Mục tiêu của hacker là thâm nhập vào chưong trình ứng dụng hay 1 mục tiêu định sẵn. Hacker bắt đầu với rất ít hay gần như không có thông tin về mục tiêu tấn công , tuy nhiên, đến khi kết thúc việc phân tích, thì kẻ tấn công đã xây dựng nên một bản đồ đường đi chi tiết cho phép họ thâm nhập vào mục tiêu. Điều này chỉ có thể đạt được thông qua các lần phân tích cẩn thận và một cách tiếp cân có phương pháp để nghiên cứu về kẻ-sớm-là-nạn-nhân.
Phương pháp có hệ thống của hacker nhìn chung bao gồm 7 bước theo thứ tự sau :
1. Thực hiên một phép phân tích "dấu chân"
2. Liệt kê các thông tin
3. Đoạt quyền truy nhập hệ thống thông qua thao tác với tư cách người sử dụng
4. Leo thang các đặc quyền
5. Thu thập thêm các mật khẩu và các bí mật.
6. Tạo lập "cửa sau." (backdoor)
7. Đánh bung hệ thống.
Bài này sẽ trình bày cách hacker thưc hiên các công việc trong qúa trình xâm nhập các hệ thống , các mạng máy tính và làm hư hỏng các phần mềm ứng dụng;Với việc hiểu biết hơn về các phưong pháp thâm nhập của hacker , bạn có thể đánh bại họ ở trong cuộc chơi của chính họ.
Kẻ tấn công trước hết xác định các loại tên miền mà hắn thích khai thác. Sau đó hắn thực hiện một phép phân tích dấu chân của đối tượng để lấy thêm càng nhiều thông tin càng tốt thông qua các tài nguyên chia xẻ trên mạng có sẵn. Việc phân tích dấu chân sẽ cho hacker biết rằng quy mô của đối tượng ở mức độ nào, tồn tại bao nhiêu lối thâm nhập tiềm năng và những cơ chế bảo mật nào, có thể cản trở cuộc tấn công. Trong suốt quá trình phân tích hacker cố gắng khám phá tất cả các thông tin hứa hẹn liên quan mà chúng có thể hữu ích cho cuộc tấn công .Những thông tin đó bao gồm:
• Tên công ty
• Tên miền
• Các chi nhánh của Công ty (công ty con)
• Giao thức mạng Internet
• Số điện thoại
Các hacker để ý đặc biệt đến các lối thâm nhập tiềm năng mà chúng đựoc dùng để né tránh “cửa trước”( cửa chính ). Ví dụ như thay vì hì hục vượt qua firewall của một công ty mẹ thì kẻ tấn công lại khởi đầu tấn công vào 1 công ty thành viên (fụ thuộc công ty mẹ ) và sau đó cố gắng vượt qua hàng rào an ninh yếu kém ở công ty nhỏ hơn này ,vốn cung cấp 1 quyền truy cập không nghiêm ngặt ,để rồi có thể thâm nhập vào đối tượng lớn hơn(công ty mẹ).
Các chương trình quét cổng cũng được dùng để xác định xem host nào đang hoạt động ở trên Internet, các cổng TCP và UDP trên từng host đang ở trạng thái chờ mở(listening), và hệ điều hành nào cài trên mỗi host.
Các chương trình dò đường kết nối được sử dụng để giúp hacker xác định xem mối liên hệ của từng host này với các host khác và để xác định xem các cơ cấu bảo mật tiềm năng hiện diện giữa mục tiêu tấn công và người tấn công(hacker).
Sau khi đã quét cổng và dò đường kết nối xong rồi, các hacker tạo một bản đồ mạng miêu tả những hiểu biết của họ về dấu vết nhận diện trên Internet của đối tượng. Bản đồ này sau đó được dùng cho giai đoạn thứ hai của cuộc tấn công: Liệt kê các thông tin.
Đồ nghề thường dùng
.Nslookup là tiện ích dùng lệnh có sẵn ở trong Windows NT 4.0, Windows 2k, và Windows XP, có thể dùng để truy vấn hệ thống tên miền DNS và các vùng thay đổi.
