5 Giai Đoạn Hacking

Ban đầu, “hack” có nghĩa là sở hữu những kỹ năng máy tính phi thường để mở rộng giới hạn của hệ thống máy tính. Hacking yêu cầu trình độ cao nhưng ngày nay có những công cụ và mã tự động có sẵn trên Internet giúp bất kỳ ai có ý chí và mong muốn đều có thể hack và thành công. Như trong khóa học CEH v12 hay các chương trình Hacking với Kali Linux, Pentest với Metasploit các bạn có thể thấy khá nhiều framework hay công cụ tự động hóa có thể thực hiện điều này. Tuy nhiên, để vận hành các công cụ và framework một cách hiệu quả, tránh gây tác dụng ngược thì chúng ta cần nắm vững 5 giai đoạn quan trọng của bất kì quy trình tấn công nào.

Chỉ một sự thỏa hiệp về bảo mật của một hệ thống không có nghĩa là thành công. Có những trang web khăng khăng muốn “lấy lại mạng lưới” cũng như những người tin rằng họ đang làm tất cả các lợi ích bằng cách đăng các chi tiết khai thác. Những thứ này có thể gây tổn hại và có thể làm giảm cấp độ kỹ năng cần thiết để trở thành một kẻ tấn công thành công.

Việc khai thác các lỗ hổng hệ thống ngày càng dễ dàng hơn   trong khi đường cong kiến ​​thức cần thiết để thực hiện các khai thác như vậy thì ngắn lại. Khái niệm về hacker ưu tú / siêu cấp chỉ là một ảo tưởng và thường xuất hiện trên phim ảnh.

Tuy nhiên, tin tặc nói chung là những người thông minh với kỹ năng máy tính tốt, với khả năng tạo và khám phá phần mềm và phần cứng của máy tính. Mục đích của họ có thể là thu thập kiến ​​thức hoặc đào bới để làm những việc bất hợp pháp. Những kẻ tấn công được thúc đẩy bởi lòng nhiệt thành muốn biết nhiều hơn trong khi những kẻ tấn công ác ý có ý định đánh cắp dữ liệu. Nói chung, có năm giai đoạn trong đó kẻ xâm nhập tiến hành một cuộc tấn công:

1. Reconnaissance
2. Scanning
3. Gaining Access
4. Maintaining Access
5. Covering Tracks

Phase 1—Reconnaissance

Trinh sát hay Reconnaissance là giai đoạn chuẩn bị mà kẻ tấn công thu thập càng nhiều thông tin càng tốt về mục tiêu trước khi tiến hành cuộc tấn công. Cũng trong giai đoạn này, kẻ tấn công sử dụng trí thông minh cạnh tranh hay competitive intelligence (một thuật ngữ chuyên dùng cho việc thu thập thông tin theo cách để đạt hiệu quả cao) để tìm hiểu thêm về mục tiêu. Giai đoạn này cũng có thể liên quan đến việc quét mạng, bên ngoài hoặc bên trong, mà không cần sự cho phép.

Đây là giai đoạn cho phép kẻ tấn công tiềm năng lên chiến lược tấn công của mình. Quá trình này có thể mất một khoảng thời gian vì kẻ tấn công chờ đợi để khai thác thông tin quan trọng. Một phần của cuộc trinh sát này có thể liên quan đến “kỹ thuật xã hội hay social engineering”. Một người nắm vững social engineering có khả năng dùng lời nói để mọi người tiết lộ thông tin như số điện thoại không công khai, mật khẩu và các thông tin nhạy cảm khác.

Một kỹ thuật trinh sát hay reconnaissance khác là “lặn biển hay dumpster diving “. Đây là quá trình xem xét thùng rác của một tổ chức để tìm thông tin nhạy cảm bị loại bỏ. Những kẻ tấn công có thể sử dụng Internet để lấy thông tin như thông tin liên lạc của nhân viên, đối tác kinh doanh, công nghệ đang được sử dụng và kiến ​​thức kinh doanh quan trọng khác, nhưng “công cụ lặn” có thể cung cấp cho chúng những thông tin nhạy cảm hơn như tên người dùng, mật khẩu, bảng sao kê thẻ tín dụng, sao kê ngân hàng, phiếu rút tiền ATM, số an sinh xã hội, số điện thoại, v.v.

