Các tập tin có thể được tạo ra trong Windows bằng cách kích chuột phải vào một tập tin, thư mục, hoặc chương trình thực thi và sau đó chọn Create shortcut.Lợi dụng lỗ hổng này tồn tại tr
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “Xây dựng hệ thống cảnh báo phát lỗ hổng CVE2017-8464” Người hướng dẫn : Sinh viên thực : TS NGUYỄN HỒNG SƠN NGUYỄN ĐĂNG MẠNH Mã số sinh viên : N19DCAT0 Lớp : D19CQAT01-N Khóa : 2019 - 2024 Hệ : ĐẠI HỌC CHÍNH QUY TP HCM, tháng 11 năm 2023 Mục lục PHẦN 1: TỔNG QUAN VỀ CVE-2017-8464 1 KHÁI NIỆM VỀ FILE LNK TẠO HỆ THỐNG MẮC LỖI CVE-2017-8464 CÔNG CỤ TẤN CÔNG LỖ HỔNG CVE-2017-8464 PHẦN 2: SỬ DỤNG CÔNG CỤ METASPLOIT KHAI THÁC CVE-2017-8464 2.1 MÔ HÌNH KHAI THÁC CVE-2017-8464 .3 2.2 THỰC HIỆN KHAI THÁC CVE-2017-8464 PHẦN 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN CVE-2017-8464 DỰA TRÊN NGÔN NGỮ PYTHON 3.1 PHÂN TÍCH SIGNATURE CỦA CVE-2017-8464 DỰA TRÊN GÓI MẠNG BẮT ĐƯỢC 3.2 HÀM XỬ LÝ PHÁT HIỆN KHAI THÁC CVE-2017-8464 DỰA TRÊN PHÂN TÍCH SIGNATURE CỦA GÓI MẠNG 13 KẾT LUẬN 20 NGUYỄỄN ĐĂNG MẠNH DANH MỤC HÌNH ẢNH Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Icon Shortcut windows 2 Metaploit Framework .3 Phiên hệ điều hành nạn nhân .4 Địa IP máy nạn nhân 5 Địa IP máy kẻ công .5 Tạo payloads lắng nghe kết nối TCP đến máy attacker .6 Tạo file lnk tự động chạy mã độc Thông tin thiết lập Payloads .8 Khơi tạo File lnk kèm theo mã độc .8 10 Nạn nhân truy cập folder chia sẻ chứa file lnk lỗi chứa mã độc 11 Attackers khai thác thành công xâm nhập vào máy nạn nhân 10 12 Gói tin cơng lỗ hổng CVE-2017-8464 bắt lại 10 13 Gói tin với cờ PSH sau kết nối TCP thành công đến attackers 10 14 Dấu hiêu đáng nghi gói tin bắt mà attacker gửi cho victim .11 15 Cấu trúc PE file 11 16 Chứ ký PE file gói tin bắt 12 17 Thơng tin gói DOS STUB bắt từ attackers gửi cho victim 13 18 Thông tin từ e_lfanew phần Signature PE header 13 19 Phần nội dung Section table gói tin bắt .14 20 Lưu signature thông tin liên quan đén mã độc file CSV 14 21 Hàm lấy thông tin Protocal gói tin 14 22 Hàm lấy thông tin trường info gói tin 15 23 Hàm chuyển đổi gói tin từ Pcap sang file CSV 16 24 Hàm kiểm tra mã độc lưu lượng mạng 17 25 Vòng lập chạy bắt lưu lượng kiểm tra mã độc 18 26 Khởi chạy chương trình giám sát máy thật 18 27 Phát cảnh báo lắng nghe lưu lượng mạng 19 28 Folder chương trình giám sát CVE-2017-8464 19 29 Terminal trình chạy real-time bắt gói tin cơng 20 30 Folder packet với file ghi lại gói tin sau lần chuyển đổi bắt gói 20 NGUYỄỄN ĐĂNG MẠNH PHẦN 1: TỔNG QUAN VỀ CVE-2017-8464 KHÁI NIỆM VỀ FILE LNK LNK System Files - Windows Shortcut, định dạng Binary phát triển Microsoft Hình Icon Shortcut windows Một tập tin LNK phím tắt "liên kết" sử dụng Windows tham chiếu đến gốc tập tin, thư mục, ứng dụng tương tự bí danh tảng Macintosh Nó chứa shortcut loại mục tiêu, vị trí tên tập tin chương trình mở tập tin mục tiêu phím tắt tùy chọn Các tập tin tạo Windows cách kích chuột phải vào tập tin, thư mục, chương trình thực thi sau chọn Create shortcut Lợi dụng lỗ hổng tồn Microsoft Windows cho phép kẻ công thực code từ xa biểu tượng phím tắt