Tracert là tiện ích dùng lệnh sử dụng cho các hacker tạo ra bản đồ mạng về sự hiện diện của đối tượng trong mạng.
SamSpade Giao diện của trang Web SamSpade.org cho phép thực hiện tra cứu Whois, tìm sự chuyển dịch hệ thống tên miền DNS, và dò tìm đường kết nối .
Nmap Chương trình quét các cổng dùng hê Unix.
ScanLine Chương trình quét các cổng chuẩn dùng hệ Windows NT.
Những điều để cân nhắc
Hãy xem việc sử dụng chính những phương pháp mà các hacker dùng để xét đoán một chương trình ứng dụng mà họ đang cố gắng đột nhập vào. Các câu hỏi mà bạn sẽ tự hỏi mình về các c/t ứng dụng do bạn thiết kế , bao gồm :
• Dấu vết hiện diện của các ứng dụng của bạn trong hệ điều hành là gì?
• Loại mã tưong quan nào mà c/t ứng dụng của bạn đã dựa vào? Nếu ứng dụng tương quan bị hack thì liệu điều đó có giúp cho các kẻ tấn công hack đựoc vào trong c/t ứng dụng của bạn không?
• Những thông tin nào mà c/t ứng dụng hay hệ thống sẽ thể hiện cho người sử dụng chưa được cấp quyền truy nhập lưu ý ??
• Cổng chờ mở (listening )nào mà phần mềm của bạn kich mở trong hệ thống? Liệu các gói tin định dạng xấu hay các cuộc tấn công gây ngâp lụt (flood attack) có làm
dừng các dịch vụ, chiếm hết dung lượng bộ nhớ , hay làm giảm thiểu chu kỳ hoạt động của CPU hay không ??
• Có các tường lửa hay cơ cấu ngăn chặn kích hoạt ứng dụng , dùng để ngăn chặn các người dùng không đựoc ủy quyền có thể xâm nhập vào h/t thông qua cửa chính hay không ??
Liệt kê thông tin
.Sau khi các hacker đã thực hiện phân tích "dấu chân "và tạo ra một bản đồ gần giồng với kiến thức của họ về mạng của đối tượng, họ thu thập càng nhiều dữ liệu càng tốt về từ hệ thống của đối tượng.
Web, FTP, và mail server version . Các hacker sẽ cố gắng xác định phiên bản nào của Web server, FTP server, hay mail server đang chạy bằng cách kết nối tới cổng TCP và UDP đang chờ mở và gửi dữ liệu ngẫu nhiên tới từng cổng hay server một. Có rất nhiều service trong server nói trên trả lời những dữ liệu ngẫu nhiên thăm dò này , bằng một banner data , cho phép xác định c/t ứng dụng đang chạy và các thông tin tin cậy về phiên bản . C ác hacker sẽ dùng các cơsở dữ liệu về các lỗ hổng bảo mật như của Securityfocus để kiểm tra chéo các thông tin này nhằm tìm ra những lỗi có thể khai thác được.
Những thông tin nhạy cảm. Nếu các hacker giao tiếp với những cổng nào đó ở trên host( ví dụ như cổng TCP 139 hay 445), họ sẽ nặc danh liệt kê các thông tin nhậy cảm từ hệ thống bao gồm:
• Tên người sử dụng (user name).
• Lân cuối cùng đăng nhập vao hệ thống
• Ngày thay đổi password
• Nhóm thành viên
Các hacker có thể sử dụng các thông tin có được từ truy vấn nói trên để thưc hiên 1 cuộc tấn công " ép dò mật khẩu " (brute force ) nhằm đoạt quyền truy cập hệ thống như một người sử dụng đưọc ủy quyền. Ví dụ, hacker sẽ liệt kê các thành viên ở trong nhóm quản trị cục bộ, tìm kiếm các tên người sử dụng như các TEST hay BACKUP có thể dễ dàng đoán được mật khẩu của họ.
Đồ nghề thường dùng
Netcat (đã có trong danh sách tiện ích mạng) Đây là "lưõi dao quân Thụy sĩ "của các hacker . Sử dụng nó để biết các banner , quét cổng và các công việc nữa.
