Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - System Hacking

Institute of Network Security - istudy.vn KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security - istudy.vn NỘI DUNG • Module 01: Tổng quan An ninh mạng • Module 02: Kỹ thuật tấn công • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo cuối khóa le 02: Kỹ thuật tấn công Institute of Network Security - istudy.vn Module 02: KỸ THUẬT TẤN CÔNG • Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer hệ thống mạng • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords Nội dung Institute of Network Security - istudy.vn Những thông tin đã thu thập • Footprinting – IP Range – Namespace – Employee web usage • Scanning – Đánh giá mục tiêu – Xác định các dịch vụ hoạt động – Xác định thông tin các hệ thống • Enumeration – Thăm dò xâm nhập – Danh sách users – Lỗ hổng bảo mật Institute of Network Security - istudy.vn Mục tiêu của System Hacking Giai đoạn tấn công Mục tiêu Công nghệ/kỹ thuật khai thác Gaining Access Thu thập thông tin để dành quyền truy cập Password eavesdropping, bruteforcing Escalating Privileges Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập được Password cracking, khai thác lỗi đã xác định Executing Application Tạo và duy trì backdoor để truy cập Trojans Hiding Files Che dấu các tập tin độc hại Rootkits Covering Tracks Xóa dấu vết Clearing logs Institute of Network Security - istudy.vn Phương pháp tấn công hệ thống Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords System Hacking Steps Institute of Network Security - istudy.vn Cracking Passwords Kỹ thuật bẽ khóa mật khẩu được sử dụng để khôi phục/xác định mật khẩu của một hệ thống máy tính Kẻ tấn công sử dụng kỹ thuật bẽ khóa mật khẩu để dành quyền truy cập trái phép vào hệ thống nguy cơ về bảo mật Phần lớn các trường hợp bẽ khóa mật khẩu thành công là do các mật khẩu dễ đoán và mật khẩu yếu Institute of Network Security - istudy.vn Độ phức tạp của mật khẩu Institute of Network Security - istudy.vn Kỹ thuật bẻ khóa mật khẩu Institute of Network Security - istudy.vn Các loại tấn công mật khẩu Institute of Network Security - istudy.vn Passive Online Attacks: Wire Sniffing • Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và phân tích dữ liệu để tìm ra mật khẩu. • Các mật khẩu thương bắt được dạng plaintext của các dịch vụ như: Telnet, FTP, rlogin, mail… Institute of Network Security - istudy.vn Passive Online Attacks: Man-in-the- Middle và Replay Attack • MITM attack: kẻ tấn công bắt được dữ liệu truyền giữa Victim và Server, từ đó lấy thông tin truy cập. • Replay attack: Các gói dữ liệu và token chứng thực của Victim được Attacker bắt lại để sau này sử dụng để truy cập vào server. Institute of Network Security - istudy.vn Active Online Attack: Password Guessing • Kẻ tấn công sử dụng từ điển username/password để dò mật khẩu của hệ thống. • Chú ý: – Tốn nhiều thời gian – Tốn nhiều băng thông mạng – Dễ bị phát hiện Institute of Network Security - istudy.vn Active Online Attack: Trojan/Spyware/keylogger • Keylogger là chương trình chạy ngầm trên hệ thống và cho phép kẻ tấn công ở xa ghi lại hoạt động của máy tính nạn nhân • Spyware là một loại malware cho phép attacker bí mật thu thập thông tin của cá nhân hoặc tổ chức • Trojan có thể giúp attacker truy cập nơi lưu trữ mật khẩu trên máy tính nạn nhân và có thể đọc các dữ liệu cá nhân của nạn nhân cũng như xóa file … Institute of Network Security - istudy.vn Active Online Attack: Hash Injection Attack • Hash Injection Attack cho phép attacker “tiêm” một giá trị hash vào một phiên làm việc cục bộ trên máy tính nạn nhân và sử dụng hash để kiểm tra tính hợp lệ khi truy cập tài nguyên mạng. • Attacker tìm và trích thông tin của “domain admin account hash” đã đăng nhập. • Attacker sử dụng hash thu thập được để đăng nhập vào domain controller Institute of Network Security - istudy.vn Rainbow Attacks: Pre-Computed Hash • Rainbow Table: – Kỹ thuật cho phép chuyển danh sách các từ trong file từ điển và brute force lists sang