tìm hiểu về tấn công xen giữa man in the middle

Mục tiêu nghiên cứu của đề tài - Đề tài này nghiên cứu về những cuộc tấn công mà hacker là người xâmnhập vào quá trình tương tác giữa người dugnf và ứng dụng/ trang web/...trong quá trìn

TRƯỜNG ĐẠI HỌC KINH TẾ

KHOA THƯƠNG MẠI ĐIỆN TỬ

–––––––––––––––––––––––––––––––

BÁO CÁO THUYẾT TRÌNH HỌC PHẦN

AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN

TÌM HIỂU VỀ TẤN CÔNG XEN GIỮA (MAN IN THE MIDDLE)

Lê Thị Uyên PhươngPhan Khánh QuỳnhGiảng viên hướng dẫn : Gv Trần Thị Thu Thảo

Đà Nẵng, 11/10/2022

MỤC LỤC

MỤC LỤC ii

DANH MỤC CÁC TỪ VIẾT TẮT iv

LỜI MỞ ĐẦU 1

Tổng quan về Man in the Middle 2

1.1 Tấn công Man in the Middle là gì? 2

1.1.1 Tìm hiểu về tấn công Man in the Middle 2

1.1.2 Ví dụ tổng quát về tấn công Man in the Middle 2

1.2 Phương thức hoạt động của việc tấn công Man in the Middle 3

1.3 Mục đích thực hiện tấn công Man in the Middle 3

1.4 Những đối tượng thường bị tấn công Man in the Middle 4

1.5 Những hình thức tấn công Man in the Middle phổ biến 4

1.5.1 Phương thức tấn công Attack on Encryption (tấn công mã hoá) 4

1.5.2 Phương thức tấn công Interception (tấn công đánh chặn) 6

1.6 Những công cụ dùng để thực hiện tấn công Man in the Middle 8

1.6.1 Helty 8

1.6.2 Bettercap 8

1.6.3 Proxy.py 9

1.6.4 MitMproxy 10

1.6.5 Burp 10

1.6.6 Ettercap 11

Tìm hiểu kỹ hơn về kỹ thuật tấn công Man in the Middle 13 2.1 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle 13

ii

2.2 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle 13

2.3 Tìm hiểu kỹ hơn về việc giả mạo ARP Cache trong tấn công Man in the Middle 15

2.2.1 Định nghĩa của giả mạo ARP Cache: 15

2.2.2 Việc truyền thông ARP thông thường: 15

2.2.3 Cụ thể về việc giả mạo Cache: 16

Mô phỏng quy trình tấn công Man in the Middle 17

3.1 Quy trình chung nhất của một cuộc tấn công mạng 17

3.2 Quy trình thực hiện tấn công Man in the Middle 18

3.2.1 Giai đoạn đầu tiên của quy trình tấn công MitM - Đánh chặn 18

3.2.2 Giai đoạn thứ hai của quy trình tấn công MitM - Giải mã 18

Thực hành tấn công Man in the Middle 20

Hậu quả khi bị tấn công Man in the Middle 21

5.1 Thiệt hại về dữ liệu 21

5.2 Thiệt hại về tài chính 21

5.3 Thiệt hại về uy tín thương hiệu 22

Cách phát hiện và phòng chống các cuộc tấn công Man in the Middle 23

6.1 Cách phát hiện các cuộc tấn công MitM 23

6.2 Cách đề phòng khỏi các cuộc tấn công MitM 23

6.3 Cách ngăn chặn các cuộc tấn công MitM 25

Một số vụ tấn công Man in the Middle nổi tiếng trên thế giới 27 Phụ lục 28

DANH MỤC CÁC TỪ VIẾT TẮT

MitM : Man in the Middle

HSTS : HTTP Strict Transport Security

HTTP : HyperText Transfer Protocol

HTTPS : Hyper Text Transfer Protocol Secure

IP : Internet Protocol

WPAD : Web Proxy Autodiscovery Protocol

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name System

UDP : User Datagram Protocol

BGP : Border Gateway Protocol

POP : Post Office Protocol

IMAP : Internet Message Access Protocol

SMTP : Simple Mail Transfer Protocol

FTP : File Transfer Protocol

URL : Uniform Resource Locator

RAM : Random Access Memory

TLS : Transport Layer Security

SSL : Secure Sockets Layer

GUI : Graphical User Interface

MAC : Media Access Control

RAT : Remote Administration Tools

WiFi : Wireless Fidelity

DPI : Deep Packet Inspection

iv

IDPS : Intrusion Detection and Preventation System

IoT : Internet of Things

VPN : Virtual Private Network

LỜI MỞ ĐẦU

1 Mục tiêu nghiên cứu của đề tài

- Đề tài này nghiên cứu về những cuộc tấn công mà hacker là người xâmnhập vào quá trình tương tác giữa người dugnf và ứng dụng/ trang web/ trong quá trình giao tiếp

