Digital Forensics Lab
Nền tảng hỗ trợ điều tra số
bởi Cục An toàn thông tin (VNCERT/CC)

DFLab - nơi tập hợp tri thức,
công cụ hỗ trợ phân tích, điều tra tấn công mạng

Dữ liệu, chứng cứ về các tình huống tấn công mạng Sổ tay ứng cứu sự cố Hướng dẫn sử dụng các công cụ Hệ thống, công cụ săn lùng mối nguy hại và xử lý sự cố từ xa Hệ thống phân tích nhật ký hệ thống, ứng dụng Hệ thống tự động phân tích mã độc Phân tích các cuộc tấn công khai thác lỗ hổng hệ thống, ứng dụng Phân tích, săn lùng mối nguy hại Phân tích, điều tra các cuộc tấn công sử dụng mã độc

Tái hiện các cuộc tấn công mạng điển hình qua hệ thống mô phỏng thực tế

Xem các tình huống

Cung cấp các sổ tay hướng dẫn điều tra, xử lý sự cố

Sổ tay ứng cứu sự cố

IT infrastructure management & operation icon

Sổ tay ứng cứu sự cố hướng dẫn, đưa ra các bước giải quyết các sự cố trong công việc hoặc tình huống khẩn cấp. Sổ tay bao gồm các thông tin, cách thực hiện các bước, các quy trình xử lý sự cố, các thông tin liên quan đến các nguồn lực và thiết bị ứng cứu.

Sổ tay ứng cứu sự cố giúp chuyên gia, cán bộ kỹ thuật có thể nhanh chóng đưa ra các quyết định, hành động đúng cách, giảm thiểu thiệt hại và đảm bảo an toàn trong tình huống khẩn cấp.

Sổ tay ứng cứu sự cố mô tả quá trình cần thiết để quản lý các sự cố trên không gian mạng, cùng với các phản hồi và cách giải quyết để ngăn chặn hoặc hạn chế thiệt hại có thể gây ra.
Việc áp dụng sổ tay sẽ giúp giảm phạm vi, tác động và mức độ ảnh hưởng của sự cố tới hệ thống CNTT và tổ chức.
Danh sách sổ tay »

Sổ tay phishing​

IT consulting & mentoring

Phishing là một kỹ thuật tấn công giả mạo một trang web hoặc một email để lừa đảo người dùng tiết lộ thông tin cá nhân như tên đăng nhập, mật khẩu, số thẻ tín dụng hoặc tải về một phần mềm độc hại.

Sổ tay ứng cứu sự cố phishing cung cấp các thông tin cơ bản về phishing, cách phát hiện và ứng phó với các cuộc tấn công phishing.

Sổ tay ứng cứu sự cố phishing đưa ra 6 giai đoạn để thực hiện: Chuẩn bị, Nhận diện, Phân tích, Xử lý, Khôi phục, Hậu sự cố.
Từng giai đoạn có các bước cụ thể, xác định hành động cụ thể cho chuyên viên thực hiện điều tra, ứng cứu sự cố cụ thể.
Chi tiết Sổ tay phishing »

Sổ tay malware

IT security icon

Mã độc (malware) là phần mềm độc hại được thiết kế để xâm nhập vào hệ thống của người dùng và thực hiện các tác vụ không được sự cho phép như thu thập thông tin nhạy cảm (mật khẩu, khóa bí mật, số thẻ tín dụng), lợi dụng tài nguyên của hệ thống để đào tiền ảo, mã hóa hệ thống để đòi tiền chuộc, phá hoại hệ thống,...

Sổ tay ứng cứu sự cố malware cung cấp các thông tin cơ bản về malware, cách phát hiện và loại bỏ malware.
Sổ tay cung cấp các phương pháp phát hiện, phòng ngừa các cuộc tấn công malware, cách kiểm tra, loại bỏ các tệp tin độc hại, cập nhật phần mềm, hướng dẫn về cách lưu trữ, sao lưu tệp tin quan trọng để tránh mất dữ liệu do các cuộc tấn công malware.

Sớm ra mắt..
Chúng tôi đang thực hiện xây dựng sổ tay này.

