Kỹ thuật bẽ khóa mật khẩu được sử dụng để khôi phục/xác định mật khẩu của một hệ thống máy tính Kẻ tấn công sử dụng kỹ thuật bẽ khóa mật khẩu để dành quyền truy cập trái phép vào hệ thống nguy cơ về bảo mật Phần lớn các trường hợp bẽ khóa mật khẩu thành công là do các mật khẩu dễ đoán và mật khẩu yếu
84 trang |
Chia sẻ: franklove | Lượt xem: 4086 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - System Hacking, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Institute of Network Security - istudy.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security - istudy.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa
dữ liệu
• Ôn tập
• Báo cáo cuối khóa
le 02: Kỹ thuật tấn công
Institute of Network Security - istudy.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer hệ thống mạng
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
Nội dung
Institute of Network Security - istudy.vn
Những thông tin đã thu thập
• Footprinting
– IP Range
– Namespace
– Employee web usage
• Scanning
– Đánh giá mục tiêu
– Xác định các dịch vụ hoạt động
– Xác định thông tin các hệ thống
• Enumeration
– Thăm dò xâm nhập
– Danh sách users
– Lỗ hổng bảo mật
Institute of Network Security - istudy.vn
Mục tiêu của System Hacking
Giai đoạn tấn công Mục tiêu
Công nghệ/kỹ
thuật khai thác
Gaining Access
Thu thập thông tin để dành
quyền truy cập
Password
eavesdropping,
bruteforcing
Escalating Privileges
Tạo ra user có đặt quyền trên
hệ thống hoặc nâng quyền hạn
của user đã thu thập được
Password cracking,
khai thác lỗi đã xác
định
Executing
Application
Tạo và duy trì backdoor để truy
cập
Trojans
Hiding Files Che dấu các tập tin độc hại Rootkits
Covering Tracks Xóa dấu vết Clearing logs
Institute of Network Security - istudy.vn
Phương pháp tấn công hệ thống
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
System Hacking Steps
Institute of Network Security - istudy.vn
Cracking Passwords
Kỹ thuật bẽ khóa mật khẩu được sử dụng để khôi phục/xác
định mật khẩu của một hệ thống máy tính
Kẻ tấn công sử dụng kỹ thuật bẽ khóa mật khẩu để dành
quyền truy cập trái phép vào hệ thống nguy cơ về bảo mật
Phần lớn các trường hợp bẽ khóa mật khẩu thành công là
do các mật khẩu dễ đoán và mật khẩu yếu
Institute of Network Security - istudy.vn
Độ phức tạp của mật khẩu
Institute of Network Security - istudy.vn
Kỹ thuật bẻ khóa mật khẩu
Institute of Network Security - istudy.vn
Các loại tấn công mật khẩu
Institute of Network Security - istudy.vn
Passive Online Attacks: Wire Sniffing
• Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và
phân tích dữ liệu để tìm ra mật khẩu.
• Các mật khẩu thương bắt được dạng plaintext của các
dịch vụ như: Telnet, FTP, rlogin, mail…
Institute of Network Security - istudy.vn
Passive Online Attacks: Man-in-the-
Middle và Replay Attack
• MITM attack: kẻ tấn công bắt được dữ liệu truyền giữa
Victim và Server, từ đó lấy thông tin truy cập.
• Replay attack: Các gói dữ liệu và token chứng thực của
Victim được Attacker bắt lại để sau này sử dụng để truy
cập vào server.
Institute of Network Security - istudy.vn
Active Online Attack: Password
Guessing
• Kẻ tấn công sử dụng từ điển username/password để dò
mật khẩu của hệ thống.
