PNThai88
Wh------
-
12/05/2014
-
1
-
30 bài viết
Tấn công chiến thuật giả định vào Bộ giáo dục và đào tạo, bạn sẽ giải quyết thế nào ?
Mô phỏng giả định tin tặc tấn công giả định vào bộ giáo dục và đào tạo đánh cắp đề thi đại học 2014.
Kỹ thuật:
- Bạn là một SYSADMIN , SecTeam của MOET (Bộ giáo dục và đào tạo).
- Đối tượng là một tin tặc nghiệp dư được một cá nhân hay tổ chức nào đó thuê đánh cắp đề thi đại học và đáp án (nếu có), cá nhân và tổ chức đó sẽ sử dụng để tuồn bán ngầm cho những đại gia quý tử, hay đơn giản chỉ là một thương vụ làm ăn phi pháp.
Hành động:
[25/06/2014 | 01:05 AM] - Hacker đột nhập thành công vào website public của MOET (thông qua SQLi hoặc Exploit chưa rõ ...) , chiếm quyền thành công lên MSSQL server database.
[25/06/2014 | 01:36 AM] - Sử dụng spyware chiến thuật có khả năng lây nhiễm qua RDP và cài đặt sẵn lên 2 server này, tin tắc chuyển về chế độ "nằm chờ thời".
--- 5 ngày sau ... ---
[30/06/2014 | 08:15 AM] - SYSADMIN đăng nhập vào hệ thống thông qua RDP để tiến hành bảo trì server định kỳ, spyware kích hoạt lây nhiễm thông qua RDP, chiếm quyền máy workstation của SYSADMIN, đánh cắp các CREDENTIAL đã được lưu sẵn trong máy được dùng để kết nối các FTP, RDP, HTTP,... khác của SYSADMIN. Spyware bắt đầu trả về thông tin đăng nhập RDP, bắt đầu kết nối đến cổng 80 của C&C update các module tự động exploit của Metasploit, NESSUS, CI, ...
[30/06/2014 | 12:00 AM] - Sau quá trình cập nhật spyware chiến thuật thành công, spyware bắt đầu scan mạng ngang hàng cùng router (khu vực làm việc sài cùng network của MOET), sử dụng kỹ thuật FOOTPRINTER để tìm hiểu các client khác sử dụng hđh nào, mở port nào và chọn ra các exploit ứng viên để thực hiện kế hoạch lây lan thâu tóm toàn bộ.
[30/06/2014 | 09:00 PM] - Quá trình scan & exploit hoàn tất, tin tặc xâm chiếm được khá nhiều hệ thống nhưng vì sự ỷ y lười biếng của SYSADMIN nên không bảo mật kỹ, một số lại được bảo mật bằng BKAV PRO nên hoàn toàn an toàn trước đợt tấn công này (vì BKAV PRO có soft firewall rất tốt), kết hợp sử dụng các kỹ thuật mail phishing exploit LAN Network thành công, tin tặc đã chiếm được 60% hệ thống client & server của MOET, vô vàn credential, đội ngũ tin tặc được huy động từ 1 lên 20 người cùng tham gia phân tích vì đây là giờ tan ca, không người monitor hệ thống server ...
[01/07/2014 | 05:00 AM] - Công việc phân tích dữ liệu thành công, đội ngũ tin tặc khai thác được một số lượng lớn tài liệu giá trị cao, nhưng vẫn chưa đạt được đích đến cuối cùng, vì vậy "Trứng Cút lộn - đề thi đại học 2014 nằm vào 40% còn lại của hệ thống". 40% còn lại đấy có thể là những máy bảo mật cao hoặc không có kết nối đến internet hay kết nối đến hệ thống LAN có traffic out WAN.
[01/07/2014 | 08:00 AM] - Sau một đêm thức trắng phân tích tài liệu mệt mỏi, một số tin tặc đã về nghỉ ngơi để chuẩn bị cho cuộc tác chiến tiếp theo, các tin tặc chủ chốt cùng làm việc để lên kế hoạch tấn công kiểu mới vào hệ thống 40% còn lại.
Giải pháp đã được tìm ra, họ sẽ sử dụng kỹ thuật mới có sẵn ở spyware là NAT WAN connection vào hệ thống 40% đó thông qua một access point có lớp ip là 10.10.10.1. Chiến dịch mới bắt đầu từ đây ...
[01/07/2014 | 10:00 PM] - Lại một lần nữa các tin tặc đã thực hiện thành công kỹ thuật này, nhưng kết quả vẫn bằng 0 , "Trứng cút lộn" không nằm ở đây, ... vậy nó ở đâu ?!
Các tin tặc suy nghĩ và đặt ra vấn đề, chắc có thể đây chỉ là văn phòng làm việc bình thường chứ không có khả năng là văn phòng ra đề thi và đáp án (nhớ lại hồi từng học cấp 3, nghe thầy giáo trò truyện về việc viết đề thì ở một khu vực tối an ninh nội bất xuất, ngoại bất nhập cho đến khi đề thì được ra mắt).
Các tin tặc bắt đầu sử dụng phương pháp cũ nhưng vẫn còn khá hiệu quả gọi là chọc kẻ hở thông qua USB/DISK DEVICE.
[02/07/2014 | 08:00 AM] - Thông qua hệ thống spyware phức tạp, các tin tặc đã exploit thành công vào hầu hết các máy cá nhân (laptop/pc) làm việc của nhân viên MOET, vô tình một nhân viên trong đấy là người được tiếp xúc với "trứng cút lộn" và lại một lần nữa USB được cắm vào và spyware đã được cài đặt thành công vào USB này.
[02/07/2014 | 02:00 PM] - Đối tượng và USB cùng đến khu vực "tạo ra trứng cút lộn", vô tình chiếc máy tính laptop đã bị nhiễm spyware chiến thuật cùng USB đã được kết nối mạng LAN trong khu vực này, và một lần nữa, spyware bắt đầu hoạt động với chiêu thức cũ ... nhưng không có kết nối internet ra ngoài, nên spyware này chỉ đủ khả năng scan mạng và sử dụng các exploit cổ để tấn công các client chạy win XP (win này vẫn rất phổ biến).
Thông qua quá trình lọc tìm kiếm thông tin về đề thi, các tin tặc đã chuẩn bị rất kỹ bộ wordlist về thông tin của "trứng cút lộn", quá trình lọc tìm kiếm hoàn thành, spyware đã tập hợp thành công các file nghi vấn, tổn lưu lượng đến 150 mb và đã được tập trung sao chép thành 2 bản, 1 vào máy client của đối tượng giá trị cao, 1 vào USB của đối tượng đó.
[02/07/2014 | 04:30 PM] - Tan tầm, đối tượng giá trị cao ra về cùng với "Trứng cút lộn" mà không hề hay biết. Đối tượng này đã đăng nhập vào internet , "trứng cút lộn" được gửi đến C&C server, một thống báo chúc mừng tự động của C&C đã gửi đến tập thể tin tặc, quá trình lọc dữ liệu được tiến hành ...
[02/07/2014 | 06:00 PM] - Got it ! "Trứng cút lộn" đã được đánh cắp thành công, nhưng vẫn chưa thể xác thực được độ chính xác của "món này",... nên kế hoạch kinh doanh đã thay đổi, ứng trước 50% giá trị của "món này" nếu sau khi được xác nhận thành công qua kỳ thi thì 50% còn lại sẽ được chi trả.
[03/07/2014 | 09:00 AM] - Cuộc buôn bán ngầm bắt đầu từ đây... Ngày các thí sinh lên làm thủ tục đã điểm, các mối nguồn mua đã bắt đầu chuyển tiền mặt vào đường dây này.
[03/07/2014 | 09:30 AM] - Đối tượng giá trị cao vô tình phát hiện ra rằng bộ đề thi và đáp án lại tự nhiên có trong máy mình, một phần vì lo sợ ghép tội, nhưng một phần lại không yên tâm vào kỳ thi này và uy tín của cả ngành giáo dục, cuộc điều tra được bắt đầu, Bộ Công An - vào cuộc.
[03/07/2014 | 2:00 AM] - SYSADMIN được thông báo, cuộc điều tra dấu vết được bắt đầu.
Câu hỏi: bạn sẽ giải quyết vấn đề này thế nào nếu trên cương vị là một SYSADMIN
Gợi ý:
- Spyware chiến thuật này là một trong những phần mềm được lập trình đầy đủ phức tạp, là một dạng rootkit ăn sâu vào MBR để cho công cuộc tái chiếm lần sau.
- Vô tình một máy bị lỗi, spyware không thể cài đặt, bạn có mẫu.
- Một số máy an toàn được cài đặt BKAV PRO nên không bị lây nhiễm.
p/s: Kịch bản tấn công này vốn đã hoàn thành một cách thành công trên thực tế với một số nhà phát hành game, công ty lớn ... vì vậy việc áp dụng vào đây lại một lần nữa hoàn toàn có thể hợp lý trên lý thuyết, trên thực tế việc "TRỨNG CÚT LỘN" có thực sự bị leak hay chưa là câu trả lời
Kỹ thuật:
- Bạn là một SYSADMIN , SecTeam của MOET (Bộ giáo dục và đào tạo).
