Module SYSTEM HACKING Các Chủ Đề Chính Trong Chương Này Bẻ Khóa Mật Khẩu Leo Thang Đặc Quyền Thực Thi Chương Trình Che Dấu Tập Tin Xóa Dấu Vết Trong chương thảo luận chủ đề System Hacking bao gồm thao tác công vào hệ thống Như trình bày phần Scanning Enumeration tiến trình System Hacking gồm sáu bước , Enumration bước lại :      Bẻ Khóa Mật Khẩu Leo Thang Đặc Quyền Thực Thi Chương Trình Che Dấu Tập Tin Xóa Dấu Vết Các giảng chủ đề System Hacking - Giới thiệu System Hacking http://youtu.be/Qgh43mNbbPg Leo thang đặc quyền http://youtu.be/DNpZzOwz-Rs Thực thi ứng dụng http://youtu.be/lr0lEOuh8ts Phần - Bẻ Khóa Mật Khẩu Rất nhiều tình công hệ thống bắt đầu với việc phá mật thông tin quan trọng để truy cập vào hệ thống Có nhiều dạng mật khác thông thường người dùng muốn truy cập vào hệ thống hệ điều hành Windows cần phải cung cấp thông tin gồm tài khoản với mật liên quan Vì nhiều lý cá nhân mà người sử dụng thường đặt mật dễ nhớ liên quan đến thông tin đặc biệt ngày sinh, số điện thoại tên người yêu, thú cưng Do mà việc công mật thường có tỉ lệ thành công cao Đặc biệt, mật lại thường dùng chung cho nhiều dịch vụ khác mật hệ thống bị phá vỡ hệ thống khác chịu chung số phận tình mà hacker thuộc nhóm Luzsec công vào diễn đàn công ty bảo mật danh tiếng BKIS công bố blog Một việc bẻ khóa thành công hacker tiến hành thao tác leo thang đặc quyền, chạy chương trình nguy hiểm hệ thống bị công sau tiến hành che dấu tập tin, xóa dấu vết để phòng chống bị điều tra Có nhiều kỹ thuật bẻ khóa khác từ phương pháp thủ công tự động dựa chế dò từ điển hay công brute-force Để công theo dạng thủ công hacker đoán mật tài khoản (thường Administrator) dựa đặc điểm người dùng số điện thoại, ngày sinh, … tiến hành thử nghiệm đăng nhập thành công Với phương pháp này, hacker cần phải tìm hiểu thông tin người dùng kỹ thông qua sở liệu công bố internet hay mối quan hệ thân quen nạn nhân Còn có cách thức hiệu hơn, hacker tìm cách đánh cắp tập tin mật lưu trữ máy tính tập tin /etc/passwd Linux, tập tin SAM hệ thống Windows Các tập tin chứa thông tin người dùng mật mã hóa chiều theo thuận toán băm (MD5, SHA) sau sử dụng công cụ để tiến hành bẻ khóa theo dạng brute-force hay dò từ điển Một cách tổng quan, có bốn dạng công mật :  Passive Online: Nghe trôm thay đổi mật mạng Cuộc công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, replay attacks (tấn công dựa vào phản hồi)  Active Online: Đoán trước mật nguời quản trị Các công trực tuyến bao gồm việc đoán password tự động  Offline: Các kiểu công Dictionary, hybrid, brute-force  Non-Electronic: Các công dựa vào yếu tố người Social engineering, Phising… Passive Online Attack Một công thụ động trực tuyến đánh (sniffing) để tìm dấu vết, mật mạng Mật bị bắt (capture) trình xác thực sau so sánh với từ điển (dictionary) danh sách từ (word list) Tài khoản người dùng có mật thường băm (hashed) mã hóa (encrypted) trước gửi lên mạng để ngăn chặn truy cập trái phép sử dụng Nếu mật bảo vệ cách trên,một số công cụ đặc biệt giúp hacker phá vỡ thuật toán mã hóa mật Active Online Attack Cách dễ để đạt cấp độ truy cập quản trị viên hệ thống phải đoán từ đơn giản thông qua giả định quản trị viên sử dụng mật đơn giản Mật đoán để công Active Online Attack dựa yếu tố người tham gia vào việc tạo mật cách công hữu dụng với mật yếu Trong chương 6, thảo luận giai đoạn Enumeration, bạn học lỗ hổng NetBIOS Enumeration Null Session Giả sử NetBIOS TCP mở port 139, phương pháp hiệu để đột nhập vào Win NT hệ thống Windows 2000 đoán mật Cái thực cách cố gắng kết nối đến hệ thống giống quản trị viên thực Tài khoản mật kết hợp để đăng nhập vào hệ thống Một hacker, thử để kết nối với tài nguyên chia mặc định Admin$, C$ C:\Windows Để