Module 12: CLOUD FORENSICS

Lab 1: Kiểm tra Log Data trên Amazon CloudWatch Console

Amazon CloudWatch giúp thu thập và lưu trữ các nhật ký được tạo ra bởi các tài
nguyên AWS khác nhau, chẳng hạn như các Instance EC2, CloudTrail, v.v. tại
một vị trí trung tâm. Trong trường hợp xảy ra vi phạm an ninh, các nhà điều tra
có thể giám sát và phân tích các nhật ký CloudWatch để xác định điều gì đã xảy
ra và các tài nguyên AWS nào liên quan.
Kịch bản:
Đội ngũ vận hành của một công ty sản xuất nhận thấy rằng một trong các
Instance EC2 tên là Production machine đã hoạt động bất thường. Đội ngũ đã
liên hệ với bộ phận an ninh đám mây và bổ nhiệm Jason, một điều tra viên pháp
y, để điều tra trường hợp này.
Trong giai đoạn điều tra trước, Jason đã biết rằng máy Production chạy một máy
chủ Apache và các tệp nhật ký liên quan của nó được lưu trữ trên CloudWatch.
Jason cần kiểm tra các nhật ký CloudWatch để xác định điều gì đã xảy ra.
Mục tiêu:
Phân tích các mục nhật ký cụ thể với CloudWatch Insights trên Amazon
CloudWatch Console.
Thực hiện:
1.Kiểm tra các tệp nhật ký trên Amazon CloudWatch thường yêu cầu quyền
admin từ khách hàng. Vì đây là môi trường thực hành, bạn sẽ sử dụng tài khoản
AWS của riêng mình để tiến hành điều tra.
2. Để tiếp tục với bài thực hành này, bạn phải hoàn thành các nhiệm vụ cấu hình
được nêu trong CT#27 - AWS CT#32 trong CHFIv10 Lab Setup Manual.
3. Đăng nhập vào máy ảo Windows Server 2016.
4. Mở trình Browse và đăng nhập vào tài khoản AWS của bạn bằng tên người
dùng và mật khẩu.

5. Sau khi đăng nhập, bạn sẽ thấy AWS Management Console trên màn hình.
Trong thanh Search mà bạn thấy trên console, gõ EC2, và sau đó chọn tùy chọn
EC2 Virtual Servers in the Cloud từ menu thả xuống kết quả.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của AWS Management
Console, bạn có thể thấy thanh Search ngay bên cạnh nút Services.
 6. Bạn sẽ được chuyển hướng đến console EC2. Ở ngăn bên trái của cửa sổ,
nhấp vào tùy chọn Instances trong danh mục Instances. Thao tác này sẽ đưa bạn
đến trang Instances, nơi bạn sẽ thấy các Instance hiện đang được triển khai.

Lưu ý: Đảm bảo rằng cả máy Production và CHFI Forensic Workstation đều
đang ở trạng thái chạy để thực hiện các bước tiếp theo trong bài thực hành.
7. Vì các tệp nhật ký của Instance Production machine cần được điều tra, điều
cần thiết là cấu hình và đính kèm một Security Groups hạn chế cho Instance này,
không cho phép bất kỳ lưu lượng mạng nào ra ngoài và chỉ cho phép kết nối
SSH inbound từ một địa chỉ IP bên ngoài cụ thể. Điều này giúp cô lập Instance
khỏi môi trường sản xuất và ngăn chặn bất kỳ truy cập trái phép nào vào
Instance này.
8. Để đính kèm Security Groups hạn chế vào Production machine instance:Cuộn
xuống ngăn bên trái của cửa sổ và nhấp vào Security Groups trong danh mục
Network & Security. Tất cả các Security Groups được cấu hình sẽ xuất hiện trên
trang Security Groups, như được minh họa qua các ảnh chụp màn hình dưới đây.
Nhấp vào nút Create security group.

9. Bây giờ, trang tạo Security Groups sẽ xuất hiện. Tại đây, phần Basic details sẽ
xuất hiện đầu tiên. Trong phần này, bạn cần cung cấp Security group name,
Description, và chọn ID VPC. Nhập CHFI Restricted Group làm Security group
name, gõ For isolating EC2 instances trong trường Description, và để mặc định
ID VPC.

10. Cuộn xuống và phần Inbound rules sẽ xuất hiện. Thực hiện các bước sau:
- A. Nhấp vào Add rule. Một Inbound rules sẽ được tạo ra.
- B. Chọn Type là SSH.
- C. Chọn Source type là My IP.
- D. Sau khi chọn My IP là Source type, hộp Source sẽ tự động được cấu hình
với một phạm vi IP bao gồm địa chỉ IP công cộng của bạn.

11. Cuộn xuống thêm và phần Outbound rules sẽ xuất hiện. Bạn sẽ thấy rằng
một Outbound rules đã được cấu hình sẵn. Outbound rules cấu hình sẵn này cho
phép bất kỳ Instance EC2 nào kết nối với bất kỳ địa chỉ IP nào, điều này không
mong muốn. Vì chúng ta không cần Outbound rules, chúng ta sẽ nhấp vào
Delete để xóa Outbound rules được cấu hình sẵn.

12. Cuộn xuống thêm nữa; phần Tags - optional sẽ xuất hiện. Bạn không cần
thêm bất kỳ thẻ nào cho Security Groups này.
13. Cuộn xuống cuối trang và nhấp vào Create security group.

14. Một thông báo pop-up sẽ xuất hiện thông báo rằng Security Groups
(<security group id> | CHFI Restricted Group) đã được tạo thành công.

15. Bây giờ, bạn cần đính kèm Security Groups mới cấu hình này vào
Production machine instance. Để làm điều này, cuộn lên ngăn bên trái của cửa
sổ và nhấp vào tùy chọn Instances trong danh mục Instances. Trang Instances sẽ
xuất hiện, liệt kê tất cả các Instance đã triển khai.

16. Chọn Production machine và điều hướng đến Actions > Networking >
Change security groups.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của AWS Management
Console, bạn có thể phải điều hướng đến Actions > Security > Change security
groups.

17. Bạn sẽ được chuyển đến trang Change security groups. Nhấp vào trường
được cung cấp dưới Associated security groups và chọn CHFI Restricted Group
từ menu thả xuống xuất hiện. Tiếp theo, nhấp vào nút Add Security Group mà
bạn thấy bên cạnh trường mà chúng ta đã chọn CHFI Restricted Group trong
phần Associated security groups. Bạn bây giờ sẽ thấy rằng CHFI Restricted
Group đã được thêm vào danh sách các Security Groups liên kết với Production
machine instance. Bây giờ, nhấp vào nút Remove mà bạn thấy bên cạnh Security
Groups Production. Bằng cách làm này, chúng ta chỉ cho phép CHFI Group
Restricted Group được đính kèm vào Production machine instance. Cuối cùng,
nhấp vào Save ở dưới cùng của trang để hoàn tất quá trình đính kèm CHFI
Group Restricted Group vào Production machine instance.
18. Bạn sẽ nhận được thông báo rằng Security Groups cho Production machine
instance đã được thay đổi thành công. Điều này có nghĩa là CHFI Group
Restricted Group đã được đính kèm vào Production machine instance. Bạn có
thể xác nhận điều này bằng cách làm mới trang web và sau đó kéo thanh cuộn
ngang lên trường Security group name Security Group name.

19. Vì CHFI Group Restricted Group đã được cấu hình và đính kèm vào
Production machine instance, bạn bây giờ có thể bắt đầu kiểm tra các tệp nhật
ký trên CloudWatch. Nhấp vào Services ở phía trên bên trái của cửa sổ, gõ
CloudWatch trong thanh Search xuất hiện và chọn CloudWatch từ menu thả
xuống.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của AWS Management
Console, bạn có thể tìm thấy thanh Search ngay bên cạnh nút Services. Do đó,
bạn có thể gõ truy vấn tìm kiếm của mình trực tiếp vào thanh Search mà không
cần nhấp vào Services.
20. AWS Management Console xuất hiện trên màn hình. Từ ngăn bên trái của
cửa sổ ứng dụng, chọn Insights trong danh mục Logs để được chuyển hướng đến
trang Insights.

