DFLab - nơi tập hợp tri thức,
công cụ hỗ trợ phân tích, điều tra tấn công mạng
Cung cấp các sổ tay hướng dẫn điều tra, xử lý sự cố
Sổ tay ứng cứu sự cố
Sổ tay ứng cứu sự cố hướng dẫn, đưa ra các bước giải
quyết các sự cố trong công việc hoặc tình
huống khẩn cấp. Sổ tay bao gồm các thông tin, cách thực hiện các bước, các quy trình xử lý sự cố, các
thông tin liên quan đến các
nguồn lực và thiết bị ứng cứu.
Sổ tay ứng cứu sự cố giúp chuyên gia, cán bộ kỹ thuật có thể nhanh chóng đưa ra các
quyết định, hành động đúng cách, giảm thiểu thiệt hại và đảm bảo an toàn trong tình
huống khẩn cấp.
Sổ tay ứng cứu sự cố mô tả quá trình cần thiết để quản lý các sự cố trên không
gian mạng, cùng với các phản hồi và cách giải quyết để ngăn chặn hoặc hạn chế thiệt
hại có thể gây ra.
Việc áp dụng sổ tay sẽ giúp giảm phạm vi, tác động và mức độ
ảnh hưởng của sự cố tới hệ thống CNTT và tổ chức.
Danh sách sổ tay »
Sổ tay phishing
Phishing là một kỹ thuật tấn công giả mạo một trang web hoặc một email để lừa đảo người dùng tiết lộ
thông tin cá nhân như tên đăng nhập, mật khẩu, số thẻ tín dụng hoặc tải về một phần mềm độc hại.
Sổ tay ứng cứu sự cố phishing cung cấp các thông tin cơ bản về phishing, cách phát hiện và ứng phó với
các cuộc tấn công phishing.
Sổ tay ứng cứu sự cố phishing
đưa ra 6 giai đoạn để thực hiện: Chuẩn bị, Nhận diện, Phân tích, Xử lý, Khôi phục, Hậu sự cố.
Từng giai đoạn
có các bước cụ thể, xác định hành động cụ thể cho chuyên viên thực hiện điều tra, ứng cứu sự cố cụ
thể.
Chi tiết Sổ tay phishing »
Sổ tay malware
Mã độc (malware) là phần mềm độc hại được thiết kế để xâm nhập vào hệ thống của người dùng và thực
hiện các tác vụ không được sự cho
phép như thu thập thông tin nhạy cảm (mật khẩu, khóa bí mật, số thẻ tín dụng), lợi dụng tài nguyên của
hệ thống để đào tiền ảo, mã hóa hệ thống để đòi tiền chuộc, phá hoại hệ thống,...
Sổ tay ứng cứu sự cố malware cung cấp các thông tin cơ bản về
malware, cách phát hiện và loại bỏ malware.
Sổ tay cung cấp các phương pháp phát
hiện, phòng ngừa các cuộc tấn công malware, cách kiểm tra, loại bỏ các tệp tin độc hại, cập
nhật phần mềm, hướng dẫn về cách lưu trữ, sao lưu tệp tin quan trọng để tránh
mất dữ liệu do các cuộc tấn công malware.
Sớm ra mắt..
Chúng tôi đang thực hiện xây
dựng sổ tay
này.
Huấn luyện kỹ năng phân tích, điều tra tấn công mạng thông qua các tình huống giả định
Tình huống giả định
Các tình huống của DFLab được xây dựng dựa trên việc mô phỏng các cuộc tấn công mạng nhắm vào nhiều
thành phần khác nhau trong hệ thống mạng, thu thập các nhật ký, bằng chứng để người phân tích rà soát,
tìm kiếm các dấu hiệu, hành động của kẻ tấn công.
Mỗi tình huống bao gồm các mục sau:
Bối cảnh, Câu hỏi, Tệp đính kèm.
Đội ngũ ứng cứu, điều tra sự cố, các chuyên gia, học viên, sinh viên là người chơi (hoặc đội chơi)
truy cập vào từng tình huống chúng tôi đã xây dựng. Dựa vào bối cảnh và các tệp đính kèm, các chuyên
gia thực hiện phân tích, tìm kiếm dấu hiệu, bằng chứng của kẻ tấn công để lại trên nhật ký, qua đó trả
lời được các câu hỏi chúng tôi đặt ra.
Sau khi trả lời được các câu hỏi, người chơi sẽ viết 01 báo cáo sự cố (tệp pdf hoặc docx, pptx,...)
gửi cho chúng tôi, chúng tôi sẽ xem xét tổng thể quá trình ứng cứu, điều tra sự cố, từ đó đưa ra điểm
số phù hợp.
Các đội chơi có thành tích điểm số cao sẽ được vinh danh trên hệ thống xếp hạng của
chúng tôi và top 3
sẽ nhận được các phần quà đến từ VNCERT/CC.
Danh sách Tình huống »
Tấn công toàn diện
Bối cảnh:
Qua hệ thống giám sát IDS, đội
ngũ quản trị, vận hành hệ thống phát hiện một cuộc tấn công tới hệ thống mạng, máy chủ của DFCorp.
Quản trị viên nhanh chóng thực hiện các công việc sau:
1. Tiếp tục kiểm tra, theo dõi cuộc tấn công
2. Bật tcpdump và bắt các gói tin, lưu lượng truy cập trong mạng
Tuy nhiên, do năng lực hạn chế, đội ngũ quản trị đã không thể phát hiện sâu hơn các hành vi của kẻ tấn
công. Vài ngày sau đó, đội ngũ quản trị nhận được báo cáo từ người dùng rằng máy tính của họ cặp trục
trặc, hay bị đơ, không làm việc được. Cùng thời gian đó, máy chủ Email của hệ thống hoạt động chập
chờn, CPU luôn ở mức 99%.
Bạn, với vai trò là chuyên viên điều tra, ứng cứu sự cố, hãy giúp công ty DFCorp điều tra sự cố này.
Chi tiết Tình huống 1 »
Tấn công hệ thống ảo hóa
Bối cảnh:
Một máy chủ VMWare ESXi của Công ty đã bị tấn công, đội ngũ quản trị viên cũng không biết rõ cho tới
khi kẻ tấn công đã để lại lời nhắn cho Công ty, khi quản trị viên vào giao diện web, màn hình hiện
thông báo rằng toàn bộ tệp tin đã bị mã hóa.
Quản trị viên biết rằng có một cách khác để lấy lại các máy ảo mà không qua web, đó là SSH, nhưng
không thành công, đồng thời, cách này đã bị kẻ tấn công nắm bắt.
Sau một hồi khám phá, chúng tôi tìm được giao diện cũ của ESXi qua đường dẫn /index1.html. Tuy nhiên,
máy ảo không thể được Bật (thông báo lỗi).
Máy ảo này rất quan trọng với Công ty chúng tôi, hãy giúp chúng tôi khôi phục lại dữ liệu và tìm ra
nguyên nhân.
Chi tiết Tình huống 2 »
Liên hệ đóng góp và hỗ trợ kỹ thuật
Các chuyên gia, học viên, sinh viên, tổ chức, công ty,... có thể đóng góp bộ công cụ, tình huống và các thành phần khác của DFLab cho VNCERT/CC qua github hoặc liên hệ: