B ộ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN NGHIÊN CỨU TẤN CÔNG WIRELESS NETWORK VÀ PHƯƠNG PHÁP TRUY TÌM DẤU VÉT TỘI PHẠM WIRELESS NETWORK ĐỖ NGỌC ANH HÀ N Ộ I-2015 Bộ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỢC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ NGHIÊN CỨU TẤN CÔNG WIRELESS NETWORK VÀ PHƯƠNG PHÁP TRUY TÌM DẤU VẾT TỘI PHẠM Thu WIRELESS NETWORK1 Nội CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN MÃ SỔ: 60480201 HƯ ỚNG DÀN KHOA H Ọ C : TS ĐỎ XUÂN C H Ợ HÀ NỘI - 2015 LỜI CAM ĐOAN Những kết nghicn cứu trình bày luận văn hoàn toàn trung thực, neuồn liệu tham khảo trích dẫn đầy đủ, không vi phạm điều luật sở hữu trí tuệ pháp luật Việt Nam Ncu sai, hoàn toàn chịu trách nhiệm trước Nhà trường pháp luật TÁC GIẢ LUẬN VĂN Đỗ Ngọc Anh Thư viện Viện Đại học Mỏ' Hà Nội LỜI CẢM ƠN Trong trình thực dề tài "Nghicn cứu tan công Wireless Network phươna pháp truy tìm dấu vết tội phạm Wireless Network”, nhận nhiều giúp dỡ, tạo điều kiện tập lãnh đạo Viện Đại học Mờ Hà Nội, tập thể thầy, cô giáo công tác giảng dạy Khoa Đào tạo Sau Đại học, Khoa Công nghệ Thông tin Tôi xin bày tỏ lòng cám ưn chân thành giúp đỡ cùa quý thầy cô Tôi xin bày tỏ lòng biết ơn sâu sác tới TS Đổ Xuân Chợ, người thầy trực tiếp hướng dẫn chi bào cho hoàn thành luận văn đúnn tiến độ đạt tiêu chuẩn theo yêu cầu Nhà trường Tôi xin chân thành cám ơn bạn bè, đồng nghiệp cũa đana công tác Trung tâm Dịch vụ Hồ trợ Sinh viên, BCH Đoàn Thanh niên Viện Đại học Mớ Hà Nội gia đình động viên, khích lệ, tạo điều kiện giúp đỡ suốt trình thực hoàn thành luận văn Tác giá: Dỗ Ngọc Anh MỤC LỤC MỚ Đ ÀU .1 CHƯƠNG TÒNG QUAN VỀ AN TOÀN THÔNG TIN MẠNG KHÔNG DÂY 1.1 Tổng quan an toàn hệ thống thông tin 1.2 Nguy an ninh, an toàn thông tin, liệu 1.3 Tồng quan mạng máy tính không dây 1.3.1 Giới thiệu mạng máy tính không dây 1.3.2 Phân loại mạng không dây theo phạm vi phủ sóng 1.3.2.1 WPAN (Wireless Personal Area Network) 1.3.2.2 WLAN (Wireless Local Area Network) 1.3.2.3 WMAN (Wireless Metropolitan Area Network) 1.3.2.4 WWAN (Wireless Wide Area Network) 1.3.3 ưu điểm cùa‘mạng'tìiầy tính klìộHgidậy ^l0 lTl.3 Nọ.l .10 1.3.4 Hoạt động mạng máy tính không dây 11 1.3.5 So sánh ưu nhược điểm mạng không dây mạng có dây 12 1.3.6 Các mô hình mạng máy tính không dây b ả n 13 1.3.6.1 Kiểu Ad - hoc 13 1.3.6.2 Kiểu Infrastructure 14 1.3.7 Cự ly truyền sóng, tốc độ truyền liệu 14 1.3.8 Các loại mã hoá mạng không d ây 15 1.3.8.1 Mã hóa W EP 15 1.3.8.2 Mã hóa WPA 15 1.3.8.3 Mã hóa WPA2 16 1.3.9 Các chuẩn mạng không dây (802.11) 16 1.3.9.1 Nhóm lớp vật lý PHY 18 iii 1.3.9.2 Nhóm lóp liên kết liệu MAC 19 1.3.10.Tiêu chí đánh giá an toàn mạng không dây 20 1.3.10.1 Đánh giá phưomg diện vật lý 20 1.3.10.2 Đánh giá phương diện logic 20 1.4 Kết luận chương 23 CHƯƠNG TÒNG QUAN VÊ TÁN CÔNG WIRELESS NETWORK .24 2.1 Các loại hình công mạng phương