Tìm hiểu tấn công man in the middle sử dụng xerosploit và biện pháp phòng chống

CHƯƠNG 1: TỔNG QUAN1.1 Tổng quan về đồ án Đồ án sẽ giới thiệu cho chúng ta biết về Man-In-The-Midle sử dụngXeroploit, một cách tấn công trên mạng nội bộ và bộ công cụ cung cấp tấncông Ma

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆP

BÁO CÁO ĐỒ ÁN MÔN AN TOÀN THÔNG TIN

TÊN ĐỀ TÀI

Tìm hiểu tấn công Man-In-The-Middle sử dụng Xerosploit và biện

pháp phòng chống

Chuyên Ngành: AN TOÀN THÔNG TIN

GVHD:

Lớp: 19DATA1

TP.Hồ Chí Minh, 2021

LỜI CẢM ƠN

Chúng em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến Thầy Hữu Thọ đã tậntình giúp đỡ và hướng dẫn chúng em hoàn thành đồ án cơ sở này Nhờ sự giúp đỡ nhiệtlòng của thầy mà đồ án đã hoàn thành trong 10 tuần, đúng tiến độ của nhà trường đề ra

MỤC LỤC

MỤC LỤC 3

CHƯƠNG 1: TỔNG QUAN 5

1.1 Tổng quan về đồ án 5

1.2 Nhiệm vụ đồ án 5

1.3 Cấu trúc đồ án 5

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 7

2.1 Giới thiệu về Man-In-The-Middle 7

2.2 Cách hoạt động của Man-In-The-Midle 7

2.3 Các kiểu tấn công của Man-In-The-Midle 8

2.3.1 IP Spoofing (Giả mạo IP): 8

2.3.2 DNS Spoofing (Giả mạo hệ thống tên miền): 8

2.3.3 HTTP Spoofing (Giả mạo HTTPS): 8

2.3.4 SSL Hijacking (Đánh cắp lớp cổng bảo mật): 9

2.3.5 Email Hijacking (Đánh cắp email): 9

2.3.6 Wi-Fi Eavesdropping (Nghe trộm Wifi): 9

2.3.7 Session Hijacking (Đánh cắp Session) : 9

2.3.8 Cache Poisoning (Nhiễm độc bộ nhớ Cache): 9

2.4 Các cuộc tấn công Man-In-The-Midle 9

2.5 Giới thiệu ứng dụng Xerosploit 10

2.6 Những tính năng của Xerosploit 11

CHƯƠNG 3: KẾT QUẢ THỰC NGHIỆM 13

3.1 Cài đặt Xerosploit 13

3.2 Các lệnh trong Xeroploit 13

CHƯƠNG 4: KẾT LUẬN 24 4.1 Kết luận 24 4.2 Cách phòng tránh cuộc tấn công Man-In-The-Middle 24

CHƯƠNG 1: TỔNG QUAN

1.1 Tổng quan về đồ án

Đồ án sẽ giới thiệu cho chúng ta biết về Man-In-The-Midle sử dụngXeroploit, một cách tấn công trên mạng nội bộ và bộ công cụ cung cấp tấncông Man-In-The-Middle nâng cao để đánh cắp mật khẩu,

1.2 Nhiệm vụ đồ án

Giúp người dùng sử dụng trong những mục đích sau:

- Hiểu được Man-In-The-Midle

- Các hoạt động của Man-In-The-Midle

- Các cách tấn công của Man-In-The-Midle

- Bộ dụng cụ Xerosploit

- Các chức năng của Xerosploit

- Ưu điểm và nhược điểm của Xerosploit

- Chương 2: Cơ sở lý thuyết

Phần này sẽ giới thiệu cụ thể về Man-In-The-Midle và Xerosploit,những công nghệ được áp dụng trong Xerosploit, những tính năng củaXerosploit

- Chương 3: Kết quả thực nghiệm

Phần này sẽ cho chúng ta thấy mô hình các chức năng của Xerosploitkhi tấn công Man-In-The-Midle nâng cao trên mạng cục bộ

- Chương 4: Kết luận

Phần này sẽ rút ra những lưu ý và lời khuyên về Man-In-The-Midle vàkhi sử dụng Xerosploit tấn công Man-In-The-Middle cùng với cách phòngtránh

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1 Giới thiệu về Man-In-The-Middle

