Thursday, August 19, 2021

Digital Forensics: Brute Force Attack SSH PART II

DIGITAL FORENSICS: BRUTE FORCE ATTACK SSH PART II

Bruteforcing using hydra command 

สิ่งที่ต้องเตรียมในการทดสอบการโจมตีระบบโดยช่องทางSecure Shell (SSH)

 - nmap เป็นโปรแกรมที่ใช้ในการสแกนตรวจสอบเครื่องคอมพิวเตอร์และอุปกรณ์ในระบบเครือข่าย โดยรายละเอียด  IP Address , port, service, os  เป็นต้น

 - wordlists คือไฟล์ที่รวบรวม รหัสต่างไว้ เช่น ตัวเลข รหัสผ่าน  ข้อมูล password จากที่ต่างไว้สำหรับทดสอบ

 - Kali   คือระบบปฏิบัติการณ์ลินุกซ์ (Linux) ที่ใช้สำหรับทดสอบระบบ  โดยใช้ Metasploit  คือตัวโปรแกรมที่ใช้ในการทดสอบการเจาะระบบ(Penetration Testing)   Kali  มีเครื่องมือเกี่ยวกับ Password Attacks อยู่หลายโปรแกรม ตัวอย่างการทดสอบนี้ขอใช้  hydra

 - FreeBSD เครื่องคอมพิวเตอร์ เป้าหมายที่ถูกทดสอบการโจมตี 

บน kali Linux มีเครื่องมือเกี่ยวกับ Password Attacks อยู่หลายโปรแกรม ในที่นี้ขอแสดง ด้วยการใช้ตัว hydra 


Step 1

- nmap –sn 192.168.233.0/24

IP ทำการตรวจสอบ IP address ของเครื่องก่อน

Nmap –sn 192.168.233.0/24  ตรวจสอบ IP address ในเครือข่ายทั้งหมด
ผลลัพธ์ที่ได้ พบเครื่องคอมพิวเตอร์ เป้าหมายที่ถูกทดสอบมี IP 192.168.233.133  เปิดบริการพอร์ท  22 ssh

Step 2

- บน Kali ทำการเตรียม wordlists Rockyou

ls -l /usr/share/wordlists/

cd /usr/share/wordlists/

gunzip rockyou.txt.gz  ทำการแตกซิป

Step 3

- Kali   ใช้โปรแกรม Hydra

ทดสอบโดยใช้ command ตามตัวอย่าง โดยใช้ username เป็น elizabeth , ระบุตำแหน่งที่เก็บ Password และใส่ IP Address เป้าหมายให้ถูกต้องตามภาพด้านล่าง


hydra จะทำการสุ่ม Password ที่อยู่ใน file ทีละตัวตามภาพด้านล่าง ถ้า Password ไม่ยากและอยู่ใน file จะได้ผลสำเร็จตามภาพด้านล่าง password 

BRUTEFORCING USING HYDRA COMMAND 

ROOT@KALI:~#HYDRA -l ELIZABETH -P /USR/share/wordlists/ROCKYOU.TXT 192.168.233.133 -t 4 SSH

Step 4

บน Kali  ให้ใช้งาน SSH  ทำการนำ  user และ password ที่ได้ไป login ระบบ

  #ssh elizabeth@192.168.233.133


อ่านเพิ่มเติม

DIGITAL FORENSICS: BRUTE FORCE ATTACK SSH PART I


สรุป

จากจำลองเหตุการณ์ว่ามีการโจมตีไปในระบบ โดยวิธี Brute Force Attack ผ่านทาง SSH พบว่าการตั้ง password  ง่ายทำให้โดนโจมตีได้ง่ายและ โดนเดารหัสได้ง่าย  แนะนำวิธีการตั้งรหัสผ่านที่ปลอดภัย ,

 ใช้ ACL หรือ กำหนด firewall ให้ใช้ได้เฉพาะบาง IP Address 


ผู้ดูและระบบสามารถใช้คำสั่ง tail เพื่อสังเกตว่าระบบโดนโจมตี โดยวิธี Brute Force Attack ผ่านทาง SSHหรือไม่

#tail -f /var/log/messages |grep --color=always "ssh"





                password_attacks_jodoi 
                

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

No comments:

Post a Comment