HỌC PHẦN: AN TOÀN MẠNG BÁO CÁO CUỐI KỲ Đề tài: Tìm hiểu duy trì đăng nhập và công cụ Weevely
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.44 MB, 72 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN I
-----&-----
HỌC PHẦN: AN TỒN MẠNG
BÁO CÁO CUỐI KỲ
Đề tài: Tìm hiểu duy trì đăng nhập và cơng cụ Weevely
Giảng viên:
Họ và tên:
Mã sinh viên:
Lớp:
Nhóm mơn học:
TS. Đặng Minh Tuấn
Đặng Minh Hoàng
B18DCAT097
D18CQAT01-B
01
Hà Nội, 2021
1
I CẢM
Tr
t mxn
yt l n
N
t ns us
n GS. Đặng Minh Tuấn
n
t ntn
n
n
o
p
m tron su t qu tr n t
n
bài tiểu lu n
m n . Em x n
l
m n
n t n t thầy
ịn
ng
ch ề và
p
em trong q trình học mơn An toàn mạng. Em c m n t ầy
sẻ những ki n thức bổ í
ể em có thể hồn thành bài tiểu lu n c a
mình./.
Em x n tr n trọn
m n!
2
DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt
Viết đầy đủ
Ý nghĩa
AES
Advanced Encryption Standard
Chuẩn mã hóa cấp cao
ARP
Address Resolution Protocol
Giao thứ
ch mạng
DHCP
Dynamic Host Configuration Protocol
Giao thức cấu hình máy
ch
DNS
Domain Name System
H th ng phân gi i tên
miền
FTP
File Transfer Protocol
Giao thức truyền t i t p
tin
GNU
General Public License
Giấy phép Công cộng
HTTP
HyperText Transfer Protocol
Giao thức truyền t i siêu
văn n
HTTPs
Hyper Text Transfer Protocol Secure
Giao thức truyền t i siêu
văn n b o m t
ICMP
Internet Control Message Protocol
Giao thức x lý các
thông báo trạng thái cho
ịa ch IP
ID
Identification
nh n dạng
IDS
Intrusion Detection System
H th ng Phát hi n Xâm
ín x
ịa
nh p
IoT
Internet of Things
Internet vạn v t
MAC
Media Access Control
Kiểm sốt truy c p
p
n t n truyền
thơng
PAM
Privileged Access Management
Qu n lý truy c p ặc
quyền
SIEM
Security Information and Event
Management
Qu n Lý Log Và S
Ki n T p Trung
SQL
Structured Query Language
Ngôn ngữ truy vấn dữ
3
li u
SSH
Giao thứ ều khiển từ
x
o p ép n
i dùng
kiểm soát và ch nh s a
Secure Shell
server từ xa qua Internet
TCP
Transmission Control Protocol
Giao thứ ều khiển
truyền v n
TOTP
time-based one-time password
M t khẩu s dụng một
lần
UDP
User Datagram Protocol
Giao thức gói dữ li u
n
i dùng
2FA
Two-factor authentication
Xác th c 2 y u t
4
DANH MỤC HÌNH
Hình 1: Leo thang đặc quyền theo chiều dọc và chiều ngang ........................... 22
Hình 2: Sơ đồ chuỗi tấn cơng ........................................................................... 24
Hình 3: Cơng cụ Weevely ................................................................................. 41
Hình 4: Cơng cụ Weevely ................................................................................. 42
Hình 5: Cảnh báo trong cửa sổ dịng lệnh ........................................................ 43
Hình 6: Lệnh --help .......................................................................................... 43
Hình 7: Thơng báo lỗi ...................................................................................... 44
Hình 8: Tạo user và password .......................................................................... 44
Hình 9: Ví dụ tên thư mục ................................................................................ 44
Hình 10: Weevely trên máy chủ web với máy chủ Kali Linux ........................... 45
Hình 11: Thả tệp thư mục webroot ................................................................... 45
Hình 12: Thử nghiệm trên máy chỉ web Kali .................................................... 46
Hình 13: Thu thập thơng tin hệ thống ............................................................... 49
Hình 14: Lệnh file_ls ........................................................................................ 49
Hình 15: Giải thích lệnh Ls .............................................................................. 50
Hình 16: Lệnh file_ls trong thư mục ................................................................. 50
Hình 17: Thao tác mở tệp ................................................................................. 51
Hình 18: Thao tác ghi tệp................................................................................. 51
Hình 19: Từ chối tải tệp lên.............................................................................. 51
Hình 20: That đổi mục ..................................................................................... 52
Hình 21: Cài đặt Weevely................................................................................. 53
Hình 22: Thơng tin phiên bản và mẫu lệnh....................................................... 53
Hình 23: Tạo file backdoor .............................................................................. 55
Hình 24: Tạo file backdoor thành cơng ............................................................ 55
Hình 25: Truy cập tài khoản quản trị viên ........................................................ 56
Hình 26: Tải file backdoor lên trình quản lý file............................................... 56
Hình 27: Tải file lên thành cơng ....................................................................... 57
Hình 28: Kiểm tra file được tải lên thành cơng ................................................ 57
Hình 29: Kết nối backdoor ............................................................................... 58
Hình 30: Liệt kê các file trong trang web ......................................................... 59
Hình 31: Cài đặt commix ................................................................................. 61
Hình 32: Clone Commix Testbed từ github ....................................................... 62
5
Hình 33: Khởi động Docker và kéo vào Commix Testbed................................. 64
Hình 34: Thư mục Documents .......................................................................... 64
Hình 35: File backdoor weevely.php ................................................................ 64
Hình 36: Tải backdoor lên bằng Commix ......................................................... 65
Hình 37: Cảnh báo HTTP ................................................................................ 66
Hình 38: Nhật ký Apache ................................................................................. 67
Hình 39: Thực thi tập lệnh từ xa bằng Weevely ................................................ 69
Hình 40: Đặt tên tệp để khơng bị phát hiện ...................................................... 70
6
DANH MỤC BẢNG
Bảng 1: Các lệnh sử dụng được khi dùng câu lệnh help ................................... 46
Bảng 2: Các lệnh thực hiện với shell ................................................................ 48
7
MỤC LỤC
I CẢM
N ................................................................................................... 2
DANH MỤC CÁC TỪ VIẾT TẮT .................................................................. 3
DANH MỤC HÌNH .......................................................................................... 5
DANH MỤC BẢNG ......................................................................................... 7
I. L I MỞ ĐẦU........................................................................................ 11
II.
LÝ THUYẾT VÀ THỬ NGHIỆM .................................................... 12
Chương 1: TỔNG QUAN VỀ DUY TRÌ ĐĂNG NHẬP ........................ 12
1. Định nghĩa duy trì đăng nhập ........................................................ 12
2. Cách để duy trì đăng nhập ............................................................. 12
2.1. Tàng hình................................................................................... 13
2.2. Leo thang đặc quyền .................................................................. 14
2.3. Backdoor .................................................................................... 14
2.4. Che giấu vết tích ........................................................................ 15
2.5. Hacker có quyết tâm sẽ giành được và duy trì quyền truy cập .. 16
3. Tàng hình ........................................................................................ 17
3.1. Tổng qt ................................................................................... 17
3.2. Qt khơng tàng hình là gì? ...................................................... 17
3.3. Kỹ thuật trinh sát mạng tàng hình là gì? ................................... 18
3.3.1. Ánh xạ ngược ........................................................................ 18
3.3.2. Quét chậm ............................................................................. 18
3.3.3. Quét nửa mở .......................................................................... 19
3.3.4. Quét FIN ................................................................................ 19
3.3.5. Quét cây X-mas ..................................................................... 19
3.4. Một số kỹ thuật quét tàng hình? ................................................ 20
3.4.1. Phân mảnh............................................................................. 20
3.4.2. Giả mạo.................................................................................. 20
3.4.3. Ngụy trang ............................................................................. 21
3.4.4. Nhảy ....................................................................................... 21
3.5. Kết luận ..................................................................................... 21
8
4.
eo thang đặc quyền ....................................................................... 21
4.1. Leo thang đặc quyền là gì? ........................................................ 21
4.2. Leo thang đặc quyền hoạt động như thế nào? .......................... 23
4.3. Tấn công leo thang đặc quyền là gì? ......................................... 24
4.4. Các phương pháp tấn cơng leo thang đặc quyền phổ biến........ 25
4.4.1. Khai thác thông tin xác thực ................................................ 25
4.4.2. Các lỗ hổng và khai thác đặc quyền ..................................... 26
4.4.3. Cấu hình sai ........................................................................... 29
4.4.4. Phần mềm độc hại ................................................................. 30
4.4.5. Kỹ thuật xã hội ...................................................................... 31
4.5. Cách ngăn chặn và giảm thiểu các cuộc tấn công leo thang đặc
quyền ................................................................................................... 32
5. Backdoor ......................................................................................... 33
5.1. Backdoor là gì và nó hoạt động như thế nào?........................... 34
5.2. Các cuộc tấn công backdoor hoạt động như thế nào? .............. 34
5.3. Bạn có dễ bị tấn cơng backdoor không? .................................... 36
5.4. Các cách tốt nhất để ngăn chặn các cuộc tấn công backdoor ... 37
6. Che giấu vết tích.............................................................................. 39
Chương 2: TÌM HIỂU CƠNG CỤ WEEVELY...................................... 41
1. Định nghĩa Weevely ........................................................................ 41
2. Đặc trưng của Weevely ................................................................... 41
3. Hướng dẫn sơ bộ về Weevely ......................................................... 42
3.1. Chuẩn bị để sử dụng Weevely .................................................... 43
3.2. Tạo tác nhân .............................................................................. 44
3.3. Thử nghiệm Weevely nội bộ ...................................................... 44
3.4. Thử nghiệm Weevely trên máy chủ Windows............................ 45
3.5. Trợ giúp trong Weevely .............................................................. 46
3.6. Lấy thông tin hệ thống ............................................................... 48
3.7. Sử dụng các lệnh hệ thống tệp trong Weevely ........................... 49
4. Cài đặt Weevely .............................................................................. 52
9
Chương 3: THỬ NGHIỆM CÔNG CỤ WEEVELY .............................. 54
1. Demo sử dụng Weevely tạo backdoor trong Wordpress .............. 54
1.1. Môi trường ................................................................................. 54
1.2. Kịch bản ..................................................................................... 54
1.3. Tiến hành thử nghiệm ............................................................... 54
2. Demo sử dụng Weevely kết hợp Commix để tạo và tải lên
backdoor ................................................................................................ 59
2.1. Giới thiệu sơ qua về công cụ Commix ....................................... 59
2.2. Các kỹ thuật tấn công được hỗ trợ............................................. 60
2.3. Cài đặt công cụ .......................................................................... 61
2.4. Môi trường ................................................................................. 61
2.5. Kịch bản ..................................................................................... 62
2.6. Tiến hành thử nghiệm ............................................................... 63
3. Kết luận thử nghiệm việc tạo backdoor với Weevely .................... 69
III. KẾT LUẬN ........................................................................................ 71
LINK VIDEO BÀI THỬ NGHIỆM .............................................................. 71
DANH MỤC TÀI LIỆU THAM KHẢO ....................................................... 72
10
I.
L I MỞ ĐẦU
K
ạt ợc quyền truy c p trên h th n í
k r ần duy trì
quyền truy c p ó. K ơn ó lạ khi các c a sổ b o trì h th ng x y ra trong
quá trình hacker thâm nh p, quyền truy c p c a hacker có thể bị chấm dứt.
Ngồi ra, n u h th n
ợc khởi ộng lại hoặc hacker mất k t n i mạng, quyền
truy c p shell từ xa có thể bị mất vĩn v ễn.
Vi c s dụng các backdoor rất phổ bi n trong duy trì thâm nh p. Thông
t
ng cần ph t m
tr n
ng ngại v t phòng th , chẳng hạn n
t ng l a hoặc danh sách kiểm soát truy c p. Backdoor có thể v ợt qua tất c
các l p b o v này, cho phép hacker truy c p không bị kiểm soát vào h th ng bị
xâm nh p. Backdoor ũn ó t ể tăn t
ộ truy c p vào máy ch , vi c ti n
hành khai thác quyền truy c p mất hàng gi và vi c lặp lạ k t
ó
ể có
ợc quyền truy c p bất cứ khi nào chúng ta cần quá th c s quá t n kém.
Một lợi th k
ể có thể truy c p nhanh vào máy nạn nhân c a hacker là
k
ở bên trong mạng, hacker có quyền t do quét và tấn cơng h th ng nhiều
nv
th ng phịng th mạn t
ng ch tìm ki m các cuộc tấn cơng bên
ngồi - một cuộc tấn ơn
n từ một h th ng bên trong mạng có thể x y ra mà
k ôn
ợ
ý n. N u hacker thi t l p một backdoor bằng cách s dụng
mã hóa, hacker có thể ẩn hoạt ộng c a mình t t n.
11
II.
LÝ THUYẾT VÀ THỬ NGHIỆM
Chương 1: TỔNG QUAN VỀ DUY TRÌ ĐĂNG NHẬP
1. Định nghĩa duy trì đăng nhập
Khi một h th ng bị xâm nh p, kẻ tấn ôn
ợc cấp quyền truy c p tạm
th i vào h th n ó (k ơn
o ồm các dịch vụ qu n lý bị xâm phạm n
SSH, telnet, v.v.). N u h th ng chuyển sang chu kỳ nguồn hoặc quyền truy c p
ạt ợc bị n oạn bởi một s p
n t n, quyền truy c p sẽ bị mất. Tuy
nhiên, n u kẻ tấn công th c hi n n ộng nhanh chóng sau khi xâm nh p ban
ầu, quyền truy c p có thể ợc duy trì hoặc kéo dài.
Vi c truy c p liên tụ n y t
ng có dạng một backdoor, b t ầu cùng v i
h th n ể cho kẻ tấn công truy c p mà không cần khai thác thêm. Vi c tung ra
s l ợng khai thác cao nhằm c g ng giành quyền truy c p vào cùng một h
th ng có kh năn
nh báo cho qu n trị viên (ít nhất là một n
i) và có thể
khóa bạn lại. Vì v y, truy c p liên tục ch c ch n là cách mà các hacker l a chọn
2. Cách để duy trì đăng nhập
Khi hacker có quyền truy c p vào h th ng, một trong nhữn
tiên chúng làm là th c hi n
ín
n .
ều ầu
ể duy trì quyền truy c p vì một s lý do
Đầu tiên, tùy thuộc vào mục tiêu, vi
n
ợc quyền truy c p n ầu
có thể khi n hacker tiêu t n n kể th i gian, công sức và tài nguyên. Mất
quyền truy c p vào máy tính hoặc h th n
g n ể xâm phạm là một s
l n p í (t o qu n ểm c a hacker).
Đô k hacker không thể hoàn thành tất c các mục tiêu c a họ trong một
lần truy c p. Có thể mất nhiều lần ể n
p t y ổi hoặc phá h y thông tin
mà hacker n t m k m. Ngoài ra, một s hacker bi n vi c xâm nh p vào h
th ng thành công vi c kinh doanh c a họ và s u ó
cần bán quyền truy c p
ó o
hacker k
ể lấy tiền. Mô n k n o n ó sẽ không thể bền
vững n u s u n y ―k
n ‖ a họ không thể truy c p lạ
ợc.
12
Do ó hacker cần duy trì cách thứ ể quay trở lại máy tính hoặc h
th ng c a nạn nhân, ngay c sau nhiều lần khở ộng lại và quét vi rút. Hacker
gọ y l ―s bền b ‖. N n l m t n o ể hacker duy trì s bền b ?
2.1.
Tàng hình
C
ầu tiên mà một hacker duy trì ―s bền b ‖ l ể khơng bị phát hi n.
Sau cùng, n u hacker hoặc nhân viên CNTT phát hi n ra s xâm nh p, họ sẽ
nhanh chóng x lý s xâm nh p. Do ó ví ụ: n u hacker mở t p ín kèm
email (có phần mềm ộc hại), phần mềm ộc hạ t
n
ợc thi t k ể chạy
trong nền hoặc trong một c a sổ nh phía sau c a sổ ín . T n t n v y,
phần mềm ộc hạ t
n
ợ m ó ể tránh bị phát hi n bởi các máy quét
n t m k m các ― ữ ký‖ cụ thể
t.
Đ ều quan trọn
i v i những kẻ tấn công là ph i lén lút th c hi n các
n ộng c a chúng. Khi quét mạn ể tìm các mục tiêu khác, vi c quét mạng
t
ng làm ch m qu tr n quét n một l ợng nh gói tin. Mặc dù vi c này có
thể mất nhiều gi
n (tron một s tr ng hợp) n n hacker có thể tránh thu
hút s nghi ng từ các cơng cụ phòng ch ng xâm nh p mạng và nhân viên
CNTT.
Khi một mục tiêu bị phát hi n có thơng tin mà hacker mu n n
p,
n t
ng s dụn
p
n p p rất ch m ể trích xuất dữ li u từ máy
ch hoặc máy tính. Hacker khơng mu n n ộng c a mình gây gánh nặng cho
máy và có thể khi n máy chạy ch m lại và hacker mu n dữ li u ợc trộn l n
v i tất c dữ li u hợp pháp trên mạn
ể tránh bị phát hi n.
Hacker ũn
m b o k t n i từ mụ t êu n các máy thu th p c a họ
n
ên n o
ợc thi t l p từ trong ra ngồi, vì v y, nó gi n n l u
l ợng truy c p hợp p p. Tron tr ng hợp c c kỳ bí m t, hacker ô k sẽ ẩn
dữ li u c a họ trong các yêu cầu Máy ch Tên miền (DNS) hoặc các u cầu
dịch vụ web ể trơng có vẻ vơ hại n l s dụng một giao thức truyền t p rõ
ràng (FTP).
Cu i cùng, hacker có thể s dụng một kỹ thu t gọi là giấu t
(steganography) ể ẩn dữ li u trong các t p khác. Các kỹ thu t phổ bi n bao
gồm ẩn dữ li u trong các bit không s dụng trong t p nh hoặ m t n . Đ ều
13
này cho phép hacker chuyển dữ li u ra kh i tổ chức kể c
tổ chứ ó.
2.2.
i s giám sát c a
Leo thang đặc quyền
Một khi hacker x m n p vào máy ch hoặ PC t ôn t
l p tức c g n ó ợc quyền cấp o n trên m y ó. Đ ều n y
l o t n ặc quyền và phục vụ hai mụ í .
Đầu tiên, hacker có thể thi t l p một tài kho n m i v
t
ng ngay
ợc gọi là
l qu n trị
viên máy ch v i một ID và m t khẩu duy nhất. Đ ều này cho phép hacker ch
cần ăn n p ể truy c p vào lần truy c p ti p theo, thay vì c g n
p ần
mềm ộc hại vào mỗi lần.
Nó ũn
o p ép hacker
Đ ều này rất hữu í
ể quét
thể xâm nh p vào chúng.
ặt và chạy nhiều phần mềm
m yk
tron mô tr
n trên m y.
n v s u ó ũn
ó
Leo thang ặc quyền ũn
ợc s dụng ở cấp ộ mạng. Ví dụ: n u
hacker có thể xâm nh p vào máy ch Windows Active Directory và leo thang
ặc quyền lên mức qu n trị viên, chúng có thể truy c p vào bất kỳ máy nào
trong mạn . T n t n v y, n u hacker ó ợ ặc quyền qu n trị trong bộ
ịnh tuy n hoặc thi t bị chuyển mạch, họ có thể th c hi n
t y ổ
iv i
sở hạ tần ể truy c p
p n oạn từ xa trong các bộ ph n khác c a tổ
chức.
2.3.
Backdoor
Hacker có thể
ặt phần mềm ợc gọ l ―backdoor‖ o p ép hacker
ăn n p từ xa vào máy ch hoặc máy tính mà khơng bị phát hi n. Một s
backdoor ũn
ợc phát hi n trong các bộ ịnh tuy n và thi t bị chuyển
mạch.
Ngay c v i tất c nhữn
ều này, phần mềm backdoor t
ng khó tồn
tại qua nhiều b n vá và s
ổi phần mềm ặc bi t n u h ều n
ợc nâng
cấp. Do ó hacker
ặt ―rootk t‖. Đ y l
ó p ần mềm ộc hạ
ợc cài
ặt trong kernel c a máy và khở ộn tr c h ều hành.
14
Do ó n y khi h ều n
ợ
ặt lại hồn tồn, hacker v n
duy trì quyền truy c p. Một s rootkit
ợc phát triển ợ
ặt trong khu
v c khở ộng c a ổ cứng, vì v y chúng th m chí có thể tồn tại trong q trình
ịnh dạng lại toàn bộ ổ ĩ .
Để tránh bị phát hi n bởi trình qt vi-rút trên máy tính, một s gói phần
mềm ộc hại hi n ạ
ợc xây d n ể ch chạy trong bộ nh mà không bao
gi ghi t p v o ĩ ( ó t ể bị phát hi n). Các t p th c thi phần mềm ộc hại này
t
n
ợc khởi chạy bởi rootkit. Chúng chạy bên ngồi h ều hành nên rất
khó bị phát hi n bởi phần mềm di t vi rút chạy bên trong h
2.4.
ều hành.
Che giấu vết tích
Một cách khác mà các hacker tinh vi t p trung là che giấu bất kỳ bằng
chứng nào cho thấy hacker x m n p vào máy tính hoặc h th ng. Trên th c
t , n u hacker có thể che giấu thành cơng s hi n di n và xóa phần mềm ộc hại
khi hacker r
, thì một cuộc tấn cơng có thể khơng bao gi bị phát hi n.
Hacker th c hi n ều này bằng cách c g n ịnh vị mọi nh t ký và t p
có thể chứa một s b n ghi về s hi n di n hoặc chuyển ộng c a hacker. Ví dụ,
m y W n ows v L nux l u ữ nh t ký c a tất c các lần ăn n p và
n ộn
ợc th c hi n trên máy tính. Chúng nhằm mụ í k c phục s c
n n ó t ể ợc s dụng cho mụ í p p y ể phát hi n hành vi xâm nh p
bất hợp pháp. Hacker bi t ều này, vì v y họ cần ph i x lý các b n ghi này.
H n ộng dễ dàng nhất i v i một hacker là ch cần xóa nh t ký, n n
ều này sẽ gây ra s nghi ng . Một s hacker ch cần ch nh s a nh t ký ể ch
xóa các mục hiển thị s hi n di n c a hacker. Tuy nhiên, một nhà nghiên cứu
s c s o sẽ nh n thấy một kho ng tr ng trên các dấu th i gian c a nh t ký.
Do ó
hacker nâng cao sẽ thay th một phần c a nh t ký bằng một
phần tr
ó v i các dấu th
n ợc c p nh t. Th m í ều này có thể
ợc phát hi n n n v
ộ khó l n n n ều. Ngay c v i những bi n pháp
phịng ngừa này, kẻ tấn cơng cần th c hi n
c bổ sun ể xóa bằng chứng
về cuộc tấn công.