Huấn luyện kỹ năng phân tích, điều tra tấn công mạng thông qua các tình huống giả định

Tình huống giả định

IT infrastructure management & operation icon

Các tình huống của DFLab được xây dựng dựa trên việc mô phỏng các cuộc tấn công mạng nhắm vào nhiều thành phần khác nhau trong hệ thống mạng, thu thập các nhật ký, bằng chứng để người phân tích rà soát, tìm kiếm các dấu hiệu, hành động của kẻ tấn công.

Mỗi tình huống bao gồm các mục sau: Bối cảnh, Câu hỏi, Tệp đính kèm.

Đội ngũ ứng cứu, điều tra sự cố, các chuyên gia, học viên, sinh viên là người chơi (hoặc đội chơi) truy cập vào từng tình huống chúng tôi đã xây dựng. Dựa vào bối cảnh và các tệp đính kèm, các chuyên gia thực hiện phân tích, tìm kiếm dấu hiệu, bằng chứng của kẻ tấn công để lại trên nhật ký, qua đó trả lời được các câu hỏi chúng tôi đặt ra.

Sau khi trả lời được các câu hỏi, người chơi sẽ viết 01 báo cáo sự cố (tệp pdf hoặc docx, pptx,...) gửi cho chúng tôi, chúng tôi sẽ xem xét tổng thể quá trình ứng cứu, điều tra sự cố, từ đó đưa ra điểm số phù hợp.

Các đội chơi có thành tích điểm số cao sẽ được vinh danh trên hệ thống xếp hạng của chúng tôi và top 3 sẽ nhận được các phần quà đến từ VNCERT/CC.

Danh sách Tình huống »

Tấn công toàn diện

IT consulting & mentoring

Bối cảnh:

Qua hệ thống giám sát IDS, đội ngũ quản trị, vận hành hệ thống phát hiện một cuộc tấn công tới hệ thống mạng, máy chủ của DFCorp. Quản trị viên nhanh chóng thực hiện các công việc sau:

1. Tiếp tục kiểm tra, theo dõi cuộc tấn công
2. Bật tcpdump và bắt các gói tin, lưu lượng truy cập trong mạng

Tuy nhiên, do năng lực hạn chế, đội ngũ quản trị đã không thể phát hiện sâu hơn các hành vi của kẻ tấn công. Vài ngày sau đó, đội ngũ quản trị nhận được báo cáo từ người dùng rằng máy tính của họ cặp trục trặc, hay bị đơ, không làm việc được. Cùng thời gian đó, máy chủ Email của hệ thống hoạt động chập chờn, CPU luôn ở mức 99%.

Bạn, với vai trò là chuyên viên điều tra, ứng cứu sự cố, hãy giúp công ty DFCorp điều tra sự cố này.

Chi tiết Tình huống 1 »

Tấn công hệ thống ảo hóa

IT security icon

Bối cảnh:

Một máy chủ VMWare ESXi của Công ty đã bị tấn công, đội ngũ quản trị viên cũng không biết rõ cho tới khi kẻ tấn công đã để lại lời nhắn cho Công ty, khi quản trị viên vào giao diện web, màn hình hiện thông báo rằng toàn bộ tệp tin đã bị mã hóa.

Quản trị viên biết rằng có một cách khác để lấy lại các máy ảo mà không qua web, đó là SSH, nhưng không thành công, đồng thời, cách này đã bị kẻ tấn công nắm bắt.

Sau một hồi khám phá, chúng tôi tìm được giao diện cũ của ESXi qua đường dẫn /index1.html. Tuy nhiên, máy ảo không thể được Bật (thông báo lỗi).

Máy ảo này rất quan trọng với Công ty chúng tôi, hãy giúp chúng tôi khôi phục lại dữ liệu và tìm ra nguyên nhân.

Chi tiết Tình huống 2 »

Liên hệ đóng góp và hỗ trợ kỹ thuật

Các chuyên gia, học viên, sinh viên, tổ chức, công ty,... có thể đóng góp bộ công cụ, tình huống và các thành phần khác của DFLab cho VNCERT/CC qua github hoặc liên hệ:

Oops! Something went wrong while submitting the form.

Chung nhan Tin Nhiem Mang
DFLab  | VNCERT/CC  | Email: [email protected] | Tel: +84 869 100 317
DFLab  | VNCERT/CC
Email: [email protected] | Tel: +84 869 100 317