Epdump/Rpcdump Các công cụ để kích hoạt từ xa các service của các c/t ứng dụng trên một server
Getmac ( nằm trong Windows NT resource kit) Lệnh của Windows NT để lấy địa chỉ MAC ở trong mạng Ethernet và tạo lênh kết nối tới một máy tính chạy Windows NT 4.0, Windows 2000, hay Windows XP.
DumpSec Chương trình kiểm tra bảo mật cho các hệ thống chạy Windows NT. Nó sẽ liệt kê các chi tiết về người sử dụng và nhóm sử dụng trong hệ thống đã chọn. Đây là công cụ liệt kê và kiểm tra mà 5 công ty kiểm toán lớn trên thế giới(PricewaterhouseCoopers, Ernst & Young, KPMG, Athur Andersen, and Deloitte & Touche) và các hacker đã lựa chọn
Các SDK . Rất nhiều bộ phát triển phần mềm(SDK) cung cấp cho các hacker các công cụ cơ bản mà họ cần để hiểu thêm về hệ thống.
Những điều để cân nhắc
• Loại thông tin nào có thể có được từ các cổng chờ mở (listening)? Mức độ cho phép cần thiết để liệt kê các thông tin này?
• Liệu có chỗ nào ghi lại xem ai đã liệt kê các thông tin này?
• Liệu có tiềm ẩn trong hệ thống khảnăng gíup cho người sử dụng không đưọc ủy quyền có thể xem các dữliệu bảo mật nhạy cảm hay các thông tin xác định cá nhân (PII) mà việc đó có thể làm tổn hại tới lợi ích cá nhân không?
• Loại banner thông tin gi mà c/t ứng ụng cung cấp cho người sử dụng? Điều đó có thể cần loại bỏ hay thay đổi bởi người quản trị hệ thống hay không?
Đoạt quyền truy cập thông qua thao tác của người sử dụng
Sau khi các hacker đã kiếm đủ các thông tin cơ bản về đối tượng của họ rồi thì họ sẽ tiếp cận để đoạt quyền truy cập tới hệ thống của đối tượng bằng cách giả dạng thành người dùng có quyền. Điều đó có nghĩa rằng họ cần một password cho một người dùng mà họ đã phát hiện ra thông qua các bước một và bước hai ở trên. Có hai cách thông thưòng nhất để có được mật khẩu: bằng cách sử dụng " kĩ năng xã hội "(social engineering )hay bằng tấn công " ép dò mât khẩu "(brute force )
Điều ngạc nhiên là một nhân viên tin cậy (của Công ty ) sẽ làm gíup (những việc cần thiết ) cho một ai đó nghe có vẻ như là có quyền thế lắm. Một vài hacker sẽ lấy thông tin mà họ cần ,từ việc đãng kí tên miền hoặc từ trang web của công ty và trực tiếp liên lạc với 1 nhân viên công ty bằng điện thoại.
Bằng một mẹo nhỏ nào đó, họ có thể làm cho nhân viên đó để lộ ra mật khẩu của mình mà không gặp phải bất cứ nghi ngại nào Cuộc nói chuyên của họ na ná như sau:
"Đây là nhóm trợ giúp và chúng tôi đang gỡ rối các khu vực trong các mạng khác nhau. Tôi đang kiểm tra ở trong khu vực mạng của bạn, và chúng tôi muốn theo dõi mạng mà bạn đánh mật khẩu của mình.Xin bạn nói rõ từngký tự của mật khẩu để chúng tôi theo rõi và chắc chắn rằng sẽ thấy chúng trên mạng."
hoặc là có thể như sau:
"Chúng tôi đã hoàn tất công việc kiểm tra mật khẩu của bạn và thấy rằng nó không an toàn. Vui lòng thay đổi mật khẩu của bạn thành“xYzA1G24#… để nó sẽ ít bị bể khoá trong tương lại."
