CHƯƠNG 1 TỔNG QUAN VỀ MÃ ĐỘC, VIRUS1.1 Giới thiệu về mã độc máy tính Mã độc hay phần mềm độc hại là các chương trình máy tính có chứa bên trong nó nộidung các mã độc hại được tạo ra với
TỔNG QUAN VỀ MÃ ĐỘC, VIRUS
Giới thiệu về mã độc máy tính
Mã độc hay phần mềm độc hại là các chương trình máy tính có chứa bên trong nó nội dung các mã độc hại được tạo ra với mục đích thực hiện các hành vi bất hợp pháp như: truy cập trái phép, đánh cắp thông tin người dùng, lây lan thư rác, thậm chí thực hiện các hành vi tống tiền (ransomware), tấn công và gây tổn thương cho các hệ thống máy tính… nhằm chuộc lợi cá nhân , hoặc các lợi ích về kinh tế, chính trị hay đơn giản chúng có khi được tạo ra chỉ là một trò đùa ác ý nào đó Bất kỳ một phần mềm nào là lý do làm tổn thương, phá vỡ đến tính bí mật, tính toàn vẹn và tính sẵn sàng của dữ liệu người dùng, máy tính hoặc môi trường mạng đều có thể được xem như các mã độc Ngày nay ,cùng với sự phát triển của công nghệ thông tin các ứng dụng máy tính, các phần mềm hệ thống không ngừng thay đổi và phát triển mạnh mẽ, mã độc ban đầu từ chỗ chỉ là những chương trình nhỏ có khả năng tự sao chép đến nay mã độc và các biến thể của nó đang ngày càng trở nên đa dạng, tinh vi mức độ nguy hiểm ngày càng gia tăng đang trở thành một nguy cơ đe dọa trực tiếp đến an toàn, an ninh thông tin.
Phân loại mã độc
Ban đầu các phần mềm độc hại được tạo ra bằng cách sống kí sinh và lây nhiễm trên các vật chủ là các chương trình có chứa các nội dung thực thi Các đoạn mã máy nhiễm độc được lây lan tồn tại trong một vài chương trình ứng dụng, các chương trình tiện ích hoặc các hệ thống máy tính thậm chí ngay chính trên các mã được dùng để khởi động máy tính Các phần mềm độc hại này được xác định và phân loại bởi mục đích độc hại hay các hành vi của nó, có thể kể tên như: Virus, Trojan, Logic Bombs, BackDoors…Các dạng chương trình độc hại kiểu khác là các chương trình mã độc mà tự chúng có khả năng thực thi một các độc lập trên các phần mềm hệ thống mà không cần kí sinh trên các vật chủ là các chương trình ứng dụng hay tệp tin Các mã độc dạng này thường có khả năng tự nhân bản chúng lợi dụng các lỗ hổng bảo mật để tấn công hay thực hiện các hành vi độc hại, đại diện cho các dạng mã độc này là các sâu máy tính (worm).
Một cách khác để phân biệt các loại mã độc khác nhau là dựa trên mục đích và các hành vi của chúng Ngày nay mã độc đang ngành càng phát triển và tiến hóa không ngừng trong đó nổi lên là các dạng mã độc mà có khả năng ngụy trang và lén lút thực hiện các hành vi đánh cắp thông tin, thực hiện nghe lén hay thâm nhập như là các phần mềm gián điệp hay các chương trình khai thác lỗ hổng bảo mật trên máy tính người dùng trong thời gian dài Một số loại mã độc khác chủ yếu được thực thi mà hành vi của nó tập trung vào mục đích lây lan và phá hoại gây nhiễm cho hệ thống máy tính.
Như vậy có thể nói phần mềm độc hại có thể được tạm chia thành các loại khác nhau theo phương thức và hoạt động của chúng, Các phần mềm chống virus đôi khi không quan tâm đến tên của nó, có khả năng phát hiện ra các kiểu mã độc như sau:
Có 3 đặc điểm thường liên quan với các loại phần mềm độc hại là:
- Mã độc tự nhân bản và nỗ lực lây nhiễm bằng việc tạo các bản sao chép mới hoặc các thể hiện của chính nó Mã độc cũng có thể được lây nhiễm một cách bị động thông qua thao tác vô ý của người dùng tạo ra các sự kiện kích hoạt hay sao chép nhưng điều này không được coi là tự nhân bản.
- Sự tăng trưởng về số lượng của phần mềm độc hại mô tả sự thay đổi tổng thể trong đó có số lượng lớn các trường hợp là do tự nhân bản, Những mã độc mà không tự nhân bản sẽ luôn luôn có một sự tăng trưởng bằng không nhưng mã độc với một sự tăng trưởng bằng không lại có thể là những mã độc tự nhân bản.
