Mô phỏng tấn công các thiết bị Internet of Things

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Mô phỏng tấn công các thiết bị Internet of Things
1. Cảnh báo tấn công vào các thiết bị IoT

Các chuyên gia nghiên cứu bảo mật từng cảnh báo nhiều năm trước rằng sự bảo mật kém của thiết bị IoT có thể gây ra hậu quả nghiêm trọng. Và bây giờ thì những cảnh báo đó đang dần trở thành sự thật với hàng loạt botnet (mạng những máy tính nhiễm độc) được tạo thành từ các thiết bị IoT bị tổn hại, có khả năng mở đầu cho các cuộc tấn công từ chối dịch vụ (DDoS) với quy mô lớn chưa từng có.

iot.jpg























Mới đây, ông Octave Klaba, sáng lập viên kiêm Giám đốc công nghệ (CTO) của công ty cung cấp hosting OVH (Pháp), tuần trước gióng lên hồi chuông báo động trên Twitter khi OVH phải hứng chịu đồng thời 2 đợt tấn công DDoS, khiến băng thông kết hợp đạt đến gần 1 Tbps (terabit mỗi giây).Trong đó, một cuộc tấn công đạt "đỉnh" 799 Gbps, thông số được ghi nhận là lớn nhất từ trước tới nay.Theo ông Klaba, cuộc tấn công nhắm vào các máy chủ lưu trữ Minecraft trên dịch vụ mạng của OVH, và nguồn gốc của lưu lượng truy cập (traffic) rác là 1 botnet tạo thành từ khoảng 145.607 thiết bị ghi hình kỹ thuật số (DVR) và IP camera bị điều khiển.

Hơn thế nữa, ông Klaba còn cảnh báo với khả năng tạo ra lưu lượng truy cập từ 1-30 Mbps từ từng địa chỉ IP, thì botnet nói trên có thể mở đầu các cuộc tấn công DDoS vượt ngưỡng 1,5 Tbps.

Được biết, ngay trước vụ OVH bị botnet tấn công, trang blog cá nhân krebsonsecurity.com của nhà báo công nghệ Brian Krebs là mục tiêu của một cuộc tấn công DDoS kỷ lục đạt ngưỡng 620 Gbps vào ngày 20/9/2016.

Cuộc tấn công gây ảnh hưởng mạnh đến nỗi khiến nhà cung cấp dịch vụ bảo mật Akamai phải hạ trang web này trong nhiều ngày. Theo ông Krebs thì đây là cuộc tấn công có quy mô lớn gần gấp đôi so với cuộc tấn công lớn nhất mà Akamai từng gặp trước kia và có khả năng gây thiệt hại hàng triệu USD nếu tái diễn.

Trong một bài viết sau khi blog hoạt động trở lại, ông Krebs nói rằng có dấu hiệu cho thấy cuộc tấn công có sự giúp sức của một botnet đã làm chủ một số lượng lớn các thiết bị IoT như bộ định tuyến (router), IP camera và DVR. Các thiết bị này kết nối với Internet nhưng chỉ được bảo vệ bằng mật khẩu mã hóa cứng (hard-coded password) hoặc mật khẩu yếu.(Theo ICTnews)
2. Tìm kiếm, tấn công vào các thiết bị Router, Camera
Việc đầu tiên trước khi muốn tấn công, chúng ta phải tiến hành tìm kiếm các thiết bị có kết nối Internet. Trong trường hợp này mình sử dụng Shodan.io, nó sẽ tìm kiếm tất cả các thiết bị có kết nối Internet từ Router, Webcam, Server,……Shodan có thể hiển thị chi tiết các kết quả như lọc theo nhà sản xuất thiết bị, quốc gia, hệ điều hành,…

3.Tấn công vào Camera
1489939953image001.png






















Sau khi tiến hành search với từ khóa “D-Link Internet Camera” thì mình vào thử vài thiết bị với kết quả thật bất ngờ….
1489939953image002.png






















Các bạn sẽ vào thẳng mà không cần phải qua bất kì một bước xác thực nào.
1489939953image003.png






















Ta có thể vào phần setting, xem cấu hình, ip , độ phân giải, chụp hình, tất cả mọi thứ, thậm chí chỉnh camera quay theo ý mình muốn .
Trở lại tìm các thiết bị khác mình phát hiện ở Việt Nam hay dùng loại Vivotek, cũng không hề dùng mật khẩu để xác thực. Mình đã vào được một tiệm sửa xe tại Hà Nội và quan sát các nhân viên ở đây làm việc.
1489939953image004.jpg





















Dĩ nhiên giống với camera trước, mình có thể toàn quyền điều khiển camera này.
1489939953image005.jpg


















Phần mật khẩu và passwođ mặc định đã bị để trống, tạo điều kiện cho kẻ xấu có thể tự do điều khiển
Tiếp tục tìm và tiến hành với Camera đã bị cài mật khẩu, với form đăng nhập như hình
1489939953image006.png






















mình dùng kiểu tấn công bruteforce mật khẩu với bộ từ điển “rockyou” phổ biển với tên đăng nhập mặc định là “admin”
1489939953image007.png






















Dùng mật khẩu vừa tìm được đăng nhập vào.
1489939953image008.png






















Tada...a..a đã truy cập vào, có vẻ như là một xưởng sửa các thiết bị điện tử.
1489939953image009.png






















Tiếp tục vào những chức năng khác để xem các thông số và cấu hình của thiết bị.