kết nối tới ổ đĩa máy tính, ổ đĩa chia sẻ, gõ lệnh sau Start > Run: \\ ip_address \ c$ Các chương trình tự động nhanh chóng tạo file từ điển, danh sách từ, kết hợp tất có chữ cái, số ký tự đặc biệt cố gắng để đăng nhập vào Hầu hết hệ thống ngăn chặn kiểu công cách thiết lập số lượng tối đa nỗ lực đăng nhập vào hệ thống trước tài khoản bị khóa (ví dụ bạn đăng nhập vào trang web mà bạn nhập sai password lần tài khoản bạn từ động bị khóa lại ngày) Offline Attack Cuộc công Offline thực vị trí khác hành động máy tính có chứa mật nơi mật sử dụng Cuộc công Offline yêu cầu phần cứng để truy cập vật lý vào máy tính chép tập tin mật từ hệ thống lên phương tiện di động Hacker sau có file tiếp tục khai thác lỗ hổng bảo mật Bảng sau minh họa vài loại hình công offline: Các kiểu công Offline Type of Attack Dictionary attack Hybrid attack Brute-force-attack Characteristics Nỗ lực để sử dụng mật từ từ điển Thay vài ký tự mật Thay đổi toàn ký tự mật Example Password Administrator Adm1n1strator Ms!tr245@F5a Dictionary Attack cách công đơn giản nhanh loại hình công Nó sử dụng để xác định mật từ thực tế, mật tìm thấy từ điển Thông thường nhất, công sử dụng tập tin từ điển từ có thể, sau sử dụng thuật toán sử dụng trình xác thực Các hàm băm (hash) từ từ điển so sánh với hàm băm mật người dùng đăng nhập vào, với mật lưu trữ tập tin máy chủ Dictionary Attack làm việc mật thực thể có từ điển Nhưng kiểu công có số hạn chế sử dụng với mật mạnh có chứa số ký hiệu khác Hybrid Attack cấp độ hacker, nỗ lực mật tìm thấy cách sử dụng Dictionary Attack Các công Hybrid bắt đầu với tập tin từ điển thay số ký hiệu cho ký tự mật Ví dụ, nhiều người sử dụng thêm số vào cuối mật họ để đáp ứng yêu cầu mật mạnh Hybrid thiết kế để tìm loại bất thường mật Brute Force Attack công thuật toán brute-force, mà cố gắng kết hợp có chữ hoa chữ thường, chữ cái, số, biểu tượng Một công thuật toán brute-force chậm ba loại công kết hợp nhiều ký tự mật Tuy nhiên, cách có hiệu quả, cần có đủ thời gian sức mạnh xử lý tất Noneelectronic Attack Các công nonelectronic dạng công mà không sử dụng kiến thức kỹ thuật Loại công bao gồm kỹ thuật social engineering, shoulder surfing, keyboard sniffing, dumpster diving Công Cụ Tấn Công Legion : Đây công cụ có khả quét nhiều máy tính lúc thông qua dãy địa IP để tìm tài nguyên chia đoán mật người dùng tự động L0pht Crack : ứng dụng thường đề cập câu hỏi kì thi lấy chứng CEH, L0pht Crack (còn gọi tắt với tên LC5 hay LC6 tùy theo phiên ứng dụng) có khả bẻ khóa mật mạnh mẽ dựa liệu từ điển có sẳn ứng dụng hay tiến hành bẻ khóa theo dạng brute-force (quét cạn) dò tìm điển không thành công Với ứng dụng này, máy tính có cấu hình mạnh tỉ lệ thành công cao Join The Riper : Ứng dụng dạng dòng lệnh bẻ khóa mật hệ thống Unix Windows KerbCrack : Chương trình gồm hai thành phần : kerbsniff kerbcrack, kerbsniff lắng nghe bắt giữ thông tin đăng nhập hệ thống Windows 2000 / XP / 2003 / Vista sau gởi đến cho kerbcrack bẻ khóa thông qua phương pháp quét cạn hay dùng từ điển Thế Nào Là LanManager Hash ? Windows 2000 sử dụng NT Lan Manager (NTLM) để tiến hành băm bảo vệ mật truyền mạng Tuy nhiên phương pháp bảo vệ yếu dễ dàng bị bẻ khóa, dụ ta có mật 123456abcdef mã hóa với NTLM trước tiên chuyển đổi thành kí tự chữ hoa 123456ABCDEF sau điền vào khoảng trắng cho đủ 14 kí tự 123456ABCDEF Trước mật mã hóa chuổi kí tự chia đôi thành 123456A BCDEF tiến hành mã hóa riêng cho nhóm với kết sau : 123456A = 6BF11E04AFAB197F BCDEF = F1E9FFDCC75575B15 Và ghép lại thành chuỗi kết đích 6BF11E04AFAB197FF1E9FFDCC75575B15 Với mật này, phần mật mã hóa bao gồm kí tự chữ số gây đôi chút khó khăn cho L0phtCrack, ứng dụng cần tối đa 24 tiếng để bẻ khóa phần lại gồm kí tự