- Phần mềm độc hại ký sinh yêu cầu một số chương trình mã thực thi khác để tồn tại Thực thi trong ngữ cảnh này nên được hiểu chung là bao gồm bất cứ thứ gì có thể thực thi được, như là các khối khởi động trên đĩa, mã nhị phân trong các ứng dụng và các mã biên dịch Nó cũng bao gồm các mã nguồn như là các ngôn ngữ kịch bản, hay là các mã yêu cầu biên dịch trước khi chúng được thực thi.
Virus là một loại mã độc có các đặc điểm như tự nhân bản, chúng ký sinh trên các vật chủ, virus là một chương trình độc hại mà khi được thực thi nó sẽ cố gắng sao chép chính nó vào bên trong một mã thực thi khác Khi thành công thì mã chương trình được gọi là mã bị lây nhiễm Các mã lây nhiễm khi chạy có thể tiếp tục lây nhiễm sang các mã mới Sự tự sao chép này tồn tại trong các mã thực thi là một đặc tính xác định quan trọng của một virus.
Khi virus được lây nhiễm nó có thể thực hiện một loạt các hành vi như thay đổi, xóa, hay sao chép các tệp tin cũng như phát tán chúng trên các hệ thống máy tính.
Hiểu theo cách truyền thống thì Virus có thể lây lan bên trong một máy tính duy nhất hoặc có thể di chuyển từ một máy tính đến máy tính khác bằng việc sử dụng các phương tiện vận chuyển đa phương tiện của con người như là đĩa mềm, CD-ROM,DVD-ROM, hoặc USB,… Nói cách khác Virus không lây lan thông qua mạng máy tính thay vào đó mạng máy tính là một miền hoạt động của các sâu máy tính Tuy nhiên Virus hiểu theo cách truyền thống đôi khi được dùng để chỉ bất kỳ phần mềm độc hại nào có khả năng tự sao chép.
Virus có thể được bắt gặp trong các giai đoạn khác nhau của sự tự nhân bản Một mầm mống nảy sinh là hình thức ban đầu của Virus trước khi diễn ra bất kỳ một sự tự sao chép nào, một Virus mà thất bại trong việc tự tái tạo lại được gọi là một dự định, điều này có thể xảy ra như là kết quả của lỗi trong các virus hoặc sự gặp phải một phiên bản bất ngờ của hệ điều hành Một virus có thể trú ẩn, nơi mà nó hiện diện nhưng chưa lây nhiễm hay làm bất cứ điều gì ví dụ một cửa sổ có chứa virus có thể ở trên một máy chủ tập tin chạy trên hệ điều hành Unix và không có hiệu lực ở đó, nhưng có thể được xuất và di chuyển sang các máy Windows về cơ bản một Virus được trải qua 4 giai đoạn, giai đoạn
1 là trú ẩn như đã trình bày ở trên, giai đoạn 2 virus thực hiện lây nhiễm bằng việc việc sao chép chính nó vào các tệp tin hay chương trình máy tính khác, giai đoạn 3 virus được kích hoạt để chuẩn bị chạy các đoạn mã độc, giai đoạn 4 virus thực thi các chức năng của nó theo đúng kịch bản mà kẻ đã tạo ra nó.
- Một virus máy tính gồm 3 thành phần chính như sau :
Cơ chế lây nhiễm: Làm thế nào để virus có thể lây lan bằng cách sửa đổi mã khác để chứa một sao chép của virus, các cách chính xác thông qua đó một loại virus lây lan được gọi là vector lây nhiễm của nó Đây không phải là duy nhất, một loại virus lây nhiễm theo nhiều cách được gọi là đa phương.
Kích hoạt: Các cách quyết định xem có hay không để mở một payload Payload: là mã lệnh hay cái mà virus thực hiện bên cạnh việc lây nhiễm
Ngoại trừ cơ chế lây nhiễm, 2 thành phần còn lại có thể tùy chỉnh do vậy lây nhiễm là một trong những chìa khóa định nghĩa các đặc điểm của một virus Trong sự thiếu vắng tính chất lây nhiễm nếu mã độc hại chỉ chứa thành phần kích hoạt và payload trường hợp này được gọi là mã độc logic bomb.
Virus có thể được phân loại bằng nhiều cách, dựa vào mục tiêu cố gắng lây nhiễm của virus, và dựa vào các phương thức mà virus sử dụng để che giấu bản thân nó với các hệ thống phát hiện và các phần mềm chống virus.
