Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang i LỜI NÓI ĐẦU Khi tốc độ ứng dụng công nghệ thông tin và phổ cập internet được đẩy nhanh, đời sống thực ngày càng gần và phụ thuộc vào đời sống ảo trên mạng thì vấn đề an ninh mạng càng cần được coi trọng và đặt ở tầm an ninh quốc gia. Vấn đề an ninh mạng đang trở nên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề kinh tế chính trị và an ninh quốc gia. Đảm bảo an ninh mạng là vấn đề sống còn của các quốc gia trên thế giới. Tình hình an ninh mạng trong nước cũng như trên thế giới trong năm 2011 và những năm liên tiếp được dự báo là sẽ tiếp tục diễn biến phức tạp với hàng loạt các trang web bị tấn công, chiếm đoạt tên miền, các thông tin, dữ liệu cá nhân bị đánh cắp, các biến thể vi rút mới xuất hiện…Vì vậy, việc nắm bắt các lợi thế của công nghệ thông tin, đồng thời hạn chế tối đa các nguy cơ và rủi ro mất an toàn thông tin chính là chìa khóa để đưa công nghệ thông tin thực sự trở thành hạ tầng, động lực cho sự phát triển kinh tế xã hội bền vững. Chính những yếu tố trên nên nhóm chúng em đã làm đề tài Tìm hiểu về An Ninh Mạng và Tấn Công Hệ Thống. Nhóm chúng em xin chân thành cảm ơn ! Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang ii MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC ii MỤC LỤC HÌNH ẢNH iii CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1 1.1 Tình hình an ninh mạng trên Thế Giới 1 1.2 Tình hình an ninh mạng tại Việt Nam 2 CHƯƠNG 2: GIỚI THIỆU CÁC KĨ THUẬT TẤN CÔNG HỆ THỐNG 4 2.1 Quá trình tấn công hệ thống 4 2.1.1 Giai đoạn thu thập thông tin 4 2.1.2 Giai đoạn phân tích và hành động 5 2.1.3 Dừng và xóa dấu vết 6 2.2 Bẻ khóa mật khẩu 6 2.2.1 Các loại mật khẩu 6 2.2.2 Các loại tấn công mật khẩu 7 2.3 Tăng quyền hạn (Escalating Privileges) 8 2.4 Thực thi ứng dụng (Executing Applications) 9 2.4.1 Keylogger 9 2.4.2 Spyware 9 2.5 Ẩn tập tin (Hiding Files) 9 2.5.1 Rootkits 9 2.5.2 Luồng NTFS (NTFS Streaming) 10 2.5.3 Steganography 10 2.6 Che dấu vết tích 10 CHƯƠNG 3: TRIỂN KHAI DEMO TẤN CÔNG 11 3.1 Mô hình tổng quan 11 3.1.1 Triển khai demo tấn công sử dụng Keylogg 11 3.2 Kết luận 21 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang iii MỤC LỤC HÌNH ẢNH Hình 3.1: Mô hình tổng quan 11 Hinh 3.2 : Giao diện General của Perfect Keylogger 1.68 11 Hình 3.3 : Giao diện Logging của Perfect Keylogger 1.68 12 Hình 3.4 Screenshots của chương trình 13 Hình 3.5 : Scheduler trong phần Email của chương trình 13 Hình 3.6 Delivery trong phần email của chương trình 14 Hình 3.7 FTP Server của chương trình 14 Hình 3.8 : Alerts của chương trình 15 Hình 3.9: Target của chương trình 15 Hình 3.10 Notification của chương trình 17 Hình 3.11: Chọn Remote installation để ẩn keylogg vào các chương trình khác 18 Hình 3.12: Chọn file để chèn keylog vào 18 Hinh 3.13 : Finish để hoàn tất chương trình 19 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 1 CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Tình hình an ninh mạng trên Thế Giới Tình hình an ninh thông tin trên thế giới trong vòng một năm vừa qua nổi lên với rất nhiều các cuộc tấn công mạng máy tính. Các cuộc tấn công tin học này