TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THÔNG TIN Phạm Văn Vịnh TÌM HIỂU TẤN CƠNG WINDOWS SỬ DỤNG PHƯƠNG THỨC REVERSE TCP VÀ BIỆN PHÁP PHÒNG CHỐNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Truyền thơng mạng máy tính HÀ NỘI - 2021 h TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THƠNG TIN Phạm Văn Vịnh TÌM HIỂU TẤN CƠNG WINDOWS SỬ DỤNG PHƯƠNG THỨC REVERSE TCP VÀ BIỆN PHÁP PHÒNG CHỐNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Truyền thơng mạng máy tính Cán hướng dẫn: THS Trần Việt Vương h MỞ ĐẦU Ngày song song với bùng nổ mạnh mẽ công nghệ thơng tin phát triển Internet tồn cầu nguy an tồn thơng tin trở nên trầm trọng nguy hiểm hơn, mã độc hại hiểm họa hàng đầu khả lây lan phát tán hệ thống máy tính thực hành vi công bất hợp pháp Mã độc ngày tiến hóa với biết thể đa dạng, với cách thức che dấu ngày tinh vi Có thể nói phát ngăn chặn mã độc thách thức đặt lĩnh vực An tồn thơng tin Các phương pháp phát mã độc thông thường chủ yếu sử dụng kĩ thuật so sánh mẫu dựa sở liệu mã độc xây dựng định nghĩa từ trước, nhiên phương pháp bộc lộ nhiều nhược điểm khơng có khả phát mẫu mã độc mới, số lượng liệu mã độc ngày gia tăng làm cho sở liệu mẫu trở nên ngày lớn Nếu trước đây, công thường chủ yếu việc xưng hùng, xưng bá hacker, để thử tài hay đùa giỡn với người khác Thì nay, công ngày tinh vi hơn, diễn âm thầm, đặt biệt khó phát hiện.Nguy hiểm hơn, cơng mục đích kinh tế dần chuyển sang ý đồ trị Cùng với hỗ trợ nhiều công cụ, dịch vụ tìm kiếm, việc phát lỗi bảo mật tương đối dễ dàng Điều góp phần giúp nhà phát triển, thiết kế website chủ động phòng tránh đợt công hacker Với đam mê tìm hiểu lĩnh vực bảo mật, bảo mật hẹ thống, em chọn đề tài tốt nghiệp “Tìm hiểu Tấn cơng windows sử dụng phương thức Reverse TCP biện pháp phòng chống” Phạm vi đề tài này, em chủ yếu nghiên cứu phân tích kỹ thuật cơng Reverse TCP, Qua đó, em đề xuất giải pháp phòng chống phù hợp h NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN    - Giáo viên hướng dẫn h NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN    - Giáo viên phản biện h LỜI CAM ĐOAN Em xin cam đoan đồ án thân thực không chép cơng trình nghiên cứu người khác để làm sản phẩm riêng Các thơng tin sử dụng đồ án có nguồn gốc trích dẫn rõ ràng Em hồn tồn chịu trách nhiệm tính xác thực nguyên đồ án Em xin trân thành chịu trách nhiệm lời cam đoan Hà Nội, ngày tháng năm 2021 Sinh viên thực Phạm Văn Vịnh h LỜI CẢM ƠN Sau trình học tập nghiên cứu trường Đại học Công nghệ Giao thông vận tải, hỗ trợ giúp đỡ từ quý thầy cô Trước tiên, em xin phép gửi lời cảm ơn trân thành đến THS.Trần Việt Vương người tận tình hướng dẫn, khuyến khích, bảo tạo điều kiện tốt cho em từ bắt đầu hồn thành đồ án Em xin trân thành cảm ơn Ban giám hiệu nhà trường thầy cô khoa Công nghệ thông tin cung cấp kiến thức, đào tạo tận tình tạo điều kiện tốt cho em suốt trình học tập nghiên cứu trường Em xin trân thành cảm ơn đến thành viên lớp 66DCTM23, người bên em, học tập rèn luyện động viên em q trình hồn thành đồ án Trong q trình hồn thành đồ án cịn có nhiều thiếu sót, em mong nhận lời nhận xét, góp ý, bảo từ thầy để hồn thiện đồ án tốt Em xin trân thành cảm ơn! Hà Nội, ngày tháng năm 2021 Sinh viên thực Phạm Văn Vịnh h MỤC LỤC CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC, VIRUS 1.1 Giới thiệu mã độc máy tính 1.2 Phân loại mã độc 1.2.1 Virus máy tính .2 1.2.2.Logic Bomb 14 1.2.3 Trojan Horse: 14 1.2.4 Back Door 15 1.2.5 Sâu máy tính (Worm) .16 1.3 Các kỹ thuật phát mã độc 17 1.3.1 Các kỹ thuật phát dựa phân tích động .20 CHƯƠNG 2.CÁC PHƯƠNG THỨC TẤN CÔNG MẠNG, TẤN CÔNG REVERSE TCP 24 2.1 Tổng quan an ninh mạng 24 2.1.1 Khái niệm an ninh mạng .24 2.1.2 Hacker ảnh hưởng việc hack .25 2.1.3 Các giai đoạn công .26 2.1.4 Các loại công mạng 27 2.1.5 Các đối tượng bị cơng hình thức công phổ biến 28 2.2 Một số kiểu cơng mạng cách phịng chống 29 2.2.1 Kiểu công ARP spoofing 29 2.2.1.1 Các kiến thức liên quan 29 2.2.3 Kiểu công DHCP spoofing 37 2.3 Một số giải pháp đảm bảo an toàn mạng 40 2.3.1 Tường lửa (Firewall) 40 2.3.2 Công nghệ phát ngăn chặn xâm nhập mạng IDS/IPS .41 2.3.4 Mạng riêng ảo (VPN) .42 2.4 Tấn công Reverse TCP 43 2.4.1 Khái niệm TCP/IP .43 2.4.2 Cuộc công Reverse TCP 44 CHƯƠNG 3.CÁC BIỆN PHÁP BẢO VỆ NGƯỜI DÙNG .47 3.1 Biện pháp thụ động 47 3.1.1 Sử dụng firewall 47 3.1.2 Sử dụng cá chương trình diệt virus 48 h 3.2 Biện pháp chủ động 48 3.2.1 Sử dụng cơng cụ giám sát dị tìm .48 3.2.2 Phịng Chống Bằng Cách Kiểm Tra Tính Toàn Vẹn Của tập Tin .51 CHƯƠNG 4.MÔ PHỎNG TẤN CÔNG REVERSE TCP 53 4.1 Mơ hình thực nghiệm mô công .53 4.1.2 Tấn công cookie thông qua Reverse TCP .53 4.1.3 Tấn công web thông qua Reverse TCP 57 4.2 Biện pháp phòng chống 59 4.2.1 Đọc log hệ thống .59 4.2.2 Sử dụng công cụ giám sát mạng 62 KẾT LUẬN 65 TÀI LIỆU THAM KHẢO 66 h PHỤ LỤC HÌNH ẢNH Hình 1.1 Khối khởi động bị lây nhiễm nhiều virus [10] Hình 1.2 virus lây nhiễm phần đầu tệp tin [10] Hình 1.3 virus lây nhiễm phần cuối tệp tin [10] Hình 1.4 Mô tả hoạt động virus macro [10] Hình 1.5 Mơ tả q trình virus giải mã [10] 11 Hình 1.6 so sánh kỹ thuật phân tích tĩnh động [10] 21 Hình 2.1 Các giai đoạn công 26 Hình 2.3 Cách thức hoạt động ARP 30 Hình 2.4 Cách thức công ARP spoofing 32 Hình 2.5 Hoạt động DNS 34 Hình 2.6 Tấn cơng giả mạo DNS phương pháp giả mạo DNS ID 35 Hình 2.7 Hoạt động DHCP 38 Hình 2.8 Firewall cứng 40 Hình 2.9 Firewall mềm 41 Hình 2.10 : Mơ Hình TCP/IP 44 Hình 2.11: Tạo payload 46 Hình 2.12: Tạo listener máy cơng 46 Hinh 4.1 giao diện Metasploit 53 Hinh 4.2 Giao diện payload 54 Hinh 4.3 Chạy Reverse 54 Hinh 4.4 thiết lập ip Port 54 Hinh 4.5 thực thi listener 54 Hinh 4.6 nạn nhân mở word 55 Hinh 4.7: Kết nối đến máy nạn nhân 55 Hinh 4.8: chạy chương trình quet cookie 55 Hinh 4.9: Thu Thập thành công File cookie 56 Hinh 4.10: download feli cookie 56 Hinh 4.11 file tải 56 h CHƯƠNG 4.MÔ PHỎNG TẤN CÔNG REVERSE TCP 4.1 Mơ hình thực nghiệm mơ cơng 4.1.2 Tấn công cookie thông qua Reverse TCP Thực nghiệm sử dụng: - Kali linux : làm máy công - Windows 7: máy bị công Máy kali linux tạo mã độc cài vào file word gửi đến