Professional Documents
Culture Documents
MỤC LỤC
CHƯƠNG 1: DÒ QUÉT VÀ LIỆT KÊ.......................................................................... 2
CHƯƠNG 2: CONNECTION SECURITY................................................................... 3
1. IP sec......................................................................................................................... 3
2. SSH: Secure Shell..................................................................................................... 4
3. SSL và TLS............................................................................................................... 6
4. VPN........................................................................................................................... 6
CHƯƠNG 4: AN TOÀN DỊCH VỤ Ở XA..................................................................... 7
1. FPT............................................................................................................................ 7
2. TFTP......................................................................................................................... 7
3. TELNET................................................................................................................... 8
4. SSH............................................................................................................................ 8
5. IPMI.......................................................................................................................... 8
6. NTP........................................................................................................................... 8
7. SNMP........................................................................................................................ 9
8. LDAP........................................................................................................................ 9
9. VNC.......................................................................................................................... 9
10. Unix RPC Services – Remote procedure call..................................................... 10
11. Bảo vệ các dịch vụ và countermeasures............................................................. 10
CHƯƠNG 5: REVERSE TCP...................................................................................... 10
1. Các khái niệm......................................................................................................... 10
2. Khi nào thì dùng reverse TCP.............................................................................. 10
3. Set up reverse TCP................................................................................................ 11
4. Tạo Reverse TCP shellcode:.................................................................................. 11
CHƯƠNG 6: APT ATTACK........................................................................................ 11
1. Khái niệm............................................................................................................... 11
2. Các đặc trưng......................................................................................................... 12
3. Các giai đoạn của APT.......................................................................................... 12
3.1 Nhắm mục tiêu................................................................................................. 12
3.2 Quyền truy cập................................................................................................. 12
3.3 Trinh sát........................................................................................................... 13
3.4 Các hành động có mục đích bên lề.................................................................. 13
3.5 Thu thập và lọc dữ liệu.................................................................................... 13
3.6. Quản lý và bảo trì........................................................................................... 13
4. Các chiến dịch APT điển hình.............................................................................. 14
5. Các tool APT.......................................................................................................... 14
6. Cơ chế để mà malware tộn tại sau khi reboot máy............................................. 14
7. Quy trình ứng phó sự cố........................................................................................ 14
8. Cách tấn công phổ biến nhất................................................................................. 15
9. Phát hiện APT........................................................................................................ 17
- Ứng dụng nhiều nhất của SSL là giữa một web client và một web server vì nó được hỗ
trợ bởi web browser và web server ở tất cả nền tảng. Nó cũng là tiêu chuẩn mã hóa cho
HTTP
- HTTP qua giao thức SSL sử dụng port 443 (default). Một firewall nằm giữa internet và
webserver mà sử dụng SSL thì cho phép luồng dữ liệu ra vào trên cổng 443
- SSL có 2 thành phần: SSL Handshake protocol và SSL record layer
4. VPN
Virtual Private Networks là một tunnel an toàn thông qua một mạng không an toàn,
chẳng hạn internet.
Các loại VPN:
- VPN:PPTP: Point to point tunneling protocol là một giao thức tunneling layer 2. Giao
thức này đóng gói PPP packet thành các IP datagram bằng cách thêm GRE header và IP
header vô.
- VPN:L2TP: là một giao thức tunneling chuẩn công nghiệp. Cung cấp tunneling và
authentication. Sử dụng Ipsec để cung cấp mã hóa.
- VPN: Hardware VPN solutions: Cung cấp khả năng mã hóa gồm SSL và IPsec. Như là
hệ sinh thái Cisco, Juniper, Nortel
Có thể tạo ra VPN cross-platform bằng Open VPN.
Tạo payload có khả năng thực thi, dùng những cách có thể để chép payload qua máy nạn
nhân, set up các thông số ở máy attacker, chạy payload trên victim
4. Tạo Reverse TCP shellcode:
Các bước:
- Viết 1 chương trình để lấy reverse shell ở bất kỳ ngôn ngữ nào như c, perl
- Compile và disassemble
- Viết lại và tối ưu hóa chương trình bằng assembly
- Compile và disassemble
- Lấy reverse TCP shellcode
Hình 2 Giao thức SSH đảm bảo tính xác thực, mã hóa, toàn vẹn dữ liệu
Chương 7: PSAD
TỔNG HỢP CÁC LOẠI TẤN CÔNG
1. IPsec(Internet Protocol Security).
IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền
tảng Internet Protocol như xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho
mỗi gói Internet Protocol trong quá trình truyền thông tin.
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network
layer) của mô hình OSI.
2. Các chức năng cơ bản của IPSec.
Chứng thực
- IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the
middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi
nội dung của gói dữ liệu.
- IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng
kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.
- Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối
mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành
phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến
các thành phần khác.
Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra
trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Một kẻ tấn công có thể gởi một gói tin
Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy
tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận.
Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một
phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực
bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec,
chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
Toàn vẹn dữ liệu
- Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không
bị mất hoặc bị thay đổi.
- IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một
checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi
gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ
bị xóa bởi máy tính nhận.
Bảo mật dữ liệu
- IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi
sẽ không thể bị giải mã bởi những kẻ tấn công.
3. VPN là gì ? IPsec VPN là gì ?
VPN (virtual private network) là một kết nối được mã hóa giữa 2 hay nhiều máy tính với
nhau. Các kết nối VPN diễn ra trên các public network, nhưng dữ liệu trao đổi trên VPN vẫn
riêng tư bởi vì nó đã được mã hóa. VPN giúp có thể truy cập và trao đổi dữ liệu bí mật một
cách an toàn qua cơ sở hạ tầng mạng dùng chung, chẳng hạn như Internet công cộng.
Nhiều VPN sử dụng bộ giao thức IPsec để thiết lập và chạy các kết nối được mã hóa này.
4. IPsec hoạt động như thế nào ?
Kết nối IPsec bao gồm các bước sau:
Trao đổi khóa(key exchange): Key là cần thiết để mã hóa; Key là một chuỗi ký tự ngẫu
nhiên có thể được sử dụng để "khóa" (mã hóa) và "mở khóa" (giải mã) thông điệp. IPsec
thiết lập các Key với sự trao đổi Key giữa các thiết bị được kết nối, để mỗi thiết bị có thể
giải mã tin nhắn của thiết bị khác.
Packet headers and trailers: Tất cả dữ liệu được gửi qua mạng được chia thành các phần
nhỏ hơn được gọi là gói. Các gói chứa cả payload hoặc dữ liệu thực tế đang được gửi và
các header, hoặc thông tin về dữ liệu đó để các máy tính nhận gói biết phải làm gì với
chúng. IPsec thêm một số tiêu đề vào các gói dữ liệu chứa thông tin xác thực và mã hóa.
IPsec cũng thêm các trailers, đi sau payload của mỗi gói
Xác thực(authentication): IPsec cung cấp xác thực cho từng gói tin, giống như một con
dấu xác thực trên một vật phẩm. Điều này đảm bảo rằng các gói đến từ một nguồn đáng
tin cậy và không phải là kẻ tấn công.
Mã hóa(Encryption): IPsec mã hóa payload bên trong mỗi gói và header IP của mỗi gói
(trừ khi chế độ transport được sử dụng thay vì chế độ tunnel). Điều này giữ cho dữ liệu
được gửi qua IPsec an toàn và riêng tư.
Truyền(Transmission): Các gói IPsec được mã hóa truyền qua một hoặc nhiều mạng đến
đích của chúng bằng giao thức transport. Ở giai đoạn này, lưu lượng IPsec khác với lưu
lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyền tải hơn là
TCP . TCP, thiết lập các kết nối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả các
gói đều đến được nơi. UDP, không thiết lập các kết nối chuyên dụng này. IPsec sử dụng
UDP vì điều này cho phép các gói IPsec vượt qua tường lửa .
Giải mã(Decryption): Ở đầu kia của giao tiếp, các gói tin được giải mã và các ứng dụng (ví
dụ: trình duyệt) giờ đây có thể sử dụng dữ liệu được gửi tới.
5. Các giao thức được dùng trong IPsec.
Xác thực Header (AH): Giao thức AH đảm bảo rằng các gói dữ liệu đến từ một nguồn
đáng tin cậy và dữ liệu không bị giả mạo, giống như một con dấu chống giả mạo trên
một sản phẩm tiêu dùng. Các header này không cung cấp bất kỳ mã hóa nào; chúng
không giúp che giấu dữ liệu khỏi những kẻ tấn công.
Giao thức bảo mật đóng gói (ESP): ESP mã hóa tiêu đề IP và payload cho mỗi gói - trừ khi
transport mode được sử dụng, trong trường hợp này, nó chỉ mã hóa payload. ESP thêm
header riêng và trailer vào mỗi gói dữ liệu.
Security Association (SA): SA đề cập đến một số giao thức được sử dụng để đàm phán
các khóa và thuật toán mã hóa. Một trong những giao thức SA phổ biến nhất là Internet
Key Exchange (IKE).
Cuối cùng, mặc dù Giao thức Internet (IP) không phải là một phần của bộ IPsec, nhưng
IPsec chạy trực tiếp trên IP.