pháp đảm bảo an ninh mạng 24 2.1.1 Các loại hình công mạng .24 2.1.1.1 Theo tính chất xâm hại thông tin 24 2.1.1.2 Theo vị trí mạng bị công 24 2.1.1.3 Theo kỹ thuật công 24 2.1.2 Các phương pháp đám bảo an ninh mạng 25 2.2 Phân loại an ‘f f t f f ^ ^ t o Ì Ì ĩ Ọ C " M Ử - H N Ở Ì 27 2.2.1 Phân loại an toàn mạng không dây theo nguyên lý hoạt động 27 2.2.2 Phân loại an toàn mạng không dây theo tính chất công 34 2.3 Các công cụ hỗ trợ công mạng không dây 44 2.4 Ket thực nghiệm 47 Mô phóng công 47 2.5 Kết luận chương 53 CHƯƠNG NGHIÊN c ứ u PHƯƠNG PHÁP TRUY TÌM DẤU VÉT TỘI PHẠM TÁN CÔNG WIRELESS NETWORK .54 3.1 Tội phạm máy tính điều tra tội phạm máy tính 54 3.1.1 Tội phạm máy tính .54 3.1.2 Điều tra tội phạm máy tính .54 3.1.2.1 Khái niệm điều tra máy tính 54 3.1.2.2 Lịch sứ điều tra máy tính quy phạm pháp luật 55 iv 3.1.2.3 Các nguyên tắc điều tra tội phạm máy tính 56 3.1.2.4 Quy trình điều tra tội phạm công Wireless Network theo chuẩn CHFI 59 3.1.2.5 Quy trình điều tra tội phạm công Wireless Network học viên đề xuất 62 3.2 Các công cụ hỗ trợ truy tìm dấu vết tội phạm công Wireless Network 64 3.2.1 Công cụ phần cứng 64 3.2.1.1 Các máy trạm 65 3.2.1.2 Thiết bị có khả chống ghi (Write - Blocker) 66 3.2.2 Công cụ phần m ềm 67 3.2.2.1 Các công cụ phát mạng wifi 67 3.2.2.2 Các công cụ phân tích gói tin 69 3.3 Mô phòng điều tra công khắc phuc hệ thống 75 Thư viện Viện Đại học Mở Ha Nội 3.3.1 Phân tích dựa file pcap thu .75 3.3.2 Phân tích máy tính nạn nhân 81 3.3.3 Khắc phục hậu 85 3.4 Tồng kết chương 86 KẾT LUẬN 87 HƯỚNG PHÁT TR1ÉN ĐÈ TÀI .88 DANH MỤC CÁC TÀI LIỆU THAM KHÁO 89 V DANH MỤC CÁC CHỬVIÉT TẮT AP Access point DOS Denial of service HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IKE Internet Key Exchange LAN Local Area Network MAC Media Access Control MAN Metropolitan Area Network QoS Quality of Service SSID WAN Service Set ID 'lệ n V iệ n Đ Ẹ Ĩ llfW i^ ^ rü - N e W r k WEP Wired Equivalent Protocol WPA Wifi Protected Access WPA2 Wifi Protected Access-version vi DANH MỤC CÁC HÌNH Hình 1.1 Báo cáo vi phạm dừ liệu đen năm 2013 .5 Hình 1.2 Thống kê an toàn thông tin từ Hacking, Malware,Social Hình 1.3 Thống kê McAfee mã độc công thiết bị di độngAndroid Hình 1.4: Mô hình mạng Ad - hoc (hay mạng ngang hàng) 14 Hình 2.1: Mô tả trình chứng thực địa M A C .29 Hình 2.2: Mô tả trình chứng thực bang SSID 30 Hình 2.4: Giá trị SSID AP phát chế độ quáng bá 33 Hình 2.5: Giá trị SS1D AP phát chế độ trà lời Client 33 Hình 2.6: Giao diện phần mềm bắt gói tin Ethereal 35 Hình 2.7: Giao diện Phần mềm NetStumbler 36 Hình 2.8: Mô tả trình công DOS tầng liên kết liệu 39 Hình 2.9: Mô tà trình công mạng AP già mạo 41 Hình 2.10: Mô tả trình công theo kiều chèn é p 43 Hình 2.11: Mô tá quá: trình cộng tịie$(ụiềậ|thụ Hộtơ-H-à-NÔi 43 Hình 2.12 Quá trình quét cổng công cụ Zenmap 48 Hình 2.13: Giao diện chương trình