nhằm vào mọi cơ quan tổ chức, từ các cơ quan chính phủ, các công ty lớn tới các tổ chức quốc tế. Ngày 8/6/2011 Trưởng phòng thông tin Quỹ tiền tệ quốc tế - IMF Jonathan Palmer đã thông báo phát hiện có việc chuyển tệp tin khác thường từ máy tính của cơ quan này ra bên ngoài. Và qua điều tra đã phát hiện một PC “đã bị xâm nhập sau đó được sử dụng để truy cập vào một số hệ thống của IMF”. Mức độ manh động của giới tin tặc (hacker) ngày càng tăng, sẵn sàng tấn công vào hệ thống của các cơ quan quan trọng để đáp trả việc chính quyền truy quét các loại tội phạm mạng. Tháng 6/2011, nhóm hacker LulzSec đã tấn công hệ thống của công ty InfraGard - một đối tác công - tư của cơ quan FBI lấy đi 180 mật khẩu của các thành viên trong công ty này để trả đũa việc Lầu năm góc xem việc tấn công trên mạng là các hoạt động chiến tranh. Chủ tịch Ủy ban tình báo Hạ viện Mỹ cho rằng, các vụ tin tặc xâp nhập thu thập thông tin “tài sản trí tuệ” của Hoa Kỳ và các nước Tây Phương, đang ở mức độ báo động và gây nguy hại đến an ninh quốc gia. Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 2 1.2 Tình hình an ninh mạng tại Việt Nam Các hệ thống thông tin của Việt Nam trong năm 2011 cũng bị một số cuộc tấn công từ hacker. Điển hình như tháng 6/2011, hơn 275 website của Việt Nam đã bị tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của các cơ quan nhà nước. Các hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng bảo mật để lấy dữ liệu hoặc thâm nhập hệ thống, thay đổi nội dung website,… Tình hình đó đã cho thấy các website của Việt Nam còn nhiều sơ hở về bảo mật và công tác đảm bảo an ninh cho các hệ thống thông tin của VN còn rất nhiều việc phải làm. Bên cạnh đó tình trạng tội phạm công nghệ cao vẫn còn tồn tại nhức nhối. Với các hình thức như lừa đảo trực tuyến để lấy tài khoản người dùng, lừa khách hàng nạp tiền vào điện thoại của hacker, lừa bán hàng qua mạng để nạn nhân chuyển khoản lấy tiền rồi không chuyển hàng; hoặc các loại tuyên truyền bịp bợm, khiêu dâm gây ảnh hưởng tâm lý của cộng đồng mạng. Như vậy mục tiêu của các tin tặc không chỉ là các doanh nghiệp nhỏ, có trình độ bảo mật yếu mà còn có cả các công ty CNTT lớn (Sony, Mitsubishi), các cơ quan quan trọng của chính phủ (FBI-Mỹ, IMF, Hạ viện Nhật,….). Xuất hiện nhiều cuộc tấn công có quy mô với các thủ đoạn iinh vi, tổ chức thu thập dữ liệu quan trọng, chiếm quyền điều khiển, thay đổi nội dung các trang thông tin điện tử . Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 3 Các cuộc tấn công mạng trong năm 2011 cho thấy tội phạm mạng đang tiếp tục nâng cao khả năng triển khai tấn công, bao gồm cả việc “sản phẩm hóa” và bổ sung thêm nhiều tính năng vào các mã độc nhằm tấn công vào những đối tượng cụ thể. Các việc làm này thực chất đã "đụng" đến vấn đề rất nhạy cảm của 1 quốc gia là" chủ quyền số". Bên cạnh đó, với sự phát triển của mạng 3G, dẫn đến nguy cơ mất an toàn thông tin (ATTT) tăng gấp đôi. Vấn đề an ninh mang đang trở lên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề chính trị, kinh tế và an ninh quốc gia. Đảm bảo an ninh mạng đang là vấn đề sống còn của các quốc gia trên thế giới. Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 4 CHƯƠNG 2: GIỚI THIỆU CÁC KĨ THUẬT TẤN CÔNG HỆ THỐNG 2.1 Quá trình tấn công hệ thống Quá trình tấn công có thể được khái quát qua 3 giai đoạn sau : Giai đoạn 1 : Thu thập thông tin Giai đoạn 2 : Phân tích và hành động Giai đoạn 3 : Dừng và xoá dấu vết 2.1.1 Giai đoạn thu thập thông tin 2.1.1.1 Footprinting Đây là bước mà kẻ tấn công nắm được càng nhiều thông tin càng tốt về đối tượng như Domain Name, Địa chỉ IP, giao thức mạng sử dụng (IP , IPX , DecNet )… Các thông tin cá nhân về người quản trị: Số điện thoại, địa chỉ, chức vụ, các chi nhánh của công ty… Đây là một bước quan trọng cho hacker nhiều thông tin, đôi khi với những thông tin này hacker đã có thể làm chủ hệ thống. 2.1.1.2 Scanning Khi đã có những thông tin cần thiết, thì tiếp đến là đánh giá và định danh những dịch vụ mà mục tiêu có. Việc này bao gồm: - Quét cổng, xác định hệ điều hành - Tìm hiểu kĩ hơn về hệ thống đối tượng - Xác định hệ thống có đang chạy ko - Tìm hiểu các dịch vụ đang chạy hay đang lắng nghe - Tìm hiểu các lỗ hổng - Kiểm tra các cổng - Xác địng các dịch vụ sử dụng giao thức TCP và UDP - Tìm hiểu về hệ điều hành của hệ thống Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 5 2.1.1.3 Enumeration Bước thứ ba là tìm kiếm những tài nguyên được bảo vệ kém hoặc tài khoản người dùng mà có thể sử dụng để xâm nhập. Nó bao gồm các mật khẩu mặc định, các script và dich vụ mặc định. Rất nhiều người quản trị mạng không biết đến hoặc không sửa đổi lại các giá trị này. Đến bước này, các hacker bắt đầu kiểm soát server nội bộ, xác định các tài khoản trên server, mức độ bảo vệ, tài nguyên chia sẻ… 2.1.2 Giai đoạn phân tích và hành động 2.1.2.1 Gainning Access (Đột nhập hệ thống) Với các thông tin thu thập được hacker có thể sử dụng một kĩ thuật nào đó để biết được mật khẩu của tài khoản trên hệ thống. 2.1.2.2 Privilege Escalation (Nâng quyền hệ thống) Đây là một giai đoạn thực sự khó vì việc nâng quyền đòi hỏi sự can thiệp không chính tắc vào hệ điều hành hoặc vào hệ thống phần mềm. Ví dụ trong trường hợp hacker xâm nhập đựợc vào mạng với tài khoản guest, thì họ sẽ tìm cách kiểm soát toàn bộ hệ thống. Hacker sẽ tìm cách crack password của admin, hoặc sử dụng lỗ hổng để tăng đặc quyền trên hệ thống. 2.1.2.3 Pilfering (Khai thác hệ thống) Thêm một lần nữa các máy tìm kiếm lại đựơc sử dụng để tìm các phương pháp truy cập vào mạng. Những tập tin lưu trữ mật khẩu hay các cơ chế không an toàn khác có thể giúp cho hacker khai thác hệ thống, định vị server và điều khiển server. Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 6 2.1.3 Dừng và xóa dấu vết 2.1.3.1 Backdoors Hacker để lại "Back Doors", tức là một cơ chế cho phép hacker truy cập trở lại bằng con đường bí mật không phải tốn nhiều công sức, bằng việc cài đặt Trojan hay tạo user mới (đối với tổ chức có nhiều user). 2.1.3.2 Covering Tracks (Xoá dấu vết) Vì hệ thống luôn ghi nhận những hành động những gì đã xảy ra. Sau khi đã có những thông tin cần thiết, hacker tìm cách xoá dấu vết, xoá các file log của hệ điều hành làm cho người quản lý không nhận ra hệ thống đã bị xâm nhập hoặc có biêt cũng không tìm ra kẻ xâm nhập là ai. 2.2 Bẻ khóa mật khẩu 2.2.1 Các loại mật khẩu Chỉ là chữ cái: POTHMYDE Chỉ là số: 23698217 Chỉ là những ký tự đặc biệt: &*#@!