- Bên cạnh đó đề tài cũng chỉ ra rõ những kỹ thuật tấn công cũng như cáchbạn phòng chống những cuộc tấn công đó

- Thực hành được tấn công Man in the Middle và đưa ra những phươngpháp phòng chống hiệu quả

2 Phương pháp nghiên cứu

- Nghiên cứu lý thuyết

- Nghiên cứu thực hành

3 Kết cấu của đề tài

Đề tài được tổ chức gồm phần mở đầu, 7 phần nội dung

- Tổng quan về Man in the Middle

- Tìm hiểu kỹ hơn về kỹ thuật tấn công Man in the Middle

- Mô phỏng quy trình thực hiện tấn công Man in the Middle

- Thực hành tấn công Man in the Middle

- Hậu quả khi bị tấn công Man in the Middle

- Cách phát hiện và phòng chóng các cuộc tấn công Man in the Middle

- Một số vụ tấn công Man in the Middle nổi tiếng trên thế giới

vi

TỔNG QUAN VỀ MAN IN THE MIDDLE

1.1 Tấn công Man in the Middle là gì?

1.1.1 Tìm hiểu về tấn công Man in the Middle

 Tấn công Man in the Middle (Tấn công xen giữa) là một thuật ngữchung để chỉ những cuộc tấn công mà hacker sẽ đứng ở giữa ngườidùng và ứng dụng trong quá trình giao tiếp, nhằm nghe trộm hoặcmạo danh một trong các bên

 Các thông tin thu thập được sau khi tấn công có thể dùng để đánhcắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp Bêncạnh đó, các hacker có thể sử dụng kiểu tấn công MitM để thuận lợithực hiện các cuộc tấn công liên tục nâng cao (APT) khác

 MitM là một phần không thể thiếu trong cách một bộ phận rất lớntội phạm mạng hoạt động Trong trường hợp xảy ra cuộc tấn côngBusiness Email Compromise (BEC), chúng thực hiện bằng cáchxâm nhập vào mạng của nạn nhân, giành quyền truy cập vào thư từ,theo dõi các yêu cầu thanh toán của bên thứ ba và cuối cùng hướngdẫn nạn nhân gửi khoản thanh toán đến tài khoản ngân hàng màchúng kiểm soát

1.1.2 Ví dụ tổng quát về tấn công Man in the Middle

 Kẻ tấn công đang mạo danh cả hai bên của cuộc trò chuyện để cóquyền truy cập vào tài khoản Điều này tương ứng với một cuộc tròchuyện giữa khách hàng và máy chủ hay các cuộc trò chuyện giữangười với người

 Kẻ tấn công chặn một public key và với key này có thể giả mạothông tin đăng nhập của một trong hai bên để lừa người dùng ở haibên rằng họ đang nói chuyện với nhau một cách an toàn

1.2 Phương thức hoạt động của việc tấn công Man in the Middle

 Ở các cuộc tấn công MitM, hacker sẽ tự chèn vào giữa các giaodịch dữ liệu hoặc giao tiếp trực tuyến Phần mềm độc hại sẽ đượchacker phân phối vào thiết bị của người dùng để dễ dàng truy cậpvào trình duyệt web Hiện tại, ngân hàng trực tuyến hoặc websitethương mại điện tử chính là mục tiêu của MitM bởi chúng yêu cầuxác thực danh tính bằng những code hoặc thông tin mật của cánhân

 Tấn công Man in the Middle thường được thực hiện qua hai bước

là chặn và giải mã dữ liệu Khi hacker chặn việc truyền dữ liệu,khách hàng và ứng dụng vẫn cứ tin họ đang trao đổi với nhau Thựcchất lúc đó, hacker sẽ đóng vai trò như một proxy đọc và chènthông tin sai vào quá trình giao tiếp nói trên