- Phân loại virus dựa vào các hình thức lây nhiễm:
- Virus lây nhiễm Boot-Sector
Virus lây nhiễm Boot-Sector là một virus lây nhiễm bằng việc sao chép chính nó đến khối khởi động bằng cách như vậy sau khi hệ điều hành máy tính tiến hành khởi động nó sẽ thực thi các đoạn mã virus bị chèn vào chứ không phải là các đoạn mã khởi động thông thường Virus có thể sao chép nội dung của khối khởi động cũ ở nơi khác trên đĩa đầu tiên hoặc nơi cố định an toàn trên ổ đĩa để virus có thể chuyển điều khiển đến nó sau khi hoàn thành xử lý tiến trình khởi động
Hình 1.1 Khối khởi động bị lây nhiễm bởi nhiều virus [10]
Các kỹ thuật phát hiện mã độc
Mục đích của việc phát hiện hiện mã độc là đưa ra những cảnh báo sớm để có cơ chế ngăn chặn kịp thời trước khi các mã độc thực hiện các hành vi hay chức năng của chúng chính vì vậy vai trò của phát hiện mã độc là hết sức quan trọng, chúng ta luôn luôn phải tìm kiếm và phát hiện sự tồn tại của mã độc ngay cả khi chúng không thực thi hay làm bất cứ điều gì ,thậm chí nếu một mã độc không hoạt động trên một hệ thống việc phát hiện ra nó vẫn rất cần thiết bởi vì điều đó đảm bảo rằng nó sẽ không ảnh hưởng đến hệ thống khác Lấy hệ thống email là một ví dụ nơi mà các máy nhận có thể chạy trên hệ thống hay chứa những ứng dụng, dịch vụ hoàn toàn khác với máy chủ vì vậy phải đảm bảo rằng mã độc không thể được thực thi trên bất kỳ hệ thống nào.
Các kỹ thuật phát hiện mã độc là một quá trình tìm kiếm và thẩm định xem một chương trình phần mềm có thể đã bị lây nhiễm mã độc hay bên trong có chứa các đoạn mã được xem là mã độc hay không, thêm vào đó các hành vi của chúng cũng được phân tích và xem xét là nhóm các hành vi thông thường hay các hành vi thuộc về mã độc, dựa vào các kết quả đó để có thể chứng minh và phát hiện sự tồn tại của mã độc trên các hệ thống.
- Các kỹ thuật phát hiện dựa trên phân tích tĩnh
Kỹ thuật phát hiện mã độc dựa trên phương pháp phân tích tĩnh có đặc điểm là phát hiện mã độc mà không cần phải chạy hay thực thi bất kỳ đoạn mã nào của nó gồm có 3 phương pháp chính là kỹ thuật dò quét, chẩn đoán dựa trên kinh nghiệm và kiểm tra tính toàn vẹn.
- Kỹ thuật dò quét (scanner):
Thông thường mỗi một mã độc được biểu diễn bởi một hay nhiều mẫu, hoặc là các dấu hiệu (signatures), chuỗi tuần tự các byte là những cái được coi là đặc trưng duy nhất của mã độc Các dấu hiệu này đôi khi còn được gọi là các chuỗi (scan strings) và chúng không cần bất kỳ một ràng buộc về chuỗi nào Một vài phần mềm chống mã độc có thể hỗ trợ việc sử dụng các ký tự đại diện (wildcards) cho mỗi một byte tùy ý, một phần của một byte, hoặc không hay nhiều byte Quá trình phát hiện mã độc bằng cách tìm kiếm thông qua một tập tin với các dấu hiệu của nó thì được gọi là scanning và các mã được tìm thấy được gọi là một scanner Cụ thể hơn nữa, quá trình phát hiện được thực hiện thông qua một dòng các mã byte chúng có thể là toàn bộ nội dung của một khối khởi động, toàn bộ nội dung của tập tin, hoặc là một phần của tập tin được đọc hoặc ghi, hay cũng có thể là các gói tin mạng.
Với hàng trăm ngàn dấu hiệu để phát hiện việc tìm kiếm chúng tại một thời điểm thì không khả thi chút nào Một trong thách thức lớn nhất của kỹ thuật này là tìm ra các thuật toán có khả năng tìm được nhiều mẫu một cách hiệu quả và đồng thời đánh giá được chúng.
Kỹ thuật này được áp dụng để nhân lên khả năng chuyên gia trong các phần mềm chống virus, chẩn đoán dựa trên kinh nghiệm trong phương pháp phân tích tĩnh có thể tìm thấy các mã độc đã biết hoặc chưa biết bằng cách tìm kiếm một mẩu mã mà có những đặc điểm chung giống như là một mã độc thay vì scanning các dấu hiệu đặc biệt của mã độc. Đây là một kỹ thuật phân tích tĩnh có nghĩa là các mã sẽ được phân tích mà không thực thi và không có gì đảm bảo về bất kỳ một mã nghi ngờ được tìm thấy sẽ thực thi khi nào.
Kỹ thuật này được thực hiện thông qua 2 bước:
Thu thập dữ liệu: Dữ liệu thu thập có thể được sử dụng từ bất kỳ một kỹ thuật dựa trên
18 kinh nghiệm nào, có hay không một kỹ thuật kinh nghiệm phân loại chính xác các đầu vào điều đó không thực sự quan trọng bởi vì các kết quả của nhiều kinh nghiệm sẽ được kết hợp và được phân tích sau đó Một scanner có thể được sử dụng để xác định vị trí một dấu hiệu là các biểu hiện được chỉ ra của những mã đáng nghi được gọi là các booster Sự hiện diện của các booster này làm tăng khả năng các mã sẽ được phân tích là các mã độc như là: các mã Junk, tự thay đổi mã, sử dụng các cuộc gọi hàm API không được cung cấp, điều khiển véc tơ ngắt, sử dụng các lệnh bất thường đặc biệt là cái không được sinh ra bởi trình biên dịch, chuỗi chứa những từ ngữ khiêu dâm, hoặc các tín hiệu rõ ràng như là một từ “virus” Một việc cũng không kém phần quan trọng là tìm kiếm những thứ xuất hiện trong một mã bình thường đây là những cái mà mã độc không thường làm Ví dụ virus thì không thường tạo một hộp thoại pop-up cho người sử dụng Điều này sẽ được xem xét là một heuristic phủ định hay một stopper.
Các kinh nghiệm heuristic khác có thể được tính toán mà không dựa trên scanning như là:
Sự khác nhau giữa một điểm vào và kết thúc của một tập tin có thể được tính toán, các giá trị cực nhỏ khi thực hiện so sánh với những giá trị giống như vậy ở một tập tin không bị lây nhiễm.
Phân tích phổ của mã lệnh có thể được thực hiện, tính toán các tần số của các byte hoặc là các lệnh được sử dụng trong mã Các mã được mã hóa sẽ có dấu hiệu phổ khác với mã không được mã hóa.
Phân tích: phân tích dữ liệu tĩnh heuristic có thể xác định đơn giản như là đánh các trọng số cho mỗi giá trị heuristic và tính tổng các kết quả Nếu tổng số vượt qua một giá trị ngưỡng được sử dụng như là một căn cứ phát hiện thì dữ liệu đầu vào có thể đã bị lây nhiễm. Một số phương pháp phức tạp trong các phân tích dữ liệu có thể sử dụng trí tuệ nhân tạo như là mạng neural, hệ chuyên gia, hay các kỹ thuật khai phá dữ liệu.
Kỹ thuật Static heuristics có thể được xem như là một cách để giảm các yêu cầu tài nguyên của kỹ thuật scanner Toàn bộ dấu hiệu của mã độc trong một cơ sở dữ liệu mã độc có thể được chắt lọc giảm xuống một tập nhỏ hơn, tổng quát hơn Một kỹ thuật quét mã độc có thể tìm kiếm những dấu hiệu đặc trưng ngắn này và nạp vào trong bộ dữ liệu chứa toàn bộ các dấu hiệu nếu phù hợp với những gì đã tìm thấy Điều này làm giảm bớt yêu cầu lưu dữ toàn bộ các dấu hiệu đặc trưng trong bộ nhớ.
- Kỹ thuật kiểm tra sự toàn vẹn (Integrity Checkers)
Ngoại trừ một số virus đồng dạng các mã độc chủ yếu hoạt động bằng cách thay đổi các tập tin Kỹ thuật kiểm tra tính toàn vẹn nhằm khai thác các hành vi này để tìm ra mã độc bằng cách xem các thay đổi trái phép vào các tập tin Một kiểm tra toàn vẹn được khởi đầu bằng việc tính và lưu dữ một checksum cho mỗi tập tin trong hệ thống được xem xét Sau đó một checksum của tập tin cần kiểm tra sẽ được tính lại và so sánh với giá trị checksum gốc của nó Nếu checksum khác nhau có nghĩa là đã có một sự thay đổi diễn ra Kỹ thuật này được sử dụng rất phổ biến trong các phần mềm chống mã độc ban đầu các mã độc được tìm thấy sẽ được sử dụng một hàm băm như là MD5,SHA,CRC… để tính toán ra giá trị băm duy nhất của nó sau đó các giá trị này được lưu trong cơ sở dữ liệu như là các dữ liệu mẫu định danh mã độc đó Khi muốn kiểm tra một tập tin có phải là mã độc hay không chúng ta chỉ cần tính toán lại hàm băm và so sánh giá trị kết quả với cơ sở dữ liệu đã có Nếu tồn tại một mã băm như vậy trong cơ sở dữ liệu mã độc thì có thể biết chính xác nó là một mã độc.
1.3.1 Các kỹ thuật phát hiện dựa trên phân tích động
Kỹ thuật phát hiện mã độc dựa trên phân tích động là kỹ thuật quyết định một tập tin có bị lây nhiễm hay không thông qua việc thực thi các mã chương trình và quan sát các hành vi của nó Để thực hiện được phương pháp này cần phải thiết lập môi trường để mã độc thực thi và các công cụ cho phép quan sát các hành động của chúng như: theo dõi các tiến trình, theo dõi các thông tin về registry, sự thay đổi của các tệp tin, thư mục, theo dõi sự thay đổi của lưu lượng mạng và các kết nối TCP/IP… Tất cả các hành vi của mã độc sẽ được lưu dưới dạng các nhật ký phục vụ cho công việc phân tích sau này.
- Kỹ thuật Behavior Monitors/Blockers
Một behavior blocker là một kỹ thuật chống mã độc giám sát các hành vi thực thi của một chương trình trong thời gian thực, theo dõi các hành động, các khối lệnh khả nghi của nó, nếu những hành động này được tìm thấy behavior blocker có thể ngăn chặn những hành động khả nghi thành công và chấm dứt các tiến trình của một chương trình hay là có thể hỏi người dùng cho cho các hành động phù hợp để xử lý Một behavior blocker thì tìm kiếm
20 điều gì? Về cơ bản một behavior blocker xem xét một chương trình thuộc vào các hành vi được xem xét là bị chặn hay là các hành vi thông thường Chúng có thể là những hành vi liên quan đến tập tin như mở, sửa đổi hay xóa, hay những thao tác fomat ổ đĩa phân vùng, thay đổi registry, kết nối mạng…Một hành vi thông thường được mô hình hóa trong 3 cách được miêu tả như sau: a Một hành động được cho phép điều này được gọi là một phát hiện positive b Một hành động không được cho phép điều này được gọi là một phát hiện negative c Một cách kết hợp cả 2 giống như kỹ thuật static heuristics bao gồm có boosters và stoppers.
PHƯƠNG THỨC TẤN CÔNG MẠNG, TẤN CÔNG REVERSE TCP
Tổng quan về an ninh mạng
2.1.1 Khái niệm về an ninh mạng
- Định nghĩa về an ninh mạng:
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet Nếu như máy tính, hệ thống mạng không được trang bị hệ thống bảo vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng.
- Tầm quan trọng của an ninh mạng:
Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu tố cần được bảo vệ như:
+Tài nguyên: con người, hệ thống và đường truyền.
+ Danh tiếng của công ty.
Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải sự cố thì tác hại đến doanh nghiệp không nhỏ:
+ Tốn kém thời gian. Ảnh hưởng đến tài nguyên hệ thống
+ Ảnh hưởng đến danh dự, uy tín của doanh nghiệp.
+ Mất cơ hội kinh doanh.
2.1.2 Hacker và ảnh hưởng của việc hack
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay khám phá các phần mềm và phần cứng của máy tính Đối với một số hacker, hack là một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng.Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email…
Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers.
White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục đích phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng.
Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm khác nhau.
Suicide Hackers: người tấn công các cơ sở hạ tầng quan trọng mà không quan tâm đến phải chịu 30 năm tù vì các hành vi của mình.
- Ảnh hưởng của việc hack:
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh.
2.1.3 Các giai đoạn tấn công
Hình 2.1 Các giai đoạn tấn công
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống mục tiêu Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
+ Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức.
+ Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệ thống
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống.
- Chiếm quyền điều khiển (Gainning access) Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó, đã truy cập được nó bằng các lệnh khai thác Các lệnh khai thác luôn bất cứ không gian nào, từ mạng LAN cho tới INTERNET.
- Duy trì điều khiển hệ thống (Maitaining access) Đến đây hacker bắt đầu phá hỏng làm hại,hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng
- Xoá dấu vết (Clearning tracks) Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động xâm nhập của mình Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, and altering log file.
2.1.4 Các loại tấn công mạng
- Tấn công hệ điều hành:
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được truy cập vào một hệ thống mạng Một số lỗi hệ điều hành như
+ Lỗi trong hệ điều hành
+ Hệ thống chưa được vá hệ điều hành - Tấn công cấu hình sai:
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…
- Tấn công cấp độ ứng dụng:
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác.
2.1.5 Các đối tượng có thể bị tấn công và các hình thức tấn công phổ biến
Như vậy chúng ta có thể thấy được 1 mạng LAN có thể sẽ bị tấn công từ bên trong mạng và bên ngoài mạng ở đây em chỉ xin giới thiệu hình thức tấn công từ bên trong mạng Các đối tượng có thể bị tấn công
- Máy chủ: Đây là đích của rất nhiều hacker bởi máy chủ là vô cùng quan trọng trong một mạng.
- Thiết bị mạng: Các thiết bị mạng như switch, router hay modem cũng có thể bị tấn công.
- Client: Các máy tính client cũng có thể bị tấn công để lợi dụng cho hacker thực hiện 1 mục đích nào đó.
Mạng LAN có thể bị tấn công bởi các hình thức sau :
- Tấn công từ chối dịch vụ (DOS/DDOS):
+ Tấn công từ chối dịch vụ Dos (Denial Of Service): là kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
Tấn công từ chối dịch vụ phân tán DDOS (Distributed Denial Of Service): là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS là DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng.
Một số kiểu tấn công mạng và cách phòng chống
2.2.1 Kiểu tấn công ARP spoofing
- Đối tượng tấn công: Switch
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công ARP spoofing: Là kiểu tấn công mà trong đó hackers nghe giao thông trong mạng rồi sử dụng các gói tin ARP request được gửi liên tục nhằm giả địa chỉ MAC để xem liên lạc giữa các máy tính trong mạng.
2.2.1.1 Các kiến thức liên quan
- ARP (address resolution protocol) là giao thức xác định địa chỉ nguồn cho địa chỉ phần cứng, mỗi NIC đều có 1 địa chỉ phần cứng.
- ARP được dùng để xác định xem khi 1 gói tin được gửi ra ngoài được gửi đến 1 máy tính có địa chỉ IP là x1.x2.x3.x4 thì địa chỉ MAC của nó là gì Trong mạng LAN thường địa chỉ IP và địa chỉ MAC sẽ là của cùng 1 máy ngoại trừ router.
- Giao thức ARP nằmg ở giữa tầng 2 và 3.
Hình 2.3 Cách thức hoạt động của ARP
+ Máy A muốn tìm địa chỉ IP của máy B có địa chỉ IP là x1.x2.x3.x4, máy A gửi
1 gói tin broadcast (gói tin mang địa chỉ IP và MAC của máy A yêu cầu tìm địa chỉ MAC của máy có địa chỉ IP là x1.x2.x3.x4) đến switch Vì là bản tin broadcast lên switch sẽ gửi nó đến toàn bộ các máy tính trong mạng ngoại trừ máy A Các máy tính trong mạng so sánh địa chỉ IP từ gói tin nó nhận được nếu không trùng với IP của mình thì nó sẽ hủy bỏ gói tin này, nếu trùng nó tiến hành tiếp bước 2.
Tại máy B sau khi nhận được bản tin broadcast thấy địa chỉ IP của gói tin trùng với địa chỉ của mình nó trả lời bằng 1 gói tin unicast đến máy A Bản tin này mang thông tin trả lời chứa địa chỉ MAC của nó Máy A nhận tin này và lưu địa chỉ MAC của máy B vào ARP cache của mình.
Hình 2.4 Cách thức tấn công ARP spoofing
+ Máy A muốn tìm địa chỉ IP của máy B có địa chỉ IP là x1.x2.x3.x4, máy A gửi 1 gói tin broadcast (gói tin mang địa chỉ IP và MAC của máy A yêu cầu tìm địa chỉMAC của máy có địa chỉ IP là x1.x2.x3.x4) đến switch Vì là bản tin broadcast lên switch sẽ gửi nó đến toàn bộ các máy tính trong mạng ngoại trừ máy A Các máy tính trong mạng so sánh địa chỉ IP từ gói tin nó nhận được nếu không trùng với IP của mình thì nó sẽ hủy bỏ gói tin này, nếu trùng nó tiến hành tiếp bước 2.
(dùng trên windows và linux) và arpspyx (dùng trên MAC OS) để tiến hành tấn công. Thay vì hủy bỏ gói tin như thông thường các công cụ này tiến hành gửi liên tục các gói tin uniscast trả lời các gói tin này mang thông tin ip của máy B và địa chỉ MAC của máy C (attacker) Máy A nhận được các bản tin này lưu vào ARP cache và bị hiểu lầm máy C là máy B Và các gói tin trả lời từ máy A đến máy B sẽ được gửi đến máy C (attacker).
+ ipconfig /all xem MAC của mình
+ arp -a xem bảng ARP trên máy mình, kiểm tra MAC của máy có phải đúng là MAC thật hay không.
