Tấn công bằng mật khẩu là hình thức tấn công trực diện vào mật khẩu, bằng cách sử dụng các thông tin có sẵn của người dùng như thông tin cá nhân, mật khẩu dễ đoán, hoặc dùng các mật khẩu
Trang 1TRƯỜNG ĐẠI HỌC KINH TẾ - ĐẠI HỌC ĐÀ NẴNG
KHOA THƯƠNG MẠI ĐIỆN TỬ
–––––––––––––––––––––––––––––––
BÁO CÁO THUYẾT TRÌNH HỌC PHẦN
AN TOÀN & BẢO MẬT HỆ THỐNG THÔNG TIN
Chủ đề: TẤN CÔNG BRUTE-FORCE
Sinh viên thực hiện : Nguyễn Thị Mỹ Linh
Trần Thị Phương Phạm Thị Thu Nguyệt Phạm Kiều Linh Trần Thị Ni Bùi Thị Ngọc Tú
Đà Nẵng, 10/2022
Trang 2MỤ C LỤC
A Lời mở đầu 2
I Tấn công Brute-force? 3
1 Khái niệm 3
2 Nguyên nhân 3
3 Các công cụ khai thác 4
4 Các loại tấn công Brute-force 5
5 Tin tặc thu được gì từ tấn công Brute-force 6
6 Các vụ tấn công Brute-force đã diễn ra trên thực tế 7
II Thực hành tấn công Password window bằng Hydra trên Kali Linux 7
1 Kali Linux là gì? 7
2 Quy trình tấn công 8
III Ưu điểm và nhược điểm khi tấn công Brute-force 13
IV Cách phòng chống tấn công Brute-force 14
1 Đối với người dùng 14
2 Với quản trị viên thực hiện các phương pháp để bảo vệ người dùng 14
B Tổng kết 15
C Tài liệu tham khảo 16
Trang 3A Lời mở đầu
Bạn có thể khóa tất cả các cửa trong ngôi nhà của bạn chỉ bằng một chiếc chìa khóa, nhưng nếu vô tình bạn đánh mất chiếc chìa khóa ấy, hãy thử tưởng tượng xem điều gì sẽ xảy ra?
Và trong thời đại công nghệ lên ngôi như hiện nay, mật khẩu chính là chiếc chìa khóa ngăn chặn việc xâm nhập và đánh cấp những thông tin quan trọng được lưu trữ trong mỗi tài khoản người dùng Mật khẩu là một chuỗi tổ hợp các ký tự, được sử dụng để xác nhận danh tính của người dùng nhằm giúp truy cập vào dịch
vụ internet, hệ thống máy tính hay phần mềm ứng dụng nào đó
Dù hiện tại thế giới có rất nhiều phương thức xác thực mới như cảm biến vân tay, nhận diện khuôn mặt, chữ ký số,… Tuy nhiên, mật khẩu vẫn là một thứ không thể thay thế ở nhiều hệ thống, hệ điều hành hay các tài khoản mạng xã hội Vì vậy, mật khẩu mạnh được coi là biện pháp bảo vệ đầu tiên chống lại các cuộc tấn công bằng mật khẩu Tuy nhiên, mật khẩu mạnh vô cùng an toàn nhưng lại không dễ ghi nhớ, và phần lớn người dùng đều đặt những mật khẩu dễ nhớ và đồng thời dễ bị xâm phạm Từ đó, nó đã tạo nên một lỗ hổng lớn khiến thông tin của người dùng bị tấn công và đột nhập bởi các tin tặc trên thế giới Theo ghi nhận của Công ty An ninh mạng Viettel, trong năm 2021, có tới 100 triệu lượt dữ liệu về người dùng internet, tổ chức doanh nghiệp Việt Nam bị lộ và hơn 100 nghìn tài khoản, mật khẩu được rao bán trên các nền tảng chợ đen Các vụ việc
ấy phần lớn đều do các cuộc tấn công bằng mật khẩu (password attack)
Tấn công bằng mật khẩu là hình thức tấn công trực diện vào mật khẩu, bằng cách
sử dụng các thông tin có sẵn của người dùng như thông tin cá nhân, mật khẩu dễ đoán, hoặc dùng các mật khẩu thông thường nhằm dò tìm ra mật khẩu chính xác Song, các tin tặc sẽ đánh cắp những thông tin, dữ liệu cá nhân của người dùng
Trang 4với nhiều mục đích tốt hoặc xấu khác nhau Nhưng phần lớn đều mang mục đích xấu nhằm đem lại lợi ích cho bản thân Từ đó, nó đã gây nên sự bất an lo lắng cho người dùng và trở thành mối đe dọa đối với an ninh mạng trên toàn cầu
Vì vậy, nhóm quyết định chọn đề tài Tấn công Brute-force Qua đó giúp người hiểu rõ về hình thức tấn công, cách thức bẻ khóa mật khẩu Và giúp hạn chế cũng như giảm thiểu khả năng tin tặc đánh cắp dữ liệu thông tin cá nhân, hoặc xâm nhập trái phép hệ thống máy chủ của các doanh nghiệp kinh doanh và nhiều tổ chức lớn trên thế giới để thực hiện các giao dịch mua bán, lừa đảo và chiếm đoạt tài sản
I Tấn công Brute-force?