hay shortcut (được tạo cách đặc biệt) Thành phần dễ bị công liên kết với network stack Một lỗ hổng thường gọi “remotely exploitable” coi cơng khai thác protocol level nhiều network hops (ví dụ: qua nhiều định tuyến) TẠO HỆ THỐNG MẮC LỖI CVE-2017-8464 Các hệ thống bị ảnh hưởng bới lỗ hổng CVE-2017-8464 Windows Shell Microsoft Windows Server 2008 SP2 R2 SP1, Windows SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, 1703 Windows Server 2016 cho phép người dùng cục kẻ công từ xa thực thi mã tùy ý thông qua tệp LNK tạo thủ công, không xử lý cách hiển thị biểu tượng Windows Explorer ứng dụng khác phân tích cú pháp biểu tượng lối tắt Hay gọi "LNK Remote Code Execution Vulnerability." NGUYỄỄN ĐĂNG MẠNH Bản cập nhật bảo mật vá lỗ hổng cách sửa chữa xác nhận tham chiếu biểu tượng shortcut, Microsoft Windows có cập nhật cho lỗ hổng vào tháng năm 2017 Lỗ hổng không ảnh hưởng đến phiên Windows XP Windows cũ CÔNG CỤ TẤN CÔNG LỖ HỔNG CVE-2017-8464 Metasploit Metasploit Framework môi trường dùng để kiểm tra, công khai thác lỗi service sử dụng giao diện dịng lệnh, cơng cụ có sẵn kali linux phiên VMware Hình Metaploit Framework NGUYỄỄN ĐĂNG MẠNH PHẦN 2: SỬ DỤNG CÔNG CỤ METASPLOIT KHAI THÁC CVE-20178464 2.1 MƠ HÌNH KHAI THÁC CVE-2017-8464 Máy nạn nhân – Windows Pro Hình Phiên hệ điều hành nạn nhân Hình Địa IP máy nạn nhân NGUYỄỄN ĐĂNG MẠNH Document continues below Discover more from: An toàn mạng AT19 Học viện Công ng… 48 documents Go to course 40 WAF - Tìm hiểu WAF An tồn mạng 100% (2) BTL-Chun-đề-Anninh-mạng An tồn mạng 100% (1) Doc1 - aaaâaa 30 An tồn mạng Phần mạch điện aaaâaa An toàn mạng 39 None None Nghiên cứu khoa học - research scienece An toàn mạng None 31 Máy công – Kali linux – Sử dụng công cụ Metasploit BCCK Nguyen Ngoc Tieu Long… An tồn mạng Hình Địa IP máy kẻ công Lớp mạng hoạt động VMnet8 Subnet 192.168.169.0 2.2 THỰC HIỆN KHAI THÁC CVE-2017-8464 Tạo payloads reverse_tcp lắng nghe kết nối TCP đến Kali Với LHOST địa lắng nghe từ máy attackers NGUYỄỄN ĐĂNG MẠNH None Hình Tạo payloads lắng nghe kết nối TCP đến máy attacker Tạo file shortcut chứa lỗi CVE-2017-8464 để tự động khởi chạy payloads reverse_tcp chèn vào NGUYỄỄN ĐĂNG MẠNH Hình Tạo file lnk tự động chạy mã độc NGUYỄỄN ĐĂNG MẠNH Hình 11 Attackers khai thác thành công xâm nhập vào máy nạn nhân PHẦN 3: XÂY DỰNG CÔNG CỤ PHÁT HIỆN CVE-2017-8464 DỰA TRÊN NGÔN NGỮ PYTHON 3.1 PHÂN TÍCH SIGNATURE CỦA CVE-2017-8464 DỰA TRÊN GĨI MẠNG BẮT ĐƯỢC Khi thực cơng có bắt gói ta thấy file lnk tự động chạy máy nạn nhân gọi kết nối TCP đến địa máy kẻ cơng thiết lập payloads Hình 12 Gói tin cơng lỗ hổng CVE-2017-8464 bắt lại Gói tin với cờ PSH cho phép gửi thẳng tới máy nạn nhân thay đưa vào nhớ tạm Hình 13 Gói tin với cờ PSH sau kết nối TCP thành công đến attackers Tiếp theo gói tin với dấu hiệu đáng nghi “MZ” cho thấy có lẽ PE file mã độc để đưa máy nạn nhân 10 NGUYỄỄN ĐĂNG MẠNH Hình 14 Dấu hiêu đáng nghi gói tin bắt mà attacker gửi cho victim PE File Format (Portable Executable File Format): định dạng file riêng Win32 Tất file thực thi Win32 như: *.EXE, *.DLL (32 bit),*.COM,*.NET, *.CPL,… định