Kỹ thuật tấn công và xâm nhập hệ thống

Các kỹ thuật tấn công, xâm nhập hệ thống, phân loại tấn công mạng, security Attacks, các hình thức tấn công mạng và cách phòng tránh, hạn chế tấn công, toàn tập về các quá trình tấn công mạng.

PGS TSKH Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT)

Email: hoangdanghai@hn.vnn.vn

2012

Sự phát triển của tấn công mạng

ƒ Thiếu trí tuệ trong quản

lý mạng “cloud” khiến chi phí tăng nhanh

ƒ Từ bỏ băng thông khi giải quyết vấn đề là quá lãng phí và tốn kém

Một số khái niệm

„ Kẻ xâm nhập (Intruder)

ƒ Thường gọi là tin tặc (hacker), cracker /buglar (đạo chích)

ƒ Kẻ trộm/đánh cắp thông tin (Information Theft)

ƒ Cybercrime (tội phạm mạng), Compromiser (kẻ gây hại)

„ Lỗ hổng an ninh (Security hole), điểm yếu (Vulnerability), khiếm khuyết (Flaw)

„ Rủi ro (risk)

„ Đe dọa (Threat), Tấn công (Attack)

ƒ Lỗi khi thiết kế: không lường trước khả năng

ƒ Điểm yếu tiềm ẩn: luôn có trong mọi hệ thống

ƒ Lỗi khai thác: cấu hình không chặt chẽ, lỗi khi hoạt động

ƒ Thường dùng để chỉ cùng 1 hành vi xâm hại đến an ninh hệ thống

„ Biện pháp an ninh (Security measure), cơ chế an ninh (security mechanism)

„ Dịch vụ an ninh (Security service)

ƒ Biện pháp/cơ chế để phát hiện, ngăn ngừa, phòng chống, sửa chữa

ƒ Dịch vụ tăng cường an ninh cho hệ thống xử lý và truyền tải thông tin thông qua các biện pháp an ninh

ƒ risk = threat x vulnerability x asset value

Phân loại tấn công mạng

ƒ Joking

ƒ Hacker: data stealing / spy / military spy

ƒ Company Competition: business plan/strategy

• Giả mạo (fabrication) - destroys authenticity of source

• (Sửa đổi) modification - destroys integrity of information

• Ngăn chặn (interception) - of information (traffic), breaches confidentiality

• Gián đoạn (interruption) - of service

™ Loại tấn công

™ Examples

ƒ Happy Christmas 1987: in IBM network Email sent to everybody with addresses found

in addressbook ⇒ Network deadlock

ƒ Internet Worm 1989: in Security Center of DoD Unix Shell Attack.

Security Attacks

ấy nội dung bản tin ượng: theo dõi chu kỳ, chiều dài bản tin, đoán mã kênh truyền

ƒ Giả danh (Masquerade): Darth giả danh Bob

ƒ Replay: bắt giữ, giả mạo và chuyển tiếp bản tin

ƒ Sửa đổi bản tin

ƒ Ngăn chặn dịch vụ

5 giai đoạn của quá trình phá hoại

• Trinh sát (Reconnaissance)

Tin tặc khảo sát máy nạn nhân và các dịch vụ trong một

khoảng thời gian dài sử dụng các lưu lượng như hoạt

động bình thường của máy.

Tìm cách thiết lập kết nối, khai thác thông tin máy tính, dịch vụ

Dò tìm điểm yếu trong hệ thống và các ứng dụng.

• Khai thác (Exploitation)

Quá trình lợi dụng, biến đổi, làm sai lệch hoạt động của các dịch

vụ trên máy nạn nhân Biến đổi dịch vụ kéo theo thay đổi chế độ hoạt động và điều kiện truy nhập.

• Tăng cường (Reinforcement)

Giai đoạn tin tặc giành quyền truy nhập trái phép, tăng cường

khả năng truy nhập, sử dụng công cụ để truy xét nạn nhân,

che dấu hành vi

• Củng cố (Consolidation)

Tin tặc tạo ra cửa hậu, trao đổi thông tin qua cửa hậu,

giành toàn bộ quyền điều khiển.

