Khi tốc độ ứng dụng công nghệ thông tin và phổ cập internet được đẩy nhanh, đời sống thực ngày càng gần và phụ thuộc vào đời sống ảo trên mạng thì vấn đề an ninh mạng càng cần được coi trọng và đặt ở tầm an ninh quốc gia.Vấn đề an ninh mạng đang trở nên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề kinh tế chính trị và an ninh quốc gia. Đảm bảo an ninh mạng là vấn đề sống còn của các quốc gia trên thế giới. Tình hình an ninh mạng trong nước cũng như trên thế giới trong năm 2011 và những năm liên tiếp được dự báo là sẽ tiếp tục diễn biến phức tạp với hàng loạt các trang web bị tấn công, chiếm đoạt tên miền, các thông tin, dữ liệu cá nhân bị đánh cắp, các biến thể vi rút mới xuất hiện…Vì vậy, việc nắm bắt các lợi thế của công nghệ thông tin, đồng thời hạn chế tối đa các nguy cơ và rủi ro mất an toàn thông tin chính là chìa khóa để đưa công nghệ thông tin thực sự trở thành hạ tầng, động lực cho sự phát triển kinh tế xã hội bền vững.Chính những yếu tố trên nên nhóm chúng em đã làm đề tài Tìm hiểu về An Ninh Mạng và Tấn Công Hệ Thống.Nhóm chúng em xin chân thành cảm ơn
Trang 1LỜI NÓI ĐẦU
Khi tốc độ ứng dụng công nghệ thông tin và phổ cập internet được đẩy nhanh, đời sống thực ngày càng gần và phụ thuộc vào đời sống ảo trên mạng thì vấn đề an ninh mạng càng cần được coi trọng và đặt ở tầm an ninh quốc gia
Vấn đề an ninh mạng đang trở nên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề kinh tế chính trị và an ninh quốc gia Đảm bảo an ninh mạng là vấn đề sống còn của các quốc gia trên thế giới Tình hình an ninh mạng trong nước cũng như trên thế giới trong năm 2011 và những năm liên tiếp được dự báo là sẽ tiếp tục diễn biến phức tạp với hàng loạt các trang web bị tấn công, chiếm đoạt tên miền, các thông tin,
dữ liệu cá nhân bị đánh cắp, các biến thể vi rút mới xuất hiện…Vì vậy, việc nắm bắt các lợi thế của công nghệ thông tin, đồng thời hạn chế tối đa các nguy cơ và rủi ro mất
an toàn thông tin chính là chìa khóa để đưa công nghệ thông tin thực sự trở thành hạ tầng, động lực cho sự phát triển kinh tế xã hội bền vững
Chính những yếu tố trên nên nhóm chúng em đã làm đề tài Tìm hiểu về An Ninh
Mạng và Tấn Công Hệ Thống.
Nhóm chúng em xin chân thành cảm ơn !
Trang 2MỤC LỤC
MỤC LỤC HÌNH ẢNH ii
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1
1.1 Tình hình an ninh mạng trên Thế Giới 1
1.2 Tình hình an ninh mạng tại Việt Nam 1
1.3 Quá trình tấn công hệ thống 3
1.4 Bẻ khóa mật khẩu 4
1.5 Tăng quyền hạn (Escalating Privileges) 6
1.6 Thực thi ứng dụng (Executing Applications) 6
1.7 Ẩn tập tin (Hiding Files) 6
1.8 Che dấu vết tích 7
CHƯƠNG 3: TRIỂN KHAI DEMO TẤN CÔNG 8
1.9 Mô hình tổng quan 8
1.10 Kết luận 14
MỤC LỤC HÌNH ẢNH Hình 3.1: Mô hình tổng quan 8
Hinh 3.2 : Giao diện General của Perfect Keylogger 1.68 8
Hình 3.3 : Giao diện Logging của Perfect Keylogger 1.68 9
Hình 3.4 Screenshots của chương trình 9
Hình 3.5 : Scheduler trong phần Email của chương trình 10
Hình 3.6 Delivery trong phần email của chương trình 10
Hình 3.7 FTP Server của chương trình 11
Hình 3.8 : Alerts của chương trình 11
Hình 3.9: Target của chương trình 12
Hình 3.10 Notification của chương trình 12
Hình 3.11: Chọn Remote installation để ẩn keylogg vào các chương trình khác 13