Man-In-The-Middle (MitM) là một cuộc tấn công linh hoạt, xâm chiếm

và bí mật Tấn công man-in-the-middle ( xảy ra khi ai đó ở giữa hai máy tính(máy tính xách tay và máy chủ từ xa) và có khả năng chặn lưu lượng truy cập

Kẻ đó có thể nghe trộm hoặc thậm chí chặn liên lạc giữa hai máy và đánh cắpthông tin nhạy cảm Các cuộc tấn công man-in-the-middle là một vấn đề bảomật nghiêm trọng

Ngày nay khi mà nghe lén là nghề chính của gián điệp và những lời chếgiễu của mọi người đang chờ sẵn ở phía sau chúng ta Trong thời đại củaInternet, việc lấy thông tin nhạy cảm càng trở nên dễ dàng hơn

Trong trường hợp chỉ là nghe trộm, người thứ ba sẽ là người quan sátthụ động và không được tương tác theo bất kỳ cách nào giữa những người traođổi thông tin Đó không phải là MitM— không chỉ có tính năng nghe trộmtruyền thống mà còn có thể kiểm soát cuộc trò chuyện Thực tế này làm chocuộc tấn công MitM trở thành một hoạt động nguy hiểm Có rất nhiều công cụ

mã nguồn mở có sẵn trực tuyến cho cuộc tấn công này như Ettercap, MITMF,Xerosploit,…

2.2 Cách hoạt động của Man-In-The-Midle

Ở các cuộc tấn công MitM, hacker sẽ tự chèn vào giữa các giao dịch dữliệu hoặc giao tiếp trực tuyến Phần mềm độc hại sẽ được hacker phân phối vàothiết bị của người dùng để dễ dàng truy cập vào trình duyệt web

Hiện tại, ngân hàng trực tuyến hoặc website thương mại điện tử chính làmục tiêu của MitM bởi chúng yêu cầu xác thực danh tính bằng những codehoặc thông tin mật của cá nhân

Tấn công MitM thường được thực hiện qua hai bước là chặn và giải mã

dữ liệu Khi hacker chặn việc truyền dữ liệu, khách hàng và ứng dụng vẫn cứtin họ đang trao đổi với nhau Thực chất lúc đó, hacker sẽ đóng vai trò như mộtproxy đọc và chèn thông tin sai vào quá trình giao tiếp nói trên

Sau khi chặn thành công thì hacker sẽ giải mã dữ liệu để sử dụng vàonhững mục đích có lợi cho chúng Thường thì thông tin có được sẽ dùng đểđánh cắp danh tính và gây ra những bất lợi cho hoạt động kinh doanh

Hacker tấn công MitM muốn có được quyền truy cập vào các thiết bị vàthông tin nhạy cảm sẽ tiến hành theo những cách sau:

2.3.1 IP Spoofing (Giả mạo IP):

Tương tự như giả mạo danh tính, giả mạo IP là khi hacker thay đổi địachỉ IP nguồn của website, thiết bị hay địa chỉ email Trong khi đó, người dùngvẫn cứ tin tưởng mình đang tương tác với một nguồn hợp pháp Vì thế mà mọithông tin trong quá trình giao dịch giữa người dùng và ứng dụng sẽ được tộiphạm đánh cắp dễ dàng

2.3.2 DNS Spoofing (Giả mạo hệ thống tên miền):

Đây là một cách tấn công trung gian khi hacker thay đổi tên miền đểchuyển hướng truy cập của người dùng từ web gốc sang web giả mạo Mụcđích chính của việc tấn công này là để đánh lừa người dùng đăng nhập vào webgiả mạo để ăn cắp mọi thông tin

2.3.3 HTTP Spoofing (Giả mạo HTTPS):

Một trong những giao thức hiện thân cho sự an toàn của Internet đó chính làHTTPS Chính vì độ an toàn và tin cậy cao nên những tên hacker chuyênnghiệp sẽ lợi dụng điều đó để qua mắt người dùng Chúng sẽ giả mạo HTTPS

để chuyển phiên trình duyệt của người dùng đến một website giả mạo màngười dùng không hề hay biết Dựa vào cách này, hacker sẽ theo dõi sự tươngtác của người dùng và lấy hết những thông tin quan trọng

