
Category: An Toàn Thông Tin



Vừa qua, có nhiều thông tin cảnh báo khả năng nhiều máy chủ VN bị tấn công qua dịch vụ RDP, và đây cũng là một trong những con mồi hấp dẫn nhất đối với hacker, thay vì hack 1 website thì họ sẽ làm chủ cả trăm trang trên server nếu như đây là máy chủ web.
Hoặc hacker sẽ chiếm quyền điều khiển và sau đó dùng làm máy cày đào coin. Nhưng nói rõ hơn thì tình trạng tấn công vào RDP đã có từ lâu chứ không phải mới đây. Và vừa qua BKAV cũng cho ra 1 công cụ test bẻ khóa, việc này rất đáng hoan nghênh nhưng không hẳn là hiệu quả, cho nên đứng trên phương diện “đào tạo” thì tôi có một số hướng dẫn sau cho những ai chưa biết bên cạnh những phương án được VnCert, SOC hay nhiều chuyên gia khác đưa ra.
1.Phòng chống Enumeration (CEH v10 Module 4)
Trước tiên, để có thể bẻ khóa máy chủ RDP và nhiều dịch vụ online khác thì attacker cần phải dò được tài khoản đăng nhập. Bởi vì nếu biết được tài khoản thì attacker đã có được 50% thông tin cho nên người quản trị thường thay đổi các thông tin quản lý mặc định là administrator hay admin thành 1 tên khác khó đoán hơn.
Vậy hãy thay đổi tên quản trị, không nên dùng tên mặc định !
Ngoài ra, ngay cả khi ta đã thay đổi tên thì chúng ta vẫn có khả năng bị attacker tiến hành dò tìm qua thao tác enumration với xfreerdp. Các bạn có thể theo dõi video hướng dẫn này của tôi tại kênh http://bit.ly/2NlPkdf
Enum RDP vối XFREERDP : Đây là một bài lab của Pentest lab v10 rất hay mà nhiều người đã biết. Hãy tải Kali Linux 2019 và thử dò xem tài khoản quản lý máy chủ RDP của mình có khả năng bị dò ra hay không, nếu có hãy tăng cấp độ bảo mật cho việc xác thực tài khoản. Việc này không khó lắm, các bạn chỉ cần xem các tùy chọn trên máy chủ của mình rồi chọn và kiểm tra lại với xfreerdp cho chắc ăn.
2.Đặt mật khẩu mạnh
Việc này là hiển nhiên, ngay cả khi attacker tìm ra tên tài tài khoản quản lý RDP thì học phải hack vào bằng cách bẻ khóa với các tập từ điển mạnh. Các bạn hãy thử bẻ khóa hệ thống của mình với các tool chuyên dùng cho tình huống này ví dụ Cowbar, còn từ điển thì tải trên mạng, tự tạo …
Chủ đề này thuộc module System Hacking của CEH v10 hay lớp Hacker Mũ Xám, nếu các bạn chưa biết hãy tham gia học là cách nhanh nhất.
Tiền nhiều đề làm gì ? Để học, và học điểm làm nhiều tiền 🙂
Chữ học ở đây rất là rộng lớn
Quay trở lại vấn đề, nếu tự bẻ được thì phải làm gì các bạn biết rồi đó, hãy đặt password sao cho thật khó bẻ khó. Nói thì dễ nhưng coi bộ cũng mất công lắm !
3. Chống tấn công Bruteforce
Một cách hiệu quả khác là chống dò mật khẩu, ví dụ khi nhập sai mật khẩu vài lần thì khóa tài khoản không cho đăng nhập. Điều này có thể thực hiện dễ dàng trong Group Policy của hệ thống, một kiến thực thuộc Course Comptia Security+

Kết luận : Với các thao tác trên, các bạn có thể phòng chống hiệu quả việc bị dò hay bẻ khóa mật khẩu RDP từ xa. Dĩ nhiên, ta loại bỏ các tình huống bị sniffer hay bị tấn công qua đường khác như MS17-010 …Và nên phối hợp thêm với các hương dẫn khác. Lưu ý : Nếu không có nhu cầu thì nên tắt RDP đi.
Nguyễn Vinh / Founder of Security365

Các chương trình đào tạo về An Ninh Mạng http://akademy.edu.vn/cac-khoa-hoc/
Video http://bit.ly/2NlPkdf / Group https://www.facebook.com/groups/dongduongict/