Ví dụ, cơ sở dữ liệu Whois có thể cung cấp thông tin về địa chỉ Internet, tên miền và địa chỉ liên hệ. Nếu kẻ tấn công tiềm năng lấy được thông tin DNS từ công ty đăng ký và có thể truy cập thông tin đó, thì kẻ đó có thể nhận được thông tin hữu ích như ánh xạ tên miền tới địa chỉ IP, máy chủ email và bản ghi thông tin máy chủ. Xa hơn nữa, hacker có thể tìm hiểu cách đặt tên hộp thư của doanh nghiệp hay tổ chức và qua đó phán đoán địa chỉ email của người này thông qua các thông tin được công bố trên mạng xã hội của học, ví dụ như Cert Master Đông Dương sẽ có địa chỉ email là certmaster.dongduong@cpent.edu.vn  vì tổ chức này có cách đặt tên email là tên đầy đủ với dấ chấm liên kết nickname (tôi chỉ lấy ví dụ minh họa). Rồi từ đó attacker sẽ tiến hành các hướng tấn công xa hơn như bẻ khóa, nghe lén … Điều quan trọng là một công ty phải có các chính sách thích hợp để bảo vệ tài sản thông tin của mình, đồng thời cung cấp các hướng dẫn cho những người sử dụng tài sản đó. Nâng cao nhận thức của người dùng về các biện pháp phòng ngừa mà họ phải thực hiện để bảo vệ tài sản thông tin của họ là một yếu tố quan trọng trong bối cảnh này.

Các Kiểu Reconnaissance  

Các kỹ thuật trinh sát có thể được phân loại rộng rãi thành trinh sát chủ động và thụ động hay active &  passive reconnaissance

Khi kẻ tấn công tiếp cận cuộc tấn công bằng kỹ thuật trinh sát thụ động, anh ta / cô ta không tương tác trực tiếp với hệ thống. Anh ta sử dụng thông tin có sẵn công khai, kỹ thuật xã hội và dumpster diving như một phương tiện thu thập thông tin.

Khi kẻ tấn công sử dụng các kỹ thuật do thám chủ động, chúng sẽ cố gắng tương tác với hệ thống bằng cách sử dụng các công cụ để phát hiện các cổng đang mở, máy chủ có thể truy cập, vị trí bộ định tuyến, ánh xạ mạng, chi tiết về hệ điều hành và ứng dụng.

Giai đoạn tiếp theo của tấn công là quét hay scanning, sẽ được thảo luận trong phần sau. Một số chuyên gia không phân biệt được việc quét với việc do thám chủ động. Tuy nhiên, có một sự khác biệt nhỏ là quá trình quét liên quan đến việc thăm dò chuyên sâu hơn về phần của kẻ tấn công. Thường thì các giai đoạn trinh sát và quét chồng chéo lên nhau, và không phải lúc nào cũng có thể phân định các giai đoạn này một cách rõ ràng, tách biệt.

Do thám chủ động thường được sử dụng khi kẻ tấn công nhận thấy rằng có khả năng thấp là các hoạt động do thám này sẽ bị phát hiện. Những người mới làm quen và những người thích viết kịch bản thường cố gắng làm điều này để nhận được kết quả nhanh hơn, có thể nhìn thấy được và đôi khi chỉ vì muốn khoe khoang các thông tin mà họ thu thập được.

Là một hacker có đạo đức, bạn phải có khả năng phân biệt giữa các phương pháp do thám khác nhau và có thể đưa ra các biện pháp phòng ngừa trước các mối đe dọa tiềm ẩn. Về phần mình, các công ty phải coi an ninh như một phần không thể thiếu trong chiến lược kinh doanh và hoạt động của họ, đồng thời được trang bị các chính sách và thủ tục thích hợp để kiểm tra các hoạt động đó.

Phase 2 – Scanning

Quét hay Scanning là phương pháp mà kẻ tấn công thực hiện trước khi tấn công mạng. Trong quá trình quét, kẻ tấn công sử dụng các chi tiết thu thập được trong quá trình do thám để xác định các lỗ hổng cụ thể. Quét có thể được coi là một phần mở rộng hợp lý (và chồng chéo) của trinh sát tích cực. Thông thường những kẻ tấn công sử dụng các công cụ tự động như máy quét mạng / máy chủ lưu trữ và trình quay số chiến tranh để xác định vị trí hệ thống và cố gắng phát hiện ra các lỗ hổng.

Kẻ tấn công có thể thu thập thông tin mạng quan trọng như ánh xạ hệ thống, bộ định tuyến và tường lửa bằng cách sử dụng các công cụ đơn giản như Traceroute. Ngoài ra, họ có thể sử dụng các công cụ như Cheops để thêm chức năng quét cùng với những gì Traceroute hiển thị.

Máy quét cổng có thể được sử dụng để phát hiện các cổng lắng nghe để tìm thông tin về bản chất của các dịch vụ đang chạy trên máy mục tiêu. Kỹ thuật bảo vệ chính trong vấn đề này là tắt các dịch vụ không được yêu cầu. Lọc thích hợp cũng có thể được áp dụng như một cơ chế bảo vệ. Tuy nhiên, những kẻ tấn công vẫn có thể sử dụng các công cụ để xác định các quy tắc được thực hiện để lọc.

Kẻ tấn công làm theo một trình tự các bước cụ thể để quét bất kỳ mạng nào. Mặc dù một cách tiếp cận chung đã được trình bày, các phương pháp quét có thể khác nhau dựa trên các mục tiêu tấn công, được thiết lập trước khi những kẻ tấn công thực sự bắt đầu quá trình này.

Figure: CEH Scanning Methodology

Các công cụ được sử dụng phổ biến nhất là máy quét lỗ hổng có thể tìm kiếm một số lỗ hổng đã biết trên mạng mục tiêu và có khả năng phát hiện hàng nghìn lỗ hổng. Điều này mang lại cho kẻ tấn công lợi thế về thời gian vì anh ta / cô ta chỉ phải tìm một phương tiện xâm nhập duy nhất trong khi chuyên gia của hệ thống phải bảo mật nhiều khu vực dễ bị tấn công bằng cách áp dụng các bản vá. Các tổ chức triển khai hệ thống phát hiện xâm nhập vẫn có lý do để lo lắng vì những kẻ tấn công có thể sử dụng các kỹ thuật trốn tránh ở cả cấp độ ứng dụng và mạng.

Phase 3 – Gaining Access

Giành quyền truy cập hay Gaining access là giai đoạn quan trọng nhất của một cuộc tấn công về khả năng gây thiệt hại. Những kẻ tấn công không phải lúc nào cũng có quyền truy cập vào hệ thống để gây ra thiệt hại. Ví dụ, các cuộc tấn công từ chối dịch vụ có thể làm cạn kiệt tài nguyên hoặc ngăn các dịch vụ chạy trên hệ thống mục tiêu. Việc dừng dịch vụ có thể được thực hiện bằng cách giết các quy trình, sử dụng bom logic / thời gian, hoặc thậm chí cấu hình lại và làm hỏng hệ thống. Tài nguyên có thể bị cạn kiệt cục bộ bằng cách lấp đầy các liên kết thông tin đi.

Hãy tưởng tượng khi một anh chàng muốn “tấn công” một cô gái , các bạn đừng nghĩ theo nghĩa đen đầy bạo lực vì “tấn công” ở đây có thể là quyến rũ thì vệc giành quyền truy cập có nghĩ là chạm được đến trái tim của cô gái, nhưng có thể chiếm toàn bộ trái tim ấy (leo thang đặc quyền) và ở lại trong đó cho đến lúc nào là một vấn đề khác và điều này ánh xạ vào các giai đoạn tấn công trong không gian mạng rất rõ nét và đầy gợi nhớ.

Việc khai thác có thể xảy ra cục bộ, ngoại tuyến, qua mạng LAN hoặc Internet như một hành vi lừa dối hoặc trộm cắp. Các ví dụ bao gồm tràn bộ đệm dựa trên ngăn xếp (b0f), từ chối dịch vụ (DOS) và chiếm quyền điều khiển phiên (session hijacking). Những kẻ tấn công sử dụng một kỹ thuật được gọi là giả mạo để khai thác hệ thống bằng cách giả vờ là người lạ hoặc các hệ thống khác nhau. Họ có thể sử dụng kỹ thuật này để gửi một gói tin không đúng định dạng có chứa lỗi đến hệ thống đích nhằm khai thác lỗ hổng. Tính năng ngập gói có thể được sử dụng để ngăn chặn từ xa tính khả dụng của các dịch vụ thiết yếu. Các cuộc tấn công của Smurf cố gắng thu hút phản hồi từ những người dùng có sẵn trên mạng và sau đó sử dụng địa chỉ hợp pháp của họ để tràn ngập nạn nhân.

Các yếu tố ảnh hưởng đến cơ hội của kẻ tấn công có được quyền truy cập vào hệ thống mục tiêu bao gồm kiến ​​trúc và cấu hình của hệ thống mục tiêu, trình độ kỹ năng của kẻ tấn công và mức độ truy cập ban đầu có được. Loại tấn công từ chối dịch vụ gây hại nhất có thể là tấn công từ chối dịch vụ phân tán, trong đó kẻ tấn công sử dụng phần mềm zombie được phân phối trên một số máy trên Internet để kích hoạt từ chối dịch vụ quy mô lớn được dàn dựng hay dựa trên lỗi của hệ thống mục tiêu.

Phase 4 – Maintaining Access

Khi kẻ tấn công giành được quyền truy cập vào hệ thống mục tiêu, kẻ tấn công có thể chọn sử dụng cả hệ thống và tài nguyên của nó, và tiếp tục sử dụng hệ thống như một bệ phóng để quét và khai thác các hệ thống khác hoặc để giữ một cấu hình thấp và tiếp tục khai thác hệ thống . Cả hai hành động này đều có thể gây thiệt hại cho tổ chức. Ví dụ, kẻ tấn công có thể triển khai một trình thám thính để nắm bắt tất cả lưu lượng mạng, bao gồm cả các phiên telnet và ftp với các hệ thống khác.

Những kẻ tấn công thường không muốn bị phát hiện (trừ một số người thích khoe khoang) sẽ xóa bằng chứng về việc xâm nhập của họ và sử dụng cửa sau hoặc Trojan để có được quyền truy cập ở những lần tiếp theo. Họ cũng có thể cài đặt rootkit ở cấp nhân hệ thống để có được quyền truy cập siêu người dùng (root). Lý do đằng sau điều này là do rootkit có quyền truy cập ở cấp hệ điều hành trong khi ngựa thành Troy có được quyền truy cập ở cấp ứng dụng. Cả rootkit và Trojan đều phụ thuộc vào người dùng để cài đặt chúng. Trong các hệ thống của Windows, hầu hết các Trojan tự cài đặt như một dịch vụ và chạy như một hệ thống cục bộ, có quyền truy cập quản trị.

Những kẻ tấn công có thể sử dụng ngựa Trojan để truyền tên người dùng, mật khẩu và thậm chí cả thông tin thẻ tín dụng được lưu trữ trên hệ thống. Họ có thể duy trì quyền kiểm soát hệ thống “của mình” trong một thời gian dài bằng cách “làm cứng” hệ thống chống lại những kẻ tấn công khác, và đôi khi, trong quá trình này, thực hiện một số mức độ bảo vệ hệ thống khỏi các cuộc tấn công khác. Sau đó, họ có thể sử dụng quyền truy cập của mình để ăn cắp dữ liệu, tiêu thụ chu kỳ CPU và giao dịch thông tin nhạy cảm hoặc thậm chí dùng đến mã độc tống tiền. Nhiều người muốn làm hiệp sĩ máy tính bằng cách tấn công vào mục tiêu sơ hở sau này tiến hàng hardening hay “làm cứng” hoặc nói dễ hiểu là tiến hành bảo mật giúp mục tiêu. Tuy nhiên, điều này là vi phạm pháp luật vì không có nơi nào chấp nhận các “hiệp sĩ mang”   thâm nhập trái phép vào các mục tiêu khi chưa được ủy quyền.

Các tổ chức có thể sử dụng hệ thống phát hiện xâm nhập hoặc triển khai honeypot hay honeynet để phát hiện những kẻ xâm nhập. Tuy nhiên, cách sau không được khuyến nghị trừ khi tổ chức có chuyên gia bảo mật cần thiết để tận dụng khái niệm này để bảo vệ. Vì điều này cũng giống như là chúng ta đang đánh lừa người khác trên không gian mạng, về ý nghĩa thì khi các bạn triển khai những “bẫy ngọt ngào” này cũng giống như khi hacker rãi các mồi câu hấp dẫn trên facebook, email …

Phase 5 – Covering Tracks

Khi kẻ tấn công muốn tiêu hủy bằng chứng về sự hiện diện và hoạt động của anh ta / cô ta vì nhiều lý do khác nhau như duy trì quyền truy cập và trốn tránh hành động trừng phạt. Xóa bằng chứng về quá trình tấn công là một yêu cầu đối với bất kỳ kẻ tấn công nào muốn giữ bí mật. Đây là một trong những phương pháp tốt nhất để tránh bị truy tìm dấu vết hay còn gọi là kỹ thuật anti-forensic. Điều này thường bắt đầu bằng việc xóa các thông tin đăng nhập   hay bất kỳ thông báo lỗi nào có thể được tạo ra từ quá trình tấn công, ví dụ: một cuộc tấn công tràn bộ đệm thường sẽ để lại thông báo trong nhật ký hệ thống. Tiếp theo, sự chú ý được chuyển sang việc thực hiện các thay đổi để các lần đăng nhập sau này không bị ghi lại. Bằng cách thao tác và điều chỉnh nhật ký sự kiện, người quản trị hệ thống có thể tin tưởng rằng kết quả đầu ra của hệ thống của họ là chính xác và không có sự xâm nhập hoặc thỏa hiệp nào thực sự xảy ra.

Tại vì điều đầu tiên mà người quản trị hệ thống cần làm để theo dõi hoạt động bất thường, là kiểm tra các tệp nhật ký hệ thống, những kẻ xâm nhập thường sử dụng tiện ích để sửa đổi nhật ký hệ thống. Trong một số trường hợp cực đoan, rootkit có thể vô hiệu hóa hoàn toàn việc ghi nhật ký và hủy tất cả các nhật ký hiện có. Điều này xảy ra nếu những kẻ xâm nhập có ý định sử dụng hệ thống trong một thời gian dài hơn để làm bệ phóng cho các cuộc xâm nhập trong tương lai. Sau đó, họ sẽ chỉ xóa những phần nhật ký có thể tiết lộ sự hiện diện của chúng.

Những kẻ tấn công bắt buộc phải làm cho hệ thống giống như trước khi chúng có quyền truy cập và thiết lập các cửa hậu để chúng sử dụng. Bất kỳ tệp nào, đã được sửa đổi, cần phải được thay đổi trở lại các thuộc tính ban đầu của chúng. Thông tin được liệt kê, chẳng hạn như kích thước tệp và ngày tháng, chỉ là thông tin thuộc tính có trong tệp.

Trojan như ps hoặc netcat rất hữu ích cho bất kỳ kẻ tấn công nào muốn phá hủy bằng chứng từ các tệp nhật ký hoặc thay thế các tệp nhị phân hệ thống bằng cùng. Một khi các Trojan được thực hiện, kẻ tấn công có thể được coi là đã giành được toàn quyền kiểm soát hệ thống. Rootkit là các công cụ tự động được thiết kế để che giấu sự hiện diện của kẻ tấn công. Bằng cách thực thi tập lệnh, một loạt các tệp quan trọng được thay thế bằng các phiên bản bị trojan, ẩn kẻ tấn công một cách dễ dàng.

Other techniques include: Steganography and tunneling. Steganography is the process of hiding the data– for instance in images and sound files. Tunneling takes advantage of the transmission protocol by carrying one protocol over another. Even the extra space (e.g. unused bits) in the TCP and IP headers can be used for hiding information. An attacker can use the system as a cover to launch fresh attacks against other systems or use it as a means of reaching another system on the network without being detected. Thus, this phase of attack can turn into a new cycle of attack by using reconnaissance techniques all over again.