máy nạn nhân (windows 7), file word Thực nghiệm bước: - Bước 1: tạo file virut cài file word , chờ nạn nhân tải mở - Bước 2:trên máy kali linux ta vào Metasploit Hinh 4.1 giao diện Metasploit 53 h - Bước 3:thiết lập listener máy công, Hinh 4.2 Giao diện payload - payload mà ta tạo Hinh 4.3 Chạy Reverse - Bước Khai báo địa ip, port máy công Hinh 4.4 thiết lập ip Port - Bước 5: Lệnh thực thi listener Hinh 4.5 thực thi listener Các câu lệnh thiết lập handler máy kẻ công chờ kết nối ngược từ nạn nhân Khi máy nạn nhân mở file word 54 h Hinh 4.6 nạn nhân mở word máy công xuất kết nối Hinh 4.7: Kết nối đến máy nạn nhân - Bước : chạy file mã độc quét cookie nạn nhân Hinh 4.8: chạy chương trình quet cookie Chúng ta vào file results có file mà ta quét máy nạn nhân 55 h Hinh 4.9: Thu Thập thành công File cookie - Bước 7: download feli cookie máy Hinh 4.10: download feli cookie Đã tải thành công Hinh 4.11 file tải thấy tất cookie mà máy nạn nhân dã lưu 56 h Hinh 4.12 Cookie nạn nhân Chúng ta lấy cookie sử dụng - 4.1.3 Tấn công web thông qua Reverse TCP web game hoạt động bình thường Hinh 4.13 Web nạn nhân 57 h Dùng câu lệnh tasklist để liện kê danh sách chương trình chạy máy nạn nhân Hinh 4.14 Các dịch vụ chyaj máy nạn nhân Ta thấy chương trình httpd.exe chương trình chạy dịch vụ http (dịch vụ web) Dùng câu lệnh taskkill /IM httpd.exe /F để tắt dịch vụ web máy nạn nhân Hinh 4.15 : Đóng dicnhj vụ http Dịch vụ http tắt Hinh 4.16 Dịch vụ đọc đóng Dịch vụ web máy nạn nhân bị đóng , khơng thể truy cập 58 h Hinh 4.17 Web không hoạt động 4.2 Biện pháp phòng chống 4.2.1 Đọc log hệ thống Khi hệ thống hay máy tính bị cài Reverse TCP, tháy có dấu hiệu bị cơng, bị tắt dịch vụ bất thường, kiểm tra log Để truy cập Windows Event Viewer, nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau nhập eventvwr.msc vào nhấn Enter click chọn OK để mở cửa sổ Event Viewer Hinh 4.18: Cửa sổ Windows Event Viewer 59 h Tại kích đúp chuột vào nút Windows Logs, sau click chọn Security Hinh 4.19: Windows Logs Ở bảng danh sách nhìn thấy lần đăng nhập kèm theo ngày đăng nhập Mỗi lần đăng nhập, Windows ghi lại lần đăng nhập khoảng thời gian trước khoảng đến phút Hinh 4.20: Windows Logs Security 60 h Đăng nhập với người quản trị Hinh 4.21:Even ID 4624 Hiển thị nhập không rõ , nhập bất hợp pháp từ ngồn không xác định Hinh 4.22: Windows Logs Security 61 h Đang nhập nguồn khơng xác định có Event ID không rõ ràng Hinh 4.23:Even ID 46281 4.2.2 Sử dụng công cụ giám sát mạng - Công cụ TCPview TCPView có tác dụng liệt kê tiến trình có hoạt động giao tiếp với bên ngồi Cơng cụ tương tự với netstat nhiên hiệu nhiều rõ ứng dụng chạy tiến trình TCPViews liệt kê tên tất trình xử lý giữ điểm cuối Windows XP, Windows 7,8,10 Windows Server Ngoài ra, TCPViews cịn tích hợp phần cơng cụ Netstat nhỏ gọn hữu ích, vốn hay dùng Windows TCPVcon gộp vào download TCPView Đây phiên command line có chức Bất khởi động TCPView, chương trình hiển thị mục menu hay nút cơng cụ để người dùng chuyển đổi qua lại TCPView cho phép bạn đóng kết nối TCP/IP