KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security - istudy.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng • MMoodduullee0022: :KKỹỹthtuhậutậtất ntấcnôncgông • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa
dữ liệu • Ôn tập • Báo cáo cuối khóa
Institute of Network Security - istudy.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer hệ thống mạng • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow
Institute of Network Security - istudy.vn
Nội dung
Cracking Passwords
Escalating Privileges
Executing Application
Covering Tracks
Hiding Files
Institute of Network Security - istudy.vn
Những thông tin đã thu thập
• Footprinting – IP Range – Namespace – Employee web usage
– Đánh giá mục tiêu – Xác định các dịch vụ hoạt động – Xác định thông tin các hệ thống
• Scanning
– Thăm dò xâm nhập – Danh sách users – Lỗ hổng bảo mật
• Enumeration
Institute of Network Security - istudy.vn
Mục tiêu của System Hacking
Giai đoạn tấn công Mục tiêu
Gaining Access
Thu thập thông tin để dành quyền truy cập
Công nghệ/kỹ thuật khai thác Password eavesdropping, bruteforcing
Escalating Privileges
Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập được
Password cracking, khai thác lỗi đã xác định
Trojans
Executing Application
Tạo và duy trì backdoor để truy cập
Hiding Files
Che dấu các tập tin độc hại
Rootkits
Covering Tracks
Xóa dấu vết
Clearing logs
Institute of Network Security - istudy.vn
Phương pháp tấn công hệ thống
Institute of Network Security - istudy.vn
System Hacking Steps
Cracking Passwords
Escalating Privileges
Executing Application
Covering Tracks
Hiding Files
Institute of Network Security - istudy.vn
Cracking Passwords
Kỹ thuật bẽ khóa mật khẩu được sử dụng để khôi phục/xác định mật khẩu của một hệ thống máy tính
Kẻ tấn công sử dụng kỹ thuật bẽ khóa mật khẩu để dành quyền truy cập trái phép vào hệ thống nguy cơ về bảo mật
Phần lớn các trường hợp bẽ khóa mật khẩu thành công là do các mật khẩu dễ đoán và mật khẩu yếu
Institute of Network Security - istudy.vn
Độ phức tạp của mật khẩu
Institute of Network Security - istudy.vn
Kỹ thuật bẻ khóa mật khẩu
Institute of Network Security - istudy.vn
Các loại tấn công mật khẩu
Institute of Network Security - istudy.vn
Passive Online Attacks: Wire Sniffing
• Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và
phân tích dữ liệu để tìm ra mật khẩu.
• Các mật khẩu thương bắt được dạng plaintext của các
dịch vụ như: Telnet, FTP, rlogin, mail…
Institute of Network Security - istudy.vn
Passive Online Attacks: Man-in-the- Middle và Replay Attack
• MITM attack: kẻ tấn công bắt được dữ liệu truyền giữa
Victim và Server, từ đó lấy thông tin truy cập.
• Replay attack: Các gói dữ liệu và token chứng thực của Victim được Attacker bắt lại để sau này sử dụng để truy cập vào server.
Institute of Network Security - istudy.vn
Active Online Attack: Password Guessing
• Kẻ tấn công sử dụng từ điển username/password để dò
mật khẩu của hệ thống.
– Tốn nhiều thời gian – Tốn nhiều băng thông mạng – Dễ bị phát hiện
• Chú ý:
Institute of Network Security - istudy.vn
Active Online Attack: Trojan/Spyware/keylogger
• Keylogger là chương trình chạy ngầm trên hệ thống và cho phép kẻ tấn công ở xa ghi lại hoạt động của máy tính nạn nhân
• Spyware là một loại malware cho phép attacker bí mật thu thập thông tin của cá nhân hoặc tổ chức
• Trojan có thể giúp attacker truy cập nơi lưu trữ mật khẩu trên máy tính nạn nhân và có thể đọc các dữ liệu cá nhân của nạn nhân cũng như xóa file …
Institute of Network Security - istudy.vn
Active Online Attack: Hash Injection Attack
• Hash Injection Attack cho phép attacker “tiêm” một giá trị hash vào một phiên làm việc cục bộ trên máy tính nạn nhân và sử dụng hash để kiểm tra tính hợp lệ khi truy cập tài nguyên mạng.