đơn giãn nên L0phtCrack cần 60 giây để tìm kết Bẻ Khóa Mật Khẩu Hệ Thống Windows 2000 Trên hệ điều hành windows 2000 XP thông tin tài khoản mật mã hóa với hàm băm lưu tập tin SAM thư mục Windows\system32\config Tuy nhiên, tập tin bị khóa hệ thống hoát động, hacker tương tác vào đươc tập tin hệ điều hành chạy Vì vậy, để lấy tập tin hacker thường sử dụng chương trình khởi động từ hệ thống DOS / Linux hay dùng đĩa khởi động HirenBoot Ngoài ra, tập tin SAM lấy từ nén SAM._ thư mục C:\windows\repair, sau lấy hacker giải nén băng lệnh expand sau : C:\>expand sam._ sam Một tập tin giả nén bạn sử dụng chương trình bẻ khóa theo dạng brute-force hay dò từ điển L0phtCrack để dò tìm mật Công Cụ Bẻ Khóa Hay Xóa Trắng Mật Khẩu Thông Dụng NT Offline Password Recovery : Đây chương trình mạnh mẽ dùng để bẻ khóa mật khẩu, ứng dụng sử dụng để bẻ khóa cho hệ thống Domain Controller hệ thống máy chủ Windows Server 2003 vào năm 2003, tỉ lệ thành công cao Bên cạnh chức bẻ khóa mật thông thường NT Offlien Password Recovery cho phép vô hiệu hóa dịch vụ Syskey Hiện ứng dụng tích hợp đĩa Hiren Boot CD (http://www.hirensbootcd.org/download/) OphCrack : Đây Live CD dùng để bẻ khóa hệ thống mật khầu Windows mạnh miễn phí Hình 5.1 - Minh họa bẻ khóa mật với ophcrack Download http://ophcrack.sourceforge.net Active Pasword Change : Ứng dụng cho phép chạy trực tiếp từ Live CD với giao diện trực quan dễ sử dụng, download tập tin iso địa http://www.netpro.edu.vn/download/activepasswordchange.iso Demo minh họa Hình 5.2 danh sách số công cụ bẻ khóa mật thông dụng : Hình 5.2 – Các công cụ bẻ khóa mật CEH Chuyển Hướng SMB Logon Đến Attacker Một phương pháp công mật khác hacker chuyển hướng trang đăng nhập mật dịch vụ SMB đến máy tính attacker với mục tiêu chuyển mật đến cho kẻ công Để thực điều hacker cần phải nghe phản hồi NTML (response) từ máy chủ xác thực dẫn dụ nạn nhân xác thực với máy chủ qua máy tính Ví dụ hacker gởi emailo chứa đường link dẫn đến máy chủ SMB giả mạo, nạn nhân click vào đường link bị điều hướng giao dịch dựa SMB đến máy tính attacker Công Cụ Tấn Công SMB Dựa Trên Cơ Chế Điều Hướng Có số công cụ thực công dựa chế này, thường sử dụng SMB Relay Đây máy chủ SMB dùng để bắt giữ thông tin tài khoản mật truy cập (đã mã hóa với hàm băm) từ luồng liệu SMB, có khả công theo chế man in the middle (sẽ trình bày phần Sniffer) Phiên nâng cao SMB Relay SMB Relay tiến hành nghe dựa tên NetBios thay dùng địa IP SMB Relay Ngoài ra, tương tác trực tiếp vào hệ thống hacker dùng công cụ samdump hay pwdump2 để xem thông tin tài khoản mật mã hóa, sau chuyển tập tin cho ứng dụng L0phtCrack xử lý Đây ví dụ mà có trình bày chương trình đào tạo an toàn thông tin cho tổng công ty VNPT, học viên sử dụng Metasploit để đột nhập vào hệ thống Windows Server 2003 bị lỗi, nạp dll có chứa công cụ pwdump để lấy thông tin mật chuyển đến cho chương trình LC (L0phtCrack 5, phiên vào lúc đó) để bẻ khóa mật Tấn Công SMB Relay MITM Và Giải Pháp Phòng Chống Trong mô hình công SMB Relay MITM hacker đặt máy chủ SMB client hệ thống giả mạo với mục tiêu bắt giữ tất thông tin tài khoản người dùng giao dịch SMB, sau chuyển thông tin cho máy chủ thật nhằm bảo đảm cho trình truyền thông diễn bình thường, thực thông tin bị lấy cắp Cách công thường ứng dụng mạng xung đột (broadcast domain) sử dụng Hub để liên kết máy trạm, Đối với hệ thống mạng sử dụng thiết bị Switch hacker cần phải tiến hành trình đầu độc ARP (arp posioning) trước bắt giữ gói tin khác Hình 5.3 – Mô hình công SMB Relay MITM Để phòng chống lại dạng công SMB Relay MITM cần cấu hình máy tính sử dụng SMB signing sách bảo mật (có thể cấu hình máy mục Security Policies/Security Options hay cấu hình sách vùng domain