An toàn thông tin - Phần 5: Tấn công hệ thống

pdf 90 trang vanle 3150
Bạn đang xem 20 trang mẫu của tài liệu "An toàn thông tin - Phần 5: Tấn công hệ thống", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfan_toan_thong_tin_phan_5_tan_cong_he_thong.pdf

Nội dung text: An toàn thông tin - Phần 5: Tấn công hệ thống

  1. 1 VietHanIT
  2. . Bẻ khóa mật khẩu . Phần mềm gián điệp (Spyware) . Kỹ thuật bẻ khóa mật khẩu . Rootkits . Các hình thức tấn công . Phát hiện Rootkits . Thuật toán bẻ khóa mật khẩu tự . Luồng gữ liệu NTFS động . Steganography là gì? . Tăng quyền hạn . Steganalysis . Thực thi các ứng dụng . Che dấu vết tích . Keylogger 2 VietHanIT
  3. Footprinting Scanning Enumeration 1. Hoạt động của địa 1. Đánh giá mục 1. Thông tin hệ thống chỉ IP tiêu 2. Không gian tên 2. Loại dịch vụ 2. Tài khoản người dùng 3. Trang Web riêng 3. Cấu trúc hệ thống 3. Lỗ hỏng bảo mật 3 VietHanIT
  4. Các giai đoạn Mục tiêu Kỹ thuật Tiếp cận Thu thập đầy đủ thông tin Nghe lén mật khẩu Chuyển đổi giới hạn truy Bẻ khóa mật khẩu Tăng quyền hạn cập user có quyền cao hơn Khai thác thông tin Tạo và duy trì truy cập Phần mềm gián điệp Thực thi ứng dụng qua backdoor Trojans Phần mềm gián điệp Ẩn tập tin độc hại Ẩn tập tin Rootkits Che dấu vết tích Che dấu sự hiện diện Quét sạch bản ghi 4 VietHanIT
  5. Bẻ khóa mật khẩu Footprinting Tăng quyền hạn Tiếp cận Tiếp Scanning Thực thi ứng dụng Enumeration trì Duy tiếp cận tiếp Ẩn tập tin Che dấu vết tích bản ghi bản Quét sạch sạch Quét 5 VietHanIT
  6. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vết tích Ẩn tập tin Kiểm tra 6 VietHanIT
  7. Kỹ thuật bẻ mật khẩu được sử dụng để phục hồi mật khẩu từ hệ thống máy tính Attacker Những kẻ tấn công sử dụng kỹ thuật bẻ khóa mật khẩu để truy cập trái phép hệ thống Hầu hết các kỹ thuật bẻ khóa mật khẩu thành công do các mật khẩu yếu hoặc dễ Hệ thống bị dàng đoán tấn công 7 VietHanIT
  8. Mật khẩu có chứa chữ cái, ký tự đặc biệt, và số ap1@52 Mật khẩu có chỉ chứa số 23698217 Mật khẩu có chứa ký tự đặc biệt &*#@!(%) Mật khẩu có chứa các chữ cái và số meetl 23 Mật khẩu mà chỉ chứa các chữ cái POTHMYDE Mật khẩu chỉ chứa các chữ cái và các ký tự đặc biệt bob&ba Mật khẩu có chứa ký tự đặc biệt và số 123@$45 8 VietHanIT
  9. Kết hợp các ký Kết hợp của tấn tự cho đến khi mật công Brute force và khẩu bị phá vỡ tấn công từ điển Tấn Tấn công Tấn Tấn công Tấn công công từ Brute công theo âm dựa trên điển force lai tiết quy tắc Một tập tin từ Sử dụng khi kẻ tấn điển được nạp Dò mật khẩu từ từ công biết được một vào ứng dụng, sử điển, thêm số và kí số thông tin về mật dụng mật khẩu có hiệu khẩu từ từ điển 9 VietHanIT
  10. 10 VietHanIT
  11. Khó Kẻ tấn công chạy các công cụ sniffer trên duy mạng LAN để truy cập và ghi lại các trì thông tin trong mạng Tính toán phức tạp Các dữ liệu dò tìm được bao gồm mật khẩu được gửi đến hệ thống từ xa trong quá trình Telnet, FTP và thư điện tử được Công gửi và nhận cụ có sẵn 11 VietHanIT
  12. Dò tìm thông tin trong khi đăng nhập vào một máy chủ và sau đó phát lại cho họ để được truy Nếu kẻ tấn công có thể nghe cập trộm đăng nhập trên Windows , sau đó cách tiếp cận này có thể phỏng đoán mật khẩu ngẫu nhiên Đoán mật khẩu là một việc khó khăn 12 VietHanIT
  13. Trong một cuộc tấn công MITM , kẻ tấn công có được Chú ý: quyền truy cập vào kênh thông tin liên lạc giữa nạn 1. Tương đối khó nhân và máy chủ để trích xuất các thông tin Trong một cuộc tấn công Replay, các gói dữ liệu và 2. Phải được tin cậy từ 1 mã xác thực được bắt bằng cách sniffer. Sau khi tách hoặc 2 bên các thông tin liên quan, mã xác thực được đặt trở lại trên mạng để được truy cập 3. Đôi khi có thể thất bại do đường truyền 13 VietHanIT
  14. Kẻ tấn công có một tập hợp các thông tin, và kết hợp để bẻ khóa mật khẩu. Chú ý: . Thời gian . Băng thông . Dễ phát hiện 14 VietHanIT
  15. Spyware là một loại phần mềm độc hại mà cho phép Spyware kẻ tấn công bí mật thu thập Chương trình ghi lại những thông tin ký tự đã đánh trên bàn phím và gửi về cho người Keylogger tấn công Với sự giúp đỡ của Trojan, kẻ tấn công biết được các mật khẩu được lưu trữ trong máy Trojan tính bị tấn công và có thể đọc các tài liệu cá nhân, xóa các tập tin, và hình ảnh 15 VietHanIT
  16. • Một cuộc tấn công cho phép kẻ tấn công đưa vào một mã Băm và sử dụng để xác nhận các nguồn tài nguyên mạng. • Kẻ tấn công tìm và tách lấy ​​tài khoản quản trị miền • Kẻ tấn công sử dụng mã băm để đăng nhập vào bộ điều khiển miền (Doamin Controller) Đưa một mã Băm vào máy cục bộ 16 VietHanIT
  17. Bảng Rainbow Tính toán mã Băm So sánh mã Băm Chuyển đổi danh Tính toán hash cho Dễ dàng khôi phục sách rất lớn như một danh sách các mật khẩu bằng cách các tập tin từ điển mật khẩu và so so sánh các mật và băm mật khẩu sánh nó với các khẩu bắt được với bằng cách sử dụng bảng tính toán mã bảng tính toán trước các kỹ thuật như băm. bảng Rainbow 17 VietHanIT
  18. 1. Được sử dụng để khôi phục các file có mật khẩu bảo vệ và sử dụng một máy tính để giải mã qua mạng 2. Server DNA được lắp đặt tại vị trí trung tâm để các clients có thể truy xuất vào server DNA qua mạng. Server DNA Server DNA kết Client của DNA Chương trình kết được lắp đặt tại hợp tấn công và server sẽ chạy hợp khả năng xử vị trí trung tâm định vị các phần trên nền tảng lý của tất cả các để các clients có chia nhỏ của key trong thời gian client kết nối vào thể truy xuất vào được chuyển bộ vi xử lý rãnh mạng và sử dụng server DNA qua trong mạng. nó để thực hiện mạng. giải mã 18 VietHanIT
  19. Nhìn vào bàn phím Shoulder hoặc màn hình trong khi Surfing người dùng đăng nhập Social Dumpster Engineering Diving Thuyết phục một Tìm kiếm thông tin của người tiết lộ bí mật người sử dụng trong thông tin về tài khoản thùng rác, máy in 19 VietHanIT
  20. Một mật khẩu mặc định là một mật khẩu của thiết bị mới được cung cấp bởi nhà sản xuất Các công cụ trực tuyến có thể được sử dụng để tìm kiếm mật khẩu mặc định: 20 VietHanIT
  21. 21 VietHanIT
  22. So sánh mật Tìm tài khoản Mã hóa danh khẩu vừa mã tồn tại sách vừa tạo hóa với danh sách lấy được Lặp lại cho đến khi tìm được mật khẩu chính xác Tìm thuật toán Lấy được mật Tạo danh sách mã hóa đã sử khẩu đã mã hóa mật khẩu dụng 22 VietHanIT
  23. Cần một công Sao chép các tập Tạo autorun.inf cụ hack mật tin tải về vào ổ trong USB khẩu đĩa USB [autorun] en=launch.bat ật khẩu được nội dung file Cho phép USB M launch.bat chạy tự động lưu trữ trong start pspv. exe/stext các tập tin TXT. pspv.txt 23 VietHanIT
  24. CSDL SAM Nơi lưu trữ thông tin và bảo mật tài khoản hoặc trong CSDL Active Directory Mật khẩu được lưu trữ trong CSDL SAM Chứng thực NTLM Hai giao thức xác thực: NTLM và giao thức xác thực IM. Các giao thức này sử dụng phương pháp băm khác nhau để lưu trữ an toàn mật khẩu trong CSCL SAM Chứng thực Kerberos Được Microsoft nâng cấp thừ giao thức chứng thực mặc định, một tùy chọn an toàn hơn so với NTLM 24 VietHanIT
  25. Băm mật khẩu sử dụng LM / NTLM Mã hóa Nơi lưu trữ file SAM Username User ID LM Hash NTLM Hash 25 VietHanIT
  26. LM hash (LAN Manager Hash) là một trong những dạng quản lý mạng LAN của Microsoft và HĐH của Microsoft sử dụng để lưu trữ mật khẩu ít hơn 15 ký tự Khi mật khẩu này được mã hóa với thuật toán LM, tất cả các chữ cái được chuyển đổi sang chữ hoa: 123456QWERTY Mật khẩu sẽ được chèn thêm kí tự để làm cho nó có độ dài 14 ký tự: 12345GQWERTY_ Trước khi mã hóa mật khẩu này, 14 ký tự được phân chia: 123456Q và WERTY_, mỗi chuỗi riêng lẻ được mã hóa và sau đó nối chúng lại 123456Q = 6BF11EO4AFAB197F Lưu ý: WERTY_ = F1E9FFDCC7SS7SB15 LM Hash đã được vô hiệu hóa trong Windows Vista LM Hash 6BF11EO4AFAB197FF1E9FFDCC7SS7SB15 và Windows 7 26 VietHanIT
  27. 8 byte đầu tiên được bắt đầu từ 7 ký tự đầu tiên và 8 byte thứ hai được bắt đầu từ ký tự thứ 8 đến 14 của mật khẩu Nếu mật khẩu ít hơn 7 ký tự, 8 byte sau sẽ luôn luôn là OxAAD3B435B51404EE Giả sử, mật khẩu của người sử dụng được mã hóa là OxC23413A8A1E7665f AAD3B435B51404EE Mật khẩu được bẻ khóa là "Chào Mừng" Lưu ý: NTLMv2 là một thay đổi, đáp ứng giao thức chứng LM Hash đã được vô hiệu thực, an ninh được cải tiến qua giao thức LM hóa trong Windows Vista và Windows 7 27 VietHanIT
  28. Thêm khoảng trống Chuyển sang chữ in để đủ 14 ký tự Hoa Chia thành 2 chuỗi cehman 1 CEHMAN 1 Constant Constant Concatenate LM Hash 28 VietHanIT
  29. % Thuộc tính Phân biệt chữ hoa Không Có Có thường Độ dài Thuật toán Hash Độ dài trong mã Hash Chiều dài mật khẩu Thuật toán C/R Độ dài C/R 29 VietHanIT
  30. % Client Domain Controller Người dùng đăng DC có một bản sao lưu trữ mật nhập vào HĐH khẩu mã hóa của người dùng Thuật toán Hash HĐH nhận mật khẩu thông qua DC so sánh chứng thực thuật toán Hash đó với mã chứng thực Gửi yêu cầu đăng nhập đến DC của DC DC gửi yêu cầu chứng thực Nếu mã chứng thực chính xác, đănh nhập thành công Xác nhận chứng thực lại cho DC 30 VietHanIT
  31. Trung tâm phân phối key Người dùng yêu cầu máy chủ xác thực Máy chủ chứng thực Máy chủ xác thực và trả lời yêu cầu của người dùng Yêu cầu server cấp vé Máy chủ cấp vé trả lời yêu cầu của máy trạm Yêu cầu máy chủ truy cập vào dịch vụ cần truy dùng Cung cấp dịch vụ theo yêu cầu của Client 31 VietHanIT
  32. Kĩ thuật salting là kĩ thuật ngăn chặn lấy mật khẩu từ các tập tin mật khẩu Mật khẩu Ngăn chặn Đặc biệt Lưu trữ mật khẩu tượng trưng không tân công phải mật khẩu thật Hash Ưu điểm: Làm thất bại các cuộc tấn công Hash 32 VietHanIT
  33. Pwdump lấy mã Hash LM và NTLM của mật khẩu người dùng cục bộ từ cơ sở dữ liệu SAM 33 VietHanIT
  34. Các HĐH windows server 2000 và 2003 có thể xác thực người dùng kết nối với các máy tính đang chạy các phiên bản HĐH của windows Các Client sử dụng HĐH Windows cũ thì không sử dụng Kerberos để xác thực Đối với khả năng tương thích, Windows 2000 và Windows Server 2003 hỗ trợ:  Chứng thực LAN Manager (LM)  Chứng thực Windows NT (NTLM)  Chứng thực NTLM version 2 (NTLMv2) 34 VietHanIT
  35. Sử dụng một mật khẩu ít nhất 15 ký tự • LM hash không tạo ra được khi chiều dài mật khẩu vượt quá 15 ký tự Chỉnh sửa NoLM Hash trong registry Duyệt đến đường dẫn: • HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Lsa Thực hiện Chính sách NoLMHash bằng cách sử dụng chính sách nhóm 35 VietHanIT
  36. Để mật khẩu khó đoán và sử dụng 8-12 kí tự kết hợp chữ hoa chữ thường, số và các kí hiệu. Không sử dụng cùng một mật khẩu trong quá trình thay đổi mật khẩu Thiết lập các chính sách thay đổi mật khẩu trong 30 ngày Giám sát các bản ghi của máy chủ đối với các cuộc tấn công vào tài khoản người dùng Tránh lưu trữ mật khẩu ở một vị trí không có đảm bảo Không sử dụng mật khẩu có thể tìm thấy trong từ điển Không bao giờ sử dụng mật khẩu như ngày sinh, tên người thân Kính hoạt SYSKEY với mật khẩu mạnh để mã hóa và bảo vệ CSDL SAM 36 VietHanIT
  37. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vết tích Ẩn tập tin Kiểm tra 37 VietHanIT
  38. Một kẻ tấn công có thể được truy cập vào mạng bằng cách sử dụng một tài khoản người dùng bình thường, và các bước tiếp theo sẽ là đạt được quyền quản trị Attacker có thể truy cập vào mạng bằng cách sử dụng tài khoản User nhưng có thể có quyền hạn của Admin 38 VietHanIT
  39.  StickyKeys là một tính năng tiếp cận hệ điều hành Windows. Ấn phím shift 5 lần ở màn hình logon và hộp thoại StickyKey hiện lên  Chương trình Sticky Keys được đặt tại c:\windowssystem32\sethc.exe  Nếu thay thế sethc.exe ở sticky key với cmd.exe, và sau đó nhấn phím shift 5 lần tại màn hình đăng nhập, có thể thực thi các câu lệnh trong cửa sổ cmd mà không gặp vấn đề gì về quyền 39 VietHanIT
  40. Tạo 1 tài khoàn quản trị ẩn  Gõ lệnh “net user [tên user] password”  Vào register  [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\ Winlogon\ SpecialAccounts\UserList]  Tạo mới một DWORD  Một tài khoản quản trị Administrative đã được tạo và đã ẩn 40 VietHanIT
  41. Victim sẽ đăng Attacker sẽ cài nhập vào máy chủ vào máy trạm domain với thông một phần mềm tin của mình keylogger Keylogger gởi thông tin cho hacker Attacker đạt được mục đích truy cập vào máy chủ domain 41 VietHanIT
  42. Sử dụng kỹ thuật mã Giới hạn quyền đăng hóa để bảo vệ dữ liệu nhập Người sử dụng chạy Nâng cấp hệ thống các ứng dụng trên thường xuyên quyền thấp nhất Chạy dịch vụ không có tài khoản đặc Thực hiện xác thực quyền 42 VietHanIT
  43. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vết tích Ẩn tập tin Kiểm tra 43 VietHanIT
  44. Những kẻ tấn công thực thi ứng dụng độc hại trong giai đoạn này. Điều này được gọi là "sở hữu" hệ thống 44 VietHanIT
  45. • Keystroke logger là những chương trình hoặc các thiết bị phần cứng theo dõi từng tổ hợp phím như sử dụng trên bàn phím, đăng nhập vào một tập tin hoặc truyền chúng đến một địa điểm từ xa • Keyloggers được đặt giữa phần cứng bàn phím và hệ thống điều hành • Ứng dụng hợp pháp cho keyloggers bao gồm văn phòng và thiết lập để giám sát hoạt động máy tính của nhân viên và trong môi trường gia đình mà cha mẹ có thể theo dõi và giám sát các hoạt động của trẻ em Keyboard.sys Nhân Hệ điều hành 45 VietHanIT
  46. 46 VietHanIT
  47. Phần mềm gián điệp (Spyware) là một chương trình ghi lại sự tương tác của người sử dụng máy tính và Internet mà người sử dụng không thể can thiệp. Spyware là tàng hình, ẩn quá trình, các tập tin của nó, và các đối tượng khác để tránh bị loại bỏ. Download phần mềm Cài đặt phần mềm Các tiện ích của trình Phần mềm giả mạo duyệt Lỗi từ trình duyệt Cookies 47 VietHanIT
  48. Ăn cắp thông tin cá nhân người dùng và gởi đến hacker Giám sát người Gây mất ổn dùng trực tuyến định ở hệ thống Hiển thị pop-ups và các trang web quảng Kết nối đến các cáo trang web không mong muốn Thay đổi trang web mặc định và không cho Tạo các người dùng khôi phục Shortcuts đến Đánh dấu nhiều trang web các trang Web thành trang web ưa thích độc hại Giảm mức độ bảo vệ của máy tính 48 VietHanIT
  49. Điện thoại Desktop GPS Mail và internet Âm thanh Phần mềm giám sát trẻ em USB Video Phần mềm chụp Máy in màn hình 49 VietHanIT
  50. Desktop Spyware cung cấp thông tin về người sử dụng đã làm gì trên máy tính để bàn của họ, khi nào và với ai Ghi lại hoạt động đăng nhập và lưu trữ tại một khu vực Các phím mà người sử Ghi lại và theo dụng đã đăng nhập dõi hoạt động dùng internet Ghi lại phần mềm sử Ghi lại trực tiếp thông dụng và thời gian sử qua máy tính từ xa dụng 50 VietHanIT
  51. Mail • Theo dõi, giám sát, hồ sơ, và email chuyển tiếp đến và đi • Cung cấp 1 cách tổng thể quá trình sử dụng web • Nó ghi lại các tin nhắn đã • Ghi lại ngày giờ dùng và tiến hành ở AIM, MSN, hoạt động trên mỗi trang Yahoo, MySpace. • Ngăn chặn truy cập vào 1 Facebook trang web hoặc toàn bộ các trang web Internet 51 VietHanIT
  52. Kiểm soát và giám sát trẻ em sử dụng máy tính và internet Ngăn chặn trẻ em truy cập vào nội dung trang web không thích hợp Giám sát hoạt động do người dùng lựa chọn Ghi lại các hoạt động, bao gồm cả các ảnh chụp màn hình, tổ hợp phím, và các trang web 52 VietHanIT
  53. s Phần mềm gián điệp chụp màn hình từ máy lân cận hoặc máy từ xa trong 1 thời gian xác định trước Nó cho phép giám sát trong thời gian thực tất cả các hoạt động người dùng trên mạng Những phần mềm gián điệp cũng có thể nắm bắt tổ hợp phím, hoạt động chuột, các địa chỉ web và hoạt động máy in trong thời gian thực Phần mềm gián điệp chụp màn hình thường lưu ảnh chụp màn hình vào đĩa hoặc gửi chúng cho kẻ tấn công thông qua FTP hoặc e-mail 53 VietHanIT
  54. • Sao chép tập tin từ các thiết bị USB vào đĩa cứng của bạn ở chế độ ẩn. • Nó cũng có thể nắm bắt, hiển thị, ghi lại và phân tích dữ liệu chuyển giao giữa bất kỳ thiết bị USB kết nối với máy tính và các ứng dụng. 54 VietHanIT
  55. Theo dõi, giám sát và Nó ghi lại tin nhắn bằng ghi lại âm thanh trên giọng nói trò chuyện máy tính của các tin nhắn khác nhau ngay lập tức Người mún nghe lén sử dụng các phần mềm gián điệp âm thanh để theo dõi các bản ghi âm hội nghị, các cuộc gọi, chương trình phát sóng vô tuyến điện 55 VietHanIT
  56.  Bí mật theo dõi, giám sát webcam  Những kẻ tấn công từ xa có thể xem webcam qua web hoặc điện thoại di động  Phần mềm gián điệp có thể được sử dụng cho video giám sát của các cơ quan 56 VietHanIT
  57.  Phần mềm gián điệp máy in dùng để giám sát từ xa  Nó có thể được sử dụng để phát hiện các thuộc tính in công việc chính xác như số lượng bản sao, số lượng trang in và nội dung 57 VietHanIT
  58.  Phần mềm gián điệp theo dõi, giám sát và các cuộc gọi điện thoại, tin nhắn văn bản  Những kẻ tấn công cài đặt phần mềm gián điệp trên các thiết bị mà họ muốn theo dõi. Bí mật gửi dữ liệu cho các kẻ tấn công thông qua SMS hoặc email 58 VietHanIT
  59.  Phần mềm gián điệp GPS là một thiết bị hoặc phần mềm có sử dụng hệ thống định vị toàn cầu để xác định vị trí của một chiếc xe, người, hoặc tài sản khác mà nó được gắn vào hoặc cài đặt 59 VietHanIT
  60. - Cài đặt phần mềm diệt - Giữ hệ thống phần - Sử dụng chức năng virus cứng của bạn an chặn quảng cáo và tránh - Cài đặt một Host toàn, thường xuyên mở thư rác based IDS có thể giám kiểm tra các dây cáp nối sát hệ thống của - Chọn mật khẩu mới - Quét các tập tin trước bạn và vô hiệu hóa các cho tài khoản trực tuyến khi cài đặt chúng vào cài đặt của keylogger khác nhau và thay đổi máy tính - Cài đặt phần mềm chúng thường xuyên tường lửa chuyên - Sử dụng phần mềm nghiệp và phần mềm thường xuyên quét và chống keylog theo dõi những thay đổi trong hệ thống 60 VietHanIT
  61.  Phần mềm chống Keylog vô hiệu hóa và xóa phần mềm keylogs  Sử dụng một bàn phím ảo hoặc màn hình cảm ứng có thể ngăn chặn việc bắt tổ hợp phím 61 VietHanIT
  62. Điều chỉnh thiết lập bảo mật cho trình duyệt Nâng cao mức độ bảo mật của máy tính Thận trọng với các email và trang web đáng ngờ Cài đặt và sử dụng các phần mềm chống Spyware Thực hiện lướt web 1 cách an toàn và tải về cẩn thận Cập nhật phần mềm thường xuyên, sử dụng firewall để bảo vệ Cập nhật các tập tin được xác định là virus và quét các phần mềm gián điệp thường xuyên 62 VietHanIT
  63. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vêt tích Ẩn tập tin Kiểm tra 63 VietHanIT
  64. Rootkits là chương trình có khả năng ẩn mình và che dấu mọi hoạt động. Nó thay đổi các tiện ích ở hệ điều hành Những kẻ tấn công có quyền được truy cập vào hệ thống bằng cách cài đặt virus, chương trình Trojan horse, hoặc phần mềm gián điệp để khai thác nó Rootkits cho phép kẻ tấn công duy trì quyền truy cập ẩn vào hệ thống 64 VietHanIT
  65. Thay thế các chương Sửa đổi lại trình tự Thêm mã độc hại hoặc trình ứng dụng bằng các khởi động của máy thay thế nhân hệ điều Trojan giả mạo, hoặc sửa tính thay vì dùng màn hành ban đầu và mã đổi các ứng dụng hiện có hình hoặc hệ điều điều khiển các thiết bị hành ban đầu của máy bằng cách thêm các mã độc hại. Rootkits phần Thay thế các cấu trúc cứng/phần mềm Thay thế bộ nạp khởi hệ thống bằng các Ẩn trong các thiết bị động ban đầu bởi một thông tin giả mạo để phần cứng hoặc phần trình điều khiển bởi ẩn thông tin của kẻ tấn mềm nền tảng mà một kẻ tấn công từ xa công không được kiểm tra 65 VietHanIT
  66. Phát hiện dựa trên dấu vết Kỹ thuật này so sánh đặc điểm Phát hiện dựa trên tính toàn vẹn của các quy trình hệ thống và Nó so sánh ảnh chụp của các tập tin thực thi với một cơ tập tin, file khởi động hoặc sở dữ liệu có dấu vết của bộ nhớ với một cơ sở đáng rootkit đã được biết đến tin cậy Kĩ thuật dò tìm Nó sẽ tìm ra độ sai lệch từ mô Phát hiện dựa trên cách xem qua hình hệ thống đến thực tế để Liệt kê các tập tin hệ thống, quy trình và các khóa đã tim ra rootkit dựa trên đường đăng ký và so sánh chúng với một thuật toán được dẫn đang sử dụng sử dụng để tạo ra một tập hợp dữ liệu tương tự 66 VietHanIT
  67. Vào cmd gõ “dir/s/b/ah” và “dir/s/b/a-h” Sử dụng đĩa CD, gõ lệnh “dir/s/b/ah” và “dir/s/b/a-h” trên cùng ổ đĩa và lưu kết quả Sử dụng WinDiff trong đĩa CD để phát hiện tập tin ẩn 67 VietHanIT
  68. Cài đặt lại hệ điều hành, ứng dụng từ một nguồn đáng tin cậy sau khi đã sao lưu các dữ liệu quan trọng Người dùng phải kiểm tra máy tính khi có dấu hiệu Các dữ liệu được ghi nhận tự động phải được giữ Lắp đặt mạng và máy chủ phải có tường lửa Sử dụng các chứng thực mạnh Lưu trữ sẵn các tập tin tin cậy để phục hồi khi cần thiết Các máy trạm hoặc máy chủ phải vững chắc để chống lại sự tấn công Cập nhật cho hệ điều hành và các ứng dụng Cập nhật các chương trình diệt virus và chống phần mềm gián điệp thường xuyên 68 VietHanIT
  69. • Luồng dữ liệu thay thế NTFS là một luồng ẩn, trong đó có các dữ liệu cho các tập tin như thuộc tính và thời gian cập nhật và sửa đổi của các tập tin. • ADS có khả năng hình thành dữ liệu vào các tập tin hiện có mà không cần thay đổi hoặc thay đổi kích thước tập tin. • ADS cho phép kẻ tấn công có thể đưa mã độc hại trên một phạm vi hệ thống và thực thi chúng mà không bị phát hiện bởi người sử dụng 69 VietHanIT
  70. Vào cmd gõ: notepad myfile.txt:lion.txt Click „yes‟ để tạo file mới và tạo 10 dòng dữ liệu Vào cmd gõ: notepad myfile.txt:tiger.txt Click „yes‟ để tạo file mới và tạo 20 dòng dữ liệu Xem dung lượng của myfile.txt ( dung lượng sẽ là 0) Chỉnh sữa dữ liệu, mở file „myfile.txt:tiger.txt‟ trong notepad 70 VietHanIT
  71. Chuyển nội dung từ Trojan.exe đến Readme.txt: C:\> type c:\Trojan.exe > c:\Readme.txt:Trojan.exe Để thực thi Trojan.exe bên trong Readme.txt: C:\> start c:\Readme.txt :Trojan.exe Để giải nén Trojan.exe từ Readme.txt: C:\> cat c:\Readme.txt:Trojan.exe > Trojan.exe 71 VietHanIT
  72. Xóa một dòng tập tin LNS. Exe từ ( liên quan đến việc sao security.nu/cgi-bin chép trước đó để phân /download/Ins.exe.pl) vùng FAT và sau đó Các tập tin đó sẽ mất có thể xóa được chép vào trở lại với khi tập tin được chuyển luồng dữ liệu NTFS đến phân vùng FAT 72 VietHanIT
