Giấu tệp
Rootkits
Rootkits là bộ phần mềm cung cấp quyền truy cập đặc quyền với một hệ thống mục tiêu cho một user từ xa, thường được triển khai sau khi dành được quyền truy cập quản lí vào mục tiêu, dùng để duy trì truy cập đặc quyền trong tương lai. Nó tạo ra một cửa sau cho tấn công.
Rootkits thường ngụy trang sự tồn tại của nó để tránh bị phát hiện.
Các loại Rootkits
- Rootkits cấp ứng dụng
Rootkits này điều khiển những tệp ứng dụng tiêu chuẩn, chỉnh sửa hành vi ứng dụng hiện tại bằng việc đưa vào những codes.
- Rootkits cấp Kernel
Kernel là trung tâm của một hệ điều hành. Rootkits cấp Kernel thêm vào những đoạn mã độc, thay thế chuỗi codes gốc của kernel hệ điều hành.
- Rootkits cấp hardware/firmware
Loại rootkits này ẩn nấp ở phần cứng như ổ cứng, card giao tiếp mạng, hệ điều hành BIOS, những nơi không bị kiểm tra. Những rootkits này được gắn vào chipset để phục hồi máy tính đã mất, dữ liệu đã xóa, hoặc làm chúng trở nên vô hiệu. Bên cạnh đó, nó có những chính sách và bảo mật để không bị phát hiện.
- Rootkits cấp máy ảo (hypervisor)
Rootkits này khai thác những chức năng của phần cứng như AMD-V (công nghệ ảo hóa) hay Intel VT, hai chức năng này sẽ biến hệ điều hành thành máy ảo.
- Rootkits cấp bootloader (Bootkits)
Bootkits sẽ sửa đổi bootloader gốc, từ đó cho phép Rootkits hoạt động trước khi hệ điều hành hoạt động. Bookits là nguy cơ nghiêm trọng đối với an ninh hệ thống bởi vì nó có thể làm các startup codes nhiễm độc như Master Boot Record (MBR), Volume Boot Record (VBR) hay boot sector, được sử dụng để tấn công hệ thống mã hóa ổ đĩa, hack khóa mã hóa và mật khẩu.
Những công cụ Rootkit
- Avatar
- Necurs
- Azazel
- ZeroAccess
Phát hiện & chống lại Rootkit
Có thể sử dụng nhiều cách để phát hiện Rootkit như dựa trên tính chính thống, chữ kí số, phát hiện dựa trên điểm khác biệt, phát hiện hành động, kết xuất bộ nhớ (memory dump).
Trên nền tảng Unix, các công cụ phát hiện Rootkit bao gồm Zeppoo, chrootkit và các công cụ khác. Trên nền tảng Windows có Microsoft Sysinternals RootkitRevealer và Avast and Sophos anti-Rootkit.
NTFS Stream
NTFS là viết tắt của New Technology File System (hệ thống tệp công nghệ mới), là một hệ thống tệp độc quyền sản xuất của Windows. NTFS là hệ thống file mặc định của Windows NT 3.1. Nó cũng là hệ thống tệp cơ bản của Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000, và các hệ điều hành Windows NT.
Dòng dữ liệu xen kẽ (ADS)
ADS là một thuộc tính tệp trong NTFS. Đặc tính này chứa metadata để định vị trí một tệp nhất định. ADS được ra mắt dành cho Macintosh Hierarchical File System (HFS), nó có thể giấu dữ liệu tệp vào một tệp hiện hành mà không gây ra thay đổi nào đáng chú ý.
Trong môi trường thực tế, ADS là một nguy cơ đối với hệ thống an ninh bởi vì kẻ tấn công có thể sử dụng ADS để giấu tệp độc hại và thực thi ứng dụng.
Steganography
Steganography cơ bản là một công nghệ mã hóa những thông tin nhạy cảm vào một tin nhắn thông thường để bảo mật, thông tin ẩn sẽ được người nhận trích rút ở điểm đến. Nó đảm bảo duy trì tính bảo mật và nguyên vẹn. Bên cạnh đó, nó sẽ ẩn những dữ liệu mã hóa để che giấu.
