1
VietHanIT
Bẻ khóa mật khẩu Kỹ thuật bẻ khóa mật khẩu Các hình thức tấn công Thuật toán bẻ khóa mật khẩu tự
động
Phần mềm gián điệp (Spyware) Rootkits Phát hiện Rootkits Luồng gữ liệu NTFS Steganography là gì? Steganalysis Che dấu vết tích
Tăng quyền hạn Thực thi các ứng dụng Keylogger
2
VietHanIT
Footprinting
Scanning
Enumeration
1. Thông tin hệ thống 1. Hoạt động của địa 1. Đánh giá mục
tiêu
2. Tài khoản người 2. Loại dịch vụ 2.
dùng
chỉ IP Không gian tên
3. Trang Web riêng
3
VietHanIT
3. Lỗ hỏng bảo mật 3. Cấu trúc hệ thống
Các giai đoạn Mục tiêu Kỹ thuật
Thu thập đầy đủ thông tin Nghe lén mật khẩu
Tiếp cận
Chuyển đổi giới hạn truy cập user có quyền cao hơn
Bẻ khóa mật khẩu Khai thác thông tin Tăng quyền hạn
Ẩn tập tin độc hại
Ẩn tập tin
Thực thi ứng dụng Tạo và duy trì truy cập qua backdoor Phần mềm gián điệp Trojans
Phần mềm gián điệp Rootkits
4
VietHanIT
Che dấu vết tích Che dấu sự hiện diện Quét sạch bản ghi
Bẻ khóa mật khẩu
Footprinting
n ậ c
Tăng quyền hạn
p ế i T
Scanning
Thực thi ứng dụng
n ậ c
ì r t y u D
Enumeration
p ế i t
Ẩn tập tin
Che dấu vết tích
i h g n ả b
h c ạ s t é u Q
5
VietHanIT
Bẻ khóa mật khẩu
Thực thi ứng dụng
Tăng quyền hạn
Ẩn tập tin
Che dấu vết tích
Kiểm tra
6
VietHanIT
Kỹ thuật bẻ mật khẩu được sử dụng để phục hồi mật khẩu từ hệ thống máy tính
Attacker
Những kẻ tấn công sử dụng kỹ thuật bẻ khóa mật khẩu để truy cập trái phép hệ thống
7
VietHanIT
Hệ thống bị tấn công Hầu hết các kỹ thuật bẻ khóa mật khẩu thành công do các mật khẩu yếu hoặc dễ dàng đoán
Mật khẩu có chứa chữ cái, ký tự đặc biệt, và số ap1@52
Mật khẩu có chỉ chứa số 23698217
Mật khẩu có chứa ký tự đặc biệt &*#@!(%)
Mật khẩu có chứa các chữ cái và số meetl 23
Mật khẩu mà chỉ chứa các chữ cái POTHMYDE
Mật khẩu chỉ chứa các chữ cái và các ký tự đặc biệt bob&ba
8
VietHanIT
Mật khẩu có chứa ký tự đặc biệt và số 123@$45
Kết hợp các ký tự cho đến khi mật khẩu bị phá vỡ Kết hợp của tấn công Brute force và tấn công từ điển
Tấn công Brute force
Tấn công từ điển
Tấn công dựa trên quy tắc
Tấn công theo âm tiết
Tấn công lai
9
VietHanIT
Dò mật khẩu từ từ điển, thêm số và kí hiệu Sử dụng khi kẻ tấn công biết được một số thông tin về mật khẩu Một tập tin từ điển được nạp vào ứng dụng, sử dụng mật khẩu có từ từ điển
10
VietHanIT
Khó duy trì
Kẻ tấn công chạy các công cụ sniffer trên mạng LAN để truy cập và ghi lại các thông tin trong mạng
Tính toán phức tạp
11
VietHanIT
Các dữ liệu dò tìm được bao gồm mật khẩu được gửi đến hệ thống từ xa trong quá trình Telnet, FTP và thư điện tử được gửi và nhận Công cụ có sẵn
Dò tìm thông tin trong khi đăng nhập vào một máy chủ và sau đó phát lại cho họ để được truy cập
Đoán mật khẩu là một việc khó khăn
12
VietHanIT
Nếu kẻ tấn công có thể nghe trộm đăng nhập trên Windows , sau đó cách tiếp cận này có thể phỏng đoán mật khẩu ngẫu nhiên
Trong một cuộc tấn công MITM , kẻ tấn công có được quyền truy cập vào kênh thông tin liên lạc giữa nạn nhân và máy chủ để trích xuất các thông tin
13
VietHanIT
Trong một cuộc tấn công Replay, các gói dữ liệu và mã xác thực được bắt bằng cách sniffer. Sau khi tách các thông tin liên quan, mã xác thực được đặt trở lại trên mạng để được truy cập Chú ý: 1. Tương đối khó 2. Phải được tin cậy từ 1 hoặc 2 bên 3. Đôi khi có thể thất bại do đường truyền
14
VietHanIT
Kẻ tấn công có một tập hợp các thông tin, và kết hợp để bẻ khóa mật khẩu. Chú ý: Thời gian Băng thông Dễ phát hiện
Spyware
Spyware là một loại phần mềm độc hại mà cho phép kẻ tấn công bí mật thu thập thông tin
Keylogger
Chương trình ghi lại những ký tự đã đánh trên bàn phím và gửi về cho người tấn công
Trojan
15
VietHanIT
Với sự giúp đỡ của Trojan, kẻ tấn công biết được các mật khẩu được lưu trữ trong máy tính bị tấn công và có thể đọc các tài liệu cá nhân, xóa các tập tin, và hình ảnh
• Một cuộc tấn công cho phép kẻ tấn công đưa vào một mã Băm và sử dụng để xác
nhận các nguồn tài nguyên mạng.