Các bạn có thể hình dung, nếu như một vụ án xảy ra, và kẻ phạm tội biết chút về công nghệ, thì hắn có thể vào đây, thay đổi các thông số, như ngày giờ (rất quan trọng trong việc điều tra phá án), đường dẫn lưu file, mật khẩu đăng nhập thì khi công an muốn điều tra ngay lập tức sẽ gặp trở ngại, khó khăn.

4.Tấn công vào Router

Việc tấn công vào các thiết bị Router cũng tương tự như tấn công vào các thiết bị webcam ở trên.
Mình dùng từ khóa “Mathopd/1.5p6”
1489939953image010.png






















Trước khi tiến hành tấn công, mình thường thử với những mật khẩu đơn giản như admin:[bỏ trống], admin:admin, admin: password
1489939953image011.png






















Đúng như mình dự đoàn, thiết bị này ko thay đổi mật khẩu mặc định, mình đã login vào với user là admin:[bỏ trống]. Nếu như sau khi đoán vài lần không thành công mình sẽ bruteforce với hydra như đã thực hiện ở tấn công webcam
1489939953image012.png






















Tiếp theo mình tấn công với thiết bị D-Link DIR 615, để thay đổi cách khai thác lỗi, ở thiết bị này mình tấn công vào lỗi của nhà sản xuất
1489939953image013.png
















Mình phát hiện thấy Router D-Link DIR 615 này dính CVE có thể tấn công được
1489939953image014.png


Trang github hướng dẫn cách tấn công​
1489939953image015.png






















Sau khi tấn công, ta có thể thấy được con Router này ngoài dùng tên đăng nhập mặc định là “admin”:[mật khẩu bỏ trống] còn có tên “Management”:[TestingR2]
1489939953image016.png


Dùng cả 2 user này đều có thể đăng nhập được.​


Ngoài ra bạn có thể tham khảo Hướng Dẫn Khai Thác Backdoor trên Thiết Bị TP-Link710N









5. Kẻ xấu chiếm các thiết bị này dùng để làm gì?
Điều khiển thiết bị theo ý muốn
Khi kẻ xấu đã tấn công vào được bên trong các thiết bị IoT họ sẽ có thể cấu hình, điều chỉnh, làm sai lệch các thông số như ngày giờ, chuyển hướng truy cập DNS,…..

Thực hiện tấn công DDOS bằng botnet
BotNet có rất nhiều loại và tên gọi khác nhau tuy theo người lập trình ra nó vì thế nói về BotNet là 1 phạm trù rộng.
Nhưng đa phần chúng có cấu trúc gần như tương tự nhau: gồm có 1 nơi quản lý chính gọi đó là Control Panel có thể là Web Control Panel hoặc là Application Control Panel. Control Panel là nơi trung tâm điều khiển toàn bộ hành động của hệ thống botnet.
1489939953image017.jpg


Sau khi đã thêm thành công 10 Zombies vào mạng botnet​












1 Bot mang 1 code ddos gồm các kiểu tấn công cơ bản là UDP flood attack, Syn flood, Icmp floodattack... khi nhận được victim cần tấn công từ hacker các máy zom bị cài bot chỉ biết thức hiện theo lệnh và vô tình chúng đã góp phần đánh sập cả 1 hệ thống.

Source code để gọi Telnet thực hiện tấn công DDOS từ Router
Mã:
#!/usr/bin/expect
set timeout 20
set ip [lindex $argv 0]
spawn telnet $ip 23
expect "login: "
send "Management
"
expect "Password: "
send "TestingR2
"
expect "# "
send "cat /etc/ppp/chap-secrets
"
send "exit
"
interact
Thực hiện giả mạo DNS
Khi tấn công hệ thống DNS, attacker mong muốn thực hiện một số hành vi:
Lừa người sử dụng truy cập tới các website giả mạo do attacker lập ra bằng kĩ thuật Phishing giả mạo trang web để thực hiện các hành vi lừa đảo, ăn cắp mật khẩu, thông tin đăng nhập, cài cắm các phần mềm độc hại. Các thông tin này có thể vô cùng quan trọng: tài khoản ngân hàng, tài khoản quản trị, thẻ tín dụng,…..
Tăng traffic cho website: attacker chuyển hướng người dùng khi họ truy cập các website phổ biến về địa chỉ website mà attacker muốn tăng traffic. Mỗi khi người dùng truy cập một trong các website kia thì trả về địa chỉ IP website mà attacker mong muốn.
Gián đoạn dịch vụ: mục đích này nhằm ngăn chặn người dùng sử dụng một dịch vụ của một nhà cung cấp nào đó.
6. Ngăn chặn tấn công DDos từ các thiết bị IoT