15
Máy Windows khơng ch có nh t ký m
n ó sở dữ li u t p ch mục
c a tất c phần mềm từn
ợ
ặt (ngay c sau khi nó bị xó ). Đ ều ó
ũn ần ph
ợ xó . H n nữa, một s bộ x lý ồ họa có bộ nh c a các
t o t trên m n n ũn ần ợc xóa.
Sau khi kẻ tấn cơng xóa dấu v t c a cuộc xâm nh p kh i máy tính, họ
ũn ần xóa dấu v t c a cuộc tấn công kh i nh t ký mạng. Bộ ịnh tuy n và bộ
chuyển mạ l u trữ siêu dữ li u về các luồn l u l ợng trong nh t ký NetFlow.
Mặc dù không ph i là b n sao c
ín l u l ợng truy c p n n
yl
n
sách tất c các phiên và liên lạc (cùng v i dấu th
n) x y ra giữa các thi t
bị trên mạng. Các nhà nghiên cứu an ninh mạng có thể s dụng các luồn n y ể
tạo dịng th i gian c a cuộc tấn ơn v t
ng có thể suy ra thơng tin nào bị
n
ởng bởi cuộc tấn ơn . Do ó hacker ũn ần ph i xâm nh p vào các
thi t bị mạn ể ch nh s a các nh t ký NetFlow này.
Cu i cùng, nhiều h th ng khác trong mạn l u ữ nh t ký, bao gồm
máy ch DNS, máy ch DHCP và máy ch t p. Một hacker quy t tâm ph i
hack tất c chúng và ch nh s a nh t ký c
n ể xóa tất c các dấu v t c a
cuộc tấn công. Tuy nhiên, hầu h t các hacker t
n tron s mù m về ki n
thức b o m t. Vi c theo dõi chuyển ộng c a chúng thông qua hàng tri u mục
nh p dữ li u trong các nh t ký n y l vơ ùn k ó k ăn ặc bi t n u cuộc tấn
công diễn ra ch m và giữ ở trạng thái thấp.
2.5.
Hacker có quyết tâm sẽ giành được và duy trì quyền truy cập
Những kẻ tinh vi nhất rất gi i trong vi c che giấu s hi n di n c a chúng
trong một cuộc tấn ôn . Đ ều này không ch cho phép chúng có nhiều th i gian
n trên mục tiêu (th i gian lẩn tr n), mà còn giúp che giấu s xâm nh p rất lâu
s uk
n
r i kh i mụ t êu. Đ ều này cho phép họ th c hi n các chuy n
t ăm lặp lại n u cần thi t. Quan trọn
n
―chữ ký‖ tấn ôn k ôn
ợc
các nhà nghiên cứu về m
ọa thu th p và công b cho các nạn nhân khác.
Trong mọ tr ng hợp, các kỹ s
o m t có thể th c hi n
ể
gi m n uy
ị tấn công và xâm nh p. Tuy nhiên, nó cần ợ
o tạo t t ể
l m ợ ều ó.
16
3. Tàng hình
3.1. Tổng qt
Tr c khi có thể b t ầu tấn công bất kỳ h th n n o tr c h t hacker
cần hiểu loại h th n m
k r n x lý. Th t k ôn m y ể t ăm
mục
tiêu một
ín x
k rt
ng s dụng các kỹ thu t t ăm
p ần
l n gây ồn ào và không lén lút. Những thứ này phần l n sẽ ợc các thi t bị trên
mạn n t ng l a, SIEM và thi t bị IDS thu nh n.
Gi
y t êu ểm sẽ trở t n x
ịnh mụ t êu m k ôn
y o ộng
cho qu n trị viên h th ng hoặ n óm Trun t m ều hành an ninh. Các kỹ
thu t ợc th o lu n
y sẽ gây nhầm l n o
phòng th có sẵn
hoặc khi n vi c phát hi n hoạt ộng từ cỗ máy tấn công c a hacker trở nên khó
k ăn n.
Tuy n ên tr c khi chúng ta có thể tìm hiểu s u
ph i hiểu qt khơng tàng hình là gì.
3.2.
n
ều quan trọng là
Qt khơng tàng hình là gì?
K t n i TCP hoạt ộng thơng qua b t tay ba chiều tron
máy ch giao ti p theo một cách cụ thể tr
diễn r t o
c sau:
Máy khách g i một ó TCP
óm yk
c khi thi t l p k t n i. Giao ti p này
n máy ch v i c SYN
ợ
ặt
Máy ch tr l i máy khách bằng một gói TCP v i c SYN v ACK
n u nó cho bi t một cổng ợ t ăm
n mở
N u cổng bị ón
Tron tr
ACK
m y
ng hợp cổn
sẽ ph n hồi bằng gói TCP v i c RST
Q trình qt khơng tàng hình sẽ th c hi n p
ợc h
ợ
ợ
ặt
ặt
n mở, máy khách sẽ ph n hồi v i máy ch bằng
Giao ti p ở trên ợc gọi là b t tay ba chiều và ph i x y r tr
thể thi t l p k t n i TCP giữa máy khách và máy ch .
()‖
v
ều hành cho phép k t n i v i các máy ch
17
c khi có
n t ứ TCP ― onn t
í . Qu tr n quét
này s dụng kiểu b t tay ba chiều
sách các máy ch có cổng mở n
ợc mơ t ở trên và sẽ ch ph n hồi v i danh
ợc ch ịnh khi b t ầu quá trình quét.
Quá trình quét này dễ dàng bị phát hi n o m y quét
g ng thi t l p
k t n i v i nhiều cổng trên máy ch í tron một kho ng th i gian ng n.
Cũn nên n rằng các lần ăn n p không thành công ch c ch n sẽ ợc ghi
lại và có thể ợc truy xuất trong quá trình kiểm tra b o m t.
3.3.
Kỹ thuật trinh sát mạng tàng hình là gì?