dạng Password Hash. • Tính toán giá trị Hash: – Tính toán giá trị hash của danh sách các từ có thể là password và so sánh giá trị đó với giá trị hash của Password. Nếu đúng thì đã crack được password. • So sánh giá trị Hash: – Dễ dàng tìm ra password bằng cách so sánh Password Hash mà ta thu thập được với các giá trị trong bảng Pre-Computed Hash tables. Institute of Network Security - istudy.vn Distributed Network Attacks Institute of Network Security - istudy.vn Non-Technical Attacks Institute of Network Security - istudy.vn Default Password • Sử dụng mật khẩu mặc định của nhà sản xuất thiết bị Institute of Network Security - istudy.vn Manual Password Cracking (Guessing) • Cách thực hiện: – Tìm user hợp lệ – Tạo một danh sách các từ có thể là Password – Sắp xếp các mật khẩu với khả năng đúng là mật khẩu giảm dần – Thử và sai với các mật khẩu trong danh sách mật khẩu Institute of Network Security - istudy.vn Automatic Password Cracking Algorithm Institute of Network Security - istudy.vn Stealing Password Using USB Drive Institute of Network Security - istudy.vn Microsoft Authentication • SAM Database – Windows lưu trữ user/password trong Security Account Manager (SAM) database hoặc trong Active Directory database – Password không bao giờ được lưu trữ ở dạng clear text – Password được hash (Băm) và kết quả băm được lưu trong SAM database • NTLM – Là giao thức chứng thực gồm: NTLM và LM authentication protocol – Các giao thức sử dụng phương pháp hash khác nhau để bảo mật thông tin mật khẩu được lưu trữ trong SAM database • Kerberos – Microsoft cập nhật giao thức chứng thực mặc định là Kerberos – Bảo mật hơn so với NTLM Institute of Network Security - istudy.vn Cách Hash Passwords được lưu trữ trong SAM database Institute of Network Security - istudy.vn LAN Manager Hash LM Hash hoặc LAN Manager Hash là một trong số các định dạng mà Microsoft LAN Manager và Microsoft Windows sử dụng để lưu trữ user passwords có kích thướng nhỏ hơn 15 ký tự Khi Password được mã hóa với thuật toán LM thì tất cả các ký tự của mật khẩu được chuyển sang ký tự hoa ví dụ: 123456QWERTY Password sẽ được thêm vào các ký tự null (blank) để đảm bảo đủ 14 ký tự ví dụ: 123456QWERTY_ Trước khi mã hóa Password sẽ được chia làm 2 phần (mỗi phần 7 ký tự) và mỗi phần được mã hóa riêng trước khi được nối lại với nhau thành kết quả của mật khẩu đã mã hóa Phần 1: 123456Q = 6BF11E04AFAB197F Phần 2: WERTY_ = F1E9FFDCC75575B15 Giá trị hash: 6BF11E04AFAB197FF1E9FFDCC75575B15 Institute of Network Security - istudy.vn LAN Manager Hash 8 Bytes đầu được tạo ra từ 7 ký tự đầu của mật khẩu và 8 Bytes thứ 2 được tạo ra từ ký tự thứ 8 đến ký tự thứ 14 của mật khẩu Nếu mật khẩu ít hơn 7 ký tự thì 8 bytes thứ 2 sẽ là 0xAAD3B434B51404EE Ví dụ: Một user có mật khẩu sau với LM Hash là 0xC23413A8A1E7665F AAD3B434B51404EE Sử dụng LC5 bẻ khóa sẽ cho ra password là “WELCOME” NTLMv2 là giáo thức chứng thực theo mô hình challenge/response, và bảo mật hơn so với giao thức LM Institute of Network Security - istudy.vn Phát sinh LM Hash • Constant DES key = “KGS!@#$%” Institute of Network Security - istudy.vn LM, NTLMv1 và NTLMv2 Institute of Network Security - istudy.vn NTLM Authentication Process Institute of Network Security - istudy.vn Kerberos Authentication Process Institute of Network Security - istudy.vn Salting Institute of Network Security - istudy.vn Một số công cụ: PWDump7 và Fgdump • PWDump7 – Trích LM và NTLM password hash của local user account từ SAM Database • Fgdump – Tương tự PWDump7 nhưng cho phép trích chứng thực được cache lại và cho phép thực thi qua mạng • Các công cụ này phải chạy dưới quyền administrator account Institute of Network Security - istudy.vn Một số công cụ: Ophcrack Institute of Network Security - istudy.vn Một số công cụ: L0phtCrack Institute of Network Security - istudy.vn Một số công cụ: Cain & Abel Institute of Network Security - istudy.vn Một số công cụ: RainbowCrack Institute of Network Security - istudy.vn Tool: Lophtcrack Một số công cụ tham