Tấn công bằng cách "ép dò mật khẩu'
Nếu như kỹ năng xã hội không được hoặc không phải là sự lựa chọn thì sẽ có cách tiếp cận thứ hai đó là "ép dòmật khẩu . Các kiểu tấn công này có thể được tiến hành để chống lại các c/t ứng dụng hay dịch vụ chỉ chấp nhận người sử dụng được ủy quyền . Chúng( cáccuộc tấn công ép do mật khẩu )bao gồm các loại sau: (nhưng tất cả không chỉ có những loại này ):
• Hệ thống vào/ra cơ sở mạng (NetBIOS: Network basic input/output) qua giao thức TCP(TCP 139)
• Direct Host(TCP 445)
• Lightweight Directory Access Protocol (LDAP), (TCP 389).
• FTP(TCP 21)
• Telnet(TCP 23)
• Simple Network Management Protocol(SNMP), (UDP 161)
• Point-to-Point Tunneling Protocol (PPTP),(TCP 1723)
• Terminal Service(TCP 3389)
Nếu như hacker có thể liên lạc với các dịch vụ nói trên thì hắn sẽ dùng các tên của người sử dụng(user name) lấy đưọc ở các bước trước đem ra để thử tấn công "ép dò mật khẩu ". Tiện ích " ép dò mật khẩu " chứa các bản tin "Tự điển mật khẩu" trong đó có thể có mật khẩu củangười sử dụng . Mỗi một từ trong từ điển(hay của các phiên bản khác ) được coi là một mật khẩu tiềm năng và được thử từng cặp với tên người sử dụng cho tới khi thâm nhập đưọc vào mục tiêu
Các cài đạt tiêu biểu của Windows NT 4.0, Windows 2000, và Windows XP sẽ cản trở kiểu tấn công này do ở trưòng hợp mặc định việc kiểm tra đăng nhập đưọc hay không thực hiện đưọc .Trừ phi các mật khẩu phức hợp được sử dụng cho mỗi user account, một cuộc tấn công dùng mật khẩu kiểu từ điển có thể hoàn toàn thành công với các host đang giám sát.
Để che đậy danh tính của mình, các hacker sẽ cố gắng tránh sự phát hiện ,thậm chí ngay cả khi việc đăng nhập logon thành công.. Với cách đặt tên máy tính bằng cách dùng các kí tự ASCII – là loại không thể in được ; tên máy tính của họ sẽ không hiên lên trong bảng theo rõi qúa trình đăng nhập
Công cụ phổ biến
.Công cụ ( tiện ích )kiểm tra NetBIOS . Công cụ “ép dò mật khẩu “ ( Brute Force )
Những điều cân nhắc
• Liệu việc kiểm tra đăng nhập vào hệ thống ở chế độ mặc định có thành công được không?
• Liệu có các cơ cấu bên cạnh ( hỗ trợ ) server mà bạn có thể sử dụng để làm chậm lại hay vô hiệu hoá tấn công “ ép dò mật khẩu “ được không?
• Liệu bạn có thể dò đưọc dấu vết nguồn gốc khởi phát các cuộc tấn công “ép kiểm mật khẩu “không? Loại thông tin liên quan đến vi trí (đia lý ) nào bạn có thể có được?
.Tên DNS hay địa chỉ IP?Tên máy tính? Địa chỉ của gateway hay địa chỉ của host cụ thể nào đó?
• Liệu các ngưòi có tài khoản ở mức người sử dụng có thể chỉnh sửa trạng thái bảo mật áp dụng cho các dịch vụ để họ có thể đưa vào hệ thống các trojan như là họ đang có 1 đăc quyền làm như vậy trong hệ thống hay không ?
• Liệu có môt file nào đó mà ngưòi sử dụng có thể ghi đè lên , như là họ đang chạy các dịch vụ vớí môt đặc quyền cao hơn hay không ?
Thu thập thêm các mật khẩu và bí mật khác
Điều đầu tiên mà các hacker làm sau khi đã đột nhập vào hệ thống bằng với tư cách như là của người quản trị là lấy các file chưa mật khẩu. Các hacker có thể sử dụng
các công cụ như Pwdump2 để lấy các mật khẩu băm từ cơ sở dữ liệu quản lí bảo mật các tài khoản(SAM) cục bộ hay các Active Directory ở chưong trình kiểm soát tên miền. Các mật khẩu băm có thể được đưa vào các chưong trình như John the Ripper hay LC3 và bị bẻ khóa .