controller áp đặt cho máy tính thuộc vùng) Các Công Cụ Tấn Công MITM Thông Dụng Có nhiều công cụ công MITM có chức đầu độc ARP arpspoof, dfsniff, ettercap Trong đó, ettercap ứng dụng mạnh mẽ mệnh danh “vua mạng tokenring” với biệt hiệu Lord Of The TokenRing lấy theo tựa đề phim chúa nhẫn NetBIOS DoS Attacks Dạng công NetBISO Denial of Service (DoS) gởi thông điệp NetBIOS Name Release đến máy chủ NetBIOS Name Service máy chủ WINS hệ thống Windows nạn nhân ép hệ thống mục tiêu tình trạng xung đột tên Điều ngăn chặn không cho phép máy tính client liên hệ kết nối đến máy chủ thông qua tên NetBIOS, gây nên tình trạng từ chối dịch vụ hệ thống mạng Công cụ công dạng NBName vô hiệu hóa toàn hệ thống mạng LAN, ngăn không cho máy tính gia nhập mạng máy trạm hệ thống sử dụng NetBISO cho có máy tính khác sử dụng tên Phòng Chống Bị Bẻ Khóa Mật Khẩu Để ngăn ngừa bị bẻ khóa mật cần áp đặt sách mật mạnh có độ dài kí tự, với kết hợp nhiều dạng kí tự khác gồm kí tự đặc biệt, chữ hoa, chữa thường số làm cho trình công dò từ điển hay brute-force trở nên khó khăn Bên cạnh đó, quản trị mạng nên ứng dụng Syskey Windows, chức bảo vệ mã hóa mật nâng cao phòng chống tốt công cụ L0phtCrack, Ron The Ripper Để sử dụng Syskey bạn cần thực thi dòng lệnh Syskey cữa sổ dòng lệnh chọn Update (Encryption Enable) Hình 5.4 10 Hình 5.4 - Ứng dụng Syskey Sau số quy tắt đặt mật cần tuân theo để phòng chống bị bẻ khóa : Không sử dụng mật mặc định Không sử dụng mật đơn giãn bị tìm kiếm thông qua dò từ điển, mật password, abcdef, 123456 mật thống kê bị công nhiều Không sử dụng mật liên quan đến hostname, domain name hay thông tin mà hacker dễ dàng tìm kiếm qua Whois Không sử dụng mật liên quan đến thú cưng, ngày sinh bạn hay người yêu đối tượng mà hacker nghĩ đến dò mật bạn Sử dụng mật có độ dài 21 kí tự khiên cho hacker bẻ khóa cách dò từ điển Trong phần tiếp theo, thảo luận hai phương pháp giúp gia tăng độ mạnh mật ngăn ngừa bị công Thay Đổi Mật Khẩu Thường Xuyên Thay đổi mật thường xuyên tiêu chí hàng đầu việc bảo vệ mật khẩu, thoe khuyến nghĩ sách an toàn thông tin ISO 27001 : 2005 nên thay đổi mật sau 24 ngày 48 ngày tùy vào nhu cầu tổ chức Mặc dù điều gây đôi chút bất tiện cho người dùng hạn chế nhiều khả hacker bẻ khóa mật tái sử dụng để truy cập bất hợp pháp vào hệ thống Việc thiết lập sách thực qua Group Policy Editor phần Security Setttings\Account Policies Hình 5.5 11 Hình 5.5 – Các sách bảo mật hệ thống Windows Hình họa vị trí sách dùng để thay đổi thời gian tồn mật Windows Đối với hệ thống Windows phiên khác bạn thực thông qua Local Group Policy Editor dễ dàng Tuy nhiên, để đạt hiệu cao bạn nên thiết lập sách chung cho toàn hệ thống thông qua Domain Controller Mặc dù với phương pháp hoàn toàn ngăn ngừa bị công mật dạng brute-force hacker gây trở ngại lớn cho chúng siết chặt Security Policy (chính sách bảo mật) ví dụ đăng nhập sai mật lần bị khóa vòng 15 phút nãn chí kẻ công Theo Dõi Event Viewer Log Trong vai trò quản trị hệ thống hay người phụ trách vấn đề an ninh mạng tổ chức bạn cần thường xuyên theo dõi tập tin nhật kí Event View, điều giúp phát hành động khả nghi xâm nhập trái phép hacker, có virus lây lan mạng cố gắng kết nối đến máy tính khác tên netbios mật mặc định Có nhiều công cụ giám sát Event Log chuyên dụng cho hệ thống máy chủ riêng biệt sản phẩm GFI (www.gfi.com) hay chương trình VisualLast (http://www.ntobjectives.com/) hỗ trợ quản trị mạng công việc phân tích log file thông qua báo cáo tình trạng đăng nhập tương đối rõ 12 ràng Đối với chương trình chuyên dụng hệ thống có cố xảy có cảnh báo thích hợp mail, sms hay gọi điện thoại tự động đến cho quản trị viên Tập tin nhật kí lưu trữ c:\\windows\system32\config\ , cần lưu ý số tình