Đang tải... (xem toàn văn)
Chương 8 - System hacking. Trong các chương trước, chúng ta đã khảo sát qua quá trình thu thập thông tin của mục tiêu cần tấn công. Những kỹ thuật như footprinting, social engineering, enumeration, google hacking…đã được áp dụng cho mục đích truy tìm thông tin. Đến chương này, bạn bắt đầu đi vào quá trình tấn công hệ thống thật sự. Mời các bạn cùng tham khảo.
CHƯƠNG 8: SYSTEM HACKING Phạm Thanh Tân Trong chương trước, khảo sát qua trình thu thập thông tin mục tiêu cần công Những kỹ thuật Footprinting, Social engineering, Enumeration, Google Hacking…đã áp dụng cho mục đích truy tìm thơng tin Đến chương này, bạn bắt đầu vào trình công hệ thống thật Mục tiêu bạn lộ rõ trước mắt, bạn phải tiến hành kỹ thuật khác để vào hệ thống đó, thực việc mà mong muốn, xóa liệu, chạy chương trình trojan, keylogger… Q trình cơng hệ thống Trước tiếp tục nói System Hacking dành chút thời gian cho việc tìm hiểu q trình cơng hệ thống Mục tiêu phía trước hệ thống máy tính Các bước để cơng, đánh sập nó, liệt kê hình vẽ bên cạnh Nó gồm cơng đoạn sau: Enumerate (liệt kê): Trích tất thơng tin user hệ thống Sử dụng phương pháp thăm dò SNMP để có thơng tin hữu ích, xác Bạn tìm hiểu phương pháp SNMP phần trước Crack: Công đoạn có lẽ hấp dẫn nhiều hacker Bước yêu cầu bẽ khóa mật đăng nhập user Hoặc cách khác, mục tiêu phải đạt tới quyền truy cập vào hệ thống Escalste (leo thang): Nói cho dễ hiểu chuyển đổi giới hạn truy cập từ user binh thường lên admin user có quyền cao đủ cho công Execute (thực thi): Thực thi ứng dụng hệ thống máy đích Chuẩn bị trước malware, keylogger, rootkit…để chạy Hình 1: Quy trình cơng hệ thống máy tính cơng Hide (ẩn file): Những file thực thi, file soucecode chạy chương trình…cần phải làm ẩn đi, tránh bị mục tiêu phát tiêu diệt Tracks (dấu vết): Tất nhiên để lại dấu vết Những thơng tin có liên quan đến bạn cần phải bị xóa sạch, khơng để lại thứ Nếu không khả bạn bị phát kẻ đột nhập cao Trong chương này, bạn trải qua công nghệ thực bước để cơng hệ thống Qua đưa giải pháp để chống lại công Phần Enumeration thảo luận chương trước, nên không đề cập phần Phần 1: Cracking Passwords Mật kiểu công mật Một vài kiểu password dùng để truy cập vào hệ thống Các ký tự dùng làm mật rơi vào trường hợp sau Chỉ chữ VD: ABCDJ Chỉ số VD: 457895 Chỉ ký tự đặc biệt VD: #$^@&* Chữ số VD: asw04d5s Chỉ số ký tự đặc biệt VD: #$345%4#4 Chữ ,số, ký tự đặc biệt VD: P@ssw0rd Độ mạnh mật phụ thuộc vào khả nhạy cảm hacker Quy tắc sau đây, đề nghị Hội đồng EC, phải áp dụng bạn tạo mật khẩu, để bảo vệ chống lại công Không chứa tên tài khoản người dùng Ngắn phải ký tự Phải chứa ký tự từ ba số loại sau o Có chứa ký tự đặc biệt/ o Chứa chữ số o Chữ viết thường o Chữ viết hoa Một hacker dùng cách cơng khác để tìm password tiếp tục truy cập vào hệ thống Các kiểu công password thường dạng sau: Hình 2: Các kiểu công mật Passive Online: Nghe trôm thay đổi mật mạng Cuộc công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, replay attacks (tấn cơng dựa vào phản hồi) Active Online: Đốn trước mật nguời quản trị Các công trực tuyến bao gồm việc đoán password tự động Offline: Các kiểu công Dictionary, hybrid, brute-force Non-Electronic: Các công dựa vào yếu tố người Social engineering, Phising… Passive Online Attacks Một công thụ động trực tuyến đánh (sniffing) để tìm dấu vết, mật mạng Mật bị bắt (capture) trình xác thực sau so sánh với từ điển (dictionary) danh sách từ (word list) Tài khoản người dùng có mật thường băm (hashed) mã hóa (encrypted) trước gửi lên mạng để ngăn chặn truy cập trái phép sử dụng Nếu mật bảo vệ cách trên,một số cơng cụ đặc biệt giúp hacker phá vỡ thuật tốn mã hóa mật Active Online Attacks Cách dễ để đạt cấp độ truy cập quản trị viên hệ thống phải đốn từ đơn giản thơng qua giả định quản trị viên sử dụng mật đơn giản Mật đốn để cơng Active Online Attack dựa yếu tố người tham gia vào việc tạo mật cách công hữu dụng với mật yếu Trong chương 6, thảo luận giai đoạn Enumeration, bạn học lỗ hổng NetBIOS Enumeration Null Session Giả sử NetBIOS TCP mở port 139, phương pháp hiệu để đột nhập vào Win NT hệ thống Windows 2000 đoán mật Cái thực cách cố gắng kết nối đến hệ thống giống quản trị viên thực Tài khoản mật kết hợp để đăng nhập vào hệ thống Một hacker, thử để kết nối với tài nguyên chia mặc định Admin$, C$ C:\Windows Để kết nối tới ổ đĩa máy tính, ổ đĩa chia sẻ, gõ lệnh sau Start > Run: \\ ip_address \ c$ Các chương trình tự động nhanh chóng tạo file từ điển, danh sách từ, kết hợp tất có chữ cái, số ký tự đặc biệt cố gắng để đăng nhập vào Hầu hết hệ thống ngăn chặn kiểu công cách thiết lập số lượng tối đa nỗ lực đăng nhập vào hệ thống trước tài khoản bị khóa (ví dụ bạn đăng nhập vào trang web mà bạn nhập sai password lần tài khoản bạn từ động bị khóa lại ngày) Trong phần sau, thảo luận làm hacker thực việc tự động đoán mật chặt chẽ hơn, biện pháp đối phó với cơng Performing Automated Password Guessing: (Tự Động Đốn Mật Khẩu) Để tăng tốc độ đoán mật khẩu, hacker thường dùng cơng cụ tự động Một cách có q trình, dễ dàng để tự động đốn mật sử dụng cửa sổ lệnh dựa cú pháp chuẩn lệnh NET USE Để tạo kịch đơn giản cho việc đoán mật tự động, thực bước sau đây: Tạo tên người dùng đơn giản tập tin mật cách sử dụng cửa sổ notepad Dùng dòng lệnh để tạo danh sách từ điển Và sau lưu vào tập tin vào ổ đĩa C, với tên credentials.txt Sử dụng lênh FOR C:\> FOR /F “token=1, 2*” %i in (credentials.txt) Gõ lệnh net use \\targetIP\IPC$ %i /u: %j để sử dụng file credentials.txt cố gắng logon vào hệ thống chia ẩn hệ thống mục tiêu Bảo Vệ Chống Lại Các Hoạt Động Đốn Mật Khẩu Có hai vấn đề tồn bảo vệ chống lại đoán mật công mật Cả hai cách công thông minh tạo trạng thái bất an người dùng tạo mật riêng họ Một người sử dụng chứng thực (authenticated) xác nhận (validated) cách kiểm tra Trong yêu cầu hai hình thức nhận dạng (chẳng hạn thẻ thông minh (smart card) mật khẩu) xác thực người dùng Bằng cách yêu cầu người dùng có (smart card) mà người dùng biết (mật khẩu) , bảo mật tăng, không dễ dàng công Offline Attacks Cuộc công Offline thực vị trí khác hành động máy tính có chứa mật nơi mật sử dụng Cuộc công Offline yêu cầu phần cứng để truy cập vật lý vào máy tính chép tập tin mật từ hệ thống lên phương tiện di động Hacker sau có file tiếp tục khai thác lỗ hổng bảo mật Bảng sau minh họa vài loại hình cơng offline: Bảng 8.1: Các kiểu công Offline Type of Attack Dictionary attack Hybrid attack Brute-force-attack Characteristics Example Password Nỗ lực để sử dụng mật từ từ điển Administrator Thay vài ký tự mật Thay đổi toàn ký tự mật Adm1n1strator Ms!tr245@F5a Dictionary Attack cách công đơn giản nhanh loại hình cơng Nó sử dụng để xác định mật từ thực tế, mật tìm thấy từ điển Thông thường nhất, công sử dụng tập tin từ điển từ có thể, sau sử dụng thuật tốn sử dụng q trình xác thực Các hàm băm (hash) từ từ điển so sánh với hàm băm mật người dùng đăng nhập vào, với mật lưu trữ tập tin máy chủ Dictionary Attack làm việc mật thực thể có từ điển Nhưng kiểu cơng có số hạn chế khơng thể sử dụng với mật mạnh có chứa số ký hiệu khác Hybrid Attack cấp độ hacker, nỗ lực mật khơng thể tìm thấy cách sử dụng Dictionary Attack Các công Hybrid bắt đầu với tập tin từ điển thay số ký hiệu cho ký tự mật Ví dụ, nhiều người sử dụng thêm số vào cuối mật họ để đáp ứng yêu cầu mật mạnh Hybrid thiết kế để tìm loại bất thường mật Brute Force Attack cơng thuật tốn brute-force, mà cố gắng kết hợp có chữ hoa chữ thường, chữ cái, số, biểu tượng Một cơng thuật tốn brute-force chậm ba loại cơng kết hợp nhiều ký tự mật Tuy nhiên, cách có hiệu quả, cần có đủ thời gian sức mạnh xử lý tất Noneelectronic Attacks Các công nonelectronicor công mà không sử dụng kiến thức kỹ thuật Loại cơng bao gồm kỹ thuật social engineering, shoulder surfing, keyboard sniffing, dumpster diving Microsoft Authentication Microsoft đề xuất hàng loạt giao thức thực dành cho hệ điều hành máy khách máy chủ, môi trường workstation domain áp dụng Những giao thức kế hình, kèm theo phiên hệ điều hành sử dụng Mỗi giao thức chứng thực có cách mã hóa liệu khác nhau, độ dài mã hóa khác Bảng 8.2 bảng thơng tin mã hóa dành cho loại chứng thực Hình 3: Các giao thức chứng thực Microsoft Bảng 8.2:Thông tin chứng thực bản Giao thức xác thực NTLM Sử dụng chế thách thức-đáp ứng (challenge-response) để xác thực người dùng máy tính chạy Windows Me hệ điều hành trước đó, máy tính chạy Windows 2000 sau mà khơng phải phần doamin Một người dùng thách thức (challenge) để cung cấp số phần thông tin cá nhân cho người sử dụng (response) Hình 4: Mơ hình chứng thực Challenge-Response Windows Server 2003 hỗ trợ ba phương pháp xác