Trong b o m t m y tín v
k t n
n
ợc coi là kh năn k ôn ị
phát hi n trong mạng khi hacker th c hi n các hoạt ộn
o ù ó ộc hại hay
không. Những hoạt ộn n y t
ng sẽ ph n tác dụn
phịng v và
có thể ợc phép hoặ k ôn
ợc phép.
X
ịnh các cổng và gi i pháp cho phòng th : Đ ều này sẽ
X
ịnh các cổng và các gi i pháp cho tấn ôn : Đ ều này sẽ
Có một s cách qt tàng hình có thể
xạ n ợc, n a mở, cây X-m s UDP null v
lu n chi ti t về các loạ quét ó tron
n v
Đội Xanh
n v
Độ Đ
ợc th c hi n. Chúng bao gồm ánh
n t nữa. Các cách sẽ ợc th o
p ần sau.
3.3.1. Ánh xạ ngược
Quét ánh xạ n ợ l ên qu n n vi c g
ó
ợc tùy ch n ặc bi t,
bao gồm gói SYN-ACK, gói RST và gói DNS, ch phát hi n r m y n o n
tr c tuy n trong mạng và máy nào ngoại tuy n. Các máy ch
ợc phát hi n là
ngoại tuy n sẽ d n n thông báo lỗi "Máy ch ICMP khơng thể truy c p". Q
trình qt này khơng c g ng phát hi n ra các cổn
một s mứ ộ tàng hình.
n mở
o ó ạt
ợc
3.3.2. Qt chậm
Đ y l một trong những cách quét tàng hình hi u qu nhất có thể ợc
th c hi n trong mạn . Ý t ởng là gi m n kể t
ộ quét cổng diễn ra. Kẻ tấn
ôn
r một ộ trễ n ăn k ôn
o IDS a trên máy ch hoặ t ng l a
phát hi n các nỗ l
v ợt qu
ể k t n i v i cổng TCP.
18
Mặ ù qu tr n quét n y t n ôn l n trong vi
ạt ợc kh
năn t n
n n n n ợ ểm l n sẽ l l ợng th i gian cần thi t ể hoàn
thành một quá trình quét. Cách duy nhất ể phát hi n quá trình qt này là bằng
cách phân tích các t p nh t ký l u l ợng truy c p.
3.3.3. Quét nửa mở
Qu tr n quét n y n ợc gọi là quét SYN. Tên xuất phát từ p
n
p p m qu tr n quét n y ợc th c hi n. Trong khi quét TCP connect () s
dụng b t tay ba chiều ể th c hi n quét, quét SYN th c hi n một kênh giao ti p
hai chiều s
ổi.
Quá trình quét SYN sẽ b t ầu quá trình b t tay gi n n TCP onn t().
Máy khách g i một ó SYN n máy ch s u ó m y
ph n hồi bằng một
gói SYN-ACK o m y k
tron tr ng hợp cổn
n mở. Máy ch sẽ tr
l i bằng một gói RST n u cổn k ơn
ợc mở. Thay vì máy khách ph n hồi
bằn ACK ể xác nh n n n RST, nó sẽ g i cho máy ch một ó RST. Đ y
l ểm khác nhau giữa cách quét SYN v i quét TCP connect ().
Qu tr n quét n y ó
l nt
n
ợ
ểm chính. Nó bị chặn bởi một s l ợng
ng l a và yêu cầu quyền root ể b t ầu.
3.3.4. Qt FIN
Q trình qt này rất t n ơn v nó t m
n ạ
p
n
p p ợc áp dụn ể phát hi n quét SYN. Tạ y
ó
ợc g
n máy
ch v i c FIN ợ ặt. N u cổn
n mở, máy ch b qua c FIN; tuy
nhiên, n u cổng bị ón m y
sẽ ph n hồi bằng một bộ c RST. Máy qt
có thể
n
ại các trình ghi gói mà sẽ ghi lại các gói SYN.
3.3.5. Qt cây X-mas
Q trình qt tàng hình này sẽ g i c chứ t êu ề gói khơng hợp l
n
máy ch . Nó khác v i quét FIN ở chỗ nó g i nhiều c cùng v i c FIN nhằm c
g ng gây nhầm l n v i bất kỳ
ghi nh t ký hi n tại nào. Theo mặ ịnh,
máy quét nmap bao gồm ba c
ợc b t. Đ y l
FIN, URG và PSH. Các
máy quét khác sẽ v ợt ra ngoài nmap và b t tất c các c t êu ề TCP - o ó ó
19
tên là quét cây X-mas, vì mọi thứ
Noel.
ợc b t và sáng lên gi n n
Ngồi ra cịn có một s quét ẩn khác có thể
null, quét UDP và quét câm.
3.4.
một cây thông
ợc th c hi n. Đ y l quét
Một số kỹ thuật quét tàng hình?
Các kỹ thu t s u ợc th c hi n trong nhiều m y quét ể làm cho vi c
phát hi n quét k ó n n ều ngay c khi chúng ta ti n n quét t o lu n ở
trên.
3.4.1. Phân mảnh
Hacker có thể khi n các qu n trị viên c a mạng mục tiêu gặp k ó k ăn
trong vi c khám phá các hoạt ộng c a hacker bằng cách s dụn tín năn quét
phân m nh. Qu tr n quét n y l ên qu n n vi c chia nh t êu ề TCP thành
nhiều gói nh
n m ộ lọc gói và IDS khơng thể chọn r . P
n p p n y sẽ
ợc chọn bở t ng l a hoặc h th ng thu th p các gói và l p r p
n tr c
khi chuyển ti p
n . Ý t ởn ằng sau kỹ thu t n y l ể che giấu ý ịnh c a
các gói tin b t nguồn từ kẻ tấn công.