tập tin rỗng bạn không hiệu lực chúng sách bảo mật thiết lập chúng mục Security Settings\ Local Policies Phần – Leo Thang Đặc Quyền Leo thang đặc quyền hay Escalating Privilege bước thứ ba chu trình Hacking System, leo thang đặc quyền có nghĩa thêm nhiều quyền cho phép tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho tài khoản người dùng có quyền tài khoản quản trị Nói chung, tài khoản quản trị viên có yêu cầu mật nghiêm ngặt hơn, mật họ bảo vệ chặt chẽ Nếu tìm thấy tên người dùng mật tài khoản với quyền quản trị viên, hacker chọn sử dụng tài khoản với quyền thấp Tại trường hợp này, hacker sau phải leo thang đặc quyền để có nhiều quyền quyền quản trị Cái thực cách nắm lấy quyền truy cập cách sử dụng tài khoản người dùng quản trị viên Thường cách thu thập tên người dùng mật thông qua bước trung gian để gia tăng đặc quyền tài khoản với mức độ quản trị viên Một hacker có tài khoản người dùng hợp lệ mật khẩu, bước để thực thi ứng dụng nói chung hacker cần phải có tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó lý leo thang đặc quyền quan trọng Trong phần , xem hacker làm với hệ thống bạn họ có quyền quản trị Công Cụ Leo Thang Đặc Quyền Getadmin.exe chương trình nhỏ thêm người dùng vào nhóm Local Administrator Một vài kernel NT cấp thấp, thường xuyên truy cập phép trình chạy Một đăng nhập vào giao diện điều khiển máy chủ cần thiết để thực chương trình Getadmin.exe chạy từ dòng lệnh hoạt động Win NT 4.0 Service Pack 13 Tiện ích HK.exe để lộ kẽ hở giao thức gọi hàm cục (Local Procedure Call) Windows NT Một người dùng người quản trì leo thang vào nhóm quản trị viên cách sử dụng công cụ Phần 3: Thực Thi Ứng Dụng Một hacker truy cập tài khoản với quyền quản trị, điều cần làm thực thi ứng dụng hệ thống đích Mục tiêu việc thực thi ứng dụng cài đặt cửa sau hệ thống, cài đặt keylogger để thu thập thông tin bí mật, chép tập tin, gây thiệt hại cho hệ thống, điều hacker muốn làm hệ thống Khi hacker thực thi ứng dụng, họ chiếm toàn quyền hệ thống hệ thống Công Cụ PsExec chương trình kết nối vào thực thi tập tin hệ thống từ xa Phần mềm không cần phải cài đặt hệ thống từ xa Remoxec thực thi chương trình cách sử dụng dịch vụ RPC (Task Scheduler) WMI (Windows Management Instrumentation) Administrators với mật rỗng hay yếu khai thác thông qua lịch trình công việc (Task Scheduler - 1025/tcp) chế độ phân phối thành phần đối tượng (Distributed Component Object Mode; 135/tcp) Buffer Overflow Hacker cố gắng khai thác lỗ hổng mã ứng dụng (Application) Về chất, công tràn đệm gửi nhiều thông tin cho biến ứng dụng, gây lỗi ứng dụng Hầu hết lần, ứng dụng hành động ghi đè liệu bị tràn Vì thực thi lệnh liệu bị tràn giảm dấu nhắc lệnh phép người dùng nhập lệnh Dấu nhắc lệnh (command prompt shell) chìa khóa cho hacker sử dụng để thực thi ứng dụng khác 14 Chuyên đề Buffer Overflows thảo luận chi tiết chương 17: Buffer Overflow Rootkit Rootkit loại chương trình thường sử dụng để che dấu tiện ích hệ thống bị xâm nhập Rootkit bao gồm gọi back doors, giúp cho kẻ công truy cập vào hệ thống dễ dàng lần sau Ví dụ, rootkit ẩn ứng dụng, ứng dụng sinh lệnh kết nối vào cổng mạng cụ thể hệ thống Back door cho phép trình bắt đầu người đặc quyên, dùng để thực chức thường dành cho quản trị viên Rootkit thường xuyên sử dụng phép lập trình viên rootkit xem truy cập vào tên người dùng thông tin đăng nhập trang site có yêu cầu họ Khái niệm Site website, mà miền (domain) hệ thống máy tính Một Số Loại Rootkit Thường Gặp: Kernel-level rootkit: Rootkit cấp độ Kernel thường thêm thay vài thành phần nhân hệ thống, thay mã sửa đổi để giúp che giấu chương trình hệ thống máy tính Điều thường thực cách thêm mã cho nhân hệ thống thông qua thiết bị ổ đĩa có khả nạp môđun, chẳng hạn kernel mô-đun nạp linux thiết bị điều khiển Microsoft Windows Rootkit đặc biệt nguy hiểm khó phát mà phần mềm phù hợp Library-level rootkit: Rootkit cấp độ thư viện thường chắp vá, sữa chữa, thay hệ thống Một số phiên giấu thông tin tùy theo mục đích hacker Application-level rootkits Rootkit cấp ứng dụng thay chương trình ứng dụng giống trojan độc hại, họ thay đổi hành vi ứng dụng có cách sử dụng móc (hook), vá lỗi (patch), mã độc hại (injected code), phương tiện khác Triển khai Rootkits Windows 2000 & XP Trong hệ điều hành Window NT/2000 rookit xây dựng trình điều khiển chế độ kernel driver, tự động nạp chế độ runtime Rootkit chạy với đặc quyền hệ thống (system privileges ) NT Kernel Do đó, truy cập vào tất nguồn tài nguyên hệ điều hành Các rootkit ẩn quy trình, ẩn tập tin, ẩn mục đăng ký, tổ hợp phím tắt hệ thống, giao diện điều 15 khiển, phát hành gián đoạn bước để gây hình màu xanh chết chốc (death) chuyển tập tin EXE Rootkit có chứa trình điều khiển hoạt động chế độ kernel (kernel mode device driver) có tên gọi _root_.sys khởi chạy chương trình có tên DEPLOY.EXE Sau đạt quyền truy cập vào hệ thống, chúng copy file -root-.sys DEPLOY.EXE thành nhiều file vào hệ thống thực thi file DEPLOY.EXE Sau cài đặt trình điều khiển thiết bị rootkit kẻ công bắt đầu xóa DEPLOY.EXE từ máy tính mục tiêu Những kẻ công sau dừng lại khởi động lại rootkit cách sử dụng lệnh net stop _root_and _root_ tập tin _root_.sys không xuất danh sách thư mục Rootkit chặn không cho hệ thống gọi tập tin danh sách giấu tất file bắt đầu với _root_ Trong hệ điều hành, có hai chế độ hoạt động usermode kernel mode Với Kernel mode, trình ứng dụng có toàn quyền truy cập vùng nhớ RAM, lệnh CPU…nói chung toàn quyền Rootkit nhúng vào giao thức TCP/IP Một tính rootkit window NT/2000 hoạt động cách xác định tình trạng kết nối dựa liệu gói liệu đến (incoming) Rootkit có địa IP cố định mà trả lời Rootkit sử dụng kết nối Ethernet qua hệ thống card mạng, mạnh mẽ Một hacker kêt nối đến port hệ thống Ngoài ra, cho phép nhiều người đăng nhập lúc Phòng chống Rootkit Tất rootkit truy cập hệ thống đích có quyền giống quản trị viên (administrator), đó, bảo mật mật quan trọng Nếu bạn phát rootkit, lời khuyên bạn nên lưu liệu quan trọng cài đặt lại hệ điều hành ứng dụng từ nguồn đáng tin cậy Các quản trị viên nên giữ sẵn nguồn đáng tin cậy để cài đặt phục hồi tự động Biện pháp đối phó khác sử dụng thuật toán mã hóa MD5, checksum MD5 tập tin giá trị 128-bit, giống dấu vân tay tập tin Thuật toán thiết kế để phát thay đổi, chút tập tin liệu, để kiểm tra nguyên nhân khác Thuật toán có tính hữu ích để so sánh tập tin đảm bảo tính toàn vẹn Một tính kiểm tra chiều dài cố định, kích thước tập tin nguồn 16 Việc tổng kiểm tra MD5 đảm bảo file không thay đổi hữu ích việc kiểm tra tính toàn vẹn file rootkit tìm thấy hệ thống Các công cụ Tripwire thực để kiểm tra MD5, để xác định tập tin có bị ảnh hưởng rootkit hay không Công Cụ Phòng Chống Tripwire chương trình kiểm tra tính toàn vẹn hệ thống tập tin hệ điều hành Unix, Linux, thêm vào kiểm tra mật mã nhiều nội dung thư mục tập tin Tripwire có sở liệu chứa thông tin cho phép bạn xác minh, cho phép truy cập cài đặt chế độ tập tin, tên người dùng chủ sở hữu tập tin, ngày tháng thời gian tập tin truy cập lần cuối, sửa đổi cuối Keylogger Phần Mềm Gián Điệp Nếu tất nỗ lực để thu thập mật không thành công, keylogger công cụ lựa chọn cho hacker Được thực phần mềm cài đặt máy tính phần cứng gắn vào máy tính Keylogger phần mềm ẩn, ngồi phần cứng (bàn phím) hệ điều hành, để họ ghi lại phím tắt Keylogger phần mềm phá hoại hệ thống Trojans viruses Keylogger phần mềm gián điệp có dung lượng nhỏ, giúp kết nối bàn phím máy tính