thực theo kiểu challenge- response sau đây: LAN Manager (LM): Được phát triển IBM Microsoft để sử dụng OS2 Windows cho Workgroups (Windows 95, Windows 98 Windows Me) Đây hình thức an tồn xác thực challenge-response dễ bị kẽ công nghe trộm, máy chủ chứng thực người dùng phải lưu trữ thông tin LMHash NTLM version 1: Một hình thức an tồn so với kiểu LM Nó sử dụng để kết nối với máy chủ chạy Windows NT với Service Pack sớm NTLMv1 sử dụng giao thức mã hóa 56-bit Máy chủ xác thực người dùng với phiên NTLM nào, việc xác thực phải lưu trữ thông tin Hash NT NTLM version 2: Hình thức an tồn có sẵn chứng thực challengeresponse Phiên bao gồm kênh an toàn để bảo vệ trình xác thực Nó sử dụng để kết nối với máy chủ chạy Windows 2000, Windows XP, Windows NT với Service Pack cao NTLMv2 sử dụng mã hóa 128-bit để đảm bảo giao thức an toàn LM Authentication LM Authentication cung cấp khả tương thích với hệ điều hành trước đó, bao gồm Windows 95, Windows 98 Windows NT 4.0 Service Pack sớm Ngồi có ứng dụng trước mà dựa vào chế xác thực Tuy nhiên, giao thức LM yếu nhất, dễ dàng để công Không sử dụng chứng thực LM môi trường Windows Server 2003 Nâng cấp máy tính dựa giao thức LM để loại bỏ lỗ hổng bảo mật Storing LM passwords Lý khơng sử dụng giao thức LM mật tạo người sử dụng lưu trữ để sử dụng, mật chuyển đổi để LMHash lần LMHash chứa tên người dùng hash mật tương ứng Hash hình thức mã hóa chiều Khi khách hàng cố gắng để xác thực với chứng thực LM hash mật truyền mạng Máy chủ để xác thực người sử dụng máy chủ có lưu trữ LMHash LMHash có vài điểm yếu mà làm cho dễ bị cơng Hash NT Các LMHash lưu trữ chữ hoa, giới hạn 14 ký tự Nếu có hiểu biết, kẻ cơng có quyền truy cập vào LMHashes lấy số lượng lớn người sử dụng, có khả kẻ công giải mã mật Bảng 8.3: Ví dụ mật LMHashes tương ứng mà lưu trữ Chú ý với hash mật ln có 14 ký tự, chưa đủ ký tự E (mã 16) thêm vào sau Trong q trình tính tốn hash, mật ban đầu chia thành hai bảy ký tự Nếu mật bảy ký tự hơn, tập thứ hai bảy ký tự null Điều dẫn đến ký E cuối giá trị giúp cho kẻ cơng biết mật ban đầu tám ký tự Điều giúp kẽ công giãm bơt thời gian dò tìm mã Vơ hiệu hóa mật LM Windows Server 2003 cho phép bạn vô hiệu hóa LMHash để loại bỏ lỗ hổng trình bày Tuy nhiên, bạn có client chạy Windows 3.1 phát hành ban đầu Windows 95 kết nối với máy tính chạy Windows Server 2003, bạn khơng vơ hiệu hóa LMHash Tuy nhiên, bạn vơ hiệu hóa việc sử dụng LMHash sở account-by-account cách làm điều sau đây: Sử dụng mật với 15 ký tự dài Kích hoạt giá trị registry NoLMHash cục máy tính cách sử dụng sách an ninh Sử dụng ký tự ALT mật Ký tự ALT đưa vào mật cách giữ phím ALT, gõ phím số, sau thả phím ALT NTLM Authentication Như đề cập trước đó, NTLM bao gồm ba phương pháp xác thực challenge-response: LM, NTLMv1, NTLMv2 Quá trình xác thực cho tất phương pháp nhau, chúng khác mức độ mã hóa Quá trình xác thực Các bước sau chứng tỏ trình kiện xác thực xảy client xác nhận đến domain controller cách sử dụng giao thức NTLM: Hình 5: Mơ hình chứng thực NTLM Các client server thương lượng giao thức xác thực Điều thực thông qua việc thương lượng nhà cung cấp dịch vụ hổ trợ bảo mật Microsoft (Security Support Provider) Client gửi tên người dùng tên miền tới domain controller Domain controller chọn ngẫu nhiên 16 byte để tạo chuỗi ký tự gọi nonce Client mã hóa nonce với hash mật gửi trở lại domain controller Domain controller trả lời hash mật từ sở liệu tài khoản bảo mật hiệu quả, hacker sử dụng cơng cụ hổ trợ cho việc truy tìm mật cách tự động Một cách hiệu để phá mật truy cập vào tập tin mật hệ thống Hầu hết mật mã hóa để lưu trữ hệ thống Trong lúc đăng nhập vào hệ thống, password người dùng nhập vào thường mã hóa thuật tốn sau so sánh với password lưu file Một hacker cố gắng truy cập vào server để lấy file, thuật tốn thay cố gắng đốn khơng xác định password Nếu hacker thành cơng, họ giải mã password lưu trữ server Mật lưu file SAM Windows file Shadow Linux Hacking Tools Giới thiệu số phần mềm dò tìm password Hacker tự động đoán mật phiên NetBIOS Hacker quét qua nhiều địa IP hệ thống chia thường công công cụ thủ công NTInfoScan máy quét an ninh Quét tất lỗ hỗng tạo báo cáo dựa vào vấn đề an ninh tìm thấy máy đích số thơng tin khác LophtCrack phần mềm khôi phục mật gói phần mềm phân phối cơng ty @stake software, thuộc sở hữu