1 Khái niệm
Tấn công brute-force là một phương pháp bẻ khóa phổ biến Một cuộc tấn công brute-force liên quan đến việc 'đoán' tên người dùng và mật khẩu để truy cập trái phép vào hệ thống, hacker sẽ sử dụng phương pháp thử và sai để cố gắng đoán thông tin đăng nhập hợp lệ Ngoài ra ta có thể sử dụng brute-force để khai thác OTP, Timestamp , Cookie, vv Tuy nhiên bài viết này sẽ tập trung vào brute-force mật khẩu để đăng nhập tài khoản người dùng
Các cuộc tấn công này thường được tự động hóa bằng cách sử dụng danh sách các từ gồm tên người dùng và mật khẩu thường được sử dụng để có thể đạt được kết quả tốt nhất Việc sử dụng các công cụ chuyên dụng có khả năng cho phép hacker thực hiện đăng nhập 1 cách tự động nhiều lần với tốc độ cao
Brute-force là một phương pháp tấn công đơn giản và có tỷ lệ thành công cao Bởi vì tùy thuộc vào độ dài và độ phức tạp của mật khẩu, việc bẻ khóa mật khẩu
có thể mất từ vài giây đến nhiều năm Do đó các trang web sử dụng phương thức đăng nhập dựa trên mật khẩu hoàn toàn có thể rất dễ bị tấn công nếu họ không thực hiện đầy đủ biện pháp bảo vệ bạo lực
2 Nguyên nhân
Trang 5Hình thức tấn công brute-force dễ phòng chống nhưng lại rất dễ gặp phải
Nguyên nhân của kiểu tấn công này là do:
- Đặt mật khẩu không an toàn, dễ đoán ra, sử dụng phổ biến
- Sử dụng mật khẩu liên quan đến bản thân có thể dễ lấy được trên các mạng xã hội như: tên, ngày sinh
- Từ phía sever, việc không giới hạn số lần nhập sai có thể tạo cơ hội cho hacker có thể tấn công brute-force
3 Các công cụ khai thác
Việc đoán mật khẩu email hoặc trang web mạng xã hội của người dùng có thể là một quá trình tốn nhiều thời gian, đặc biệt nếu tài khoản có mật khẩu mạnh Để đơn giản hóa quá trình này, hacker đã phát triển phần mềm và công cụ để giúp họ
bẻ khóa mật khẩu
Các công cụ tấn công brute-force bao gồm các ứng dụng bẻ khóa mật khẩu, bẻ khóa các tổ hợp tên người dùng và mật khẩu mà sẽ rất khó để một người tự bẻ khóa Các công cụ tấn công brute-force thường được sử dụng bao gồm:
- Aircrack-ng
Một bộ công cụ đánh giá an ninh mạng Wi-Fi để giám sát và xuất dữ liệu và tấn công một tổ chức thông qua các phương pháp như điểm truy cập giả mạo và chèn gói
- John the Ripper
Một công cụ khôi phục mật khẩu mã nguồn mở hỗ trợ hàng trăm loại mật mã và băm, bao gồm mật khẩu người dùng cho macOS, Unix và Windows, máy chủ cơ
sở dữ liệu, ứng dụng web, lưu lượng truy cập mạng, khóa cá nhân được mã hóa
và tệp tài liệu
Trang 6- Hydra
Hydra là một nền tảng mở, được cộng đồng bảo mật và những kẻ tấn công liên tục phát triển các mô-đun mới Nó có thể tấn công hơn 50 giao thức và trên nhiều