Metasploit 49 Hình 2.14: Giao diện hình tìm mã lỗi msl 1_003 49 Hình 2.15: Sử dụng kiểm tra thông số cùa MSI 1_003 .50 Hình 2.16: Cài đặt cho tập tin chứa mã đ ộ c 50 Hình 2.17: Khới tạo trình công Hình 2.18 Thực leo thang đặc quyền 51 Hình 2.19: Download Upload liệu từ máy nạn nhân 52 Hình 2.20: Cài đặt Trojan 52 Hình 2.21: Kiểm tra tập tin backdoor .53 Hình 2.22: Xóa bỏ dấu vết công 53 Hình 3.1: Ba yếu tố bàn trình điều tra .58 Hình 3.2: Một số công cụ thông dụng phát mạng wifi 67 Hình 3.3: Giao diện phần mềm Wifi Hopper 68 vii Hình 3.4: Giao diện phần mềm Net Stumbler 69 Hình 3.5: Giao diện phần mềm Microsoft Network Monitor 3.2 70 Hình 3.6: Giao diện phần mềm Wireshark .71 Hình 3.7: Giao diện phần mềm IP Sniffer 72 Hình 3.8: Giao diện phần mềm PacketMon 73 Hình 3.9: Giao diện phần mềm SmartSniff 73 Hình 3.10: Giao diện phần mềm VisualSniffer 74 Hình 3.11: Danh sách gói tin thời điểm máy bị công .75 Hình 3.12: Danh sách địa chi 1P bát 75 Hình 3.13: Các thông tin khác công .76 Hình 3.14: Danh sách phiên làm việc máy công máy nạn nhân 76 Hình 3.15: Thông tin thời gian bắt đầu công 77 Hình 3.16: Thông tin cách thức công 77 Hình 3.17: Thông tin thời gian kết thúc công 77 Hình 3.18: Thông lịn,Ỵjĩ tỊỹgệ Ịhờk|iap công 78 Hình 3.19: Thông tin cụ thể gói tin geDt.html 79 Hình 3.20: Thông tin lỗ hổng trình duyệt IE 8.0 80 Hình 3.21: Thông tin thêm gói tin trao đồi khoảng thời gian công 80 Hình 3.22: Các chức bị vô hiệu hóa máy tính nạn nhân .81 Hình 3.23: Kiểm tra lịch sử trình duyệt 1E8 máy tính nạn nhân 82 Hình 3.24: Kiểm tra Event Viewer máy tính nạn nhân 82 Hình 3.25: Các thư mục có thay đổi máy tính nạn nhân 83 thời điểm máy tính bị công 83 Hình 3.26: Kiểm tra thư mục Documents (có thay đồi) máy tính nạn nhân 84 Hình 3.27: Kết phân tích file WindowUpdate.exe 84 Hình 3.28: Chính sửa registry để kích hoạt Task Manager .85 Hình 3.29: Giao diện phần mềm EaseUS Data Recovery 86 viii nhu nhũng hệ thống máy chủ hay chi máy trạm bình thường việc hư hỏng phần cứng điều không tránh khỏi, kế hoạch dự phòng lường trước rũi ro có cố liên quan đến phần cứng gây tác hại lớn đến công tác điều tra 3.2.1.1 Các máy trạm Nhiều nhà sản xuất thiết bị máy tính cung cấp loạt lựa chọn cho máy trạm điều tra chứng Tùy theo nhu cầu công việc mà lựa chọn thành phần phần cứng thích hợp Lưu ý rằng, việc lựa chọn thích hợp không liên quan đến việc phai chọn sàn phẩm tốt hay đất nhất, mà điều quan trọng phai đáp ứng nhu cầu công việc, thích hợp với nguồn ngân sách cùa công ty hay cá nhân nhà điều tra Một điểm cần quan tâm máy tính dùng cho việc điều tra chứng số cần có kết nối đến nhiều thiết bị nsoại vi khác nhu việc gắn kết nhiều cúng bên qua cồng USB Do đó, lựa chọn phần cứng nên ý tới nhu cầu Nếu diều tíả Viên qu^nTỹ phòng thí'nghiệm lỏn cùa sở cảnh sát cần phái có kho dự trữ thiết bị đế phòns ngừa bất trẳc Ngoài ra, đề xứ lý