Symantec Đây phần mềm chặn gói tin mạng nắm bắt phiên đăng nhập cá nhân LophtCrack chứa từ điển hành động khả công lại John the ripper công cụ dòng lệnh thiết kế để crack mật Unix NT Các mật phân biệt trường hợp dạng chữ khơng thành cơng cho mật hỗn hợp Kerbcrack bao gồm hai chương trình: kerbsniff kerbcrack sniffer Việc lắng nghe kết nối với internet bắt giữ phiên đăng nhập Windows 2000/XP, sử dụng thuật tốn Kerberos Soft sử dụng để tìm mật từ tập tin bắt cách cơng vào hệ thống Bẻ Khóa Password Windows 2000 Tài khoản lưu file gồm usernames password mã hóa Nó nằm vị trí theo đường dẫn: Windows\system32\config Đây file khóa, hệ thống chạy Hacker chép file hệ thống khởi động Một lựa chọn cho việc chép tập tin khởi động từ dos linux khởi động từ CD, chép từ thư mục repair Nếu quản trị viên hệ thống sử dụng tính RDISK Windows để lưu hệ thống, sau tập tin nén gọi SAM._ tạo C:\windows\repair Để mở file, bạn sử dụng lệnh sau dấu nhắc lệnh C:>expand sam._sam Sau tập tin khơng nén, kiểu cơng dictionary, hybrid, or brute-force áp dụng để khai thác file SAM Hacking Tools Win32CreateLocalAdminUser: chương trình tạo người dùng với username password X thêm người dùng vào nhóm quản trị viên Phần mềm dự án Metasploits đưa vào thư viện netframwork window Offline NT Password Resetter phương thức đặt lại password người quản trị hệ thống hệ thống không khởi động window Đa số phương pháp khởi động hệ điều hành linux CD với phân vùng NTFS mà hệ điều hành khơng có password bảo vệ, nên thay đổi password Kỹ Thuật Tấn Công Chuyển Hướng Một hướng khác để khám phá mật mạng chuyển hướng đăng nhập máy chủ, làm chặn gửi tin nhắn đến máy khách, mà gửi password đến cho hacker Để làm điều hacker phải gửi phản hồi xác thực từ server lừa nạn nhân vào cửa sổ xác thực kẻ công Một kỹ thuật phổ biến gửi đến nạn nhân email với liên kết lừa đảo, liên kết click, người dùng vơ tìn gửi thơng tin họ qua mạng Chuyển hướng SMB (Server Message Block) Một số phần mềm tự động thực chuyển hướng SMBRelay phần mềm capture lại tên đăng nhập mật mã hóa Đây gọi phần mềm trung gian kẻ công SMBRelay2 phần mềm giống SMBRelay dùng tên NetBIOS địa IP để ghi lại tên đăng nhập mật pwdump2 chương trình ghi lại xác mật mã hóa file hệ thơng window Mật xác chạy với chương trình bẻ password Lophtcrack samdump chương trình để giải mã mật mã hóa từ tập tin SAM c2MYAZZ chương trình phần mềm gián điệp làm cho cửa sổ khách hàng gửi mật dạng văn rõ ràng Nó hiển thị tên người dùng mật họ người sử dụng gắn với tài nguyên máy chủ Tấn Công SMB Relay MITM & Biện Pháp Đối Phó Tấn Cơng SMB Relay MITM kẻ công cài đặt lừa máy chủ với địa (Relay Address) Khi client nạn nhân (victim client) kết nối tới máy chủ lừa đảo, MITM server chặn phiên lại, mã hóa password, chuyển kết nối tới máy chủ nạn nhân Hình 8: SMB relay MITM attack Biện pháp đối phó bao gồm cấu hình windows 2000 dùng SMB Để mã hóa khối thơng tin liên lạc Thiết lập tìm thấy đường dẫn Security Policies/Security Options Hacking Tools SMBGrind phần mềm làm tăng tốc độ làm việc cách loại bỏ bớt trùng lắp cung cấp tiện ích cho người sử dụng mà người dùng khơng cần chỉnh sửa cách thủ công SMBDie công cụ xử lý cố máy tính chạy window 2000/xp/NT cách gửi yêu cầu thiết kế đặc biệt SMB NBTdeputy chương trình đăng ký tên máy tính NetBIOS mạng ứng phó với NetBIOS thơng qua u cầu TCP IP Tên truy vấn đơn giản hố Giúp việc sử dụng SMBRelay gọi tên máy tính thay địa ip Tấn Cơng NetBIOS Dos Tấn công NetBIOS Denial of Service (DoS) cách gửi tin NetBIOS Name Release đến dịch vụ NetBIOS Name Service hệ thống mục tiêu chạy hệ điều hành Windows hệ thống tải, không đáp ứng yêu cầu người dùng Là cách công cách gửi thông điệp từ chối mày chủ Các cơng cụ máy đặt tên lại cho cuoc công Do cơng chủ yểu từ phía mày khách hàng Tạo mạng lưới công dos rộng lớn Hacking Tools NBName cơng cụ disable toàn mạng LAN ngăn chặn máy hệ thống chúng Các nút mạng Net-BIOS bị nhiễm, mà chúng lại môi trường mạng nên chúng nghĩ tên chúng sẵn sàng sử dụng máy tính khác Biện Pháp Đối Phó Với Crack Password Password quan trọng phải thực nhiệm vụ bảo vệ Password phải bao gồm từ 8-12 ký tự chữ số Độ dài mật bàn tới phần trước Để bảo vệ thuật toán mã hóa cho mật lưu trữ máy chủ, bạn phải có thể lập bảo vệ máy chủ Người quản trị hệ thống sử dụng tiện ích Syskey cửa sổ để bảo vệ mật