tài khoản quản trị miền
• Kẻ tấn công tìm và tách lấy • Kẻ tấn công sử dụng mã băm để đăng nhập vào bộ điều khiển miền (Doamin
Controller)
Đưa một mã Băm vào máy cục bộ
16
VietHanIT
Tính toán mã Băm
So sánh mã Băm
Bảng Rainbow
Dễ dàng khôi phục mật khẩu bằng cách so sánh các mật khẩu bắt được với bảng tính toán trước
17
VietHanIT
Chuyển đổi danh sách rất lớn như các tập tin từ điển và băm mật khẩu bằng cách sử dụng các kỹ thuật như bảng Rainbow Tính toán hash cho một danh sách các mật khẩu và so sánh nó với các bảng tính toán mã băm.
1. Được sử dụng để khôi phục các file có mật khẩu bảo vệ và sử dụng một máy tính để giải mã qua mạng 2. Server DNA được lắp đặt tại vị trí trung tâm để các clients có thể truy xuất vào server DNA qua mạng.
Client của DNA server sẽ chạy trên nền tảng trong thời gian bộ vi xử lý rãnh
Server DNA kết hợp tấn công và định vị các phần chia nhỏ của key được chuyển trong mạng.
Server DNA được lắp đặt tại vị trí trung tâm để các clients có thể truy xuất vào server DNA qua mạng.
18
VietHanIT
Chương trình kết hợp khả năng xử lý của tất cả các client kết nối vào mạng và sử dụng nó để thực hiện giải mã
Nhìn vào bàn phím hoặc màn hình trong khi người dùng đăng nhập Shoulder Surfing
Social Engineering Dumpster Diving
19
VietHanIT
Thuyết phục một người tiết lộ bí mật thông tin về tài khoản Tìm kiếm thông tin của người sử dụng trong thùng rác, máy in
Một mật khẩu mặc định là một mật khẩu của thiết bị mới được cung cấp bởi nhà sản xuất
Các công cụ trực tuyến có thể được sử dụng để tìm kiếm mật khẩu mặc định:
20
VietHanIT
21
VietHanIT
Mã hóa danh sách vừa tạo Tìm tài khoản tồn tại
So sánh mật khẩu vừa mã hóa với danh sách lấy được
Lặp lại cho đến khi tìm được mật khẩu chính xác
22
VietHanIT
Tạo danh sách mật khẩu Lấy được mật khẩu đã mã hóa Tìm thuật toán mã hóa đã sử dụng
Cần một công cụ hack mật khẩu
Sao chép các tập tin tải về vào ổ đĩa USB
Tạo autorun.inf trong USB [autorun] en=launch.bat
Cho phép USB chạy tự động
nội dung file launch.bat start pspv. exe/stext pspv.txt
Mật khẩu được lưu trữ trong các tập tin TXT.
