Giáo trình CEH v7 tiếng việt - tấn công hệ thống - chương 5

Kỹ thuật bẻ mật khẩu được sử dụng để phục hồi mật khẩu từ hệ thống máy tính Những kẻ tấn công sử dụng kỹ thuật bẻ khóa mật khẩu để truy cập trái phép hệ thống Hầu hết các kỹ thuật bẻ

Footprinting

1 Hoạt động của địa

chỉ IP

2 Không gian tên

3 Trang Web riêng

Scanning

1 Đánh giá mục tiêu

2 Loại dịch vụ

3 Cấu trúc hệ thống

Các giai đoạn

cập user có quyền cao hơn

Bẻ khóa mật khẩu Khai thác thông tin

Thực thi ứng dụng Tạo và duy trì truy cập

qua backdoor

Phần mềm gián điệp Trojans

Thực thi ứng dụng

Ẩn tập tin

Che dấu vết tích

Bẻ khóa mật khẩu

Ẩn tập tin Che dấu vết tích

Kiểm tra

Kỹ thuật bẻ mật khẩu được sử dụng để phục

hồi mật khẩu từ hệ thống máy tính

Những kẻ tấn công sử dụng kỹ thuật bẻ khóa mật

khẩu để truy cập trái phép hệ thống

Hầu hết các kỹ thuật bẻ khóa mật khẩu

thành công do các mật khẩu yếu hoặc dễ

dàng đoán

Attacker

Hệ thống bị tấn công

Mật khẩu có chứa chữ cái, ký tự đặc biệt, và số ap1@52

Mật khẩu có chỉ chứa số 23698217

Mật khẩu có chứa ký tự đặc biệt &*#@!(%)

Mật khẩu có chứa các chữ cái và số meetl 23

Mật khẩu mà chỉ chứa các chữ cái POTHMYDE

Mật khẩu chỉ chứa các chữ cái và các ký tự đặc biệt

bob&ba

Mật khẩu có chứa ký tự đặc biệt và số 123@$45

Tấn công từ

Kết hợp các ký

tự cho đến khi mật khẩu bị phá vỡ

Tấn công lai

Dò mật khẩu từ từ điển, thêm số và kí hiệu

Tấn công theo âm tiết

Kết hợp của tấn công Brute force và tấn công từ điển

Tấn công dựa trên quy tắc

Sử dụng khi kẻ tấn công biết được một

số thông tin về mật khẩu

Kẻ tấn công chạy các công cụ sniffer trên

mạng LAN để truy cập và ghi lại các

thông tin trong mạng

Các dữ liệu dò tìm được bao gồm mật

khẩu được gửi đến hệ thống từ xa trong

quá trình Telnet, FTP và thư điện tử được

gửi và nhận

Tính toán phức tạp

Công

cụ có sẵn

Khó duy trì

Nếu kẻ tấn công có thể nghe

trộm đăng nhập trên Windows ,

sau đó cách tiếp cận này có thể

phỏng đoán mật khẩu ngẫu

nhiên

Dò tìm thông tin trong khi đăng nhập vào một máy chủ và sau đó phát lại cho họ để được truy cập

Đoán mật khẩu là một việc khó khăn

Trong một cuộc tấn công MITM , kẻ tấn công có được

quyền truy cập vào kênh thông tin liên lạc giữa nạn

nhân và máy chủ để trích xuất các thông tin

Trong một cuộc tấn công Replay, các gói dữ liệu và

mã xác thực được bắt bằng cách sniffer Sau khi tách

các thông tin liên quan, mã xác thực được đặt trở

lại trên mạng để được truy cập

Spyware là một loại phần mềm độc hại mà cho phép

kẻ tấn công bí mật thu thập thông tin

Chương trình ghi lại những

ký tự đã đánh trên bàn

phím và gửi về cho người

tấn công

• Một cuộc tấn công cho phép kẻ tấn công đưa vào một mã Băm và sử dụng để xác nhận các nguồn tài nguyên mạng

• Kẻ tấn công tìm và tách lấy ​​tài khoản quản trị miền

• Kẻ tấn công sử dụng mã băm để đăng nhập vào bộ điều khiển miền (Doamin

Controller)