Các kỹ thuật khác bao gồm: Steganography và đào đường hầm tunneling. Steganography là quá trình ẩn dữ liệu – ví dụ như trong các tệp hình ảnh và âm thanh. Đường hầm hay tunneling tận dụng lợi thế của giao thức truyền bằng cách mang một giao thức này qua một giao thức khác. Ngay cả không gian thừa (ví dụ: các bit không sử dụng) trong tiêu đề TCP và IP có thể được sử dụng để ẩn thông tin. Kẻ tấn công có thể sử dụng hệ thống như một vỏ bọc để khởi động các cuộc tấn công mới chống lại các hệ thống khác hoặc sử dụng nó như một phương tiện để tiếp cận hệ thống khác trên mạng mà không bị phát hiện. Do đó, giai đoạn tấn công này có thể chuyển sang một chu kỳ tấn công mới bằng cách sử dụng lại các kỹ thuật trinh sát.

Kết luận : Trên đây là 5 giai đoạn tấn công mà các bạn cần tuân theo để đạt hiệu quả cao, ít sai sót cho dù là hacker hay pentester. Quy trình này được giới thiệu đầy đủ với các công cụ hay framework kèm theo trong chương trình CEH v12 của EC Council hay Pentest+ của CompTIA. Với EC-Council có có các khóa học chuyên về đối phó sự cố an toàn thông tin như ECIH hay truy tìm chứng cứ số CHFI. Nếu như các bạn là người mới thì nên học các chương trình nền tảng như Comptia Security + hay EC Council CND nhưng Security + là chứng chỉ Nghề có giá trị hơn, vì vậy lộ trình CompTIA Security + sau đó CEH/CHFI rồi đến CPENT / LPT là một lựa chọn được nhiều tổ chức ở Việt Nam triển khai, với cặp chứng chỉ CEH/CHFI được xem như là “phải có” trong các kế hoạch tăng lương, thưởng.

Bên cạnh đó, nếu các bạn muốn tỏa sáng rực rỡ thì hốt trọn “bộ tứ siêu đẳng” CompTIA Security + Pentest+ CySA+ và CASP+ ! Tôi tin chắc sự đầu tư này sẽ đem đến cho các bạn lợi nhuận gấp trăm lần chi phí đã bỏ ra, bởi vì đầu tư cho kiến thức hay đầu tư cho bản thân là khoảng đầu tư Không Bao Giờ Lỗ.

Tuy nhiên, để thi chứng chỉ CEH v12 các bạn cần thêm Phase6 hoặc là Phase 0 đó chính là Tarng bị bộ Dump chuẩn Exam của CertMaster CEH v12 sau đây

INFO SEC Learning Path : Lộ trình học bảo mật thông tin dành cho người mới bắt đầu với kiến thức cơ sở về máy tính và mạng gồm có (lưu ý mang tính chất tham khảo)

CompTIA Learning Path

#1 Comptia Security + 

# 2 CompTIA PenTest+

# 3 CompTIA CySA+

# 4CompTIA CASP+

EC Council Learning Path

# CND

# C|EH

# CEH Master

# CHFI

# CSA

# CPENT

# C|CSE

#CTIA

# ECIH

# LPT

# CISO

Lộ trình khuyến nghị từ CertMaster là CompTIA SECURITY + rồi đến CEH | CEH Master và CHFI , CND sau đó nâng cao với CPENT / LPT và chốt với CCISO. Trong thời gian hoàn thành lộ trình trên chúng ta có thể phân bổ thêm thời gian và nguồn lực để hoàn thành các nội dung của CompTIA PenTest +, CySA+ và CASP + là thành công. Bên cạnh đó nếu công việc cần ta có thể thu hoặc các chứng chỉ thiên về thực hành như  OSCP  hay eCCPT với CISA / CISSP dành cho những ai leo lên hay muốn lên vị trí quản lý về an toàn thông tin.

Biên soạn & Trình bày @ CertMaster Đông Dương

Dựa theo Tài liệu bổ trợ kiến thức của EC Council.

Ngày 29.10.22, Buôn Ma Thuột –  Một chiều mưa  !

Zalo OA CyberGuard (đang tư duy)

CyberShop https://certmaster.e-junkie.com/

Download PDF tại CyberSec Tele Group https://t.me/masteriscert