23
VietHanIT
CSDL SAM
Nơi lưu trữ thông tin và bảo mật tài khoản hoặc trong CSDL Active Directory Mật khẩu được lưu trữ trong CSDL SAM
Chứng thực NTLM
Hai giao thức xác thực: NTLM và giao thức xác thực IM. Các giao thức này sử dụng phương pháp băm khác nhau để lưu trữ an toàn mật khẩu trong CSCL SAM
Chứng thực Kerberos
24
VietHanIT
Được Microsoft nâng cấp thừ giao thức chứng thực mặc định, một tùy chọn an toàn hơn so với NTLM
Băm mật khẩu sử dụng LM / NTLM
Mã hóa
Nơi lưu trữ file SAM
Username User ID
LM Hash
NTLM Hash
25
VietHanIT
LM hash (LAN Manager Hash) là một trong những dạng quản lý mạng LAN của Microsoft và HĐH của Microsoft sử dụng để lưu trữ mật khẩu ít hơn 15 ký tự
Khi mật khẩu này được mã hóa với thuật toán LM, tất cả các chữ cái được chuyển đổi sang chữ hoa: 123456QWERTY
Mật khẩu sẽ được chèn thêm kí tự để làm cho nó có độ dài 14 ký tự: 12345GQWERTY_
26
VietHanIT
Trước khi mã hóa mật khẩu này, 14 ký tự được phân chia: 123456Q và WERTY_, mỗi chuỗi riêng lẻ được mã hóa và sau đó nối chúng lại 123456Q = 6BF11EO4AFAB197F WERTY_ = F1E9FFDCC7SS7SB15 LM Hash 6BF11EO4AFAB197FF1E9FFDCC7SS7SB15 Lưu ý: LM Hash đã được vô hiệu hóa trong Windows Vista và Windows 7
8 byte đầu tiên được bắt đầu từ 7 ký tự đầu tiên và 8 byte thứ hai được bắt đầu từ ký tự thứ 8 đến 14 của mật khẩu
Nếu mật khẩu ít hơn 7 ký tự, 8 byte sau sẽ luôn luôn là OxAAD3B435B51404EE
Giả sử, mật khẩu của người sử dụng được mã hóa là OxC23413A8A1E7665f AAD3B435B51404EE
Mật khẩu được bẻ khóa là "Chào Mừng"
NTLMv2 là một thay đổi, đáp ứng giao thức chứng thực, an ninh được cải tiến qua giao thức LM
27
VietHanIT
Lưu ý: LM Hash đã được vô hiệu hóa trong Windows Vista và Windows 7
Chia thành 2 chuỗi Thêm khoảng trống để đủ 14 ký tự Chuyển sang chữ in Hoa
cehman 1 CEHMAN 1*****
Constant Constant
28
VietHanIT
Concatenate LM Hash
%
Độ dài
Thuật toán Hash
Độ dài trong mã Hash
Chiều dài mật khẩu
Thuật toán C/R
Độ dài C/R
29
VietHanIT
Không Có Có Thuộc tính Phân biệt chữ hoa thường
%
Client
Thuật toán Hash
Người dùng đăng nhập vào HĐH Domain Controller DC có một bản sao lưu trữ mật khẩu mã hóa của người dùng
Gửi yêu cầu đăng nhập đến DC
DC gửi yêu cầu chứng thực
DC so sánh chứng thực đó với mã chứng thực của DC Nếu mã chứng thực chính xác, đănh nhập thành công
Xác nhận chứng thực lại cho DC
30
VietHanIT
HĐH nhận mật khẩu thông qua thuật toán Hash
Người dùng yêu cầu máy chủ xác thực
Trung tâm phân phối key
Máy chủ xác thực và trả lời yêu cầu của người dùng
Yêu cầu server cấp vé
Máy chủ cấp vé
trả lời yêu cầu của máy trạm
Yêu cầu máy chủ truy cập vào dịch vụ cần truy dùng
Cung cấp dịch vụ theo yêu cầu của Client
31
VietHanIT
Máy chủ chứng thực
Đặc biệt
Kĩ thuật salting là kĩ thuật ngăn chặn lấy mật khẩu từ các tập tin mật khẩu Mật khẩu
Lưu trữ mật khẩu tượng trưng không phải mật khẩu thật
Ưu điểm: Làm thất bại các cuộc tấn công Hash
32
VietHanIT
Ngăn chặn tân công Hash
Pwdump lấy mã Hash LM và NTLM của mật khẩu người dùng cục bộ từ cơ sở dữ liệu SAM
33
VietHanIT
Các HĐH windows server 2000 và 2003 có thể xác thực người dùng kết nối với các máy tính đang chạy các phiên bản HĐH của windows
Các Client sử dụng HĐH Windows cũ thì không sử dụng Kerberos để xác thực
Đối với khả năng tương thích, Windows 2000 và Windows Server 2003 hỗ trợ:
34
VietHanIT
Chứng thực LAN Manager (LM) Chứng thực Windows NT (NTLM) Chứng thực NTLM version 2 (NTLMv2)
Sử dụng một mật khẩu ít nhất 15 ký tự • LM hash không tạo ra được khi chiều dài mật khẩu vượt quá 15 ký tự
HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Lsa
Chỉnh sửa NoLM Hash trong registry Duyệt đến đường dẫn: •
Thực hiện Chính sách NoLMHash bằng cách sử dụng chính sách nhóm
35
VietHanIT
Để mật khẩu khó đoán và sử dụng 8-12 kí tự kết hợp chữ hoa chữ thường, số và các kí hiệu.