- Đối tượng là một tin tặc nghiệp dư được một cá nhân hay tổ chức nào đó thuê đánh cắp đề thi đại học và đáp án (nếu có), cá nhân và tổ chức đó sẽ sử dụng để tuồn bán ngầm cho những đại gia quý tử, hay đơn giản chỉ là một thương vụ làm ăn phi pháp.
Hành động:
[25/06/2014 | 01:05 AM] - Hacker đột nhập thành công vào website public của MOET (thông qua SQLi hoặc Exploit chưa rõ ...) , chiếm quyền thành công lên MSSQL server database.
[25/06/2014 | 01:36 AM] - Sử dụng spyware chiến thuật có khả năng lây nhiễm qua RDP và cài đặt sẵn lên 2 server này, tin tắc chuyển về chế độ "nằm chờ thời".
--- 5 ngày sau ... ---
[30/06/2014 | 08:15 AM] - SYSADMIN đăng nhập vào hệ thống thông qua RDP để tiến hành bảo trì server định kỳ, spyware kích hoạt lây nhiễm thông qua RDP, chiếm quyền máy workstation của SYSADMIN, đánh cắp các CREDENTIAL đã được lưu sẵn trong máy được dùng để kết nối các FTP, RDP, HTTP,... khác của SYSADMIN. Spyware bắt đầu trả về thông tin đăng nhập RDP, bắt đầu kết nối đến cổng 80 của C&C update các module tự động exploit của Metasploit, NESSUS, CI, ...
[30/06/2014 | 12:00 AM] - Sau quá trình cập nhật spyware chiến thuật thành công, spyware bắt đầu scan mạng ngang hàng cùng router (khu vực làm việc sài cùng network của MOET), sử dụng kỹ thuật FOOTPRINTER để tìm hiểu các client khác sử dụng hđh nào, mở port nào và chọn ra các exploit ứng viên để thực hiện kế hoạch lây lan thâu tóm toàn bộ.
[30/06/2014 | 09:00 PM] - Quá trình scan & exploit hoàn tất, tin tặc xâm chiếm được khá nhiều hệ thống nhưng vì sự ỷ y lười biếng của SYSADMIN nên không bảo mật kỹ, một số lại được bảo mật bằng BKAV PRO nên hoàn toàn an toàn trước đợt tấn công này (vì BKAV PRO có soft firewall rất tốt), kết hợp sử dụng các kỹ thuật mail phishing exploit LAN Network thành công, tin tặc đã chiếm được 60% hệ thống client & server của MOET, vô vàn credential, đội ngũ tin tặc được huy động từ 1 lên 20 người cùng tham gia phân tích vì đây là giờ tan ca, không người monitor hệ thống server ...
[01/07/2014 | 05:00 AM] - Công việc phân tích dữ liệu thành công, đội ngũ tin tặc khai thác được một số lượng lớn tài liệu giá trị cao, nhưng vẫn chưa đạt được đích đến cuối cùng, vì vậy "Trứng Cút lộn - đề thi đại học 2014 nằm vào 40% còn lại của hệ thống". 40% còn lại đấy có thể là những máy bảo mật cao hoặc không có kết nối đến internet hay kết nối đến hệ thống LAN có traffic out WAN.
[01/07/2014 | 08:00 AM] - Sau một đêm thức trắng phân tích tài liệu mệt mỏi, một số tin tặc đã về nghỉ ngơi để chuẩn bị cho cuộc tác chiến tiếp theo, các tin tặc chủ chốt cùng làm việc để lên kế hoạch tấn công kiểu mới vào hệ thống 40% còn lại.
Giải pháp đã được tìm ra, họ sẽ sử dụng kỹ thuật mới có sẵn ở spyware là NAT WAN connection vào hệ thống 40% đó thông qua một access point có lớp ip là 10.10.10.1. Chiến dịch mới bắt đầu từ đây ...
[01/07/2014 | 10:00 PM] - Lại một lần nữa các tin tặc đã thực hiện thành công kỹ thuật này, nhưng kết quả vẫn bằng 0 , "Trứng cút lộn" không nằm ở đây, ... vậy nó ở đâu ?!
Các tin tặc suy nghĩ và đặt ra vấn đề, chắc có thể đây chỉ là văn phòng làm việc bình thường chứ không có khả năng là văn phòng ra đề thi và đáp án (nhớ lại hồi từng học cấp 3, nghe thầy giáo trò truyện về việc viết đề thì ở một khu vực tối an ninh nội bất xuất, ngoại bất nhập cho đến khi đề thì được ra mắt).
Các tin tặc bắt đầu sử dụng phương pháp cũ nhưng vẫn còn khá hiệu quả gọi là chọc kẻ hở thông qua USB/DISK DEVICE.
[02/07/2014 | 08:00 AM] - Thông qua hệ thống spyware phức tạp, các tin tặc đã exploit thành công vào hầu hết các máy cá nhân (laptop/pc) làm việc của nhân viên MOET, vô tình một nhân viên trong đấy là người được tiếp xúc với "trứng cút lộn" và lại một lần nữa USB được cắm vào và spyware đã được cài đặt thành công vào USB này.
[02/07/2014 | 02:00 PM] - Đối tượng và USB cùng đến khu vực "tạo ra trứng cút lộn", vô tình chiếc máy tính laptop đã bị nhiễm spyware chiến thuật cùng USB đã được kết nối mạng LAN trong khu vực này, và một lần nữa, spyware bắt đầu hoạt động với chiêu thức cũ ... nhưng không có kết nối internet ra ngoài, nên spyware này chỉ đủ khả năng scan mạng và sử dụng các exploit cổ để tấn công các client chạy win XP (win này vẫn rất phổ biến).
Thông qua quá trình lọc tìm kiếm thông tin về đề thi, các tin tặc đã chuẩn bị rất kỹ bộ wordlist về thông tin của "trứng cút lộn", quá trình lọc tìm kiếm hoàn thành, spyware đã tập hợp thành công các file nghi vấn, tổn lưu lượng đến 150 mb và đã được tập trung sao chép thành 2 bản, 1 vào máy client của đối tượng giá trị cao, 1 vào USB của đối tượng đó.
[02/07/2014 | 04:30 PM] - Tan tầm, đối tượng giá trị cao ra về cùng với "Trứng cút lộn" mà không hề hay biết. Đối tượng này đã đăng nhập vào internet , "trứng cút lộn" được gửi đến C&C server, một thống báo chúc mừng tự động của C&C đã gửi đến tập thể tin tặc, quá trình lọc dữ liệu được tiến hành ...
[02/07/2014 | 06:00 PM] - Got it ! "Trứng cút lộn" đã được đánh cắp thành công, nhưng vẫn chưa thể xác thực được độ chính xác của "món này",... nên kế hoạch kinh doanh đã thay đổi, ứng trước 50% giá trị của "món này" nếu sau khi được xác nhận thành công qua kỳ thi thì 50% còn lại sẽ được chi trả.
[03/07/2014 | 09:00 AM] - Cuộc buôn bán ngầm bắt đầu từ đây... Ngày các thí sinh lên làm thủ tục đã điểm, các mối nguồn mua đã bắt đầu chuyển tiền mặt vào đường dây này.
[03/07/2014 | 09:30 AM] - Đối tượng giá trị cao vô tình phát hiện ra rằng bộ đề thi và đáp án lại tự nhiên có trong máy mình, một phần vì lo sợ ghép tội, nhưng một phần lại không yên tâm vào kỳ thi này và uy tín của cả ngành giáo dục, cuộc điều tra được bắt đầu, Bộ Công An - vào cuộc.
[03/07/2014 | 2:00 AM] - SYSADMIN được thông báo, cuộc điều tra dấu vết được bắt đầu.
Câu hỏi: bạn sẽ giải quyết vấn đề này thế nào nếu trên cương vị là một SYSADMIN
Gợi ý:
- Spyware chiến thuật này là một trong những phần mềm được lập trình đầy đủ phức tạp, là một dạng rootkit ăn sâu vào MBR để cho công cuộc tái chiếm lần sau.
- Vô tình một máy bị lỗi, spyware không thể cài đặt, bạn có mẫu.
- Một số máy an toàn được cài đặt BKAV PRO nên không bị lây nhiễm.
p/s: Kịch bản tấn công này vốn đã hoàn thành một cách thành công trên thực tế với một số nhà phát hành game, công ty lớn ... vì vậy việc áp dụng vào đây lại một lần nữa hoàn toàn có thể hợp lý trên lý thuyết, trên thực tế việc "TRỨNG CÚT LỘN" có thực sự bị leak hay chưa là câu trả lời
Chỉnh sửa lần cuối bởi người điều hành:
