Bao cao an ninh mạng 2

Vận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùngVận dụng các kĩ thuật tấn công mạngLấy cắp thông tin người dùng

Khoa Công Nghệ Thông Tin

BÁO CÁO AN NINH MẠNG

Tống Đình Hoàn

Vũ Hồng Dương Ngô Thành Công

GIẢNG VIÊN HƯỚNG DẪN

NHÓM 11

TS Nguyễn Ngọc Điệp

Lấy cắp thông tin người dùng

Nội dung

2

Tổng quan về tấn công đánh cắp thông tin người dùng

Tấn công đánh cắp thông tin đăng nhập (Phishing + Spoofing)

Tấn công Capture Webcam người dùng (Phishing + Social

Engineering)

thông tin người dùng

Thông tin bị đánh cắp sẽ được sắp xếp theo mức độ hữu dụng Các thông tin như mật khẩu

và các chi tiết xác thực cộng với số điện thoại, email và địa chỉ, số thẻ tín dụng và tên đều rất

có giá trị

4

Bất cứ ai sử dụng máy tính có kết nối Internet đều có thể là nạn nhân của các hackers

Lừa đảo qua email spam,gửi tin nhắn hoặc làm cách nào đó dụ dỗ nạn nhân truy cập vào nội dung có chứa link độc hại, …

Thông tin người dùng bị đánh cắp như thế nào ?

Tống tiền thông qua phần mềm gián điệp có chứa mã độc (ransomware)

Đánh cắp danh tính

Bán ra chợ đen

Điều gì xảy ra với thông tin bị đánh cắp

Thông tin bị đánh cắp chủ yếu phục vụ các mục đích sau:

Đặt vấn đề

Cơ sở lý thuyết

Xây dựng hệ thống Các biện pháp phát hiện và phòng tránh tấn công

• ARP Spoofing

• DNS Spoofing

• Phishing

Đặt vấn đề

Một ngày cuối tuần đẹp trời, bạn quyết định mang laptop ra một quán cafe quen thuộc để làm việc Bạn mở laptop lên và bắt đầu bằng việc kết nối wifi của quán cafe, đăng nhập tài khoản google, facebook,… của mình Và rồi sau đó bỗng dưng bạn bị kick ra khỏi phiên đăng nhập mà không hiểu lí do tại sao, bạn thử đăng nhập lại và mật khẩu cũ của bạn đã không thể sử dụng được nữa Vậy là bạn đã trở thành nạn nhân của cuộc tấn công ăn cắp thông tin đăng nhập bởi một kẻ lạ mặt nào đó dùng chung mạng LAN với bạn

Cuộc tấn công ăn cắp thông tin đăng nhập người dùng xảy ra rất thường xuyên khi người dùng truy cập vào những mạng công cộng Sau đây chúng ta sẽ tìm hiểu cách thực hiện một cuộc tấn công ăn cắp thông tin đăng nhập của người dùng

Cơ sở lý thuyết

Spoofing attack là kiểu tấn công mạo danh thiết bị phần cứng hoặc mạo danh người dùng khác trên mạng, để thực hiện các cuộc tấn công vào máy chủ mạng, đánh cắp dữ liệu, phát tán phần mềm độc hại hoặc vượt qua các kiểm soát truy cập Một số phương pháp phổ biến nhất bao gồm tấn công giả mạo địa chỉ IP, tấn công giả mạo ARP và tấn công giả mạo máy chủ DNS

Tổng quan về Spoofing Attack

Mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, làm cho bất kỳ lưu lượng truy cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công

Cơ sở lý thuyết

DNS Spoofing DNS Spoofing: DNS giả mạo được đưa vào bộ đệm của

trình phân giải DNS, khiến máy chủ DNS trả về các bản ghi giá mạo Dẫn đến lưu lượng truy cập được chuyển hướng đến máy tính của kẻ tấn công (hoặc bất kỳ máy tính nào khác)

Mục đích tấn công:

• Cài đặt Malware trên máy nạn nhân.

• Lừa người sử dụng truy cập tới các website giả mạo do attacker lập ra để thực hiện các hành vi đánh cắp thông tin cá nhân, cài cắm các phần mềm độc hại

• Tăng traffic cho website

• Gián đoạn dịch vụ

Cơ sở lý thuyết

Phishing Attack

Website Phisihing là website mà kẻ tấn công tạo ra, giả mạo các trang web mạng xã hội, ngân hàng, giao dịch trực tuyến, ví điện tử,…để lừa người dùng chia sẻ, nhập các thông tin cá nhân nhạy cảm

Kẻ tấn công sẽ thực hiện “thả mồi” và chờ người dùng “cắn câu” và mức độ cao hơn sẽ là “cắn câu hàng loạt” Và những thứ cắn câu chính là thông tin của nạn nhân

Từ thông tin bị lấy cắp, chúng sẽ sinh ra rất hiều hậu quả nguy hiểm

Xây dựng hệ thống

Phân tích các công cụ sử dụng tấn công

Mục đích chính: Tạo server chứa website giả mạo

SEToolkit mạo danh một trang web bằng cách copy source code của trang web đó

Trang web mạo danh sẽ sử dụng phương thức HTTP

SEtoolkit sẽ thực hiện tấn công MITM để lấy thông tin đăng nhập

Xây dựng hệ thống

Phân tích các công cụ sử dụng tấn công

Mục đích chính: Thực hiện các kiểu tấn công giả mạo

Tấn công ARP Spoofing để chuyển hướng lưu lượng mạng của một máy tính bất kì

Tấn công DNS Spoofing để chuyển hướng truy cập của nạn nhân theo ý định

Xây dựng hệ thống

Phân tích kịch bản tấn công

Ta có máy Windows đóng vai trò là người dùng thông thường Máy Kali Linux là máy đóng vai trò là kẻ tấn công Hai máy tính trên sẽ được nối cùng một mạng LAN 192.168.1.0/24

Victim: Windows

192.168.1.17 VM Switch 192.168.1.1VM Router www.google.com

sẽ điều hướng máy người dùng đến trang đăng nhập google (Fake website), người dùng nhập Usename và Password và ấn nút đăng nhập Trình duyệt lại trả về trang web đăng nhập google thật và người dùng tiến hành đăng nhập như bình thường

Attacker: Kali Linux 192.168.1.14

Đánh giá

Kiểu tấn công rất khó có thể phát hiện cũng như ngăn chặn

Tấn công mang tính thực chiến cao, có thể ăn cắp thông tin các tài khoản nhạy cảm như tài khoản ngân hàng, tài khoản công ty, tổ chức,…

Phần mềm hỗ trợ: XArp

Tra cứu địa chỉ IP của một tên miền trên cmdDNS Spoofing

Phishing

Trang web tin cậy nhưng lại sử dụng giao thức HTTP

Giao diện trang web có lỗi

Chạy các cuộc tấn công spoofing thử nghiệm

DNS Spoofing

Đối với chủ sở hữu trang web

Công cụ phát hiện giả mạo DNSDNSSEC

Đối với người dùng điểm cuối

Các biện pháp phát hiện và phòng chống

Phòng chống

Tránh nhấp vào các cửa sổ pop-up

Không thực hiện đăng nhập trên các trang web sử dụng giao thức HTTP

Phishing

Khi nghi ngờ về nội dung trang

Đặt vấn đề

Cơ sở lý thuyết

Xây dựng hệ thống Các biện pháp phát hiện và phòng tránh tấn công

• Social engineering

Không ai nghĩ rằng Webcam trên những chiếc laptop hay những thiết bị webcam rời của họ có thể bị hack cho đến khi họ thấy được những hình ảnh hay video của chính mình tràn lan trên mạng, đôi khi là những hình ảnh video đời tư nhạy cảm

Hầu hết các trường hợp hack webcam hay hack camera được thực hiện nhằm mục đích tống tiền hay phát tán những nội dung nhạy cảm Một số trường hợp ăn cắp ảnh chụp mặt của nạn nhân để đe dọa, gây hoang mang giúp leo thang tấn công Social Engineering

Social engineering là một kiểu tấn công dựa vào sự tương tác của con người và thường liên quan đến việc thao túng mọi việc bằng cách phá vỡ các quy trình bảo mật thông thường, truy cập vào hệ thống, mạng để đạt được lợi ích tài chính.

Tổng quan về Social engineering

Các loại tấn công social engineering phổ biến bao

gồm:

BaitingPhishingSpear phishingVishing

Water-holingDiversion theftQuid pro quoHoney trap

• SayCheese

• Setoolkit

Tool

Phân tích các công cụ sử dụng tấn công

Mục đích chính: Thực hiện tấn công Capture Webcam

Tạo ra một link giả mạo một trang web Trong trang web có có phương thức yêu cầu truy cập webcam hoặc camera người dùng

Capture lại ảnh qua webcam và gửi về cho máy Kali Linux

Phân tích các công cụ sử dụng tấn công

Mục đích chính: Thực hiện tấn công Speer Phishing

Giả mạo mail giống như mail từ một tổ chức uy tín

Gửi mail hàng loạt theo kiểu spam email

Phân tích kịch bản tấn công

Máy Kali tham gia tấn công, khởi động công cụ SayCheese SayCheese là công cụ tạo ra một trang HTTPS độc hại bằng cách sử dụng phương pháp chuyển tiếp cổng Ngrok và mã javascript để thực hiện các yêu cầu kích hoạt Camera bằng phương thức MediaDevices.getUserMedia.

Phương thức MediaDevices.getUserMedia () nhắc người dùng cho phép sử dụng đầu vào phương tiện tạo ra MediaStream với các tracks chứa các loại file media được yêu cầu Luồng đó có thể bao gồm một bản nhạc (được tạo bởi phần cứng hoặc nguồn video ảo như máy ảnh, thiết bị quay video, dịch vụ chia sẻ màn hình, v.v.), thu tín hiệu từ micro…

Bằng kĩ thuật Social Engineering và công cụ Setoolkit, kẻ tấn công tạo một mail giả mạo chưa link giả mạo

dụ dỗ nạn nhân click vào link đó Khi đó trình duyệt nạn nhân sẽ chuyển sang trang Snapchat và yêu cầu

Saycheese là một công cụ dễ sử dụng nên kiểu tấn công này rất dễ thực hiệ

Kiểu tấn công này có mức độ thành công khá cao vì đánh vào sự mất cảnh giác của người dùng

Ưu điểm

Nhược điểm

Ảnh gửi về không rõ hoặc bị tối phụ thuộc vào độ sáng xung quanh nạn nhân

Luôn cảnh giác với các mối quan hệ trên mạng xã hội hay Internet Khi phát hiện một người rất ít khi liên lạc với mình nhưng tự dưng bắt đầu truyện trò bằng những đoạn hội thoại cụt lủn không có chủ đề hay đầu đuôi, rất có thể đó là kẻ tấn công

Cảnh giác với những yêu cầu đề nghị lạ từ mọi người, đặc biệt với những yêu cầu có chứa những câu từ như “ấn vào link này”, “click vào đây”, “tải cái này xuống”, “chạy ứng dụng này”… hãy thực hiện một cuộc gọi điện trực tiếp đến người đó để xác thực những yêu cầu trên

Làm chủ chính mình, vì những kẻ tấn công thường đánh vào lòng tham, sự tin tưởng, tính cả nể,….để dụ người dùng thực hiện hành động theo ý của kẻ tấn công Vì vậy hãy thực sự tỉnh táo trước các lời dụ dỗ hấp dẫn

Phát hiện các mail giả mạo

Lỗi ngữ pháp: Phát hiện thông qua các lỗi chính tả

Cảm giác khẩn cấp: Giả mạo các tình huống khẩn cấp

Thông tin nhận dạng mơ hồ: Những Email không có chữ kí, ID lạ hoặc không liên quan

Trên các thiết bị cá nhân như laptop, mobile phone

Sử dụng băng keo đen hoặc vật dính tương tự dính lên Webcam laptop Thủ thuật này được khuyến khích sử dụng bởi các chuyên gia bảo mật trên thế giới

Đề cao cảnh giác với các ứng dụng hoặc trang web yêu cầu truy cập camera, microphone, danh bạ… một cách bất thường

Trên các mail người dùng

Sử dụng các bộ lọc mail

Hạn chế tiết lộ hoặc công khai địa chỉ mail trên mạng

Chúng em xin chân

thành cảm ơn Thầy và Các bạn đã

lắng nghe

Optional

Xây dựng hệ thống

Bước 1: Hacker cấu hình Ettercap và cấu hình máy Kali Linux để phục vụ tấn công:

Enable Forward gói tin:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Bước 2: Hacker sử dụng công cụ Setoolkit để tạo fake website

giống trang đăng nhập Google:

• Khởi động setoolkit bằng câu lệnh setoolkit

• Chọn kiểu tấn công Social-Engineering Attacks

• Chọn Website Attack Vectors

• Chọn Credential Harvester Exploit Menthod

• Add IP của default gateway vào Target 1

• Add IP của máy Victim vào Target 2

Bước 3: Kẻ tấn công sử dụng công cụ Ettercap để tiến hành tấn công DNS Spoofing + Arp Spoofing

Xây dựng hệ thống

Bước 3: Kẻ tấn công sử dụng công cụ Ettercap để tiến hành tấn công DNS Spoofing + Arp Spoofing

Tiến hành ARP Spoofing để fake MACKích hoạt plugin DNS Spoofing bằng cách chọn Plugins

Thử nghiệm

Truy cập google.com trên máy Windows 7 nhận thấy trang Web fake giống hệt trang thật Tuy nhiên nếu để ý kĩ thì ta thấy trang web không dùng giao thức mã hóa https

Bước 1: Cài đặt và mở công cụ SayCheese

Bước 2: Chọn Mirror Website và nhấp Enter để tools tự clone trang web và sinh ra một link HTTPS giả mạo Khi này tool sẽ trong chế độ chờ nạn nhân click vào link giả mạo

Bước 3: Kẻ tấn công sử dụng công cụ Setoolkit để gửi mail mạo danh Áp dụng kĩ thuật Socail

Engineering

Chọn option 1: Social - Engineering AttacksChọn options 5: Mass Mailer Attack

Chọn option 1: E-Mail Attack Single Email Address

để gửi tới một địa chỉ mail chỉ địnhSau đó điền các nội dung của email

Bước 4: Chờ nạn nhân cắn câu

Trên điện thoại nạn nhân đã nhận được mail

giả mạo có nội dung như ảnh dưới:

Nạn nhân click vào link lập tức sẽ được

chuyển sang trình duyệt và yêu cầu

quyền truy cập camera

Bước 5: Nhận kết quả

Nạn nhân click vào Cho phép Lập tức ảnh chụp tự động từ camera trước sẽ được gửi về máy Kali Linux