QUI TRÌNH TẤN CƠNG 7/26/16 Quy trình điển hình hackers Information gathering Reconnaisance Scanning Enumeration Penetration Escalation Using Root access Control Leaving backdoor Covering tracks 7/26/16 Reconnaisance (thăm dị) Information gathering (thu thập thơng tin) Tìm kiếm thông tin tổng quát liên quan đến hệ thống cần xâm nhập VD: Xem xét Server đặt đâu ?(công ty hay thuê ) , dùng dịch vụ gì… Cách thu thập: Active: Tìm kiếm thơng tin cách tương tác trực tiếp Vd: gọi điện thoại giả vờ tư vấn để thăm dị Passive: Tìm kiếm thơng tin mà không cần tương tác trực tiếp Vd: search thơng tin mạng ( email gì, IT hệ thống v.v ) 7/26/16 Reconnaisance (thăm dị) Scanning (qt) Sau có thơng tin, ta dựa vào thơng tin để tìm kiếm thơng tin chi tiết VD: Scan để biết hệ thống chạy web nào, mail nào, liên kết hệ thống nào, port mở v.v 7/26/16 Penetration (thâm nhập) Enumeration (liệt kê) Enumeration bước trình tìm kiếm thơng tin tổ chức, xảy sau scanning trình tập hợp phân tích tên người dùng, tên máy, tài nguyên chia dịch vụ Nó chủ động truy vấn kết nối tới mục tiêu để có thơng tin hợp lý Enumeration định nghĩa q trình trích xuất thơng tin có phần scan thành hệ thống có trật tự Những thơng tin trích xuất bao gồm thứ có liên quan đến mục tiêu cần công, tên người dùng (user name), tên máy tính (host name), dịch vụ (service), tài nguyên chia (share) 7/26/16 Penetration (thâm nhập) Escalation (leo thang) Trong trường hợp hacker xâm nhập đựợc vào mạng với tài khoản đó, họ tìm cách kiểm sốt tồn hệ thống Hacker tìm cách crack password admin, sử dụng lỗ hổng để leo thang đặc quyền Kẻ xâm nhập truy cập vào files hay folder liệu mà tài khoản người sử dụng ban đầu không cho phép truy cập Khi hacker đạt mức độ quyền truy cập đủ cao, họ cài đặt phần mềm Backdoors Trojan horses, cho phép truy cập sâu thăm dị Mục đích chung hacker chiếm quyền truy cập mức độ quản trị Khi xem có tồn quyền điều khiển hệ thống mạng Có thể sử dụng Sniffer để bắt gói tin, từ phân tích tìm mật 7/26/16 Control (điều khiển) Using Root access Root có nghĩa có “tồn quyền” truy cập sâu vào thiết bị Nói cách dễ hiểu “Root” có nghĩa điều khiển hồn tồn chủ động có điện thoại mà nhà cung cấp ẩn Khi “Root”, tức làm chủ kiểm sốt hồn tồn máy điện thoại 7/26/16 Control (điều khiển) Leaving backdoor Backdoor gì? Đây khái niệm để loại Trojan, sau cài đặt vào máy nạn nhân tự mở cổng dịch vụ cho phép kẻ cơng (hacker) kết nối từ xa tới máy nạn nhân, từ nhận thực lệnh mà kẻ công đưa Để chuẩn bị cho lần xâm nhập dễ dàng Hacker để lại Backdoors, tức chế cho phép hacker truy nhập trở lại đường bí mật tốn nhiều công sức khai phá, việc cài đặt Trojan hay tạo user Ở loại Trojan, keylog, creat rogue user accounts… Thông thường, việc xác định phần mềm sử dụng có an tồn hay khơng vốn khó khăn, để tìm phát Trojan “cửa hậu” lại vấn đề nan giải gấp bội 7/26/16 Con trol (điều khiển) Covering tracks Covering Tracks (Xoá dấu vết): Sau có thơng tin cần thiết, hacker tìm cách xố dấu vết, xố file LOG hệ điều hành làm cho người quản lý không nhận hệ thống bị xâm nhập có biết khơng tìm kẻ xâm nhập Sử dụng công cụ: Clear logs, Zap, Event log GUI, rootkits 7/26/16 Quy trình điển hình hackers Có thể bước nêu hacker khơng cần phải qua theo thứ tự hay phải thực hết, việc nắm rõ thông tin máy mục tiêu điều kiện tiên để dẫn đến thành công việc công Tùy vào thông tin thu thập mà hacker định công theo kỹ thuật nào, xây dựng kịch công phù hợp Dù công với mục đích hậu ảnh hưởng đáng kể, thiệt hại to lớn uy tín, kinh tế, gây thiệt hại cho người dùng mạng, bị đánh cắp thơng tin, bị hacker lợi dụng để công tổ chức khác, tận dụng phát tán lừa đảo… Nếu không thành công việc xâm nhập kỹ thuật phổ biến, DoS (Denial of Service) cách thức mà hacker thường lựa chọn để làm cho hệ thống hoạt động Do đó, việc