Đưa một mã Băm vào máy cục bộ

So sánh mã Băm

Dễ dàng khôi phục mật khẩu bằng cách

so sánh các mật khẩu bắt được với bảng tính toán trước

1 Được sử dụng để khôi phục các file có mật khẩu bảo vệ và sử dụng một máy tính để giải mã qua mạng

2 Server DNA được lắp đặt tại vị trí trung tâm để các clients có thể truy xuất vào server DNA qua mạng

Server DNA

được lắp đặt tại

vị trí trung tâm

để các clients có

thể truy xuất vào

server DNA qua

mạng

Server DNA kết hợp tấn công và định vị các phần chia nhỏ của key được chuyển trong mạng

Client của DNA server sẽ chạy trên nền tảng trong thời gian

bộ vi xử lý rãnh

Chương trình kết hợp khả năng xử

lý của tất cả các client kết nối vào mạng và sử dụng

nó để thực hiện giải mã

Shoulder Surfing

Nhìn vào bàn phím hoặc màn hình trong khi người dùng đăng nhập

Dumpster Diving

Social Engineering

Tìm kiếm thông tin của người sử dụng trong thùng rác, máy in

Thuyết phục một

người tiết lộ bí mật

thông tin về tài khoản

Một mật khẩu mặc định là một mật khẩu của thiết bị mới

được cung cấp bởi nhà sản xuất

Các công cụ trực tuyến có thể được

sử dụng để tìm kiếm mật khẩu mặc

định:

Tạo danh sách mật khẩu

Mã hóa danh sách vừa tạo

So sánh mật khẩu vừa mã hóa với danh sách lấy được

Lặp lại cho đến khi tìm được mật khẩu chính xác

Cần một công

cụ hack mật

khẩu

Sao chép các tập tin tải về vào ổ đĩa USB

Tạo autorun.inf trong USB

Mật khẩu được lưu trữ trong các tập tin TXT

Nơi lưu trữ thông tin và bảo mật tài khoản

hoặc trong CSDL Active Directory

Mật khẩu được lưu trữ trong CSDL SAM

CSDL SAM

Chứng thực NTLM

Chứng thực Kerberos

Hai giao thức xác thực: NTLM và giao

thức xác thực IM Các giao thức này sử

dụng phương pháp băm khác nhau để lưu

trữ an toàn mật khẩu trong CSCL SAM

Được Microsoft nâng cấp thừ giao thức

chứng thực mặc định, một tùy chọn an

toàn hơn so với NTLM

Mã hóa

Băm mật khẩu sử dụng LM / NTLM

Nơi lưu trữ file SAM

LM hash (LAN Manager Hash) là một trong những dạng quản lý mạng LAN của Microsoft và HĐH của Microsoft sử dụng để lưu trữ mật khẩu ít hơn 15 ký tự

Khi mật khẩu này được mã hóa với thuật toán LM, tất cả các chữ cái được chuyển đổi sang chữ hoa: 123456QWERTY

Mật khẩu sẽ được chèn thêm kí tự để làm cho nó có độ dài 14 ký tự:

8 byte đầu tiên được bắt đầu từ 7 ký tự đầu tiên và 8 byte thứ hai được bắt đầu từ

ký tự thứ 8 đến 14 của mật khẩu

Nếu mật khẩu ít hơn 7 ký tự, 8 byte sau sẽ luôn luôn là OxAAD3B435B51404EE

Giả sử, mật khẩu của người sử dụng được mã hóa là

OxC23413A8A1E7665f AAD3B435B51404EE

Mật khẩu được bẻ khóa là "Chào Mừng"

NTLMv2 là một thay đổi, đáp ứng giao thức chứng

thực, an ninh được cải tiến qua giao thức LM

Lưu ý:

LM Hash đã được vô hiệu hóa trong Windows Vista

Thuật toán Hash

Độ dài trong mã Hash

Chiều dài mật khẩu

Thuật toán C/R

Độ dài C/R

khẩu thông qua

DC gửi yêu cầu chứng thực

Xác nhận chứng thực lại cho DC

DC so sánh chứng thực

đó với mã chứng thực của DC

Nếu mã chứng thực chính xác, đănh nhập thành công

DC có một bản sao lưu trữ mật khẩu mã hóa của người dùng

Người dùng yêu cầu máy chủ xác thực

Máy chủ xác thực và trả lời

yêu cầu của người dùng

Yêu cầu server cấp vé trả lời yêu cầu của máy trạm

Yêu cầu máy chủ truy cập vào dịch vụ cần truy dùng

Cung cấp dịch vụ theo yêu cầu của Client

Trung tâm phân phối key

Máy chủ chứng thực

Máy chủ cấp vé

Kĩ thuật salting là kĩ thuật ngăn chặn lấy mật khẩu từ các tập tin mật khẩu

Lưu trữ mật khẩu tượng trưng không phải mật khẩu thật

Ưu điểm: Làm thất bại các cuộc tấn công Hash

Pwdump lấy mã Hash

LM và NTLM của mật khẩu người dùng cục bộ từ cơ sở dữ liệu SAM

Các HĐH windows server 2000 và 2003 có thể

xác thực người dùng kết nối với các máy tính

đang chạy các phiên bản HĐH của windows

Các Client sử dụng HĐH Windows cũ thì không

Để mật khẩu khó đoán và sử dụng 8-12 kí tự kết hợp chữ hoa chữ thường, số và các kí hiệu Không sử dụng cùng một mật khẩu trong quá trình thay đổi mật khẩu

Thiết lập các chính sách thay đổi mật khẩu trong 30 ngày

Giám sát các bản ghi của máy chủ đối với các cuộc tấn công vào tài khoản người dùng

Tránh lưu trữ mật khẩu ở một vị trí không có đảm bảo

Không sử dụng mật khẩu có thể tìm thấy trong từ điển

Không bao giờ sử dụng mật khẩu như ngày sinh, tên người thân

Kính hoạt SYSKEY với mật khẩu mạnh để mã hóa và bảo vệ CSDL SAM

Bẻ khóa mật khẩu

Tăng quyền hạn Thực thi ứng dụng

Kiểm tra

Một kẻ tấn công có thể được truy cập vào mạng bằng cách sử dụng một tài khoản người dùng bình thường, và các bước tiếp theo sẽ là đạt được quyền quản trị

Attacker có thể truy cập vào mạng bằng cách sử dụng tài khoản User nhưng có thể

có quyền hạn của Admin

 StickyKeys là một tính năng tiếp cận hệ điều hành Windows Ấn phím shift 5

lần ở màn hình logon và hộp thoại StickyKey hiện lên

 Chương trình Sticky Keys được đặt tại c:\windowssystem32\sethc.exe

 Nếu thay thế sethc.exe ở sticky key với cmd.exe, và sau đó nhấn phím shift 5

lần tại màn hình đăng nhập, có thể thực thi các câu lệnh trong cửa sổ cmd mà

không gặp vấn đề gì về quyền

Tạo 1 tài khoàn quản trị ẩn

 Gõ lệnh “net user [tên user] password”

 Vào register

 [HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows NT\CurrentVersion\

Winlogon\ SpecialAccounts\UserList]

 Tạo mới một DWORD

 Một tài khoản quản trị Administrative đã được

tạo và đã ẩn

Thực hiện xác thực

Bẻ khóa mật khẩu

Kiểm tra

Những kẻ tấn công thực thi ứng dụng độc hại trong giai đoạn này

Điều này được gọi là "sở hữu" hệ thống

• Keystroke logger là những chương trình hoặc các thiết bị phần cứng theo dõi từng tổ hợp phím như sử dụng trên bàn phím, đăng nhập vào một tập tin hoặc truyền chúng đến một địa điểm từ xa

• Keyloggers được đặt giữa phần cứng bàn phím và hệ thống điều hành

• Ứng dụng hợp pháp cho keyloggers bao gồm văn phòng và thiết lập để giám sát hoạt động máy tính của nhân viên và trong môi trường gia đình mà cha mẹ có thể theo dõi và giám sát các hoạt động của trẻ em

Nhân Hệ điều hành

Keyboard.sys

Phần mềm gián điệp (Spyware) là một chương trình ghi lại sự tương tác của người sử

dụng máy tính và Internet mà người sử dụng không thể can thiệp Spyware là tàng

hình, ẩn quá trình, các tập tin của nó, và các đối tượng khác để tránh bị loại bỏ