Như một người quản trị, các hacker có thể lấy các mật khẩu bằng văn bản từ nơi đảm bảo quyền truy cập cục bộ(LSA). Đăc biệt là, các mật khẩu dùng để khởI đông các dịch vụ đã được lưu trữ (các mật khẩu này đã đưoc ngụy trang và mã hoá) ở trong LSA. Sử dụng các công cụ như Lsadump2, mọi mật khẩu dạng văn bản của các tài khoản dụng để khởI động các dịch vụ tương ứng có thể được liệt kê.hết ra .
Dù cho điều nói trên có thể chưa đưọc coi là một sự nguy hiểm nếu như các tài khoản dùng để khởI động các dịch vụ chỉ thuộc về các thành viên ban quản trị của hệ thống cục bộ nà y (hay tài khoản ấy có quyền truy cập thấp hơn), nhưng một sự đe doạ lớn hơn có thể xuât hiện nếu như tài khoản được dùng để khỏI động các ứng dụng lạị thuộc về một thành viên quản trị của cả miền đó(hay miền cao cấp hơn). Ở trong tình huống xấu nhất, hacker(với tư cách là một người quản trị hệ thống cục bộ) sẽ có thể lấy được mật khẩu dạng văn bản của một tài khoản đăng nhâp vào trong môt miền ( khu vực )mà họ chưa từng hack vào .
Sau khi các mật khẩu của hệ thống cục bộ và mât khẩu đầy hứa hẹncủa một miền đã lấy được, hacker sẽ tham khảo chéo các mối kết hợp tên người sử dụng/mật khẩu mà họ đã có được với các tên người sử dụng mà họ đã liệt kê đươc từ các hệ thống khác trong giai đoạn liệt kê trên đây . Nếu như có đủ thời gian hay sự may mắn cần thiết Hacker có thể truy cập tới tất cả các máy tính ở trong mạng bằng quyền của người quản trị, trong khi khởI đầu họ chỉ thâm nhập vào đưọc mỗI môt máy tính .
Các công cụ phổ biến
Pwdump2 Công cụ để có thể có được mật khẩu băm từ cơ sở dữ liệu SAM hay Active Directory.
Lsadump2 Công cụ chuyển nội dung của LSA ra dạng văn bản.
LC3 Công cụ kiểm mật khẩu để đánh gía các mật khẩu băm của Windows NT, Windows 2000, Windows XP.
John the Ripper Công cụ bẻ mật khẩu cho nhiều hệ điều hành.
Những điều cân nhắc
• Liệu các file ghi lại qúa trình (logs) có thể được tạo ra khi các file chứa mật khẩu bị truy cập không?
• Liệu các các file ghi lại qúa trình (logs) có thể được tạo ra khi người quản trị cố gắng chèn thêm các đoạn mã đôc vào các qúa trì nh của hê thông nhằm cố gắng truy cập tới các dữ liệu mật khẩu hay không ?
• Liệu các mật khẩu được lưu trữ ở trong hệ thống có cái nào dùng cho 1 tài khoản nào đó có mức quyền truy cập cao hơn sovới các tài khoản của người quản trị cục bộ hay không?
• Liệu có các mật khẩu của các tài khoản cho mức quản trị viên ( hoặc tương đương ) ở hệ thống này( hê thống đang bị thâm nhập ) có giống với mật khẩu của các tài khoản cho quản trị viên ở các hệ thống khác không?
• Liệu những người sử dụng được khuyến khích chọn các mật khẩu phức tạp không?
Tạo lập "cửa sau " ( "Back door")
Trong trường hợp các hacker bị phát hiện và cần phải nhanh chóng rời khỏi máy tính ngay, họ thường tạo lập một cửa sau ở trong mỗi hệ thống họ đã đột nhập. Cửa sau có thể có nhiều dạng nhưng chung nhất vẫn là một cổng chờ mở (listening) ở trong hệ thống mà nó sẽ cho phép hacker truy cập vào hệ thống từ xa(có hay không có sự uỷ nhiệm đặc biệt)
Tường lửa hoặc việc lọc trên router sẽ ngăn cản hacker truy cập qua các cổng này lần sau,tuy nhiên, các bộ lọc tuyến (router) có thể không thể ngăn cản đưọc việc thâm nhập qua các cổng TCP có số cao ( hay bất cứ cổng UDP nào) hoặc lại có thể cho phép thâm nhập qua (cửa sau )nếu dữ liệu nguồn đưọc khởi phát từ các cổng riêng biệt (của máy Hacker ), như cổng TCP 20, 53, hay 8. Nếu bộ lọc tuyến mạnh hay có tường lửa đưọc cài đặt , có thể cần một cửa sau phức hơp hơn.