+ arp -d xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích
+ arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP Reply giả mạo
Dynamic ARP Inspection: Switch sẽ dựa vào bảng DHCP spoofing Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu không hợp lệ sẽ DROP ngay.
- Kiểu tấn công DNS spoofing
- Đối tượng tấn công: DNS sever
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công DNS spoofing: Đây là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các DNS server Từ đó, các địa chỉ
IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác.
- Các kiến thức liên quan
- Khái niệm DNS: DNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators) Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối mà chỉ cần sử dụng tên miền (domain name) để truy vấn đến kết nối đó.
- Mô tả hoạt động của DNS: Để hiểu rõ hơn về hoạt động của DNS chúng ta xét ví dụ và tham khảo hình vẽ dưới đây:
Hình 2.5 Hoạt động của DNS
Giả sử PC A muốn truy cập đến trang web http://www.yahoo.com và server vnn chưa lưu thông tin về trang web này, các bước truy vấn sẽ diễn ra như sau: Đầu tiên PC A gửi một request hỏi server quản lý tên miền vnn hỏi thông tin về http://www.yahoo.com
Server quản lý tên miền vnn gửi một truy vấn đến server top level domain
+ Top level domain lưu trữ thông tin về mọi tên miền trên mạng Do đó nó sẽ gửi lại cho server quản lý tên miền vnn địa chỉ IP của server quản lý miền com (gọi tắt server com).
+ Khi có địa chỉ IP của server quản lý tên miền com thì lập tức server vnn hỏi server com thông tin về yahoo.com Server com quản lý toàn bộ những trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.com cho server vnn + Lúc này server vnn đã có địa chỉ IP của yahoo.com rồi Nhưng PC A yêu cầu dịch vụ www chứ không phải là dịch vụ ftp hay một dịch vụ nào khác Do đó server vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về server quản lý dịch vụ www của yahoo.com
+ Lẽ đương nhiên khi nhận được truy vấn thì server yahoo.com gửi lại cho server vnn địa chỉ IP của server quản lý http://www.yahoo.com/
Một số giải pháp đảm bảo an toàn mạng
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi và khóa truy cập tại các chốt này.
- Firewall cứng: Là những firewall được tích hợp trên Router
- Đặc điểm của Firewall cứng:
+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)
+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)
+ Firewall cứng không thể kiểm tra được nột dung của gói tin
- Ví dụ Firewall cứng: NAT (Network Address Translate) b Firewall mềm
- Firewall mềm: Là những Firewall được cài đặt trên Server
- Đặc điểm của Firewall mềm:
+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng
+ Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
- Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
- Hệ thống phát hiện xâm nhập IDS
- Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống IDS có thể phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin tặc).
- IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường -Tính năng quan trọng nhất của IDS là:
+ Giám sát lưu lượng mạng và các hoạt động khả nghi.
+ Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
+ Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.
- Hệ thống ngăn chặn xâm nhập IPS
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn
- Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
- Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau Điểm khác nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.
- Mạng VLAN ảo o VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công ty. p Lợi ích của VLAN
Tiết kiệm băng thông của hệ thống mạng
Tăng khả năng bảo mật
Dễ dàng thêm bớt mát tính vào VLAN
+ Giúp mạng có tính linh dộng cao
2.3.4 Mạng riêng ảo (VPN) o VPN(virtual private network) là một mạng riêng rẽ sử dụng một mạng chung(thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased
Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa. p VPN cung cấp ba chức năng chính:
Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được cho phép Và nếu có lấy được thì cũng không đọc được.
Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
Tấn công Reverse TCP
TCP/IP hoặc Transmission Control Protocol (Giao thức điều khiển truyền)/Internet Protocol (Giao thức mạng) là ngôn ngữ giao tiếp cơ bản của Internet Mạng Internet sử dụng bộ giao thức TCP/IP để cho phép một máy tính nói chuyện với một máy tính khác thông qua Internet bằng cách biên dịch các gói dữ liệu và gửi chúng đến đúng địa điểm.
Một tường lửa cơ bản hoạt động trên việc chặn những kết nối vào từ ngoài vào Một cuộc tấn công reverse_tcp là khi kẻ tấn công làm cho máy nạn nhân bắt đầu kết nối tới chính kẻ tấn công Đó là cách thức hoạt động cơ bản của một cuộc tấn công reverse_tcp.
Mạng Internet sử dụng bộ giao thức TCP/IP TCP/IP gồm 2 lớp, trong đó TCP chịu trách nhiệm vận chuyển dữ liệu có dung lượng lớn, chia nó thành các gói tin nhỏ hơn để vận chuyển trong mạng và gửi chúng tới một lớp TCP khác, có trách nhiệm giải mã các gói tin và biến chúng thành thông tin hữu ích
IP hoặc Internet Protocol chịu trách nhiệm dẫn các gói tin được đóng gói đến vị trí dự định của nó Lớp IP hoạt động như một hệ thống chỉ đường cho các gói tin trong mạng.