Cookies

Giám sát người dùng trực tuyến

Hiển thị pop-ups và các trang web quảng cáo

Thay đổi trang web mặc định và không cho

người dùng khôi phục Đánh dấu nhiều trang web thành trang web ưa thích Giảm mức độ

bảo vệ của máy tính

Phần mềm giám sát trẻ

em Video

Máy in

Desktop Spyware cung cấp thông tin về người sử dụng đã làm gì trên máy tính để bàn của

họ, khi nào và với ai

Ghi lại phần mềm sử dụng và thời gian sử dụng

Ghi lại hoạt động đăng nhập và lưu trữ tại một khu vực

Mail

• Theo dõi, giám sát, hồ sơ, và

email chuyển tiếp đến và đi

• Nó ghi lại các tin nhắn đã

• Ghi lại ngày giờ dùng và hoạt động trên mỗi trang

• Ngăn chặn truy cập vào 1 trang web hoặc toàn bộ các trang web

Kiểm soát và giám sát trẻ em sử dụng máy

tính và internet

Ngăn chặn trẻ em truy cập vào nội dung

trang web không thích hợp

Giám sát hoạt động do người dùng

lựa chọn

Ghi lại các hoạt động, bao gồm cả các ảnh

chụp màn hình, tổ hợp phím, và các trang

web

s

Phần mềm gián điệp chụp màn hình từ máy lân cận hoặc

máy từ xa trong 1 thời gian xác định trước

Nó cho phép giám sát trong thời gian thực tất cả các hoạt

động người dùng trên mạng

Những phần mềm gián điệp cũng có thể nắm bắt tổ hợp

phím, hoạt động chuột, các địa chỉ web và hoạt động máy in

trong thời gian thực

Phần mềm gián điệp chụp màn hình thường lưu ảnh chụp

màn hình vào đĩa hoặc gửi chúng cho kẻ tấn công thông

qua FTP hoặc e-mail

• Sao chép tập tin từ các thiết bị USB vào

đĩa cứng của bạn ở chế độ ẩn

• Nó cũng có thể nắm bắt, hiển thị, ghi lại và

phân tích dữ liệu chuyển giao giữa bất kỳ

thiết bị USB kết nối với máy tính và các

ứng dụng

Theo dõi, giám sát và

ghi lại âm thanh trên

máy tính

Nó ghi lại tin nhắn bằng giọng nói trò chuyện của các tin nhắn khác nhau ngay lập tức

Người mún nghe lén sử dụng các phần mềm gián điệp âm thanh để theo dõi các bản ghi âm hội nghị, các cuộc gọi, chương trình phát sóng vô tuyến điện

 Bí mật theo dõi, giám sát webcam

 Những kẻ tấn công từ xa có thể xem webcam qua web hoặc điện thoại di động

 Phần mềm gián điệp có thể được sử dụng cho video giám sát của các cơ quan

 Phần mềm gián điệp máy in dùng để giám sát từ xa

 Nó có thể được sử dụng để phát hiện các thuộc tính in công việc chính xác như số

lượng bản sao, số lượng trang in và nội dung

 Phần mềm gián điệp theo dõi, giám sát và các cuộc gọi điện thoại, tin nhắn văn bản

 Những kẻ tấn công cài đặt phần mềm gián điệp trên các thiết bị mà họ muốn theo dõi Bí mật gửi dữ liệu cho các kẻ tấn công thông qua SMS hoặc email

 Phần mềm gián điệp GPS là một thiết bị hoặc phần mềm có sử dụng hệ thống định vị toàn cầu để xác định vị trí của một chiếc xe, người, hoặc tài sản khác mà nó được gắn vào hoặc cài đặt

bạn và vô hiệu hóa các

cài đặt của keylogger

- Chọn mật khẩu mới

cho tài khoản trực tuyến khác nhau và thay đổi chúng thường xuyên

- Sử dụng phần mềm

thường xuyên quét và theo dõi những thay đổi trong hệ thống

- Sử dụng chức năng chặn quảng cáo và tránh

mở thư rác

- Quét các tập tin trước khi cài đặt chúng vào máy tính

 Phần mềm chống Keylog vô hiệu hóa và xóa phần mềm keylogs

 Sử dụng một bàn phím ảo hoặc màn hình cảm ứng có thể ngăn chặn việc

bắt tổ hợp phím

Điều chỉnh thiết lập bảo mật cho trình duyệt

Nâng cao mức độ bảo mật của máy tính

Thận trọng với các email và trang web đáng ngờ

Cài đặt và sử dụng các phần mềm chống Spyware

Thực hiện lướt web 1 cách an toàn và tải về cẩn thận

Cập nhật phần mềm thường xuyên, sử dụng firewall để bảo

vệ

Cập nhật các tập tin được xác định là virus và quét các phần mềm gián điệp thường xuyên