 Sau khi chặn thành công thì hacker sẽ giải mã dữ liệu để sử dụngvào những mục đích có lợi cho chúng Thường thì thông tin cóđược sẽ dùng để đánh cắp danh tính và gây ra những bất lợi chohoạt động kinh doanh

1.3 Mục đích thực hiện tấn công Man in the Middle

 Mục đích của việc thực hiện tấn công xen giữa là theo dõi và đánhcắp thông tin cá nhân của nạn nhân Ví dụ như thông tin đăng nhậphay số thẻ tín dụng…

 Các thông tin thu thập được sau khi tấn công có thể dùng để đánhcắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp, tấncông các tổ chức tài chính

 Một số doanh nghiệp sử dụng tấn công xen giữa để giám sát nhânviên và hiển thị quảng cáo rộng rãi

 Mục đích cuối cùng chính là thu lợi nhuận từ những thông tin cóđược từ việc thực hiện tấn công MitM

viii

1.4 Những đối tượng thường bị tấn công Man in the Middle

 Những đối tượng tiêu biểu có thể kể đến như:

o Các doanh nghiệp và trang web thương mại điện tử

o Các trang điện toán đám mây

o Người dùng các ứng dụng tài chính

o Các kết nối công dộng, miễn phí, bảo mật kém

o Các trang web có yêu cầu thông tin đăng nhập nói chung

 Một số đối tượng khác có thể kể đến như:

o Một số tổ chức thực hiện 1 hệ thống để giám sát nhân viên của

họ bằng chiến thuật MitM (nhưng không thừa nhận rõ ràng)

o Khách hàng cũng là mục tiêu doanh nghiệp nhắm tới nhằm mụcđích hiển thị quảng cáo (Đây chính là trường hợp của nhà sảnxuất máy tính xách tay Lenovo của Trung Quốc)

o Một nhân tố khác được biết đến với việc sử dụng Mitm là chínhphủ luôn tổ chức theo dõi công dân, vượt qua bảo mật côngnghệ, theo dõi các quốc gia thù địch, đánh cắp các dữ liệu nhạycảm hoặc tấn công các tổ chức tài chính của các tổ chức tàichính các quốc gia khác để lấy tiền cho dự án của họ (Nhưtrường hợp thường xảy ra với Bắc Hàn là một ví dụ)

1.5 Những hình thức tấn công Man in the Middle phổ biến

1.5.1 Phương thức tấn công Attack on Encryption (tấn công mã hoá)

a) HTTPS Spoofing (Giả mạo HTTPS)

 Tội phạm tạo ra một trang web HTTPS giả bằng cách giả mạo địachỉ của một trang web hợp pháp Sau đó, họ sẽ gửi một liên kết củatrang web giả mạo đến nạn nhân Nạn nhân sẽ bị tấn công khi truycập vào trang web giả mạo đó

b) SSL Hijacking (Chiếm quyền điều khiển SSL)

 Tội phạm chiếm đoạt phiên hợp pháp của người dùng và giả mạothành người dùng đó Máy chủ sẽ không biết rằng người đang thựchiện giao dịch không phải là người dùng đã định

 Sau khi tội phạm giành được quyền kiểm soát phiên, họ có thể làmmọi thứ mà người dùng được phép làm trên tài khoản của họ nhưchuyển hoặc rút tiền, mua đồ, thậm chí thay đổi thông tin tài khoảncủa nạn nhân

 Một số sai lầm mà chủ sở hữu và người dùng trang web mắc phảikhiến phiên dễ bị tấn công:

o Sử dụng các thông tin, ký tự dễ đoán để tạo ID

o Chỉ bảo mật một phần của trang web thay vì toàn bộ trang web

o Nhấp vào liên kết trong các email lừa đảo

o Mua phần cứng từ các nguồn không đáng tin cậy

c) SSL Stripping (Tước đoạt SSL)

 Tội phạm làm giảm tính bảo mật của trang web để họ có thể truycập thông tin liên lạc giữa máy khách và máy chủ mà nó kết nối