2.3.4 SSL Hijacking (Đánh cắp lớp cổng bảo mật):

SSL được xem là một giao thức bảo mật Internet dựa trên mã hoá Khihacker chiếm được quyền điều khiển SSL chúng sẽ thâu tóm mọi tài liệu đượctruyền từ máy chủ tới web tới trình duyệt của người dùng

2.3.5 Email Hijacking (Đánh cắp email):

Trong cuộc tấn công này, hacker sẽ kiểm soát tài khoản email của các tổchức tài chính để theo dõi tất cả những giao dịch được thực hiện bởi ngườidùng Đặc biệt, hacker giả mạo địa chỉ email của ngân hàng rồi gửi nhữngthông báo hay hướng dẫn chuyển tiền, gửi tiền cho người dùng Trong trườnghợp này, nếu không tỉnh táo suy xét thì rất nhiều người rơi vào bẫy của tộiphạm

2.3.6 Wi-Fi Eavesdropping (Nghe trộm Wifi):

Thông thường, nếu dùng cách này các hacker sẽ thiết lập kết nối wifigiống với wifi công cộng để đánh lừa người dùng Nếu không phát hiện rangười dùng vô tình truy cập vào wifi độc hại với những nguy hiểm khó lường

2.3.7 Session Hijacking (Đánh cắp Session) :

Khi các tên hacker làm chủ phiên trình duyệt của bạn thì bạn phải đốimặt với vô số nguy hiểm Hacker sẽ truy cập vô tận vào nguồn tài nguyên trêntrình duyệt web và thực hiện những hành vi như mua hàng qua mạng, đánh cắptiền từ tài khoản ngân hàng,…

2.3.8 Cache Poisoning (Nhiễm độc bộ nhớ Cache):

Đây là cuộc tấn công phổ biến của MitM giúp hacker ở cùng trên mộtmạng con với nạn nhân và nghe trộm tất cả mọi thông tin trong quá trình ngườidùng giao tiếp với ứng dụng

2.4 Các cuộc tấn công Man-In-The-Midle

 Ứng dụng di động của Equifax: Năm 2017, MitM tấn công Equifax, hậuquả để lại là thông tin của 150 triệu người Mỹ bị rò rỉ Qua vụ việc này,người dùng đã phát hiện ra ứng dụng điện thoại của công ty không phải lúc

nào cũng dùng HTTPS Đây chính là lỗ hổng để tin tặc ăn cắp dữ liệu mộtcách đơn giản và nhanh chóng.

 Tấn công phần mềm quảng cáo Superfish Visual Search: Năm 2015,máy tính Lenovo đã ra mắt phần mềm quảng cáo có tên là Superfish VisualSearch Phần mềm này chèn quảng cáo mặc định nên người dùng dễ bị tấncông MITM Vào tháng 2 năm 2015, bản phát hành cập nhật của MicrosoftWindows Defender đã loại bỏ lỗ hổng này

 DigiNotar: Năm 2011, công ty phát hành chứng chỉ bảo mật kỹ thuật số

Hà Lan DigiNotar đã bị tấn công MitM Những tên hacker đã có đượcquyền truy cập vào 500 chứng chỉ cho những website nổi bật Chúng đã lừangười dùng nhập mật khẩu vào website giả mạo Với sự tổn thất lớn từcuộc tấn công này, DigiNotar phải đệ đơn phá sản

2.5 Giới thiệu ứng dụng Xerosploit

Xerosploit là bộ công cụ kiểm tra thâm nhập được thiết kế để thực hiệncác cuộc tấn công trung gian nhằm khám phá các lỗ hổng, nội dung độc hại, lỗi

và rủi ro Thử nghiệm thâm nhập là một cuộc tấn công mạng mô phỏng được

ủy quyền vào hệ thống máy tính để đánh giá tính bảo mật của hệ thống.Xerosploit là một công cụ tấn công dành cho MITM chỉ có thể chạy trên hệđiều hành Linux

Xerosploit có nhiều loại mô-đun khác nhau giúp thực hiện các cuộc tấncông hiệu quả và các tính năng như tấn công từ chối dịch vụ , quét cổng,…

Có nhiều loại Dependencies(phụ thuộc) khác nhau được Xerosploit sửdụng, một số trong số chúng là:

 hping3

 tabulate

 terminal tables

2.6 Những tính năng của Xerosploit

Sau đây là một số tính năng cơ bản của Xerosploit:

 DOS Attack: Trong Attack DOS, kẻ tấn công gửi một lượng lớn lưulượng truy cập đến hệ thống của nạn nhân và tắt hệ thống đó Attack Dos làmột cuộc tấn công online chủ yếu được sử dụng để tắt trang web mục tiêu chongười dùng Cuộc tấn công này làm quá tải máy chủ của một trang web bằngcách gửi rất nhiều lưu lượng truy cập Kết quả là máy chủ hoạt động chậm vàkhông phản hồi với khách truy cập

 Port Scanning: Port Scanning là một kỹ thuật được sử dụng để khám phácác cổng online (có sẵn) và để tìm hiểu xem có điểm yếu nào trong mạng mà

dữ liệu có thể được nhận hoặc gửi hay không Port Scanning chủ yếu được sửdụng bởi các kỹ sư bảo mật để khám phá các lỗ hổng trong mạng Nó cũnggiúp tin tặc tiết lộ liệu một tổ chức có đang sử dụng các thiết bị bảo mật nhưtường lửa để bảo vệ hay không

 DNS Spoofing: Trong DNS Spoofing, thao túng tâm lý nạn nhân là mụctiêu chính của bất kỳ tin tặc nào Giả mạo máy chủ tên miền (DNS) là một cuộctấn công sử dụng các bản ghi DNS đã sửa đổi để chuyển hướng lưu lượng truycập online đến một trang web lừa đảo Với sự trợ giúp của cuộc tấn công này,các kỹ sư bảo mật cũng có thể tìm thấy các lỗ hổng trên Máy chủ, giúp họ ngănchặn việc chuyển hướng lưu lượng truy cập đến một trang web lừa đảo

 Sniffing: Sniffing là quá trình giám sát tất cả các gói đi qua mạng Quảntrị viên mạng thường sử dụng trình thám thính để theo dõi và khắc phục sự cốlưu lượng mạng Những kẻ tấn công sử dụng trình thám thính để theo dõi vàchụp các gói nhằm đánh cắp thông tin nhạy cảm bao gồm mật khẩu và tàikhoản người dùng

 Network mapping: Network mapping là nghiên cứu về kết nối vật lý củacác mạng, chẳng hạn như Internet Với sự trợ giúp của Network mapping, các

kỹ sư bảo mật và hacker dễ dàng phát hiện ra các thiết bị trên mạng và kết nốicủa chúng

 HTML code injection: HTML code injection là một cuộc tấn công trong

đó tin tặc phát hiện ra một lỗ hổng cho phép tin tặc dễ dàng đưa mã HTML vàocác trang web và những người dùng khác có thể nhìn thấy mã này

 JavaScript code injection: Cũng giống như HTML code injection, đây làmột lỗ hổng bảo mật cho phép tin tặc đưa mã JavaScript vào các trang web Mãcủa JavaScript có thể bị ẩn hoặc hiển thị đối với người dùng và nó đang đánhcắp thông tin từ người dùng

CHƯƠNG 3: KẾT QUẢ THỰC NGHIỆM

3.1 Cài đặt Xerosploit

Xerosploit là một công cụ tấn công dành cho MITM chỉ có thể chạy trên

hệ điều hành Linux để thực hiện theo các bước đơn giản

Trong lưới này, chúng ta có một danh sách các lệnh cho cuộc tấn công của mình và chúng ta sẽ tấn công MitM, vì vậy tôi sẽ chọn lệnh quét trong bước tiếp theo để quét toàn bộ mạng

scan

Lệnh này sẽ quét toàn bộ mạng và sẽ tìm thấy tất cả các thiết bị trên mạng của bạn.

Như bạn có thể thấy rằng nó đã quét tất cả các máy chủ đang hoạt động Có rất nhiều máy chủ trong mạng này; bạn phải chọn mục tiêu của mình từ kết quả đã cho Tôi sẽ chọn 192.168.1.105 cho tấn công MitM

pscan (Port Scanner)

Hãy bắt đầu với pscan, Port Scanner (quét cổng), nó sẽ hiển thị cho bạn tất cả các cổng đang mở trên máy tính mạng và truy xuất phiên bản của các chương trình đang chạy trên các cổng được phát hiện Nhập run để thực thi pscan và nó

sẽ hiển thị cho bạn tất cả các cổng đang mở trên mạng của nạn nhân

DOS (Denial of service)

Mô-đun này sẽ làm cho máy nạn nhân của bạn không phản hồi Sau cuộc tấn công này, máy của nạn nhân bị treo và không đưa ra bất kỳ phản hồi nào

dos

run

Nhấn ctrl + c để dừng

HTML Injection

HTML Injection là lỗ hổng bên trong bất kỳ trang web nào xảy ra khi đầu vào của người dùng không được làm sạch đúng cách hoặc đầu ra không được mã hóa và kẻ tấn công có thể đưa mã HTML hợp lệ vào một trang web dễ bị tấn công Có rất nhiều kỹ thuật có thể sử dụng phần tử và thuộc tính để gửi nội dung HTML

Vì vậy, ở đây chúng ta sẽ thay thế trang html của nạn nhân bằng trang của chúng ta Chọn bất kỳ trang nào bạn chọn vì bạn sẽ nhận thấy rằng tôi đã viết

“Bạn đã bị tấn công” trong trang index.html của tôi và tôi sẽ thay thế bằng trang html của nạn nhân Bất cứ trang nào mà nạn nhân sẽ cố gắng mở, anh ấy/cô ấy sẽ chỉ thấy trang được thay thế

Đầu tiên, tạo một trang như tôi đã tạo và lưu nó trên Desktop với tên INDEX.html

Bây giờ hãy chạy lệnh injecthtml để tải mô-đun injecthtml Sau đó gõ lệnh

run để thực thi injecthtml và nhập đường dẫn nơi bạn đã lưu tệp

Khi nạn nhân nhập tên người dùng và mật khẩu, nó sẽ sniff và thu thập tất cả

Nó tải mô-đun giả mạo sẽ cung cấp thông tin DNS sai cho tất cả các máy chủ được duyệt mục tiêu Chuyển hướng tất cả lưu lượng truy cập http đến một IP được chỉ định

Bây giờ hãy gõ lệnh chạy để thực thi mô-đun và sau đó nó sẽ hỏi địa chỉ IP nơi bạn muốn chuyển hướng lưu lượng truy cập, ở đây chúng tôi đã cung cấp IP Kali Linux của mình

Bây giờ, ngay khi nạn nhân mở bất kỳ trang web nào, họ sẽ nhận được trang lưu trữ trong các thư mục web của chúng tôi mà chúng tôi muốn cho họ xem như trong hình bên dưới

Nhấn ctrl + c để dừng tấn công

Yplay

Giờ thì thử 1 cách tấn công thú vị hơn nào Nó sẽ chạy nhạc nền trên trình duyệt nạn nhân mà bạn chọn Vì vậy, trước tiên hãy thực hiện lệnh yplay, sau

đó là lệnh chạy và cung cấp id video mà bạn đã chọn

Mở trình duyệt của bạn và chọn video yêu thích trên YouTube mà bạn muốn phát ở chế độ nền trong trình duyệt của nạn nhân Nếu video có bất kỳ quảng cáo nào thì hãy bỏ qua và chọn id từ URL Quay lại xerosploit

yplay

run

Chèn ID video youtube mà bạn đã sao chép ở trên từ url vào bước tiếp theo

febVHEarpeQ

Bây giờ không cần biết nạn nhân đang làm gì trên máy tính xách tay Nếu đối tượng cố gắng mở bất kỳ trang web nào, trên nền của họ sẽ nghe thấy bài hát

mà chúng tôi muốn nạn nhân nghe

Nhấn ctrl+c để dừng cuộc tấn công

Replay

Bây giờ chúng tôi sẽ thay thế tất cả các hình ảnh của trang web nạn nhân bằng hình ảnh của chúng tôi Đối với điều này trước tiên, hãy thực hiện lệnh replace,sau đó là lệnh run Đừng quên cung cấp đường dẫn của tệp png mà bạn đã tạo như một bất ngờ cho nạn nhân

replace

run

/root/Desktop/1.png

Chúng tôi sẽ sử dụng mô-đun driftnet để chụp tất cả các hình ảnh mà nạn nhân đang lướt web bằng các lệnh sau và nó sẽ lưu tất cả các hình ảnh đã chụp trong opt/xerosploit/xedriftnet

drifnet

run

Một khi cuộc tấn công được phát động; chúng ta có thể xem tất cả những hình ảnh mà anh ấy đang xem trên máy tính của anh ấy trên màn hình của chúng tôi.Chúng tôi có thể làm được nhiều hơn với công cụ này chỉ bằng cách sử dụng move