Không sử dụng cùng một mật khẩu trong quá trình thay đổi mật khẩu
Thiết lập các chính sách thay đổi mật khẩu trong 30 ngày
Giám sát các bản ghi của máy chủ đối với các cuộc tấn công vào tài khoản người dùng
Tránh lưu trữ mật khẩu ở một vị trí không có đảm bảo
Không sử dụng mật khẩu có thể tìm thấy trong từ điển
Không bao giờ sử dụng mật khẩu như ngày sinh, tên người thân
Kính hoạt SYSKEY với mật khẩu mạnh để mã hóa và bảo vệ CSDL SAM
36
VietHanIT
Bẻ khóa mật khẩu
Tăng quyền hạn
Thực thi ứng dụng
Ẩn tập tin
Che dấu vết tích
Kiểm tra
37
VietHanIT
Một kẻ tấn công có thể được truy cập vào mạng bằng cách sử dụng một tài khoản người dùng bình thường, và các bước tiếp theo sẽ là đạt được quyền quản trị
38
VietHanIT
Attacker có thể truy cập vào mạng bằng cách sử dụng tài khoản User nhưng có thể có quyền hạn của Admin
lần ở màn hình logon và hộp thoại StickyKey hiện lên
StickyKeys là một tính năng tiếp cận hệ điều hành Windows. Ấn phím shift 5
39
VietHanIT
Chương trình Sticky Keys được đặt tại c:\windowssystem32\sethc.exe Nếu thay thế sethc.exe ở sticky key với cmd.exe, và sau đó nhấn phím shift 5 lần tại màn hình đăng nhập, có thể thực thi các câu lệnh trong cửa sổ cmd mà không gặp vấn đề gì về quyền
Tạo 1 tài khoàn quản trị ẩn
Gõ lệnh “net user [tên user] password” Vào register [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\ Winlogon\ SpecialAccounts\UserList]
Tạo mới một DWORD Một tài khoản quản trị Administrative đã được
40
VietHanIT
tạo và đã ẩn
Victim sẽ đăng nhập vào máy chủ domain với thông tin của mình
Attacker sẽ cài vào máy trạm một phần mềm keylogger
Keylogger gởi thông tin cho hacker
Attacker đạt được mục đích truy cập vào máy chủ domain
41
VietHanIT
Giới hạn quyền đăng nhập
Sử dụng kỹ thuật mã hóa để bảo vệ dữ liệu
Người sử dụng chạy các ứng dụng trên quyền thấp nhất Nâng cấp hệ thống thường xuyên
Thực hiện xác thực
42
VietHanIT
Chạy dịch vụ không có tài khoản đặc quyền
Bẻ khóa mật khẩu
Tăng quyền hạn
Thực thi ứng dụng
Ẩn tập tin
Che dấu vết tích
Kiểm tra
43
VietHanIT
44
VietHanIT
Những kẻ tấn công thực thi ứng dụng độc hại trong giai đoạn này. Điều này được gọi là "sở hữu" hệ thống
• Keystroke logger là những chương trình hoặc các thiết bị phần cứng theo dõi từng tổ hợp phím như sử
dụng trên bàn phím, đăng nhập vào một tập tin hoặc truyền chúng đến một địa điểm từ xa
• Keyloggers được đặt giữa phần cứng bàn phím và hệ thống điều hành • Ứng dụng hợp pháp cho keyloggers bao gồm văn phòng và thiết lập để giám sát hoạt động máy tính của nhân viên và trong môi trường gia đình mà cha mẹ có thể theo dõi và giám sát các hoạt động của trẻ em
Keyboard.sys
Nhân Hệ điều hành
45
VietHanIT
46
VietHanIT
Phần mềm gián điệp (Spyware) là một chương trình ghi lại sự tương tác của người sử dụng máy tính và Internet mà người sử dụng không thể can thiệp. Spyware là tàng hình, ẩn quá trình, các tập tin của nó, và các đối tượng khác để tránh bị loại bỏ.
Download phần mềm Cài đặt phần mềm
Lỗi từ trình duyệt
Cookies
47
VietHanIT
Phần mềm giả mạo Các tiện ích của trình duyệt
Ăn cắp thông tin cá nhân người dùng và gởi đến hacker
Giám sát người dùng trực tuyến
Hiển thị pop-ups và các trang web quảng cáo
Kết nối đến các trang web không mong muốn
Gây mất ổn định ở hệ thống
Đánh dấu nhiều trang web thành trang web ưa thích
Thay đổi trang web mặc định và không cho người dùng khôi phục
Tạo các Shortcuts đến các trang Web độc hại
48
VietHanIT
Giảm mức độ bảo vệ của máy tính
Điện thoại Desktop
GPS
Mail và internet
Âm thanh
Phần mềm giám sát trẻ em
USB Video
Phần mềm chụp màn hình
49
VietHanIT
Máy in
Desktop Spyware cung cấp thông tin về người sử dụng đã làm gì trên máy tính để bàn của họ, khi nào và với ai
Ghi lại hoạt động đăng nhập và lưu trữ tại một khu vực
Các phím mà người sử dụng đã đăng nhập
Ghi lại và theo dõi hoạt động dùng internet
50
VietHanIT
Ghi lại trực tiếp thông qua máy tính từ xa Ghi lại phần mềm sử dụng và thời gian sử dụng
• Theo dõi, giám sát, hồ sơ, và email chuyển tiếp đến và đi
• Cung cấp 1 cách tổng thể quá trình sử dụng web • Ghi lại ngày giờ dùng và hoạt động trên mỗi trang • Ngăn chặn truy cập vào 1
• Nó ghi lại các tin nhắn đã tiến hành ở AIM, MSN, Yahoo, MySpace. Facebook…
trang web hoặc toàn bộ các trang web
51
VietHanIT
Internet
Kiểm soát và giám sát trẻ em sử dụng máy tính và internet
Giám sát hoạt động do người dùng lựa chọn
Ngăn chặn trẻ em truy cập vào nội dung trang web không thích hợp
52
VietHanIT
Ghi lại các hoạt động, bao gồm cả các ảnh chụp màn hình, tổ hợp phím, và các trang web
s
Phần mềm gián điệp chụp màn hình từ máy lân cận hoặc máy từ xa trong 1 thời gian xác định trước
Những phần mềm gián điệp cũng có thể nắm bắt tổ hợp phím, hoạt động chuột, các địa chỉ web và hoạt động máy in trong thời gian thực
Nó cho phép giám sát trong thời gian thực tất cả các hoạt động người dùng trên mạng
53
VietHanIT
Phần mềm gián điệp chụp màn hình thường lưu ảnh chụp màn hình vào đĩa hoặc gửi chúng cho kẻ tấn công thông qua FTP hoặc e-mail
• Sao chép tập tin từ các thiết bị USB vào
đĩa cứng của bạn ở chế độ ẩn.
