系統入侵步驟

獲取權限訪問(Gaining Access)

1. 破解密碼 Cracking Passwords
2. 提高權限 Escalating Privileges

維持存取訪問(Maintaining Access)

3. 執行後門 Executing Applications
4. 隱藏檔案 Hiding Files

清除日誌(Clearing Logs)

5. 覆蓋軌跡 Covering Tracks

破解密碼(Password Cracking)

系統入侵首先需要先破解密碼，進而獲取得訪問的權限，進行入侵行為。

1. 覆蓋原有密碼(recover passwords)
2. 取得執行存權(gain unauthorized access)
3. 猜密碼(guessable passwords)

常見密碼攻擊手法

1. 非電子攻擊(Non-Electronic Attacks) 偷看、偷聽、跟蹤…

   • 在背後偷看密碼(shoulder surfing)
   • 鍵盤側錄(keyboard sniffing)
   • 社交工程(social engineering)

2. 線上主動攻擊(Active Online attacks)

傳統破解方式，直接與目標接觸，以不斷嘗試密碼或弱點去猜測密碼。防禦方式是限制密碼錯誤次數，並且將其阻擋其來源或限制再次登入時間

• 字典攻擊(Dictionary file)：
  將字典裡面所查的到的任何單字或片語都輸入的程式中，然後使用該程式一個一個的去嘗試破解你的密碼
• 暴力破解(Brute Forcing Attack)：
  隨機、非常態、無意義的，可能利用鍵盤上面任何可以使用的按鍵，然後隨意組合密碼的方式去破解你的密碼
• 規則攻擊(Rule-Based Attack)：
  當攻擊者取得相關密碼資訊會使用此攻擊法
• 密碼猜測(Password Guessing)：
  當攻擊者取得可能的密碼清單(透過社交工程蒐集or其他任何辦法)，在受害者機器破解密碼
• 使用預設密碼去猜測密碼
• 使用工具--後門(Backdoors)：
  透過木馬(Trojan)/側錄軟體(Keyloggers)/間諜軟體(Spyware)蒐集受害者名稱&密碼，執行後門程式(Backdoors)將所有憑證資訊發送回攻擊者
• USB Drive：
  1. 下載PassView(密碼入侵)工具
  2. Copy下載檔案到USB Drive
  3. 在USB Drive Create Autorurn.inf //[autorun] en=launch.bat
  4. launch.bat 的內容 //start pspv.exe/stext pspv.txt
  5. 插入USB 和autorun window will pop-up (if enabled)
  6. PassView 讀取在背景執行，將密碼儲存在USB Drive 的文字檔(.txt)中
• Hash Injection Attack：
  傳遞Has攻擊是一種攻擊者，其中攻擊者竊取了Hash用戶憑證，並且在不破解的情況下，重新使用它來欺騙身份驗證系統在同一網絡上創建新的經過身份驗證的會話。混合攻擊(hybrid attack)：先用字典檔猜密碼後，再用暴力破解嘗試

3. 線上被動攻擊(Passive Online Attacks)

被動的監聽網路上的資料分析密碼，若網路上沒有人送出密碼則無法取得分析,若密碼在網路上加密也無法分析

• 網路監聽(Wire sniffing)
• 中間人攻擊(Man-in-the-Middle)
• 重送攻擊(Replay Attack)

4. 離線攻擊(Offline Attack)

將密碼檔離線做靜態分析，故較不容易被偵測到

• 彩虹表攻擊(Rainbow Talbe Attack)：
  預先計算字典檔、暴力破解清單、Hash值(pre-computed hashes)，對照找到破解密碼
  • Tools：rtgen、Winrtgen
• 分佈式網路攻擊(Distributed Network Attack，DNA)：
  為區網架構。透過一台中央控制的Server去分配底下的Clients去破解密碼。使用還原密碼Hash or 密碼保護檔

避免密碼被破解

1. 設定長密碼至少8碼以上，盡量採取特殊字元組合(數字、大寫、小寫、特殊符號混組合)
2. 定期更換密碼
3. 不要設定太簡單的字(如:password,love,computer...等)

權限提高(Privileges Escalating)

取得訪問權限(非admin)，下一步取得admin權限

• 類型：
  • Vertical Privilege Escalation
  • Horizontal Privilege Escalation
  • 透過DLL Hijacking 取得更高權限
  • 當取得admin權限後可以重設密碼(任何使用者的密碼)
• CMD：

  net user
      //show al accounts list
  net user [useraccoutname] *      
      //即可輸入重設密碼
  

• Tools：Active@ Password Changer

執行後門應用程式(Executing Applications)

利用惡意程式(spyware/keyloggers..)遠端至目標機器得到資訊和隱私，取得未經授權的訪問到系統資源、破解密碼、截圖、安裝後門程式..等

• Tools：RemoteExec、PDQ Deploy、Dameware Remote Support、KeyloggerPDQ
  Deploy 是一個快速在大量的電腦中同時安裝更新/應用程式的佈署工具。

隱藏檔案(Hiding Files)

Rootkits

Rootkit是一種以隱藏它們的存在以及攻擊者的惡意活動，使它們能够在當時和將來完全訪問服務器或主機的程式

• Rootkits Typer

  • Hypervisor Level Rootkit (管理程序級)
  • Hardware/Filrmware Rootkit (硬體/韌體)
  • Kernel Level Rootkit (內核級別)
  • Boot Loader Level Rootkit (開機載入程式)
  • Application Level Rootkit (應用程式)
  • Library Level Rootkit (圖書館)

• 偵測Rootkit的方式：

  1. Integrity-Based：
     將現在的file system、boot records、memory與基準線做比對
  2. Signature-Based：
     將system processes、executable files與特徵庫做比對
  3. Heuristic/Behavior-Based：
     根據系統的活動或行為做判斷
  4. Runtime Execution Path Profilling：
     針對特定路徑中程式的異常行為做比對
  5. Cross View-Based：
     將system files、processes、registry keys做比對

Steps 1：
    Run “dir /s /b /ah” & “dir /s /b /a-h” 可能感染OS
Steps 2：
    boot into a clean CD, Run “dir /s /b /ah” & ““dir /s /b /a-h” 在一些驅動
Steps 3：
    Run a clean version of WinDiff`

Rootkit技術通過修改這些資料結構來隱藏其它程式的行程、檔案、網路通訊和其它相關資訊（比如登錄檔和可能因修改而產生的系統紀錄檔等）。
例如，通過修改作業系統的EPROCESS連結串列結構可以達到隱藏行程的效果，掛鈎服務呼叫表可以隱藏檔案和目錄，掛鈎中斷描述符表則可以監聽鍵盤擊鍵等等。

資料參考：

1. CEHv9
2. 資安人駭客入侵行為介紹：https://www.informationsecurity.com.tw/SecondhandMarket/sdetail.aspx?sid=22
3. 資安人駭客入侵第四階段–系統入侵：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5197
4. 2018鐵人賽-虎虎大大： https://ithelp.ithome.com.tw/articles/10191892