Trao đổi với tôi

http://www.buidao.com

11/14/09

[CEH] CEH v6 Module 41 : Hacking USB Devices



Module gồm những nội dung sau:
Trích:
1.USB Devices
2.USB Attacks
3.Viruses and worms
4.USB Hacking Tools
5.USB Security Tools
6.Coutermeasures

USB ATTACKS

Electrical Attacks là kiểu tấn công nhằm chống lại,nói cách khác là phá hủy khoá USB bằng cách tác động tới tính chất vật lí xung quanh nó.Mục đích chính nhằm thu thập các dữ liệu quan trọng đã được mã hóa.Hiện nay thì các USB vẫn rất ích được mã hóa,đó là 1 thiếu sót quan trọng của nhà sản xuất.Có thể thay đổi các giá trị mật khẩu thậm chí có thể xóa đi các chương trình trên USB bằng 1 chip nhớ gọi là EEPROM.

Software Attacks :attacker sẽ quan sát cách thức truyền dữ liệu giữa USB và máy tính,sau đó phân tích và xác định password bằng kĩ thuật brute-force.Bằng cách gửi các gói tin lỗi tới USB,lúc đó khoá USB có thể bị lộ ra,chẳng hạn là nội dung ,thông tin của 1 phần bảo vệ nào đó của USB

USB Attack on Windows :khai thác lỗi tràn bộ đệm sẽ giúp attack chiếm dc quyền admin của máy tính.Attacker cắm USB vào máy sau đó thực hiện các lệnh khai thác những chỗ sơ hở khi máy tính đang load USB.Và cuối cùng Attacker chiếm quyền điều khiển máy tính.

Cả 3 phương thức trên coi bộ không khả quan,đều là tấn công trực tiếp,chỉ có kĩ thuật tấn công tràn bộ đệm(buffer-overflow là có thể áp dụng được tốt mà thôi

To be continued....

Virus and Worms

Virus hay Worms thì chắc hẳn các bạn cũng biết,phần này giới thiệu các bạn 1 số virus hay worms nguy hiểm .

Virus:W32/Madang-Fam




Là 1 virus chạy trên Windows.Virus này lây nhiễm qua những thiết bị di động như USB,ổ cứng di động,dt.....Nó thay đổi ,phá hỏng các file có đuôi *.EXE hoặc *.SCR trên tất cả các driver và sự chia sẻ trong mạng máy tính .Virus thực ra chỉ là 1 đoạn mã độc mà có thể tự động download và thực thi ,nó hiện diện ở rất nhiều website.

W32/Madang-Fam sẽ tự động copy và chạy các file setupx.exeupdatex.exe trong thư mục Windows/System32 .
Nó tự động tạo ra khoa này và chạy khi khởi động Windows
Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Serverx
\Serverx.exe

Worm: W32/Hasnot-A




W32/Hasnot-A là 1 loại "sâu " ,cũng giống virus về cấu trúc là 1 đoạn mã,và cũng chạy trên nền Windows,lây nhiễm qua các thiết bị di động.

W32/Hasnot-A sẽ ẩn đi các file và folder ,thậm chí copy đè lên các file đó.Dưới đây là những file mà W32/Hasnot-A copy:

Trích:
\Documente und Einstellungen.exe
\Documenti e Impostazioni.exe
\Documents and Settings.000.exe
\Documents and Settings.exe
\Application Data\Explorer.exe
\Application Data\Microsoft\WinNT.com
\svchost.exe
\Games.exe
\Mijn Documenten.exe
\My Downloads.exe
\My Music.exe
\My Shared Folder.exe
\Program Files.exe
\Programma's.exe
\Programme.exe
\Programmi.exe
\Programs.exe
\SkyNet.exe
\System Volume Information.exe
\Temp.exe
\Tmp.exe
\WinNT.exe
\inetpub.exe
\install.exe
\recycled.exe
\windows.exe
\_default .pif
\svchost.exe
\Explorer.exe

Và nó tạo 1 số khoá Registry mới :
Trích:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system
DisableTaskMgr
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system
DisableRegistryTools
1


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer
NoFolderOptions
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
1

Mỗi khi cài đặt,worm sẽ lan rộng,lây nhiễm vào những tập tin chia sẻ trong mạng và cả USB
Tập tin autorun.inf sẽ bị thay đổi ,dẫn đến mỗi khi cài đặt gì đó bạn vô tình cho con worm chạy luôn.

W32/Fujack-AK




W32/Fujack-AK cũng lây nhiễm qua mạng mà các thiết bị di động.
Tự động copy 2 file làGameSetup.exesetup.exe .Sau đó nó copy đè lên file autorun.inf và thực thi file setup.exe.
Tự động tạo file drivers\spoclsv.exe . Và khoá key dc thay đổi :
Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0

W32/Dzan-C




Tự động tạo file \inetinfo.exe\1021\services.exe và tập tin services.exe này sẽ chạy mỗi khi khởi động windows.Nhiều người lầm tưởng đây là 1 dịch vụ trong Windows nên không quan tâm lắm.Và khóa registry dc tạo là :
Trích:
HKLM\SYSTEM\CurrentControlSet\Services\services

W32/SillyFD-AA




Con này copy đè lên các file :

Trích:
\kerneldrive.exe
\regedit.exe
\pchealth\helpctr\Binaries\msconfig.exe
\systeminit.exe
\wininit.exe
\winsystem.exe
\cmd.exe
\taskmgr.exe

Tạo các khoá registry :

Trích:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
\userinit.exe,\systeminit.exe,

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wininit
\wininit.exe
Trích:



HKCU\Software\Microsoft\Internet Explorer\Main
Window Title
Hacked by 1BYTE

HKCU\Software\Microsoft
ServicePack
1.2

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer
SearchHidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer
SearchSystemDirs
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegedit
1


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1

HKCU\Software\Microsoft
nFlag
1


HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
HideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
ShowSuperHidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
SuperHidden
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoDriveTypeAutoRun
0

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s
Start
1

W32/SillyFDC-BK




Tự động copy file \krag.exe và tạo 1 khoá registry để chạy khi khởi động windows.

Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
krag
\krag.exe

W32/LiarVB-A




Khi nhiễm con này bạn sẽ gặp 1 thông báo như sau:
"This file Doesn't make harmful change to your computer. This File is NOT DANGEROUS for your Computer and FlashDisk (USB). This File Doesn't Disturb any Data or Files on your computer and FlashDisk (USB). So Dont be affraid, and Be Happy !"

Nó tự động copy vào các file :

Trích:
\.exe
\BootEx.exe
\log.exe
\ErrorReport.exe
\MonitorMission.run
\MonitorSetup.exe
\SystemMonitor.exe
\Win System.exe
\WinSystem
\WinSystem.exe
\WinSystem32.exe
\regedif.exe
\WindowsUpadate.exe
\mscomfig.exe
\msiexece.exe
\rundlI.exe
\WindowsProtection.exe
\msidlI.exe
\msiexee.exe
\regedif32.exe
\scconfig.exe
\winlocon.exe
\wpa.bdlx
\windows.exe

Và có thể nó sẽ tạo các file sau :
Trích:
\oeminfo.ini
\oemlogo.bmp

Các khoa registry dc tạo :
Trích:
HKCR\*\shell\Scan for Virus\Command\
\windows\MonitorMission.run

HKCR\Folder\shell\Scan for Virus\Command\
\windows\MonitorMission.run

HKCR\Folder\shell\Search\Command\
\windows\MonitorMission.run

HKCU\Software\KyrentSoft

W32/Hairy-A




Tự tạo các file sau :

Trích:
\HarryPotter-TheDeathlyHallows.doc
\autorun.inf
\harry potter.txt
\Tempt\talk.bat

Các khoa registry dc tạo :

Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
talk
\Tempt\talk.bat

Thay đổi 1 số chức năng của IE bằng việc thay đổi khoa registry:
Trích:
HKCU\Software\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page


HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile
EnableFirewall
0

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions
0


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system
DisableTaskMgr
1

W32/QQRob-ADN


Copy đè lên các file :
Trích:

\drivers\conime.exe
\drivers\pnvifj.exe
\jusodl.exe
\severe.exe

và tự tạo ra 2 file :
Trích:
\hx1.bat
\jusodl.dll

Tạo các khoa registry :
Trích:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
pnvifj
\jusodl.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
jusodl
\severe.exe

The following registry entries are changed to run conime.exe and pnvifj.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
Debugger
\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe \drivers\conime.exe

W32/QQRob-ADN sets the following registry entries, disabling the automatic startup of other software:

HKLM\SYSTEM\CurrentControlSet\Services\srservice
Start
4


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0

W32/VBAut-B


Copy đè lên 2 file :
Trích:
\lsass.exe
\lsass.exe

Thay đổi các khoa registry :
Trích:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe \lsass.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig
1
Registry entries are set as follows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFolderOptions
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoRun
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer
NoFolderOptions
1
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
Homepage
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
HideFileExt
1

Những virus trên đây lấy từ tài liệu CEH v6 ,tuy nhiên mình k dịch nó ra nguyên ,mà chỉ tìm kiếm và đưa ra những cách thức hoạt động của nó mà thui.À,W32.... là virus chạy trên nền Windows nhé.
Còn rất nhiều virus ,nhưng hiện nay các virus này đều bị các phần mềm diệt virus phát hiện và tiêu diệt dc,trên đây là cách thức hoạt động của 1 virus,khi dc lập trình các đoạn mã sẽ thực thi,có thể là copy đè lên file hệ thống,hoặc tự động thay đổi các khoa Registry.Vì khoá Registry dc xem là "trái tim" của 1 máy tính.
Các bạn có thể xem 1 vài con virus ở trên và phân tích .ICT ví dụ 2 khoá Registry này,1 khoá là Disable Task Manager và 1 khoá là Disable Registry.Trường hợp này tại VN cũng rất nhiều,bạn sẽ gặp 1 thông báo khi bạn muốn vào Regedit



Registry Editting has been disable my your administrator

Trích:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1

Hay virus Kavo,hoặc xih9.cmd là những virus phá huỷ phần mềm KAV,KIS.ICT đã từng dính chưởng .Khi dính nó thì chức năng Update + Auto Detect bị disable.Và sau nhiều lần cố gắng scan KAV cũng đi lun .Bây giờ thì KAV,KIS tiến bộ hơn rùi,diệt vô tư


Nếu bạn bối rối không biết làm sao để diệt dc nó thì gọi tới UITS nhé .^^


HACKING TOOL

USB Dumper
USB Hacksaw


USB SECURITY TOOLS

MyUSBonly
USB Deview
USB Blocker
USB Copy Notify
Remora USB File Guard
Advance USB Port Monitor
Folder Password Expert USB
USBLyzer
USB PC Lock Pro

Bạn cũng có thể phòng chống nó bằng các thủ thuật sau (sưu tầm )

Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là STORAGE

Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ
convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được.

Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn.

Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden.

Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls \autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:\autorun.inf /D Everyone


Vậy là module này kết thúc tại đây,nội dung module k thiên về kĩ thuật nào mà chỉ cho chúng ta biết cách thức hoạt động của virus và cách phòng chống bằng các tool.Ở phần Hacking Tool có 2 tool,bạn nào quan tâm có thể nghiên cứu và chia sẻ với mọi người nhé.
Cảm ơn các bạn đã quan tâm
Được đăng bởi Lúc