54
VietHanIT
• Nó cũng có thể nắm bắt, hiển thị, ghi lại và phân tích dữ liệu chuyển giao giữa bất kỳ thiết bị USB kết nối với máy tính và các ứng dụng.
Theo dõi, giám sát và ghi lại âm thanh trên máy tính
Nó ghi lại tin nhắn bằng giọng nói trò chuyện của các tin nhắn khác nhau ngay lập tức
55
VietHanIT
Người mún nghe lén sử dụng các phần mềm gián điệp âm thanh để theo dõi các bản ghi âm hội nghị, các cuộc gọi, chương trình phát sóng vô tuyến điện
Bí mật theo dõi, giám sát webcam
Những kẻ tấn công từ xa có thể xem webcam qua web hoặc điện thoại di động
56
VietHanIT
Phần mềm gián điệp có thể được sử dụng cho video giám sát của các cơ quan
Phần mềm gián điệp máy in dùng để giám sát từ xa
lượng bản sao, số lượng trang in và nội dung
57
VietHanIT
Nó có thể được sử dụng để phát hiện các thuộc tính in công việc chính xác như số
Phần mềm gián điệp theo dõi, giám sát và các cuộc gọi điện thoại, tin nhắn văn bản
Những kẻ tấn công cài đặt phần mềm gián điệp trên các thiết bị mà họ muốn theo dõi. Bí
58
VietHanIT
mật gửi dữ liệu cho các kẻ tấn công thông qua SMS hoặc email
59
VietHanIT
Phần mềm gián điệp GPS là một thiết bị hoặc phần mềm có sử dụng hệ thống định vị toàn cầu để xác định vị trí của một chiếc xe, người, hoặc tài sản khác mà nó được gắn vào hoặc cài đặt
- Sử dụng chức năng chặn quảng cáo và tránh mở thư rác - Quét các tập tin trước khi cài đặt chúng vào máy tính
60
VietHanIT
- Cài đặt phần mềm diệt virus - Cài đặt một Host based IDS có thể giám sát hệ thống của bạn và vô hiệu hóa các cài đặt của keylogger - Cài đặt phần mềm tường lửa chuyên nghiệp và phần mềm chống keylog - Giữ hệ thống phần cứng của bạn an toàn, thường xuyên kiểm tra các dây cáp nối - Chọn mật khẩu mới cho tài khoản trực tuyến khác nhau và thay đổi chúng thường xuyên - Sử dụng phần mềm thường xuyên quét và theo dõi những thay đổi trong hệ thống
Phần mềm chống Keylog vô hiệu hóa và xóa phần mềm keylogs
Sử dụng một bàn phím ảo hoặc màn hình cảm ứng có thể ngăn chặn việc
bắt tổ hợp phím
61
VietHanIT
Điều chỉnh thiết lập bảo mật cho trình duyệt
Nâng cao mức độ bảo mật của máy tính
Thận trọng với các email và trang web đáng ngờ
Cài đặt và sử dụng các phần mềm chống Spyware
Thực hiện lướt web 1 cách an toàn và tải về cẩn thận
Cập nhật phần mềm thường xuyên, sử dụng firewall để bảo vệ
62
VietHanIT
Cập nhật các tập tin được xác định là virus và quét các phần mềm gián điệp thường xuyên
Bẻ khóa mật khẩu
Thực thi ứng dụng
Tăng quyền hạn
Ẩn tập tin
Che dấu vêt tích
Kiểm tra
63
VietHanIT
Rootkits là chương trình có khả năng ẩn mình và che dấu mọi hoạt động.
