owned this note
owned this note
Published
Linked with GitHub
# CEH
---
# 5/30
## 課程內容
Vin_Tang@uuu.com.tw
### CEH Exam Blueprint v4.0 導讀 9:10 ~ 9:23
CEH考試內容已更新,資料請以這個為準:CEH Exam Blueprint v4.0
考試sub Domain 20個 = 課程章節名稱
Number of Question = 會考幾題,共125題
考試時間4小時
大約70%就會過
### course outline 9:23~ 9:28
1 介紹
2~5 情蒐
6 攻擊手法
7 病毒
8 側錄手法/區網攻擊(LAN attack)
9 社交工程(騙XD)
10 阻斷服務 (wan attack網路攻擊)
11 13 14 15 (web attack)
12 networking evading (網路相關攻擊)
16 無線
17 手機
18 物連網
19 雲端
20 密碼
### 考試資訊 9:28~ 9:45
了解攻擊手法才知道怎麼防禦
主要講實務相關語考試相關
(練蕭崴時間)
請看課文,課文(電子教材?)才有答案;教材(ppt)的比重不高
恆逸有Remote Lab,之後會給資訊
使用期間:2021/5/30 + 35天
* 考試流程
1.登入eccexam 帳號(請事先註冊https://www.eccexam.com/#)
2.輸入考試序號後考試 後面會說
3.考官登入
4.考試同意書exam agreement 分數會在最下面,在我同意上面那一句
5.開始考試
考試證書只有pdf檔案,沒有紙本
### 電子教材開通 9:45~ 10:13
ASPEN 網站註冊帳號
https://aspen.eccouncil.org/
-> My Courses 裡面把Subscription Code 輸入
課程結束之後填寫Evaluation,可以取得結訓證書,Ec-council就會寄考試序號到email
如果上面的步驟做完,沒收到考試序號:
1. 線上support即時聊天(Chat with us)
2. 寄信:aspensupport@eccouncil.org
3. 打電話:+1-844 550-4357
4. 找恆逸求救
證書有效期只有3年,續效期需要下列幾項**都符合**:
1. 年費:85鎂/per year
2. ECE Status:120點/3years
證明你有持續學習,點數計算方式在這https://aspen.eccouncil.org/ECE/ViewECECategories
### 正式上課-CH01 何謂道德駭客 10:15
#### 何謂資安
C 機密性
I 完整性
A 可用性
+
真實性
不可否認性
eg.
區塊鍊應用:為數位內容編號
nft:Non-Fungible Token 非同質代幣
#### 何謂攻擊
動機 Motive(Goal)
方法 Method
漏洞 Vulnerability(機會)
#### 攻擊的種類
被動攻擊(Passive Attacks)
主動攻擊(Active Attacks):中間人MITM、DoS、SQLi、session hijacking
近距離攻擊:翻垃圾桶啊
內賊攻擊:內部員工啊
傳播式攻擊:禮物啊 贈品啊
資訊戰(Information Warfare)
認知作戰
駭客攻擊行動
Cyber Kill Chain(獵殺鍊) 分七階段
駭客流程標準化
能夠有效防範駭客攻擊
MITRE ATT&CK
CKC VS MITRE ATT&CK
MITRE ATT&CK比較技術細節、具體
CKC比較抽象
七階段
1.Reconnaissance 駭客勘查
2.Weaponzation:載體
3.Delivery:怎麼提供
4.Exploitation:攻擊方式
5.Installation:惡意程式安裝
6.Command and Control(C2):開打
7.Actions on Objectives:動機&原因
COA
Cource of Action
TTPs
找出攻擊者手法
攻擊行為識別(會考,在課文裡面)
*
*
*
* Http User Agent
* C2 Server
* DNS Tunneling
DNS-over-HTTPS
Arno0x/DNSExfiltrator on Github 伊朗駭客進行DoH的工具
* Use of Web Shell
[檢測和應對利用Microsoft Exchange零日漏洞的行為](https://www.zerone.com.tw/Content/Product/7E5A23A9561B7F90)
[China Chopper](https://en.wikipedia.org/wiki/China_Chopper)五眼聯盟撻伐,阿共菜刀XD
* Data Staging:資料轉移大法
[Citrix內部網路遭國際犯罪集團駭入,傳為伊朗駭客所為](https://www.ithome.com.tw/news/129224)
IoCs
入侵的指標,判斷你有沒有受到駭客入侵
email
network
host
behavior
hacker classes(會考) 11:15
* Black Hats:黑帽
* White Hats:白帽
* Gray Hats:灰帽(早上白的/晚上黑),現在已失傳,因為不會沒錢吃飯
* Suicide Hackers 自殺駭客:就是不爽拉 老子跟你拼了
* ScriptKiddies 工具小子:利用現成的工具攻擊
* CyberTerrorists 網路的恐怖分子,敘利亞電子軍 民間網軍
* State-Sponsored Hackers 國家養的駭客,資通電軍/國安局 特定入侵行動辦公室
* Hacktivist 激進駭客 激進主義份子 例如:[Hack Brief: Anonymous Stole and Leaked a Megatrove of Police Documents](https://www.wired.com/story/blueleaks-anonymous-law-enforcement-hack/)
駭客攻擊的五階段
1. 勘查Reconnaissance
* 被動:沒有直接接觸
* 主動:有直接接觸
2. 掃描Scan
IP
port
狀態
作業系統
3. 想辦法駭入 Gaining Access
4. 獲得持續控制權 Maintaining Access :種木馬 後門
5. 清除足跡 Clearing Tracks:Log偽造
道德駭客Ethical Hacker:藉由駭客的攻擊手段來幫助主機安全
需要技能
專業技能:甚麼都要會就對了
> 安全是屬性而非功能
非專業技能:
### 資安控制措施
資訊保證 Information Assurance(IA):所採取的措施要可以落實
縱深防禦 Defense-in-Depth(Layer Control Defense) 先設定深度後,設定層層關卡 -> 打遊戲關卡
Many Control Defense 有廣度沒深度,最弱的環節就會先出事
**Defense-in-Depth不等於Many Control Defense**
風險 Risk
發生的可能性極大 or 發生了會死人 = 高風險
在事件發生時將風險控制到可承受的程度
論風險控管的重要性,請右轉資料管理
網路威脅情資 Cyber Threat Intelligence(CTI)
[【打造國家級資安情報力:八大CI打造資安資訊分享平臺】多數ISAC早在2017年完成,陸續加入CERT與二線SOC功能](https://www.ithome.com.tw/news/132220)
Prevention 預警 ISAC 這裡就是CTI
Detection 監控 SOC
Correction 阻撓 CERT
什麼是CERT [快速釋疑:CERT、CSIRT和PSIRT到底有什麼不同?](https://www.ithome.com.tw/news/141156)
威脅模型
這裡他有講啥嗎@@ 好像沒有
Incident Management 13:15
事故應變
1. Reporting and Detection
2. Triage 分類,判斷嚴重性&真假
3. Analysis:事件發生的人事時地物 來龍去脈
4. Incident:相對應的應變
IH&R(會考)
1. 準備
2. 紀錄跟分派處理人員
3. 判斷嚴重性&真假
4. 通知人員
5. 封鎖,避免災情擴大 & 保全證據
6. 證據收集 & 鑑識分析
7. 找出問題真正原因 root cause
8. 災後復原
9. 記取教訓 經驗法則
機器學習(ML)
* 監督式學習
pros:效率好、速度快
cons:教錯了就GG
* 非監督式學習
pros:發覺人們沒有注意到的東西
cons:
### 資安相關的法規
PCI DSS:保障消費者個資
ISO 27001:資訊安全管理系統(ISMS)的規格書
[補充] ISO 27002:施行細則(code of Practice),沒有證照
HIPAA:保護PHI(個人醫療病歷)
沙賓法案(SOX):以公司治理的層級,管上市公司的內稽內控
DMCA 數位千禧年著作權法
FISMA 聯邦資訊安全管理法,要求政府機關需要進行資安
恆逸遠端Lab操作說明
請依照Excel說明操作
如果不小心關機,請打電話到恆逸報班級號碼:20211
----
## Module 02
情報收集
何謂Footprinting
就是蛛絲馬跡
### 情蒐的對象及方式
#### 請出各家搜尋引擎
Google search的進階搜尋(會考)
index of 網站搜尋目錄模式
```
index of /admin
```
site:限制域名 篩選 or 過濾特定網站
```
site:edu.tw
```
intitle:對標頭進行搜尋
```
intitle:admin
```
inurl:對網址進行搜尋
```
inurl:admin
```
[補充]filty:對檔案格式進行搜尋
```
filty:doc
```
[google hacking database](https://www.exploit-db.com/google-hacking-database)
Google dork
這裡是Google 的資料庫,可以利用這裡的資訊去做Gooogle search,~~可以挖到很多好東西~~
其他的
圖片搜尋
反向的圖片搜尋:去追查圖片的詳細資訊
### 網域名稱爆破
工具
https://dnsdumpster.com
使用方式:填入域名,打完還可以看到域名架構圖
### 找地點
### 找人
### 找公司
Google finicense
人力銀行
### 找暗網/深網
有些會架在TOR Browser
### 確認對方的OS
可以先去爬IP
https://www.shodan.io
一個強大的IP搜尋引擎
可以找IP/特定服務/VPN...
Competitive Intelligence競爭情報蒐集D
上市公司到處有
商情的就比較少
### Web Service
新聞啊 論壇啊
### 社交平台
Followerwonk Hootsuit:可以爬他在哪啊
BuzzSumo:社交搜尋引擎的搜尋網站
Case:[高度活躍於美國政壇的「紅髮正妹」,其實是間諜用 GAN 生成的虛擬人物!](https://buzzorange.com/techorange/2019/06/21/a-spy-in-the-us-is-inexistent)
### 針對網站
Burp Suite
爬蟲
程式碼
時光回溯機:https://web.archive.org
Octoparse:爬網站中的所有網址
CeWL:字典產生器,爬對應網站產生
### 追蹤Email
mail 在不同的Server中傳遞,每台Server會把IP寫在標頭,可以藉由這個追蹤
### Whois
### GO查找(地理位置)
### DNS名稱解析(工具請看課文)
traceroute 指令 :找來源至目的地封包傳遞的route
### 社交工程
[OSINK Framework](https://osintframework.com/)
一個非常炫砲的工具,可以根據你要找的東西給你對應的資源(網站)
-----
## Module 03 網路掃描
知道網路上存活的ip位置、 port、 os 、services 、漏洞
TCP 三大旗標 交握
連結導向
TCP八大旗標(BSD)
[SYN]
[ACK]
[FIN]
[RST]
[PSH]
[URG]
[CWR]
[NS]
### 掃描相關工具
Nmap(會考參數)
Hping 封包產生工具 packet crafting tool
使用範例:
也可以ping別人,可以假造IP位置`-a <假造的IP>`
### HostDiscovery
找出IP就對了,方法百百種
主機掃描(Nmap Host Scan)
四種表達方式
`nmap -sn <IP>`
萬用字源表示:整個網段爬一次 nmap -sn 10.10.10.*
CIDR表示法:nmap -sn 10.10.10.0/24
連續IP表示法:nmap -sn 10.10.10.10-24
不連續IP表示法:nmap -sn 10.10.10.1,3,5
本機掃描(區網/LAN)是做ARP scan,不是ping swift;外網則是ICMP type=8(就是ping)+TCP Ack +ICMP type=13(Timestamp request要求時間戳記)
--packet-trace
-n 不做名稱解析
-PR ARP Scan
-PU UDP Scan
-PE ICMP ECHO request(就是ping)考過應該不會再考
還有哪些掃描(重點)
-sn -PS
### Port Scanning
#### TCP掃描
##### TCP connect/Full Open scan
把TCP的三項交握測一輪[SYN]->[SYN,ACK]->[][][]
`-sT` 執行connect scan
Nmap 預設只掃描 1000 port(常用的)
`-sT -p1-65535`
但是預設是1~65535個,全掃要多加`-p`設定範圍
##### TCP Stealth Scan(Half-open Scan)
把TCP的三項交握測一半
如果是有開的port: [SYN]->[SYN,ACK]->[RST]
如果是沒開的port: [SYN]->[RST]
`-sS` or 不帶任何參數就是執行Stealth Scan
pros:
因為三項交握沒有做完,可以避免被Firewall log紀錄到行為(最陽春版本,有的是開始交握就紀錄)
[補充]Router vs Firewall
Router 裝好網路要通,掉封包要通知
* Default allow
* Deny is exception
Firewall 裝好網路要不通,要設定可連線的port
* Default deny
* Allow is exception
##### TCP 逆向旗標掃描
如果被檔,可以繞過TCP SYN flag
用其他的旗標測試
Windows 無法使用,因為Windows的TCP/IP並不標準
概念
如果是有開的port: 沒有回覆 No Response
如果是沒開的port: [RST] or [ACK]
`-sX` Xmas Scan 聖誕節掃描
如果是有開的port: [FIN, PSH, URG]-> No Response
如果是沒開的port: [FIN, PSH, URG]-> [RST]
`-sF` FIN Scan 分手掃描
如果是有開的port: [FIN]-> No Response
如果是沒開的port: [FIN]-> [RST]
`-sN` NULL Scan 空掃描
就是不帶任何flag
`-sM` TCP Maimon Scan
如果是有開的port: [FIN, ACK]-> No Response
如果是沒開的port: [FIN, ACK]-> [RST]
`-sA` ACK Flag Probe Scan
確認來源及目的端是否存在狀態化防火牆
TTL-based 觀察IP的ttl標頭
Window-based 觀察 ??的win標頭
上面的是沒有檔的,下面是有檔的
IDLE/IPID Header Scan 有點聽不懂XD 剛剛恍神XD 我快當機惹orz
條件
殭屍電腦要空閒
殭屍電腦的IPID是流水號
流程
1. 先敲敲殭屍電腦
2. 殭屍電腦回復並給你IPID(封包的Header有ID)
3. 偽造殭屍電腦的IP丟目標
4. 殭屍電腦回覆目標一個IPID
5. 再次敲敲殭屍電腦
6. 殭屍電腦回復並給你IPID(封包的Header有ID)
7. 觀察IPID
#### UDP Scanning
`-sU`
`nmap 10.10.10.10 -sU -p137-139`
非連結導向
如果有收到:不理你
如果沒收到:回覆ICMP Type 3, Code 3 (Destination unreachable, Port unreachable)
137 port:[怪異版] port開啟的,卻還有回覆 -> Application層回覆的
138 port:[正常運作] port開啟的,沒有回覆
139 port:[正常運作] port關閉的,也有回覆ICMP Type 3, Code 3
#### SCTP
`-sY` SCTP INIT Scanning
傳輸層還有他!