thiết bị tình nghi đa dạng, nhiều chùng loại đòi hỏi có hai hay ba cấu hình khác cùa máy tính Khi định xây dựng trạm làm việc vượt kỹ hay kinh nghiệm phần cứng mà có, nhờ tư vấn chuyên gia máy tính hay nhà cung cấp máy trạm điều tra chứng số chuyên nghiệp ví dụ phận F.R.E.D Digital Intelligence hay Dual Xeon Workstation từ ForensicPC Đây công ty Mỹ, Việt Nam nhờ hồ trợ từ phòng kỹ thuật công ty sán xuất máy tính lớn FPT CMC Trước mua xây dựng trạm làm việc cho công tác điều tra máy tính, cần xác định vị trí tiến hành thu thập liệu, hay bắt buộc thu thập liệu trường cần phăi tinh gián công cụ sử dụng Ví dụ với thiết bị chống ghi FireWire kiều chuẩn USB 2.0 ta thu thập 65 liệu cách dễ dàng thông qua Digital Intelligence FireChief máy tính máy tính xách tay Còn ta muốn giảm số lượng phần cứng phái đcm theo xem xét sản phẩm Forensic Wiebe Tech Drive Dock với cầu nối Drive Dock FireWire Drive Dock hay Logicubc Talon Bên cạnh đó, chọn máy tính điều tra có cấu hình nhẹ nên trang bị thêm ổ chuyển đồi 2,5-inch để phân tích ố đĩa cứng máy xách tay điều khiển cứng 3.5-inch IDE đương nhiên phải có chế báo vệ chống ghi Ngoài ra, nguồn cung cấp điện nên có công suất 400- watt kèm thêm pin dự phòng cáp liệu, card điều khiến SCSI, cổng gắn FireWire USB thiết bị kết nối ố SATA ổ IDE (PATA), thêm vào bàn phím chuột, card dồ họa tốt với hình 17-inch Neu dù kinh phí có kế hoạch thực nhiều điều tra , nên sắm card đồ họa hình cao cap Nhưng điều qua trọng lựa chọn thiết bj có thề đáp ứng yêu cầu Và phãi biết xác yêu cầu công việc thân đề có thề lên kế hoạch xây dựng trạm làm việc thích hợp Và hệ thống tốt hệ thống nâng cấp, mở rộng dễ dàng 3.2.1.2 Thiết bị có khà chống ghi (Write - Blocker) Vấn đề đọc hay thu thập liệu ngăn ngừa tác động đến liệu chứng từ chương trình hay dịch vụ hệ thống Đe thực điều cần có phần mềm hay thiết bị hồ trợ chống ahi write-blocker Những phần mềm PDBlock Digital Intelligence chạy chế độ shell (ví dụ hệ điều hành DOS) có khả thay đối ngắt 13 (interrupt 13) để ngăn hệ thống ghi lên thiết bị PDBlock chi có thề chạy chế độ DOS thực sự, khôns chạy chế độ shell Windows MS-DOS Đối với phần cứng write-blocker, thiết bị đóng vai trò cầu nối cứng tình nghi với máy trạm làm việc, chúng có nhiệm vụ giúp hộ điều hành Linux hay Windows tác động vào liệu ỗ chứng Thông thường, thiết 66 bị phần cứng write-blocker sử dụng chương trình điều khiến dạng GUI chạy Windows Có nhiều nhà cung cấp thiết bị phần cứng write-blocker kết nối đĩa với máy tính thông qua FireWire, USB 2.0, SATA, hay điều khiển SCSI Hầu hết thiết bị cho phép gắn vào hay tháo mà không cần phái tắt hay khởi động lại máy tính 3.2.2 Công cụ phần mềm 3.2.2.1 Các công cụ phát mạng wifi Đây công cụ giúp điều tra viên phân tích khai thác thông tin mạng không dày sử dụng chuẩn WLAN 802.11 a 802.11 g Wi-Fi Tools ^ W IFI H o p p e r Ạ w J -4 | W a v e s