  73. • Steganography là một kỹ thuật che giấu một thông điệp bí mật trong một email bình thường và giải nén nó tại điểm đến để duy trì bảo mật dữ liệu • Bằng cách sử dụng một hình ảnh đồ họa như bao gồm một phương pháp phổ biến nhất để che giấu dữ liệu trong tập tin Danh sách Mã nguồn của các máy chủ các công cụ bị thâm nhập hack Thông tin và Kế hoạch tấn kênh điều công phối 73 VietHanIT
  74. Kĩ thuật chuyển đổi Kĩ thuật thay thế tên miền Thay thế một phần dư Nhúng các tin nhắn thừa của đối tượng và bí mật trong một che phủ nó với một không gian biến đổi thông điệp bí mật của tín hiệu Các thế hệ che phủ Kĩ thuật phổ tần lan truyền Mã hóa thông tin Thông qua ý tưởng từ đảm bảo việc bảo vệ thông tin liên lạc phổ cho thông tin liên tần lan truyền để lạc được bí mật nhúng tin nhắn bí mật Kĩ thuật biến dạng Kĩ thuật thống kê Lưu trữ thông tin bằng Nhúng tin nhắn bằng cách biến dạng tín cách thay đổi tính hiệu và đo độ lệch từ chất thống kê của các tập tin gốc đối tượng che phủ 74 VietHanIT
  75. Hình ảnh Tài liệu Thư mục Video Âm thanh Khoảng trắng Web Mail Nguồn code Ổ đĩa DVD Văn bản Hệ điều hành C++ 75 VietHanIT
  76. • Thông tin được ẩn trong các tập tin hình ảnh định dạng khác nhau như: PNG, JPG,. BMP, • Các công cụ image steganography thay thế các bit dư thừa của dữ liệu hình ảnh với các thông báo theo cách như vậy mà không thể phát hiện được bằng mắtcủa con người 76 VietHanIT
  77. Steganalysis là nghệ thuật phát hiện và làm xuất hiện các tin nhắn bí mật bằng cách sử dụng steganography Hiệu quả và phát Dòng thông tin nghi hiện chính xác nội ngờ có thể hoặc dung ẩn bên trong không có thể mã hình ảnh kỹ thuật số hóa dữ liệu ẩn Một số tín hiệu nghi ngờ Mã hóa dữ liệu hoặc các tập tin có thể có ẩn trước khi chèn dữ liệu không liên quan vào một tập tin hoặc tiếng ồn được mã hoặc tín hiệu hóa vào chúng 77 VietHanIT
  78. Chỉ có môi trường có Các định dạng của tập steganography là có tin được thay đổi. sẵn để phân tích Bản gốc và stego-object Các stego-object được so có sẵn và các thuật toán sánh với đối tượng để steganography được phát hiện các thông tin ẩn biết đến Thông điệp ẩn và stego- Mục đích là để xác định các image tương ứng được mẫu trong các stego-object biết đến có thể trỏ đến Trong quá trình giao Stego-object và thuật tiếp, kẻ tấn công hoạt toán steganography động có thể thay được xác định đổi vỏ 78 VietHanIT
  79. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vết tích Ẩn tập tin Kiểm tra 79 VietHanIT
  80. Một khi những kẻ xâm nhập đã thành công được truy cập quản trị viên trên một hệ thống, họ sẽ cố gắng để che các theo dõi để tránh bị phát hiện Truy cập Cài đặt bằng Admin Backdoors Khi tất cả các thông tin quan tâm đã bị tước bỏ từ mục tiêu, kẻ xâm nhập cài đặt các backdoors để anh ta có thể được truy cập dễ dàng trong tương lai 80 VietHanIT
  81. Hủy bỏ sử dụng gần đây nhất (MRU), xóa cookies, xóa bộ nhớ cache, tắt AutoComplete, Thanh công cụ dữ liệu xóa từ các trình duyệt Trong Windows XP Click chuột phải lên Start, chọn Properties > Start Menu > Customize > Advanced > Clear List , bỏ dấu check “List my most Xóa danh sách recently opened documents” ứng dụng sử Từ Registry dụng gần đây HKCU\Software\Microsoft\ Windows\CurrentVersion\ Explorer, sau đó xóa key “Recent Docs” 81 VietHanIT
  82. . Những kẻ xâm nhập sẽ vô hiệu hóa auditing ngay lập tức sau khi giành được quyền quản trị . Kẻ xâm nhập sẽ chỉ bật kiểm tra một lần nữa bằng cách sử dụng auditpol.exe 82 VietHanIT
  83. Bẻ khóa mật khẩu Tăng quyền hạn Thực thi ứng dụng Che dấu vết tích Ẩn tập tin Kiểm tra 83 VietHanIT