• Chú ý:
– Tốn nhiều thời gian
– Tốn nhiều băng thông mạng
– Dễ bị phát hiện
Institute of Network Security - istudy.vn
Active Online Attack:
Trojan/Spyware/keylogger
• Keylogger là chương trình chạy ngầm
trên hệ thống và cho phép kẻ tấn công
ở xa ghi lại hoạt động của máy tính
nạn nhân
• Spyware là một loại malware cho phép
attacker bí mật thu thập thông tin của
cá nhân hoặc tổ chức
• Trojan có thể giúp attacker truy cập nơi
lưu trữ mật khẩu trên máy tính nạn
nhân và có thể đọc các dữ liệu cá nhân
của nạn nhân cũng như xóa file …
Institute of Network Security - istudy.vn
Active Online Attack: Hash Injection
Attack
• Hash Injection Attack cho phép attacker “tiêm” một giá
trị hash vào một phiên làm việc cục bộ trên máy tính
nạn nhân và sử dụng hash để kiểm tra tính hợp lệ khi
truy cập tài nguyên mạng.
• Attacker tìm và trích thông tin của “domain admin
account hash” đã đăng nhập.
• Attacker sử dụng hash thu thập được để đăng nhập vào
domain controller
Institute of Network Security - istudy.vn
Rainbow Attacks: Pre-Computed Hash
• Rainbow Table:
– Kỹ thuật cho phép chuyển danh sách các từ trong file từ điển
và brute force lists sang dạng Password Hash.
• Tính toán giá trị Hash:
– Tính toán giá trị hash của danh sách các từ có thể là password
và so sánh giá trị đó với giá trị hash của Password. Nếu đúng thì
đã crack được password.
• So sánh giá trị Hash:
– Dễ dàng tìm ra password bằng cách so sánh Password Hash mà
ta thu thập được với các giá trị trong bảng Pre-Computed Hash
tables.
Institute of Network Security - istudy.vn
Distributed Network Attacks
Institute of Network Security - istudy.vn
Non-Technical Attacks
Institute of Network Security - istudy.vn
Default Password
• Sử dụng mật khẩu mặc định của nhà sản xuất thiết bị
Institute of Network Security - istudy.vn
Manual Password Cracking (Guessing)
• Cách thực hiện:
– Tìm user hợp lệ
– Tạo một danh sách các từ có thể là Password
– Sắp xếp các mật khẩu với khả năng đúng là mật khẩu giảm dần
– Thử và sai với các mật khẩu trong danh sách mật khẩu
Institute of Network Security - istudy.vn
Automatic Password Cracking
Algorithm
Institute of Network Security - istudy.vn
Stealing Password Using USB Drive
Institute of Network Security - istudy.vn
Microsoft Authentication
• SAM Database
– Windows lưu trữ user/password trong Security Account Manager
(SAM) database hoặc trong Active Directory database
– Password không bao giờ được lưu trữ ở dạng clear text
– Password được hash (Băm) và kết quả băm được lưu trong SAM
database
• NTLM
– Là giao thức chứng thực gồm: NTLM và LM authentication protocol
– Các giao thức sử dụng phương pháp hash khác nhau để bảo mật
thông tin mật khẩu được lưu trữ trong SAM database
• Kerberos
– Microsoft cập nhật giao thức chứng thực mặc định là Kerberos
– Bảo mật hơn so với NTLM
Institute of Network Security - istudy.vn
Cách Hash Passwords được lưu trữ
trong SAM database
Institute of Network Security - istudy.vn
LAN Manager Hash
LM Hash hoặc LAN Manager Hash là một trong số các định dạng mà Microsoft LAN
Manager và Microsoft Windows sử dụng để lưu trữ user passwords có kích thướng
nhỏ hơn 15 ký tự