lưu trữ ổ cứng máy chủ Nhật ký máy chủ nên theo dõi cho công brute-force tài khoản người dùng Một viên quản trị hệ thống thực biện pháp phòng ngừa bảo mật sau để giảm rủi cho mật người quản trị người dùng o Đừng để password mặc định o Đừng bào dùng password từ điển o Không nên dùng password liên quan tới tên host ,tên miền ,hoặc mà hacker dễ đốn o Không nên dùng password liên quan tới ngày kỳ nghỉ bạn, vật nuôi, thân nhân ngày sinh nhật o Dùng từ có nhiều 21 ký tự từ điển để làm password Thời Hạn Mật Khẩu Khi mật hết hạn sau khoảng thời gian buộc người dùng phải thay đổi mật Nếu mật thiết lập thời hạn ngắn, người dùng quên mật tại, kết người quản trị hệ thống phải thiết lập lại password thường xuyên Một trường hợp khác password cho phép người dùng thiết lập thời hạn q dài mức độ an tồn bị tổn thương Một lời đề nghị password nên thay đổi khoảng 30 ngày Ngoài ra, đề nghị không cho phép người dùng dùng lại password lần Theo Dõi Người Dùng Đăng Nhập Vào Hệ Thống Người quản trị hệ thống phải theo dõi toàn thâm nhập hệ thống hacker, trước mà họ xâm nhập họ xâm nhập Nói chung, vài lần thất bại lưu lại hệ thống, trước công xâm nhập thành công hay phá mật Nhật ký an toàn tốt đến mức người quản trị hệ thống, người phải theo dõi q trình đăng nhập Cơng cụ tìm kiếm VisuaLast hỗ trợ người người quản trị mạng giải mã phân tích file mã hóa an tồn Visualast cung cấp nhìn tồn giúp người quản trị có nhìn tồn đánh giá xác, hiệu Chương trình cho phép người quản trị xem báo cáo cá nhân trình đăng nhập đăng xuất Nó ghi lại kiện xác trang, tài liệu vô giá cho nhà phân tích an ninh Sự kiên lưu theo đường dẫn c:\windows\system32\config\sec.evt Đây đường dẫn chứa dấu vết kẻ công Phần 2: Escalating Privileges Escalating Privileges (Kỹ Thuật Leo Thang Đặc Quyền) Leo thang đặc quyền bước thứ ba chu trình Hacking System, leo thang đặc quyền có nghĩa thêm nhiều quyền cho phép tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho tài khoản người dùng có quyền tài khoản quản trị Nói chung, tài khoản quản trị viên có yêu cầu mật nghiêm ngặt hơn, mật họ bảo vệ chặt chẽ Nếu khơng thể tìm thấy tên người dùng mật tài khoản với quyền quản trị viên, hacker chọn sử dụng tài khoản với quyền thấp Tại trường hợp này, hacker sau phải leo thang đặc quyền để có nhiều quyền quyền quản trị Cái thực cách nắm lấy quyền truy cập cách sử dụng tài khoản người dùng quản trị viên Thường cách thu thập tên người dùng mật thông qua bước trung gian để gia tăng đặc quyền tài khoản với mức độ quản trị viên Một hacker có tài khoản người dùng hợp lệ mật khẩu, bước để thực thi ứng dụng nói chung hacker cần phải có tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó lý leo thang đặc quyền quan trọng Trong phần , xem hacker làm với hệ thống bạn họ có quyền quản trị Hacking Tools Getadmin.exe chương trình nhỏ thêm người dùng vào nhóm Local Administrator Một vài kernel NT cấp thấp, thường xuyên truy cập phép trình chạy Một đăng nhập vào giao diện điều khiển máy chủ cần thiết để thực chương trình Getadmin.exe chạy từ dòng lệnh hoạt động Win NT 4.0 Service Pack Tiện ích HK.exe để lộ kẽ hở giao thức gọi hàm cục (Local Procedure Call) Windows NT Một người dùng khơng phải người quản trì leo thang vào nhóm quản trị viên cách sử dụng công cụ Phần 3: Executing Applications Một hacker truy cập tài khoản với quyền quản trị, điều cần làm thực thi ứng dụng hệ thống đích Mục đích việc thực thi ứng dụng cài đặt cửa sau hệ thống, cài đặt keylogger để thu thập thơng tin bí mật, chép tập tin, gây thiệt hại cho hệ thống, điều hacker muốn làm hệ thống Một hacker thực thi ứng dụng, hệ thống phụ thuộc vào kiểm soát hacker Hacking tools PsExec chương trình kết nối vào thực thi tập tin hệ thống từ xa Phần mềm không cần phải cài đặt hệ thống từ xa Remoxec thực thi chương trình cách sử dụng dịch vụ RPC (Task Scheduler) WMI (Windows Management Instrumentation) Administrators với mật rỗng hay yếu khai thác thơng qua lịch trình cơng việc (Task Scheduler - 1025/tcp) chế độ phân phối thành phần đối tượng (Distributed Component Object Mode; 135/tcp) Buffer Overflows Hacker cố gắng khai thác lỗ hổng mã ứng dụng (Application) Về chất, công tràn đệm gửi nhiều thơng tin cho biến ứng dụng, gây lỗi ứng dụng Hầu hết lần, ứng dụng hành động ghi đè liệu bị tràn Vì thực thi lệnh liệu bị tràn giảm dấu nhắc