Mục tiêu sử dụng Steganography là để che giấu thông tin từ bên thứ ba. Kẻ tấn công dùng công nghệ này để giấu thông tin như tài nguyên codes, kế hoạch, và các thông tin nhạy cảm khác để chuyển tiếp không bị phát hiện.
Hình thức Steganography
- Steganography kỹ thuật (ví dụ mực tàng hình, microdots và các phương pháp khác)
- Steganography ngôn ngữ (ví dụ phương tiện che giấu thông tin như Ciphers và code)
Các loại Steganography
- Whitespace Steganography
White Space Steganography là một phương pháp ẩn thông tin trong một tệp văn bản sử dụng thêm những khoảng trắng giữa các từ. Tin nhắn mật sẽ được thêm dưới dạng khoảng trắng, sử dụng LZW và Huffman compression sẽ làm giảm kích thước tin nhắn.
- Image Steganography
Thông tin ẩn có thể chứa trong các format hình ảnh khác nhau như PNG, JPG, BMP, etc. Phương pháp cơ bản đằng sau image steganography là công cụ trong phần mềm này sẽ thay thế những bit thừa của hình ảnh trong tin nhắn. Những thay đổi này không thể được phát hiện bằng mắt thường.
Bạn có thể thực hiện Image Steganography bằng những kĩ thuật khác nhau như: Chèn bit ít đáng kể nhất, Ngụy trang và lọc, Thuật toán và biến đổi. Công cụ cho Image Steganography như OpenStego, QuickStego
- Document Steganography
- Video Steganography
- Audio Steganography
- Folder Steganography
- Spam/Email Steganography
Steganalysis
Ngược lại, Steganalysis là bản phân tích những thông tin đáng ngờ, sử dụng kĩ thuật steganography để phát hiện và phục hồi thông tin ẩn.
Steganalysis phải đối mặt những thử thách về độ chính xác, hiệu quả và mẫu vật bị nhiễu trong khi phát hiện dữ liệu mã hóa.
Xoá dấu vết
Sau khi tiếp cận mục tiêu, tăng đặc quyền, thực thi ứng dụng, bước tiếp theo là xóa bỏ dấu vết. Trong công đoạn này, kẻ tấn công phải xóa nhật kí hoạt động, tin nhắn logs và các bằng chứng khác để tránh bị phát hiện.
Những kĩ thuật thường được dùng để che dấu vết là:
- Vô hiệu hóa kiểm kê
- Xóa nhật kí
- Điều chỉnh nhật kí
Vô hiệu hóa kiểm kê
Đây là phương pháp tiếp cận tốt nhất để đề phòng cơ chế bảo mật phát hiện và cảnh báo. Vô hiệu hóa kiểm kê cũng là kĩ thuật tốt nhất để xóa dấu vết và đề phòng phát hiện hoặc để lại rất ít bằng chứng.
Khi bạn vô hiệu hóa kiểm kê trên hệ thống mục tiêu, nó không chỉ ngăn ghi lại nhật kí hoạt động mà còn hạn chế sự phát hiện. Chức năng kiểm kê được kích hoạt để theo dõi hoạt động. Khi kiểm kê bị vô hiệu hóa, mục tiêu sẽ không thể ghi lại nhật kí những hoạt động quan trọng, không chỉ là bằng chứng tấn công mà còn bao gồm những thông tin nguồn của kẻ tấn công.
Lệnh liệt kê các categories được kiểm kê:
auditpol /list /category /v
Kiểm tra các chính sách kiểm kê tất cả categories:
auditpol /get /category:*
Xóa nhật kí
Một kĩ thuật che giấu khác là xóa nhật kí. Nhật kí có thể bị xóa bằng công cụ dòng lệnh cũng như xóa thủ công bằng Control Panel trên Windows.