Hướng Dẫn Sử Dụng DeepSound Audio Steganography Tool
- Click ‘Open carrier files (F2)’ hay drag & drop audio file (flac, wav, wma, mp3, ape) đến dành sách Carrier audio files.
- Click vào ‘Add secret files (F3)’ hay drag & drop secret tập tin trong danh sách Secret files trên bottom side của ứng dụng.
- Nhấn phím F4 hay click vào nút ‘Encode secret files’ .
- Ta có thể chọn định dạng xuất của file (wav, flac hay ape). DeepSound không hỗ trợ định dạng xuất wma. Do đó nếu muốn dấu dữ liệu mật vào tập tin wma ta cần dùng tool để chuyển đổi
- Trong hộp thoại ‘Encode secret files’ ta có thể bật hay tắt mã hóa AES-256 ..
- Click vào nút ‘Encode secret files’ để bắt đầu tiến trình.

Vnreview
TTO – Những bí kíp được tổng hợp và cung cấp từ chính Facebook sẽ giúp người dùng tự bảo vệ tài khoản cá nhân và các trang Facebook dành cho cộng đồng (Facebook Page) của mình.
Cảnh báo: Lỗ hổng quan trọng WinRAR ảnh hưởng đến tất cả các phiên bản được phát hành trong 19 năm qua
@ CEH VIETNAM https://cehvietnam.com

Một lỗ hổng thực thi mã từ xa nguy hiểm mới đã được phát hiện trong phần mềm WinRAR, ảnh hưởng đến hàng trăm triệu người dùng trên toàn thế giới.
Các nhà nghiên cứu về an ninh mạng tại Check Point đã tiết lộ chi tiết kỹ thuật về lỗ hổng nghiêm trọng trong WinRAR, một ứng dụng nén tệp Windows phổ biến với hơn 500 triệu người dùng trên toàn thế giới, ảnh hưởng đến tất cả các phiên bản phần mềm được phát hành trong 19 năm qua.
Lỗ hổng nằm trong một thư viện của bên thứ ba cũ là UNACEV2.DLL, được sử dụng bởi phần mềm để xử lý việc trích xuất các tệp được nén ở định dạng tệp lưu trữ nén trong dữ liệu ACE.
Tuy nhiên, vì WinRAR phát hiện định dạng theo nội dung của tệp chứ không phải bởi tiện ích mở rộng, kẻ tấn công cần thay đổi phần mở rộng .ace thành phần mở rộng .rar để làm cho nó trông bình thường.
Theo các nhà nghiên cứu, họ đã tìm thấy một lỗi “Đường dẫn tuyệt đối Absolute Path Traversal ” trong thư viện có thể được sử dụng để thực thi mã tùy ý trên một hệ thống mục tiêu khi nó giải nén một tệp độc hại, như video minh họa sau đây.
Lỗ hổng đường dẫn này cho phép kẻ tấn công trích xuất các tệp nén vào một thư mục mà chúng chọn thay vì thư mục do người dùng chọn, vì vậy hacker có khả năng thả mã độc vào thư mục Windows Startup để chúng tự động chạy trong lần khởi động lại tiếp theo.

Như được trình bày trong video trình diễn được các nhà nghiên cứu chia sẻ, để kiểm soát hoàn toàn các máy tính của nạn nhân, hững gì kẻ tấn công cần làm là thuyết phục người dùng mở tệp lưu trữ nén được tạo với mục đích độc hại bằng WinRAR.
Do nhóm WinRAR đã mất mã nguồn của thư viện UNACEV2.dll vào năm 2005, nên họ đã quyết định loại bỏ thư viện UNACEV2.dll khỏi gói của họ để khắc phục sự cố và phát hành phiên bản WINRar 5.70 beta 1 không hỗ trợ định dạng ACE.
Windows users are advised to install the latest version of WinRAR as soon as possible and avoid opening files received from unknown sources.
Người dùng Windows nên cài đặt phiên bản WinRAR mới nhất càng sớm càng tốt và tránh mở các tệp nhận được từ các nguồn không xác định hoặc thay thế bằng ứng dụng 7Zip như BQT Akademy.
BQT CEH VIETNAM @ https://cehvietnam.com