khảo thêm Institute of Network Security - istudy.vn Tool: Lophtcrack Một số công cụ tham khảo thêm Institute of Network Security - istudy.vn Password Cracking Countermeasure • Passwords gồm nhiều loại ký tự(7-12). • Đổi password định kỳ (30 ngày). • Bảo mật mức vật lý cũng như Server. • Sử dụng SYSKEY khi lưu password. • Theo dõi giám sát thường xuyên. Cách thức hạn chế tấn công Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords System Hacking Steps Institute of Network Security - istudy.vn Privilege Escalation • Sau khi crack được mật khẩu user, attacker có thể truy cập mạng với quyền hạn của user không phải là admin. • Tiếp theo attacker cần dành được đặc quyền quản trị hệ thống để thực hiện các tác vụ mà attacker mong muốn. Institute of Network Security - istudy.vn Privilege Escalation: StickyKeys • Stickykeys là tính năng của Windows hỗ trợ người khuyết tật khi đăng nhập vào Windows. • Ở màn hình đăng nhập nhấn phím SHIFT 5 lần để mở hộp thoại StickyKey. • Chương trình StickyKey lưu ở C:\Windows\system32\sethc.exe • Thay thế sethc.exe bằng cmd.exe sau đó khi đăng nhập gõ phí SHIFT 5 lần để chạy cmd.exe với quyền hạn của admin. Institute of Network Security - istudy.vn Privilege Escalation: AdminUser • Tạo tài khoản admin ẩn – Sử dụng lệnh net user hiddenadmin P@ssw0rd – Vào registry [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] – Tạo DWORD với trên là hiddenadmin Phương pháp này đã được Microsoft fix lỗi Institute of Network Security - istudy.vn Privilege Escalation: DomainUser • Dành quyền truy cập vào domain (Sử dụng keylogger) Institute of Network Security - istudy.vn Công cụ: Active@ Password Changer • Dùng để reset password, thay đổi thuộc tính của user Institute of Network Security - istudy.vn Công cụ: Tham khảo thêm Institute of Network Security - istudy.vn Cách chống lại Privilege Escalation Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords System Hacking Steps Institute of Network Security - istudy.vn Executing Applications • Trong bước này attacker thực thi các chương trình độc hại trên máy tính của nạn nhận Institute of Network Security - istudy.vn Executing Applications • Tìm hiểu hệ thống chứa các thông tin nhạy cảm gì như CPU, RAM, IP, .. • Cài đặt các phần mềm cho phép truy cập từ xa hay ăn cắp password của các user khác. • Ngoài ra có thể cài những chương trình giúp quét mạng bên trong Institute of Network Security - istudy.vn Executing Applications: Tools • Alchemy Remote Executor • RemoteExec • Remote Program Executor • Xem thêm cách sử dụng các loại trojan, spyware trong Module 6 Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords System Hacking Steps Institute of Network Security - istudy.vn Rootkits • Rootkit là chương trình ở mức kernel có khả năng che dấu chính nó cũng như che dấu hoạt động của nó • Chúng thay thế các lệnh call và các tiện ích của hệ thống bằng các đoạn mã đã bị thay đổi. • Attacker dành được quyền root access vào hệ thống thông qua virus, Trojan, hoặc spyware • Rootkit cho phép attacker duy trì truy cập “ẩn” trên hệ thống Institute of Network Security - istudy.vn Phân loại Rootkits Hardware/Firmware Rootkit: Che dấu trong thiết bị phần cứng hoặc firmware, không thể kiểm tra tính toàn vẹn của mã chương trình Hypervisor Level Rootkit: Thay đổi trình tự boot của máy để load rootkit thay vì load virtual machine monitor hoặc OS Boot Loader Level Rootkit: Thay thế boot loader của hệ thống bằng một trình điều khiển từ xa của attacker. Kernel Level Rootkit: Thêm các đoạn mã độc hại hoặc thay thế mã lệnh của OS kernel và driver thiết bị. Library Level Rootkit: Thay thế các lệnh gọi hệ thống để che dấu thông tin của attacker. Application Level Rootkit: Thay thế tập tin thực thi của các ứng dụng bằng trojan hoặc chèn các mã độc hại vào các chương trình ứng dụng. Institute of Network Security - istudy.vn Cách Rootkit làm việc Institute of Network Security - istudy.vn Cách chống lại Rootkits Institute of Network Security - istudy.vn Một số chương trình Anti-Rootkit • Rootkit Revealer • MacAfee Rootkit Detective Institute of Network Security - istudy.vn Các chương trình Anti-Rootkit Thảm khảo Institute of Network Security - istudy.vn NTFS Data Stream • NTFS Alternate Data Stream (ADS) là Windows Hidden Stream dùng để lưu siêu dữ liệu (metadata) như các thuộc tính, word count, tên tác giả và thời điểm truy cập – thời điểm thay đổi của các tập tin. • ADS có thể đưa dữ liệu vào một tập tin đang tồn tại mà không làm thay đổi kích thước, chứng năng hoặc cách hiển thị của tập tin. • ADS cho phép attacker chèn các đoạn mã độc vào hệ thống và thực thi mà user không phát hiện ra. Institute of Network Security - istudy.vn Cách tạo NTFS Stream • Chạy c:>notepad myfile.txt:lion.txt • Chạy c:>notepad myfile.txt:tiger.txt • Kiểm tra lại kích thước của myfile.txt Institute of Network Security - istudy.vn Thao tác trên NTFS Stream • Di chuyển trojan.exe vào Readme.txt (stream) – C:\> type trojan.exe > Readme.txt:trojan.exe • Chạy trojan trong tập tin Readme.txt (stream) – C:\> start c:\Readme.txt:trojan.exe • Trích trojan.exe từ Readme.txt (stream) – C:\> cat c:\readme.txt:trojan.exe > trojan.exe – Cat là tiện ích trong Windows server 2003 Resource Kit Institute of Network Security - istudy.vn Cách chống lại NTFS Stream • Copy tập tin từ NTFS sang phân vùng FAT rồi copy ngược lại • Sự dụng các tiện ích để phát hiện NTFS Streams như: – LNS.exe – – ADS Scan Engine Institute of Network Security - istudy.vn Tham khảo thêm: NTFS Stream Detectors Institute of Network Security - istudy.vn Steganography là gì • Steganography là kỹ thuật che dấu thông tin mật bên trong một thông điệp truyền thống và có thể khôi phục lại thông tin mật khi cần thiết Các mục đích của Attacker khi sử dụng Steganography Institute of Network Security - istudy.vn Cách Steganography làm việc Institute of Network Security - istudy.vn Các loại Steganography Institute of Network Security - istudy.vn Tham khảo: Image Steganography Tools Institute of Network Security - istudy.vn Tham khảo: Document Steganography Tools Institute of Network Security - istudy.vn Tham khảo: Video Steganography Tools Institute of Network Security - istudy.vn Tham khảo: Audio Steganography Tools Institute of Network Security - istudy.vn Tham khảo: Folder Steganography Tools Institute of Network Security - istudy.vn Tham khảo: Steganography Detection Tools Institute of Network Security - istudy.vn Escalating Privileges Executing Application Covering Tracks Hiding Files Cracking Passwords System Hacking Steps Institute of Network Security - istudy.vn Covering Tracks Covering Track • Một khi những kẻ xâm nhập đã thành công và đạt được quyền truy cập Quản trị viên trên một hệ thống, họ sẽ cố gắng để tránh bị phát hiện • Khi tất cả các thông tin quan tâm đã đạt được từ mục tiêu, họ sẽ cài đặt một số phần mềm để có thể truy cập dễ dàng trong tương lai. Institute of Network Security - istudy.vn Công cụ xoá dấu vết: Auditpol • Công cụ auditpol.exe NT Resource Kit có thể vô hiệu hóa giám sát bằng cách sử dụng dòng lệnh. • Để kích hoạt lại chế độ giám sát bằng cách sử dụng auditpol.exe Institute of Network Security - istudy.vn Clearing the Event Log Công cụ xoá dấu vết Institute of Network Security - istudy.vn Rott Adsadawuttijaroen & Tanan Satayapiwat Tool: elsave.exe • Sử dụng elsave.exe như là một công cụ xoá dấu vết Lưu log đến d:\system.log và xoá log: elsave -l system -F d:\system.log –C Lưu log trên \\serv1 to \\serv1\d$\application.log: elsave -s \\serv1 -F d:\application.log Công cụ xoá dấu vết: ELSAVE Institute of Network Security - istudy.vn Công cụ xóa dấu vết: Window Washer Institute of Network Security - istudy.vn Công cụ xóa dấu vết: Tracks Eraser Pro Institute of Network Security - istudy.vn Tham khảo các công cụ xóa dấu vết khác Institute of Network Security - istudy.vn TÓM LƯỢC BÀI HỌC Chiếm quyền tài khoản. Nâng quyền. Ghi nhận thông tin, xoá dấu vết Các công cụ cần thiết. Các điểm cần lưu ý. Institute of Network Security - istudy.vn Q & A