• Tàn phá (Pillage)

Giai đoạn thực hiện kế hoạch phá hoại: đánh cắp thông tin nhạy cảm, tạo bàn đạp tiến sâu vào mạng người dùng, thực hiện các ý đồ định sẵn

Phần mềm mã độc (Malicious Software)

• Các nguy cơ/điểm yếu: được khởi

động bởi 1 trigger (không lây lan)

• Các phần mềm tự sinh (tự tạo các

bản copy = lây lan)

Cửa sau hoặc cửa sập (Backdoor or Trapdoor)

• Xuất phát điểm vào bí mật tới một chương trình

• Cho phép một kỹ thuật viên thành thạo truy cập vào hệ thống mà không cần thực hiện các thủ tục an toàn thông thường

• Thường sử dụng cho mục đích gỡ rối, kiểm thử phần mềm khi phát triển

• Trở thành nguy cơ khi vẫn để tồn tại lại trong sản phẩm phần mềm

• Một trong những phần mềm có hại kiểu cổ điển

• Code được nhúng trong chương trình hợp pháp, được kích hoạt khi gặp

Ngựa thành Tơ roa (Trojan Horse)

• Chương trình hữu ích, hấp dẫn (trò chơi, tiện ích, nâng cấp phần mềm,…)

• Chứa các đoạn mã ẩn với các tác động phụ được dấu kín

• Khi chạy thực hiện những nhiệm vụ bổ sung: Cho phép kẻ tấn công giántiếp dành quyền truy cập những gì không thể trực tiếp

• Thường sử dụng lan truyền virrus/sâu (worm) hoặc cài đặt cửa sau, hoặcđơn giản phá hoại dữ liệu

website mục tiêu qua việc gửi dồn dập yêu cầu lưu lượng

• Thường khai thác các lỗ hổng trong các hệ thống nối mạng

• Giống virus sinh học, virus máy tính có thể sự sản sinh (replicated).

• Lan truyền, thực hiện mọi chức năng có thể (ví dụ phá hoại dữ liệu)

Hoạt động của virus

• Giai đoạn nằm chờ: nằm im chờ sự kiện kích hoạt (ví dụ ngày, chương trình, dung lượng đĩa…)

• Giai đoạn lây lan: sao chép chính nó sang các chương trình khác /phần khác của hệ thống

• Giai đoạn kích hoạt: thực hiện chức năng gài sẵn khi có sự kiện xảy ra

• Giai đoạn thực thi: thực hiện hành vi mong muốn Đa số khai thác các đặc trưng, điểm yếu chủ yếu của hệ thống cụ thể đang chạy

Cấu trúc Viruses program V :=

if trigger-pulled then do-damage; goto next;}

next:

}

Các hình thái tấn công DDoS

– Khai thác hệ điều hành, phá rối hoạt động server

– fork() bomb, fill disks, deep directory nesting

– Gây các đột phá hoặc ngừng các dịch vụ quan trọng

– “magic” packets – ping of death, teardrop

– syslog, SYN, fragment flood, UDP storm

ƒ Từ chối dịch vụ trên toàn mạng

– Nhắm tới các links sơ hở hoặc cơ sở hạ tầng thông tin trọng yếu

– Tấn công routers, DNS servers

– Lái tuyến – Giả mạo thông tin định tuyến

– Giả danh broadcasts – smurf, fraggle

– Điều khiển từ xa các máy tính gây hại – máy tính ma (“zombies”)

để phối hợp gây tràn - DDoS

Các tấn công chuyển hướng từ từng máy đơn

lẻ sang cơ sở hạ tầng mạng !

Các hình thái tấn công DDoS (2)

Các kỹ thuật gây rối của tấn công DDoS

– Điều khiển từ xa đội quân zombies

ƒ Các thử nghiệm mới đây cho thấy, một máy tính không có bảo vệ trên Internet có thể bị tấn công trong vòng < 8 phút.

– Phản xạ IP

– Giả mạo/Nhái lại (Forged/”spoofed”) địa chỉ IP gốc

– Thay đổi tần suất tấn công (on/off)

– Nghi binh (Decoys)

– Bắt chước lưu lượng hợp pháp (e.g TCP ACK flood)

– Hóa trang với lưu lượng hợp pháp

Tất cả các kỹ thuật này nhằm bẻ gẫy mọi phương pháp theo dấu vết kiểu thủ công và tránh các IDS thông dụng

Xu thế mới của DoS Attacks

– Khi các lỗ hổng được vá, khó lòng tìm ra các host xung yếu

– Các bộ lọc ingress / egress phổ biến hơn

– Nhắm tới các upstream routers & links

– Gây tràn sốc (pulsing / short-lived floods)