Một dạng cửa sau phức hợp tham gia vào qúa trình reverse trafficking ( tạo tuyến lưu thông đảo ngưọc ). Reverse trafficking cho phép kẻ tấn công đi vòng qua các cơ cấu bảo mật. Trong khi các bộ định tuyến và tường lửa có thể ngăn cản các gói tin không mong muốn vào mạng từ phía bên ngoài, thì nó lại như có vẻ phù hợp với việc các
người sử dụng máy client ở trong tường lửa được phép từ một cổng xác định (trên máy client) mở môt kết nối tới bất cư host nào ở bên ngoài. Một con trojan thuộc loại này sẽ có thể định kì liên lạc thưòng xuyên với máy tính của hacker qua cổng 80. Máy khách(client) sẽ “đẩy” các shell điều khiển hệ thống cho hacker ,do đó mà hacker sau đó có thể chạy các mã trên máy tính đã được “bảo vệ” này.
Một ví dụ về reverse trafficking là sâu Code Red. Code Red sẽ ra lệnh cho các Web server chưa vá lỗi (qua cổng TCP 80) để kích hoạt môt liên kết theo giao thức TFTP từ server tới một host trên Internet, nơi mà sau này bị gửI đến đoạn mã phá hoại. Việc khởi tạo kết nốI tởi Web server thông qua cổng 80 là hoàn toàn hợp lê (và sẽ thậm chí vượt được qua cả tường lửa). Trong hầu hết các trường hợp ,tường lửa và bộ định tuyến sẽ cho phép Web server khởi tạo một kết nối TFTP(UDP 69) tới máy của hacker trên Internet.
Có rất ít lí do hợp lí( dù cho là có l ý do ) để làm Web server phải khởi tạo một kết nối TFTP hay SMB tới bất kỳ một host nào ở trên Internet. Tường lửa và các bộ định tuyến sẽ phải được cấu hình để ngăn chặn các gói tin không yêu cấu từ trong Web hay mail server đi ra ngoài mạng tới các máy không mấy tin cậy ở trên Internet.
Công cụ phổ biến
Netcat (đã liệt kê ở các công cụ tiện ích mạng) Đây là con dao găm của các hacker Thuỵ sỹ. Có thể dùng để chuyển các shell tới các hệ thống ở xa.
Những điều suy nghĩ
• Liệu hệ thống hay các chương trình ứng dụng (cài trong hê thông )có một cơ cấu nào để phát hiện các mã trojan có thể đang chạy trên hệ thống hay không ?
• Liệu hệ thống có thể phát hiện ra các cơ cấu hay dịch vụ mà kẻ tấn công đã tạo ra hay không ?
• Liệu có cơ sở nhận biết nào vê các cổng chờ mở , các dịch vụ và cơ cấu mà hệ thống có thể giám sát , giúp cho việc xác định nếu như một đoạn mã phá hoại đã được kích hoạt hay không?
• Liệu có các thiết bị bảo mật(tường lửa, bộ định tuyến) đả được cấu hình để ngăn chặn vi ệc chuyển các thông tin không yêu cầu ra ngoài mạng ,bắt nguồn từ mỗi host hay không?
Đánh bung hệ thống
Chuyển đổi cổng để lừa được các thiết bị bảo mật truyền thống, các hacker sẽ tạo ra sự chuyển đổi cổng ở trong host đã bị xâm nhập đầu tiên, các host này sẽ tự động chuyển tất cả các thông tin trao đổi hướng đến các host khác cùng trong mạng . Việc chuyển đổi cổng có thê giúp đưa nguồn thôngtin trao đổi đi vòng qua các bộ lọc
cổng, bộ định tuyến, tường lửa, và thậm chí có thể được mã hoá để vươt qua dãy lớp cổng bảo mật(SSL) nhằm tránh bị các thiết bị phát hiên xâm nhập.phát hiện .