hệ điều hành khác nhau
- L0phtCrack
Một công cụ bẻ khóa mật khẩu Windows Nó sử dụng bảng cầu vồng, từ điển và các thuật toán đa xử lý
- Burpsuite
Burpsuite không phải là 1 công cụ chuyên dụng để tấn công brute-force, tuy nhiên bạn hoàn toàn có thể tùy chỉnh đầu vào bộ mật khẩu để hướng tới 1 cuộc tấn công brute-force tùy ý
4 Các loại tấn công Brute-force
Tấn công Brute Force thường được chưa làm các dạng sau đây:
- Simple Brute Force Attacks
Hacker cố gắng đoán một cách hợp lý thông tin đăng nhập của bạn – hoàn toàn không được hỗ trợ từ các công cụ phần mềm hoặc các phương tiện khác Chúng
có thể tiết lộ mật khẩu và mã PIN đơn giản Ví dụ: mật khẩu được đặt là
“guest12345”
- Dictionary Attacks
Các cuộc tấn công từ điển là công cụ cơ bản nhất trong các cuộc tấn công brute force Mặc dù không nhất thiết phải là các cuộc tấn công Brute Force, nhưng chúng thường được sử dụng như một thành phần quan trọng để bẻ khóa mật khẩu Một số tin tặc chạy qua các từ điển không kết hợp và bổ sung các từ bằng
Trang 7các ký tự và chữ số đặc biệt hoặc sử dụng các từ điển từ đặc biệt, nhưng kiểu tấn công tuần tự này rất phức tạp
- Hybrid Brute Force Attacks
Hacker lợi dụng các thông tin bên ngoài và của bạn để một cách logic của họ để
cố gắng lấy thông tin đăng nhập Một cuộc tấn công hỗn hợp thường kết hợp các cuộc tấn công từ điển và brute force Các cuộc tấn công này được sử dụng để tìm
ra mật khẩu kết hợp trộn các từ phổ biến với các ký tự ngẫu nhiên Một ví dụ về cuộc tấn công vũ phu về bản chất này sẽ bao gồm các mật khẩu như NewYork1993 hoặc Spike1234
- Reverse Brute Force Attacks
Đây là một hình thức tấn công đảo ngược chiến lược tấn công bằng cách bắt đầu với một mật khẩu đã biết Sau đó, hacker tìm kiếm hàng triệu tên người dùng cho đến khi họ tìm thấy một kết quả trùng khớp Nhiều tên tội phạm trong số này bắt đầu với mật khẩu bị rò rỉ có sẵn trực tuyến từ các vi phạm dữ liệu hiện có
- Credential Stuffing
Nếu một hacker có tổ hợp tên người dùng và mật khẩu hoạt động cho một trang web, họ cũng sẽ thử nó cho rất nhiều trang web khác Vì người dùng đã được biết
là sử dụng lại thông tin đăng nhập trên nhiều trang web, họ là mục tiêu độc quyền của một cuộc tấn công như thế này
5 Tin tặc thu được gì từ tấn công Brute-force
Tấn công brute force giúp Hacker:
- Thu lợi từ quảng cáo hoặc thu thập dữ liệu hoạt động
- Đánh cắp dữ liệu cá nhân
- Phát tán phần mềm độc hại để gây ảnh hưởng công việc
Trang 8- Sử dụng hệ thống của bạn cho mục đích xấu.
- Gây tổn hại đến danh tiếng của bạn (Hacker có thể tấn công và thay đổi giao diện trang web của công ty bạn)
6 Các vụ tấn công Brute-force đã diễn ra trên thực tế
- Vào năm 2009, Những kẻ tấn công đã nhắm mục tiêu vào các tài khoản Yahoo bằng cách sử dụng các đoạn mã bẻ khóa mật khẩu tự động trên một ứng dụng xác thực dựa trên dịch vụ web của Yahoo được các nhà cung cấp dịch vụ internet và các ứng dụng web của bên thứ ba sử dụng
- Năm 2017, tội phạm an ninh mạng đã sử dụng các cuộc tấn công Brute-force để truy cập mạng nội bộ của Quốc hội Anh và Scotland
- Vào năm 2018, những kẻ tấn công Brute-force đã bẻ khóa mật khẩu và thông tin nhạy cảm của hàng triệu hành khách của hãng hàng không Cathay Pacific
- Vào năm 2021, Cơ quan An ninh Quốc gia đã cảnh báo về các cuộc tấn công bằng mật khẩu Brute-force được thực hiện từ một cụm Kubernetes được chế tạo đặc biệt bởi một đơn vị trong cơ quan tình báo nước ngoài của Nga
- Vào năm 2021, tin tặc đã có quyền truy cập vào môi trường thử nghiệm T-Mobile và sau đó sử dụng các cuộc tấn công Brute-force và các phương tiện khác để xâm nhập vào các máy chủ CNTT khác, bao gồm cả những máy chủ chứa dữ liệu khách hàng
II Thực hành tấn công Password window bằng Hydra trên Kali Linux
1 Kali Linux là gì?
Kali Linux là một bản phân phối Linux dựa trên Debian nhằm mục đích kiểm tra bảo mật Nó chứa hàng trăm công cụ hướng đến các nhiệm vụ bảo mật thông tin
Trang 9khác nhau Chẳng hạn như kiểm tra thâm nhập, nghiên cứu bảo mật, kiểm tra máy tính và kỹ thuật dịch ngược Kali Linux được phát triển và tài trợ bởi Offensive Security, một công ty đào tạo bảo mật thông tin hàng đầu
Các tính năng của Kali Linux
- Hơn 600 công cụ kiểm tra thâm nhập: Sau khi xem xét mọi công cụ có
trong BackTrack, những người sáng lập Kali Linux đã loại bỏ một số lượng lớn các công cụ chỉ đơn giản là không hoạt động hoặc sao chép các công cụ khác cung cấp cùng chức năng hoặc tương tự
- Miễn phí: Kali Linux, giống như BackTrack, hoàn toàn miễn phí Người dùng sẽ không bao giờ phải trả tiền khi dùng Kali Linux
- Open source Git tree: Tất cả mã nguồn đi vào Kali Linux đều được hỗ trợ cho bất kỳ ai muốn tinh chỉnh hoặc xây dựng lại các gói cho phù hợp với nhu cầu cụ thể của họ
- Tuân thủ FHS: Kali Linux tuân thủ Tiêu chuẩn phân cấp hệ thống file (Filesystem Hierarchy Standard), cho phép người dùng Linux dễ dàng định vị các fie nhị phân, file hỗ trợ, thư viện, v.v
- Hỗ trợ thiết bị không dây trên phạm vi rộng: Một vấn đề đối với các bản phân phối Linux đã được giải quyết, đó chính là Kali Linux sẽ hỗ trợ cho các thiết bị không dây Kali Linux để hỗ trợ nhiều thiết bị không dây nhất
có thể, cho phép nó chạy đúng cách trên nhiều loại phần cứng và làm cho
nó tương thích với nhiều USB và các thiết bị không dây khác
2 Quy trình tấn công
- Thiết lập 2 máy ảo trên Vmware
+ Kali Linux và Windows 7 Máy Kali Linux đóng vai trò là máy tấn công và Windows 7 sẽ bị máy Kali tấn công
+ Thiết lập 2 User ở Windows 7
Trang 10Ở máy windows thiết lập User thứ 1 ‘hello’ có Password là ‘12345’
và User thứ 2 là ‘hi’ có Password là ‘678910’
+ Thông 2 máy Kali và Windows 7 với nhau
Đảm bảo máy Kali và Windows 7 có thể thông với nhau qua lệnh
‘ping’ Trước khi ping 2 máy với nhau cần biết địa chỉ IP của 2 máy