• Attacker tìm và trích thông tin của “domain admin
account hash” đã đăng nhập.
• Attacker sử dụng hash thu thập được để đăng nhập vào
domain controller
Institute of Network Security - istudy.vn
Rainbow Attacks: Pre-Computed Hash
– Kỹ thuật cho phép chuyển danh sách các từ trong file từ điển
và brute force lists sang dạng Password Hash.
• Rainbow Table:
– Tính toán giá trị hash của danh sách các từ có thể là password
và so sánh giá trị đó với giá trị hash của Password. Nếu đúng thì đã crack được password.
• Tính toán giá trị Hash:
– Dễ dàng tìm ra password bằng cách so sánh Password Hash mà ta thu thập được với các giá trị trong bảng Pre-Computed Hash tables.
• So sánh giá trị Hash:
Institute of Network Security - istudy.vn
Distributed Network Attacks
Institute of Network Security - istudy.vn
Non-Technical Attacks
Institute of Network Security - istudy.vn
Default Password
• Sử dụng mật khẩu mặc định của nhà sản xuất thiết bị
Institute of Network Security - istudy.vn
Manual Password Cracking (Guessing)
• Cách thực hiện: – Tìm user hợp lệ – Tạo một danh sách các từ có thể là Password – Sắp xếp các mật khẩu với khả năng đúng là mật khẩu giảm dần – Thử và sai với các mật khẩu trong danh sách mật khẩu
Institute of Network Security - istudy.vn
Automatic Password Cracking Algorithm
Institute of Network Security - istudy.vn
Stealing Password Using USB Drive
Institute of Network Security - istudy.vn
Microsoft Authentication
• SAM Database
– Windows lưu trữ user/password trong Security Account Manager
(SAM) database hoặc trong Active Directory database – Password không bao giờ được lưu trữ ở dạng clear text – Password được hash (Băm) và kết quả băm được lưu trong SAM
database
• NTLM
– Là giao thức chứng thực gồm: NTLM và LM authentication protocol – Các giao thức sử dụng phương pháp hash khác nhau để bảo mật
thông tin mật khẩu được lưu trữ trong SAM database
• Kerberos
– Microsoft cập nhật giao thức chứng thực mặc định là Kerberos – Bảo mật hơn so với NTLM
Institute of Network Security - istudy.vn
Cách Hash Passwords được lưu trữ trong SAM database
Institute of Network Security - istudy.vn
LAN Manager Hash
LM Hash hoặc LAN Manager Hash là một trong số các định dạng mà Microsoft LAN Manager và Microsoft Windows sử dụng để lưu trữ user passwords có kích thướng nhỏ hơn 15 ký tự Khi Password được mã hóa với thuật toán LM thì tất cả các ký tự của mật khẩu được chuyển sang ký tự hoa ví dụ: 123456QWERTY Password sẽ được thêm vào các ký tự null (blank) để đảm bảo đủ 14 ký tự ví dụ: 123456QWERTY_ Trước khi mã hóa Password sẽ được chia làm 2 phần (mỗi phần 7 ký tự) và mỗi phần được mã hóa riêng trước khi được nối lại với nhau thành kết quả của mật khẩu đã mã hóa Phần 1: 123456Q = 6BF11E04AFAB197F Phần 2: WERTY_ = F1E9FFDCC75575B15 Giá trị hash: 6BF11E04AFAB197FF1E9FFDCC75575B15