thiết lập (có hiển thị trạng thái “Đã thiết lập” bên cạnh) Tất bạn cần làm bấm vào nút “Close Connections” (đóng kết nối) thẻ File 62 h TCPViews cho phép xem tiến trình chạy Hinh 4.24: TCPViews thị tiến trình chạy Ta rà sốt phát tiến trình, kết nối bất thường Hinh 4.25:Phát tiến trình luồng liệu bất thường 63 h Có thể đóng tiến trình mà ta muốn End process, ngăn chặn ứng dụng hay tiến trình bất thường Hinh 4.26: Đóng luồng liệu lại 64 h KẾT LUẬN Loại hình cơng reverse TCP,Cookie thường nhắm tới đối tượng doanh nghiệp kẻ cơng có quyền kết nối tới máy chủ thực thi lệnh điều khiển tới máy bị nhiễm payload - Đối với doanh nghiệp cá nhân: -Không nên click vào đường link lạ internet -Trước thực thi file exe nguồn khơng tin tưởng bạn nên quét virurt -Cập nhật hệ điều hành thường xuyên -Không nên tắt phần mềm diệt virus windows Đối với doanh nghiệp: -Triển khai lọc tường lửa Thiết lập proxy có chức phân tích -kiểm tra sâu gói tin gây cản trở đến kết nối SSL/TCP chặn kết nối khả nghi bên -Tắt khả thực thi gói tin thư mục tạm - Khơng nên đưa quyền admin cho người dùng (Nếu họ cần nâng cấp quyền để thực tác vụ ta đưa cho họ account họ phải sử dụng "Run as " để có khả thực thi file 65 h TÀI LIỆU THAM KHẢO [1] Gareth James, Daniela Witten, Trevor Hastie, Robert Tibshirani “An Introduction to Statistical Learning with Applications in R ( Springer Texts in Statistics ) ”, by Springer Publishing, 2013 [2] Chih-Wei Hsu, Chih-Chung Chang, and Chih-Jen Lin “A Practical Guide to Support Vector Classification”, Department of Computer Science National Taiwan UniversityTaipei 106- Taiwan, Last updated: May 19, 2016 [3] Cai DM, Gokhale M, Theiler J “Comparison of feature selection and classification algorithms in identifying malicious executables,” Computational Statistics and Data Analysis 2007 [4] Schultz M, Eskin E, Zadok E, Stolfo S “Data mining methods for detection of new malicious executables,” Proc of the IEEE Symposium on Security and Privacy, IEEE Computer Society 2001 [5] Digit Oktavianto, Iqbal Muhardianto,“Cuckoo Malware Analysis”, Packt Publishing, 2013 [6] D Krishna Sandeep Reddy - Arun K Pujari “N-gram analysis for computer virus detection,” Springer-Verlag France 2006, doi 10.1007/s11416-006-0027-8 [7] Eldad Eilam, “Reversing-Secrets of Reverse Engineering”, Wiley; edition (April15, 2005) [8] Smita Ranveer, Swapnaja Hiray, “Comparative Analysis of Feature Extraction Methods of Malware Detection,” International Journal of Computer Applications (0975 8887), Volume 120 - No 5, June 2015 [9] Igor Santos, Yoseba K Penya, Jaime Devesa and Pablo G Bringas “n-grams-based file signatures for malware detection,” Deusto Technological Foundation, Bilbao, Basque Country [10] John Aycock, “Computer viruses and Malware (Advances in Information Security)”, by Springer Publishing, 2006 [11] Madhu K Shankarapani - Subbu Ramamoorthy - Ram S Movva - Srinivas Mukkamala “Malware detection using assembly and API call sequences,” Springer-Verlag France 2010, doi 10.1007/s11416-010-0141-5 66 h 67 h