lưu tất thao tác phím vào file Hacker cài thêm tính tự động gửi nội dung file đến máy chủ hacker Đối vối kiểu keylogger cứng, có thiết bị, giống usb, gắn vào máy tính Quá trình thao tác phím ghi lại usb Để làm điều hacker phải có quyền truy cập vật lý vào hệ thống Keylogger cứng thường cài điềm internet công cộng có ý đồ xấu Do truy cập net nơi công cộng, bạn nên quan sát kỹ lưỡng thiết bị bất thường cấm vào máy tính Công Cụ Tấn Công 17 Spector phần mềm gián điệp ghi lại điều từ hệ thống mạng Internet, giống camera giám sát tự động Spector có hàng trăm ảnh chụp thứ hình máy tính lưu ảnh chụp vị trí ẩn ổ đĩa cứng hệ thống Spector phát loại bỏ bở phần mềm chống Spector eBlaster phần mềm gián điệp internet để chụp email gửi đến gửi đi, chuyển chúng đến địa email Eblaster chụp hai mặt hội thoại nhắn tin tức thời (Instant Messenger), thực tổ hợp phím đăng nhập trang web truy cập thường xuyên Spyanywhere công cụ cho phép bạn xem hoạt động hệ thống hành động người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, trình duyệt gỡ bỏ tập tin hệ thống Spyanywhere cho phép bạn kiểm soát chương trình mở đóng cửa sổ hệ thống từ xa xem lịch sử internet thông tin liên quan Kkeylogger phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy âm thầm mức thấp hệ điều hành Windows 95/98/ME Tất tổ hợp phím ghi lại tập tin Email keylogger phần mềm ghi lại tất email gửi nhận hệ thống Mục tiêu hacker xem người gửi, người nhận, chủ đề, thời gian/ngày… nội dung email file đính kèm ghi lại Phần 4: Hiding Files Một hacker muốn che dấu tập tin hệ thống, để ngăn chặn bị phát hiện, sau dùng để khởi động công khác hệ thống Có hai cách để ẩn tập tin Windows Đầu tiên sử dụng lệnh attrib Để ẩn tập tin với lệnh attrib, gõ sau dấu nhắc lệnh: attrib +h [file/directory] Cách thứ hai để ẩn tập tin Windows với luồng liệu xen kẽ NTFS (alternate data streaming - ADS) 18 NTFS File Streaming NTFS sử dụng Windows NT, 2000, 2003, 2008 hệ thống Windows XP, Windows có tính gọi ADS cho phép liệu lưu trữ tập tin liên kết ẩn cách bình thường, nhìn thấy tập tin Streams không giới hạn kích thước, stream liên kết đến file bình thường Để tạo kiểm tra NTFS file stream, ta thực bước sau: Tại dòng lệnh, nhập vào notepad test.txt Đặt số liệu tập tin, lưu tập tin, đóng notepad Tại dòng lệnh, nhập dir test.txt lưu ý kích thước tập tin Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi số nội dung vào Notepad, lưu tập tin, đóng lại Kiểm tra kích thước tập tin lại (giống bước 3) Mở lại test.txt bạn nhìn thấy liệu ban đầu Nhập type test.txt:hidden.txt dòng lệnh thông báo lỗi hiển thị “The filename, directory name, or volume label syntax is incorrect.” Các bạn tham khảo http://youtu.be/0knTHa61Q0E hướng dẫn chủ đề Công Cụ Tấn Công Makestrm.exe tiện ích chuyển liệu từ tập tin vào tập tin liên kết ADS thay liên kết với tập tin ban đầu Phòng Chống NTFS File Streaming Để xóa stream file, copy đến phân vùng FAT, sau cpoy trởvào phân vùng NTFS Stream bị tập tin chuyển đến phân vùng FAT, có tính phân vùng NTFS tồn phân vùng NTFS 19 Công Cụ Phòng Chống Bạn sử dụng LNS.exe để phát Stream LNS báo cáo tồn vị trí file chứa liệu stream Steganography Steganography trình giấu liệu loại liệu khác hình ảnh hay tập tin văn Các phương pháp phổ biến liệu ẩn tập tin sử dụng hình ảnh đồ họa nơi để cất giấu Kẻ công nhúng thông tin tập tin hình ảnh cách sử dụng steganography Các hacker ẩn dẫn thực bom, số bí mật tài khoản ngân hàng Hành động ẩn hình ảnh Công Cụ Tấn Công Imagehide chương trình steganography, giấu số lượng lớn văn hình ảnh Ngay sau thêm liệu,vẫn gia tăng kích thước hình ảnh, hình ảnh trông giống chương trình đồ họa bình thường Nó nạp lưu tập tin tránh nghe Blindside ứng dụng