(%) Chữ cái và số: meetl 23 Chỉ là số và ký tự đặc biệt: 123@$45 Chữ cái ,số, và ký tự đặc biệt: ap1@52 Chữ cái và các ký tự đặc biệt: bob&ba Để chống lại các cuộc tấn công, mật khẩu phải đủ mạnh và áp dụng các quy tắc sau: Không chứa tên tài khoản người dùng Ngắn nhất phải 8 ký tự Phải chứa các ký tự từ ít nhất ba trong số các loại sau Có chứa các ký tự đặc biệt/ Chứa chữ số. Chữ cái viết thường Chữ cái viết hoa. Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 7 2.2.2 Các loại tấn công mật khẩu 2.2.2.1 Tấn công thụ động trực tuyến (Passive Online Attacks) Một cuộc tấn công thụ động trực tuyến là đánh hơi (sniffing) để tìm các dấu vết, các mật khẩu trên một mạng. Mật khẩu bị bắt (capture) trong quá trình xác thực và sau đó có thể được so sánh với một từ điển (dictionary) hoặc là danh sách mật khẩu (word list). Tài khoản người dùng có mật khẩu thường được băm (hashed) hoặc mã hóa (encrypted) trước khi gửi lên mạng để ngăn chặn truy cập trái phép và sử dụng. Nếu mật khẩu được bảo vệ bằng cách trên, một số công cụ đặc biệt giúp hacker có thể phá vỡ các thuật toán mã hóa mật khẩu. 2.2.2.2 Tấn công chủ động trực tuyến (Actice Online Attacks) Cách dễ nhất để đạt được cấp độ truy cập của một quản trị viên hệ thống là đoán mật khẩu. Mật khẩu đoán là để tấn công. Tấn công chủ động trực tuyến dựa trên các yếu tố con người tham gia vào việc tạo ra mật khẩu và cách tấn công này chỉ hữu dụng với những mật khẩu yếu. 2.2.2.3 Tấn công không trực tuyến Cuộc tấn công không trực tuyến được thực hiện tại một máy khác. Cuộc tấn công không trực tuyến yêu cầu phần cứng để truy cập vật lý vào máy tính và sao chép [...]... 2.2.2.4 Tấn công không công nghệ Là cuộc tấn công mà không sử dụng bất kỳ kiến thức kỹ thuật nào Nó lợi dụng qua sự giao tiếp, kẻ tấn công có thể có được thông tin của nạn nhân và từ đó có thể tấn công mật khẩu Loại tấn công có thể bao gồm các kỹ thuật như: Social Engineering, Shoulder Surfing, Dumpster Diving 2.3 Tăng quyền hạn (Escalating Privileges) Một kẻ tấn công có thể được truy cập vào mạng bằng cách...Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống các tập tin mật khẩu từ hệ thống lên phương tiện di động Sau đó kẻ tấn công có tập tin mật khẩu đó và tiếp tục khai thác lỗ hổng bảo mật Các loại tấn công không trực tuyến: Loại tấn công Đặc điểm Ví dụ Dictionary attack Sử dụng mật khẩu từ từ điển Administrator Hybrid attack Thay... thực thi các ứng dụng trên hệ thống đích Mục đích của việc thực thi ứng dụng có thể cài đặt một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì hacker muốn làm trên hệ thống 2.4.1 Keylogger Nếu tất cả những nỗ lực để thu thập mật khẩu không thành công, thì keylogger là công cụ lựa chọn cho các hacker... nơi để cất giấu Kẻ tấn công có thể nhúng các thông tin trong một tập tin hình ảnh bằng cách sử dụng steganography 2.6 Che dấu vết tích Một khi kẻ xâm nhập thành công, đã đạt được quyền truy cập quản trị viên trên một hệ thống, thì kẻ tấn công cố gắng che dấu vết tích ngăn chặn