Nó thay đổi các tiện ích ở hệ điều hành
Những kẻ tấn công có quyền được truy cập vào hệ thống bằng cách cài đặt virus, chương trình Trojan horse, hoặc phần mềm gián điệp để khai thác nó
64
VietHanIT
Rootkits cho phép kẻ tấn công duy trì quyền truy cập ẩn vào hệ thống
Thêm mã độc hại hoặc thay thế nhân hệ điều hành ban đầu và mã điều khiển các thiết bị
Sửa đổi lại trình tự khởi động của máy tính thay vì dùng màn hình hoặc hệ điều hành ban đầu của máy
Thay thế các chương trình ứng dụng bằng các Trojan giả mạo, hoặc sửa đổi các ứng dụng hiện có bằng cách thêm các mã độc hại.
Thay thế bộ nạp khởi động ban đầu bởi một trình điều khiển bởi một kẻ tấn công từ xa
Thay thế các cấu trúc hệ thống bằng các thông tin giả mạo để ẩn thông tin của kẻ tấn công
Rootkits phần cứng/phần mềm Ẩn trong các thiết bị phần cứng hoặc phần mềm nền tảng mà không được kiểm tra
65
VietHanIT
Phát hiện dựa trên tính toàn vẹn
Phát hiện dựa trên dấu vết Kỹ thuật này so sánh đặc điểm của các quy trình hệ thống và các tập tin thực thi với một cơ sở dữ liệu có dấu vết của rootkit đã được biết đến
Nó so sánh ảnh chụp của tập tin, file khởi động hoặc bộ nhớ với một cơ sở đáng tin cậy
Kĩ thuật dò tìm
Phát hiện dựa trên cách xem qua
Nó sẽ tìm ra độ sai lệch từ mô hình hệ thống đến thực tế để tim ra rootkit dựa trên đường dẫn đang sử dụng
66
VietHanIT
Liệt kê các tập tin hệ thống, quy trình và các khóa đã đăng ký và so sánh chúng với một thuật toán được sử dụng để tạo ra một tập hợp dữ liệu tương tự
Vào cmd gõ “dir/s/b/ah” và “dir/s/b/a-h”
Sử dụng đĩa CD, gõ lệnh “dir/s/b/ah” và “dir/s/b/a-h” trên cùng ổ đĩa và lưu kết quả
Sử dụng WinDiff trong đĩa CD để phát hiện tập tin ẩn
67
VietHanIT
Cài đặt lại hệ điều hành, ứng dụng từ một nguồn đáng tin cậy sau khi đã sao lưu các dữ liệu quan trọng
Người dùng phải kiểm tra máy tính khi có dấu hiệu
Các dữ liệu được ghi nhận tự động phải được giữ
Lắp đặt mạng và máy chủ phải có tường lửa
Sử dụng các chứng thực mạnh
Lưu trữ sẵn các tập tin tin cậy để phục hồi khi cần thiết
Các máy trạm hoặc máy chủ phải vững chắc để chống lại sự tấn công
Cập nhật cho hệ điều hành và các ứng dụng
Cập nhật các chương trình diệt virus và chống phần mềm gián điệp thường xuyên
68
VietHanIT
• Luồng dữ liệu thay thế NTFS là một luồng ẩn, trong đó có các dữ liệu cho các tập tin như
• ADS có khả năng hình thành dữ liệu vào các tập tin hiện có mà không cần thay đổi hoặc
thuộc tính và thời gian cập nhật và sửa đổi của các tập tin.
thay đổi kích thước tập tin.
• ADS cho phép kẻ tấn công có thể đưa mã độc hại trên một phạm vi hệ thống và thực thi
69
VietHanIT
chúng mà không bị phát hiện bởi người sử dụng
Vào cmd gõ: notepad myfile.txt:tiger.txt Click „yes‟ để tạo file mới và tạo 20 dòng dữ liệu
Vào cmd gõ: notepad myfile.txt:lion.txt Click „yes‟ để tạo file mới và tạo 10 dòng dữ liệu
Xem dung lượng của myfile.txt ( dung lượng sẽ là 0)
70
VietHanIT
Chỉnh sữa dữ liệu, mở file „myfile.txt:tiger.txt‟ trong notepad
Chuyển nội dung từ Trojan.exe đến Readme.txt: C:\> type c:\Trojan.exe > c:\Readme.txt:Trojan.exe
Để thực thi Trojan.exe bên trong Readme.txt: C:\> start c:\Readme.txt :Trojan.exe
71
VietHanIT
Để giải nén Trojan.exe từ Readme.txt: C:\> cat c:\Readme.txt:Trojan.exe > Trojan.exe
LNS. Exe từ (http://nt security.nu/cgi-bin /download/Ins.exe.pl) có thể xóa được luồng dữ liệu
Các tập tin đó sẽ mất khi tập tin được chuyển đến phân vùng FAT
Xóa một dòng tập tin liên quan đến việc sao chép trước đó để phân vùng FAT và sau đó chép vào trở lại với NTFS
72
VietHanIT
• Steganography là một kỹ thuật che giấu một thông điệp bí mật trong một email