tu m b le r imp //wwwtqurt net l H Í Jl r* r* s M e r a k i W iFi S t u m b le r httpy/merakUom W e lle n r e it e r http//w~r»rnrrXrr tource/otợe.net iS tu m b le r http-//www.Htumptrrnet A irC h e c k W I-FI T e s te r W iF in d e r A ir R a d a r : Hình 3.2: Một số công cụ thông dụng phát mạng win Wifi Hopper Đây công cụ tuyệt vời cho việc phát mạng gần việc xử lý thông tin chúng, dẻ bảo đám cho bạn dỗ dàng việc định nên chọn mạng đế kết nối Nó có thề quét mạng Wi-Fi báo cáo mạng đó, SSID (tên mạng), địa MAC cùa router không dây, cường độ tín hiệu, mạng có mã hóa không, kiều mã hóa trạng thái kết nối cita bạn sao, với tẩn số mạng hoạt động 67 Nó báo cáo mạng có nằm chế độ sờ hạ tầng (nơi bạn kết nối với router không dây) chế độ ad hoe (kết nối máy tính) Các kết nối ad hoe thường chứa nhiều mối nguy rình rập, bạn nên tránh xa chúng trừ bạn biết cách xác sờ hữu kết nối Nói chung bạn xem đồ họa cường độ tín hiệu theo thời gian thực mạng gần Và để kết nối với mạng mà WiFi Hopper tìm thấv bạn cần kích đúp chuột vào Hình 3.3: Gia« diện phần mềm Wifi Hopper Net Stumbler Đây công cụ dành cho Windows nhằm mục đích tìm kiếm kiểm tra mạng WLAN sử dụng chuẩn 802.1 la, 802.1 lb 802.11 Chương trình sử dụng cho: - Wardriving - Xác định cấu hình mạng - Phát truy cập trái phép vào mạng wifi - Phát điểm truy cập giả mạo 68 EJo £dt ' i l l Cjxxrr jVrflOA tJOp D ¿ a > »I > s i i • Ỹ H'lijh 3.4: Giao diện phần mềm Net.Stumbler 3.2.2.2 Các công cụ phân tích gói tin Một số chức tiêu biểu chương trình phân tích gói tin: - Tự động chọn lọc mật khấu tên người dùng từ mạng Có thể dùng đe bẽ khóa hệ thống - Chuyền đồi liệu thành định dạng đọc đế người có thề đọc traffic - Phân tích khuyết điếm đé phát vấn đề cùa mạng, máy tính A không thé nói chuyện với máy tính B - Trình diễn phân tích đề phát "nút cổ chai" cua mạng - Phát xâm nhập mạng đẻ tìm hacker/cracker - Ghi nhật kí traffic mạng, giúp lần dấu vết cùa hacker Dưói dây xem xét chương trình phân tích gói tin phổ biến hiệu nhất: 69 Microsoft Network Monitor 3.2 Kê từ phiên Windows NT 4.0, Microsoft có chương trình packet sniffer tốt Network Monitor, Microsoft Network Monitor 3.2 phiên Netmon, chương trình cho phép bạn bát xem phân tích liệu mạng giao thức giãi mã Bạn dùng giúp cho việc chẩn đoán vấn đề mạng ứng dụng mạng Hình 3.5: Giao diện phần niềm Microsoft Network Monitor 3.2 W ireshark Wireshark trình phân tích giao thức mạng tốt giới, nhân lố chuẩn cùa nhiều tố chức giáo dục côna nghiệp Wireshark dùng chuyên gia mạng khấp giới để giải phân tích phát triển phần mềm giao thức Nó có tất tính tiêu chuẩn mà bạn mong muốn trình phân tích giao thức vài tính sản phẩm khác Nó chạy trôn tất hệ điều hành biến nhất, bao gồm Unix, Linux, Windows 70 Hình 3.6: Giao diện phần mềm Wireshark IP Sniffer IP Sniffer có tính filter, decode, replay, parse Một so công cụ IP Sniffer là: quán lý băng thông, thống kê Adapter, liệt kê quán lý entry ARP phân tích IP từ/tới Mac, quét ARP tạo proxy ARP gửi WAKEUP call RARP client/server, liệt kê quàn lý router, enable & disable host route, danh sách quàn lý cống mở tiến trình cùng, xem cấu hình mạng (giao diện, adapters, tham số), Spoof ARP, thay đối địa chi MAC, SNMP Get & Set, List interface, switch port mapper Media attachment Unit table, Net to media table, network stats, connection table, WINS and DNS query, Whois Query nhiều tính khác 71 Hình 3.7: Giao diện phần mềm IP Snifter PacketMon PacketMon công cụ nhanh đơn giàn dùng theo dõi mạng Nó cho phép bạn bắt IP packet truyền qua giao diện mạng cùa bạn - khởi đầu từ máy mà Packetmon dược cài đặt, máy khác mạng bạn Khi packet nhận, bạn kiểm tra header nội dung nó, bạn export kết quà đến file cho phép import chương trình yêu thích bạn Ngoài PackctMon có hệ thống luật mạnh cho phép bạn thu hẹp packet bắt đề đâm bảo cho bạn thu xác packet mà bạn cần 72 Hình 3.8: Giao diện phần mềm PacketMon SmartSniff SmartSniff cho phép bạn bát packet TCP/IP thông qua card mạng mình, xem liệu bắt dạng chuồi đàm thoại client server Bạn xem đàm thoại TCP/IP chế độ Ascii (bao gồm giao thức HTTP SMTP, POP3 FTP) dạng hex dump (như DNS) Hình 3.9: Giao diện phần mềm SmartSnitT 73 VisualSniffer Visual Sniffer công cụ bắt packet mạnh trình phân tích giao thức sứ dụng cho hệ thống Windows VisualSniffer 2.0 phan mềm miền phí VisualSniffer có thề dùng người quàn trị mạng LAN, chuyên nghiệp bão mật với hệ thống phát xâm nhập, ghi nhật kí traffic mạng Nó có thê dùng bời người viết chương trình mạng cho mục đích kiếm tra phát triển cùa chương trình gứi nhận, mục đích khác Ví dụ, phụ huynh muốn biết họ làm online Neu bạn lưu trữ liệu quan hệ thống, bạn cần biết liệu bạn có gửi hay không bời "Adware" "Spyware" Neu bạn sinh viên.có thể bạn muốn biết mạng cùa bạn làm việc chế giao thức mạng Hình 3.10: Giao diện phần mềm VisualSniffer 74 3.3 Mô điều tra công khắc phục hệ thống Nhiệm vụ điều tra viên phải tìm thông tin cùa kẻ công, lỗ hổng bị khai thác khác phục hệ thống với giã thuyết công công thực chương 3.3.1 Phăn tích dựa fìle pcap thu - Địa chi IP ké lấn công nạn nhân Mờ file pcap thu Wireshark, có thê thấy danh sách gói tin thời điểm máy nạn nhân bị tân công Hình 3.11: Danh sách gối tin thòi điểm máy hị công Vào Menu Statistics/Enpoint List/IP v4 để xem danh sách IP bắt Hình 3.12: Danh sách địa chi' IP bắt Chúng ta ý vào 1P dó 192.168.6.129 : IP kẽ công 192.168.6.138: 1P nạn nhân 75 - Thông tin kè công Thông tin khung chi tiết gói tin, cho ta biết máy kẻ công có địa ĨP cùa máy công 192.168.6.129 địa MAC 0008e23b560l Từ địa chi 1P suy kẻ tan công nhân viên nội công ty Đố thuyết phục cần tìm thêm thông tin khác công Hình 3.13: Các thông tin khác công - Có phicn TCP file dump ? Đe xem số phiên TCP có, ta vào Menu