lệnh phép người dùng nhập lệnh Dấu nhắc lệnh (command prompt shell) chìa khóa cho hacker sử dụng để thực thi ứng dụng khác Chuyên đề Buffer Overflows thảo luận chi tiết chương 19: Buffer Overflows Rootkits RootKits: phần mềm dán điệp Rootkit loại chương trình thường sử dụng để che dấu tiện ích hệ thống bị xâm nhập Rootkit bao gồm gọi back doors, giúp cho kẻ cơng truy cập vào hệ thống dễ dàng lần sau Ví dụ, rootkit ẩn ứng dụng, ứng dụng sinh lệnh kết nối vào cổng mạng cụ thể hệ thống Back door cho phép trình bắt đầu người khơng có đặc qun, dùng để thực chức thường dành cho quản trị viên Rootkit thường xuyên sử dụng phép lập trình viên rootkit xem truy cập vào tên người dùng thông tin đăng nhập trang site có yêu cầu họ Khái niệm Site website, mà miền (domain) hệ thống máy tính Một số loại rootkit thường gặp: Kernel-level rootkits: Rootkit cấp độ Kernel thường thêm thay vài thành phần nhân hệ thống, thay mã sửa đổi để giúp che giấu chương trình hệ thống máy tính Điều thường thực cách thêm mã cho nhân hệ thống thông qua thiết bị ổ đĩa có khả nạp mơ-đun, chẳng hạn kernel mơ-đun nạp linux thiết bị điều khiển Microsoft Windows Rootkit đặc biệt nguy hiểm khó phát mà khơng có phần mềm phù hợp Library-level rootkits: Rootkit cấp độ thư viện thường chắp vá, sữa chữa, thay hệ thống Một số phiên giấu thơng tin tùy theo mục đích hacker Application-level rootkits: Rootkit cấp ứng dụng thay chương trình ứng dụng giống trojan độc hại, họ thay đổi hành vi ứng dụng có cách sử dụng móc (hook), vá lỗi (patch), mã độc hại (injected code), phương tiện khác Trong phần sau thảo luận trình lây nhiễm rootkit cho hệ thống Triển khai Rootkits Windows 2000 & XP Trong hệ điều hành Window NT/2000 rookit xây dựng trình điều khiển chế độ kernel driver, tự động nạp chế độ runtime Rootkit chạy với đặc quyền hệ thống (system privileges ) NT Kernel Do đó, truy cập vào tất nguồn tài nguyên hệ điều hành Các rootkit ẩn quy trình, ẩn tập tin, ẩn mục đăng ký, tổ hợp phím tắt hệ thống, giao diện điều khiển, phát hành gián đoạn bước để gây hình màu xanh chết chốc (death) chuyển tập tin EXE Rootkit có chứa trình điều khiển hoạt động chế độ kernel (kernel mode device driver) có tên gọi _root_.sys khởi chạy chương trình có tên DEPLOY.EXE Sau đạt quyền truy cập vào hệ thống, chúng copy file -root-.sys DEPLOY.EXE thành nhiều file vào hệ thống thực thi file DEPLOY.EXE Sau cài đặt trình điều khiển thiết bị rootkit kẻ cơng bắt đầu xóa DEPLOY.EXE từ máy tính mục tiêu Những kẻ cơng sau dừng lại khởi động lại rootkit cách sử dụng lệnh net stop _root_and _root_ tập tin _root_.sys khơng xuất danh sách thư mục Rootkit chặn không cho hệ thống gọi tập tin danh sách giấu tất file bắt đầu với _root_ Trong hệ điều hành, có hai chế độ hoạt động usermode kernel mode Với Kernel mode, trình ứng dụng có tồn quyền truy cập vùng nhớ RAM, lệnh CPU…nói chung tồn quyền Rootkit nhúng vào giao thức TCP/IP Một tính rootkit window NT/2000 hoạt động cách xác định tình trạng kết nối dựa liệu gói liệu đến (incoming) Rootkit có địa IP cố định mà trả lời Rootkit sử dụng kết nối Ethernet qua hệ thống card mạng, mạnh mẽ Một hacker kêt nối đến port hệ thống Ngồi ra, cho phép nhiều người đăng nhập lúc Phòng chống Rootkit Tất rootkit truy cập hệ thống đích có quyền giống quản trị viên (administrator), đó, bảo mật mật quan trọng Nếu bạn phát rootkit, lời khuyên bạn nên lưu liệu quan trọng cài đặt lại hệ điều hành ứng dụng từ nguồn đáng tin cậy Các quản trị viên nên giữ sẵn nguồn đáng tin cậy để cài đặt phục hồi tự động Biện pháp đối phó khác sử dụng thuật tốn mã hóa MD5, checksum MD5 tập tin giá trị 128-bit, giống dấu vân tay tập tin Thuật toán thiết kế để phát thay đổi, chút tập tin liệu, để kiểm tra nguyên nhân khác Thuật tốn có tính hữu ích để so sánh tập tin đảm bảo tính tồn vẹn Một tính kiểm tra chiều dài cố định, kích thước tập tin nguồn Việc tổng kiểm tra MD5 đảm bảo file không thay đổi hữu ích việc kiểm tra tính tồn vẹn file rootkit tìm thấy hệ thống Các công cụ Tripwire thực để kiểm tra MD5, để xác định tập tin có bị ảnh hưởng rootkit hay khơng Countermeasure Tools Tripwire chương trình kiểm tra tính tồn vẹn hệ thống tập tin hệ điều hành Unix, Linux, thêm vào kiểm tra mật mã nhiều nội dung thư mục tập tin Tripwire có sở liệu chứa thông tin cho phép bạn xác minh, cho phép truy cập cài