Institute of Network Security - istudy.vn
LAN Manager Hash
8 Bytes đầu được tạo ra từ 7 ký tự đầu của mật khẩu và 8 Bytes thứ 2 được tạo ra từ ký tự thứ 8 đến ký tự thứ 14 của mật khẩu Nếu mật khẩu ít hơn 7 ký tự thì 8 bytes thứ 2 sẽ là 0xAAD3B434B51404EE
có mật khẩu sau với LM Hash là 0xC23413A8A1E7665F
Ví dụ: Một user AAD3B434B51404EE
Sử dụng LC5 bẻ khóa sẽ cho ra password là “WELCOME” NTLMv2 là giáo thức chứng thực theo mô hình challenge/response, và bảo mật hơn so với giao thức LM
Institute of Network Security - istudy.vn
Phát sinh LM Hash
• Constant DES key = “KGS!@#$%”
Institute of Network Security - istudy.vn
LM, NTLMv1 và NTLMv2
Institute of Network Security - istudy.vn
NTLM Authentication Process
Institute of Network Security - istudy.vn
Kerberos Authentication Process
Institute of Network Security - istudy.vn
Salting
Institute of Network Security - istudy.vn
Một số công cụ: PWDump7 và Fgdump
– Trích LM và NTLM password hash của local user account từ SAM Database
• PWDump7
– Tương tự PWDump7 nhưng cho phép
trích chứng thực được cache lại và cho phép thực thi qua mạng
• Fgdump
• Các công cụ này phải chạy dưới quyền administrator account
Institute of Network Security - istudy.vn
Một số công cụ: Ophcrack
Institute of Network Security - istudy.vn
Một số công cụ: L0phtCrack
Institute of Network Security - istudy.vn
Một số công cụ: Cain & Abel
Institute of Network Security - istudy.vn
Một số công cụ: RainbowCrack
Institute of Network Security - istudy.vn
Một số công cụ tham khảo thêm
Institute of Network Security - istudy.vn
Một số công cụ tham khảo thêm
Institute of Network Security - istudy.vn
Cách thức hạn chế tấn công
• Passwords gồm nhiều loại
ký tự(7-12).
• Đổi password định kỳ (30
ngày).
• Bảo mật mức vật lý cũng
như Server.
• Sử dụng SYSKEY khi lưu
password.
• Theo dõi giám sát thường
xuyên.
Institute of Network Security - istudy.vn
System Hacking Steps
Cracking Passwords
Escalating Privileges
Executing Application
Covering Tracks
Hiding Files
Institute of Network Security - istudy.vn
Privilege Escalation
• Sau khi crack được mật khẩu user, attacker có thể truy
cập mạng với quyền hạn của user không phải là admin. • Tiếp theo attacker cần dành được đặc quyền quản trị hệ thống để thực hiện các tác vụ mà attacker mong muốn.
Institute of Network Security - istudy.vn
Privilege Escalation: StickyKeys
• Stickykeys là tính năng của Windows hỗ trợ người
khuyết tật khi đăng nhập vào Windows.
• Ở màn hình đăng nhập nhấn phím SHIFT 5 lần để mở
hộp thoại StickyKey.
• Chương trình StickyKey lưu ở
C:\Windows\system32\sethc.exe
• Thay thế sethc.exe bằng cmd.exe sau đó khi đăng nhập gõ phí SHIFT 5 lần để chạy cmd.exe với quyền hạn của admin.