Các bạn tham khảo tại bài viết của Mod linhnhd Thiết lập và bảo mật trên thiết bị Router(Moderm) an toàn tại nhà

Thay đổi mật khẩu đối với các thiết bị Camera
1489939953image020.jpg


Thiết bị MISP IPCAMERA​
1489939953image021.jpg



Thiết bị Vivotek​















Cập nhật Firmware mới cho thiết bị.

Tham khảo bài viết:
http://www.pcworld.com.vn/articles/c...-thiet-bi-iot/
https://whitehat.vn/threads/cve-201...min-tren-camera-chi-bang-mot-dong-lenh.10773/
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: khanh hoa
Đề nghị anh Béo lần sau làm che cái địa chỉ IP :3.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
krone;n62167 đã viết:
Đề nghị anh Béo lần sau làm che cái địa chỉ IP :3.

Cũng định che, mà thấy đây là demo nên mình để vậy cho thực tế :) :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Như này thì nguy hiểm quá, nhà mình không có cái camera thông minh nào, nhưng camera trên điện thoại và máy tính liệu có an toàn không hả bạn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
dangthaitrung;n62228 đã viết:
Như này thì nguy hiểm quá, nhà mình không có cái camera thông minh nào, nhưng camera trên điện thoại và máy tính liệu có an toàn không hả bạn?

Bạn có thể tham khảo tại bài viết của thành viên @whf về cách Bảo Mật Webcam Trên Máy Tính
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Như bạn Sugi_b3o đã nói ở trên, mạng botnet dùng để tấn công vào OVH, có tới 145.607 zoombies. Nếu dùng Shodan.io để quét thì phải truy cập, dò quét mật khẩu từng thiết bị, sau đó thay đổi cấu hình để biến nó thành Zoombie. Nếu làm vậy sẽ mất rất nhiều thời gian để có được 145.607 Zoombies.
Vậy có những cách nào để kẻ tấn công tập hợp được mạng Botnet trên?
Mong mọi người cho ý kiến thảo luận
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung;n62238 đã viết:
Như bạn Sugi_b3o đã nói ở trên, mạng botnet dùng để tấn công vào OVH, có tới 145.607 zoombies. Nếu dùng Shodan.io để quét thì phải truy cập, dò quét mật khẩu từng thiết bị, sau đó thay đổi cấu hình để biến nó thành Zoombie. Nếu làm vậy sẽ mất rất nhiều thời gian để có được 145.607 Zoombies.
Vậy có những cách nào để kẻ tấn công tập hợp được mạng Botnet trên?
Mong mọi người cho ý kiến thảo luận

Chuẩn bị lâu, tấn công thì nhanh lắm anh ơi.

Như đợt con Murai, Việt Nam đứng thứ nhất trong các thiết bị tham gia vào botnet (12,8%), nó sẽ log vào các thiết bị với một danh sách tài khoản, mật khẩu có sẵn và lây nhiễm thiết bị ấy, đợi nhận lệnh tấn công.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung;n62238 đã viết:
Như bạn Sugi_b3o đã nói ở trên, mạng botnet dùng để tấn công vào OVH, có tới 145.607 zoombies. Nếu dùng Shodan.io để quét thì phải truy cập, dò quét mật khẩu từng thiết bị, sau đó thay đổi cấu hình để biến nó thành Zoombie. Nếu làm vậy sẽ mất rất nhiều thời gian để có được 145.607 Zoombies.
Vậy có những cách nào để kẻ tấn công tập hợp được mạng Botnet trên?
Mong mọi người cho ý kiến thảo luận

Theo e tất cả các bước trên là một "chi tiết nhỏ" trong bức tranh tổng thể để xây dựng lên Mirai botnet.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sugi_b3o;n62251 đã viết:
Theo e tất cả các bước trên là một "chi tiết nhỏ" trong bức tranh tổng thể để xây dựng lên Mirai botnet.


Thêm thông tin cho bức tranh "to" lên đi Mod ơi!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung;n62281 đã viết:
Thêm thông tin cho bức tranh "to" lên đi Mod ơi!

Sắp đến e sẽ cố gắng ra mắt 1 bài phân tích về Mirai botnet ạ :))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
hoangnghiaac mình có để 1 lệnh telnet demo đó bạn, bạn có thể tham khảo source Mirai thực hiện lệnh telnet tại đây.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên