Đào Tạo CEH – CHFI – ECSA – CPENT – LPT – PENTEST+ CySA+ SECURITY +

Tháng Năm 24, 2021

CertMaster Đông Dương

Gợi Ý Đề Án Pentest Cho Sinh Viên Với Kali, Snort / Suricata (Secure Onion) – Target Metasploitable 2 và Trafic Malware

BQT có nhận được yêu cầu hỗ trợ của các sinh viên trường đại học PTIT về mô hình pentest lab, của một học viên lớp PENTEST +

— Trước tiên, các em hãy đọc full tài liệu BUild Pentest Lab của Kenvid Cadwell , người dạy lớp LPTmaster của EC-Council (APT Course) , tải trong mục tài liệu.

— Sau đó xem full 2 eCourseware trên Thư Viên Tin Học của chuyên gia giảng dạy về Secure Onion và cách viết rule cho snort chi tiết step by step

— Có thời gian xem thêm eCourseare về dựng Pentest Lab và detect với firewall pfsense, kali và secure onion (victim là Metasploitabe 2 và Windows 10 , build từ đầu)

Hãy xem càng nhiều càng tốt để có tư liêu mà trình bày khi báo cáo.

Snort có thể cài trên Kali máy ảo dễ dàng, hoặc lấy ISO Backtrack 5R3 ra cài sẽ có sẳn SNORT và honeynetd, trên Secure Onion có sẳn.

Đây có thể là đề án cuối của một nhóm sinh viên trường đại học ATTT. Mô hình gồm có Kali Attacker và tấn công vào hệ thống có SNORT IDS như hình minh họa, Snort có thể được tích hợp chức năng như là IPS để drop một số dạng tấn công đơn giãn với snort inline …

Theo BQT thì quan trọng nhất là Snort hay IDS phải detect được cho chính xác, nhanh chóng. Nếu như máy tính mạnh mẽ các bạn có thể dựng mô hình IDS này trên Secure ONION rất hay như một số bài trình bày mà lớp PENTEST + có tham khảo, hoặc 1 bài cài đặt theo hướng dẫn sau đây (đây là bài mà BQT đã từng dùng để training cho lớp dạy tại VnCERT).

Mô hình này ta sẽ dùng Secure ONION với cả Snort và Suricata để phát hiện, trên Secure Onion còn có các ứng dụng quản lý log trên cả tuyệt vời, có điều ta cần có lab ảo chạy trên SSD và máy 16 GB RAM trở lên ới “nói chuyện” được, máy yếu thì quên đi nhé.

Sau đó, các bạn có thể viết một vào snort rule để phát hiện mấy con malware (chỉ cần lầy pcap trên malware trafic analysys rồi tcpreplay là được,có hàng trăm mẫu trên đó), các bạn có thể xem full 2 khóa học về chương trình này trên eCourseare của lớp sẽ biết cách viết rule chi tiết step by step, khá dễ cho 1 đồ án tốt nghiệp và khả năng ăn điểm cực kì cao, ngay cả đồ án tốt nghiệp cho master cũng rất ăn điểm chứ đừng nói tầm cử nhân. Mấy cái rule của snort rát vừa tầm, ví dụ ta sẽ viết rule cho con muốn khóc wana cry là các thầy cười ngay à.

Như vậy, các bạn cài Secure Onion trên virtual box và cấu hình cho nó bắt full gói tin như sau :

Con Kali ở ngoài “múc” vô, Secure Onion với Suricata và Snort sẽ phát hiện cảnh báo um sùm, các bạn bật Gui lên chỉ cho các bạn sinh viên hay các thầy thấy rõ và phân tích hay chém cho hoành tráng. Còn việc drop riếc gì đó hãy tìm hiểu thêm các chức năng IPS hay gọi Iptable lên với snort inline như chặn ping flood (như đề tài của 1 sinh viên Back Khoa cách đây hàng chục năm, đạt điểm tối đa và anh ta hiện nay đang công tác tại Viettel với vị trí quan trọng)

Khi các bạn dùng Kali exploit các máy Metasploitabe 2, Metasploitable 3 qua Ms 17-010 , RDP .. hay giả lập có malware đang lan truyền qua tcpreplay sẽ nhanh chóng phát hiện (cái này cần có máy nhanh thì nó nhanh). Dĩ nhiên, trước đó hãy demo khi chưa có IDS / IPS ta tấn công vào trong sẽ không có ai nói gì cả, và thành công (chọn lỗi dễ chơi và tiến hành Pivot vì thấy hình như phải qua router, nên tách thành 2 bài khác nhau cho dễ trình bày, cứ lấy Metasploit mà dùng cho nhanh, tham khảo bài khai thác pivot trên stream hoặc tìm trong tài liêu Mastering Metasploit ver 2 và ver 3 có nói rất hay, hình như nó đánh ua lỗi của HFS và một bài qua lỗi vfstpd trên con Metasplotiable 2 rồi chui vào). Ví dụ như các video sau đây sẽ trình bày cách phát hiện con Bolero hay Boleto gì đó với SNORT rồi phân tích để viết rule (video 2)

Snort_Intrusion_Detection_Rule_Writing_anLab 2 Boleto Malware Snort Rule Writing and PCAP Analysis