Institute of Network Security - istudy.vn
Privilege Escalation: AdminUser
– Sử dụng lệnh net user hiddenadmin P@ssw0rd – Vào registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
– Tạo DWORD với trên là hiddenadmin
Phương pháp này đã được Microsoft fix lỗi
• Tạo tài khoản admin ẩn
Institute of Network Security - istudy.vn
Privilege Escalation: DomainUser
• Dành quyền truy cập vào domain (Sử dụng keylogger)
Institute of Network Security - istudy.vn
Công cụ: Active@ Password Changer
• Dùng để reset password, thay đổi thuộc tính của user
Institute of Network Security - istudy.vn
Công cụ: Tham khảo thêm
Institute of Network Security - istudy.vn
Cách chống lại Privilege Escalation
Institute of Network Security - istudy.vn
System Hacking Steps
Cracking Passwords
Escalating Privileges
Executing Application
Covering Tracks
Hiding Files
Institute of Network Security - istudy.vn
Executing Applications
• Trong bước này attacker thực thi các chương trình độc
hại trên máy tính của nạn nhận
Institute of Network Security - istudy.vn
Executing Applications
• Tìm hiểu hệ thống chứa các thông tin nhạy cảm gì như
CPU, RAM, IP, ..
• Cài đặt các phần mềm cho phép truy cập từ xa hay ăn
cắp password của các user khác.
• Ngoài ra có thể cài những chương trình giúp quét mạng
bên trong
Institute of Network Security - istudy.vn
Executing Applications: Tools
• Alchemy Remote Executor • RemoteExec • Remote Program Executor • Xem thêm cách sử dụng các loại
trojan, spyware trong Module 6
Institute of Network Security - istudy.vn
System Hacking Steps
Cracking Passwords
Executing Application
Hiding Files
Escalating Privileges Covering Tracks
Institute of Network Security - istudy.vn
Rootkits
• Rootkit là chương trình ở mức kernel có khả năng che dấu chính nó cũng như che dấu hoạt động của nó
• Chúng thay thế các lệnh call và các tiện ích của hệ thống
bằng các đoạn mã đã bị thay đổi.
• Attacker dành được quyền root access vào hệ thống
thông qua virus, Trojan, hoặc spyware
• Rootkit cho phép attacker duy trì truy cập “ẩn” trên hệ
thống
Institute of Network Security - istudy.vn
Phân loại Rootkits
Application Level Rootkit: Thay thế tập tin thực thi của các ứng dụng bằng trojan hoặc chèn các mã độc hại vào các chương trình ứng dụng. Library Level Rootkit: Thay thế các lệnh gọi hệ thống để che dấu thông tin của attacker. Kernel Level Rootkit: Thêm các đoạn mã độc hại hoặc thay thế mã lệnh của OS kernel và driver thiết bị. Boot Loader Level Rootkit: Thay thế boot loader của hệ thống bằng một trình điều khiển từ xa của attacker. Hypervisor Level Rootkit: Thay đổi trình tự boot của máy để load rootkit thay vì load virtual machine monitor hoặc OS Hardware/Firmware Rootkit: Che dấu trong thiết bị phần cứng hoặc firmware, không thể kiểm tra tính toàn vẹn của mã chương trình
Institute of Network Security - istudy.vn
Cách Rootkit làm việc
Institute of Network Security - istudy.vn
Cách chống lại Rootkits
Institute of Network Security - istudy.vn
Một số chương trình Anti-Rootkit
• Rootkit Revealer • MacAfee Rootkit Detective
Institute of Network Security - istudy.vn
Các chương trình Anti-Rootkit Thảm khảo
Institute of Network Security - istudy.vn
NTFS Data Stream
• NTFS Alternate Data Stream (ADS) là Windows Hidden Stream dùng để lưu siêu dữ liệu (metadata) như các thuộc tính, word count, tên tác giả và thời điểm truy cập – thời điểm thay đổi của các tập tin.
• ADS có thể đưa dữ liệu vào một tập tin đang tồn tại mà không làm thay đổi kích thước, chứng năng hoặc cách hiển thị của tập tin.
• ADS cho phép attacker chèn các đoạn mã độc vào hệ
thống và thực thi mà user không phát hiện ra.
