Để Trở Thành Chuyên Gia Bảo Mật (Module5 – P3) Leo Thang Đặc Quyền
Để Trở Thành Chuyên Gia Bảo Mật (Module5 – P3) Leo Thang Đặc Quyền

Để Trở Thành Chuyên Gia Bảo Mật (Module5 – P3) Leo Thang Đặc Quyền

Phần 2 – Leo Thang Đặc Quyền

là bước thứ ba trong chu trình Hacking System, leo thang đặc quyền về cơ bản có nghĩa là thêm nhiều quyền hơn hoặc cho phép một tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho một tài khoản người dùng có quyền như là tài khoản quản trị.
Nói chung, các tài khoản quản trị viên có yêu cầu mật khẩu nghiêm ngặt hơn, và mật khẩu của họ được bảo vệ chặt chẽ hơn. Nếu không thể tìm thấy một tên người dùng và mật khẩu của một tài khoản với quyền quản trị viên, một hacker có thể chọn sử dụng một tài khoản với quyền thấp hơn. Tại trường hợp này, các hacker sau đó phải leo thang đặc quyền để có nhiều quyền như quyền của quản trị.
Cái này được thực hiện bằng cách nắm lấy quyền truy cập bằng cách sử dụng một tài khoản người dùng không phải là quản trị viên. Thường bằng cách thu thập các tên người dùng và mật khẩu thông qua một bước trung gian để gia tăng các đặc quyền trên tài khoản với mức độ quản trị viên.
Một khi hacker đã có một tài khoản người dùng hợp lệ và mật khẩu, các bước tiếp theo là để thực thi các ứng dụng nói chung hacker cần phải có một tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình. Đó là lý do tại sao leo thang đặc quyền là rất quan trọng. Trong các phần kế tiếp , chúng tôi sẽ xem những gì hacker có thể làm với hệ thống của bạn một khi họ có quyền quản trị.

Công Cụ Leo Thang Đặc Quyền

Getadmin.exe là một chương trình nhỏ nó có thể thêm một người dùng vào nhóm Local Administrator. Một vài kernel NT cấp thấp, thường xuyên truy cập để cho phép quá trình chạy. Một đăng nhập vào giao diện điều khiển máy chủ là cần thiết để thực hiện chương trình. Getadmin.exe được chạy từ dòng lệnh và chỉ hoạt động trên Win NT 4.0 Service Pack 3.
Tiện ích HK.exe để lộ ra kẽ hở trong giao thức gọi hàm cục bộ (Local Procedure Call) của Windows NT. Một người dùng có thể là không phải người quản trì có thể leo thang vào nhóm quản trị viên bằng cách sử dụng công cụ này.

Phần 3: Thực Thi Ứng Dụng

Một khi hacker đã có thể truy cập tài khoản với quyền quản trị, điều tiếp theo cần làm là thực thi các ứng dụng trên hệ thống đích. Mục tiêu của việc thực thi ứng dụng có thể cài đặt một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì hacker muốn làm trên hệ thống.
Khi hacker có thể thực thi các ứng dụng, họ có thể chiếm toàn quyền trên hệ thống hệ thống này.

Buffer Overflow

Hacker cố gắng khai thác một lỗ hổng trong mã ứng dụng (Application). Về bản chất, cuộc tấn công tràn bộ đệm gửi quá nhiều thông tin cho một biến nào đó trong ứng dụng, có thể gây ra lỗi ứng dụng. Hầu hết các lần, ứng dụng không biết hành động tiếp theo bởi vì nó được ghi đè bằng các dữ liệu bị tràn. Vì thế nó hoặc thực thi các lệnh trong các dữ liệu bị tràn hoặc giảm trong một dấu nhắc lệnh để cho phép người dùng nhập lệnh tiếp theo này. Dấu nhắc lệnh (command prompt hoặc shell) là chìa khóa cho hacker có thể được sử dụng để thực thi các ứng dụng khác.

Chuyên đề về Buffer Overflows sẽ được thảo luận chi
tiết trong chương 17: Buffer Overflow

Rootkit
Rootkit là một loại chương trình thường được sử dụng để che dấu các tiện ích trên hệ thống bị xâm nhập. Rootkit bao gồm cái gọi là back doors, nó giúp cho kẻ tấn công đó truy cập vào hệ thống sẽ dễ dàng hơn trong lần sau. Ví dụ, các rootkit có thể ẩn một ứng dụng, ứng dụng này có thể sinh ra một lệnh kết nối vào một cổng mạng cụ thể trên hệ
thống. Back door cho phép các quá trình bắt đầu bởi một người không có đặc quyên, dùng để thực hiện chức năng thường dành cho các quản trị viên. Rootkit thường xuyên được sử dụng để cho phép lập trình viên ra rootkit có thể xem và truy cập vào tên người dùng và thông tin đăng nhập trên các trang site có yêu cầu họ.

Khái niệm Site ở đây không phải là website, mà là một miền (domain) trong hệ thống các máy tính.

Một Số Loại Rootkit Thường Gặp:

  • Kernel-level rootkit: Rootkit ở cấp độ Kernel thường thêm hoặc thay thế một vài thành phần của nhân hệ thống, thay bằng mã được sửa đổi để giúp che giấu một chương trình trên hệ thống máy tính. Điều này thường được thực hiện bằng cách thêm mã mới cho nhân hệ thống thông qua một thiết bị ổ đĩa có khả năng nạp môđun, chẳng hạn như các kernel mô-đun có thể nạp được trong linux hoặc các thiết
    bị điều khiển trong Microsoft Windows. Rootkit đặc biệt nguy hiểm bởi vì nó có thể khó phát hiện mà không có phần mềm phù hợp.
  • Library-level rootkit: Rootkit ở cấp độ thư viện thường chắp vá, sữa chữa, hoặc thay thế hệ thống. Một số phiên bản có thể giấu thông tin tùy theo mục đích của hacker.
  • Application-level rootkits Rootkit: ở cấp ứng dụng thì có thể thay thế những chương trình ứng dụng giống trojan độc hại, hoặc họ có thể thay đổi hành vi của các ứng dụng hiện có bằng cách sử dụng các móc (hook), các bản vá lỗi (patch), mã độc hại (injected code), hoặc các phương tiện khác.

Triển khai Rootkits trên Windows 2000 & XP
Trong hệ điều hành Window NT/2000 thì rookit được xây dựng như một trình điều khiển ở chế độ kernel của driver, có thể được tự động nạp trong chế độ runtime. Rootkit có thể chạy với đặc quyền hệ thống (system privileges ) trong NT Kernel. Do đó, nó đã truy cập vào tất cả các nguồn tài nguyên của hệ điều hành. Các rootkit cũng có thể ẩn các quy trình, ẩn các tập tin, ẩn các mục đăng ký, tổ hợp phím tắt trên hệ thống, giao diện điều khiển, phát hành gián đoạn từng bước để gây ra một màn hình màu xanh của sự chết chốc (death) và chuyển các tập tin EXE.
Rootkit này có chứa một trình điều khiển hoạt động ở chế độ kernel (kernel mode device driver) có tên gọi là _root_.sys và khởi chạy chương trình có tên là DEPLOY.EXE. Sau khi đạt được quyền truy cập vào hệ thống, chúng copy file -root-.sys và DEPLOY.EXE thành nhiều file vào hệ thống và thực thi file DEPLOY.EXE. Sau đó sẽ cài đặt trình điều khiển thiết bị rootkit và kẻ tấn công bắt đầu xóa DEPLOY.EXE từ các máy tính mục tiêu. Những kẻ tấn công sau đó có thể dừng lại và khởi động lại các rootkit bằng cách sử dụng lệnh net stop _root_and _root_ và các tập tin _root_.sys không còn xuất hiện trong danh sách thư mục. Rootkit chặn không cho hệ thống gọi tập tin trong danh sách và giấu tất cả các file bắt đầu với _root_ .

Trong hệ điều hành, có hai chế độ hoạt động là usermode và kernel mode. Với Kernel mode, các trình ứng dụng có toàn quyền truy cập vùng nhớ của RAM, các chỉ lệnh CPU…nói chung là toàn quyền.

Rootkit được nhúng vào giao thức TCP/IP
Một tính năng mới của rootkit trong window NT/2000 là nó hoạt động bằng cách xác định tình trạng kết nối dựa trên các dữ liệu trong gói dữ liệu đến (incoming). Rootkit có một địa chỉ IP cố định mà nó sẽ trả lời. Rootkit sử dụng các kết nối Ethernet qua hệ thống card mạng, vì thế nó rất mạnh mẽ. Một hacker có thể kêt nối đến port bất kỳ trên hệ thống. Ngoài ra, nó cho phép nhiều người có thể đăng nhập cùng một lúc.
Phòng chống Rootkit
Tất cả các rootkit truy cập hệ thống đích có quyền giống như quản trị viên (administrator), do đó, bảo mật mật khẩu là rất quan trọng. Nếu bạn phát hiện một rootkit, lời khuyên rằng bạn nên sao lưu dữ liệu quan trọng và cài đặt lại hệ điều hành và các ứng dụng từ một nguồn đáng tin cậy. Các quản trị viên cũng nên giữ sẵn một nguồn đáng tin
cậy để cài đặt và phục hồi tự động.
Biện pháp đối phó khác là sử dụng thuật toán mã hóa MD5, checksum MD5 của một tập tin là một giá trị 128-bit, nó giống như là dấu vân tay tập tin. Thuật toán này được thiết kế để phát hiện sự thay đổi, ngay cả một chút trong tập tin dữ liệu, để kiểm tra các nguyên nhân khác nhau. Thuật toán này có tính năng rất hữu ích để so sánh các tập tin và đảm bảo tính toàn vẹn của nó. Một tính năng hay là kiểm tra chiều dài cố định, bất kể kích thước của tập tin nguồn là như thế nào.
Việc tổng kiểm tra MD5 đảm bảo một file đã không thay đổi này có thể hữu ích trong việc kiểm tra tính toàn vẹn file nếu rootkit đã được tìm thấy trên hệ thống. Các công cụ như Tripwire được thực hiện để kiểm tra MD5, để xác định các tập tin có bị ảnh hưởng bởi rootkit hay không.
Công Cụ Phòng Chống
Tripwire là một chương trình kiểm tra tính toàn vẹn hệ thống tập tin hệ điều hành Unix, Linux, thêm vào kiểm tra mật mã một hoặc nhiều nội dung trong mỗi thư mục và tập tin. Tripwire có cơ sở dữ liệu chứa thông tin cũng cho phép bạn xác minh, cho phép truy cập và cài đặt chế độ tập tin, tên người dùng chủ sở hữu tập tin, ngày tháng và thời gian tập tin đã được truy cập lần cuối, và sửa đổi cuối.
Keylogger và Phần Mềm Gián Điệp
Nếu tất cả những nỗ lực để thu thập mật khẩu không thành công, thì keylogger là công cụ lựa chọn cho các hacker. Được thực hiện như là phần mềm được cài đặt trên máy tính hoặc là phần cứng gắn vào máy tính. Keylogger là các phần mềm ẩn, ngồi giữa phần cứng (bàn phím) và hệ điều hành, để họ có thể ghi lại mọi phím tắt. Keylogger phần mềm có thể phá hoại hệ thống như Trojans hoặc viruses.
Keylogger là phần mềm gián điệp có dung lượng nhỏ, giúp kết nối các bàn phím máy tính và lưu tất cả các thao tác phím vào một file. Hacker có thể cài thêm tính năng là tự động gửi nội dung file đó đến máy chủ của hacker.
Đối vối kiểu keylogger cứng, có một thiết bị, giống usb, được gắn vào máy tính. Quá trình thao tác phím được ghi lại trong usb đó. Để làm được điều này thì một hacker phải có quyền truy cập vật lý vào hệ thống.

Keylogger cứng thường được cài ở các điềm internet công cộng có ý đồ xấu. Do đó khi truy cập net tại nơi công cộng, bạn nên quan sát kỹ lưỡng các thiết bị bất thường được cấm vào máy tính.

Công Cụ Tấn Công
Spector là phần mềm gián điệp ghi lại mọi điều từ hệ thống nào đó trên mạng Internet, giống như một camera giám sát tự động. Spector có hàng trăm bức ảnh chụp mỗi giờ của bất cứ thứ gì trên màn hình máy tính và lưu những bức ảnh chụp ở một vị trí ẩn trên ổ đĩa cứng của hệ thống. Spector có thể được phát hiện và loại bỏ bở phần mềm chống Spector.
eBlaster là phần mềm gián điệp internet để chụp các email gửi đến và gửi đi, và ngay lập tức chuyển chúng đến một địa chỉ email. Eblaster cũng có thể chụp cả hai mặt của một cuộc hội thoại nhắn tin tức thời (Instant Messenger), thực hiện tổ hợp phím đăng nhập và các trang web truy cập thường xuyên
Spyanywhere là một công cụ cho phép bạn xem các hoạt động hệ thống và hành động của người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, và ngay cả trình duyệt gỡ bỏ tập tin hệ thống. Spyanywhere cho phép bạn kiểm soát chương trình mở và đóng cửa sổ trên hệ thống từ xa và xem lịch sử internet và các thông tin liên quan.
Kkeylogger là một phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy âm thầm ở mức thấp nhất của hệ điều hành Windows 95/98/ME. Tất cả các tổ hợp phím được ghi lại trong một tập tin.
Email keylogger là phần mềm ghi lại tất cả các email được gửi và nhận trên một hệ thống. Mục tiêu các hacker là có thể xem người gửi, người nhận, chủ đề, và thời gian/ngày…. nội dung email và bất kỳ file đính kèm cũng được ghi lại.

Sale Khủng năm mới 2020
Tặng Miễn Phí Website Chuẩn SEO
0922 272 868