bình thường và giải nén nó tại điểm đến để duy trì bảo mật dữ liệu
biến nhất để che giấu dữ liệu trong tập tin
• Bằng cách sử dụng một hình ảnh đồ họa như bao gồm một phương pháp phổ
Mã nguồn của các công cụ hack
Danh sách các máy chủ bị thâm nhập
73
VietHanIT
Kế hoạch tấn công Thông tin và kênh điều phối
Kĩ thuật thay thế
Kĩ thuật chuyển đổi tên miền
Thay thế một phần dư thừa của đối tượng và che phủ nó với một thông điệp bí mật
Nhúng các tin nhắn bí mật trong một không gian biến đổi của tín hiệu
Các thế hệ che phủ
Mã hóa thông tin đảm bảo việc bảo vệ cho thông tin liên lạc được bí mật
Kĩ thuật phổ tần lan truyền Thông qua ý tưởng từ thông tin liên lạc phổ tần lan truyền để nhúng tin nhắn bí mật
Kĩ thuật biến dạng
Kĩ thuật thống kê
Lưu trữ thông tin bằng cách biến dạng tín hiệu và đo độ lệch từ tập tin gốc
Nhúng tin nhắn bằng cách thay đổi tính chất thống kê của các đối tượng che phủ
74
VietHanIT
Tài liệu Hình ảnh Video Thư mục
Âm thanh Web Khoảng trắng Mail
75
VietHanIT
Ổ đĩa DVD Văn bản Hệ điều hành Nguồn code C++
• Thông tin được ẩn trong các tập tin hình ảnh định dạng khác nhau như: PNG, JPG,. BMP,…
76
VietHanIT
• Các công cụ image steganography thay thế các bit dư thừa của dữ liệu hình ảnh với các thông báo theo cách như vậy mà không thể phát hiện được bằng mắtcủa con người
Steganalysis là nghệ thuật phát hiện và làm xuất hiện các tin nhắn bí mật bằng cách sử dụng steganography
Hiệu quả và phát hiện chính xác nội dung ẩn bên trong hình ảnh kỹ thuật số Dòng thông tin nghi ngờ có thể hoặc không có thể mã hóa dữ liệu ẩn
77
VietHanIT
Mã hóa dữ liệu ẩn trước khi chèn vào một tập tin hoặc tín hiệu Một số tín hiệu nghi ngờ hoặc các tập tin có thể có dữ liệu không liên quan hoặc tiếng ồn được mã hóa vào chúng
Các định dạng của tập tin được thay đổi.
Chỉ có môi trường có steganography là có sẵn để phân tích
Các stego-object được so sánh với đối tượng để phát hiện các thông tin ẩn
Bản gốc và stego-object có sẵn và các thuật toán steganography được biết đến
Mục đích là để xác định các mẫu trong các stego-object có thể trỏ đến
Thông điệp ẩn và stego- image tương ứng được biết đến
Stego-object và thuật toán steganography được xác định
Trong quá trình giao tiếp, kẻ tấn công hoạt động có thể thay đổi vỏ
78
VietHanIT
Bẻ khóa mật khẩu
Thực thi ứng dụng
Tăng quyền hạn
Ẩn tập tin
Che dấu vết tích
Kiểm tra
79
VietHanIT
Một khi những kẻ xâm nhập đã thành công được truy cập quản trị viên trên một hệ thống, họ sẽ cố gắng để che các theo dõi để tránh bị phát hiện
Truy cập bằng Admin
Cài đặt Backdoors
Khi tất cả các thông tin quan tâm đã bị tước bỏ từ mục tiêu, kẻ xâm nhập cài đặt các backdoors để anh ta có thể được truy cập dễ dàng trong tương lai
80
VietHanIT
Trong Windows XP
Click chuột phải lên Start, chọn Properties > Start Menu > Customize > Advanced > Clear List , bỏ dấu check “List my most recently opened documents”
Hủy bỏ sử dụng gần đây nhất (MRU), xóa cookies, xóa bộ nhớ cache, tắt AutoComplete, Thanh công cụ dữ liệu xóa từ các trình duyệt
Từ Registry
HKCU\Software\Microsoft\ Windows\CurrentVersion\ Explorer, sau đó xóa key “Recent Docs”
81
VietHanIT
Xóa danh sách ứng dụng sử dụng gần đây
Những kẻ xâm nhập sẽ vô hiệu hóa auditing ngay lập tức sau khi giành được quyền quản trị
82
VietHanIT
Kẻ xâm nhập sẽ chỉ bật kiểm tra một lần nữa bằng cách sử dụng auditpol.exe
Bẻ khóa mật khẩu
Thực thi ứng dụng
Tăng quyền hạn
Ẩn tập tin
Che dấu vết tích
Kiểm tra
83
VietHanIT
Thực hiện dò tìm thông tin qua mạng
Thực hiện tấn công Man in the Middle
Xác định mật khẩu của hệ thống
Thực hiện tấn công theo quy tắc
