Phần 4: Hiding Files
Một hacker có thể muốn che dấu các tập tin (Hiding Files) trên một hệ thống, để ngăn chặn bị phát hiện, sau đó có thể được dùng để khởi động một cuộc tấn công khác trên hệ thống. Có hai cách để ẩn các tập tin trong Windows.
Đầu tiên là sử dụng lệnh attrib. Để ẩn một tập tin với lệnh attrib, gõ như sau tại dấu nhắc
lệnh: attrib +h [file/directory]
Cách thứ hai để ẩn một tập tin trong Windows là với luồng dữ liệu xen kẽ NTFS (alternate data streaming – ADS).
Hiding Files NTFS File Streaming
NTFS sử dụng bởi Windows NT, 2000, 2003, 2008 và cả các hệ thống Windows XP,
Windows 7 có một tính năng gọi là ADS cho phép dữ liệu được lưu trữ trong các tập tin
liên kết ẩn một cách bình thường, có thể nhìn thấy được tập tin. Streams không giới hạn
về kích thước, hơn nữa một stream có thể liên kết đến một file bình thường.
Để tạo và kiểm tra NTFS file stream, ta thực hiện các bước sau:
- Tại dòng lệnh, nhập vào notepad test.txt
- Đặt một số dữ liệu trong tập tin, lưu tập tin, và đóng notepad
- Tại dòng lệnh, nhập dir test.txt và lưu ý kích thước tập tin
- Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi một số nội dung vào Notepad, lưu các tập tin, và đóng nó lại.
- Kiểm tra kích thước tập tin lại (giống như ở bước 3).
- Mở lại test.txt. bạn chỉ nhìn thấy những dữ liệu ban đầu.
- Nhập type test.txt:hidden.txt tại dòng lệnh một thông báo lỗi được hiển
thị. “The filename, directory name, or volume label syntax is incorrect.”
Công Cụ Tấn Công Makestrm.exe là một tiện ích chuyển dữ liệu từ một tập tin vào một tập tin liên kết ADS và thay thế liên kết với các tập tin ban đầu. Phòng Chống NTFS File StreamingĐể xóa một stream file, đầu tiên là copy nó đến phân vùng FAT, và sau đó cpoy nó trở vào phân vùng NTFS. Stream bị mất khi tập tin được chuyển đến phân vùng FAT, vì nó có một tính năng của phân vùng NTFS và do đó chỉ tồn tại trên một phân vùng NTFS.
Hiding Files Công Cụ Phòng Chống
Bạn có thể sử dụng LNS.exe để phát hiện ra Stream. LNS báo cáo sự tồn tại và vị trí của
những file chứa dữ liệu stream. Steganography Steganography là quá trình giấu dữ liệu trong các loại dữ liệu khác như hình ảnh hay tập tin văn bản.
Các phương pháp phổ biến nhất của dữ liệu ẩn trong các tập tin là sử dụng hình ảnh đồ họa như là nơi để cất giấu. Kẻ tấn công có thể nhúng các thông tin trong một tập tin hình ảnh bằng cách sử dụng steganography.
Các hacker có thể ẩn các chỉ dẫn thực hiện một quả bom, số bí mật của tài khoản ngân hàng… Hành động bất kỳ có thể được ẩn trong hình ảnh.
Hiding Files Công Cụ Tấn Công
- Imagehide là một chương trình steganography, nó giấu số lượng lớn văn
bản trong hình ảnh. Ngay cả sau khi thêm dữ liệu,vẫn không có sự gia tăng
kích thước hình ảnh, hình ảnh trông giống như trong một chương trình đồ
họa bình thường. Nó nạp và lưu các tập tin và do đó là có thể tránh được
nghe lén. - Blindside là một ứng dụng steganography mà giấu thông tin bên trong ảnh
BMP (bitmap). Đó là một tiện ích dòng lệnh. - MP3stego giấu thông tin trong file mp3 trong quá trình nén. Dữ liệu được
nén, mã hóa, và chúng ẩn trong các dòng bit MP3. - Snow là một chương trình whitespace steganography có nghĩa là che giấu
thông điệp trong ASCII text, bằng cách phụ thêm các khoảng trắng ở cuối
file. Vì spaces and tabs không thể nhìn thấy ở người xem văn bản. Nếu
được sử dụng một thuật toán mã hóa, tin nhắn không thể đọc ngay cả khi nó
bị phát hiện. - Camera/shy làm việc với Window và trình duyệt Internet Explorer, cho
phép người dùng chia sẻ tìm kiểm hoặc thông tin nhạy cảm được lưu giữ
trong một hình ảnh GIF thường - Stealth là một công cụ lọc, cho các tập tin PGP. Nó loại bỏ thông tin nhận
dạng từ tiêu đề, sau đó các tập tin có thể được sử dụng cho steganography.