Rootkits là chương trình có khả năng ẩn mình và che dấu mọi hoạt động

Nó thay đổi các tiện ích ở hệ điều hành

Những kẻ tấn công có quyền được truy cập vào hệ thống bằng cách cài đặt virus, chương trình Trojan horse, hoặc phần mềm gián điệp

để khai thác nó Rootkits cho phép kẻ tấn công duy trì quyền truy cập ẩn

vào hệ thống

không được kiểm tra

Sửa đổi lại trình tự khởi động của máy tính thay vì dùng màn hình hoặc hệ điều hành ban đầu của máy

Thay thế bộ nạp khởi động ban đầu bởi một trình điều khiển bởi một kẻ tấn công từ xa

Thêm mã độc hại hoặc thay thế nhân hệ điều hành ban đầu và mã điều khiển các thiết bị

Thay thế các chương trình ứng dụng bằng các Trojan giả mạo, hoặc sửa đổi các ứng dụng hiện có bằng cách thêm các mã độc hại

Thay thế các cấu trúc

hệ thống bằng các thông tin giả mạo để

ẩn thông tin của kẻ tấn công

Phát hiện dựa trên tính toàn vẹn

Nó so sánh ảnh chụp của

tập tin, file khởi động hoặc

bộ nhớ với một cơ sở đáng

tin cậy

Phát hiện dựa trên dấu vết

Phát hiện dựa trên cách xem qua

Kĩ thuật dò tìm

Kỹ thuật này so sánh đặc điểm của các quy trình hệ thống và các tập tin thực thi với một cơ

sở dữ liệu có dấu vết của rootkit đã được biết đến

Liệt kê các tập tin hệ thống, quy trình và các khóa đã

đăng ký và so sánh chúng với một thuật toán được

sử dụng để tạo ra một tập hợp dữ liệu tương tự

Nó sẽ tìm ra độ sai lệch từ mô hình hệ thống đến thực tế để tim ra rootkit dựa trên đường dẫn đang sử dụng

Vào cmd gõ “ dir/s/b/ah ” và “ dir/s/b/a-h ”

Sử dụng đĩa CD, gõ lệnh “ dir/s/b/ah ” và

“ dir/s/b/a-h ” trên cùng ổ đĩa và lưu kết quả

Sử dụng WinDiff trong đĩa CD để phát hiện

tập tin ẩn

Cài đặt lại hệ điều hành, ứng dụng từ một nguồn đáng tin cậy

sau khi đã sao lưu các dữ liệu quan trọng

Người dùng phải kiểm tra máy tính khi có dấu hiệu

Các dữ liệu được ghi nhận tự động phải được giữ

Lắp đặt mạng và máy chủ phải có tường lửa

Sử dụng các chứng thực mạnh Lưu trữ sẵn các tập tin tin cậy để phục hồi khi cần thiết

Các máy trạm hoặc máy chủ phải vững chắc để chống lại sự tấn công

Cập nhật cho hệ điều hành và các ứng dụng Cập nhật các chương trình diệt virus và chống phần mềm gián điệp thường xuyên

• Luồng dữ liệu thay thế NTFS là một luồng ẩn, trong đó có các dữ liệu cho các tập tin như thuộc tính và thời gian cập nhật và sửa đổi của các tập tin

• ADS có khả năng hình thành dữ liệu vào các tập tin hiện có mà không cần thay đổi hoặc thay đổi kích thước tập tin

• ADS cho phép kẻ tấn công có thể đưa mã độc hại trên một phạm vi hệ thống và thực thi chúng mà không bị phát hiện bởi người sử dụng

Vào cmd gõ: notepad myfile.txt:lion.txt

Click „yes‟ để tạo file mới và tạo 10 dòng dữ liệu

Vào cmd gõ: notepad myfile.txt:tiger.txt

Click „yes‟ để tạo file mới và tạo 20 dòng dữ liệu

Xem dung lượng của myfile.txt

( dung lượng sẽ là 0)

Chỉnh sữa dữ liệu, mở file „myfile.txt:tiger.txt‟

trong notepad