# CEH --- # 5/30 ## 課程內容 Vin_Tang@uuu.com.tw ### CEH Exam Blueprint v4.0 導讀 9:10 ~ 9:23 CEH考試內容已更新，資料請以這個為準：CEH Exam Blueprint v4.0 考試sub Domain 20個 = 課程章節名稱 Number of Question = 會考幾題，共125題 考試時間4小時 大約70%就會過 ### course outline 9:23~ 9:28 1 介紹 2~5 情蒐 6 攻擊手法 7 病毒 8 側錄手法/區網攻擊(LAN attack) 9 社交工程（騙ＸＤ） 10 阻斷服務 (wan attack網路攻擊) 11 13 14 15 (web attack) 12 networking evading (網路相關攻擊) 16 無線 17 手機 18 物連網 19 雲端 20 密碼 ### 考試資訊 9:28~ 9:45 了解攻擊手法才知道怎麼防禦 主要講實務相關語考試相關 (練蕭崴時間) 請看課文，課文(電子教材？）才有答案；教材(ppt)的比重不高 恆逸有Remote Lab，之後會給資訊 使用期間：2021/5/30 + 35天 * 考試流程 1.登入eccexam 帳號(請事先註冊https://www.eccexam.com/#) 2.輸入考試序號後考試 後面會說 3.考官登入 4.考試同意書exam agreement 分數會在最下面，在我同意上面那一句 5.開始考試 考試證書只有pdf檔案，沒有紙本 ### 電子教材開通 9:45~ 10:13 ASPEN 網站註冊帳號 https://aspen.eccouncil.org/ -> My Courses 裡面把Subscription Code 輸入 課程結束之後填寫Evaluation，可以取得結訓證書，Ec-council就會寄考試序號到email 如果上面的步驟做完，沒收到考試序號： 1. 線上support即時聊天(Chat with us) 2. 寄信：aspensupport@eccouncil.org 3. 打電話：+1-844 550-4357 4. 找恆逸求救 證書有效期只有3年，續效期需要下列幾項**都符合**： 1. 年費：85鎂/per year 2. ECE Status：120點/3years 證明你有持續學習，點數計算方式在這https://aspen.eccouncil.org/ECE/ViewECECategories ### 正式上課-CH01 何謂道德駭客 10:15 #### 何謂資安 C 機密性 I 完整性 A 可用性 + 真實性 不可否認性 eg. 區塊鍊應用：為數位內容編號 nft：Non-Fungible Token 非同質代幣 #### 何謂攻擊 動機 Motive(Goal) 方法 Method 漏洞 Vulnerability(機會) #### 攻擊的種類 被動攻擊(Passive Attacks) 主動攻擊(Active Attacks)：中間人MITM、DoS、SQLi、session hijacking 近距離攻擊：翻垃圾桶啊 內賊攻擊：內部員工啊 傳播式攻擊：禮物啊 贈品啊 資訊戰(Information Warfare) 認知作戰 駭客攻擊行動 Cyber Kill Chain(獵殺鍊) 分七階段 駭客流程標準化 能夠有效防範駭客攻擊 MITRE ATT&CK CKC VS MITRE ATT&CK MITRE ATT&CK比較技術細節、具體 CKC比較抽象 七階段 1.Reconnaissance 駭客勘查 2.Weaponzation：載體 3.Delivery：怎麼提供 4.Exploitation：攻擊方式 5.Installation：惡意程式安裝 6.Command and Control(C2)：開打 7.Actions on Objectives：動機&原因 COA Cource of Action TTPs 找出攻擊者手法 攻擊行為識別（會考，在課文裡面） * * * * Http User Agent * C2 Server * DNS Tunneling DNS-over-HTTPS Arno0x/DNSExfiltrator on Github 伊朗駭客進行DoH的工具 * Use of Web Shell [檢測和應對利用Microsoft Exchange零日漏洞的行為](https://www.zerone.com.tw/Content/Product/7E5A23A9561B7F90) [China Chopper](https://en.wikipedia.org/wiki/China_Chopper)五眼聯盟撻伐，阿共菜刀ＸＤ * Data Staging：資料轉移大法 [Citrix內部網路遭國際犯罪集團駭入，傳為伊朗駭客所為](https://www.ithome.com.tw/news/129224) IoCs 