Chống lại Steganography
Phần 5: Clear Track – Xóa Dấu Vết
Một khi kẻ xâm nhập thành công, đã đạt được quyền truy cập quản trị viên trên một hệ
thống, cố gắng để che dấu vết của chúng để ngăn chặn bị phát hiện. Một hacker cũng có
thể cố gắng để loại bỏ các bằng chứng hoặc các hoạt động của họ trên hệ thống, để ngăn
ngừa truy tìm danh tính hoặc vị trí của cơ quan hacker. Xóa bất kỳ thông báo lỗi hoặc các sự kiện an ninh đã được lưu lại, để tránh phát hiện.
Trong các phần sau đây, chúng tôi sẽ xem xét việc vô hiệu hóa kiểm toán (auditing) và
xóa bỏ các bản ghi sự kiện (event log), đó là hai phương pháp được sử dụng bởi hacker
để bao bọc dấu vết và tránh bị phát hiện.
Auditing là tính năng ghi lại Event Log. Windows Event Viewer là chương trình dùng để quản lý Auditing trên windows. Vô hiệu hóa Auditing Những việc làm đầu tiên của kẻ xâm nhập sau khi giành được quyền quản trị là vô hiệu hóa auditing. Auditing trong Windows ghi lại tất cả các sự kiện nhất định Windows Event Viewer. Sự kiện có thể bao gồm đăng nhập vào hệ thống, một ứng dụng, hoặc một sự kiện. Một quản trị viên có thể chọn mức độ ghi nhật ký trên hệ thống. Hacker cần xác định mức độ ghi nhật ký để xem liệu họ cần làm gì để xóa những dấu vết trên hệ thống.
Công Cụ Tấn Công auditPol là một công cụ có trong bộ Win NT dành cho các quản trị tài nguyên hệ thống. Công cụ này có thể vô hiệu hóa hoặc kích hoạt tính năng kiểm toán từ cửa sổ dòng lệnh. Nó cũng có thể được sử dụng để xác định mức độ ghi nhật ký được thực hiện bởi một quản trị viên hệ thống.
Xóa Nhật Ký Sự Kiện
Những kẻ xâm nhập có thể dễ dàng xóa bỏ các bản ghi bảo mật trong Windows Event
Viewer. Một bản ghi sự kiện có chứa một hoặc một vài sự kiện là đáng ngờ bởi vì nó
thường cho thấy rằng các sự kiện khác đã bị xóa. Vẫn còn cần thiết để xóa các bản ghi sự
kiện sau khi tắt Auditing, bởi vì sử dụng công cụ AuditPol thì vẫn còn sự kiện ghi nhận
việc tắt tính năng Auditing.
Công Cụ Tấn Công
Một số công dụ để xóa các bản ghi sự kiện, hoặc một hacker có thể thực hiện bằng tay
trong Windows Event Viewer. Tiện ích elsave.exe là một công cụ đơn giản để xóa các bản ghi sự kiện.
- Winzapper là một công cụ mà một kẻ tấn công có thể sử dụng để xóa các bản ghi
sự kiện, chọn lọc từ các cửa sổ đăng nhập bảo mật trong năm 2000. Winzapper
cũng đảm bảo rằng không có sự kiện bảo mật sẽ được lưu lại trong khi chương
trình đang chạy. - Evidence Eliminator là một trình xóa dữ liệu trên máy tính Windows. Nó ngăn ngừa không cho dữ liệu trở thành file ẩn vĩnh viễn trên hệ thống. Nó làm sạch
thùng rác, bộ nhớ cache internet, hệ thống tập tin, thư mục temp… Evidence Eliminator cũng có thể được hacker sử dụng để loại bỏ các bằng chứng từ một hệ
thống sau khi tấn công.
Tổng Kết
Qua chương này chúng ta đã nắm được tầm quan trọng của bảo mật mật khẩu. Các biện
pháp thay đổi mật khẩu trong khoảng thời gian thích hợp, độ mạnh của mật khẩu, và các
biện pháp bảo mật khác là rất quan trọng đối với an ninh mạng.
Nhận biết các loại tấn công mật khẩu khác nhau. Passive online bao gồm sniffing, manin- the-middle, và replay. Active online bao gồm đoán mật khẩu tự động. Offline attacks bao gồm dictionary, hybrid, và brute force. Nonelectronic bao gồm surfing, keyboard sniffing, và social engineering.
Biết làm thế nào để có bằng chứng về activite hacking là loại bỏ bởi những kẻ tấn công.
Xoá bản ghi sự kiện và vô hiệu hoá phương pháp kiểm tra của những kẻ tấn công sử dụng
để che dấu vết của chúng.
Nhận ra rằng các tập tin ẩn là phương tiện được sử dụng để lấy ra những thông tin nhạy
cảm. Steganography, NTFS File, và các lệnh attrib là những cách tin tặc có thể ẩn và ăn
cắp các tập tin.