Khi Password được mã hóa với thuật toán LM thì tất cả các ký tự của mật khẩu được
chuyển sang ký tự hoa ví dụ: 123456QWERTY
Password sẽ được thêm vào các ký tự null (blank) để đảm bảo đủ 14 ký tự ví dụ:
123456QWERTY_
Trước khi mã hóa Password sẽ được chia làm 2 phần (mỗi phần 7 ký tự) và mỗi phần
được mã hóa riêng trước khi được nối lại với nhau thành kết quả của mật khẩu đã
mã hóa
Phần 1: 123456Q = 6BF11E04AFAB197F
Phần 2: WERTY_ = F1E9FFDCC75575B15
Giá trị hash: 6BF11E04AFAB197FF1E9FFDCC75575B15
Institute of Network Security - istudy.vn
LAN Manager Hash
8 Bytes đầu được tạo ra từ 7 ký tự đầu của mật khẩu và 8 Bytes thứ 2 được tạo ra từ
ký tự thứ 8 đến ký tự thứ 14 của mật khẩu
Nếu mật khẩu ít hơn 7 ký tự thì 8 bytes thứ 2 sẽ là 0xAAD3B434B51404EE
Ví dụ: Một user có mật khẩu sau với LM Hash là 0xC23413A8A1E7665F
AAD3B434B51404EE
Sử dụng LC5 bẻ khóa sẽ cho ra password là “WELCOME”
NTLMv2 là giáo thức chứng thực theo mô hình challenge/response, và bảo mật hơn
so với giao thức LM
Institute of Network Security - istudy.vn
Phát sinh LM Hash
• Constant DES key = “KGS!@#$%”
Institute of Network Security - istudy.vn
LM, NTLMv1 và NTLMv2
Institute of Network Security - istudy.vn
NTLM Authentication Process
Institute of Network Security - istudy.vn
Kerberos Authentication Process
Institute of Network Security - istudy.vn
Salting
Institute of Network Security - istudy.vn
Một số công cụ: PWDump7 và Fgdump
• PWDump7
– Trích LM và NTLM password hash của
local user account từ SAM Database
• Fgdump
– Tương tự PWDump7 nhưng cho phép
trích chứng thực được cache lại và cho
phép thực thi qua mạng
• Các công cụ này phải chạy dưới
quyền administrator account
Institute of Network Security - istudy.vn
Một số công cụ: Ophcrack
Institute of Network Security - istudy.vn
Một số công cụ: L0phtCrack
Institute of Network Security - istudy.vn
Một số công cụ: Cain & Abel
Institute of Network Security - istudy.vn
Một số công cụ: RainbowCrack
Institute of Network Security - istudy.vn
Tool: Lophtcrack
Một số công cụ tham khảo thêm
Institute of Network Security - istudy.vn
Tool: Lophtcrack
Một số công cụ tham khảo thêm
Institute of Network Security - istudy.vn
Password Cracking Countermeasure
• Passwords gồm nhiều loại
ký tự(7-12).
• Đổi password định kỳ (30
ngày).
• Bảo mật mức vật lý cũng
như Server.
• Sử dụng SYSKEY khi lưu
password.
• Theo dõi giám sát thường
xuyên.
Cách thức hạn chế tấn công
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
System Hacking Steps
Institute of Network Security - istudy.vn
Privilege Escalation
• Sau khi crack được mật khẩu user, attacker có thể truy
cập mạng với quyền hạn của user không phải là admin.
• Tiếp theo attacker cần dành được đặc quyền quản trị hệ
thống để thực hiện các tác vụ mà attacker mong muốn.
Institute of Network Security - istudy.vn
Privilege Escalation: StickyKeys
• Stickykeys là tính năng của Windows hỗ trợ người
khuyết tật khi đăng nhập vào Windows.
• Ở màn hình đăng nhập nhấn phím SHIFT 5 lần để mở
hộp thoại StickyKey.
• Chương trình StickyKey lưu ở
C:\Windows\system32\sethc.exe
• Thay thế sethc.exe bằng cmd.exe sau đó khi đăng nhập
gõ phí SHIFT 5 lần để chạy cmd.exe với quyền hạn của
admin.
Institute of Network Security - istudy.vn
Privilege Escalation: AdminUser
• Tạo tài khoản admin ẩn
– Sử dụng lệnh net user hiddenadmin P@ssw0rd
– Vào registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
– Tạo DWORD với trên là hiddenadmin
Phương pháp này đã được Microsoft fix lỗi
Institute of Network Security - istudy.vn
Privilege Escalation: DomainUser
• Dành quyền truy cập vào domain (Sử dụng keylogger)
Institute of Network Security - istudy.vn
Công cụ: Active@ Password Changer
• Dùng để reset password, thay đổi thuộc tính của user
Institute of Network Security - istudy.vn
Công cụ: Tham khảo thêm
Institute of Network Security - istudy.vn
Cách chống lại Privilege Escalation
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
System Hacking Steps
Institute of Network Security - istudy.vn
Executing Applications
• Trong bước này attacker thực thi các chương trình độc
hại trên máy tính của nạn nhận
Institute of Network Security - istudy.vn
Executing Applications
• Tìm hiểu hệ thống chứa các thông tin nhạy cảm gì như
CPU, RAM, IP, ..
• Cài đặt các phần mềm cho phép truy cập từ xa hay ăn
cắp password của các user khác.
• Ngoài ra có thể cài những chương trình giúp quét mạng
bên trong
Institute of Network Security - istudy.vn
Executing Applications: Tools
• Alchemy Remote Executor
• RemoteExec
• Remote Program Executor
• Xem thêm cách sử dụng các loại
trojan, spyware trong Module 6
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
System Hacking Steps
Institute of Network Security - istudy.vn
Rootkits
• Rootkit là chương trình ở mức kernel có khả năng che
dấu chính nó cũng như che dấu hoạt động của nó
• Chúng thay thế các lệnh call và các tiện ích của hệ thống
bằng các đoạn mã đã bị thay đổi.
• Attacker dành được quyền root access vào hệ thống
thông qua virus, Trojan, hoặc spyware
• Rootkit cho phép attacker duy trì truy cập “ẩn” trên hệ
thống
Institute of Network Security - istudy.vn
Phân loại Rootkits
Hardware/Firmware Rootkit: Che dấu trong thiết bị phần cứng hoặc
firmware, không thể kiểm tra tính toàn vẹn của mã chương trình
Hypervisor Level Rootkit: Thay đổi trình tự boot của máy để load rootkit
thay vì load virtual machine monitor hoặc OS
Boot Loader Level Rootkit: Thay thế boot loader của hệ thống bằng một
trình điều khiển từ xa của attacker.
Kernel Level Rootkit: Thêm các đoạn mã độc hại hoặc thay thế mã lệnh của
OS kernel và driver thiết bị.
Library Level Rootkit: Thay thế các lệnh gọi hệ thống để che dấu thông tin
của attacker.
Application Level Rootkit: Thay thế tập tin thực thi của các ứng dụng bằng
trojan hoặc chèn các mã độc hại vào các chương trình ứng dụng.
Institute of Network Security - istudy.vn
Cách Rootkit làm việc
Institute of Network Security - istudy.vn
Cách chống lại Rootkits
Institute of Network Security - istudy.vn
Một số chương trình Anti-Rootkit
• Rootkit Revealer
• MacAfee Rootkit Detective
Institute of Network Security - istudy.vn
Các chương trình Anti-Rootkit Thảm
khảo
Institute of Network Security - istudy.vn
NTFS Data Stream
• NTFS Alternate Data Stream (ADS) là Windows Hidden
Stream dùng để lưu siêu dữ liệu (metadata) như các
thuộc tính, word count, tên tác giả và thời điểm truy cập
– thời điểm thay đổi của các tập tin.
• ADS có thể đưa dữ liệu vào một tập tin đang tồn tại mà
không làm thay đổi kích thước, chứng năng hoặc cách
hiển thị của tập tin.
• ADS cho phép attacker chèn các đoạn mã độc vào hệ
thống và thực thi mà user không phát hiện ra.
Institute of Network Security - istudy.vn
Cách tạo NTFS Stream
• Chạy c:>notepad myfile.txt:lion.txt
• Chạy c:>notepad myfile.txt:tiger.txt
• Kiểm tra lại kích thước của myfile.txt
Institute of Network Security - istudy.vn
Thao tác trên NTFS Stream
• Di chuyển trojan.exe vào Readme.txt (stream)
– C:\> type trojan.exe > Readme.txt:trojan.exe
• Chạy trojan trong tập tin Readme.txt (stream)
– C:\> start c:\Readme.txt:trojan.exe
• Trích trojan.exe từ Readme.txt (stream)
– C:\> cat c:\readme.txt:trojan.exe > trojan.exe
– Cat là tiện ích trong Windows server 2003 Resource Kit
Institute of Network Security - istudy.vn
Cách chống lại NTFS Stream
• Copy tập tin từ NTFS sang phân vùng FAT rồi copy
ngược lại
• Sự dụng các tiện ích để phát hiện NTFS Streams như:
– LNS.exe –
– ADS Scan Engine
Institute of Network Security - istudy.vn
Tham khảo thêm: NTFS Stream
Detectors
Institute of Network Security - istudy.vn
Steganography là gì
• Steganography là kỹ thuật che dấu thông tin mật bên
trong một thông điệp truyền thống và có thể khôi phục
lại thông tin mật khi cần thiết
Các mục đích của Attacker khi sử dụng Steganography
Institute of Network Security - istudy.vn
Cách Steganography làm việc
Institute of Network Security - istudy.vn
Các loại Steganography
Institute of Network Security - istudy.vn
Tham khảo: Image Steganography
Tools
Institute of Network Security - istudy.vn
Tham khảo: Document Steganography
Tools
Institute of Network Security - istudy.vn
Tham khảo: Video Steganography
Tools
Institute of Network Security - istudy.vn
Tham khảo: Audio Steganography
Tools
Institute of Network Security - istudy.vn
Tham khảo: Folder Steganography
Tools
Institute of Network Security - istudy.vn
Tham khảo: Steganography Detection
Tools
Institute of Network Security - istudy.vn
Escalating
Privileges
Executing
Application
Covering
Tracks
Hiding
Files
Cracking
Passwords
System Hacking Steps
Institute of Network Security - istudy.vn
Covering Tracks
Covering Track
• Một khi những kẻ xâm nhập đã thành công và đạt được
quyền truy cập Quản trị viên trên một hệ thống, họ sẽ
cố gắng để tránh bị phát hiện
• Khi tất cả các thông tin quan tâm đã đạt được từ mục
tiêu, họ sẽ cài đặt một số phần mềm để có thể truy cập
dễ dàng trong tương lai.
Institute of Network Security - istudy.vn
Công cụ xoá dấu vết: Auditpol
• Công cụ auditpol.exe NT
Resource Kit có thể vô hiệu
hóa giám sát bằng cách sử
dụng dòng lệnh.
• Để kích hoạt lại chế độ
giám sát bằng cách sử dụng
auditpol.exe
Institute of Network Security - istudy.vn
Clearing the Event Log
Công cụ xoá dấu vết
Institute of Network Security - istudy.vn Rott Adsadawuttijaroen & Tanan Satayapiwat
Tool: elsave.exe
• Sử dụng elsave.exe như là một công cụ xoá dấu vết
Lưu log đến d:\system.log và xoá log:
elsave -l system -F d:\system.log –C
Lưu log trên \\serv1 to \\serv1\d$\application.log:
elsave -s \\serv1 -F d:\application.log
Công cụ xoá dấu vết: ELSAVE
Institute of Network Security - istudy.vn
Công cụ xóa dấu vết: Window Washer
Institute of Network Security - istudy.vn
Công cụ xóa dấu vết: Tracks Eraser Pro
Institute of Network Security - istudy.vn
Tham khảo các công cụ xóa dấu vết
khác
Institute of Network Security - istudy.vn
TÓM LƯỢC BÀI HỌC
Chiếm quyền tài khoản.
Nâng quyền.
Ghi nhận thông tin, xoá dấu vết
Các công cụ cần thiết.
Các điểm cần lưu ý.
Institute of Network Security - istudy.vn
Q & A