đặt chế độ tập tin, tên người dùng chủ sở hữu tập tin, ngày tháng thời gian tập tin truy cập lần cuối, sửa đổi cuối Keyloggers and Other Spyware Nếu tất nỗ lực để thu thập mật khơng thành cơng, keylogger công cụ lựa chọn cho hacker Được thực phần mềm cài đặt máy tính phần cứng gắn vào máy tính Keylogger phần mềm ẩn, ngồi phần cứng (bàn phím) hệ điều hành, để họ ghi lại phím tắt Keylogger phần mềm phá hoại hệ thống Trojans viruses Keylogger phần mềm gián điệp có dung lượng nhỏ, giúp kết nối bàn phím máy tính lưu tất thao tác phím vào file Hacker cài thêm tính tự động gửi nội dung file đến máy chủ hacker Đối vối kiểu keylogger cứng, có thiết bị, giống usb, gắn vào máy tính Q trình thao tác phím ghi lại usb Để làm điều hacker phải có quyền truy cập vật lý vào hệ thống Keylogger cứng thường cài điềm internet cơng cộng có ý đồ xấu Do truy cập net nơi công cộng, bạn nên quan sát kỹ lưỡng thiết bị bất thường cấm vào máy tính Hacking Tools Spector phần mềm gián điệp ghi lại điều từ hệ thống mạng Internet, giống camera giám sát tự động Spector có hàng trăm ảnh chụp thứ hình máy tính lưu ảnh chụp vị trí ẩn ổ đĩa cứng hệ thống Spector phát loại bỏ bở phần mềm chống Spector eBlaster phần mềm gián điệp internet để chụp email gửi đến gửi đi, chuyển chúng đến địa email Eblaster chụp hai mặt hội thoại nhắn tin tức thời (Instant Messenger), thực tổ hợp phím đăng nhập trang web truy cập thường xuyên Spyanywhere công cụ cho phép bạn xem hoạt động hệ thống hành động người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, trình duyệt gỡ bỏ tập tin hệ thống Spyanywhere cho phép bạn kiểm sốt chương trình mở đóng cửa sổ hệ thống từ xa xem lịch sử internet thông tin liên quan Kkeylogger phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy âm thầm mức thấp hệ điều hành Windows 95/98/ME Tất tổ hợp phím ghi lại tập tin Email keylogger phần mềm ghi lại tất email gửi nhận hệ thống Mục tiêu hacker xem người gửi, người nhận, chủ đề, thời gian/ngày… nội dung email file đính kèm ghi lại Phần 4: Hiding Files Một hacker muốn che dấu tập tin hệ thống, để ngăn chặn bị phát hiện, sau dùng để khởi động công khác hệ thống Có hai cách để ẩn tập tin Windows Đầu tiên sử dụng lệnh attrib Để ẩn tập tin với lệnh attrib, gõ sau dấu nhắc lệnh: attrib +h [file/directory] Cách thứ hai để ẩn tập tin Windows với luồng liệu xen kẽ NTFS (alternate data streaming - ADS) NTFS File Streaming NTFS sử dụng Windows NT, 2000, XP có tính gọi ADS cho phép liệu lưu trữ tập tin liên kết ẩn cách bình thường, nhìn thấy tập tin Streams khơng giới hạn kích thước, stream liên kết đến file bình thường Để tạo kiểm tra NTFS file stream, ta thực bước sau: Tại dòng lệnh, nhập vào notepad test.txt Đặt số liệu tập tin, lưu tập tin, đóng notepad Tại dòng lệnh, nhập dir test.txt lưu ý kích thước tập tin Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi số nội dung vào Notepad, lưu tập tin, đóng lại Kiểm tra kích thước tập tin lại (giống bước 3) Mở lại test.txt bạn nhìn thấy liệu ban đầu Nhập type test.txt:hidden.txt dòng lệnh thông báo lỗi hiển thị “The filename, directory name, or volume label syntax is incorrect.” Hacking Tools Makestrm.exe tiện ích chuyển liệu từ tập tin vào tập tin liên kết ADS thay liên kết với tập tin ban đầu NTFS File Streaming Countermeasures Để xóa stream file, copy đến phân vùng FAT, sau cpoy trởvào phân vùng NTFS Stream bị tập tin chuyển đến phân vùng FAT, có tính phân vùng NTFS tồn phân vùng NTFS Countermeasure Tools Bạn sử dụng LNS.exe để phát Stream LNS báo cáo tồn vị trí file chứa liệu stream Steganography Technologies Steganography trình giấu liệu loại liệu khác hình ảnh hay tập tin văn Các phương pháp phổ biến liệu ẩn tập tin sử dụng hình ảnh đồ họa nơi để cất giấu Kẻ cơng nhúng thơng tin tập tin hình ảnh cách sử dụng steganography Các hacker ẩn dẫn thực bom, số bí mật tài khoản ngân hàng Hành động ẩn hình ảnh Đối với file hình ảnh JGP, có thuật tốn gọi Disrete Sosine Transform (DCT) để mã hóa, nén thêm liệu ẩn vào file Thuật tốn tính cơng thức sau: Hacking Tools Imagehide chương trình steganography, giấu số lượng lớn văn hình ảnh Ngay sau thêm liệu,vẫn khơng có gia tăng kích thước hình ảnh, hình ảnh trơng giống chương trình đồ họa bình thường Nó nạp lưu tập tin tránh nghe Blindside ứng dụng steganography mà giấu thông tin bên ảnh BMP (bitmap) Đó tiện ích dòng lệnh MP3stego giấu thông tin file mp3 q trình nén Dữ liệu nén, mã hóa, chúng ẩn dòng bit MP3 Snow chương trình whitespace steganography có nghĩa che giấu thông điệp ASCII text, cách phụ thêm khoảng trắng cuối file Vì spaces and tabs khơng thể nhìn thấy người xem văn Nếu sử dụng thuật tốn mã hóa, tin nhắn khơng thể đọc bị phát Camera/shy làm việc với Window trình duyệt Internet Explorer, cho phép người dùng chia sẻ tìm kiểm thơng tin nhạy cảm lưu giữ hình ảnh GIF thường Stealth công cụ lọc, cho tập tin PGP Nó loại bỏ thơng tin nhận dạng từ tiêu đề, sau tập tin sử dụng cho steganography Chống lại Steganography Steganography phát số chương trình, làm khó khăn Bướcđầu tiên việc phát để xác định vị trí tập tin với văn ẩn, thực cách phân tích mẫu hình ảnh thay đổi bảng màu Countermeasure Tools Stegdetect công cụ tự động để phát nội dung steganographic hình ảnh Dskprobe cơng cụ đĩa CD cài đặt Windows 2000 Nó quét đĩa cứng cấp độ thấp phát steganography Phần 5: Cover Your Tracks & Erase Evidence Cover Your Tracks & Erase Evidence: Che dấu thông tin xóa bỏ dấu vết Một kẻ xâm nhập thành công, đạt quyền truy cập quản trị viên hệ thống, cố gắng để che dấu vết chúng để ngăn chặn bị phát Một hacker cố gắng để loại bỏ chứng hoạt động họ hệ thống, để ngăn ngừa truy tìm danh tính vị trí quan hacker Xóa thơng báo lỗi kiện an ninh lưu lại, để tránh phát Trong phần sau đây, chúng tơi xem xét việc vơ hiệu hóa kiểm tốn (auditing) xóa bỏ ghi kiện (event log), hai phương pháp sử dụng hacker để bao bọc dấu vết tránh bị phát Auditing tính ghi lại Event Log Windows Event Viewer chương trình dùng để quản lý Auditing windows Vơ hiệu hóa Auditing Những việc làm kẻ xâm nhập sau giành quyền quản trị vơ hiệu hóa auditing Auditing Windows ghi lại tất kiện định Windows Event Viewer Sự kiện bao gồm đăng nhập vào hệ thống, ứng dụng, kiện Một quản trị viên chọn mức độ ghi nhật ký hệ thống Hacker cần xác định mức độ ghi nhật ký để xem liệu họ cần làm để xóa dấu vết hệ thống Hacking tools auditPol cơng cụ có Win NT dành cho quản trị tài ngun hệ thống Cơng cụ vơ hiệu hóa kích hoạt tính kiểm tốn từ cửa sổ dòng lệnh Nó sử dụng để xác định mức độ ghi nhật ký thực quản trị viên hệ thống Xóa Nhật Ký Xự Kiện Những kẻ xâm nhập dễ dàng xóa bỏ ghi bảo mật Windows Event Viewer Một ghi kiện có chứa một vài kiện đáng ngờ thường cho thấy kiện khác bị xóa Vẫn cần thiết để xóa ghi kiện sau tắt Auditing, sử dụng cơng cụ AuditPol kiện ghi nhận việc tắt tính Auditing Hacking Tools Một số cơng dụ để xóa ghi kiện, hacker thực tay Windows Event Viewer Tiện ích elsave.exe cơng cụ đơn giản để xóa ghi kiện Winzapper cơng cụ mà kẻ cơng sử dụng để xóa ghi kiện, chọn lọc từ cửa sổ đăng nhập bảo mật năm 2000 Winzapper đảm bảo khơng có kiện bảo mật lưu lại chương trình chạy Evidence Eliminator trình xóa liệu máy tính Windows Nó ngăn ngừa khơng cho liệu trở thành file ẩn vĩnh viễn hệ thống Nó làm thùng rác, nhớ cache internet, hệ thống tập tin, thư mục temp… Evidence Eliminator hacker sử dụng để loại bỏ chứng từ hệ thống sau công Tổng Kết Hiểu tầm quan trọng bảo mật mật Thực thay đổi mật khoảng thời gian đó, mật mạnh, biện pháp bảo mật khác quan trọng an ninh mạng Biết loại công mật khác Passive online bao gồm sniffing, man-in-themiddle, replay Active online bao gồm đoán mật tự động Offline attacks bao gồm dictionary, hybrid, brute force Nonelectronic bao gồm surfing, keyboard sniffing, social engineering Biết làm để có chứng activite hacking loại bỏ kẻ cơng Xố ghi kiện vơ hiệu hố phương pháp kiểm tra kẻ công sử dụng để che dấu vết chúng Nhận tập tin ẩn phương tiện sử dụng để lấy thông tin nhạy cảm Steganography, NTFS File, lệnh attrib cách tin tặc ẩn ăn cắp tập tin ... nonce với hash mật gửi trở lại domain controller Domain controller trả lời hash mật từ sở liệu tài khoản bảo mật 5 Domain controller sử dụng giá trị băm lấy từ sở liệu tài khoản bảo mật để mã hóa... quan trọng bảo mật mật Thực thay đổi mật khoảng thời gian đó, mật mạnh, biện pháp bảo mật khác quan trọng an ninh mạng Biết loại công mật khác Passive online bao gồm sniffing, man-in-themiddle,... sổ đăng nhập bảo mật năm 2000 Winzapper đảm bảo khơng có kiện bảo mật lưu lại chương trình chạy Evidence Eliminator trình xóa liệu máy tính Windows Nó ngăn ngừa khơng cho liệu trở thành file ẩn