bị phát hiện Một hacker cũng có thể cố gắng để loại bỏ các bằng chứng hoặc các hoạt động của họ trên hệ thống, để ngăn ngừa... những kẻ tấn công Xoá bản ghi sự kiện và vô hiệu hoá phương pháp kiểm tra của những kẻ tấn công sử dụng để che dấu vết của chúng Nhận ra rằng các tập tin ẩn là phương tiện được sử dụng để lấy ra những thông tin nhạy cảm Steganography, NTFS File, và các lệnh attrib là những cách tin tặc có thể ẩn và ăn cắp các tập tin Nhóm 9 – Lớp: CCMM03A Trang 21 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống. .. vị trí của cơ quan hacker Xóa bất kỳ thông báo lỗi hoặc các sự kiện an ninh đã được lưu lại, để tránh phát hiện Nhóm 9 – Lớp: CCMM03A Trang 10 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống CHƯƠNG 3: TRIỂN KHAI DEMO TẤN CÔNG 3.1 Mô hình tổng quan Hình 3.1: Mô hình tổng quan 3.1.1 Triển khai demo tấn công sử dụng Keylogg Để triển khai tấn công cài Keylogg vào máy Victim thì đầu tiên chúng ta cần... CCMM03A Trang 15 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 16 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Và Notification của chương trình để chúng ta chọn có thông báo với victim là chúng ta đang keyloger họ hay không? Và nội dung thông báo Hình 3.10 Notification của chương trình Và sau khi đã thiết lập hết các chức năng cần thiết chúng ta sẽ ấn OK Khi... thể gây mất ổn định ở hệ thống, lấy thông tin của người dùng và gửi đến kẻ tấn công, giám sát người dùng trực tuyến, giảm mức độ bảo vệ của máy tính, … 2.5 Ẩn tập tin (Hiding Files) 2.5.1 Rootkits Rootkit là một loại chương trình thường được sử dụng để che dấu các tiện ích trên hệ thống bị xâm nhập Rootkit bao gồm cái gọi là back doors, nó giúp cho kẻ tấn công đó truy cập vào hệ thống sẽ dễ dàng hơn... keylog vào Nhóm 9 – Lớp: CCMM03A Trang 18 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Sau khi chúng ta next và chọn icon sẽ sử dụng cho chương trình thì chúng ta finish để hoàn tất chương trình Hinh 3.13 : Finish để hoàn tất chương trình Nhóm 9 – Lớp: CCMM03A Trang 19 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống Sau khi tạo ra chương trình thì mặc định nó sẽ có đuôi exe Sau đó chúng... dễ dàng hơn trong lần sau Ví dụ, các rootkit có thể ẩn một ứng dụng, ứng dụng này có thể sinh ra một lệnh kết nối vào một cổng mạng cụ thể trên hệ thống Back door cho phép các quá trình bắt đầu bởi một người không có đặc quyên, dùng để thực hiện chức năng thường dành cho các quản trị viên Nhóm 9 – Lớp: CCMM03A Trang 9 Tìm hiểu về an ninh mạng và kỹ thuật tấn công hệ thống 2.5.2 Luồng NTFS (NTFS Streaming) . hệ thống Nhóm 9 – Lớp: CCMM03A Trang 4 CHƯƠNG 2: GIỚI THIỆU CÁC KĨ THUẬT TẤN CÔNG HỆ THỐNG 2.1 Quá trình tấn công hệ thống Quá trình tấn công có thể được khái quát qua 3 giai đoạn sau : Giai. Tình hình an ninh mạng trên Thế Giới 1 1.2 Tình hình an ninh mạng tại Việt Nam 2 CHƯƠNG 2: GIỚI THIỆU CÁC KĨ THUẬT TẤN CÔNG HỆ THỐNG 4 2.1 Quá trình tấn công hệ thống 4 2.1.1 Giai đoạn thu thập. và kỹ thuật tấn công hệ thống Nhóm 9 – Lớp: CCMM03A Trang 2 1.2 Tình hình an ninh mạng tại Việt Nam Các hệ thống thông tin của Việt Nam trong năm 2011 cũng bị một số cuộc tấn công