steganography mà giấu thông tin bên ảnh BMP (bitmap) Đó tiện ích dòng lệnh MP3stego giấu thông tin file mp3 trình nén Dữ liệu nén, mã hóa, chúng ẩn dòng bit MP3 Snow chương trình whitespace steganography có nghĩa che giấu thông điệp ASCII text, cách phụ thêm khoảng trắng cuối file Vì spaces and tabs nhìn thấy người xem văn Nếu sử dụng thuật toán mã hóa, tin nhắn đọc bị phát 20 Camera/shy làm việc với Window trình duyệt Internet Explorer, cho phép người dùng chia sẻ tìm kiểm thông tin nhạy cảm lưu giữ hình ảnh GIF thường Stealth công cụ lọc, cho tập tin PGP Nó loại bỏ thông tin nhận dạng từ tiêu đề, sau tập tin sử dụng cho steganography Chống lại Steganography Steganography phát số chương trình, làm khó khăn Bướcđầu tiên việc phát để xác định vị trí tập tin với văn ẩn, thực cách phân tích mẫu hình ảnh thay đổi bảng màu Công Cụ Phòng Chống Stegdetect công cụ tự động để phát nội dung steganographic hình ảnh Dskprobe công cụ đĩa CD cài đặt Windows 2000/2003 Dùng để quét đĩa cứng cấp độ thấp phát steganography Phần 5: Clear Track – Xóa Dấu Vết Một kẻ xâm nhập thành công, đạt quyền truy cập quản trị viên hệ thống, cố gắng để che dấu vết chúng để ngăn chặn bị phát Một hacker cố gắng để loại bỏ chứng hoạt động họ hệ thống, để ngăn ngừa truy tìm danh tính vị trí quan hacker Xóa thông báo lỗi kiện an ninh lưu lại, để tránh phát Trong phần sau đây, xem xét việc vô hiệu hóa kiểm toán (auditing) xóa bỏ ghi kiện (event log), hai phương pháp sử dụng hacker để bao bọc dấu vết tránh bị phát Auditing tính ghi lại Event Log Windows Event Viewer chương trình dùng để quản lý Auditing windows 21 Vô hiệu hóa Auditing Những việc làm kẻ xâm nhập sau giành quyền quản trị vô hiệu hóa auditing Auditing Windows ghi lại tất kiện định Windows Event Viewer Sự kiện bao gồm đăng nhập vào hệ thống, ứng dụng, kiện Một quản trị viên chọn mức độ ghi nhật ký hệ thống Hacker cần xác định mức độ ghi nhật ký để xem liệu họ cần làm để xóa dấu vết hệ thống Công Cụ Tấn Công auditPol công cụ có Win NT dành cho quản trị tài nguyên hệ thống Công cụ vô hiệu hóa kích hoạt tính kiểm toán từ cửa sổ dòng lệnh Nó sử dụng để xác định mức độ ghi nhật ký thực quản trị viên hệ thống Xóa Nhật Ký Sự Kiện Những kẻ xâm nhập dễ dàng xóa bỏ ghi bảo mật Windows Event Viewer Một ghi kiện có chứa một vài kiện đáng ngờ thường cho thấy kiện khác bị xóa Vẫn cần thiết để xóa ghi kiện sau tắt Auditing, sử dụng công cụ AuditPol kiện ghi nhận việc tắt tính Auditing Công Cụ Tấn Công Một số công dụ để xóa ghi kiện, hacker thực tay Windows Event Viewer Tiện ích elsave.exe công cụ đơn giản để xóa ghi kiện Winzapper công cụ mà kẻ công sử dụng để xóa ghi kiện, chọn lọc từ cửa sổ đăng nhập bảo mật năm 2000 Winzapper đảm bảo kiện bảo mật lưu lại chương trình chạy Evidence Eliminator trình xóa liệu máy tính Windows Nó ngăn ngừa không cho liệu trở thành file ẩn vĩnh viễn hệ thống Nó làm thùng rác, nhớ cache internet, hệ thống tập tin, thư mục temp… Evidence Eliminator hacker sử dụng để loại bỏ chứng từ hệ thống sau công 22 Tổng Kết Qua chương nắm tầm quan trọng bảo mật mật Các biện pháp thay đổi mật khoảng thời gian thích hợp, độ mạnh mật khẩu, biện pháp bảo mật khác quan trọng an ninh mạng Nhận biết loại công mật khác Passive online bao gồm sniffing, manin-the-middle, replay Active online bao gồm đoán mật tự động Offline attacks bao gồm dictionary, hybrid, brute force Nonelectronic bao gồm surfing, keyboard sniffing, social engineering Biết làm để có chứng activite hacking loại bỏ kẻ công Xoá ghi kiện vô hiệu hoá phương pháp kiểm tra kẻ công sử dụng để che dấu vết chúng Nhận tập tin ẩn phương tiện sử dụng để lấy thông tin nhạy cảm Steganography, NTFS File, lệnh attrib cách tin tặc ẩn ăn cắp tập tin 23