dạng PE; ngoại trừ tập tin VxDs *.DLL (16 bit) Hình 15 Cấu trúc PE file DOS MZ Header Tất PE file đếu bắt đầu DOS MZ Header đơn giản Nó chiếm 64 bytes Vùng dùng trường hợp chương trình chạy DOS 11 NGUYỄỄN ĐĂNG MẠNH e_magic: Chữ ký PE file, giá trị: 4Dh, 5Ah (Ký tự “MZ”, tên người sáng lập MS-DOS: Mark Zbikowsky) Giá trị đánh dấu DOS Header hợp lệ phép thực thi tiếp Hình 16 Chứ ký PE file gói tin bắt e_lfanew: DWORD nằm cuối DOS Header, trường chứa offset PE Header so với vị trí đầu file DOS STUB DOS Stub chương trình DOS EXE nhỏ hiển thị thơng báo lỗi, phần để tương thích với Windows 16bit 12 NGUYỄỄN ĐĂNG MẠNH Hình 17 Thơng tin gói DOS STUB bắt từ attackers gửi cho victim PE Header PE Header thực chất cấu trúc IMAGE_NT_HEADERS bao gồm thơng tin cần thiết cho q trình loader load file lên nhớ Signature: DWORD bắt đầu PE Header chứa chữ ký PE: 50h, 45h, 00h, 00 Hình 18 Thông tin từ e_lfanew phần Signature PE header SECTION TABLE Section Table thành phần ngày sau PE Header, bao gồm mảng cấu trúc IMAGE_SECTION_HEADER 13 NGUYỄỄN ĐĂNG MẠNH Hình 19 Phần nội dung Section table gói tin bắt Những gói tin phần liệu SECTION PE file Từ ta lấy phần HEADER cấu trúc PE file mã độc đem băm hàm MD5 để làm signature phát mã độc file này, cụ thể ta lấy 1024 bytes liệu gói tin mà ta phát hiện, có bao gồm phần HEADER Và thông tin liên quan ta biết đễn mã độc lưu file CSV để làm tập liệu phát mã độc Hình 20 Lưu signature thông tin liên quan đén mã độc file CSV 3.2 HÀM XỬ LÝ PHÁT HIỆN KHAI THÁC CVE-2017-8464 DỰA TRÊN PHÂN TÍCH SIGNATURE CỦA GĨI MẠNG Hàm lấy thông tin protocal liên quan frame_info, có trường data lấy tiếp protocal gần trường data Hình 21 Hàm lấy thơng tin Protocal gói tin Get_info lấy thông tin quan trọng giống với trường info wireshark 14 NGUYỄỄN ĐĂNG MẠNH Hình 22 Hàm lấy thơng tin trường info gói tin Với hàm convert từ file pcap sang csv sử dụng pyshark đẻ loads file tạm bắt gói (temp.pcap) Sau lấy thơng tin giống trường thông tin wireshark để ghi file tạm CSV Trong hàm lấy gói tin có từ layer IP&IPV6 trở lên Sau chuyển đổi CSV file tạm tạo copy đến thư mục packet cần làm tư liệu sau 15 NGUYỄỄN ĐĂNG MẠNH Hình 23 Hàm chuyển đổi gói tin từ Pcap sang file CSV Đầu tiên hàm detectRemoteCode thấy thông tin file mẫu chứa signature (md5) thu tập phân tích từ trước, signature lưu tổng hợp file mẫu Sau mở file CSV lưu liệu tạm bắt từ lưu lượng mạng lấy liệu data protocal TCP gồm 1024 bytes tương đương với 2048 kí tự hex đem decode kiểm tra bắt đầu kí tự “MZ” hash đem so sánh với signature mà ta thẩm định Nếu cảnh báo ghi log lại việc giống với phân tích tĩnh (Static Analysis) công cụ Antivirus thường làm 16 NGUYỄỄN ĐĂNG MẠNH Hình 24 Hàm kiểm tra mã độc lưu lượng mạng Sau có hàm đoạn code chạy giám sát lưu lượng từ dòng 88 đến 109 cuối chương trình Dịng đầu kiểm tra thư mục chưa có tạo Tiếp theo vịng lập vơ tận người dùng Interrupt chương trình tổ hợp phím Ctr+C Trong vịng lập đầu tiền dịng sử dụng pyshark để bắt gói tin, với interface card mạng mà ta muốn thu thập lắng nghe file output temp.pcap Nó bắt gói giây sau chạy hàm chuyển đổi từ pcap sang