Một vài điều cần biết về Forensics trong các thử thách CTF

RESEARCH CREW
10:20 07/11/2020

 

Forensics trong các thử thách CTF

Trong ngữ cảnh CTF, các thử thách (challenge) "Forensics" (Digital Forensics - điều tra bằng chứng số) có thể bao gồm phân tích định dạng tập tin,  ẩn giấu thông tin (steganography), phân tích kết xuất bộ nhớ (memory dump), hoặc phân tích gói tin mạng bắt được (network forensics). Bất kỳ thử thách (challenge) nào để kiểm tra và xử lý một phần thông tin ẩn trong các tập tin dữ liệu tĩnh (trái ngược với các chương trình thực thi hoặc máy chủ từ xa) đều có thể được coi là một thách thức của Forensics (trừ khi nó liên quan đến mật mã, trong trường hợp đó, nó có thể thuộc danh mục Crypto - mã hóa).

Ngoài ra, một số mảng Forensics có thể được kể đến như là:

Forensics là một danh mục CTF khá rộng và thường không nằm gói gọn trong bất kỳ vai trò công việc cụ thể nào trong ngành an ninh-bảo mật, mặc dù một số thử thách (challenge) của nó mô phỏng các loại nhiệm vụ thường được thấy trong Ứng phó sự cố (Incident Response - IR). Ngay cả trong công việc Ứng phó sự cố, người điều tra bằng chứng số (forensics) máy tính thường thực hiện các nhiệm vụ thuộc lĩnh vực thực thi tìm kiếm dữ liệu chứng minh và xác định trách nhiệm - nguyên nhân sự cố, chứ không phải thực hiện nhiệm vụ như người ứng phó sự cố chỉ quan tâm đến việc trục xuất, ngăn chặn kẻ tấn công và khôi phục tính toàn vẹn của hệ thống.

Không giống như hầu hết các thử thách Forensics trong các cuộc chơi CTF, một tác vụ forensics trên máy tính trong thế giới thực rất hiếm liên quan đến việc làm sáng tỏ một một đoạn mã bao gồm các byte được mã hóa (encoding) kỳ công, dữ liệu ẩn, tập tin giấu bên trong tập tin khác hoặc các câu đố hóc búa mang tính thách đố như vậy. Người ta thường sẽ không phá một vụ án hình sự bằng cách cẩn thận lắp ráp lại một tệp PNG bị hỏng, hay phân tích một bức ảnh được tìm thấy với mã QR sau đó giải mã thành mật khẩu cho một kho lưu trữ zip có chứa một tập tin có thông tin câu trả lời trong đó. Thay vào đó, forensics trong thế giới thực thường yêu cầu người thực hiện phải tìm bằng chứng gián tiếp về các yếu tố độc hại: dấu vết của kẻ tấn công trên hệ thống hoặc dấu vết của hành vi "insider threat" (nội gián). Điều tra bằng chứng trên máy tính trong thế giới thực phần lớn là biết tìm manh mối buộc tội ở đâu trong nhật ký (log), trong bộ nhớ, trong filesystem/registry, các tập tin liên quan và meta-data (siêu dữ liệu) của filesystem. Ngoài ra, mảng điều tra mạng (network forensics) thiên về phân tích metadata (siêu dữ liệu) hơn là phân tích nội dung (content/payload), vì hiện nay hầu hết các phiên kết nối mạng (network session) đều được mã hóa TLS giữa các điểm cuối.

Các kỹ năng cần thiết để chơi "Forensics"

Để giải quyết các thử thách CTF thuộc lĩnh vực Forensics, các kỹ năng hữu ích nhất mà một người chơi CTF nên trang bị bao gồm:

Kỹ năng đầu tiên và thứ hai người bắt đầu có thể học và thực hành độc lập trong các lĩnh vực khác nhau, nhưng điều thứ ba có thể chỉ đến từ kinh nghiệm.

Hy vọng rằng với bài viết này, ít nhất bạn có thể có được một hiểu biết cơ bản để có một khởi đầu tốt trong mảng CTF Forensics. Và tất nhiên, giống như hầu hết các trò chơi CTF khác, môi trường lý tưởng là một hệ thống Linux - đôi khi là - Windows được cài đặt trong một máy ảo.

 

 

TIN LIÊN QUAN
Trong bài viết này, CLB Wanna.W^n sẽ hướng dẫn các bạn cách sử dụng nền tảng wannaGame với các bước thực hiện như sau: Đăng ký tài khoản Bước 1: Truy cập đường dẫn nền tảng wannaGame: https://cnsc.uit.edu.vn/ctf/ Bước 2: Chọn nút Register Bước 3: Tại màn hình đăng ký,...
CLB An toàn Thông tin Wanna.One chia sẻ một số Challenges giải được và việc chia sẻ writeup nhằm mục đích giao lưu học thuật. Mọi đóng-góp ý-kiến bọn mình luôn-luôn tiếp nhận qua mail: wannaone.uit@gmail.com hoặc inseclab@uit.edu.vn và fanpage: fb.com/inseclab Web @AP DISCO PARTY @AP GITFILE EXPLORER @AP miniblog++...
Cookie Arena được tổ chức bởi Cookie Hân Hoan, một tổ chức giáo dục nhằm phổ biến kiến thức an ninh mạng đến với cộng đồng bằng sự đồng cảm, tươi vui và hài hước. "Xin chào, mình là Gấu aka th3_5had0w đến từ Wanne.One, với tư cách là á...