+ Máy Kali qua lệnh ‘ip addr show’ có địa chỉ IP là: 127.0.0.1
Trang 11+ Máy Windows 7 qua lệnh ‘ipconfig’ có địa chỉ IP là:
192.168.177.131
+ Ping ở máy Kali: ‘ping 192.168.177.131’
Trang 12+ Ping ở máy Windows 7: ‘ping 127.0.0.1’
+ Tạo file Username và file Password
Tạo file Username và đưa những Username thường gặp vào file lưu dưới dạng file txt Tương tự tạo file Password và đưa những Password thường gặp vào file và lưu dưới dạng file txt
Trang 13Ngoài ra có thể dùng file rockyou.txt chứa rất nhiều password có sẵn trong wordlists của Kali Linux Nhưng vì số lượng password khá lớn dẫn đến việc chạy chương trình tốn nhiều thời gian Nên ở đây nhóm chỉ demo số lượng Username Và Password tương đối ít
- Thực hiện tấn công Password
+ Câu lệnh tấn công chung:
hydra -L usernameLink -P passwordLink -t number ipaddress service
Trong đó:
usernameLink: đường dẫn của file từ điển Username
passwordLink: đường dẫn của file từ điển Password
Trang 14 number ipaddress service: địa chỉ IP của máy bị tấn công
+ Câu lệnh cụ thể trong demo
hydra -L /home/nguyet/Desktop/usename.txt -P /home/nguyet/\/password.txt -t 1 192.168.177.131 smb (smb:
dịch vụ file Sharing ở port 445)
+ Kết quả
Qua 48 dòng lệnh thử 8 Username và 6 Password cho ra kết quả 2 Username ‘hi’ và ‘hello’ với 2 Password ‘678910’ và ‘12345’
III Ưu điểm và nhược điểm khi tấn công Brute-force
- Ưu điểm: Là phương pháp tấn công có tỷ lệ thành công cao Chỉ cần có đủ thời gian và một máy tính mạnh có khả năng ghép nối tất cả các kí tự lại với nhau, các tin tặc có thể bẻ khóa được tất cả những mật khẩu
- Nhược điểm: Nếu mật khẩu của người dùng sử dụng mật khẩu càng dài, càng phức tạp, kết hợp cả số, chữ cái và ký tự thì Brute force attack sẽ mất rất nhiều thời gian để có thể xâm nhập được Hơn nữa, các cuộc tấn công như vậy thường không thành công vì chúng có thể dễ dàng bị phát hiện và
Trang 15bị chặn bởi các cơ chế bảo mật như tường lửa, IDS / IPS và cơ chế kiểm soát truy cập
IV Cách phòng chống tấn công Brute-force
1 Đối với người dùng
- Không sử dụng thông tin liên quan đến bản thân mà có thể lấy được trên
mạng như tên, ngày sinh, vv…
- Có càng nhiều ký tự càng tốt: việc sử dụng từ 10 ký tự trở lên có thể khiến
cho việc brute-force tốn rất nhiều thời gian, thời gian có thể lên cả năm trời
- Kết hợp các chữ cái, số và các ký hiệu đặc biệt.
- Tránh sử dụng những mật khẩu đơn giản như: 123456, password,
- Bên cạnh đó việc không sử dụng cùng 1 mật khẩu trên nhiều tài khoản
khác nhau có thể tránh tối đa hậu quả khi bị mất mật khẩu
2 Với quản trị viên thực hiện các phương pháp để bảo vệ người dùng
- Yêu cầu mật khẩu mạnh: bạn có thể buộc người dùng xác định mật khẩu
dài và phức tạp Bạn cũng nên thực thi các thay đổi mật khẩu định kỳ
- Hạn chế số lần đăng nhập sai: Giới hạn số lần thử cũng làm giảm khả
năng bị tấn công brute-force Đi kèm với đó là việc làm tăng thời gian cho phép nhập khi nhập quá nhiều lần sai
- Xác thực hai yếu tố: Quản trị viên có thể yêu cầu xác thực hai bước và cài
đặt hệ thống phát hiện xâm nhập phát hiện các cuộc tấn công Điều này yêu cầu người dùng theo dõi nỗ lực đăng nhập bằng yếu tố thứ hai, chẳng hạn như khóa USB vật lý hoặc quét sinh trắc học dấu vân tay