Professional Documents
Culture Documents
Kỹ Thuật Tấn Công Và Phòng Thủ Trên Không Gian Mạng - 661166 - system Hacking
Kỹ Thuật Tấn Công Và Phòng Thủ Trên Không Gian Mạng - 661166 - system Hacking
Cracking
Passwords
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
Hiding Files Che dấu các tập tin độc hại Rootkits
Cracking
Passwords
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
Phần lớn các trường hợp bẽ khóa mật khẩu thành công là
do các mật khẩu dễ đoán và mật khẩu yếu
• Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và
phân tích dữ liệu để tìm ra mật khẩu.
• Các mật khẩu thương bắt được dạng plaintext của các
dịch vụ như: Telnet, FTP, rlogin, mail…
• Sử dụng mật khẩu mặc định của nhà sản xuất thiết bị
Khi Password được mã hóa với thuật toán LM thì tất cả các ký tự của mật khẩu được
chuyển sang ký tự hoa ví dụ: 123456QWERTY
Password sẽ được thêm vào các ký tự null (blank) để đảm bảo đủ 14 ký tự ví dụ:
123456QWERTY_
Trước khi mã hóa Password sẽ được chia làm 2 phần (mỗi phần 7 ký tự) và mỗi phần
được mã hóa riêng trước khi được nối lại với nhau thành kết quả của mật khẩu đã
mã hóa
NTLMv2 là giáo thức chứng thực theo mô hình challenge/response, và bảo mật hơn
so với giao thức LM
• PWDump7
– Trích LM và NTLM password hash của
local user account từ SAM Database
• Fgdump
– Tương tự PWDump7 nhưng cho phép
trích chứng thực được cache lại và cho
phép thực thi qua mạng
• Các công cụ này phải chạy dưới
quyền administrator account
Cracking
Passwords
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
• Sau khi crack được mật khẩu user, attacker có thể truy
cập mạng với quyền hạn của user không phải là admin.
• Tiếp theo attacker cần dành được đặc quyền quản trị hệ
thống để thực hiện các tác vụ mà attacker mong muốn.
Cracking
Passwords
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
• Trong bước này attacker thực thi các chương trình độc
hại trên máy tính của nạn nhận
• Tìm hiểu hệ thống chứa các thông tin nhạy cảm gì như
CPU, RAM, IP, ..
• Cài đặt các phần mềm cho phép truy cập từ xa hay ăn
cắp password của các user khác.
• Ngoài ra có thể cài những chương trình giúp quét mạng
bên trong
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
Library Level Rootkit: Thay thế các lệnh gọi hệ thống để che dấu thông tin
của attacker.
Kernel Level Rootkit: Thêm các đoạn mã độc hại hoặc thay thế mã lệnh của
OS kernel và driver thiết bị.
Boot Loader Level Rootkit: Thay thế boot loader của hệ thống bằng một
trình điều khiển từ xa của attacker.
Hypervisor Level Rootkit: Thay đổi trình tự boot của máy để load rootkit
thay vì load virtual machine monitor hoặc OS
• Rootkit Revealer
• MacAfee Rootkit Detective
• Copy tập tin từ NTFS sang phân vùng FAT rồi copy
ngược lại
• Sự dụng các tiện ích để phát hiện NTFS Streams như:
– LNS.exe – http://ntsecurity.nu/cgi-bin/download/lns.exe
– ADS Scan Engine
Cracking
Passwords
Escalating Executing
Privileges Application
Covering Hiding
Tracks Files
• Công cụ auditpol.exe NT
Resource Kit có thể vô hiệu
hóa giám sát bằng cách sử
dụng dòng lệnh.
• Để kích hoạt lại chế độ
giám sát bằng cách sử dụng
auditpol.exe
Institute
Rottof Network Security&- istudy.vn
Adsadawuttijaroen Tanan Satayapiwat
Công cụ xóa dấu vết: Window Washer