửa sổ Configuring wireshark-common, hãy điều hướng đến No bằng phím mũi tên và nhấn Enter.
11. Sau khi cài đặt thư viện tshark, nhập python3 packet_capture.py trong Terminal và nhấn Enter.
    Để thuận tiện, chúng tôi đã đặt sẵn tập lệnh Python (packet_capture.py) tại chfi-tools on 10.10.1.22\CHFIv11 Module 08 Network Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp packet_capture.py và dán nó vào thư mục Home.
12. Tập lệnh python bắt đầu chạy và các gói tin thô sẽ được thu thập và hiển thị trong cửa sổ Terminal.
    Sẽ mất một thời gian để thu thập các gói tin.
13. Theo cách này, bạn có thể thu thập và phân tích các gói tin thô bằng Python.
14. Đóng tất cả các cửa sổ.