入侵的指標，判斷你有沒有受到駭客入侵 email network host behavior hacker classes(會考) 11:15 * Black Hats：黑帽 * White Hats：白帽 * Gray Hats：灰帽(早上白的/晚上黑)，現在已失傳，因為不會沒錢吃飯 * Suicide Hackers 自殺駭客：就是不爽拉 老子跟你拼了 * ScriptKiddies 工具小子：利用現成的工具攻擊 * CyberTerrorists 網路的恐怖分子，敘利亞電子軍 民間網軍 * State-Sponsored Hackers 國家養的駭客，資通電軍/國安局 特定入侵行動辦公室 * Hacktivist 激進駭客 激進主義份子 例如：[Hack Brief: Anonymous Stole and Leaked a Megatrove of Police Documents](https://www.wired.com/story/blueleaks-anonymous-law-enforcement-hack/) 駭客攻擊的五階段 1. 勘查Reconnaissance * 被動：沒有直接接觸 * 主動：有直接接觸 2. 掃描Scan IP port 狀態 作業系統 3. 想辦法駭入 Gaining Access 4. 獲得持續控制權 Maintaining Access ：種木馬 後門 5. 清除足跡 Clearing Tracks：Log偽造 道德駭客Ethical Hacker：藉由駭客的攻擊手段來幫助主機安全 需要技能 專業技能：甚麼都要會就對了 > 安全是屬性而非功能 非專業技能： ### 資安控制措施 資訊保證 Information Assurance(IA)：所採取的措施要可以落實 縱深防禦 Defense-in-Depth(Layer Control Defense) 先設定深度後，設定層層關卡 -> 打遊戲關卡 Many Control Defense 有廣度沒深度，最弱的環節就會先出事 **Defense-in-Depth不等於Many Control Defense** 風險 Risk 發生的可能性極大 or 發生了會死人 = 高風險 在事件發生時將風險控制到可承受的程度 論風險控管的重要性，請右轉資料管理 網路威脅情資 Cyber Threat Intelligence(CTI) [【打造國家級資安情報力：八大CI打造資安資訊分享平臺】多數ISAC早在2017年完成，陸續加入CERT與二線SOC功能](https://www.ithome.com.tw/news/132220) Prevention 預警 ISAC 這裡就是CTI Detection 監控 SOC Correction 阻撓 CERT 什麼是CERT [快速釋疑：CERT、CSIRT和PSIRT到底有什麼不同？](https://www.ithome.com.tw/news/141156) 威脅模型 這裡他有講啥嗎@@ 好像沒有 Incident Management 13:15 事故應變 1. Reporting and Detection 2. Triage 分類，判斷嚴重性&真假 3. Analysis:事件發生的人事時地物 來龍去脈 4. Incident：相對應的應變 IH&R(會考) 1. 準備 2. 紀錄跟分派處理人員 3. 判斷嚴重性&真假 4. 通知人員 5. 封鎖，避免災情擴大 & 保全證據 6. 證據收集 & 鑑識分析 7. 找出問題真正原因 root cause 8. 災後復原 9. 記取教訓 經驗法則 機器學習(ML) * 監督式學習 pros:效率好、速度快 cons:教錯了就GG * 非監督式學習 pros:發覺人們沒有注意到的東西 cons: ### 資安相關的法規 PCI DSS：保障消費者個資 ISO 27001：資訊安全管理系統(ISMS)的規格書 [補充] ISO 27002：施行細則(code of Practice)，沒有證照 HIPAA：保護PHI(個人醫療病歷) 沙賓法案(SOX)：以公司治理的層級，管上市公司的內稽內控 DMCA 數位千禧年著作權法 FISMA 聯邦資訊安全管理法，要求政府機關需要進行資安 恆逸遠端Lab操作說明 請依照Excel說明操作 如果不小心關機，請打電話到恆逸報班級號碼：20211 ---- ## Module 02 情報收集 何謂Footprinting 就是蛛絲馬跡 ### 情蒐的對象及方式 #### 請出各家搜尋引擎 Google search的進階搜尋(會考) index of 網站搜尋目錄模式 ``` index of /admin ``` site:限制域名 篩選 or 過濾特定網站 ``` site:edu.tw ``` intitle:對標頭進行搜尋 ``` intitle:admin ``` inurl:對網址進行搜尋 ``` inurl:admin ``` [補充]filty:對檔案格式進行搜尋 ``` filty:doc ``` [google hacking database](https://www.exploit-db.com/google-hacking-database) Google dork 這裡是Google 的資料庫，可以利用這裡的資訊去做Gooogle search，~~可以挖到很多好東西~~ 其他的 圖片搜尋 反向的圖片搜尋：去追查圖片的詳細資訊 ### 網域名稱爆破 工具 https://dnsdumpster.com 使用方式：填入域名，打完還可以看到域名架構圖 ### 找地點 ### 找人 ### 找公司 Google finicense 人力銀行 ### 找暗網/深網 有些會架在TOR Browser ### 確認對方的OS 可以先去爬IP https://www.shodan.io 一個強大的IP搜尋引擎 可以找IP/特定服務/VPN... Competitive Intelligence競爭情報蒐集D 上市公司到處有 商情的就比較少 ### Web Service 新聞啊 論壇啊 ### 社交平台 Followerwonk Hootsuit：可以爬他在哪啊 BuzzSumo：社交搜尋引擎的搜尋網站 Case:[高度活躍於美國政壇的「紅髮正妹」，其實是間諜用 GAN 生成的虛擬人物！](https://buzzorange.com/techorange/2019/06/21/a-spy-in-the-us-is-inexistent) ### 針對網站 Burp Suite 爬蟲 程式碼 時光回溯機：https://web.archive.org Octoparse：爬網站中的所有網址 CeWL：字典產生器，爬對應網站產生 ### 追蹤Email mail 在不同的Server中傳遞，每台Server會把IP寫在標頭，可以藉由這個追蹤 ### Whois ### GO查找(地理位置) ### DNS名稱解析(工具請看課文) traceroute 指令 ：找來源至目的地封包傳遞的route ### 社交工程 [OSINK Framework](https://osintframework.com/) 一個非常炫砲的工具，可以根據你要找的東西給你對應的資源(網站) ----- ## Module 03 網路掃描 知道網路上存活的ip位置、 port、 os 、services 、漏洞 TCP 三大旗標 交握 連結導向 TCP八大旗標(BSD) [SYN] [ACK] [FIN] [RST] [PSH] [URG] [CWR] [NS] ### 掃描相關工具 Nmap(會考參數) Hping 封包產生工具 packet crafting tool 使用範例:  也可以ping別人，可以假造IP位置`-a <假造的IP>`  ### HostDiscovery 找出IP就對了，方法百百種 主機掃描(Nmap Host Scan) 四種表達方式 `nmap -sn <IP>` 萬用字源表示：整個網段爬一次 nmap -sn 10.10.10.* CIDR表示法：nmap -sn 10.10.10.0/24 連續IP表示法：nmap -sn 10.10.10.10-24 不連續IP表示法：nmap -sn 10.10.10.1,3,5 本機掃描（區網/LAN）是做ARP scan，不是ping swift；外網則是ICMP type=8(就是ping)+TCP Ack +ICMP type=13(Timestamp request要求時間戳記) --packet-trace -n 不做名稱解析 -PR ARP Scan -PU UDP Scan -PE ICMP ECHO request(就是ping)考過應該不會再考 還有哪些掃描(重點) -sn -PS ### Port Scanning #### TCP掃描 ##### TCP connect/Full Open scan 把TCP的三項交握測一輪[SYN]->[SYN,ACK]->[][][] `-sT` 執行connect scan Nmap 預設只掃描 1000 port(常用的) `-sT -p1-65535` 但是預設是1~65535個，全掃要多加`-p`設定範圍  ##### TCP Stealth Scan(Half-open Scan) 把TCP的三項交握測一半 如果是有開的port: [SYN]->[SYN,ACK]->[RST] 如果是沒開的port: [SYN]->[RST] `-sS` or 不帶任何參數就是執行Stealth Scan pros: 因為三項交握沒有做完，可以避免被Firewall log紀錄到行為(最陽春版本，有的是開始交握就紀錄) [補充]Router vs Firewall Router 裝好網路要通,掉封包要通知 * Default allow * Deny is exception Firewall 裝好網路要不通，要設定可連線的port * Default deny * Allow is exception ##### TCP 逆向旗標掃描 如果被檔，可以繞過TCP SYN flag 用其他的旗標測試 Windows 無法使用，因為Windows的TCP/IP並不標準 概念 如果是有開的port: 沒有回覆 No Response 如果是沒開的port: [RST] or [ACK] `-sX` Xmas Scan 聖誕節掃描 如果是有開的port: [FIN, PSH, URG]-> No Response 如果是沒開的port: [FIN, PSH, URG]-> [RST] `-sF` FIN Scan 分手掃描 如果是有開的port: [FIN]-> No Response 如果是沒開的port: [FIN]-> [RST] `-sN` NULL Scan 空掃描 就是不帶任何flag `-sM` TCP Maimon Scan 如果是有開的port: [FIN, ACK]-> No Response 如果是沒開的port: [FIN, ACK]-> [RST] `-sA` ACK Flag Probe Scan 確認來源及目的端是否存在狀態化防火牆 TTL-based 觀察IP的ttl標頭 Window-based 觀察 ??的win標頭  上面的是沒有檔的，下面是有檔的 IDLE/IPID Header Scan 有點聽不懂ＸＤ 剛剛恍神ＸＤ 我快當機惹orz 條件 殭屍電腦要空閒 殭屍電腦的IPID是流水號 流程 1. 先敲敲殭屍電腦 2. 殭屍電腦回復並給你IPID(封包的Header有ID) 3. 偽造殭屍電腦的IP丟目標 4. 殭屍電腦回覆目標一個IPID 5. 再次敲敲殭屍電腦 6. 殭屍電腦回復並給你IPID(封包的Header有ID) 7. 觀察IPID  #### UDP Scanning `-sU` `nmap 10.10.10.10 -sU -p137-139` 非連結導向 如果有收到：不理你 如果沒收到：回覆ICMP Type 3, Code 3 (Destination unreachable, Port unreachable)  137 port:[怪異版] port開啟的，卻還有回覆 -> Application層回覆的 138 port:[正常運作] port開啟的，沒有回覆 139 port:[正常運作] port關閉的，也有回覆ICMP Type 3, Code 3 #### SCTP `-sY` SCTP INIT Scanning 傳輸層還有他！ 電信業的TCP/IP `-sZ` SCTP Cookie Echo Scanning #### SSDP and List Scanning 一個服務，如果UDP 1900 `nmap -sL 10.10.10.1-10` 反解析IP名稱 #### IPv6 多加 `-6` 就會多掃描IPv6 #### Service Version `-sV` 列出服務的版本  有空可以做Lab 2 & Lab 3 # 6/6 os discovery 看作業系統封包,封包訊息有主動被動的差異 實務上作法 透過 nmap 指令 , 會判斷系統指紋資料 1. `nmap -O` 2. 看應用系統訊息 實務上作法 透過 nmap 指令 , 會判斷系統指紋資料 `nmap -sC` `nmap --script smb-os-discovery` `-sVC` -> `-sV` 版本 + `-sC` 應用層資訊 3. 或使用ＩＰ標頭的TTL值判斷作業系統 * Windows TTL = 128 * Linux = 64 Banner Grabbing Firewall Evasion Techniques 1. 封包分辨法 就是把封包切小 `nmap -f` 2. Source Routing 前提是你的Router要支援，不太管用 使用wireshark 去側錄封包  `ping -j 1.1.1.1 2.2.2.2 3.3.3.3` ip 標頭嵌入路由 IP Address Decoy 煙霧彈 (ip偽造) `nmap -D RND:6 target` `nmap D RND:6 10.10.10.16`  IP Address Spoofing `Hping3 -a` IP spoofing detection 判斷假造ip的方法TTL識別法 透過通過的router的節點數量判斷 TCP 標頭：Window size SEQ/ACK 分析這些參數 Proxy Chaining 代理伺服器希望越多台越好，所以才會有這玩意 Tor Browser就是他 Anonymizers匿名瀏覽 google搜尋：EFF Cover Your Tracks 模擬瀏覽器怎麼追蹤 https://coveryourtracks.eff.org/ https://ipleak.net/ 網路架構圖繪製 Draw Network Diagrams 實務上不會直接網管軟體畫圖，會被防火牆檔 ## Module 04 Enumeration 列舉（會考） 從系統中發現更多更詳細的資訊 不同的系統需要使用不同的系統列舉方式 Services and Ports to Enumerate（會考） NetBIOS Windows 的網路芳鄰 NetBIOS Code （會考） 前15個字是內容，第16個字是服務代碼 `nbtstat -a` or `nbtstat -A` Net View search share resources(找分享資料夾) `net view \\computername` `net view /domain:domainname` SNMP Enumeration 管理者和資訊提供者是同一個社群的，才會通； 有兩種： Read commuity string Read/write commuity string commuity string當密碼 MIB 儲存管理者資訊 [重點] OIDs 會考 ISO 控管 `snmp-check 10.10.10.10` windows才這樣？懷疑ˊ ˋ LDAP 是個目錄服務 最常看到用LDAP的服務是AD 匿名的情況下是沒有權限的，所以需要拿到一組合法帳號才能開始查詢 SMTP 指令會考 DNS Zone Transfer `nslookup` DNS Cache Snooping(會考) 非遞迴:Recursive Derired 設0 遞迴 DNSSEC Zone walking(考) ## Module 05 Vulnerability Analysis 弱掃 Vulnerability Research 1. 評估漏洞嚴重性(severity level) 2. 評估漏洞可利用性(exploitability) 漏洞是否好利用,決定修復的速度 如何判斷漏洞嚴重度 CVSS（會考） CVSS 2.0 VS CVSS 3.0 (差異在漏洞級距) 會考base source range ex: 所以4分歸類在low? YES 0 None 0-4 Low 4-7 Med 7-9 High 9-10 Vulnerability-Management Life Cycle 1. Pre-Assessment phase * 要注意Baseline 確認檢測數量定義合格條件 2. Vulnerability Assessment Phase * 實際進行檢測，找出漏洞 3. Post Assessment phase * Risk Assessment 風險評估 * Remediation 矯正(改設定,上patches) * Verification (驗證,rescan system,看設定是否正確) * Monitoring (持續監控) 4. Vulnerability classification * 設定不當（改設定） * 漏洞 (上parches) 5. types of Vulnerability assessment 看課文 6. 弱掃工具 * 產品式 * 服務式 ## Module 06 System Hacking windows 架構 1. 單機架構-> SAM c:\windows\system32\config\SAM or 到登入檔regedit -> HKEY_LOCAL_MACHINE裡面  下載工具提權：[sysinternals](https://docs.microsoft.com/en-us/sysinternals/) * PSTools 開啟新的cmd (具有system權限）`PsExex64.exe -s -i cmd.exe` 每一個帳號都有一組特定的ID值(RID 流水號，從1000開始，0-999 系統保留，500是內建管理者帳號0x1f4) V值靠近尾巴的位置有加密過的密碼 2. 單機登入(網路版 -> NTLM) 連線到windows的身份認證協定 SMB/CIFS TCP:139 SMB over NetBT(以前) TCP:445 SMB TCP（現在） * Authentication * NTLM v1:單向驗證（server 驗證 client) * NTLM v2:雙向驗證 * File/print sharing * IPC(inter-process communication) * 1.0 * 2.0 多了digital signature * 3.0 DS+Encryption 3. ad 認證 -> ntds.dit(kerberos) KDC * AS(Authentication services) * TGS  主動線上攻擊 * 字典攻擊
 首先要有字典檔 wordlist