CSV 17 NGUYỄỄN ĐĂNG MẠNH Sau có file CSV chạy hàm kiểm tra lỗ hổng CVE-2017-8464 Nó thực thao tác đặn người dùng ngặt chương trình Hình 25 Vịng lập chạy bắt lưu lượng kiểm tra mã độc *Tiến hành kiểm tra hoạt động chương trình qua thực khai thác Chạy chương trình giám sát máy windows 10 (máy thật) giám sát vùng mạng mà ta thực lại công phần Hình 26 Khởi chạy chương trình giám sát máy thật 18 NGUYỄỄN ĐĂNG MẠNH Quay lại máy ảo thực lại thao tác công phần Ta thấy lưu lượng mạng mà bắt phân tích phát kẻ công thực LNK Remote code thơng báo hình bên Sau muốn kết thúc q trình dị qt cổng mạng cần bấm tổ hợp phím Ctr+C ngặt chương trình chạy Hình 27 Phát cảnh báo lắng nghe lưu lượng mạng Sau quét đe dọa folder chương trình giám sát ta thấy sinh folder packet nơi chưa file chuyển đổi sang csv bắt gói pyshark file log.txt ghi hoạt động detect đưa chạy chương trình giám sát Ngồi cịn sinh file temp mà chương trình dùng để đọc phân tích chuyển đổi, hai file thay đổi thường xuyên gói chuyển đổi lưu folder packet Cịn file sample-detect.csv phần nơi lưu trữ signature mà ta phân tích để phục vụ cho chương trình phát mối đe dọa theo phương pháp Static Analysis mà công cụ Antivirus thường dùng Hình 28 Folder chương trình giám sát CVE-2017-8464 19 NGUYỄỄN ĐĂNG MẠNH Hình 29 Terminal q trình chạy real-time bắt gói tin cơng Hình 30 Folder packet với file ghi lại gói tin sau lần chuyển đổi bắt gói 20 NGUYỄỄN ĐĂNG MẠNH KẾT LUẬN Qua trình khai thác xây dựng chương trình phát lỗ hổng CVE-20178464, sinh viên không học cách tận dụng lỗ hổng an ninh mạng mà đạt nhiều kiến thức quan trọng kỹ thiết yếu lĩnh vực an ninh thơng tin Việc phân tích mã độc, xây dựng signature, hiểu biết sâu rộng hành vi công không giúp họ trở thành chuyên gia an ninh mạng đáng tin cậy mà thúc đẩy sáng tạo đổi ngành Quan trọng hơn, sinh viên khuyến khích áp dụng kiến thức lý thuyết vào thực tế thơng qua việc xây dựng chương trình tự động hóa phân tích, thu thập liệu, cảnh báo an ninh mạng Điều giúp họ phát triển kỹ lập trình, làm việc hiệu với cơng cụ an ninh mạng, nâng cao khả giải vấn đề Kết là, sinh viên không trở nên chuyên sâu lỗ hổng CVE-2017-8464 mà tự tin khả đối mặt với thách thức an ninh mạng phức tạp Năng lực tự học áp dụng kiến thức thực tế chìa khóa mở cánh cửa cho thành cơng họ ngành công nghiệp an ninh thông tin ngày 21 NGUYỄỄN ĐĂNG MẠNH More from: An toàn mạng AT19 Học viện Công ngh… 48 documents Go to course WAF - Tìm hiểu 40 WAF An tồn mạng 100% (2) BTL-Chuyên-đề-Anninh-mạng An toàn mạng 100% (1) Doc1 - aaaâaa 30 An tồn mạng None Phần mạch điện aaaâaa An tồn mạng None More from: Ngoc Tieu Long… 191 Học viện Công nghệ… Discover more 48 Nguyen Ngoc Tieu Long N19DCAT045… Khai thác lỗ hổng trên… 100% (1) M24 - an An toàn ứng dụng web và… None DOMH Group 14 47 An toàn ứng dụng web và… None Qlattt De Xuat Cho 36 Ngan Hang Quản Lý An Tồn Thơng Tin Recommended for you None Correctional Administration Criminology 96% (113) English - huhu 10 10 Led hiển thị Preparing Vocabulary FOR UNIT Led hiển thị 39 100% (3) 100% (2) 10 đề tiếng Anh thi vào lớp 10 (Có đáp án) an ninh mạng 100% (1)