21. Tính năng Insights trong danh mục Logs của CloudWatch Mangament
Console cho phép bạn chạy các truy vấn khác nhau trên các nhóm nhật ký khác
nhau để lọc và hiển thị ngay các mục nhật ký liên quan. Bạn cũng có thể tải
xuống kết quả truy vấn ở định dạng tệp .csv để phân tích thêm. Để bắt đầu, bạn
cần chọn nhóm nhật ký mà bạn muốn chạy truy vấn. Chúng ta sẽ kiểm tra các
tệp nhật ký truy cập của Production machine instance.
22. Để làm điều này, nhấp vào hộp Select log group(s) ở đầu trang, và kiểm tra
productionmachine-accesslog, như được chỉ ra trong ảnh chụp màn hình dưới
đây:

23. Bạn bây giờ cần chọn một khoảng thời gian. Để chọn một khoảng thời gian,
nhấp vào mũi tên hướng xuống trên hộp ở đầu hiển thị các khoảng thời gian như
15m, 30m, 1h, 6h, 12h, 1d, và custom. Một cửa sổ ngày sẽ mở ra với hai tùy
chọn: Absolute (được chọn theo mặc định) và Relative. Dưới tab Absolute, bạn
sẽ thấy tất cả các ngày của tháng trước và tháng hiện tại. Bạn có thể điều hướng
qua lại để chọn các tháng khác.
Lưu ý: Nếu bạn làm việc trên Instance cập nhật của CloudWatch Mangament
Console, bạn có thể chỉ thấy các khoảng thời gian như 5m, 30m, 1h được chỉ
định trên hộp ở đầu, cùng với một tùy chọn gọi là Custom có biểu tượng lịch.
Bạn cần nhấp vào Custom để xem các tab Absolute và Relative (được chọn theo
mặc định). Nhấp vào tab Absolute để xem các ngày của tháng trước và tháng
hiện tại.
24. Để chọn một khoảng ngày trong tháng, nhấp vào một ngày, ngày đó sẽ được
tự động chọn làm ngày bắt đầu. Bạn sẽ thấy một mũi tên chỉ về phía các ngày
tiếp theo. Khi bạn nhấp vào bất kỳ ngày tiếp theo nào, một mũi tên khác sẽ xuất
hiện ngược chiều với ngày bắt đầu. Đây được đánh dấu là ngày kết thúc. Các ô
bên dưới các tháng phản ánh khoảng ngày bạn đã chọn cùng với khoảng thời
gian. Ở đây, chúng ta đã chọn khoảng ngày từ 13 tháng 9 đến 17 tháng 9 năm
2020. Sau khi cấu hình, chọn Apply.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của CloudWatch Mangament
Console, ngày bắt đầu và ngày kết thúc sẽ được phản ánh ở trên cùng một khi
tab Absolute được chọn. Ngày đầu tiên được chọn sẽ được lấy làm ngày bắt đầu
và ngày thứ hai được chọn làm ngày kết thúc.
Lưu ý: Khoảng thời gian cho khoảng ngày đã chọn được hiển thị trong ảnh chụp
màn hình ở trên sẽ được tự động chọn khi áp dụng ngày bắt đầu và ngày kết
thúc.

Lưu ý: Bạn cần chọn khoảng ngày phù hợp để có thể lấy các mục nhật ký. Trong
trường hợp này, chúng ta đã chọn khoảng ngày từ 13 đến 17 tháng 9 năm 2020
vì cuộc tấn công path/directory traversal attack đã được thực hiện trên
Production machine instance trong khoảng thời gian này. Do đó, trong trường
hợp của bạn, hãy chọn khoảng ngày trong đó cuộc tấn công path/directory
traversal attack đã được thực hiện trên Production machine instance trong quá
trình thiết lập lab.
25. Sau khi nhóm nhật ký và khoảng ngày được chọn, bạn cần xây dựng một
truy vấn và chạy nó để kiểm tra các mục nhật ký cho bất kỳ dấu vết nào của
directory traversal attack.

26. Trong trường bên dưới tệp nhật ký đã chọn (tức là productionmachine-
accesslog), bạn sẽ thấy một số truy vấn như fields, sort và limit. Bạn có thể thay
đổi các truy vấn này hoặc thêm các truy vấn bổ sung. Một danh sách hoàn chỉnh
của sáu truy vấn được hỗ trợ nằm ở ngăn bên phải của cửa sổ dưới Query help.

27. Trong lab này, chúng ta sẽ sử dụng lệnh filter cho truy vấn. Lệnh filter giúp
xây dựng các truy vấn sử dụng các toán tử so sánh, toán tử Boolean và các biểu
thức chính quy. Di chuột con trỏ chuột qua lệnh filter để liên kết Add xuất hiện
và nhấp vào nó khi nó xuất hiện.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của CloudWatch Mangament
Console, bạn có thể tìm thấy danh sách hoàn chỉnh của tất cả các truy vấn được
hỗ trợ bao gồm lệnh filter bằng cách nhấp vào biểu tượng Help nằm ở bên phải
của trang web. Khi lệnh filter xuất hiện, nhấp vào nó và sau đó chọn Apply để
nhập nó vào hộp truy vấn.
28. Điều này sẽ nhập lệnh filter vào hộp truy vấn, hiển thị một ví dụ về cách nó
có thể được sử dụng. Bạn có thể sửa đổi lệnh filter để phù hợp với quy trình tìm
kiếm nhật ký của bạn.

29. Vì chúng ta đang tìm kiếm các dấu hiệu của directory traversal attack, chúng
ta sẽ sử dụng chuỗi dot-dot-slash (../) trong hộp truy vấn. Sửa đổi lệnh filter
thành filter @message like "../../../../" và nhấp vào nút Run query.

30. Chạy truy vấn này sẽ lấy tất cả các mục nhật ký chứa các chuỗi dot-dot-slash
từ tệp access.log của máy Production.

31. Các mục nhật ký truy cập Apache này chỉ ra rằng một directory traversal
attack đã được thử trên máy Production.
- Bạn có thể nhấp vào bất kỳ mục nhật ký cụ thể nào (mục nhật ký số 3 được
chọn trong ảnh chụp màn hình dưới đây) để phân tích sâu hơn (bạn cần nhấp vào
mũi tên hướng xuống ở bên trái của mục nhật ký để xem chi tiết).
- Định dạng nhật ký thông thường trong CloudWatch Logs Insights bao gồm
các mục sau:
@ingestionTime: Thời gian khi CloudWatch nhận được mục nhật ký trong định
dạng epoch Unix.
@log: AWSID cũng như tên nhóm nhật ký.
@logStream: Tên của luồng nhật ký được cấu hình cho nhóm nhật ký cụ thể đó.
@message: Mục nhật ký hoàn chỉnh.
@timestamp: Khi cuộc tấn công xảy ra trong định dạng epoch Unix. Điều này
cũng được phản ánh trong mục nhật ký.

32. Các GET requests trong tất cả các mục nhật ký ở trên bao gồm tham số
/chfi/abc.php, mà kẻ tấn công đã sử dụng để cố gắng truy cập các tệp nhạy cảm
khác được lưu trữ trên Production machine instance, chẳng hạn như /etc/passwd,
/etc/hostname, và /etc/sysctl.conf.

33. Bạn cũng có thể tải xuống kết quả truy vấn dưới dạng tệp .CSV. Nhấp vào
Actions và chọn Download query results (CSV) từ menu thả xuống. Tệp sẽ được
lưu với tên logs-insights-results.csv.

Lưu ý: Nếu bạn làm việc với Instance cập nhật của CloudWatch Mangament
Console, bạn cần điều hướng đến Export results và chọn Download table (CSV)
để tải xuống kết quả truy vấn.
34. Do đó, bạn có thể kiểm tra dữ liệu nhật ký bằng cách chạy các lệnh truy vấn
trên CloudWatch Logs.

