BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG VIỆT NAM BÁO CÁO BÀI TẬP LỚN Chủ đề: USBRIP Mơn học: An tồn mạng Mục lục DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC HÌNH ẢNH LỜI CẢM ƠN I GIỚI THIỆU VỀ USBRIP Usbrip gì? .7 Các tính USBRIP a Tìm truy cập USB trái phép .8 b Tìm chi tiết thiết bị USB c Sao lưu kiện USB Cách thức hoạt động a Các cơng HID gì? b Phát Ducky .10 II CÀI ĐẶT USBRIP 10 Định cấu hình lại số tệp Linux 11 Cài đặt USBRIP .13 III HƯỚNG DẪN SỬ DỤNG VÀ DEMO 16 Các lệnh USBRip 16 a Lệnh events 17 b Lệnh storage .17 c Lệnh ids 18 Cách xem lịch sử kết nối USB Linux .19 Cách kiểm tra tệp từ hệ thống khác usbrip .21 Cách tìm loại thiết bị USB nhà sản xuất 22 Chỉ hiển thị thông tin cho thiết bị di động, cho thiết bị USB cụ thể cho ngày cụ thể 24 a Chỉ hiển thị thiết bị tháo rời 24 b Lọc theo trường bảng, tùy chọn: user , vid , pid , product , -man production , serial , port 25 c Sắp xếp theo ngày tháng 25 Chỉ hiển thị số thông tin định 25 Tạo tệp JSON để lọc thiết bị đáng tin cậy 27 Tạo danh sách thiết bị đáng tin cậy 30 Phát kết nối thiết bị USB nước ngồi với máy tính Linux 31 10 Lưu kết vào tệp 33 IV KẾT LUẬN 34 Tài liệu tham khảo 35 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Viết tắt VID PID JSON IP HOST HID Thuật ngữ Tiếng Anh Vendor identification Product identification JavaScript Object Notation Internet protocol Hybrid open systems technology Human Interface Device Thuật ngữ Tiếng Việt Mã định danh nhà cung cấp Mã định danh sản phẩm Định dạng liệu Giao thức Internet Máy Chủ Thiết bị giao diện người dùng DANH MỤC HÌNH ẢNH Hình Truy cập vào thư mục rsyslog.conf .11 Hình Thêm dấu # trước dòng lệnh 12 Hình Cài đặt USBRip lệnh git 14 Hình Khởi động usbrip 15 Hình Hình ảnh minh họa cài đặt thành cơng 15 Hình Danh sách lệnh USBRip 16 Hình Cách xem lịch sử kết nối USB Linux 20 Hình Tệp từ hệ thống khác USBRip 21 Hình Loại thiết bị nhà sản xuất 23 Hình 10 Lịch sử thiết bị .24 Hình 11 Thời gian kết nối ngắt 26 Hình 12 Tệp auth.json 28 Hình 13 ~# usbrip events violations auth.json table .29 Hình 14 Các thiết bị khơng có danh sách thiết bị đáng tin cậy 30 Hình 15 Phát usb ngồi kết nối với máy tính 32 LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Công nghệ Bưu Viễn thơng đưa mơn học An Tồn Mạng vào chương trình dạy học Đặc biệt em xin gửi lời cảm ơn Thầy Đặng Minh Tuấn hướng dẫn truyền đạt kiến thức cho em suốt thời gian học vừa qua Thầy giúp em hiểu tầm quan trọng mơn An Tồn Mạng cách áp dụng vào thực tiễn đời sống Bên cạnh thầy cịn dạy thêm nhiều kiến thức khác ngồi lề, có ích cho tất ngành trường Mơn học giúp em có thêm kiến thức chuyên môn chuyên ngành mà em học kiến thức việc làm báo cáo tốt nghiệp điều cần thiết sinh viên năm cuối em Lời cuối cùng, em xin cảm ơn kính chúc thầy khỏe mạnh, thành công hạnh phúc sống Hà Nội, 22 tháng 12 năm 2021 Sinh Viên Phạm Trần Hồng Quân I GIỚI THIỆU VỀ USBRIP Usbrip gì? Usbrip cơng cụ pháp y dòng lệnh để theo dõi lịch sử tất kết nối thiết bị USB Linux Nó phân tích liệu nhật ký hệ thống bạn journelctl lệnh từ tệp nhật ký chẳng hạn /var/log/syslog /var/log/messages hiển thị lịch sử kiện USB thu thập đầu tiêu chuẩn tệp Chương trình usbrip theo dõi tạo tác thiết bị USB liệt kê chúng cột sau: • • • • • • • • • Connected (date & time) Host VID (vendor ID) PID (product ID) Product Manufacturer Serial Number Port Disconnected (date & time) /Thời gian kết nối /Tổ chức /ID nhà cung cấp /ID sản phẩm /Thiết bị /Nhà sản xuất /Số seri /Cổng /Thời gian ngắt kết nối Bên cạnh đó, có thể: • • • • • Xuất liệu thu thập dạng kết xuất JSON để sử dụng sau Tạo danh sách thiết bị USB ủy quyền (đáng tin cậy) dạng tệp JSON (gọi auth.json) Tìm kiếm "sự kiện vi phạm" dựa auth.json: khám phá thiết bị USB xuất lịch sử KHÔNG xuất tệp auth.json *when installed with -s flag* Tạo kho lưu trữ bảo vệ (lưu trữ 7-Zip) để tự động lưu tích lũy kiện USB với trợ giúp lập lịch cron Tìm kiếm chi tiết bổ sung thiết bị USB cụ thể dựa VID / PID Các tính USBRIP a Tìm truy cập USB trái phép Đây mục đích cơng cụ Usbrip Sử dụng cơng cụ usbrip, chúng tơi chứng minh thiết bị USB kết nối với hệ thống Linux cụ thể, người dùng cụ thể, khoảng thời gian cụ thể Nói chung, sử dụng Usbrip trường hợp có liên quan đến thiết bị USB Như nêu, bạn xuất tất chi tiết kết nối USB JSONtệp Tại kết xuất chi tiết tệp JSON? Bởi vì, dễ dàng tìm kiếm "sự kiện vi phạm" Ví dụ: chúng tơi tạo tệp, giả sử auth.jsonvà lưu trữ danh sách thiết bị USB ủy quyền đáng tin cậy tệp Các auth.jsontập tin sử dụng để điều tra xem thiết bị USB kết nối cho dù họ thiết bị có thẩm quyền hay khơng Bằng cách này, bạn biết liệu người dùng chép nội dung từ hệ thống bạn mà khơng có cho phép bạn hay không Xin lưu ý bạn cài đặt usbrip tập lệnh trình cài đặt, auth.jsontệp tự động tạo vị trí /var/opt/usbrip/trusted/tại thời điểm cài đặt Bạn tạo riêng bạn vị trí bạn chọn b Tìm chi tiết thiết bị USB Nếu bạn muốn biết chi tiết thông số kỹ thuật thiết bị USB, bạn dễ dàng lấy chúng cách sử dụng VID PID Usbbrip lấy thơng tin chi tiết nhà cung cấp, thiết bị giao diện từ usb.ids sở liệu trì http://www.linux-usb.org/ c Sao lưu kiện USB Nếu bạn cài đặt thủ công Usbrip với tùy chọn -s( storages), bạn tự động lưu kiện USB với lập lịch crontab Cách thức hoạt động Nếu không giám sát, tin tặc có USB Rubber Ducky quyền truy cập vật lý vào máy tính xâm nhập vào máy tính an tồn Các công thường không bị phát không sử dụng cơng cụ USBRip, cung cấp cho bạn đảm bảo thiết bị bạn khơng bị xâm phạm Mặc dù khó biết liệu thiết bị bạn truy cập trước hay chưa, việc bật tính ghi nhật ký giúp bạn dễ dàng xác định thời điểm thiết bị đáng ngờ lắp vào cổng USBRip xem qua nhật ký hệ thống cũ để nắm bắt kiện khứ, theo dõi thứ xảy sau cài đặt để đề phịng bị cơng tương lai a Các công HID gì? Thiết bị giao diện người, hay HID, thiết bị người sử dụng để điều khiển máy tính; bàn phím chuột máy tính ví dụ bật HID có đặc quyền cao so với chương trình tập lệnh hệ điều hành giả định lệnh từ HID đến từ người có quyền sử dụng máy tính Tin tặc tạo cơng cụ, chẳng hạn USB Rubber Ducky, khai thác tin cậy vốn có máy tính HID Trong USB Rubber Ducky bắt chước giao diện ổ đĩa flash tiêu chuẩn, cắm vào máy tính, hoạt động bàn phím nhập lệnh