Enumeration được định nghĩa là quá trình trích xuất tên người dùng, tên máy, tài nguyên mạng, chia sẻ và dịch vụ từ một hệ thống. Trong giai đoạn này, kẻ tấn công tạo ra một kết nối tích cực đến hệ thống và thực hiện các truy vấn được định hướng để có thêm thông tin về mục tiêu. Thông tin thu thập được được sử dụng để xác định các lỗ hổng hoặc điểm yếu trong bảo mật hệ thống và cố gắng khai thác trong giai đoạn Hệ thống đạt được.
Các loại thông tin được liệt kê bởi những kẻ xâm nhập
Khi nói đến việc thu thập thông tin trong bối cảnh an ninh mạng, những kẻ xâm nhập thường nhắm đến một loạt các loại thông tin cụ thể để khai thác hoặc thực hiện các cuộc tấn công tiếp theo. Các loại thông tin này có thể bao gồm:
Tài nguyên Mạng và Chia Sẻ
Các kẻ tấn công tìm kiếm thông tin về cấu trúc mạng nội bộ, bao gồm các máy chủ, bộ lưu trữ, và thiết bị mạng như bộ định tuyến và switch. Họ cũng tìm kiếm các tài nguyên được chia sẻ trên mạng, chẳng hạn như ổ đĩa mạng hoặc máy in, để xác định các điểm yếu hoặc tài nguyên quan trọng có thể bị khai thác.
Người dùng và Nhóm
Thông tin về người dùng và nhóm cho phép kẻ xâm nhập hiểu được quyền hạn truy cập cũng như mối quan hệ giữa các tài khoản khác nhau. Điều này có thể hỗ trợ việc thực hiện các cuộc tấn công nhằm vào quyền hạn tài khoản hoặc lừa đảo nhân viên.
Bảng Định Tuyến
Thông tin về bảng định tuyến có thể tiết lộ cách thức giao thông mạng được điều hướng trong tổ chức, từ đó giúp kẻ tấn công lập kế hoạch chèn ép hoặc giả mạo giao thông mạng.
Cài Đặt Kiểm Toán và Dịch Vụ
Các cài đặt kiểm toán và dịch vụ mạng có thể tiết lộ thông tin về các biện pháp bảo mật và giám sát đang được áp dụng. Hiểu rõ về các cài đặt này giúp kẻ xâm nhập tránh được sự phát hiện và tận dụng các lỗ hổng bảo mật.
Tên Máy
Tên của máy tính hoặc thiết bị mạng có thể cung cấp thông tin về chức năng hoặc vai trò của chúng trong mạng, giúp kẻ xâm nhập xác định các mục tiêu giá trị cao.
Ứng Dụng và Biểu Ngữ
Thông tin về các ứng dụng đang chạy trên hệ thống và các biểu ngữ (banners) liên quan thường được sử dụng để xác định phiên bản phần mềm và tiềm năng lỗ hổng bảo mật.
SNMP và Chi Tiết DNS
Simple Network Management Protocol (SNMP) và hệ thống tên miền (DNS) là các dịch vụ mạng quan trọng. Thông tin từ SNMP và DNS có thể giúp kẻ xâm nhập thu thập chi tiết về cấu hình mạng và tên miền, tăng cường khả năng tấn công mạng mục tiêu.
Việc thu thập và phân tích thông tin này đòi hỏi sự am hiểu sâu sắc về các hệ thống và mạng máy tính, cũng như kỹ năng thực hiện các kỹ thuật tấn công và khai thác thông tin một cách cẩn thận. Đối với các tổ chức, việc bảo vệ chống lại việc thu thập thông tin này là một phần quan trọng của chiến lược an ninh mạng, yêu cầu sự chú trọng đến các biện pháp bảo mật và giám sát mạng.
Các kỹ thuật để liệt kê
Trong lĩnh vực an ninh mạng, việc liệt kê và trích xuất thông tin là một phần không thể thiếu của quá trình khai thác hệ thống. Dưới đây là một số kỹ thuật phổ biến được sử dụng để thu thập thông tin quan trọng từ một hệ thống mục tiêu:
Trích xuất tên người dùng bằng cách sử dụng ID email
Kỹ thuật này tập trung vào việc thu thập tên người dùng thông qua ID email. Thông qua việc phân tích email, tấn công phishing, hoặc khai thác các dữ liệu rò rỉ trên internet, kẻ tấn công có thể xác định được ID người dùng liên quan đến các địa chỉ email nhất định, từ đó có thể tạo ra danh sách tên người dùng để thực hiện các cuộc tấn công tiếp theo.