  84. Xác định mật khẩu Thực hiện dò tìm Thực hiện tấn công của hệ thống thông tin qua mạng Man in the Middle Thực hiện tấn công theo quy tắc Quyền  Chạy từ điển từ các ứng dụng crack truy cập để chạy vào tài khoản của người dùng  Chạy một chương trình phá vỡ mật Thực hiện tấn công khẩu theo âm tiết  Chạy gói công cụ sniffer trên mạng LAN để truy cập và ghi lại các lưu Kiểm tra mật khẩu lượng mạng  Dành được quyền truy cập vào các phức tạp Thực hiện tấn công kênh thông tin liên lạc giữa nạn lai nhân và máy chủđể trích xuất các thông tin Thực hiện tấn công từ Thực hiện tấn công điển Brute forcing 84 VietHanIT
  85. Thực hiện tấn công Thực hiện tấn công  Sử dụng một Sniffer để nắm bắt các gói tin và thẻ xác lặp lại Shoulder Surfing thực. Sau khi giải nén thông tin có liên quan, đặt lại các thẻ trên mạng để truy cập  Ghi lại mọi phím tắt mà một người sử dụng loại bằng cách sử dụng keylogger Social Engineering  Bí mật thu thập thông tin cá nhân hoặc tổ chức cá nhân sử Đoán mật khẩu dụng phần mềm gián điệp  Một Trojan có thể truy cập các mật khẩu được lưu trữ trong máy tính  Đưa mã băm xâm nhập vào một máy cục bộ và sử dụng để xác nhận các nguồn tài nguyên mạng Trojan/Spyware/ Dumpster Diving  Khôi phục mật khẩu bằng cách sửdụng máy trên mạng để giải Keyloogers mã mật khẩu Đưa vào mã Băm Tính toán mã Băm Tấn công Rainbow Tấn công phân tán 85 VietHanIT
  86.  Thay thế sethc.exe với cmd.exe, và sau đó Đăng nhập gọi sethc.exe bằng cách nhấn phím shift 5 lần tại màn hình đăng nhập  Sử dụng các công cụ thay đổi quyền như hoạt động thay đổi mật khẩu, bộ công cụ khôi phục mật khẩu, Quyền hạn bị giới hạn Thay thế sethc.exe Cài Keylog bằng cmd.exe Tạo tài khoàn admin Thử chạy các ứng ẩn dụng quyền admin 86 VietHanIT
  87. Cập nhật phần mềm diệt virus Kiểm tra tường lửa Kiểm tra phần cứng hệ thống Sử dụng keylogger Dùng công cụ thực • Sử dụng keylogger Sử dụng Spyware thi từ xa • Sử dụng các phần mềm gián điệp, máy ghi âm chuyên nghiệp, 87 VietHanIT
  88. Thực hiện kĩ thuật • Cài đặt các rootkit trong hệ Cài đặt Rootkit thống để duy trì quyền truy cập ẩn Steganalysis • Thực hiện toàn vẹn dựa trên phát hiện, để phát hiện rootkit • Sử dụng công cụ chống rootkit chẳng Sử dụng Tính toàn vẹn hạn như RootkitRevealer, Detective Steganography Rootkit, McAfee,SanityCheck, • Sử dụng luồng NTFS để đưa mã độc hại và thực hiện chúng mà không Sử dụng luồng bị phát hiện bởi người sử dụng Chữ ký • Sử dụng công cụ dò tìm luồng NTFS NTFS như ADS Scan • Sử dụng kỹ thuật steganography để che giấu thông điệp bí mật trong một email Xem qua Cập nhật cho HĐH bình thường và giải nén nó tại điểm đến để duy trì bảo mật dữ liệu • Sử dụng các công cụ phát hiện steganography như stegdetect, tego Phỏng đoán Kiểm tra virus, phần Watch , Stegspy, Xstegsecret, mềm chặn Spyware 88 VietHanIT
  89. Xóa mọi hoạt động trên Web Vô hiệu hóa audit Can thiệp vào file log Đóng các kết nối từ xa • Xóa cookies, cache, tập tin tạm thời và lịch sử Đóng các port đang • Vô hiệu hoá các công cụ như Auditpol • Giả mạo đăng nhập các tập tin như các file bản ghi sự kiện, các tập tin đăng nhập máy chủ và các mở tập tin đăng nhập proxy • Sử dụng các công cụ như Windows Washer , TracksEraser Pro 89 VietHanIT
  90. . Kẻ tấn công sử dụng một loạt các phương thức để thâm nhập hệ thống . Đoán mật khẩu và bẻ khóa là một trong những bước đầu tiên . Đoán mật khẩu là một chiến thuật nghe trộm thường dùng . Quét lổ hỏng để xác định kỹ thuật để sử dụng . Ghi nhật ký gõ phím và các công cụ phần mềm gián điệp khác được sử dụng khi họ đạt được vào hệ thống để giữ cho các cuộc tấn công sau . Kẻ tấn công phá hủy bằng chứng “đã từng có và làm thiệt hại” . Các tập tin ăn cắp cũng như các tập tin ẩn là phương tiện để lẻn ra ngoài thông tin quan trọng 90 VietHanIT