Hình 3.12: Chọn file để chèn keylog vào 13
Hinh 3.13 : Finish để hoàn tất chương trình 14
Trang 3CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 Tình hình an ninh mạng trên Thế Giới
Tình hình an ninh thông tin trên thế giới trong vòng một năm vừa qua nổi lên với rất nhiều các cuộc tấn công mạng máy tính Các cuộc tấn công tin học này nhằm vào mọi cơ quan tổ chức, từ các cơ quan chính phủ, các công ty lớn tới các tổ chức quốc tế
Ngày 8/6/2011 Trưởng phòng thông tin Quỹ tiền tệ quốc tế - IMF Jonathan Palmer đã thông báo phát hiện có việc chuyển tệp tin khác thường từ máy tính của cơ quan này ra bên ngoài Và qua điều tra đã phát hiện một PC “đã bị xâm nhập sau đó được sử dụng để truy cập vào một số hệ thống của IMF”
Mức độ manh động của giới tin tặc (hacker) ngày càng tăng, sẵn sàng tấn công vào hệ thống của các cơ quan quan trọng để đáp trả việc chính quyền truy quét các loại tội phạm mạng Tháng 6/2011, nhóm hacker LulzSec đã tấn công hệ thống của công
ty InfraGard - một đối tác công - tư của cơ quan FBI lấy đi 180 mật khẩu của các thành viên trong công ty này để trả đũa việc Lầu năm góc xem việc tấn công trên mạng
là các hoạt động chiến tranh
Chủ tịch Ủy ban tình báo Hạ viện Mỹ cho rằng, các vụ tin tặc xâp nhập thu thập thông tin “tài sản trí tuệ” của Hoa Kỳ và các nước Tây Phương, đang ở mức độ báo động và gây nguy hại đến an ninh quốc gia.
1.2 Tình hình an ninh mạng tại Việt Nam
Các hệ thống thông tin của Việt Nam trong năm 2011 cũng bị một số cuộc tấn công từ hacker Điển hình như tháng 6/2011, hơn 275 website của Việt Nam đã bị tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của các cơ quan nhà nước Các hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng bảo mật để lấy dữ liệu hoặc thâm nhập hệ thống, thay đổi nội dung website,… Tình hình đó đã cho thấy các website của Việt Nam còn nhiều sơ hở về bảo mật và công tác đảm bảo an ninh cho các hệ thống thông tin của VN còn rất nhiều việc phải làm
Bên cạnh đó tình trạng tội phạm công nghệ cao vẫn còn tồn tại nhức nhối Với các hình thức như lừa đảo trực tuyến để lấy tài khoản người dùng, lừa khách hàng nạp tiền vào điện thoại của hacker, lừa bán hàng qua mạng để nạn nhân chuyển khoản lấy tiền rồi không chuyển hàng; hoặc các loại tuyên truyền bịp bợm, khiêu dâm gây ảnh hưởng tâm lý của cộng đồng mạng
Như vậy mục tiêu của các tin tặc không chỉ là các doanh nghiệp nhỏ, có trình độ bảo mật yếu mà còn có cả các công ty CNTT lớn (Sony, Mitsubishi), các cơ quan quan
Trang 4có quy mô với các thủ đoạn iinh vi, tổ chức thu thập dữ liệu quan trọng, chiếm quyền điều khiển, thay đổi nội dung các trang thông tin điện tử
Các cuộc tấn công mạng trong năm 2011 cho thấy tội phạm mạng đang tiếp tục nâng cao khả năng triển khai tấn công, bao gồm cả việc “sản phẩm hóa” và bổ sung thêm nhiều tính năng vào các mã độc nhằm tấn công vào những đối tượng cụ thể
Các việc làm này thực chất đã "đụng" đến vấn đề rất nhạy cảm của 1 quốc gia là" chủ quyền số" Bên cạnh đó, với sự phát triển của mạng 3G, dẫn đến nguy cơ mất
an toàn thông tin (ATTT) tăng gấp đôi
Vấn đề an ninh mang đang trở lên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề chính trị, kinh tế và an ninh quốc gia Đảm bảo an ninh mạng đang là vấn
đề sống còn của các quốc gia trên thế giới.
Trang 5CHƯƠNG 2: GIỚI THIỆU CÁC KĨ THUẬT TẤN CÔNG
HỆ THỐNG 1.3 Quá trình tấn công hệ thống
Quá trình tấn công có thể được khái quát qua 3 giai đoạn sau :
Giai đoạn 1 : Thu thập thông tin
Giai đoạn 2 : Phân tích và hành động
Giai đoạn 3 : Dừng và xoá dấu vết
1.3.1 Giai đoạn thu thập thông tin
1.3.1.1 Footprinting
Đây là bước mà kẻ tấn công nắm được càng nhiều thông tin càng tốt
về đối tượng như Domain Name, Địa chỉ IP, giao thức mạng sử dụng (IP , IPX , DecNet )… Các thông tin cá nhân về người quản trị: Số điện thoại, địa chỉ, chức vụ, các chi nhánh của công ty… Đây là một bước quan trọng cho hacker nhiều thông tin, đôi khi với những thông tin này hacker đã có thể làm chủ hệ thống
1.3.1.2 Scanning
Khi đã có những thông tin cần thiết, thì tiếp đến là đánh giá và định danh những dịch vụ mà mục tiêu có Việc này bao gồm:
- Quét cổng, xác định hệ điều hành
- Tìm hiểu kĩ hơn về hệ thống đối tượng
- Xác định hệ thống có đang chạy ko
- Tìm hiểu các dịch vụ đang chạy hay đang lắng nghe
- Tìm hiểu các lỗ hổng
- Kiểm tra các cổng
- Xác địng các dịch vụ sử dụng giao thức TCP và UDP
- Tìm hiểu về hệ điều hành của hệ thống
1.3.1.3 Enumeration
Bước thứ ba là tìm kiếm những tài nguyên được bảo vệ kém hoặc tài khoản người dùng mà có thể sử dụng để xâm nhập Nó bao gồm các mật khẩu mặc định, các script và dich vụ mặc định Rất nhiều người quản trị mạng không biết đến hoặc không sửa đổi lại các giá trị này
Đến bước này, các hacker bắt đầu kiểm soát server nội bộ, xác định các tài khoản trên server, mức độ bảo vệ, tài nguyên chia sẻ…
Trang 61.3.2 Giai đoạn phân tích và hành động
1.3.2.1 Gainning Access (Đột nhập hệ thống)
Với các thông tin thu thập được hacker có thể sử dụng một kĩ thuật nào đó để biết được mật khẩu của tài khoản trên hệ thống
1.3.2.2 Privilege Escalation (Nâng quyền hệ thống)
Đây là một giai đoạn thực sự khó vì việc nâng quyền đòi hỏi sự can thiệp không chính tắc vào hệ điều hành hoặc vào hệ thống phần mềm
Ví dụ trong trường hợp hacker xâm nhập đựợc vào mạng với tài khoản guest, thì họ sẽ tìm cách kiểm soát toàn bộ hệ thống Hacker sẽ tìm cách crack password của admin, hoặc sử dụng lỗ hổng để tăng đặc quyền trên hệ thống
1.3.2.3 Pilfering (Khai thác hệ thống)
Thêm một lần nữa các máy tìm kiếm lại đựơc sử dụng để tìm các phương pháp truy cập vào mạng Những tập tin lưu trữ mật khẩu hay các cơ chế không an toàn khác có thể giúp cho hacker khai thác hệ thống, định vị server và điều khiển server
1.3.3 Dừng và xóa dấu vết
1.3.3.1 Backdoors
Hacker để lại "Back Doors", tức là một cơ chế cho phép hacker truy cập trở lại bằng con đường bí mật không phải tốn nhiều công sức, bằng việc cài đặt Trojan hay tạo user mới (đối với tổ chức có nhiều user)
1.3.3.2 Covering Tracks (Xoá dấu vết)
Vì hệ thống luôn ghi nhận những hành động những gì đã xảy ra Sau khi đã có những thông tin cần thiết, hacker tìm cách xoá dấu vết, xoá các file log của hệ điều hành làm cho người quản lý không nhận ra hệ thống đã bị xâm nhập hoặc có biêt cũng không tìm ra kẻ xâm nhập là ai
1.4 Bẻ khóa mật khẩu
1.4.1 Các loại mật khẩu
Chỉ là chữ cái: POTHMYDE
Chỉ là số: 23698217
Chỉ là những ký tự đặc biệt: &*#@!(%)
Chữ cái và số: meetl 23
Chỉ là số và ký tự đặc biệt: 123@$45
Chữ cái ,số, và ký tự đặc biệt: ap1@52
Chữ cái và các ký tự đặc biệt: bob&ba