tổ hợp phím ghi sẵn tốc độ cực nhanh Các loại công mà tin tặc thực cách sử dụng USB Rubber Ducky, Digispark cơng cụ tương tự có phạm vi rộng lớn; chúng bao gồm từ việc tạo cửa hậu máy tính macOS Windows đến việc gửi email có ảnh chụp hình tất thông tin đăng nhập người dùng lưu trữ Firefox b Phát Ducky Bởi máy tính tin USB Rubber Ducky bàn phím khác, thực lệnh mà không đưa cảnh báo rõ ràng cho mục tiêu chúng bị xâm phạm Miễn Ducky Script cẩn thận việc dọn dẹp sau - cách đóng tất cửa sổ mà mở, xóa lịch sử thiết bị đầu cuối làm cho máy tính trạng thái giống mục tiêu để cơng hồn tồn khơng bị phát Điều khơng có nghĩa ngăn chặn phát loại cơng Có số cơng cụ mạng, chẳng hạn DuckHunter , nhằm hạn chế tác động công HID cách theo dõi hành vi đáng ngờ thao tác gõ phím nhanh Trong dự án DuckHunter chưa cập nhật kể từ năm 2017, có cơng cụ khác cung cấp chứng công HID, công cụ vừa mạnh mẽ trì USBRip tận dụng nhật ký hệ thống để hiển thị lịch sử đầy đủ thiết bị USB cắm vào máy tính Linux Mặc dù kẻ cơng xóa nhật ký phần trình dọn dẹp, có khả chúng làm qua bước dọn dẹp quan trọng tốn thời gian xóa chứng trực tiếp việc truy cập vào máy tính Thậm chí tốt hơn, USB Rubber Ducky Digispark sản xuất nhà sản xuất cụ thể, USBRip xem qua nhật ký cho thiết bị có dấu vân tay đáng ngờ II CÀI ĐẶT USBRIP USBRip viết Python, tảng đa tảng cho phép USBRip chạy hầu hết hệ thống Linux Tuy nhiên, chủ yếu phân tích nhật ký hệ thống Linux, chạy thiết bị Linux Đảm bảo hệ thống bạn cập nhật nâng cấp đầy đủ cách sử dụng lệnh cập nhật apt lệnh nâng cấp apt , sau đảm bảo Python cài đặt cách nhập python cửa sổ đầu cuối Nếu bạn nhận trình 10 Cách kiểm tra tệp từ hệ thống khác usbrip Trong usbrip, bạn định tệp mà bạn muốn lấy liệu để phân tích, điều này, bạn sử dụng tùy chọn -f , ví dụ: tơi muốn tìm kiện kết nối ngắt kết nối với giao diện USB tệp usb2.0 txt : ~$ usbrip events history -f usb2.0.txt Nếu bạn lấy tệp để phân tích từ hệ thống khác mà định dạng ngày hỗ trợ khơng định cấu hình, trước tiên bạn cần phải chuyển đổi tệp hiển thị Dưới phần cuối liệu từ journalctl hệ thống: Hình Tệp từ hệ thống khác USBRip 21 Cách tìm loại thiết bị USB nhà sản xuất Giả sử tơi quan tâm đến thiết bị sau: ┌USB-History-Events───┬──────────┬──────┬──────┬──────────── 1│ Connected │ User │ VID │ PID │ Product │ Manufacture 2├─────────────────────┼──────────┼──────┼──────┼────── 3┤ 4│ 2019-08-26 11:42:21 │ HackWare │ 152d │ 0578 │ JMS579 │ Với usbrip, tơi tìm kiếm sở liệu VID PID Hãy bắt đầu cách tải sở liệu: sudo usbrip ids download Tùy chọn vid tìm kiếm theo ID nhà cung cấp, tùy chọn pid tìm kiếm ID sản phẩm Đồng thời, bắt đầu tìm kiếm, usbrip cập nhật / tải sở liệu có hệ thống - việc thêm thời gian, định cờ offline để sở liệu cục sử dụng cho việc tìm kiếm : usbrip ids search vid 152d pid 0578 offline Các dòng quan trọng: Vendor: JMicron Technology Corp / JMicron USA Technology Corp Product: JMS567 SATA 6Gb/s bridge 22 Hình Loại thiết bị nhà sản xuất Các vid tùy chọn pid không cần phải sử dụng lúc - bạn tìm kiếm hai số họ Định cấu hình liệu đầu Sử dụng tùy chọn -q ngăn chặn hiển thị biểu ngữ, thơng