Lab 2: Thu thập pháp y và kiểm tra Amazon EC2 Instance

Các Instance EC2 là một phần của dịch vụ cơ sở hạ tầng như một dịch vụ (IaaS)
của AWS. Khi điều tra một sự cố bảo mật trên nền tảng đám mây AWS liên
quan đến một Instance EC2, các điều tra viên pháp y cần thu thập ổ đĩa của
Instance này và gắn nó vào một Instance pháp y để phân tích thêm.
Kịch bản:
Sau khi phân tích dữ liệu nhật ký CloudWatch, điều tra viên pháp y Jason đã
biết về nhiều nỗ lực tấn công directory traversal attack trên Production machine
instance. Anh ta đã cấu hình và gắn một Security Groups hạn chế vào Instance
bị ảnh hưởng để cô lập nó khỏi môi trường sản xuất.
Bước tiếp theo trong cuộc điều tra, Jason cần thu thập pháp y ổ đĩa EBS của
Instance bị ảnh hưởng và gắn nó vào một máy trạm pháp y chạy trên AWS để
kiểm tra thêm.
Mục tiêu:
Hiểu cách lấy Snapshot ngoại tuyến của ổ đĩa EBS của một Instance EC2 bị ảnh
hưởng và chuyển đổi nó thành một ổ đĩa. Khi ổ đĩa chứng cứ được tạo, bạn cần
gắn nó vào một máy trạm pháp y chạy trên AWS và gắn nó để kiểm tra thêm.
Lab này giúp bạn làm quen với quá trình thu thập forensics từ một instance EC2
bị ảnh hưởng trên AWS, bao gồm tạo snapshot ngoại tuyến của EBS volume của
instance và chuyển đổi nó thành volume. Bạn cũng sẽ học cách đính kèm và gắn
kết Evidence Volume vào một máy trạm forensics để kiểm tra thêm.
Thực hiện:
1. Lab này là sự tiếp nối của Module 12 Cloud Forensics Lab 1 trong CHFIv10
Labs.
2. Khuyến nghị sử dụng tài khoản bảo mật AWS khác cho các máy trạm
forensics và các hoạt động forensics. Tuy nhiên, trong lab này, chúng ta sẽ sử
dụng cùng một tài khoản AWS đã sử dụng trong lab trước đó, nơi đã cấu hình
một máy trạm forensics tên là "CHFI Forensic Workstation". Chúng ta sẽ sử
dụng máy trạm này để đính kèm và gắn kết Evidence Volume của Production
machine instance.
3. Đăng nhập vào máy ảo Windows Server 2016.
4. Mở trình Browse và đăng nhập vào tài khoản AWS của bạn bằng tên người
dùng và mật khẩu.
5. Giao diện AWS Management Console xuất hiện trên màn hình. Gõ "EC2"
vào thanh tìm kiếm trên console và chọn "EC2 Virtual Servers in the Cloud" từ
danh sách.

Lưu ý: Nếu bạn làm việc trên Instance cập nhật của AWS Management Console,
bạn có thể thấy thanh Search ngay bên cạnh nút Services.
6. Bạn sẽ được đưa đến EC2 Dashboard. Ở bảng bên trái của cửa sổ, chọn
"Instances" dưới mục "Instances".
7. Trang Instances xuất hiện, hiển thị tất cả các instance EC2 đã được triển khai.
8. Bây giờ, chúng ta cần tạo snapshot của volume gốc của Production machine
instance. Tuy nhiên, trước khi làm điều này, chúng ta cần dừng Production
machine. Do đó, chọn Production machine instance và đi tới "Actions" >
"Instance state" > "Stop instance".
Lưu ý: Nếu bạn làm việc trên Instance cập nhật của AWS Management Console,
bạn cần chọn Production machine instance và điều hướng đến "Instance state" >
"Stop instance".
9. Một cửa sổ pop-up có tên "Stop Instance?" xuất hiện trên màn hình. Nó yêu
cầu xác nhận của bạn để dừng instance. Nhấp vào "Stop".

Lưu ý: Sẽ mất thời gian để instance chuyển sang trạng thái Stopped.
10. Production machine hiện đã vào trạng thái dừng.

11. Đảm bảo rằng Production machine đã được chọn. Bây giờ, trong tab
Storage, cuộn xuống để tìm Root device name..

12. Cũng trong tab Storage, khi bạn cuộn xuống thêm, bạn sẽ thấy phần Block
Devices, phần này liệt kê Volume ID của Root device. Nhấp vào Volume ID
này, như được chỉ ra trong ảnh chụp màn hình dưới đây:

13. Bạn sẽ được chuyển hướng đến trang Volumes. Trang này thuộc danh mục
Elastic Block Store, như được chỉ ra trong ảnh chụp màn hình dưới đây. Trên
trang này, bạn có thể thấy Volume ID của volume gốc của Instance Production
machine.
14. Để tạo Snapshot của root volume, hãy đảm bảo rằng volume được chọn và đi
tới Actions > Create Snapshot.

15. Bạn sẽ thấy trang Create Snapshot. Trang này chứa nhiều trường như
Volume, Description, và Encrypted, bên cạnh phần Add tag. Trường Volume sẽ
được cấu hình sẵn với Volume ID và trường Encrypted sẽ hiển thị Not
Encrypted. Trong trường Description, nhập Snapshot của Volume Production
machine. Bạn không cần thêm thẻ nào. Nhấp vào Create Snapshot.

16. Bạn sẽ thấy một thông báo đọc Create Snapshot Request Succeeded. Nhấp
vào Close và bạn sẽ được đưa trở lại trang Volumes.

17. Bây giờ, bạn cần tạo Evidence Volume từ Snapshot. Để làm điều này, chọn
Snapshot dưới danh mục Elastic Block Store từ ngăn bên trái của cửa sổ ứng
dụng. Bạn sẽ thấy Snapshot của volume gốc của Instance Production machine
được tạo trong bước trước.

18. Để tạo Evidence Volume từ Snapshot, hãy đảm bảo rằng Snapshot được
chọn và điều hướng đến Actions > Create Volume.

19. Bạn sẽ thấy trang Create Volume. Trang này có nhiều trường như Snapshot
ID, Volume Type, Size (GiB), IOPS, Availability Zone, v.v. Đảm bảo rằng
Availability Zone của volume sẽ được tạo và của CHFI Forensic Workstation là
giống nhau (trong lab này là us-east-2a). Các trường Snapshot ID và IOPS sẽ
được cấu hình sẵn. Giữ tất cả các trường khác ở mặc định, như được hiển thị
trong ảnh chụp màn hình dưới đây:

20. Cuộn xuống thêm và bạn sẽ thấy các trường khác như s Fast Snapshot
Restore, Encryption, và Add Tag. Fast Snapshot Restore sẽ được cấu hình sẵn là
Không Được Kích hoạt. Không chọn Mã hóa volume này trong trường Mã hóa
và không thêm bất kỳ thẻ nào. Nhấp vào Tạo Volume.

21. Bạn sẽ thấy một thông báo đọc Create Volume Request. Sao chép Volume
ID. Nhấp vào Close.

22. Bạn sẽ được chuyển hướng trở lại trang Snapshot. Nhấp vào Volume dưới
danh mục Elastic Block Store. Bạn sẽ được đưa đến trang Volumes, nơi bạn sẽ
thấy ba volume được liệt kê.

23. Trong hộp tìm kiếm, dán Volume ID mà bạn đã sao chép trước đó và nhấn
Enter, như được chỉ ra trong ảnh chụp màn hình sau. Bạn sẽ chỉ thấy volume mà
bạn vừa tạo.

24. Di chuột con trỏ chuột qua khu vực tên volume trống để biểu tượng bút chì
hiển thị. Nhấp vào biểu tượng bút chì để nhập tên cho volume mới và xác nhận
nó. Ở đây, chúng tôi đã đặt tên volume là Evidence Volume để dễ dàng nhận
diện.
25. Bây giờ, bạn cần gắn Evidence Volume vào CHFI Forensic Worktation để
kiểm tra nó. Trước khi gắn Evidence Volume, bạn cần xác nhận xem tên volume
sẽ được tạo khi gắn có sẵn trong CHFI Forensic Worktation để gắn hay không.
Để làm điều này, bạn cần kiểm tra tên Root device của CHFI Forensic
Worktation. Để làm như vậy, chọn Instances dưới danh mục Instances từ ngăn
bên trái của cửa sổ ứng dụng và bạn sẽ được chuyển hướng đến trang Instances,
hiển thị các Instance chúng ta đã triển khai. Chọn CHFI Forensic Worktation và
sau đó tìm tên Root device dưới tab Storage, như được chỉ ra dưới đây:

26. Bạn có thể thấy từ ảnh chụp màn hình trên rằng tên Root device cho Instance
CHFI Forensic Worktation là /dev/sda1. Vì chúng ta không thêm bất kỳ volume
bổ sung nào ngoài volume gốc khi tạo Instance này, chúng ta có thể xác định
rằng một volume có tên bất kỳ ngoài /dev/sda1 có thể được gắn và gắn kết trên
Instance này.

27. Bạn cần dừng CHFI Forensic Worktation trước khi gắn Evidence Volume
vào nó. Đảm bảo rằng CHFI Forensic Worktation đã được chọn. Sau đó, đi tới
Actions > Instance state > Stop instance.
Lưu ý: Nếu bạn làm việc trong Instance cập nhật của AWS Management
Console, bạn cần chọn CHFI Forensic Worktation và điều hướng đến Instance
state -> Dừng Instance.

28. Khi cửa sổ bật lên có tên Stop Instance? xuất hiện, nhấp vào Stop để xác
nhận dừng Instance.

29. Sau khi CHFI Forensic Worktation đã vào trạng thái dừng, chọn Volume
dưới danh mục Elastic Block Store từ ngăn bên trái của cửa sổ ứng dụng, sau đó,
chọn Evidence Volume trong trang Volumes xuất hiện và đi tới Actions->Attach
Volume.

30. Một cửa sổ bật lên có tên Attach Volume xuất hiện trên màn hình. Nó sẽ có
ba phần: Volume, Instance, và Device. Phần Volume sẽ được cấu hình sẵn với
Volume ID và Availability Zone của nó (trong lab này là us-east-2a). Nhấp vào
trường được cung cấp dưới phần Instance và nó sẽ hiển thị các Instance ID của
các Instance EC2 được triển khai trong Availability Zone us-east-2a. Trong lab
này, chúng ta có thể thấy các Instance ID của cả Instance Production machine và
Instance CHFI Forensic Worktation vì cả hai đều được triển khai trong
Availability Zone us-east-2a. Chọn Instance ID của CHFI Forensic Worktation.

31. Tiếp theo là phần Device, sẽ được cấu hình tự động với một tên khi Instance
ID của CHFI Forensic Worktation được chọn. Trong kịch bản lab này, tên tự
động được AWS chọn cho phần thiết bị là /dev/sdf, như được hiển thị trong ảnh
chụp màn hình dưới đây. Vì tên volume gốc của CHFI Forensic Worktation là
/dev/sda1, volume /dev/sdf sẽ có sẵn để gắn kết. Nhấp vào Attach.
Lưu ý: Tên thiết bị được AWS tự động chọn khi gắn volume có thể thay đổi
từ /dev/sdf đến /dev/sdp. Những thay đổi này có thể được thực hiện nội bộ bởi
các nhân Linux.

32. Bây giờ, chọn Instances dưới danh mục Instances từ ngăn bên trái của cửa sổ
ứng dụng và trên trang Instance xuất hiện tiếp theo, đảm bảo rằng Instance
CHFI Forensic Worktation đã được chọn; sau đó, đi tới Actions -> Instance state
-> Start instance để khởi động Instance.

Lưu ý: Nếu bạn làm việc trong Instance cập nhật của AWS Management
Console, bạn cần chọn CHFI Forensic Worktation và điều hướng đến Trạng thái
Instance -> Bắt đầu Instance.
33. Instance CHFI Forensic Worktation sẽ vào trạng thái đang chạy sau một thời
gian.

34. Bây giờ, nhấp vào tab Storage. Trong phần Block devices, bạn nên thấy hai
Volume ID - /dev/sda1 (volume gốc) và /dev/sdf (Evidence Volume). Nếu bạn
không thấy tên thiết bị Evidence Volume, làm mới trang cho đến khi nó hiển thị.

35. Đảm bảo rằng CHFI Forensic Worktation đã được chọn. Sử dụng biểu tượng
Copy, sao chép Public IPv4 DNS của Instance CHFI Forensic Worktation mà
bạn sẽ tìm thấy dưới tab Details , như được chỉ ra trong ảnh chụp màn hình dưới
đây:

36. Bây giờ, thu nhỏ cửa sổ trình Browse. Khởi chạy PuTTY, cửa sổ PuTTY
Configuration mở ra, dán Public IPv4 DNS của Instance CHFI Forensic
Worktation vào trường Host Name (hoặc địa chỉ IP), như được chỉ ra trong ảnh
chụp màn hình dưới đây:

37. Bây giờ, mở rộng nút cho SSH và sau đó chọn Auth từ các tùy chọn bên
dưới. Sau đó, nhấp vào Browse... ở bên phải.

38. Cửa sổ Select private key file xuất hiện. Điều hướng đến Desktop -> Cloud
Key Pairs -> AWS Keys. Chọn tệp AWSforensicmachinekey2.ppk và nhấp vào
Open.

39. Tệp AWSforensicmachinekey2.ppk bây giờ sẽ được tải vào cửa sổ PuTTY
Configuration. Nhấp vào Open. Bằng cách làm theo các bước này, chúng ta
đang khởi chạy terminal dòng lệnh PuTTY sử dụng tệp khóa
AWSforensicmachinekey2.ppk.

40. Terminal dòng lệnh PuTTY sẽ được khởi chạy, và bạn sẽ thấy trường login
as: ở trên cùng. Gõ ubuntu và nhấn Enter.
Lưu ý: Trước khi bạn có thể sử dụng terminal dòng lệnh PuTTY, nếu bạn thấy
có PuTTY Security Alert được tạo, nhấp vào Yes để tiếp tục, sau đó bạn mới có
thể bắt đầu gõ vào terminal.

41. Trong trường hợp bạn thấy rằng PuTTY command line terminal không được
khởi chạy theo cách trên, hoặc nếu bạn thấy thông báo a Network Error:
Connection timed out, bạn cần đóng terminal dòng lệnh PuTTY và làm theo các
bước dưới đây để có thể khởi chạy nó theo cách mong muốn:
i) Đảm bảo rằng trên trang Instance, Instance CHFI Forensic Worktation đã
được chọn, và sau đó cuộn xuống ngăn bên trái và nhấp vào Security Groups
dưới danh mục Network and Security.
ii) Bạn sẽ được chuyển đến trang Security Groups, nơi bạn sẽ thấy các Security
Groups khác nhau. Từ các Security Groups được liệt kê, chọn CHFI Group, sau
đó nhấp vào Actions, và từ menu thả xuống, nhấp vào Edit inbound rules, như
được chỉ ra trong ảnh chụp màn hình dưới đây.

iii) Trang Edit inbound rules xuất hiện. Trong phần Inbound rules, đặt Source
Type là s My IP. Sau đó, cuộn xuống cửa sổ và nhấp vào Save rules.
iv) Bạn sẽ được thông báo với một tin nhắn rằng: Quy tắc Security Groups
inbound đã được chỉnh sửa thành công trên Security Groups (<ID Security
Groups> | CHFI Group).
v) Bây giờ cuộn lên trong ngăn bên trái của cửa sổ và nhấp vào Instance dưới
danh mục Instance.
vi) Bạn sẽ được chuyển hướng đến trang Instance. Đảm bảo rằng Instance CHFI
Forensic Worktation đã được chọn. Bây giờ, sao chép Public IPv4 DNS của
CHFI Forensic Worktation mà bạn sẽ tìm thấy dưới tab Details , như đã thấy
trước đó.
vii) Bây giờ khởi chạy lại PuTTY. Cửa sổ PuTTY Configuration xuất hiện. Dán
Public IPv4 DNS của CHFI Forensic Worktation vào trường Host Name (hoặc
địa chỉ IP).
viii) Bây giờ mở rộng nút cho SSH trong ngăn bên trái của cửa sổ, nhấp vào
Auth từ các tùy chọn bên dưới, và sau đó nhấp vào Browse… ở bên phải.
ix) Cửa sổ Select private key file xuất hiện. Điều hướng đến Desktop -> Cloud
Key Pairs -> AWS Keys, chọn tệp AWSforensicmachinekey2.ppk, và sau đó
nhấp vào Open.

x) Tệp AWSforensicmachinekey2.ppk bây giờ sẽ được tải vào cửa sổ PuTTY

Configuration. Nhấp vào Open. Thao tác này sẽ khởi chạy thành công terminal
dòng lệnh PuTTY, nơi bạn sẽ thấy trường login as ở trên cùng. Gõ ubuntu vào
trường login as và nhấn Enter.
Lưu ý: Trước khi bạn có thể sử dụng terminal dòng lệnh PuTTY, nếu bạn thấy
cảnh báo bảo mật PuTTY được tạo, nhấp vào Yes để tiếp tục, sau đó bạn mới có
thể bắt đầu gõ vào terminal.
Lưu ý: Bạn bây giờ sẽ đăng nhập với tên người dùng ubuntu. Bạn có thể tiếp tục
với các bước tiếp theo.

42. Gõ sudo su và nhấn Enter để chuyển sang người dùng root. Sau đó gõ lsblk
và nhấn Enter. Đầu ra của lệnh này sẽ hiển thị thông tin về tất cả các Block
devices đã gắn và chưa gắn. Chúng ta có thể thấy trong ảnh chụp màn hình dưới
đây rằng xvdf1, là Evidence Volume, chưa được gắn kết.
Lưu ý: Các kernel Linux mới nhất có thể cấp tên thiết bị thay đổi từ xvdf đến
xvdp nội bộ. Việc đặt tên thiết bị phụ thuộc vào cách các kernel Linux mới nhất
tự động gán tên cho chúng nội bộ.
43. Trước khi gắn Evidence Volume, bạn cần kiểm tra định dạng của phân vùng.
Để làm điều này, gõ file -s /dev/xvdf1 và nhấn Enter. Tùy chọn -s được sử dụng
cho các tệp đặc biệt như Block devices. Đầu ra hiển thị hệ thống tệp Linux ext4,
như được hiển thị trong ảnh chụp màn hình dưới đây:

44. Bây giờ, gõ mkdir /mnt/evidence_volume và nhấn Enter; điều này sẽ tạo một
thư mục có tên evidence_volume bên trong thư mục /mnt. Bây giờ, gắn
Evidence Volume bằng cách gõ mount -o ro /dev/xvdf1 /mnt/evidence_volume
và nhấn Enter. Tham số -ro gắn Evidence Volume ở chế độ chỉ đọc. Lệnh này,
nếu chạy thành công, sẽ không hiển thị đầu ra.

45. Gõ df -h và nhấn Enter để xem liệu Evidence Volume có được gắn thành
công hay không. Như được chỉ ra trong ảnh chụp màn hình dưới đây, Evidence
Volume đã được gắn thành công. Lệnh df -h hiển thị không gian trống trong các
hệ thống tệp theo định dạng dễ đọc.

46. Bây giờ, gõ ls -la /mnt/evidence_volume và nhấn Enter để liệt kê tất cả các
thư mục trong Evidence Volume.

47. Chúng tôi đã quan sát trong phân tích nhật ký CloudWatch trong bài lab 1
của Module 12 Cloud Forensics của CHFIv10 rằng kẻ tấn công đã cố gắng truy
cập các tệp nhạy cảm qua /chfi/abc.php trên máy chủ web Apache2 của Instance
Production machine. Vì var/www/html là thư mục gốc mặc định cho máy chủ
web Apache2, chúng tôi sẽ thử xem nội dung của thư mục var/www/html của
Evidence Volume. Gõ ls /mnt/evidence_volume/var/www/html và nhấn Enter.

48. Từ ảnh chụp màn hình trên, có thể thấy rằng thư mục chfi tồn tại trong thư
mục var/www/html của Evidence Volume. Bây giờ, chúng tôi sẽ thử tìm tệp
abc.php. Gõ ls /mnt/evidence_volume/var/www/html/chfi và nhấn Enter.

49. Như đã thấy ở trên, chúng tôi cũng đã tìm thấy tệp abc.php bên trong thư
mục /var/www/html/chfi của Evidence Volume. Bây giờ, chúng tôi cần xem nội
dung của tệp abc.php. Đầu tiên, gõ cd
/mnt/evidence_volume/var/www/html/chfi và nhấn Enter để vào thư mục chfi.
Sau đó, gõ cat abc.php và nhấn Enter để xem nội dung của tệp php.
50. Tệp abc.php, như được hiển thị trong ảnh chụp màn hình trên, chứa mã dễ bị
tấn công vì nó có các tham số GET và include, cho phép kẻ tấn công truy cập
hoặc thực thi các tệp trên Instance Production machine. Bao gồm những tham số
này trong mã giúp kẻ tấn công thực hiện một cuộc tấn công bao gồm tệp cục bộ
hoặc tấn công Browse thư mục.

51. Bạn có thể kiểm tra pháp y Root device/volume của bất kỳ Instance EC2 nào
bị ảnh hưởng trên nền tảng AWS và kiểm tra nó bằng cách gắn kết và gắn nó
vào một forensic workstation.

Lab 3: Thu thập và kiểm tra máy ảo Azure

Kịch bản:
Đội bảo mật đám mây của một công ty Đức đã thông báo cho Robert, một điều
tra viên pháp y, về vấn đề bảo mật tiềm ẩn với một máy ảo Azure đang chạy
trong môi trường sản xuất của họ. Một máy mang tên azure-ubuntu được giao
cho James, một nhân viên, và bị nghi ngờ là đã bị xâm nhập. Robert cần thu thập
một snapshot của đĩa hệ điều hành của máy ảo bị xâm nhập và gắn nó vào trạm
làm việc pháp y của mình để phân tích thêm.
Mục tiêu:
Lab này sẽ giúp bạn hiểu cách chụp ảnh đĩa hệ điều hành của máy ảo bị xâm
nhập trong Azure, sao chép nó vào tài khoản lưu trữ Azure và gắn nó vào
forensic workstation để kiểm tra thêm.
Làm quen với các quy trình liên quan đến việc chụp ảnh đĩa hệ điều hành của
máy ảo bị ảnh hưởng trong Azure, sao chép snapshot vào tài khoản lưu trữ
Azure, sau đó gắn nó trực tiếp vào trạm làm việc pháp y và phân tích ảnh dd
bằng công cụ Autopsy.
Thực hiện:
1. Để tiếp tục với Lab này, bạn phải hoàn thành các nhiệm vụ được liệt kê trong
CT#33 và Azure CT#34 trong CHFIv10 Lab Setup Manual.
2. Một tài khoản Azure khác được khuyến nghị cho bất kỳ cuộc điều tra pháp y
nào trên nền tảng đám mây Azure. Tuy nhiên, vì đây là một môi trường Lab,
chúng tôi sẽ sử dụng cùng một tài khoản Azure cho cuộc điều tra của mình.
3. Trong Lab này, chúng tôi sẽ sử dụng Azure CLI để chụp ảnh đĩa hệ điều hành
của máy ảo azure-ubuntu trong Production resource group. Tiếp theo, chúng tôi
sẽ tạo một tài khoản lưu trữ trong Azure có tên chfistorage dưới nhóm tài
nguyên chfi-investigation và tạo một file share trong tài khoản lưu trữ đó với tên
chfifileshare. Sau đó, chúng tôi sẽ sao chép snapshot vào chfifileshare với phần
mở rộng dd và gắn nó trực tiếp vào máy ảo Windows Server 2016 của chúng tôi
như một ổ đĩa. Sau khi gắn, chúng tôi sẽ thực hiện phân tích pháp y trên hình
ảnh dd bằng công cụ Autopsy.
4. Đăng nhập vào máy ảo Windows Server 2016.
5. Để cài đặt Azure CLI, điều hướng đến C:\CHFI-Tools\CHFIv10 Module 12
Cloud Forensics\Azure CLI, nhấp đúp vào tệp cài đặt azure-cli-2.10.1.msi, và
làm theo các bước cài đặt để hoàn tất quá trình cài đặt.

6. Sau khi hoàn tất cài đặt, nhấp vào Finish để đóng trình hướng dẫn.

7. Bây giờ chúng ta sẽ sử dụng Windows PowerShell để đăng nhập vào

Microsoft Azure. Để khởi động Windows PowerShell, nhấp vào biểu tượng
Windows trên thanh tác vụ, sau đó chọn tùy chọn Windows PowerShell trong
thư mục Windows PowerShell trong menu Bắt đầu, như hiển thị trong ảnh chụp
màn hình dưới đây:

8. Khi Windows PowerShell xuất hiện, gõ az login và nhấn Enter.

Lưu ý: Nếu bạn không thể sử dụng các lệnh Azure CLI trong Windows
PowerShell, khởi động lại máy ảo Windows Server 2016 và thử lại.

9. Một cửa sổ trình Browse sẽ mở ra, hiển thị trang đăng nhập Microsoft Azure.
Đăng nhập với email ID và mật khẩu liên kết với tài khoản Azure của bạn và sẽ
hiển thị thông báo sau: Bạn đã đăng nhập vào Microsoft Azure! Bạn có thể đóng
cửa sổ này, hoặc chúng tôi sẽ chuyển hướng bạn đến Azure CLI documents
trong 10 giây.

10. Đóng trình Browse và quay lại Windows PowerShell. Nó sẽ hiển thị xác
nhận về việc đăng nhập thành công và chi tiết của các subscription mà bạn có
quyền truy cập.

11. Trong trường hợp bạn đã bật xác thực đa yếu tố, bạn cần đăng nhập bằng
một lệnh khác yêu cầu ID tenant của bạn. Để lấy ID tenant, khởi động trình
Browse và đăng nhập vào portal Azure bằng cách cung cấp email ID, mật khẩu
và mã bảo mật. Khi trang chủ Azure xuất hiện, gõ Azure active directory trong
thanh tìm kiếm và nhấn Enter.

12. Trang Default Directory | Overview của Azure Active Directory xuất hiện
trên màn hình.

13. Cuộn xuống pane bên trái và chọn Properties, bạn sẽ thấy ID tenant ở bên
phải. Sao chép nó bằng cách nhấp vào biểu tượng Copy to clipboard.

14. Bây giờ, trong Windows PowerShell, gõ lệnh az login --tenant <dán ID
tenant đã sao chép vào đây> và nhấn Enter. Bạn sẽ thấy các subscription mà bạn
có quyền truy cập hiển thị trong Windows PowerShell. Bạn cũng sẽ thấy một
cửa sổ trình Browse mở ra hiển thị thông báo sau: Bạn đã đăng nhập vào
Microsoft Azure! Bạn có thể đóng cửa sổ này, hoặc chúng tôi sẽ chuyển hướng
bạn đến tài liệu Azure CLI trong 10 giây. Bạn có thể đóng cửa sổ trình Browse.

15. Bạn cần tên của đĩa hệ điều hành liên kết với máy ảo azure-ubuntu để tạo
snapshot của nó. Gõ az vm show --resource-group Production --name azure-
ubuntu --query "storageProfile.osDisk.name" và nhấn Enter để lấy tên OSdisk.
Sao chép kết quả của lệnh.
16. Bây giờ, gõ az snapshot create --resource-group Production --name
evidencesnapshot --location eastus --source <dán tên OS disk đã sao chép vào
đây> và nhấn Enter. Lệnh này tạo snapshot của đĩa hệ điều hành với tên
evidencesnapshot trong Production resource group.
Lưu ý: Nếu bạn thấy thông báo rằng tên snapshot của đĩa hệ điều hành (ở đây là
evidencesnapshot) không có sẵn để sử dụng sau khi chạy lệnh, bạn có thể đặt tên
khác sau tham số --name và chạy lại lệnh. Hãy chắc chắn rằng bạn sử dụng cùng
một tên snapshot trong các lệnh tiếp theo từ đó.

17. Bước tiếp theo là tạo một Shared Access Signature (SAS) URI cho snapshot
đã tạo. URI này giúp bạn truy cập an toàn snapshot. Bạn có thể tạo một URI
SAS cho một tài nguyên Azure bằng cách đề cập đến thời gian hết hạn và quyền
cần thiết.
18. Để tạo URI SAS cho evidencesnapshot với quyền truy cập đọc trong thời
gian 60 phút, gõ az snapshot grant-access --resource-group Production --name
evidencesnapshot --duration-in-seconds 3600 --access-level read và nhấn Enter.
Lưu ý: Trong lệnh trên, vì chúng tôi đã định nghĩa rằng URI SAS sẽ ở trạng thái
hoạt động trong 3600 giây, tương đương với 1 giờ, hãy đảm bảo rằng bạn cẩn
thận và chính xác chạy bộ lệnh tiếp theo trong PowerShell trong vòng 1 giờ tới,
tức là trước khi URI SAS hết hạn.
Lưu ý: Do tên không có sẵn, nếu bạn đã đặt tên khác cho snapshot của đĩa hệ
điều hành (trong Lab này, chúng tôi đã đặt tên là evidencesnapshot), hãy đảm
bảo rằng bạn cung cấp cùng tên đó trong tham số --name của lệnh trên khi chạy
nó.

19. Kết quả của lệnh trên sẽ phản ánh như chỉ ra trong ảnh chụp màn hình sau.

20. Bây giờ chúng ta sẽ tạo một tài khoản lưu trữ có tên chfistorage trong nhóm
tài nguyên chfi-investigation. Đối với Lab này, chúng ta sẽ chọn loại lưu trữ đa
dụng V2 tương thích với các tệp, blobs, bảng, v.v. và lưu trữ dự phòng cục bộ
chuẩn hoặc Standard_LRS để sao lưu.

21. Để tạo tài khoản lưu trữ, gõ lệnh sau: az storage account create --resource-
group chfi-investigation --location eastus --name chfistorage --kind storageV2 --
sku Standard_LRS và nhấn Enter.
Lưu ý: Nếu bạn nhận được thông báo rằng tên tài khoản lưu trữ (chfistorage)
không có sẵn sau khi chạy lệnh, bạn có thể đặt tên khác trong tham số --name và
chạy lại lệnh.
Lưu ý: Không sử dụng ký tự đặc biệt hoặc chữ hoa trong tên tài khoản lưu trữ.
Sau khi tạo qua Azure CLI, đảm bảo rằng bạn sử dụng cùng tên tài khoản lưu
trữ trong các lệnh tiếp theo.

22. Bước tiếp theo là tạo một file share trong chfistorage. Để làm điều này qua
Azure CLI, bạn cần khóa truy cập của chfistorage. Azure tạo hai khóa truy cập
cho mỗi tài khoản lưu trữ, hoạt động như mật khẩu của nó.
23. Gõ lệnh sau để liệt kê khóa truy cập: az storage account keys list --resource-
group chfi-investigation --account-name chfistorage --query "[0].value" --output
json và nhấn Enter.
Lưu ý: Nếu bạn đã chọn tên khác cho tài khoản lưu trữ (trong Lab này, chúng tôi
đặt tên là chfistorage), cung cấp cùng tên đó trong tham số --account-name và
chạy lại lệnh.
24. Kết quả của lệnh sẽ hiển thị một trong những khóa truy cập của chfistorage ở
định dạng JSON. Sao chép kết quả này.

25. Bây giờ, gõ lệnh sau để tạo file share: az storage share create --account-
name chfistorage --account-key <dán kết quả khóa lưu trữ ở đây> --name
chfifileshare --quota 39 và nhấn Enter. Lệnh này tạo file share có tên
chfifileshare với dung lượng lưu trữ 39 GiB trong chfistorage.

Lưu ý: Nếu bạn đã sử dụng tên khác cho tài khoản lưu trữ (trong Lab này, chúng
tôi đặt tên là chfistorage), hãy cung cấp cùng tên đó trong tham số --account-
name của lệnh trên khi chạy.
Lưu ý: Nếu bạn nhận được thông báo rằng tên file share (chfifileshare) không có
sẵn sau khi chạy lệnh, bạn có thể đặt tên khác cho file share dưới tham số --
name và chạy lại lệnh.
Lưu ý: Không sử dụng chữ hoa/ký tự đặc biệt trong tên file share. Sau khi tạo
qua Azure CLI, đảm bảo rằng bạn sử dụng cùng tên file share trong các lệnh tiếp
theo.
26. Bây giờ, chúng ta cần sao chép snapshot đĩa hệ điều hành có tên
evidencesnapshot vào chfifileshare. Để làm điều này, chúng ta sẽ sử dụng URI
SAS được tạo cho evidencesnapshot cũng như khóa tài khoản lưu trữ.
27. Trong bước này, chúng ta sẽ đổi tên snapshot đĩa hệ điều hành từ
evidencesnapshot thành azureevidencefile với phần mở rộng dd.
28. Để sao chép snapshot vào file share, gõ lệnh sau: az storage file copy start --
source-uri '"<sao chép và dán kết quả URI SAS ở đây>"' --destination-share
chfifileshare --destination-path azureevidencefile.dd --account-name chfistorage
--account-key <sao chép và dán kết quả khóa tài khoản lưu trữ ở đây> và nhấn
Enter. Kết quả sẽ hiển thị trạng thái sao chép là đang chờ.
Lưu ý: Nếu bạn đã chọn tên khác cho tài khoản lưu trữ (trong Lab này,
chfistorage) và/hoặc file share (trong Lab này, chfifileshare), hãy cung cấp cùng
tên đó trong tham số --account-name và --destination-share của lệnh trên.
Lưu ý: Trong lệnh trên, tham số --source-uri bắt đầu bằng dấu nháy đơn (') và
sau đó là dấu nháy kép (") và kết thúc bằng dấu nháy kép (") và sau đó là dấu
nháy đơn ('). Điều này cần thiết để Azure CLI chấp nhận và phân tích cú pháp
URI SAS như một tổng thể; nếu không, nó sẽ cố gắng phân tích cú pháp các
phần khác nhau của URI SAS và lệnh sẽ không hoạt động.
Lưu ý: Nếu bạn thấy rằng tên tệp azureevidencefile không có sẵn sau khi chạy
lệnh, bạn có thể đặt tên khác cho snapshot đĩa hệ điều hành với phần mở rộng dd
trong tham số --destination-path và chạy lại lệnh.
29. Để kiểm tra xem tệp đã được sao chép thành công chưa, gõ lệnh sau: az
storage file show --path azureevidencefile.dd --share-name chfifileshare --
account-name chfistorage --account-key <sao chép và dán kết quả khóa tài
khoản lưu trữ ở đây> --query "properties.copy.status" và nhấn Enter. Tiếp tục
chạy lệnh này định kỳ cho đến khi bạn thấy kết quả là thành công.

Lưu ý: Nếu bạn đã chọn tên khác cho tệp (trong Lab này, chúng tôi đặt tên là
azureevidencefile.dd), cho tài khoản lưu trữ (trong Lab này, chúng tôi đặt tên là
chfistorage) và cho file share (trong Lab này, chúng tôi đặt tên là chfifileshare),
hãy cung cấp cùng tên đó trong các tham số --path, --account-name và --share-
name tương ứng trong lệnh trên.
30. Sau khi snapshot đã được sao chép, bạn nên xóa nó khỏi nhóm tài nguyên
nguồn (Production) vì lý do bảo mật.
31. Để xóa snapshot, gõ lệnh sau: az snapshot delete --resource-group
Production --name evidencesnapshot và nhấn Enter.

Lưu ý: Lệnh trên sẽ không hiển thị bất kỳ kết quả nào sau khi thực thi chính xác.
Do đó, không có kết quả nào được trả về trên màn hình có nghĩa là lệnh đã thực
thi thành công.
Lưu ý: Nếu bạn đã sử dụng tên khác cho snapshot đĩa hệ điều hành (trong Lab
này, chúng tôi đặt tên là evidencesnapshot), hãy cung cấp cùng tên đó trong
tham số --name của lệnh trên khi chạy.
Lưu ý: Bạn sẽ không thể xóa snapshot nếu URI SAS đang hoạt động. Hãy nhớ
rằng khi tạo URI SAS cho snapshot đĩa hệ điều hành, chúng tôi đã đặt thời gian
tồn tại là 3600 giây để nó ở trạng thái hoạt động. Vì 3600 giây tương đương với
60 phút, URI SAS trong trường hợp của chúng tôi sẽ ở trạng thái hoạt động
trong một giờ. Do đó, bạn có thể chờ đợi cho đến khi URI SAS hết hạn để thực
thi thành công lệnh trên và xóa snapshot hoặc tiếp tục với các bước tiếp theo của
Lab này.
32. Chúng ta sẽ gắn snapshot vào máy trạm pháp y. Bạn cần đăng nhập vào tài
khoản Microsoft Azure của mình và đang ở trên trang chủ của nó để bắt đầu
nhiệm vụ này. Vì vậy, hãy khởi chạy trình Browse và đăng nhập vào tài khoản
Azure của bạn. Sau khi đăng nhập, khi bạn đang ở trên trang chủ Azure, hãy
nhấp vào Tài khoản lưu trữ trong phần Dịch vụ Azure, như trong ảnh chụp màn
hình dưới đây:

33. Trang Storage accounts Default Directory sẽ xuất hiện. Ở đây, bạn sẽ thấy
tài khoản lưu trữ chfistorage mà bạn đã tạo qua Azure CLI. Nhấp vào
chfistorage.

34. Cuộn xuống trang tài khoản lưu trữ chfistorage xuất hiện và nhấp vào File
shares.

35. Trên trang chfistorage | File shares xuất hiện tiếp theo, bạn sẽ thấy File
shares có tên chfifileshare mà bạn đã tạo qua Azure CLI. Nhấp vào chfifileshare.

36. Trang chfifileshare xuất hiện tiếp theo, nơi bạn sẽ thấy tệp
azureevidencefile.dd. Nhấp vào Connect, điều này sẽ mở một thanh bên tên là
Connect ở bên phải, như trong ảnh chụp màn hình dưới đây:

Lưu ý: Nếu bạn đã chọn tên khác cho tệp dd (trong Lab này, chúng tôi đặt tên là
azureevidencefile.dd), cho tài khoản lưu trữ (trong Lab này, chúng tôi đặt tên là
chfistorage) và cho file share (trong Lab này, chúng tôi đặt tên là chfifileshare),
các tên đó sẽ được hiển thị trên cổng Azure.
37. Như bạn có thể thấy từ ảnh chụp màn hình ở trên, hướng dẫn để gắn file
share trên bất kỳ hệ thống Windows nào sẽ được hiển thị đầu tiên trong thanh
bên theo mặc định.

38. Nhấp vào menu Drive letter để chọn bất kỳ Drive letter nào. Đảm bảo rằng
Drive letter được chọn có sẵn trên máy ảo Windows Server 2016 của bạn để gắn
file share. Ở đây, chúng tôi đã chọn Y làm Drive letter.
39. Phần bên dưới trường Drive letter chứa một lệnh PowerShell. Chạy lệnh này
sẽ cho phép bạn gắn file share trên bất kỳ hệ thống nào. Sao chép lệnh bằng cách
nhấp vào biểu tượng Copy to clipboard.

Lưu ý: Nếu bạn làm việc trong phiên bản cập nhật của Azure, bạn có thể thấy
một phần gọi là Authentication method ngay bên dưới phần Drive letter với hai
tùy chọn: Active directory và Storage account (được chọn theo mặc định). Giữ
tùy chọn mặc định.
40. Thu nhỏ cửa sổ cổng Azure và mở Notepad.
41. Trong Notepad mà bạn đã mở, dán lệnh PowerShell mà bạn đã sao chép
trước đó.

42. Thu nhỏ Notepad và chuyển về Windows PowerShell.

43. Bây giờ dán lệnh mà bạn đã sao chép trước đó vào Windows PowerShell.
44. Sau khi dán lệnh vào Windows PowerShell, ban đầu, bạn sẽ chỉ thấy phần
đầu của lệnh (tức là $connectTestResult = Test-NetConnection -ComputerName
chfistorage.file.core.windows.net -Port 445), được thực thi tự động và cố gắng
thiết lập kết nối TCP với máy ảo của bạn qua Cổng 445.

45. Nếu kết nối TCP được thiết lập, Windows PowerShell sẽ hiển thị phần còn
lại của lệnh và chờ thực thi. Bây giờ nhấn Enter.

46. Phần thứ hai của lệnh sẽ được thực thi. Sau khi thực thi thành công, kết quả
cho thấy chfifileshare đã được gắn thành công trên máy ảo làm ổ Y, như được
chỉ ra trong ảnh chụp màn hình dưới đây:
Lưu ý: Nếu bạn đã chọn Drive letter khác ngoài Y trên thanh bên Connect trên
trang chfifileshare, Drive letter đó sẽ được phản ánh trong kết quả ở trên.

47. Thu nhỏ Windows PowerShell và mở File Explorer.

48. Khi File Explorer mở ra, nhấp vào This PC. Bạn sẽ thấy chfifileshare được
gắn dưới Network Locations.
49. Nhấp đúp vào chfifileshare và bạn sẽ thấy tệp azureevidencefile.dd bên
trong. Như chúng ta có thể thấy trong ảnh chụp màn hình dưới đây, vị trí này
được biểu thị bằng ký tự ổ đĩa Y (hoặc ổ đĩa Y:). Nếu bạn đã chọn một ký tự ổ
đĩa khác cho vị trí này, bạn sẽ thấy ký tự ổ đĩa đó được phản ánh ở đây.
Lưu ý: Nếu bạn đã chọn tên khác cho tệp dd, tài khoản lưu trữ và file share, các
tên tương ứng sẽ được hiển thị trong phần This PC của File Explorer (trong Lab
này, chúng tôi đã đặt tên là azureevidencefile.dd cho tệp dd, chfistorage cho tài
khoản lưu trữ và chfifileshare cho file share).

50. Nếu bạn không thấy file share dưới Network Locations ngay cả sau khi chạy
lệnh đã sao chép trên Windows PowerShell, bạn có thể gắn thủ công.
51. Để làm như vậy, nhấp vào This PC trong File Explorer, đi đến Computer ->
Map network drive, và chọn Map network drive từ danh sách thả xuống.

52. Một cửa sổ Map network drive mở ra, như được chỉ ra trong ảnh chụp màn
hình dưới đây. Nó có hai phần: (A) – Drive, nơi bạn cần chỉ định ký tự ổ đĩa và
(B) – Folder, nơi bạn cần cung cấp đường dẫn UNC của file share.

53. Quay lại tệp Notepad nơi bạn đã dán lệnh PowerShell để gắn file share.
Trong Lab này (như được hiển thị trong ảnh chụp màn hình dưới đây), Y là ký
tự ổ đĩa (được chỉ định bởi A) và \\chfistorage.file.core.windows.net\
chfifileshare là đường dẫn UNC của chfifileshare (được chỉ định bởi B). Sao
chép đường dẫn UNC của file share.
Lưu ý: Nếu bạn đã chọn các tên khác cho tài khoản lưu trữ và/hoặc file share, và
ký tự ổ đĩa khác để gắn file share, lệnh trên sẽ phản ánh điều đó. Trong Lab này,
chúng tôi đã gán tên chfistorage cho tài khoản lưu trữ, chfifileshare cho file
share và Y là ký tự ổ đĩa.

54. Bây giờ quay lại cửa sổ Map network drive. Chỉ định ký tự ổ đĩa mong
muốn từ danh sách thả xuống Ổ đĩa (trong Lab này, Y là ký tự ổ đĩa đã chọn), và
sau đó dán đường dẫn UNC của file share (mà bạn đã sao chép ở bước trước)
vào trường Folder. Sau khi hoàn tất, nhấp Finish.

55. Bạn có thể được yêu cầu nhập thông tin đăng nhập để kết nối với ổ đĩa mạng
đã thêm. Bạn có thể tìm thấy tên người dùng (1) và mật khẩu (2) (như được chỉ
ra trong ảnh chụp màn hình dưới đây) trong lệnh PowerShell mà bạn đã sao
chép vào Notepad. Tên người dùng là Azure\Storage_account_name hoặc tên tài
khoản lưu trữ bạn đã cung cấp (trong Lab này, chfistorage), và mật khẩu là khóa
tài khoản lưu trữ.

56. Do đó, nếu bạn được yêu cầu nhập thông tin đăng nhập, cung cấp Azure\
Storage_account_name làm tên người dùng và Azure\Storage_account_key làm
mật khẩu, như đã chỉ ra trong ảnh chụp màn hình ở trên. Sau khi cung cấp thông
tin đăng nhập, nhấp OK. File share chứa tệp dd bây giờ sẽ được gắn dưới
Network Locations trong File Explorer.
57. Đóng Windows PowerShell và File Explorer. Bạn cũng có thể đóng tệp
Notepad mà không cần lưu.
58. Bây giờ bạn đã gắn tệp dd trên máy ảo Windows Server 2016, bạn có thể bắt
đầu phân tích pháp y bằng cách sử dụng Autopsy.
59. Nhấp đúp vào biểu tượng Autopsy 4.14.0 trên Màn hình để khởi chạy nó.
60. Cửa sổ Autopsy Welcome xuất hiện cùng với cửa sổ chính của nó ở nền.
Trong cửa sổ Autopsy Welcome , chọn tùy chọn New Case.

61. Cửa sổ New Case Information mở ra. Bạn sẽ thấy phần Case Informatio, yêu
cầu cung cấp Case Name và Base Directory. Trong Lab này, chúng tôi sẽ cung
cấp tên là Azure evidence snapshot analysis và đường dẫn Base Directory là C:\
Users\Administrator\Desktop\Azure_evidence_analysis. Bạn có thể chọn một
Case Name hoặc đường dẫn Base Directory khác nếu bạn muốn. Sau khi hoàn
tất, nhấp Next.

62. Nếu bạn thấy một thông báo rằng: The base directory “C:\Users\
Administrator\Desktop\Azure_evidence_analysis\” does not exist. Do you want
to create that directory?, nhấp Yes để tiếp tục.

63. Phần Optional Information xuất hiện, yêu cầu bạn chỉ định các chi tiết như s
Case Number, Examiner Name, v.v. Trong Lab này, chúng tôi cung cấp số
1001-126 làm Case Number và Robert làm Examiner Name. Bạn có thể chọn
nhập các chi tiết của mình trong phần Optional Information. Sau khi nhập tất cả
các chi tiết tùy chọn, nhấp Finish.
64. Ứng dụng mất một chút thời gian để tạo vụ án, sau đó cửa sổ Add Data
Source xuất hiện. Trong phần Select Type of Data Source to Add, đảm bảo rằng
tùy chọn Disk Image or VM file được chọn, và nhấp Next.

65. Phần Select Data Source xuất hiện. Nhấp Browse để cung cấp đường dẫn
Data Sources.

66. Một cửa sổ Open xuất hiện. Điều hướng đến vị trí chfifileshare (\\
chfistorage.file.core.windows.net) (Y:), chọn tệp azureevidencefile.dd, và nhấp
Open để tải tệp lên.

67. Sau khi đường dẫn Data Sources được đặt, nhấp Next.

68. Phần Configure Ingest Modules xuất hiện, hiển thị danh sách các tùy chọn
đã được chọn sẵn. Chọn các tùy chọn theo yêu cầu của bạn. Bạn cũng có thể để
các tùy chọn này ở trạng thái mặc định. Nhấp Next.

69. Autopsy bây giờ bắt đầu thêm Data Sources. Khi nó hiển thị rằng Data
Sources đã được thêm vào, nhấp Finish.
Lưu ý: Công cụ này mất thời gian để phân tích tệp ảnh và thời gian này phụ
thuộc vào kích thước của tệp ảnh.

70. Sau khi phân tích tệp ảnh, ứng dụng sẽ tải nó vào cửa sổ chính của Autopsy.
Mở rộng nút Data Sources ở ngăn bên trái của cửa sổ. Tùy Select Data Source sẽ
hiển thị tên của tệp ảnh bạn sẽ kiểm tra (tức là azureevidencefile).

71. Mở rộng nút cho azureevidencefile.dd ở ngăn bên trái của cửa sổ. Bạn có thể
thấy nhiều phân vùng dưới tệp ảnh dd trong cả trạng thái đã phân bổ và chưa
phân bổ. Chúng ta cần xác định phân vùng/gốc ổ đĩa của máy ảo Azure bị xâm
nhập. Để xác định phân vùng gốc, nhấp vào từng phân vùng để các tệp/thư mục
lưu trữ trong chúng có thể được xem ở ngăn bên phải của cửa sổ. Khi chúng ta
nhấp vào vol 6 hoặc mở rộng nút của nó ở ngăn bên trái của cửa sổ, chúng ta
thấy rằng nó chứa các thư mục được tìm thấy trên hệ thống tệp Linux. Từ đây,
chúng ta có thể suy ra rằng vol6 (Unknown: 227328-62916574) là phân vùng
gốc của máy ảo azure-ubuntu bị ảnh hưởng.
72. Khi phân vùng/gốc ổ đĩa đã được xác định, bạn có thể chọn bất kỳ thư
mục/tệp nào theo yêu cầu của cuộc điều tra của bạn, và phân tích hex data,
metadata, annotations, và các chi tiết khác liên quan đến nó bằng cách nhấp vào
các tab tương ứng ở ngăn dưới bên phải của cửa sổ ứng dụng.

73. Khi bạn hoàn thành việc phân tích, bạn có thể unmount file share bằng cách
nhấp chuột phải vào nó trong cửa sổ File Explorer và sau đó chọn Disconnect từ
menu ngữ cảnh.

74. Sau khi bạn hoàn thành công việc trong Lab này, bạn có thể xóa thư mục
Cloud Key Pairs khỏi Desktop máy ảo Windows Server 2016 và tất cả các tài
nguyên (nhóm tài nguyên, máy ảo, tài khoản lưu trữ và file share) khỏi cổng
thông tin Azure.