Để chống lại các cuộc tấn công, mật khẩu phải đủ mạnh và áp dụng các quy tắc sau:
Không chứa tên tài khoản người dùng
Trang 7Ngắn nhất phải 8 ký tự
Phải chứa các ký tự từ ít nhất ba trong số các loại sau
Có chứa các ký tự đặc biệt/
Chứa chữ số
Chữ cái viết thường
Chữ cái viết hoa
1.4.2 Các loại tấn công mật khẩu
1.4.2.1 Tấn công thụ động trực tuyến (Passive Online Attacks)
Một cuộc tấn công thụ động trực tuyến là đánh hơi (sniffing) để tìm các dấu vết, các mật khẩu trên một mạng Mật khẩu bị bắt (capture) trong quá trình xác thực và sau
đó có thể được so sánh với một từ điển (dictionary) hoặc là danh sách mật khẩu (word list) Tài khoản người dùng có mật khẩu thường được băm (hashed) hoặc mã hóa (encrypted) trước khi gửi lên mạng để ngăn chặn truy cập trái phép và sử dụng Nếu mật khẩu được bảo vệ bằng cách trên, một số công cụ đặc biệt giúp hacker có thể phá
vỡ các thuật toán mã hóa mật khẩu
1.4.2.2 Tấn công chủ động trực tuyến (Actice Online Attacks)
Cách dễ nhất để đạt được cấp độ truy cập của một quản trị viên hệ thống là đoán mật khẩu Mật khẩu đoán là để tấn công Tấn công chủ động trực tuyến dựa trên các yếu tố con người tham gia vào việc tạo ra mật khẩu và cách tấn công này chỉ hữu dụng với những mật khẩu yếu
1.4.2.3 Tấn công không trực tuyến
Cuộc tấn công không trực tuyến được thực hiện tại một máy khác Cuộc tấn công không trực tuyến yêu cầu phần cứng để truy cập vật lý vào máy tính và sao chép các tập tin mật khẩu từ hệ thống lên phương tiện di động Sau đó kẻ tấn công có tập tin mật khẩu đó và tiếp tục khai thác lỗ hổng bảo mật
Các loại tấn công không trực tuyến:
Hybrid attack Thay thế một vài ký tự
của mật khẩu
Adm1n1strator
Brute-force-attack Thay đổi toàn bộ ký tự
của mật khẩu
Ms!tr245@F5a
1.4.2.4 Tấn công không công nghệ
Là cuộc tấn công mà không sử dụng bất kỳ kiến thức kỹ thuật nào Nó lợi dụng qua sự giao tiếp, kẻ tấn công có thể có được thông tin của nạn nhân và từ đó có thể tấn
Trang 8công mật khẩu Loại tấn công có thể bao gồm các kỹ thuật như: Social Engineering, Shoulder Surfing, Dumpster Diving
1.5 Tăng quyền hạn (Escalating Privileges)
Một kẻ tấn công có thể được truy cập vào mạng bằng cách sử dụng một tài khoản người dùng bình thường, và các bước tiếp theo sẽ là đạt được quyền quản trị
Cái này được thực hiện bằng cách nắm lấy quyền truy cập bằng cách sử dụng một tài khoản người dùng không phải là quản trị viên Thường bằng cách thu thập các tên người dùng và mật khẩu thông qua một bước trung gian để gia tăng các đặc quyền trên tài khoản với mức độ quản trị viên
Một khi kẻ tấn công đã có một tài khoản người dùng hợp lệ và mật khẩu, các bước tiếp theo là để thực thi các ứng dụng nói chung kẻ tấn công cần phải có một tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó là lý do tại sao tăng đặc quyền là rất quan trọng
1.6 Thực thi ứng dụng (Executing Applications)
Một khi hacker đã có thể truy cập tài khoản với quyền quản trị, điều tiếp theo cần làm là thực thi các ứng dụng trên hệ thống đích Mục đích của việc thực thi ứng dụng có thể cài đặt một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều
gì hacker muốn làm trên hệ thống
1.6.1 Keylogger
Nếu tất cả những nỗ lực để thu thập mật khẩu không thành công, thì keylogger