Trích xuất thông tin bằng mật khẩu mặc định
Nhiều hệ thống và thiết bị được cấu hình với mật khẩu mặc định mà không bao giờ được thay đổi. Kẻ tấn công có thể sử dụng danh sách các mật khẩu mặc định phổ biến để cố gắng truy cập vào các hệ thống. Khi thành công, họ có thể trích xuất thông tin người dùng và nhóm, cũng như thông tin khác được lưu trữ trên hệ thống.
Brute Force Active Directory
Kỹ thuật này sử dụng phương pháp brute force để xác định tên người dùng và mật khẩu trong Active Directory, một dịch vụ thư mục của Microsoft. Qua đó, kẻ tấn công có thể thu thập thông tin đăng nhập và quyền truy cập vào tài nguyên mạng.
Trích xuất tên người dùng bằng SNMP
Simple Network Management Protocol (SNMP) là một giao thức quản lý mạng cho phép truy vấn thông tin từ các thiết bị mạng. Kẻ tấn công có thể sử dụng SNMP để trích xuất thông tin về cấu hình mạng, bao gồm cả tên người dùng, nếu họ có quyền truy cập vào community strings của SNMP.
Trích xuất nhóm người dùng từ Windows
Bằng cách khai thác các lỗ hổng bảo mật hoặc sử dụng công cụ chẩn đoán, kẻ tấn công có thể trích xuất thông tin về các nhóm người dùng trong môi trường Windows, bao gồm quyền và quy định áp dụng cho từng nhóm.
Trích xuất thông tin bằng cách sử dụng chuyển vùng DNS
Chuyển vùng DNS (DNS Zone Transfer) là quá trình sao chép dữ liệu từ máy chủ DNS chính sang máy chủ phụ. Kẻ tấn công có thể sử dụng chuyển vùng DNS để trích xuất thông tin cấu hình mạng, bao gồm các tên miền và địa chỉ IP liên quan, nếu họ có thể truy cập vào quyền chuyển vùng DNS.
Mỗi kỹ thuật này đều yêu cầu sự hiểu biết sâu sắc về cách thức hoạt động của hệ thống và mạng, cũng như kỹ năng sử dụng các công cụ và phương pháp tấn công. Các tổ chức cần áp dụng các biện pháp bảo mật mạnh mẽ, bao gồm việc thay đổi mật khẩu mặc định, hạn chế quyền truy cập SNMP và DNS, và sử dụng các giải pháp phần mềm bảo mật để bảo vệ thông tin quan trọng khỏi bị trích xuất và khai thác.
Dịch vụ và cổng để liệt kê
Trong quá trình liệt kê và thu thập thông tin mạng, việc xác định các dịch vụ và cổng hoạt động trên hệ thống mục tiêu là bước quan trọng giúp kẻ tấn công hoặc nhà nghiên cứu an ninh mạng phát hiện và khai thác các dịch vụ dễ bị tổn thương. Dưới đây là chi tiết về một số dịch vụ và cổng thường gặp và mục đích sử dụng của chúng:
TCP 53: Chuyển vùng DNS
Được sử dụng cho quá trình chuyển vùng DNS, cho phép máy chủ DNS chính truyền dữ liệu vùng đến máy chủ DNS phụ. Kẻ tấn công có thể sử dụng cổng này để trích xuất thông tin cấu hình mạng thông qua chuyển vùng không an toàn.
TCP 135: Microsoft RPC Endpoint Mapper
Cổng này liên quan đến Microsoft Remote Procedure Call (RPC) Endpoint Mapper, được sử dụng để quản lý các dịch vụ RPC trên Windows. Việc khai thác dịch vụ này có thể cho phép kẻ tấn công phát hiện các dịch vụ đang chạy và thực hiện các cuộc tấn công từ xa.
TCP 137: Dịch vụ Tên NetBIOS
Dịch vụ này liên quan đến việc giải quyết tên NetBIOS sang địa chỉ IP. Kẻ tấn công có thể sử dụng cổng này để thu thập thông tin về tên máy và cấu hình mạng.
TCP 139: Dịch vụ phiên NetBIOS (SMB qua NetBIOS)
Cổng này được sử dụng cho các kết nối Session Message Block (SMB) qua NetBIOS, thường liên quan đến chia sẻ tệp và máy in trong mạng LAN. Việc khai thác dịch vụ này có thể dẫn đến truy cập không được phép vào tài nguyên mạng.
TCP 445: SMB qua TCP (Máy chủ trực tiếp)
Cổng này cho phép giao tiếp SMB qua TCP/IP mà không cần NetBIOS. SMB dễ bị tổn thương trước các cuộc tấn công như WannaCry và NotPetya, làm cho cổng này trở nên quan trọng đối với an ninh mạng.
UDP 161: SNMP
Simple Network Management Protocol (SNMP) được sử dụng để quản lý thiết bị trong mạng. Cổng này có thể bị khai thác để trích xuất thông tin cấu hình và giám sát mạng.
TCP/UDP 389: LDAP
Lightweight Directory Access Protocol (LDAP) được sử dụng cho dịch vụ thư mục. Kẻ tấn công có thể khai thác cổng này để thu thập thông tin người dùng và nhóm.
TCP/UDP 3268: Global Catalog Service
Dịch vụ này cho phép truy vấn thông tin thư mục xuyên rừng trong Active Directory. Cổng này có thể bị khai thác để thu thập thông tin rộng rãi về người dùng và tài nguyên mạng.
TCP 25: Giao thức truyền thư đơn giản (SMTP)
Được sử dụng cho việc truyền thư điện tử qua mạng. Cổng này có thể bị khai thác để gửi thư rác hoặc thực hiện tấn công phishing.
Mỗi cổng và dịch vụ liệt kê ở trên đều có tiềm năng bị khai thác bởi kẻ tấn công nếu không được bảo vệ đúng cách. Do đó, việc quản lý cổng và dịch vụ cẩn thận, cũng như áp dụng các biện pháp an ninh mạng chặt chẽ, là rất quan trọng để bảo vệ hệ thống khỏi các mối đe dọa.
Các công nghệ Enumeration
NetBIOS Enumeration
NetBIOS là viết tắt của Network Basic Input Output System. Nó Cho phép giao tiếp máy tính qua mạng LAN và cho phép chúng chia sẻ tệp và máy in.
Tên NetBIOS được sử dụng để xác định các thiết bị mạng qua TCP / IP (Windows). Nó phải là duy nhất trên mạng, được giới hạn trong 16 ký tự trong đó 15 ký tự được sử dụng cho tên thiết bị và ký tự thứ 16 được dành để xác định loại dịch vụ đang chạy hoặc loại bản ghi tên.
Những kẻ tấn công sử dụng bảng liệt kê NetBIOS để lấy:
- Danh sách máy tính thuộc một miền
- Danh sách chia sẻ trên các máy chủ riêng lẻ trên mạng
- Chính sách và mật khẩu
Các lệnh và công cụ được sử dụng:
- Nbtstat: tiện ích được sử dụng để tìm số liệu thống kê giao thức, bảng tên NetBIOS và chi tiết bộ nhớ cache tên
- Superscan: Công cụ GUI được sử dụng để liệt kê máy tính Windows
- Net view: công cụ dòng lệnh để xác định tài nguyên được chia sẻ trên mạng
SNMP Enumeration
SNMP (Giao thức quản lý mạng đơn giản) là một giao thức lớp ứng dụng sử dụng giao thức UDP để duy trì và quản lý các bộ định tuyến, trung tâm và chuyển mạch các thiết bị mạng khác trên mạng IP. SNMP là một giao thức rất phổ biến được kích hoạt trên nhiều hệ điều hành như Windows Server, máy chủ Linux & UNIX cũng như các thiết bị mạng như bộ định tuyến, thiết bị chuyển mạch, v.v.
SNMP enumeration được sử dụng để liệt kê tài khoản người dùng, mật khẩu, nhóm, tên hệ thống, thiết bị trên một hệ thống đích.
Nó bao gồm ba thành phần chính:
- Thiết bị được quản lý: Thiết bị được quản lý là một thiết bị hoặc một máy chủ (về mặt kỹ thuật được gọi là nút) đã bật dịch vụ SNMP. Những thiết bị này có thể là bộ định tuyến, bộ chuyển mạch, trung tâm, cầu nối, máy tính, v.v.