Quyền truy cập
Chạy từ điển từ các ứng dụng crack để chạy vào tài khoản của người dùng
Chạy một chương trình phá vỡ mật
khẩu
Thực hiện tấn công theo âm tiết
Chạy gói công cụ sniffer trên mạng LAN để truy cập và ghi lại các lưu lượng mạng
Kiểm tra mật khẩu phức tạp
Thực hiện tấn công lai
Dành được quyền truy cập vào các kênh thông tin liên lạc giữa nạn nhân và máy chủđể trích xuất các thông tin
Thực hiện tấn công từ điển
Thực hiện tấn công Brute forcing
84
VietHanIT
Sử dụng một Sniffer để nắm bắt các gói tin và thẻ xác
Thực hiện tấn công lặp lại
Thực hiện tấn công Shoulder Surfing
thực. Sau khi giải nén thông tin có liên quan, đặt lại các thẻ trên mạng để truy cập
Ghi lại mọi phím tắt mà một người sử dụng loại bằng cách sử
dụng keylogger
Bí mật thu thập thông tin cá nhân hoặc tổ chức cá nhân sử
Social Engineering
dụng phần mềm gián điệp
Đoán mật khẩu
Một Trojan có thể truy cập các mật khẩu được lưu trữ trong máy
tính
Đưa mã băm xâm nhập vào một máy cục bộ và sử dụng để
xác nhận các nguồn tài nguyên mạng
Khôi phục mật khẩu bằng cách sửdụng máy trên mạng để giải
Dumpster Diving
mã mật khẩu
Trojan/Spyware/ Keyloogers
Tính toán mã Băm
Đưa vào mã Băm
Tấn công Rainbow
Tấn công phân tán
85
VietHanIT
Thay thế sethc.exe với cmd.exe, và sau đó gọi sethc.exe bằng cách nhấn phím shift 5 lần tại màn hình đăng nhập Sử dụng các công cụ thay đổi
quyền như hoạt động thay đổi mật khẩu, bộ công cụ khôi phục mật khẩu,..
Quyền hạn bị giới hạn
Cài Keylog
Thay thế sethc.exe bằng cmd.exe
Tạo tài khoàn admin ẩn
Thử chạy các ứng dụng quyền admin
86
VietHanIT
Đăng nhập
Cập nhật phần mềm diệt virus
Kiểm tra tường lửa
Kiểm tra phần cứng hệ thống
• Sử dụng keylogger • Sử dụng các phần mềm gián điệp, máy ghi
Sử dụng keylogger
âm chuyên nghiệp,…
87
VietHanIT
Sử dụng Spyware Dùng công cụ thực thi từ xa
• Cài đặt các rootkit trong hệ
thống để duy trì quyền truy cập ẩn • Thực hiện toàn vẹn dựa trên phát hiện,
•
Cài đặt Rootkit Thực hiện kĩ thuật Steganalysis
Sử dụng Steganography
•
Tính toàn vẹn
•
Chữ ký
•
Sử dụng luồng NTFS
•
Xem qua Cập nhật cho HĐH
để phát hiện rootkit Sử dụng công cụ chống rootkit chẳng hạn như RootkitRevealer, Detective Rootkit, McAfee,SanityCheck, Sử dụng luồng NTFS để đưa mã độc hại và thực hiện chúng mà không bị phát hiện bởi người sử dụng Sử dụng công cụ dò tìm luồng NTFS như ADS Scan Sử dụng kỹ thuật steganography để che giấu thông điệp bí mật trong một email bình thường và giải nén nó tại điểm đến để duy trì bảo mật dữ liệu Sử dụng các công cụ phát hiện steganography như stegdetect, tego Watch , Stegspy, Xstegsecret,…
88
VietHanIT
Phỏng đoán Kiểm tra virus, phần mềm chặn Spyware
Xóa mọi hoạt động trên Web
Vô hiệu hóa audit
Can thiệp vào file log
Đóng các kết nối từ xa
• • •
Đóng các port đang mở
Xóa cookies, cache, tập tin tạm thời và lịch sử Vô hiệu hoá các công cụ như Auditpol Giả mạo đăng nhập các tập tin như các file bản ghi sự kiện, các tập tin đăng nhập máy chủ và các tập tin đăng nhập proxy Sử dụng các công cụ như Windows Washer , TracksEraser Pro
•
89
VietHanIT
Kẻ tấn công sử dụng một loạt các phương thức để thâm nhập hệ thống Đoán mật khẩu và bẻ khóa là một trong những bước đầu tiên Đoán mật khẩu là một chiến thuật nghe trộm thường dùng Quét lổ hỏng để xác định kỹ thuật để sử dụng Ghi nhật ký gõ phím và các công cụ phần mềm gián điệp khác được sử dụng khi
họ đạt được vào hệ thống để giữ cho các cuộc tấn công sau Kẻ tấn công phá hủy bằng chứng “đã từng có và làm thiệt hại” Các tập tin ăn cắp cũng như các tập tin ẩn là phương tiện để lẻn ra ngoài thông
tin quan trọng
90
VietHanIT
