Professional Documents
Culture Documents
I. TỔNG QUAN
Backdoor (cửa hậu) trong phần mềm hay hệ thống máy tính thường là một
cổng không được thông báo rộng rãi, cho phép người quản trị xâm nhập hệ
thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng. Ngoài ra nó cũng dùng
để chỉ cổng bí mật mà hacker và gián điệp dùng để truy cập bất hợp pháp.
Có nhiều cách để mở backdoor trên máy tính nạn nhân, ở bài viết này
chúng ta sử dụng công cụ “Magic Unicorn”, kết hợp với kỹ thuật tấn công
“Man-In-The-Middle” để hỗ trợ chạy đoạn mã powershell trên máy tính
nạn nhân.
- Magic Unicorn là một công cụ được phát triển bởi TrustedSec dùng
để tấn công PowerShell của Windows và tiêm shellcode thẳng vào
bộ nhớ. Công cụ được phát triển dựa trên kỹ thuật tấn công
PowerShell của Matthew Graeber, kỹ thuật bypass (vượt qua) bảo
mật của PowerShell của David Kennedy (TrustedSec) và Josh Kelly
đưa ra tại hội nghị Defcon 18. Cách sử dụng rất đơn giản, chỉ cần
chạy Magic Unicorn (đảm bảo rằng Metasploit đã được cài đặt) và
Magic Unicorn sẽ tự động tạo ra lệnh PowerShell sau đó chỉ cần tìm
cách chạy được đoạn mã này trên máy tính mục tiêu.
- Man in the Middle là một trong những kiểu tấn công mạng thường
thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức
lớn chính, nó thường được viết tắt là MITM. Có thể hiểu nôm na
rằng MITM giống như một kẻ nghe trộm. MITM hoạt động bằng
cách thiết lập các kết nối đến máy tính nạn nhân và chuyển tiếp dữ
liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ tin
tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia,
nhưng sự thực thì các luồng truyền thông lại bị thông qua host của
kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch
dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi
luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó. Cụ thể ở
đây chúng ta sử dụng hình thức tấn công “DNS Spoofing” và “ARP
Cache Poisoning”.
3 dòng trong khung màu xanh chỉnh sửa lại thành tên miền mà chúng ta
muốn giả mạo khi nạn nhân truy cập tên miền đó sẻ được trỏ về máy chủ
web có địa chỉ IP trong khung màu đỏ.
Bước 2: Giả mạo một trang web đánh lừa người dùng trong bài lab này
chúng ta chỉnh sửa trang index trong dịch vụ web của kali trong đường dẫn
“var/www/html/index.html”
Ở đây giả sử ta giả mạo khi người dùng truy cập trang web “me.zing.vn”
sẻ hiển thị nội dung rằng máy của họ đã bị nhiểm mã độc phải tải file diệt
virus về máy. Có giao diện như sau:
Để tăng tính hiệu quả chúng ta có thể đầu tư phần giao diện sao cho dễ đánh
lừa người dùng nhất có thể.
Bước 3: Thực hiện tạo malware bằng công cụ Unicorn đã clone về từ github
lúc đầu.
Di chuyển vào thư mục của Unicorn lúc tải về. Ở đây nhóm để ở Desktop.
Chạy lên như sau:
“ cd Desktop/unicorn
Python unicorn.py”
Sau khi thực hiện lệnh trên kiểm tra trong thư mục của unicorn sẽ thấy có
2 tệp mới được tạo ra “powershell_attack.txt” và “unicorn.rc”.
Tiến hành đổi tên file powershell_attack.txt thành tên file có đuôi .bat ví
dụ “attack.bat”. Đính file này vào phần dowload của web chúng ta đã tạo
lúc đầu.
Bước 4: Khởi động dịch vụ web sever của kali lên bằng lệnh
“service apache2 start”
Để kiểm tra xem dịch vụ đã được khởi động thành công chưa chúng
ta thực hiện truy cập bằng browser trực tiếp đến IP của dịch vụ web sever
trên kali.
Sau khi thực hiện câu lệnh quá trình tấn công sẻ có 2 giai đoạn:
- Giai đoạn 1 giả mạo ARP cache của thiết bị trên mạng.
- Giai đoạn 2 phát các đáp trả truy vấn DNS giả mạo.
Lưu ý: phải làm sạch DNS cache của máy nạn nhân trước có thể sử dụng
các công cụ như CutNet hoặc các kỹ thuật khác. Trong phạm vi bài lab có
hạn nên ở đây chúng ta tiến hành chạy lệnh “ipconfig /flushdns” để chủ
động làm sạch DNS cache của máy nạn nhân.
Đợi đến khi nạn nhân tải về và chạy file .bat là chúng ta mở backdoor
thành công.
Khi nạn nhân chạy file .bat chúng ta sẻ thấy trong console có dòng như
trên có nghĩa là backdoor đã được mở.
Chạy lệnh “ Sesions -i 1” để bắt đầu phiên kết nối.
Ví dụ cơ bản chúng ta có thể thử xem thông tin về máy nạn nhận bằng
lệnh “sysinfo”
V. TỔNG KẾT
Bằng việc sử dụng công cụ Unicorn malware được tạo ra có thể vượt qua
được hầu hết các tường lửa và trình duyệt virus ở thời điểm thực hiện bài
lab này. Công cụ Unicorn còn có thể tấn công bằng nhiều phương thức
khác nhau như reverse_https tấn công macro đính kèm powershell vào tệp
word hay excel...Kết hợp với metasploit và ettercap để thực hiện các tấn
cực kỳ hiệu quả.
Báo cáo có tham khảo thông tin từ website Quantrimang.com và một số
video trên youtube. Hiện bài lab chỉ thực hiện trên mạng LAN để có thể
thực hiện trên mạng WAN chúng ta có thể tìm hiểu kỹ thuật Port
Forwarding.
Cảm ơn thầy và các bạn!