Tấn công hệ thống (System hacking) bao gồm những kỹ thuật lấy username, password dựa vào phần mềm cài trên hệ thống hoặc tính dễ cài đặt và chạy các dịch vụ từ xa của hệ điều hành window. Nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin, xóa những log file hệ thống.
1. Giới thiệu system hacking
System hacking bao gồm những kỹ thuật lấy username, password dựa vào phần mềm cài trên hệ thống hoặc tính dễ cài đặt và chạy các dịch vụ từ xa của hệ điều hành window. Nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin, xóa những log file hệ thống.
2. Tấn công mật khẩu người dùng
Mật khẩu mặc định của tài khoản quản trị (administrator) trong hệ thống Windows là rỗng, nếu khi cài đặt người dùng bỏ qua quá trình điền mật khẩu của user administrator. Vì vậy, hacker có thể khai thác lỗi này để đăng nhập chính thức vào hệ thống với quyền hạn cao nhất.
Hacker có thể dùng chương trình pwdump7 để lấy từ registry ra username và dữ liệu băm của password dưới dạng một file text. Một đặc điểm của chương trình là vẫn hoạt động tốt ngay cả khi hệ thống chạy chế độ mã hóa mật khẩu đã với thuật toán 128 bit (SysKey). File text xuất ra sẽ dùng làm dữ liệu nhập (input) để đưa (import) vào những chương trình dò password nhằm lấy tài khoản người dùng.
Sử dụng chương trình pwdump3 khi có được một user có quyền administrator để tìm được thông tin của các user còn lại.
Hacker cũng có thể sử dụng các chương trình bắt mật khẩu (password sniffer) khi có quá trình login và xác thực xãy ra trên mạng.
3. Công cụ
Pwdump3, pwdump4, pvdump7, Cain, LC, LCP, SamInside. LC hay LOphtcrack có khả năng bắt mật khẩu trên đường truyền với phương pháp chứng thực là LM và NTLM của window NT trở về trước. Kerbcrack sử dụng bắt mật khẩu với window 2000/XP có chứng thực Kerberos.
Chạy pwdump7 trên máy máy nạn nhân: pwdump7 > F:\pwtextfile.txt hoặc
Khi có một username và password của một user có quyền administrator, hacker có thể từ máy của mình để chạy chương trình pwdump3v2 trên máy nạn nhân để tìm thông tin của các user khác bằng dòng lệnh và kết quả như hình 3-3
pwdump3 192.168.1.170 f:\pwtextfile.txt thuan
Hacker có thể từ máy của mình chạy pwdump4 trên máy nạn nhân để lấy thông tin về username và mật khẩu đã được băm trên hệ thống này. Sau đó dùng công cụ msvctl để tiêm (inject) trực tiếp dữ liệu băm lấy được ở trên từ máy của hacker tấn công vào máy nạn nhân bằng các dòng lệnh. Phương pháp này còn gọi là injection hack.
4. Nhận xét và cách phòng chống
Đây là phương pháp tấn công hệ thống dựa trên những lỗi sai sót trong quá trình sử dụng máy tính cũng như các lỗi về bảo mật vật lý. Vì vậy có thể hạn chế được rất nhiều khả năng bị tấn công nếu tuân thủ theo qui trình sử dụng máy cũng như bảo mật vật lý tốt. Một vài biện pháp có thể phòng chống được cách tấn công này như dưới đây.
Mật khẩu phải được đặt nhiều hơn 8 ký tự và phải là tổng hợp giữa chữ hoa, chữ thường, số và ký tự đặc biệt để các chương trình khó dò ra.
Cấu hình trong registry cho mật khẩu trong hệ thống windows chỉ được băm và lưu dưới dạng NTLM để các chương trình khó dò ra. Bật lên 1 ở khóa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
Người dùng admin nên xóa tập tin sam trong thư mục Windows/repair sau mỗi lần backup dữ liệu bằng rdisk
Nguồn: Thư viện Cao học trường Đại học Công nghệ Thông tin