 Khi người dùng yêu cầu một trang web HTTPS, kẻ tấn công sẽ hạcấp HTTPS xuống phiên bản HTTP của cùng một trang web Phiênbản HTTP không an toàn và kẻ tấn công có thể đọc mọi thứ giữamáy khách và máy chủ Họ cũng có thể thay đổi và điều khiển toàn

bộ cuộc trò chuyện

 Một cuộc tấn công tước đoạt SSL như sau:

o Bước 1: Người dùng yêu cầu quyền truy cập vàohttps://example.com

o Bước 2: MitM chuyển yêu cầu của người dùng đến máy chủ

x

Bước 3: Máy chủ phản hồi với trang web an toànhttps://example.com

o Bước 4: MitM khai thác lỗ hổng bảo mật và gửi trang webkhông an toàn “http://example.com” cho người dùng

 Tội phạm có thể tấn công bằng một trong ba cách:

o Đặt proxy của trình duyệt theo cách thủ công để định tuyến tất

cả lưu lượng truy cập

o Sử dụng ARP độc hại

o Tạo một điểm phát sóng và thu hút nạn nhân kết nối với nó

 Để tránh các cuộc tấn công tước SSL:

o Luôn kiểm tra xem mình có đang làm việc trên trang HTTPS vàchưa chuyển sang trang HTTP hay không

o Thực hiện chính sách HSTS - một chính sách nghiêm ngặt trong

đó chỉ các trang web HTTPS mới được phép tải

1.5.2 Phương thức tấn công Interception (tấn công đánh chặn)

 IP Spoofing (Giả mạo IP): Hacker sẽ giả mạo thành một ứng dụng

bằng cách thay đổi packet header trong địa chỉ IP Khi người dùngtruy cập vào một URL được kết nối với ứng dụng, họ sẽ đượcchuyển hướng đến trang web của hacker

 ARP Spoofing (Giả mạo ARP): là quá trình liên kết địa chỉ MAC

của kẻ tấn công với địa chỉ IP của người dùng hợp pháp trên mạngcục bộ Cụ thể, các hacker sẽ sử dụng các thông báo ARP giả mạo.Khi đó, dữ liệu do người dùng gửi đến địa chỉ IP của server sẽ đượctruyền đến hacker

 Automatic Proxy Discovery Attack (Tấn công khám phá proxy

tự động): là một giao thức được thiết kế để hỗ trợ người dùng tự

động phát hiện proxy Mặc dù tính năng tự động phát hiện proxygiúp tiết kiệm thời gian cho lập trình viên vì họ không phải cấuhình mọi thiết bị, nhưng WPAD dễ bị tấn công MitM Có 2 cách đểtấn công WPAD:

o DHCP (dynamic host configuration protocol): Trình duyệt web

trước tiên sẽ tìm kiếm cấu hình proxy trên máy chủ DHCP trướckhi chuyển sang DNS DHCP được xây dựng trên UDP và IP.Tội phạm mạng có thể thiết lập một máy chủ DHCP độc hại vàgửi một gói UDP giả mạo với thông tin chi tiết về cấu hìnhproxy tới trình duyệt để khởi động một cuộc tấn công DHCP.Nên cài đặt tường lửa thích hợp để tránh gặp phải loại tấn côngnày

o DNS (domain name system): DNS cũng sử dụng UDP; do đó,

tội phạm mạng có thể chặn liên lạc bằng cách thay đổi gói cấuhình proxy Ngoài ra, khi một tổ chức sử dụng cấp cao nhất củamiền để kích hoạt WPAD, những kẻ tấn công có thể hưởng lợibằng cách giả mạo miền phụ trong miền chính

 DNS Spoofing (Giả mạo DNS): Hacker sẽ xâm nhập vào DNS

server, sau đó thay đổi record của địa chỉ trang web Khi ngườidùng truy cập vào trang web, DNS record đó sẽ đưa họ đến trangweb của hacker

 BGP Misdirection (Chuyển hướng BGP): giao thức BGP chịu

trách nhiệm tìm ra con đường tốt nhất cho các yêu cầu do thiết bị

xii

đưa ra Giao thức này truy cập các bản ghi DNS của trang web đểhướng các truy vấn từ máy khách đến địa chỉ IP chính xác Tộiphạm mạng chuyển hướng lưu lượng truy cập internet đến mộtđường đi khác độc hại bằng cách giả mạo các tiền tố IP.

1.6 Những công cụ dùng để thực hiện tấn công Man in the Middle

1.6.1 Helty

 Hetty là một bộ công cụ HTTP mã nguồn mở nhanh với các tínhnăng mạnh mẽ để hỗ trợ các nhà nghiên cứu bảo mật, nhóm vàcộng đồng tiền thưởng lỗi

 Các tính năng chính:

o Cho phép bạn thực hiện tìm kiếm toàn văn bản

o Nó có một mô-đun người gửi cho phép bạn gửi các yêu cầuHTTP theo cách thủ công dựa trên các yêu cầu tắt từ nhật kýproxy hoặc bằng cách tạo chúng từ đầu

o Mô-đun kẻ tấn công cho phép bạn gửi các yêu cầu HTTP tựđộng

o Cài đặt đơn giản và giao diện dễ sử dụng

o Gửi yêu cầu HTTP theo cách thủ công bằng cách bắt đầu từđầu, tạo yêu cầu hoặc chỉ cần sao chép từ nhật ký Proxy

Chủ động và thụ động thăm dò và kiểm tra các máy chủ mạng

IP để tìm các lỗ hổng MitM tiềm ẩn

o Giao diện người dùng dựa trên web dễ sử dụng và tương tác chophép bạn tiến hành một loạt các cuộc tấn công MitM, đánh hơithông tin xác thực, kiểm soát lưu lượng HTTP và HTTP, v.v

o Trích xuất tất cả dữ liệu mà nó thu thập được như thông tin xácthực POP, IMAP, SMTP và FTP, các URL đã truy cập và máychủ HTTPS, cookie HTTP, dữ liệu được đăng HTTP, v.v Sau

đó, nó trình bày nó trong một tệp bên ngoài

o Thao tác hoặc sửa đổi lưu lượng TCP, HTTP và HTTPS trongthời gian thực

1.6.3 Proxy.py

 Proxy.py là một máy chủ proxy WebSockets, HTTP, HTTPS vàHTTP2 mã nguồn mở nhẹ Có sẵn trong một tệp python duy nhất,công cụ nhanh này cho phép các nhà nghiên cứu kiểm tra lưu lượngtruy cập web, bao gồm các ứng dụng được mã hóa TLS, trong khitiêu thụ tài nguyên tối thiểu

kỳ phụ thuộc bên ngoài nào

o Trang tổng quan có thể tùy chỉnh theo thời gian thực mà bạn cóthể mở rộng bằng cách sử dụng các plugin Nó cũng cung cấp

xiv

cho bạn tùy chọn để kiểm tra, giám sát, định cấu hình và kiểmsoát proxy.py trong thời gian chạy.

o Công cụ bảo mật sử dụng TLS để cung cấp mã hóa đầu cuốigiữa proxy.py và ứng dụng khách

 Các tính năng chính:

Chặn và kiểm tra lưu lượng mạng thô theo cả hai hướng giữatrình duyệt web và máy chủ.

o Ngắt kết nối TLS trong lưu lượng HTTPS giữa trình duyệt vàmáy chủ đích, do đó cho phép kẻ tấn công xem và sửa đổi dữliệu được mã hóa

o Lựa chọn sử dụng trình duyệt nhúng Burps hoặc trình duyệtweb tiêu chuẩn bên ngoài

o Giải pháp quét lỗ hổng bảo mật tự động, nhanh chóng và có khảnăng mở rộng, Nó cho phép bạn quét và kiểm tra các ứng dụngweb nhanh hơn và hiệu quả, do đó xác định một loạt các lỗhổng

o Hiển thị các yêu cầu và phản hồi HTTP riêng lẻ bị chặn

o Xem xét thủ công lưu lượng truy cập bị chặn để hiểu chi tiết vềmột cuộc tấn công

o Hỗ trợ nghe trộm chủ động và thụ động, mổ xẻ và phân tích cácgiao thức mạng, bao gồm cả những giao thức có mã hóa

o Phân tích cấu trúc liên kết mạng và thiết lập hệ điều hành đượccài đặt

xvi

Giao diện người dùng đồ họa thân thiện với người dùng với cáctùy chọn hoạt động GUI tương tác và không tương tác.

o Sử dụng các kỹ thuật phân tích như đánh chặn ARP, lọc IP vàMAC, và các kỹ thuật khác để chặn và phân tích lưu lượng