Statistics —> Conversations, chọn tab TCP Hình 3.14: Danh sách phiên làm việc máy công máy nạn nhân 76 Chúng ta thấy có đến 3000 phiên làm việc kẻ công máy nạn nhân Từ thông số cổng (port) packet có đung lượng nhỏ gửi đến liên tục kết luận trước tiến hành công, kẻ công tiến hành quct cổng thông qua 1P nạn nhân - Thời gian công ? Tiến hành kiểm tra thời gian frame có the kết luận sau + Frame A r r i v a l Time: o c t 6, 2015 0:5 :2 7 0 SE A s ia Stan d ard Time Hình 3.15: Thông tin thòi gian bắt đầu công Ngoài ta thấy từ frame đau tiên đến frame thứ 4661 kẻ công liên tục gửi tín hiệu cờ lệnh SYN đến nạn nhân, từ phóng đoán khoáng thời gian này, kè công cố gang quét cổng để tìm kiếm thông tin lồ hổng máy nạn nhân B Frame 4661: 66 bytes on wire (528 b it s ), 66 bytes captured (528 b it s ) on interface interface id : (\Device\NPF_{F67336c0-7c0c-448E-B8CC-0D538c34CB56}) Encapsulation type: Ethernet (1) r rF aF r h i r> Art A n n Art A A Hình 3.16: Thông tin VC cách thức công + Frame cuối B Frame 1 : 60 b y te s on w ir e (4 b i t s ) , 60 b y te s c a p t u re d (4 b i t s ) on i n t e r f a c e i n t e r f a c e i d : (\ D e v ic e \N P F _ {F 3 C -7 C C -4 E -B C C -0 D C C B }) E n c a p s u l a t io n t y p e : E t h e rn e t ( ) Hình 3.17: Thông tin thòi gian kết thúc công Từ thông tin trên, bước đầu rút trình công chia làm giai đoạn: s Giai đoạn Từ 20h50p25s đến 20h53p21s (2 phút 56s): Kè công tìm kiếm thông tin lồ hồng biện pháp quét cổng s Giai đoạn Từ 20h53p21s đến 21 ho 1p21s (8 phút) : Ké công tiến hành công vào máy tính nạn nhân Toàn công kéo dài 10 phút 56 giây 77 - Dịch vụ máy nạn nhân mục tiêu lấn công? Lồ hống gì? - Kiểm tra gói tin khoảng thời gian ké tan cône tiến hành công vào máy nạn nhân, ý đến I gói tin có giao thức HTTP cổng 80 Chúne ta có thổ thấy máy nạn nhân download xuống I tệp tin html từ IP kẻ công phương thức GET Hình 3.18: Thông tin gói tin trao đối khoáng thòi gian công Nhấp chuột phải vào gói tin, chọn follow TCP Stream, có đầy dù nội dung nói chuyện máy tính Chúng ta nhận thấy nạn nhân dã download I file nghi ngờ chứa mã dộc từ đường link: “ 192.168.6.1:6969/mTeYhA/qeDt.htmr trình duyệt Internet Explorer Qua kết luận kè công lợi dụng lỗ hống trình duyệt 1E8.0 dụ dồ nạn nhân click vào đường link chứa mã độc 78 Hình 3.19: Thông tin cụ thể gói tin geDt.html Tiến hành lưu nội dung bang cách chọn Save As đặt đuôi exe, gửi mẫu filé nà^ dèn írản| web httpsV//wWw.virtistotàl.com đề kiềm tra Ket kiểm tra cho thấy Shellcode chèn vào trang văn bàn HTML đế khai thác lồ hống trình duyệt IE8.0 https://www.virustotal.com/cn/file/ac451a368220cc6827a7bc0add 1b881fedfd8ad 15 16b368bff5ddd523bfab467/anal vsis/1444145626/ Đc hiếu rõ vồ lỗ hổng này, có thê tham kháo tại: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3971 https://technet.microsoft.com/librarv/securitv/ms 11 -003 79