Khi việc chuyển đổi cổng được áp dụng cho các gói tin lưu chuyển giữa máy của hacker và hệ thống đích, việc định danh chính xác hacker về căn bản đã bị “xoá sạch”.
Nếu như hệ thống đích có thề kiểm soát viểc logon không thành công, hay đang chạy một hệ thông thứ ba phát hiện xâm nhập , nó sẽ chỉ ghi lại đựoc địa chỉ IP hay tên máy tính cùa host đang thực hiện việc chuyển đổi cổng, chứ không phải là của máy hacker. Điều đó sẽ làm cho viêc dịnh danh hacker trở thành rất khó khăn . Bởi vì mọi kết nối thông tin đi đến hoặc đi ra từ máy mục tiêu tới máy proxy bởi hacker dưòng như là hợp lệ , do hacker đã áp dụng việc chuyển đổi cổng (port redirector).
Hack các hệ thống khác: sau khi hacker đã hoàn toàn hack xong hệ thống cục bộ, gài các cửa sau và thưc hiên việc chuyển đổi cổng, cũng như đã lấy tất cả các thông tin có thể cho mình, họ sẽ tiến hành hack các hệ thống khác trong mạng. Rất phổ biến trưòng hợp các dịch vụ phù hợp các tàì khoản của người quản trị, hay tài khoản hỗ trợ nằm ở trong mỗi hệ thống, nhờ đó mà những kẻ tấn công có thể thâm nhập vào mỗi hệ thống trong một thời gian ngắn Khi từng hệ thống mới bị hack, kẻ tấn công sẽ thi hành các bước chính như mô tả ở trên để tìm thêm các hệ thống khác và thu thập các thông tin mật khẩu..
Kẻ tấn công tiếp tục lấy các thông tin ở trong mỗi hệ thống cho tới khi hắn tìm được mật khẩu cho mỗi tài khoản của các hệ thống có giá trị hơn ( quan trọng hơn ) kể cả:
hệ thống thanh toán trên mạng , kiểm soát tên miền gốc, và các Web server. Qúa trình quét và khai thác các hệ thống theo cách này thường có thể là tự động, để các hacker có một chút thời gian nghỉ ngơi hay cho phép họ tập trung chú ý tới các khu vức khác trong công ty mục tiêu .( công ty đang thâm nhập )
Rất khó phát hiện loại hoạt động này , bởi vì kẻ tấn công thường hoạt động dưới tài khoản họp lệ của người quản trị. Trừ phi kẻ tấn công bị tóm trước khi họ đoạt được quyền truy cập hệ thống của quản trị viên , thì gần như không thể buộc họ ra khỏi mạng được.
Công cụ tiên ich (sử dụng ).
Fpipe Một chương trình chuyển đổi cổng cho các hệ điều hành Windows. Cho phép xác định cổng nguồn dung cho việc chuyển đổ kết nối .
Nhưng điều suy nghĩ
• Liệu trong hệ thống có bố trí các qúa trình giúp giám sát các qúa trình diễn biến trong hệ thống (log ) xuyên suốt qua nhiều máy tính và giúp tìm các mối tương quan trong trình tự cuộc tấn công để khuyến cáo (cho ngưòi quản lý hệ thống ) về môt cuôc thâm nhập đưoc tiến hành 1 cách tư động đang diễn ra trong hệ thống hay không ?
• Liệu danh sách các nhóm thành viên có đưọc xem xét lại thường xuyên để chắc chắn rằng một “tài khoản hacker” mới vẫn chưa được chèn thêm vào nhóm quản trị mạng hay không?
Tài liệu tham khảo
Microsoft Security Web site Public Web site with links to security bulletins and product security information.
Hacking Exposed: Network Security Secrets and Solutions, Third Edition Stuart McClure, Joel Scambray, and George Kurtz take a comprehensive look at hacker methodologies across multiple platforms and devices.
Hacking Exposed Windows 2000: Network Security Secrets and Solutions Scambray and McClure detail hacker techniques specific to Microsoft platforms.