3.4.2. Giả mạo
Cuộc tấn công này rất phổ bi n. Nó hoạt ộng bằng cách kẻ tấn cơng mạo
danh một ịa ch IP
t v ó tron
n s
o p ép ể th c hi n quét
trong mạng. Khi qu n trị viên h th ng giám sát mạn l u l ợn qu n s t ợc
n n
t nguồn từ một ịa ch IP n t n y; tuy nhiên, nó sẽ n từ kẻ
tấn cơng. Kỹ thu t tàng hình này khá rõ ràng và dễ nh n thấy và ch c ch n sẽ bị
IDS b t gặp.
Ngoài ra cịn có kh năn mạo danh các máy khác trong mạng bằng cách
lạm dụng ARP (Giao thức phân gi ịa ch ). Giao thức phân gi ịa ch cho
phép các máy ch trong mạn x
ịn ịa ch MAC c a máy ch d trên ịa
ch IP c a nó. Mạng giữ một b n ịa ch MAC v ịa ch IP ể giữ o l u
l ợng mạng gi m. N u hacker có thể gi mạo các gói và ph n hồi ARP, hacker
có thể qt mạng mà khơng bị phát hi n. Hacker có thể gi mạo ịa ch MAC
bằng các công cụ n MAC n r trên K l L nux.
20
3.4.3. Ngụy trang
Kỹ thu t n y l ên qu n n vi c gi mạo
ịa ch IP hợp pháp trong
mạng khi th c hi n quét cổng. Mụ í l
ôn ịa ch IP c a kẻ tấn công trong
một danh sách khổng lồ các IP tr c tuy n. K
ều n y ợc th c hi n, nó gây
nhầm l n cho qu n trị viên h th ng bằng cách làm cho nó trơng gi n n tất
c
IP ó l ên qu n n cuộc tấn công.
S l ợn
ịa ch IP gi mạo càng nhiều thì càng khó loại b
ịa ch IP bị
tấn công. Tuy nhiên, một s h th ng b o m t d a trên máy ch n t
và IDS có thể lọ r l u l ợn v x
ịnh chính xác máy tấn cơng.
ng l a
3.4.4. Nhảy
Kỹ thu t này cho phép những kẻ tấn công "nh y" truy c p c a họ từ các
máy ch trong mạn
n máy ch mục tiêu c
n . Đ ều này hoạt ộng do
kh năn
a một s dịch vụ o p ép ầu v o qu
n .C
ịch vụ n
―f n r‖ v FTP t
ng bị lạm dụn ể ạt ợ ều này.
3.5.
Kết luận
Quét tàng hình c c kỳ quan trọng vì nó cho phép bạn v ợt qua bất kỳ bi n
pháp phòng th n o
ợc th c hi n trong mạng. Hacker nên tìm hiểu các kỹ
thu t quét k
n u ể bi t những gì cần áp dụng trong mơi tr ng trong q
trình th c hi n hack.
4. eo thang đặc quyền
4.1. Leo thang đặc quyền là gì?
L o t n ặc quyền có thể ợ ịn n ĩ l một cuộc tấn công liên
qu n n vi
n
ợc quyền truy c p bất hợp pháp vào các quyền hoặ ặc
quyền n n
o v ợt quá nhữn
ợc d ịnh hoặ
ợ
ởn
iv i
n
i dùng. Cuộc tấn công này có thể l ên qu n n t n n
ọa bên ngoài
hoặ n
i trong cuộ . L o t n ặc quyền là một
oạn quan trọng c a
chuỗi tấn công mạn v t
n l ên qu n n vi c khai thác lỗ hổng leo thang
ặc quyền, chẳng hạn n lỗi h th ng, cấu hình sai hoặc kiểm sốt truy c p
k ơn ầy .
21
***Leo thang đặc quyền theo chiều dọc so với chiều ngang
Các cuộc tấn ôn l o t n ặc quyền có thể ợc tách thành hai loại
l n: l o t n ặc quyền theo chiều n n v l o t n ặc quyền theo chiều
dọ . T
ng bị nhầm l n v i nhau, các thu t ngữ này có thể ợc phân bi t n
sau:
Hình 1: Leo thang đặc quyền theo chiều dọc và chiều ngang
L o t n ặc quyền theo chiều n n l ên qu n n vi c giành quyền
truy c p vào các quyền c a tài kho n khác - on n
i hoặc máy móc - v i các
ặc quyền t n t . H n ộn n y ợc gọ l ―t p qu n tài kho n‖. T ôn
t
n
ều này sẽ l ên qu n n các tài kho n cấp thấp n (tức l n
i dùng
tiêu chuẩn), có thể thi u s b o v thích hợp. V i mỗi tài kho n ngang m i bị
xâm phạm, kẻ tấn công sẽ mở rộng phạm vi truy c p c a họ v
ặc quyền
t n t .
L ot n
ặc quyền theo chiều dọ
n
ợc gọi là tấn công leo thang
ặc quyền l ên qu n n vi
tăn
ặc quyền / quyền truy c p ặc quyền
v ợt quá nhữn
n
i dùng, ứng dụng hoặc nộ un k
ó. Đ ều này
i ph i chuyển từ mức truy c p ặc quyền thấp sang mức truy c p ặc
quyền o n. Để ạt ợc s leo than ặc quyền theo chiều dọc có thể yêu
cầu kẻ tấn công th c hi n một s
c trung gian (tức là th c hi n tấn công tràn
bộ
m v.v.) ể b qua hoặ
è
k ểm so t ặc quyền hoặc khai thác các
22
lỗ hổng trong phần mềm
n tr n
sở, hạt nhân hoặc lấy thông tin xác
th
ặc quyền cho các ứng dụng hoặc chính h ều hành.
4.2.
Leo thang đặc quyền hoạt động như thế nào?
Mỗi phiên cục bộ p ên t n t
oặc phiên truy c p từ x ại di n cho
một s hình thức truy c p ặc quyền. Đ ều này bao gồm mọi thứ, từ ặc quyền
c a khách ch o p ép ăn n p cục bộ n ặc quyền c a qu n trị viên hoặc
n
i ch cho một phiên từ xa và kh năn k ểm sốt h th ng hồn ch nh. Do
ó mọi tài kho n có thể t
ch ịnh.
n t
v i h th n
ều có một s
ặc quyền
ợc
N
ùn t ơn t
ng hi m khi có quyền i v
sở dữ li u, các
t p nhạy c m hoặc bất kỳ thứ gì có giá trị. Vì v y, làm th n o ể một tác nhân
ọ ều
n
n một mô tr n v
n
ợ ặc quyền c a qu n trị
viên hoặ n
i ch ể khai thác chún n một v t tấn ơn ? Có năm
p
n p p ín :
1) Khai thác thơng tin xác th c
2) Các lỗ hổng và khai thác
3) Cấu hình sai
4) Phần mềm ộc hại
5) Kỹ thu t xã hội
S ồ chuỗi tấn ôn
y o t ấy các kỹ thu t ín
ợc s dụng
bởi một t n n
ọa, bất kể l n
i trong cuộc hay m
ọa bên ngoài,
ể b t ầu nhi m vụ c a họ và lan truyền thông qua một mô tr ng.
23
Hình 2: Sơ đồ chuỗi tấn cơng
Tấn cơng leo thang đặc quyền là gì?
4.3.
C
t
n
n n
ọa b t ầu các cuộc tấn công leo t n ặc quyền bằng
ợc chỗ ứn tron mơ tr ng. Kẻ tấn cơng có thể chi m ợ ầu
tàu bằng cách t n dụng các b n vá b o m t còn thi u, kỹ thu t xã hội hoặc nhiều
p
n p p k . S u k x m n p n ầu t n ôn
t n n
ọa
t
ng sẽ th c hi n giám sát và ch th
t í
ợp ể ti p tục nhi m vụ c a
mình.
C
t
n n
ọ t
ng sẽ t o uổ on
ng ít ph n kháng nhất.
N u th i gian cho phép, họ sẽ dọn dẹp các hoạt ộng c m n ể không bị phát
hi n. C o ù ều này liên qu n n vi
ịa ch IP nguồn c a họ hoặc xóa
nh t ký d trên t ôn t n ăn n p mà họ n s dụng, thì bất kỳ bằng chứng
nào về s hi n di n c a họ ều ph n ánh ch báo về s th a hi p. Sau khi một tổ
chứ x
ịn
ợc hành vi xâm nh p, họ có thể t o õ ý ịnh c a kẻ xâm
nh p và / hoặc có kh năn tạm dừng hoặc chấm dứt phiên truy c p.
T ôn t
n
c thứ hai trong chuỗi tấn công mạn l ên qu n
n vi c
l o t n ặc quyền cho các tài kho n có quyền qu n trị, tài kho n g c hoặ ặc
quyền cao n so v i tài kho n bị xâm phạm n ầu. Tất nhiên, có thể tấn công
n ầu l ên qu n
n tài kho n qu n trị hoặc tài kho n g c. N u
24
n n
v y,
một t n n
ọ
n t nx
thể sở hữu một mô tr ng.
n tron
k hoạ
ộc hại c a họ và có
4.4. Các phương pháp tấn công leo thang đặc quyền phổ biến
4.4.1. Khai thác thông tin xác thực
Thông tin xác th c y u t hợp l (tên n
i dùng và m t khẩu) sẽ cho
p ép n
ùn t ôn t
ng xác th c tài nguyên. Tuy nhiên, n u t n n
dọa bi t tên n
i dùng, thì vi c lấy m t khẩu c a tài kho n sẽ trở thành một bài
t p
k. T ôn t
n t n n
ọ tr c tiên sẽ nh m mụ t êu n một
qu n trị viên h th n v t ôn t n ăn n p c a họ t
n ó ặc quyền truy
c p tr c ti p vào dữ li u và h th ng nhạy c m. V t ôn t n ăn n p và
quyền truy c p c a sysadmin, tội phạm mạng có thể di chuyển theo chiều ngang,
ồng th i gây ra ít hoặc khơng có nghi ng .
S uk t n n
ọa xâm phạm t ôn t n ăn n p, mọi thứ ó ặc
quyền i v i tài kho n ó
y l tr
o kẻ tấn công. N u t n n
dọ
ợc phát hi n, một tổ chứ t
n ặt lại m t khẩu ở mứ ộ u t ên o
v ịnh dạng lại các h th ng bị nhiễm ể gi m thiểu m
ọ ( ặc bi t n u
nó l ên qu n n máy ch ). Tuy nhiên, ch yêu cầu t y ổi m t khẩu không
ph l n o ũn
i quy t ợc s c v p
n p p lấy thông tin xác th c
ngay từ ầu có thể l ên qu n n
v t tấn ơn k
n p ần mềm ộc
hại hoặ
n thoạ
ộng bị xâm nh p. Đ ều này cung cấp o
t n n
dọa một s hi n di n dai dẳn
o n khi s xâm nh p c
n
ị tiêu di t
hồn tồn.
Thơng tin xác th c bị xâm phạm l p
n t n tấn ôn ặc quyền dễ
dàng nhất ể t n n
ọ ạt ợc thành công. Các tài kho n ợc liên k t
v i thơng tin xác th c kiểm sốt hầu h t mọi khía cạnh c mơ tr ng cơng
ngh thông tin hi n ại — từ qu n trị v ên n tài kho n dịch vụ. Th t không
may, hành vi trộm c p thông tin xác th c có thể ợc th c hi n thơng qua các
cuộc tấn công s dụng lại m t khẩu, phần mềm ộc hại quét bộ nh và gần n
vô s cách khác.
Vi c nâng cấp thơng tin xác th
ó ặc quyền từ n
i dùng tiêu chuẩn
sang qu n trị viên có thể x y ra bằng cách s dụng nhiều kỹ thu t. Thông tin xác
25