Institute of Network Security - istudy.vn
Cách tạo NTFS Stream
• Chạy c:>notepad myfile.txt:lion.txt • Chạy c:>notepad myfile.txt:tiger.txt • Kiểm tra lại kích thước của myfile.txt
Institute of Network Security - istudy.vn
Thao tác trên NTFS Stream
– C:\> start c:\Readme.txt:trojan.exe
• Di chuyển trojan.exe vào Readme.txt (stream) – C:\> type trojan.exe > Readme.txt:trojan.exe • Chạy trojan trong tập tin Readme.txt (stream)
– C:\> cat c:\readme.txt:trojan.exe > trojan.exe – Cat là tiện ích trong Windows server 2003 Resource Kit
• Trích trojan.exe từ Readme.txt (stream)
Institute of Network Security - istudy.vn
Cách chống lại NTFS Stream
• Copy tập tin từ NTFS sang phân vùng FAT rồi copy
ngược lại
• Sự dụng các tiện ích để phát hiện NTFS Streams như: – LNS.exe – http://ntsecurity.nu/cgi-bin/download/lns.exe – ADS Scan Engine
Institute of Network Security - istudy.vn
Tham khảo thêm: NTFS Stream Detectors
Institute of Network Security - istudy.vn
Steganography là gì
• Steganography là kỹ thuật che dấu thông tin mật bên
Các mục đích của Attacker khi sử dụng Steganography
trong một thông điệp truyền thống và có thể khôi phục lại thông tin mật khi cần thiết
Institute of Network Security - istudy.vn
Cách Steganography làm việc
Institute of Network Security - istudy.vn
Các loại Steganography
Institute of Network Security - istudy.vn
Tham khảo: Image Steganography Tools
Institute of Network Security - istudy.vn
Tham khảo: Document Steganography Tools
Institute of Network Security - istudy.vn
Tham khảo: Video Steganography Tools
Institute of Network Security - istudy.vn
Tham khảo: Audio Steganography Tools
Institute of Network Security - istudy.vn
Tham khảo: Folder Steganography Tools
Institute of Network Security - istudy.vn
Tham khảo: Steganography Detection Tools
Institute of Network Security - istudy.vn
System Hacking Steps
Cracking Passwords
Escalating Privileges
Executing Application
Covering Tracks
Hiding Files
Institute of Network Security - istudy.vn
Covering Track
• Một khi những kẻ xâm nhập đã thành công và đạt được quyền truy cập Quản trị viên trên một hệ thống, họ sẽ cố gắng để tránh bị phát hiện
• Khi tất cả các thông tin quan tâm đã đạt được từ mục
tiêu, họ sẽ cài đặt một số phần mềm để có thể truy cập dễ dàng trong tương lai.
Institute of Network Security - istudy.vn
Công cụ xoá dấu vết: Auditpol
• Công cụ auditpol.exe NT
Resource Kit có thể vô hiệu hóa giám sát bằng cách sử dụng dòng lệnh.
• Để kích hoạt lại chế độ
giám sát bằng cách sử dụng auditpol.exe
Institute of Network Security - istudy.vn
Công cụ xoá dấu vết
Institute of Network Security - istudy.vn
Công cụ xoá dấu vết: ELSAVE
• Sử dụng elsave.exe như là một công cụ xoá dấu vết
Lưu log đến d:\system.log và xoá log: elsave -l system -F d:\system.log –C
Lưu log trên \\serv1 to \\serv1\d$\application.log:
elsave -s \\serv1 -F d:\application.log
InstituRtoettoAfdNsaedtawwourtktijSareoceunrity&- isTtaundayn.vSnatayapiwat
Công cụ xóa dấu vết: Window Washer
Institute of Network Security - istudy.vn
Công cụ xóa dấu vết: Tracks Eraser Pro
Institute of Network Security - istudy.vn
Tham khảo các công cụ xóa dấu vết khác
Institute of Network Security - istudy.vn
TÓM LƯỢC BÀI HỌC
Chiếm quyền tài khoản. Nâng quyền. Ghi nhận thông tin, xoá dấu vết Các công cụ cần thiết.
Các điểm cần lưu ý.