6. Khác nhau giữa IPsec tunnel mode và IPsec transport mode.
IPsec tunnel mode được sử dụng giữa hai bộ định tuyến chuyên dụng(routers), với mỗi bộ định tuyến hoạt
động như một đầu của "đường hầm" ảo thông qua mạng public. Trong tunnel mode IPsec, IP header gốc
chứa đích đến cuối cùng của gói tin được mã hóa, cùng với payload gói tin. Để cho các bộ định tuyến trung
gian biết nơi chuyển tiếp các gói tin, IPsec thêm một IP header mới. Tại mỗi đầu cuối của đường hầm, các
bộ định tuyến giải mã các IP header để chuyển các gói tin đến đích của chúng.
Trong transport mode, payload của mỗi gói được mã hóa, nhưng IP header ban đầu thì không. Do đó, các
bộ định tuyến trung gian có thể xem đích cuối cùng của mỗi gói - trừ khi sử dụng một giao thức đường
hầm riêng biệt (chẳng hạn như GRE ).
7. IPsec thường dùng port nào ?
IPsec thường sử dụng cổng 500.
1. APT
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ một tập hợp các quá trình
tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc
một nhóm người (hackers) nhắm vào một thực thể cá biệt. Tấn công APT thường nhắm tới
các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị.
Advanced: Kẻ tấn công thông thạo các phương pháp xâm nhập mạng và kỹ thuật quản trị và
có khả năng tạo ra các cách khai thác tùy chỉnh và công cụ.
Persistent: Kẻ tấn công có mục tiêu dài hạn và nỗ lực để đạt được mục tiêu của mình mà
không bị phát hiện.
Threat: Kẻ tấn công có tổ chức, được tài trợ, có động cơ và có mặt khắp nơi cơ hội.
Các Giai Đoạn
Targeting (Nhắm mục tiêu): thu thập thông tin từ nguồn public hoặc private, dùng các
phương pháp kiểm tra như quét lỗ hỏng, spear-phishing, social engineering.
Access (Truy cập): Truy cập và xác định các cách khai thác hiệu quả nhất đối với hệ
thống thông tin và an ninh của tổ chức. Xâm nhập vào các dữ liệu của máy chủ (địa chỉ
IP, DNS/DHCP server…) cũng như thu thập thông tin xác thực hoặc thông tin hồ sơ, cài
các phần mềm giả mạo hoặc phần mềm độc hại.
Reconnaissance (Do thám): Liệt kê các chia sẻ mạng, khám phá các kiến trúc mạng, tên
dịch vụ, kiểm tra dịch vụ và quyền admin để truy cập vào hệ thống hoặc ứng dụng. Cố
gắng xâm phạm vào tài khoản AD.
Lateral Movement (Mở rộng khai thác): tiếp tục mở rộng sự hiện diện của chúng tại các
hệ thống khác trong TTDL trong cùng mạng doanh nghiệp bị nhiễm, lây lan, xâm nhập và
đánh cắp các quyền điều khiển của các User quan trọng (cả User Administrator).
Data collection and exfiltration (Thu thập và đánh cắp dữ liệu): đánh cắp sau đó và tuồn
ra Internet bằng các cách truyền thống trên các giao thức cho phép thông thường của
hệ thống Firewall như FTP hay HTTP. Chúng có thể mã hoá các dữ liệu trước khi hành
động hoặc chuyển dữ liệu này ra khỏi doanh nghiệp tới một máy tính bị nhiễm khác.
Administration and maintenance (Quản lí và duy trì): Duy trì truy cập mọi lúc, thành lập
nhiều phương pháp truy cập vào mạng của máy bị xâm phạm, gắn cờ hoặc kích hoạt
trigger.
Giải pháp: Giám sát đường truyền, lưu lượng nội bộ,triển khai tường lửa, cập nhật bản vá,
mã hóa các kênh truyền kết nối, sử dụng các công cụ lọc thư rác và quét virus cho hệ thông
mail, ghi lại nhật kí hoạt động, nâng cao nhận thức về phishing.
2. IPSec
G
3. Giải pháp về các dạng tấn công mạng phổ biến hiện
nay
Tấn công Malware
+ Spyware
+ Ransomware
+ Virus
+ Worm
Giải pháp:
.Sao lưu dữ liệu thường xuyên
.Thường xuyên cập nhật phần mềm
.Cẩn thận với các Link hoặc File lạ.
Phishing
+ Giả mạo Email
+ Giả mạo Website
Giải pháp:
. Không Click vào các đường dẫn được gửi đến Email nếu không chắc chắn an toàn
. Dùng bộ lọc thư rác, lừa đảo
. Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật có thể bị tấn công
. Cảnh giác với các Email có xu hướng thúc giục
. Dùng các công cụ hạn chế Phishing: SpoofGuard, Anti-phishing Domain Advisor, Netcraft
Anti-phishing Extension