SecLists on GitHub * 暴力攻擊 所有文字的排列組合，要知道(Char set 字元集) + Length 密碼長度 eg. US Keyboard A-Z: 26 a-Z: 26 0-9: 10 <symbol>: 32 <space>: 1 共計95個字(Char set 字元集) + Length 密碼長度 * Rule-based 對他的密碼邏輯有概念 PTH  Kerberos Attack: 1. Pass the Ticket 傳遞票卷攻擊 想辦法拿到到人家的票券，例如TGT or ST，可以使用mimikatz，將票券注入到自己的記憶體中 `kerberos::ptt <票券名稱>` `klist purge` 把票券刪除 2. Golden Ticket 黃金票券攻擊(TGT) AS_REP(TGT) 自己想辦法製作一張TGT出來 TGT 是由KRBTGT的密碼or密碼雜湊簽發出來的 工具：impacket 手法：DRSUAPI   3. Silver Ticket (ST) TGS_REP(ST) 服務的帳號Service Account password簽發的 可以存取服務，影響範圍需要根據服務 4. Kerberosting 火烤Kerberos 藉由取得的ST來拿到服務帳號，首先服務需要是用AD帳號註冊 註冊帳號：  5. AS_REP roasting 破解AS-REP的封包來取得Client的帳號密碼 不實用的東東，因為必須要有勾選使用者管理中的Do not require Kerberos preautentication，沒人會做這種事 6. Overpass the Hash (OverPTH) 工具:rubeus exe AD Attack: 1. Skeleton Key 實際案例：https://medium.com/cycraft/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730 使用mimikatz執行Skeleton幫每一組帳號設定後門密碼  實際用那組後門密碼登入  2. DCSync DRSUAPI：使用帳號進行DC複寫 **大大大前提，要有網域管理者權限** Rainbow Table Attack 論Hash + salt的重要性   $5 : crypto sha256 第二段: salt 第三段： 256bit  Vulnerability Exploitation Memory based vulnerabilities * Buffer Overflow * Stack 可以達到 Arbitrary Code Execution * Heap 可以達到 Data leak/ modification * Dangling Pointer * User After Free (UAF) * Double Free 水平提權 Demo 因為Windows有UAC會檔你直接安裝其他服務  所以須要想點方法繞過去，這邊使用UACME這個工具 `"Akagi64.exe" 48 cmd.exe` 48 是功能代碼.... 成功就會噴新的CMD給你用囉！ 接著就可以用psExec提權了  ## module 7 Malware Threats Malware 不懷好意的程式 -> 惡意程式 感染途徑 1. black hatSearch Engine Optimization (SEO)駭客搜尋引擎排名演算法 2.Social Engineered Click-jacking 社交工程的綁架點擊 你按到的東西不是你按的 3. Spearphishing Sites 目標式的釣魚(選定特定標的) 4. Malvertising 含有病毒的廣告(ex:谷哥廣告詐騙) 5.Compromised Legitimate Website 入侵合法網站(ex:watering hole attack)透過植入惡意程式在合法網站讓一般使用者中獎 6. Drive-by Downloads 結合watering hole attack 下載惡意程式 7. Spam Emails 垃圾郵件 構成惡意軟體的條件 ### APT APT = Advanced Persistent Threats 一種攻擊手法 一種低調緩慢的攻擊 1. 目標性 2. 沒有時間性 3. 有龐大的資源 4. 對於風險耐受度高 5. 6. [會考] APT生命週期(六階段攻擊) 會考流程順序 1. Preparation 準備 2. Initial Intrusion 發動攻擊 3. 建立C2連線攻擊(OBTAIN CREDENTIALS) 4. 製作後門程式 5. 情蒐,尋找目標資料,將資料外洩 6. 清除 善後 ### Trojan 木馬 目標：控制機器 ###### tags: `CEH`