- Tác nhân: Tác nhân có thể được coi là một phần mềm chạy trên một thiết bị được quản lý. Công việc chính của nó là chuyển đổi thông tin sang định dạng tương thích SNMP để quản lý mạng thông suốt bằng giao thức SNMP.
- Hệ thống quản lý mạng (NMS): Đây là các hệ thống phần mềm được sử dụng để giám sát các thiết bị mạng.
Tác nhân chạy trên mọi thiết bị SNMP sẽ cung cấp quyền truy cập vào cơ sở dữ liệu có thể đọc và ghi. Cơ sở dữ liệu được gọi là cơ sở thông tin quản lý (MIB) được tổ chức phân cấp và là một cơ sở dữ liệu ảo chứa mô tả chính thức của tất cả các đối tượng mạng được xác định bởi một mã định danh đối tượng cụ thể (OID) có thể được quản lý bằng SNMP. Đó là một kho lưu trữ khổng lồ các giá trị và cài đặt. Có một người quản lý tham gia vào quá trình và người quản lý sẽ hỏi người đại diện để biết các chi tiết khác nhau.
Chuỗi cộng đồng là một chuỗi văn bản được sử dụng để xác thực thông tin liên lạc giữa các trạm quản lý và thiết bị mạng mà các tác nhân SNMP được lưu trữ trên đó. Các Chuỗi cộng đồng di chuyển dưới dạng văn bản rõ ràng qua mạng, do đó có thể bị các cuộc tấn công dò tìm mạng. Chuỗi cộng đồng được gửi với mọi gói mạng được trao đổi giữa nút và trạm quản lý.
Hai loại community String:
- Chỉ đọc: Chế độ này cho phép truy vấn thiết bị và đọc thông tin, nhưng không cho phép bất kỳ loại thay đổi nào đối với cấu hình. Chuỗi cộng đồng mặc định cho chế độ này là “công khai”.
- Đọc ghi: Trong chế độ này, cho phép các thay đổi đối với thiết bị; do đó nếu một người kết nối với chuỗi cộng đồng này, chúng tôi thậm chí có thể sửa đổi cấu hình của thiết bị từ xa. Chuỗi cộng đồng mặc định cho chế độ này là “riêng tư”.
khi các chuỗi cộng đồng được để ở cài đặt mặc định, những kẻ tấn công sẽ tận dụng cơ hội và tìm ra sơ hở trong đó.
Một số công cụ:
- Bộ công cụ giám sát mạng OpUtils – http://www.manageengine.com
- SolarWinds (công cụ liệt kê SNMP tốt nhất) – www.solarwinds.com
- công cụ dòng lệnh: SNMP-WALK, SNMP-CHECK
Các biện pháp đối phó:
- Xóa hoặc tắt tác nhân SNMP trên máy chủ
- Chặn cổng 161 ở tất cả các thiết bị truy cập mạng ngoại vi
- Hạn chế quyền truy cập vào các địa chỉ IP cụ thể
- Sử dụng SNMPv3 (an toàn hơn)
- Triển khai tùy chọn bảo mật Chính sách nhóm được gọi là “Hạn chế bổ sung cho các kết nối ẩn danh”
- Quyền truy cập vào các đường ống phiên rỗng, chia sẻ phiên rỗng và lọc IPsec cũng nên bị hạn chế
LDAP Enumeration
Giao thức The Lightweight Directory Access Protocol là một giao thức được sử dụng để truy cập danh sách thư mục trong Active Directory hoặc từ các dịch vụ thư mục khác. Một thư mục thường được biên dịch theo định dạng phân cấp và logic, giống như các cấp quản lý và nhân viên trong một công ty. LDAP có xu hướng gắn liền với Hệ thống tên miền để cho phép tra cứu nhanh được tích hợp và giải quyết nhanh các truy vấn. LDAP thường chạy trên cổng 389 và giống như các giao thức khác thường có xu hướng tuân theo một bộ quy tắc riêng biệt (của RFC). Có thể truy vấn dịch vụ LDAP, đôi khi ẩn danh để xác định lượng lớn thông tin có thể thu thập được của người thử nghiệm, tên người dùng hợp lệ, địa chỉ, chi tiết phòng ban có thể được sử dụng trong một cuộc tấn công vũ phu hoặc kỹ thuật xã hội.