báo thơng tin chương trình không hỏi cách hiển thị liệu (bảng điều khiển JSON) Dữ liệu hiển thị dạng bảng mà dạng danh sách - điều này, tùy chọn -l Cuối cùng, với tùy chọn -n , bạn giới hạn đầu số mục nhập gần định Một ví dụ việc sử dụng tất tùy chọn này: usbrip events history -ql -n 100 -f usb2.0.txt 23 Hình 10 Lịch sử thiết bị Chỉ hiển thị thông tin cho thiết bị di động, cho thiết bị USB cụ thể cho ngày cụ thể Usbrip hỗ trợ loại lọc sau: a Chỉ hiển thị thiết bị tháo rời Trên thực tế, khó để nói chắn 100% thiết bị ngắt kết nối Nhưng bạn làm điều cách xảo quyệt - thiết bị ngắt kết nối, dễ bị ngắt kết nối! Quá rõ ràng Các thiết bị dễ dàng bị ngắt kết nối ổ đĩa di động ổ đĩa flash quan tâm nhiều trường hợp truy cập trái phép 24 Tùy chọn -e sử dụng để áp dụng lọc : ~$ usbrip events history -e -f usb2.0.txt b Lọc theo trường bảng, tùy chọn: user , vid , pid , -product , man production , serial , port Thí dụ: usbrip events history vid 152d pid 0578 -f usb2.0.txt Đó là, bạn kết hợp số tùy chọn để lọc liệu Ngoài ra, bạn sử dụng tùy chọn Bản thân tên tùy chọn nói lên điều đó, bạn chưa hiểu rõ điều xem trợ giúp chi tiết chúng trang: https://kali.tools/?p=4873 Sau tùy chọn, bạn định số giá trị phân tách dấu cách c Sắp xếp theo ngày tháng Tùy chọn -d sử dụng cho việc : usbrip events history -c conn vid pid disconn serial -d '2019-08-24' '2019-08-25' -f usb2.0.txt Lưu ý phạm vi không tạo định hai ngày ! Tức là, bạn định hai ngày, liệu cho hai ngày lấy! Chỉ hiển thị số thơng tin định Trong ví dụ trước, tùy chọn -c sử dụng , sau cột liệt kê nối tiếp conn vid pid disconn - điều dẫn đến thực tế thông tin cột hiển thị 25 Hình 11 Thời gian kết nối ngắt Tên tất cột (bạn phải xác định chúng mà dấu ngoặc kép tách dấu cách): " conn ", " người sử dụng ", " vid ", " pid ", " sản ", " manufact ", " nối tiếp ", " cổng ", " disconn " 26 Tạo tệp JSON để lọc thiết bị đáng tin cậy Bởi hầu hết kiện USB diễn với thiết bị mà bạn tin tưởng - chuột, bàn phím, ổ đĩa flash thiết bị bên webcam máy quét vân tay - lịch sử kiện trở nên lộn xộn với kiện USB không quan tâm Khi cố gắng theo dõi hoạt động độc hại máy tính bạn, tạo lộn xộn khiến bạn khó nhận mối đe dọa thực Một cách để khắc phục cố tạo danh sách trắng thiết bị mà tin tưởng để chúng tơi chặn báo cáo thiết bị USB đáng tin cậy mà chúng tơi phải bỏ qua Chúng tơi tạo tệp JSON thiết bị đáng tin cậy cách dễ dàng cách sử dụng USBRip Chúng tơi tạo tệp json có tên "auth.json" chứa thiết bị USB kết nối với máy tính vào ngày 14 tháng năm 2020 lệnh sau ~# usbrip events gen_auth auth.json -d '2020-02-14' usage: usbrip events [-h] {history,open,genauth,violations} Nếu mở tệp "auth.json" thư mục USBRip mình, chúng tơi thấy sau { "manufact": [ "EgisTec", "Generic", "KS0HD050046430866CLM06", "Linux 5.0.0-25-generic xhci-hcd", "Logitech" ], "pid": [ "0002", "0003", "0129", 27 "0570", "3016", "57f2", "c52b" ], "prod": [ "EgisTec Touch Fingerprint Sensor", "HD WebCam", "USB Receiver", "USB2.0-CRW", "xHCI Host Controller" ], "serial": [ "0000:00:14.0", "000253CD", "200901010001", "20100201396000000" ], "vid": [ "046d", "04ca", "0bda", "1c7a", "1d6b" ] } Hình 12 Tệp auth.json Giờ đây, chúng tơi hạn chế tìm kiếm USBRip kiện USB khơng có auth.json cách sử dụng: 28 ~# usbrip events violations auth.json table _ {{4}} {v2.2.1-1} _ _ _| |_ _[e] _ | | |_ -| | _[N] | | _| _| _|_| [5] _| x[i]_| https://github.com/snovvcrash/usbrip [*] Started at 2020-02-14 23:06:02 [22:20:08] [INFO] Trying to run journalctl [22:20:08] [INFO] Successfully runned journalctl [22:20:08] [INFO] Reading journalctl output 100%|█████████████████████████████████| 2101/2101 [00:00 usb.info Chương trình có lệnh lưu trữ đặc biệt cho phép bạn lưu kết Trước hết, lưu trữ thuận tiện cho việc làm việc với Cron, bạn khởi động theo cách thủ công Lệnh usbrip lưu trữ cho phép bạn lưu / cập nhật / xem thông tin lịch sử vi phạm thiết bị USB Để biết chi tiết, xem trợ giúp https://kali.tools/?p=4873 33 Thông tin lưu trữ Bạn đặt mật cho kho lưu trữ Có thể tìm thấy ví dụ việc thêm dịch vụ vào Cron tệp /usr/usbrip/cron/usbrip.cron Bạn tìm thơng tin cách thiết lập Cron viết IV KẾT LUẬN USBRip tận dụng nhật ký hệ thống để hiển thị lịch sử đầy đủ thiết bị USB cắm vào máy tính Linux Mặc dù kẻ cơng xóa nhật ký phần q trình dọn dẹp, có khả chúng làm qua bước dọn dẹp quan trọng tốn thời gian xóa chứng trực tiếp việc truy cập vào máy tính Thậm chí tốt hơn, USB Rubber Ducky Digispark sản xuất nhà sản xuất cụ thể, USBRip xem qua nhật ký cho thiết bị có dấu vân tay đáng ngờ Các trường mà USBRip thu thập được: • Connected(ngày thiết bị kết nối) • USer (rõ ràng người dùng hệ thống ngụ ý, tơi có tên máy chủ đây) • VID (ID nhà cung cấp - mã định danh nhà sản xuất) • PID (ID sản phẩm - mã định danh sản phẩm) • Product (sản phẩm) • Manufacturer (nhà sản xuất thiết bị) • Serial Number (số sê-ri) • Port (cổng USB kết nối với) • Disconnected (ngày thiết bị bị ngắt kết nối) 34 Tài liệu tham khảo [1] “Wonder how to,” [Trực tuyến] Available: https://nullbyte.wonderhowto.com/how-to/catch-usb-rubber-duckies-your-computer-withusbrip-0203668/ [2] “kali,” [Trực tuyến] Available: https://kali.tools/?p=4873 [3] “github,” [Trực tuyến] Available: https://github.com/snovvcrash/usbrip#manual-installation [4] [Trực tuyến] Available: https://hackware.ru/?p=9703 [5] [Trực tuyến] Available: https://blog.desdelinux.net/en/usbrip-a-tool-fortracking-usb-devices/ [6] [Trực tuyến] Available: https://securityonline.info/usbrip/ [7] [Trực tuyến] Available: https://whitehat.vn/threads/computer-forensics-trichluc-cac-ket-noi-usb-da-gan-vao-may-tinh-chay-linux-cua-ban.15095/ 35 ... / usbrip khởi động trang trợ giúp để kiểm tra 14 ~ /usbrip# cd ~# usbrip -h sage: usbrip [-h] {banner,events,storage,ids} positional arguments: {banner,events,storage,ids} banner show tool banner... An Tồn Mạng vào chương trình dạy học Đặc biệt em xin gửi lời cảm ơn Thầy Đặng Minh Tuấn hướng dẫn truyền đạt kiến thức cho em suốt thời gian học vừa qua Thầy giúp em hiểu tầm quan trọng mơn An. .. đặt USBRip III HƯỚNG DẪN SỬ DỤNG VÀ DEMO Các lệnh USBRip Để kiểm tra xem tất lệnh có sẵn USBRip, thực cách sau: usbrip -h Hình Danh sách lệnh USBRip 16 a Lệnh events - Dùng để hiển thị danh sách