- 4 tầng trong mô hình TCP/IP
Mô hình TCP/IP bao gồm 4 tầng trừu tượng, tương ứng với:
Tầng liên kết (Link layer): Tầng này gồm những yêu cầu vật lý được sử dụng để kết nối các node (nút trong mạng) và các máy chủ.
Tầng mạng (Internet layer): Tầng này kết nối một host tới host khác trong các mạng lưới khác.
Tầng vận chuyển (Transport layer): Tầng này phân giải tất cả các kết nối host-to-host.
Tầng ứng dụng (Application layer): Tầng này được sử dụng để đảm bảo tất cả mọi giao tiếp giữa các ứng dụng trên mạng.
Hình 2.10 : Mô Hình TCP/IP
2.4.2 Cuộc tấn công Reverse TCP
- Khái niệm về tấn công Reverse TCP
Bind Shell: Đây là một loại shell trong đó máy đích mở một cổng giao tiếp hoặc chương trình chấp nhận kết nối (listener) trên máy nạn nhân và chờ kết nối đến Kẻ tấn công sau đó kết nối với máy của máy nạn nhân, sau đó thực hiện các lệnh.
Reverse Shell: Đây là một loại shell trong đó máy mục tiêu bắt đầu kết nối với máy tấn công Máy tấn công này có một cổng để nhận các kết nối đến, khi được sử dụng, có thể dẫn đến thực thi mã hoặc lệnh trên máy nạn nhân.
- Một cuộc tấn công reverse_tcp là một kiểu tấn công khai thác
Mã khai thác là một phần mềm, một đoạn dữ liệu hoặc một chuỗi các câu lệnh lợi dụng lỗi hoặc lỗ hổng trong ứng dụng hoặc hệ thống để tạo ra hành vi ngoài ý muốn hoặc không lường trước được.
Tường lửa hoạt động theo nguyên tắc cơ bản là chặn tất cả các kết nối đến Vì vậy, tất cả các kết nối đến (kết nối ngược) bị chặn bởi tường lửa Tuy nhiên, nếu máy nạn nhân thiết lập kết nối (kết nối thẳng) thì được phép và kết quả là chúng ta có được kết nối được thiết lập tới máy nạn nhân. Đối với kiểu tấn công reverse_tcp về cơ bản thay vì kẻ tấn công khởi tạo kết nối rõ ràng sẽ bị chặn bởi tường lửa, máy nạn nhân sẽ khởi tạo kết nối tới kẻ tấn công, nhiều khả năng sẽ được tường lửa cho phép và kẻ tấn công sau đó kiểm soát thiết bị và truyền lệnh.
Nó là một loại shell tương tác ngược.
- Các yêu cầu đối với cuộc tấn công reverse_tcp
Các yêu cầu cho một cuộc tấn công reverse_tcp có thể rất dễ dàng được thực hiện:
Máy Linux (được khuyến nghị và ưu tiên)
- Thiết lập cuộc tấn công reverse_tcp
Khởi chạy một phiên làm việc trên dòng lệnh trên máy linux của bạn và tạo một payload bằng cách sử dụng msfvenom, xác định cấu hình như sau:
LHOST: Đây là địa chỉ IP của máy mục tiêu bạn muốn tấn công
LPORT: Đây là cổng trên LHOST mà kẻ tấn công muốn máy mục tiêu kết nối đến.
Chương trình tiếp nhận kết nối (listener) đã bắt đầu trước khi thực hiện. Để tạo một payload bạn có thể thực hiện câu lệnh sau
Câu lệnh tạo ra một payload loại exe (dạng thực thi trên Windows) và được mã hóa dạng powershell_base64, được xuất ra tệp payload.exe
LHOST và LPORT được chọn 192.168.0.1:4444
Bây giờ cần gửi payload này đến máy nạn nhân, để thử nghiệm, bạn có thể sao chép tệp theo cách thủ công nhưng thực tế nên sử dụng kỹ thuật social engineering để gửi tệp đến máy nạn nhân.
Bây giờ phải thiết lập một listener trên máy tấn công, điều này có thể được thực hiện bằng cách mở một giao diện dòng lệnh và chạy các lệnh sau:
Hình 2.12: Tạo listener trên máy tấn công
Sau khi tệp được thực thi, handler trên máy kẻ tấn công sẽ nhận được kết nối đến và kẻ tấn công đã có thể kiểm soát máy của nạn nhân.