Công cụ:
- Jxplorer – http://www.jxplorer.org/
- Công cụ quản trị LDAP – http://www.ldapsoft.com
Các biện pháp đối phó:
- Sử dụng NTLM hoặc Xác thực cơ bản để giới hạn quyền truy cập chỉ cho những người dùng đã biết.
- Theo mặc định, lưu lượng LDAP được truyền không an toàn; sử dụng công nghệ SSL để mã hóa lưu lượng.
- Chọn tên người dùng khác với địa chỉ email của bạn và bật khóa tài khoản.
NTP Enumeration
The Network Time Protocol là một giao thức để đồng bộ hóa thời gian trên toàn bộ mạng của bạn, điều này đặc biệt quan trọng khi sử dụng Dịch vụ Thư mục. Có một số máy chủ thời gian trên khắp thế giới có thể được sử dụng để giữ cho các hệ thống được đồng bộ hóa với nhau. NTP sử dụng cổng UDP 123. Thông qua liệt kê NTP, bạn có thể thu thập thông tin như danh sách máy chủ được kết nối với máy chủ NTP, địa chỉ IP, tên hệ thống và hệ điều hành đang chạy trên hệ thống máy khách trong mạng. Tất cả thông tin này có thể được liệt kê bằng cách truy vấn máy chủ NTP.
SMTP Enumeration
The Simple Mail Transport Protocol được sử dụng để gửi thư email thay vì POP3 hoặc IMAP có thể được sử dụng để gửi và nhận thư. SMTP dựa vào việc sử dụng máy chủ Mail Exchange (MX) để chuyển hướng thư đến qua Dịch vụ tên miền, tuy nhiên, nếu máy chủ MX không được phát hiện, SMTP sẽ hoàn nguyên và thử bản ghi A hoặc SRV. SMTP thường chạy trên cổng 25.
SMTP enumeration cho phép chúng tôi xác định người dùng hợp lệ trên máy chủ SMTP. Điều này được thực hiện với các lệnh SMTP tích hợp sẵn trợ giúp, chúng
- VRFY – Lệnh này được sử dụng để xác thực người dùng.
- EXPN – Lệnh này cho biết địa chỉ gửi thực tế của các bí danh và danh sách gửi thư.
- RCPT TO – Nó xác định người nhận tin nhắn.
Dụng cụ:
NestScanTools Pro
Các biện pháp đối phó:
Định cấu hình máy chủ SMTP để bỏ qua các thông báo email đến người nhận không xác định.
Không bao gồm thông tin như hệ thống chuyển tiếp thư đang được sử dụng, địa chỉ IP nội bộ hoặc thông tin máy chủ.
Tắt tính năng rơ le mở.
DNS Enumeration
DNS Enumeration là quá trình định vị tất cả các máy chủ DNS và các bản ghi tương ứng của chúng cho một tổ chức. Việc liệt kê DNS sẽ mang lại tên người dùng, tên máy tính và địa chỉ IP của các hệ thống mục tiêu tiềm năng. Danh sách bản ghi DNS cung cấp tổng quan về các loại bản ghi tài nguyên (bản ghi cơ sở dữ liệu) được lưu trữ trong các tệp vùng của Hệ thống tên miền (DNS). DNS triển khai một cơ sở dữ liệu phân tán, phân cấp và dự phòng cho thông tin được liên kết với tên miền và địa chỉ Internet.
DNS Zone Transfer được sử dụng để sao chép dữ liệu DNS trên một số máy chủ DNS hoặc để sao lưu các tệp DNS. Người dùng hoặc máy chủ sẽ thực hiện yêu cầu chuyển vùng cụ thể từ máy chủ ―name. Nếu máy chủ định danh cho phép người dùng ẩn danh chuyển vùng, tất cả các tên DNS và địa chỉ IP do máy chủ định danh lưu trữ sẽ được trả về dưới dạng văn bản ASCII mà con người có thể đọc được.
Công cụ:
nslookup, maltego, dnenum, dnsrecon
Các biện pháp đối phó:
- Tắt chuyển vùng bởi máy chủ không đáng tin cậy
- Đảm bảo rằng tên máy chủ riêng tư không được tham chiếu đến địa chỉ IP trong tệp vùng DNS của máy chủ DNS có thể truy cập công khai.
- Sử dụng dịch vụ đăng ký cao cấp.
