Chương Thực nghiệm 1.1 Mơ hình cài đặt thực nghiệm 1.1.1 Mơ hình 1.1.2 Cài đặt mơ hình 1.1.2.1 Cài đặt OSSEC Server Tạm thời tắt tường lửa SELinux: service iptables stop vim /etc/selinux/config mkdir ~/ossec_src # sửa dòng: SELINUX=disabled Tải OSSEC địa chỉ: http://www.ossec.net/files/ossec-hids2.8.1.tar.gz sau đưa vào thư mục ~/ossec_src Cài đặt khởi động dịch vụ cần thiết: yum install -y httpd httpd-devel php php-cgi php-devel mysql mysqlserver mysql-devel service httpd start service mysqld start Giải nén, cài đặt khởi động OSSEC: cd ~/ossec_src tar xzvf ossec-hids-2.8.1.tar.gz cd ossec-hids-2.8.1/src/ make setdb; cd ./install.sh /var/ossec/bin/ossec-control start Tạo sở liệu cho OSSEC: mysql -u root -p mysql> create database ossec; mysql> grant all privileges on ossec.* to tuananh@20.0.0.254 identified by "123456"; mysql> flush privileges; mysql> quit Sửa file cấu hình, thêm vào từ dòng đoạn code sau: 20.0.0.254 tuananh 123456 ossec mysql Kích hoạt database: /var/ossec/bin/ossec-control enable database; /var/ossec/bin/ossec-control restart cd ~/ossec_src/ossec-hids-2.8.1/src/os_dbd/ mysql -u tuananh -p -h 20.0.0.254 ossec < mysql.schema /var/ossec/bin/ossec-control restart Kiểm tra nội dung database vừa tạo: mysql -u root -p mysql> show tables from ossec; mysql> use ossec; mysql> select * from server; Kết quả: Cài đặt web interface cho OSSEC: cd ~/ossec_src wget https://github.com/ossec/ossec-wui/archive/v0.8.tar.gz tar xzvf v0.8.tar.gz mv ossec-wui-0.8 /var/www/html/ossec-wui cd /var/www/html/ossec-wui/ /setup.sh usermod -G ossec apache cd /var/ossec/ chmod 770 tmp/ chgrp apache tmp/ service httpd restart Mở trình duyệt truy cập vào địa chỉ: http://localhost/ossec-wui http://20.0.0.254/ossec-wui 1.1.2.2 Cài đặt OSSEC Agent Client Tải cài đặt OSSEC Windows Agent địa chỉ: https://updates.atomicorp.com/channels/atomic/windows/ossec-agentwin32-2.9.2-2154.exe Để khai báo agent mới, server chạy lệnh: /var/ossec/bin/manage_agents Tiếp tục tạo key cho client: Copy key vừa tạo dán vào OSSEC Agent Manager máy Client: Kiểm tra server: /var/ossec/bin/ossec-control restart /var/ossec/bin/list_agents -a 1.1.2.3 Cài đặt OSSEC Agent Web Server Tạm thời dừng dịch vụ firewalld iptables, tắt SELinux ntsysv iptables -F vim /etc/selinux/config # sửa dòng: SELINUX=disabled Tai OSSEC tai dia chi: http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz Sau đưa vào ~/ossec_src mkdir ~/ossec_src cd ~/ossec_src tar xzvf ossec-hids-2.8.1.tar.gz cd ossec-hids-2.8.1/ /install.sh /var/ossec/bin/ossec-control start Tạo key cho Web Server OSSEC Server: /var/ossec/bin/manage_agents Copy key qua Web Server: /var/ossec/bin/ossec-control restart Kiểm tra OSSEC server: 1.2 Kịch xâm nhập phát 1.2.1 Nguy từ việc cài đặt software Client 1.2.1.1 Nguy Một phần mềm cài đặt vào máy tính cốt yếu hai điều: thứ nhân viên máy Client tự ý cài đặt phần mềm, thứ hai máy Client lướt web có trang quảng cáo, hay trang web độc hại có chức tự cài đặt phần mềm vào máy tính truy cập vào trang web Nguy đặt soft máy client bị nhiễm mã độc có phần mềm cài Và nguy lớn cài đặt phần mềm malware, chúng chí giả mạo dịch vụ phần mềm máy cập nhật, thay vá phần mềm bảo mật malware lại tải cài đặt lên hệ thống 1.2.1.2 Dấu hiệu nhận biết trình thực Khi cài đặt phần mềm vào máy tính nhận biết thơng qua file registry, vào đường dẫn sau để phát HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Ta vào đường dẫn để đến file win_audit : C:\Program Files (x86)\ossec-agent\shared Ta tiến hành cấu hình file win_audit_rcl, thêm vào cuối file: [Software Installed] [any] [] r:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninst all; 10 Tiến hành cài phần mềm Ví dụ: Yahoo Sau cài đặt xong vào kiểm tra server cd /var/ossec/logs/alerts/2017/Dec/ cat ossec-alerts-12.log Đã xuất mức cảnh báo với cấp độ 5: Rule phát nằm file: /var/ossec/rules/msauth_rules.xml 11 1.2.2 Phát cơng SQL vào Web Server Nhóm sử dụng cơng cụ DVWA để thực hành Truy cập vào địa chỉ: http://20.0.0.50/dvwa Tiến hành submit chuỗi sau để Demo công SQL Injection: %' or 0=0 union select null, version() # Kiểm tra file log OSSEC server: cd /var/ossec/logs/alerts/2017/Dec tail -f ossec-alerts-13.log Kết file log: 12 Kiểm tra web interface: 1.2.3 Phát backdoor Web Server Nhóm dùng cơng cụ Social Engineering Toolkit Attacker để thực nghiệm 13 Kết tạo file x86_powershell_injection.txt Đổi tên file thành x86_powershell_injection.bat copy vào máy client: 14 Lập tức OSSEC phát trojan tiến hành xóa bỏ file Kết kiểm tra file log: Kết web interface: 1.2.4 Phát công SSH Brute Force Thực nghiệm tất công máy Attacker với công cụ hydra: hydra -l root -P /root/Desktop/pass.txt -t ssh://20.0.0.100 -V 15 Kết web interface: Rule phát nằm file: /var/ossec/rules/sshd_rules.xml 16 1.3 Kiểm tra tính tồn vẹn hệ thống 1.3.1 Cơ tiến trình syscheck OSSEC Syscheck tên tiến trình OSSEC Nó gọi sau khoảng thời gian định làm nhiệm vụ kiểm tra xem có file cấu hình hay mục registry Windows bị thay đổi hay khơng, có xuất báo cáo thay đổi Cơ chế hoạt động syscheck đơn giản, OSSEC vừa cài đặt vào hệ thống, dò tìm lưu lại checksum tất file nằm folder quan trọng ( định sẵn file cấu hình OSSEC ) Từ đó, lần syscheck hoạt động, kiểm tra checksum file hệ thống so sánh với checksum ban đầu chúng, checksum bị thay đổi, syscheck báo cáo thay đổi này, xuất file mới, xuất báo cáo 1.3.2 Vì kiểm tra tính tồn vẹn? Có nhiều kiểu cơng nhiều hướng công khác nhau, đa số chúng mang điểm chung: để lại dấu vết luôn thay đổi hệ thống theo cách Có thể đưa vài ví dụ: virus thay đổi nội dung số file định, rootkit thay đổi kernel hệ điều hành hay số kiểu công SQL Injection tạo sở liệu tạm lưu giá trị cần thiết vào Như vậy, cần phát thay đổi file hệ thống, phát nguy công từ ngăn chặn kịp thời 1.3.3 Cấu hình OSSEC kiểm tra tính tồn vẹn Cấu trúc phần syscheck file cấu hình OSSEC có nội dung tương tự này: 17 Với giá trị frequency mặc định 79200 giây, tức sau 22 tiếng tiến hành kiểm tra tính tồn vẹn lần Tiếp theo, đường dẫn kiểm tra bao gồm /etc, /usr/bin/,… tất đường dẫn quan trọng hệ điều hành Linux Cuối đường dẫn không cần kiểm tra, syscheck bỏ qua file thuộc đường dẫn trình thực thi Để phát kịp thời có thay đổi file hệ thống đó, hay xuất file folder hệ thống, cần phải cấu hình OSSEC để thơng báo thời gian thực Mở file cấu hình OSSEC đường dẫn /var/ossec/etc/ossec.conf thêm vào dòng sau dòng tùy chỉnh giá trị frequency phần syscheck: yes Thêm dòng sau vào /var/ossec/rules/local_rules.xml: ossec 18 syscheck_new_entry File added to the system. syscheck, Tiếp theo, cấu hình báo cáo thời gian thực nội dung thay đổi file: /etc,/usr/bin,/usr/sbin /bin,/sbin Lưu ý: Mặc định, OSSEC cảnh báo file thay đổi lần Lần thứ trở OSSEC bỏ qua không cảnh báo Để cấu hình ln ln cảnh báo có thay đổi file, thêm dòng sau (thêm vào thẻ ): no Sau hoàn thành việc cấu hình, phần syscheck file ossec.conf có nội dung tương tự sau: Khởi động lại OSSEC với câu lệnh sau: /var/ossec/bin/ossec-control restart 19 Sau OSSEC khởi động lại, trình chuẩn bị liệu cho tiến trình syscheck diễn khoảng 15-20 phút tùy theo cấu hình máy Trong log OSSEC thơng báo trình chuẩn bị sau: Các tiến trình ossec chạy: Và sau OSSEC chuẩn bị xong bắt đầu giám sát file theo thời gian thực, thơng báo log: Thử chỉnh sửa số file đường dẫn giám sát OSSEC: 20 21 ... SELINUX=disabled Tai OSSEC tai dia chi: http://www .ossec. net/files /ossec- hids-2.8.1.tar.gz Sau đưa vào ~ /ossec_ src mkdir ~ /ossec_ src cd ~ /ossec_ src tar xzvf ossec- hids-2.8.1.tar.gz cd ossec- hids-2.8.1/... hay trang web độc hại có chức tự cài đặt phần mềm vào máy tính truy cập vào trang web Nguy đặt soft máy client bị nhiễm mã độc có phần mềm cài Và nguy lớn cài đặt phần mềm malware, chúng chí giả... /var /ossec/ bin /ossec- control enable database; /var /ossec/ bin /ossec- control restart cd ~ /ossec_ src /ossec- hids-2.8.1/src/os_dbd/ mysql -u tuananh -p -h 20.0.0.254 ossec < mysql.schema /var /ossec/ bin /ossec- control