bảo mật cho hệ thống cần địi hỏi kết hợp khơng riêng nhà quản trị hệ thống mà nhà thiết kế ứng dụng hợp tác khách hàng sử dụng ứng dụng 10 7/26/16 Quy trình điển hình hackers 11 7/26/16 Quy trình điển hình hackers Giai đoạn 1: Thu thập thông tin (Trước hacker bắt đầu làm công việc, yếu tố cần thiết phải làm đầy đủ: FootPrinting, Scanning, Enumeration) - FootPrinting (In dấu ấn - thu thập thông tin): Là bước mà kẻ cơng thâu tóm nhiều thơng tin tốt đối tượng, người dùng, doanh nghiệp, chi nhánh công ty, máy chủ… bao gồm chi tiết: Domain Name, Địa IP, Networking Prototcols… Đây bước quan trọng: Cho hacker nhiều thông tin, với thông tin hacker làm chủ hệ thống Sử dụng cơng cụ Nslookup, SmartWhois… - Sanning (Quét thăm dò mạng): Phần lớn thơng tin quan trọng từ server có từ bước Xác định hệ điều hành, xác định hệ thống có chạy khơng, tìm hiểu dịch vụ chạy hay lắng nghe, tìm hiểu lỗ hổng, kiểm tra cổng, xác định dịch vụ sử dụng giao thức TCP UDP - Enumeration (Điểm danh mạng - liệt kê tìm lỗ hổng): Đến đây, hacker bắt đầu kiểm soát server sơ Bước tìm kiếm tài nguyên bảo vệ kém, tài khoản người dùng mà sử dụng để xâm nhập, bao gồm mật mặc định, script dịch vụ mặc định Sử dụng cơng cụ: DumpSec, NbtScan, SuperScan… 12 7/26/16 Quy trình điển hình hackers Giai đoạn 2: Phân tích hành động - Gaining Access (Đột nhập hệ thống): Hacker tìm cách truy cập vào mạng thơng tin có ba bước Phương pháp sử dụng cơng vào lỗi tràn đệm, lấy giải mã file password, hay brute force (kiểm tra tất trường hợp) password, đột nhập qua cổng mở… Sử dụng công cụ: Tcpdump, Remote Buffer Overflows, Brute-force password attacks… - Privilege Escalation (Nâng quyền hệ thống): Trong trường hợp hacker xâm nhập đựợc vào mạng với tài khoản đó, họ tìm cách kiểm sốt tồn hệ thống Hacker tìm cách crack password admin, sử dụng lỗ hổng để leo thang đặc quyền Kẻ xâm nhập truy cập vào files hay folder liệu mà tài khoản người sử dụng ban đầu không cho phép truy cập Khi hacker đạt mức độ quyền truy cập đủ cao, họ cài đặt phần mềm Backdoors Trojan horses, cho phép truy cập sâu thăm dị Mục đích chung hacker chiếm quyền truy cập mức độ quản trị Khi xem có tồn quyền điều khiển hệ thống mạng Có thể sử dụng Sniffer để bắt gói tin, từ phân tích tìm mật - Pilfering (Khai thác hệ thống): Thông tin lấy từ bước đủ để hacker định vị server điều khiển server Sử dụng công cụ: Configuration files, Registry, Telnet, Ftp… 13 7/26/16 Quy trình điển hình hackers Giai đoạn 3: Dừng xoá dấu vết - Creating Backdoors (Tạo cổng hậu): Để chuẩn bị cho lần xâm nhập dễ dàng Hacker để lại Backdoors, tức chế cho phép hacker truy nhập trở lại đường bí mật khơng phải tốn nhiều cơng sức khai phá, việc cài đặt Trojan hay tạo user Ở loại Trojan, keylog, creat rogue user accounts… - Covering Tracks (Xoá dấu vết): Sau có thơng tin cần thiết, hacker tìm cách xoá dấu vết, xoá file LOG hệ điều hành làm cho người quản lý không nhận hệ thống bị xâm nhập có biết khơng tìm kẻ xâm nhập Sử dụng cơng cụ: Clear logs, Zap, Event log GUI, rootkits Có thể bước nêu hacker không cần phải qua theo thứ tự hay phải thực hết, việc nắm rõ thông tin máy mục tiêu điều kiện tiên để dẫn đến thành công việc công Tùy vào thông tin thu thập mà hacker định công theo kỹ thuật nào, xây dựng kịch công phù hợp Dù công với mục đích hậu ảnh hưởng đáng kể, thiệt hại to lớn uy tín, kinh tế, gây thiệt hại cho người dùng mạng, bị đánh cắp thơng tin, bị hacker lợi dụng để công tổ chức khác, tận dụng phát tán lừa đảo… Nếu không thành công việc xâm nhập kỹ thuật phổ biến, DOS (Denial Of Service) cách thức mà hacker thường lựa chọn để làm cho hệ thống khơng thể hoạt động Do đó, việc bảo mật cho hệ thống cần đòi hỏi kết hợp không riêng nhà quản trị hệ thống mà nhà thiết kế ứng dụng hợp tác khách hàng sử dụng ứng dụng 14 7/26/16