– Sử dụng nhiều đội quân zombie theo chu kỳ

– Phân tán rộng khắp, các đội quân zombie rộng khắp

ƒ Gây rối trong dấu vết kiểm chứng mạng

– Thay đổi đặc tính một số giao thức ứng dụng – Tái lập các truy vấn DNS, etc

– Dùng address, protocol, port ngẫu nhiên

– Chặn cướp tuyến BGP route phục vụ khởi động tấn công

các đội quân zombie

– recent Internet worms and viruses

– Microsoft Outlook, IE, IIS, SMB

Xu thế mới của DoS Attacks (2)

Trình tự tấn công DDoS

A Một lượng lớn máy tính bị hại

B Tin tặc xác định được các máy có thể lợi dụng với các

kỹ thuật dò quét (scanners), etc.

C Tin tặc truy nhập hệ thống với các công cụ từ xa:

exploits, sniffers, password cracking, worms, trojans

D Tin tặc cài đặt các công cụ tấn công

E Tin tặc ra lệnh từ xa cho các máy bị hại được tập hợp

để tấn công vào mục tiêu

Distributed DoS Attack (DDoS)

ƒ Phối hợp tấn công vào các Links và tài nguyên trọng yếu

DNS

ƒ Tấn công vào hạ tầng định tuyến

Example: Smurf Attack

Attacker

• Mô hình đơn giản: gửi các gói yêu cầu echo giả mạo ICMP tới các địa chỉ IP broadcast trong một mạng tin cậy

• Mọi hosts của mạng này gửi 1 trả lời ICMP tới địa chỉ IP giả mạo của nạn nhân

• Khi hầu như mọi máy của mạng phản hồi yêu cầu ICMP echo này, mạng bị tắc nghẽn

và tê liệt

Ví dụ: TCP SYN Flood

SYN

SYN + ACK ACK

Ví dụ: TCP SYN Flood (cont.)

Server Attacker

SYN

SYN ACK

SYN SYN SYN SYN SYN SYN

SYN ACK SYN ACK

SYN_RCVD SYN_RCVD SYN_RCVD SYN_RCVD SYN_RCVD SYN_RCVD SYN_RCVD

• Server tạo trong bộ nhớ một kiến trúc dữ liệu chứa mọi kết nối mở Æ Timeout

• Tin tặc gây ra memory overflow, khiến server crash hoặc không thể chấp nhận mọi kết nối mới cho đến khi xóa hết bảng dữ liệu

• Vị trí giả danh IP trong hệ thống bị tấn công được che đậy, vì các địa chỉ nguồn trong các gói tin SYN thường đều không rõ ràng Khi gói tin đến hệ thống máy chủ nạn nhân, không có cách gì để xác định ra nguồn gửi thực sự

Các biện pháp phòng chống DDoS

ƒ Ingress / Egress filtering ( anti-spoofing )

ƒ Strict / Loose RPF (Reverse Path Forwarding)

ƒ Black lists / White lists

ƒ Policy based Filter

ƒ Rate limiting

ƒ ICMP etc

ƒ Stateful defenses ( e.g tcp intercept )

ƒ Patch vulnerable hosts and services

ƒ Provisioning and capacity planning

ƒ Packet filtering on provider side of WAN links

Xử lý, phản ứng với tấn công DDoS

ƒ Giảm thiểu thiệt hại

ƒ Xác định lưu lượng nào cần chặn, tốt nhất chặn ở đâu…

Các chiến lược giảm thiểu DDoS

• Unicast Reverse Path Forwarding (uRPF)

– Sử dụng uRPF chặt chẽ

– Chống giả mạo địa chỉ IP

– Tránh lạm dụng uRPF và BGP ở toàn bộ border routers

– Lọc ra các lưu lượng tập trung vào một máy đích

• Tạo hố bẫy, đường tránh (Blackhole / Sinkhole / Shunt)

– Lọc từng cấp, tạo bẫy, truy vấn điều tra…

Ví dụ về giảm thiểu DDoS

Customer

Customer Portal

Customer Portal

or Operator Customer

Ví dụ về giảm thiểu DDoS

Customer Portal

or Operator

Hốbẫy

Ví dụ về giảm thiểu DDoS

Ví dụ về giảm thiểu DDoS

Xu thế kết hợp nhiều biện pháp tối ưu hơn !

Ví dụ về giảm thiểu DDoS

• Các hành vi sử dụng Dark Address Space để gửi thông tin đến các vùng địa chỉ IP dành cho việc khác, hoặc chưa được sử dụng

• Việc sử dụng Dark Address Space xảy ra do một số nguyên nhân:

– Lập sai cấu hình Router

– Hành vi bất thường của một ứng dụng

– Lập sai cấu hình mạng

– Hành vi quét cổng trái phép

– Hành vi tấn công của Worm trên mạng…

• Lưu lượng tăng với Dark IP có thể biểu thị khả năng lan truyền Worm trên mạng, hoặc hành vi quét mạng để tuyển mộ đội quân Zombie

• Dữ liệu tạo ra từ Dark IP thường được sử dụng để:

– Xác định dấu vết new zero day worms

– Xác định nguồn phát của worm

– Tạo ra danh dách các máy bị lây nhiễm

Ứng dụng DarkIP

Hành vi bất thường định trước và không định trước

ƒ Hành vi bất thường định trước biểu thị sai lệch mức lưu

lượng bình thường Thường do tấn công gây ra Hành vi

này cần được xem xét tiếp để xác định mức độ nguy hại.

ƒ Hành vi bất thường không định trước có thể xảy ra khi một

máy nào đó không tuân thủ các quy ước truyền thông Lỗi xảy ra có thể do tấn công, hoặc do lỗi mạng Do đó cần

truy xét để tìm đúng nguyên nhân.

Các hành vi bất thường không định trước

• Đa số tin tặc sử dụng để tấn công một máy đích nào đó trên mạng

• Các kiểu gói tin thường sử dụng:

– Syn floods, ICMP floods, IP fragments

• Các gói tin thường thuộc nhóm:

– IP Null, TCP Null, Private IP

Theo dõi hành vi bất thường

anomalies are usually

more likely to be

malicious

High severity protocol anomalies for protocols other than TCP

High severity incoming anomalies towards a single host

Graph shows a spike

in the traffic levels

Anomaly is high severity with a very high % of threshold

• Tin tặc phát triển các công cụ phát tán tự động (sử dụng botnets,…) cho phép chúng gửi các tấn công tới các

máy trung gian trong cùng 1 thời gian, làm tất cả các

máy trung gian gửi phản hồi trực tiếp tới 1 máy nạn

nhân.

• Tin tặc phát triển các công cụ để quan sát các router

trên mạng không sử dụng các bộ lọc để lọc broadcast traffic, phát hiện các mạng cho phép nhiều máy cùng có khả năng trả lời đồng thời Các mạng này thường được dùng làm trung gian cho các cuộc tấn công.

Dictionary Attack – cracking of

authentication passwords

• Các mật mã xác thực được chứa trong một file (trên Unix /

Windows), thường được mã hóa với một thuật toán chống phá khóa (ví dụ MD5) (Thuật toán một chiều).

• Người dùng đăng nhập mật khẩu, mật khẩu được mã hóa và so sánh với bản mã hóa ghi sẵn trong máy

• Brute force attack: tin tặc sử dụng phương pháp quét toàn bộ các khả năng (dictionary attack) tìm kiếm các khả năng giải mã xuất phát từ một danh sách các từ trong từ điển

• Người dùng thường sử dụng các mật khẩu thông dụng dễ bị

phá:

– Sử dụng từ, chữ cái thông thường

– Sử dụng các cụm từ thông dụng…

• Dictionary attacks thường được áp dụng trong 2 trường hợp sau:

– Khi phân tích mật mã, phương pháp này tìm kiếm khả năng xác định chìa khóa giải mã cho một cụm từ mã cho trước

– Khi nối mạng, tìm cách lừa gạt cơ chế xác thực để thực hiện truy nhập trái phép vào máy tính bằng cách đoán mật khẩu

• Tin tặc có khả năng kiếm bản copy danh sách các mật khẩu đã mã hóa từmột hệ thống máy ở xa Tin tặc sẽ sử dụng phương pháp Dictionary attacks

để dò tìm mật khẩu theo thói quen của người dùng (qua dò tìm mọi thông tin về người dùng), so sánh mật khẩu với đoạn mã đã copy được

• Thực tế cho thấy, người dùng thường sử dụng mật khẩu cho dễ nhớ Nếu sửdụng một tập danh sách đủ lớn, xác suất tìm ra mật khẩu là 4/10

• Dictionaries hiện có trên Internet cho mọi ngôn ngữ, dễ dàng truy cập, dễdàng được sử dụng để dò tìm mật khẩu theo phương pháp này

Dictionary Attack

username Encrypted password

Alix.Bergeret ADSNUYTGHLKLLLMatthew.Green NJKFFDSHPTTDRDIan.Coulson VFGMNBDEQQASUBrendan.Riordan VHGUIOUIYEDRDTChris.Dennett CXZAASWEWEDFDAndy.Sloane MLOPIUYTRFFGHJMary.Garvey MNJTYUUIFVCXFGBrian.Penfold REDERFGGGHYTR

Mã hóa 1 chiều cho mật khẩu được ghi trong file mật khẩu

Alix.Bergeret

ADSNUYTGHLKLLL

Mật khẩu được mã hóa

bởi Client với cùng 1

thuật toán khi gửi qua

mạng

Nếu các giá trị Hash bằng

nhau, Client được xác

thực!

Client

Password authentication server

Ưu nhược điểm của Dictionary attacks

• Tin tặc có thể mã hóa và lưu trữ danh sách các từ

mã hóa kiểu từ điển, sắp xếp chúng theo từ khóa

Tin tặc thường ghi danh sách các mật khẩu thường được sử

dụng và chuyển chúng cho một thuật toán, sắp xếp chúng theo

Crackers sorted list of hashed words

username Encrypted password

Alix.Bergeret ADSNUYTGHLKLLL Matthew.Green NJKFFDSHPTTDRD Ian.Coulson VFGMNBDEQQASU Brendan.Riordan VHGUIOUIYEDRDT Chris.Dennett CXZAASWEWEDFD Andy.Sloane MLOPIUYTRFFGHJ Mary.Garvey MNJTYUUIFVCXFG Brian.Penfold REDERFGGGHYTR

Password list Easy to determine Alix.Begeret password

by comparing hash values

RIP attacks

• Routing Information Protocol (RIP) attacks thường thấy trong các bộ router cài đặt phiên bản chuẩn của RIP.

• RIP được sử dụng để phân phát thông tin định tuyến

trong mạng, ví dụ các tuyến ngắn nhất, các tuyến quảng

bá từ mạng nội bộ ra ngoài…

• Phiên bản chuẩn của RIP không có phần xác thực

Thông tin cung cấp trong bản tin RIP thường được sử

dụng mà không có sự kiểm tra xác thực lại chính nó.

• Tin tặc có thể giả mạo 1 bản tin RIP, ví dụ xác định máy “X”

có tuyến ngắn nhất ra ngoài mạng.

• Mọi gói tin gửi ra từ mạng này sẽ được định tuyến qua “X”

Máy X có thể kiểm soát, sửa đổi gói tin.

• Tin tặc có thể sử dụng RIP để bắt chước bất kỳ host nào, làm mọi lưu lượng gửi đến máy tin tặc thay vì gửi đến host này

• Phiên bản RIPv2 đã cải thiện hơn với thuật toán xác thực mật khẩu đơn giản, làm cho việc tấn công qua RIP khó khăn hơn.

• Giải pháp IPsec VPN cũng cung cấp khả năng mã hóa thông tin định tuyến qua các routers sử dụng IPsec VPN

RIP attacks

Packet Sniffing

• NIC cards thường chỉ xử lý các gói tin (MAC) nhằm tới máy chứa NIC này Toàn bộ lưu lượng trong mạng không

có switch được gửi tới tất cả các máy tính.

• Software/hardware được thiết kế sẵn sàng để làm việc đó.

• Nếu NIC cards được cấu hình “Promiscuous” thì nó có thể bắt và xử lý mọi gói tin đi trên mạng con.

• Điều đó nghĩa là có thể xem được nội dung toàn bộ các gói tin truyền trên mạng (1 số giao thức như FTP, Telnet,

HTTP, SMTP, POP3 gửi các mật khẩu dưới dạng clear

text) Ngoài ra, còn nhiều thông tin khác có thể bị khai

thác.

• Thực tế, các bộ switch chỉ cho phép gói tin đến đúng máy đích Tuy nhiên, tin tặc có nhiều cách để bắt được các gói tin này…