là công cụ lựa chọn cho các hacker Được thực hiện như là phần mềm được cài đặt trên máy tính hoặc là phần cứng gắn vào máy tính Keylogger là các phần mềm ẩn, ngồi giữa phần cứng (bàn phím) và hệ điều hành, để họ có thể ghi lại mọi phím tắt Keylogger phần mềm có thể phá hoại hệ thống như Trojans hoặc viruses
Keylogger là phần mềm gián điệp có dung lượng nhỏ, giúp kết nối các bàn phím máy tính và lưu tất cả các thao tác phím vào một file Hacker có thể cài thêm tính năng là tự động gửi nội dung file đó đến máy chủ của hacker
1.6.2 Spyware
Phần mềm gián điệp (Spyware) là một chương trình ghi lại sự tương tác của người sử dụng máy tính và internet mà người sử dụng không thể can thiệp Spyware có thể gây mất ổn định ở hệ thống, lấy thông tin của người dùng và gửi đến kẻ tấn công, giám sát người dùng trực tuyến, giảm mức độ bảo vệ của máy tính, …
1.7 Ẩn tập tin (Hiding Files)
1.7.1 Rootkits
Rootkit là một loại chương trình thường được sử dụng để che dấu các tiện ích
trên hệ thống bị xâm nhập Rootkit bao gồm cái gọi là back doors, nó giúp cho kẻ tấn
Trang 9công đó truy cập vào hệ thống sẽ dễ dàng hơn trong lần sau Ví dụ, các rootkit có thể
ẩn một ứng dụng, ứng dụng này có thể sinh ra một lệnh kết nối vào một cổng mạng cụ
thể trên hệ thống Back door cho phép các quá trình bắt đầu bởi một người không có
đặc quyên, dùng để thực hiện chức năng thường dành cho các quản trị viên
1.7.2 Luồng NTFS (NTFS Streaming)
Luồng NTFS có một tính năng gọi là ADS cho phép dữ liệu được lưu trữ trong
các tập tin liên kết ẩn một cách bình thường, có thể nhìn thấy được tập tin Không giới hạn về kích thước, hơn nữa một luồng có thể liên kết đến một file bình thường
1.7.3 Steganography
Steganography là quá trình giấu dữ liệu trong các loại dữ liệu khác như hình ảnh hay tập tin văn bản
Các phương pháp phổ biến nhất của dữ liệu ẩn trong các tập tin là sử dụng hình ảnh đồ họa như là nơi để cất giấu Kẻ tấn công có thể nhúng các thông tin trong một tập tin hình ảnh bằng cách sử dụng steganography
1.8 Che dấu vết tích
Một khi kẻ xâm nhập thành công, đã đạt được quyền truy cập quản trị viên trên một hệ thống, thì kẻ tấn công cố gắng che dấu vết tích ngăn chặn bị phát hiện Một hacker cũng có thể cố gắng để loại bỏ các bằng chứng hoặc các hoạt động của họ trên
hệ thống, để ngăn ngừa truy tìm danh tính hoặc vị trí của cơ quan hacker Xóa bất kỳ thông báo lỗi hoặc các sự kiện an ninh đã được lưu lại, để tránh phát hiện
Trang 10CHƯƠNG 3: TRIỂN KHAI DEMO TẤN CÔNG
1.9 Mô hình tổng quan
Hình 3.1: Mô hình tổng quan
1.9.1 Triển khai demo tấn công sử dụng Keylogg
Để triển khai tấn công cài Keylogg vào máy Victim thì đầu tiên chúng ta cần phải tạo 1 keylogg và ẩn vào trong một thư mục hay một hình ảnh nào đó Và phần mềm tạo keylogg ở đây là phần mềm Perfect Keylogger 1.68
1.9.1.1 Cài đặt và tạo file keylogger
Hinh 3.2 : Giao diện General của Perfect Keylogger 1.68 Đây là giao diện phần General của chương trình Trong đó System để chúng ta chọn có chạy cùng với Windows hay không? Có xuất hiện chương trình ở Startup hay không Hotkeys để ẩn và hiện chương trình Invisibility để tạo cái tính năng cho chương trình
Sau khi cài đặt xong phần General thì chúng ta qua phần Logging Trong Logging thì chúng ta có các phần tạo mật khẩu để sử dụng chương trình Ghi lại các phần nào của máy victim