電信業的TCP/IP
`-sZ` SCTP Cookie Echo Scanning
#### SSDP and List Scanning
一個服務,如果UDP 1900
`nmap -sL 10.10.10.1-10`
反解析IP名稱
#### IPv6
多加 `-6` 就會多掃描IPv6
#### Service Version
`-sV` 列出服務的版本
有空可以做Lab 2 & Lab 3
# 6/6
os discovery
看作業系統封包,封包訊息有主動被動的差異
實務上作法 透過 nmap 指令 , 會判斷系統指紋資料
1. `nmap -O`
2. 看應用系統訊息
實務上作法 透過 nmap 指令 , 會判斷系統指紋資料
`nmap -sC`
`nmap --script smb-os-discovery`
`-sVC` -> `-sV` 版本 + `-sC` 應用層資訊
3. 或使用IP標頭的TTL值判斷作業系統
* Windows TTL = 128
* Linux = 64
Banner Grabbing
Firewall Evasion Techniques
1. 封包分辨法
就是把封包切小
`nmap -f`
2. Source Routing
前提是你的Router要支援,不太管用
使用wireshark 去側錄封包
`ping -j 1.1.1.1 2.2.2.2 3.3.3.3`
ip 標頭嵌入路由
IP Address Decoy 煙霧彈 (ip偽造)
`nmap -D RND:6 target`
`nmap D RND:6 10.10.10.16`
IP Address Spoofing
`Hping3 -a`
IP spoofing detection
判斷假造ip的方法TTL識別法
透過通過的router的節點數量判斷
TCP 標頭:Window size SEQ/ACK 分析這些參數
Proxy Chaining
代理伺服器希望越多台越好,所以才會有這玩意
Tor Browser就是他
Anonymizers匿名瀏覽
google搜尋:EFF Cover Your Tracks 模擬瀏覽器怎麼追蹤
https://coveryourtracks.eff.org/
https://ipleak.net/
網路架構圖繪製 Draw Network Diagrams
實務上不會直接網管軟體畫圖,會被防火牆檔
## Module 04 Enumeration 列舉(會考)
從系統中發現更多更詳細的資訊
不同的系統需要使用不同的系統列舉方式
Services and Ports to Enumerate(會考)
NetBIOS Windows 的網路芳鄰
NetBIOS Code (會考)
前15個字是內容,第16個字是服務代碼
`nbtstat -a` or `nbtstat -A`
Net View search share resources(找分享資料夾)
`net view \\computername`
`net view /domain:domainname`
SNMP Enumeration
管理者和資訊提供者是同一個社群的,才會通;
有兩種:
Read commuity string
Read/write commuity string
commuity string當密碼
MIB 儲存管理者資訊
[重點] OIDs 會考 ISO 控管
`snmp-check 10.10.10.10` windows才這樣?懷疑ˊ ˋ
LDAP
是個目錄服務
最常看到用LDAP的服務是AD
匿名的情況下是沒有權限的,所以需要拿到一組合法帳號才能開始查詢
SMTP
指令會考
DNS Zone Transfer
`nslookup`
DNS Cache Snooping(會考)
非遞迴:Recursive Derired 設0
遞迴
DNSSEC Zone walking(考)
## Module 05 Vulnerability Analysis
弱掃
Vulnerability Research
1. 評估漏洞嚴重性(severity level)
2. 評估漏洞可利用性(exploitability)
漏洞是否好利用,決定修復的速度
如何判斷漏洞嚴重度 CVSS(會考)
CVSS 2.0 VS CVSS 3.0 (差異在漏洞級距)
會考base source range
ex:
所以4分歸類在low? YES
0 None
0-4 Low
4-7 Med
7-9 High
9-10
Vulnerability-Management Life Cycle
1. Pre-Assessment phase
* 要注意Baseline 確認檢測數量定義合格條件
2. Vulnerability Assessment Phase
* 實際進行檢測,找出漏洞
3. Post Assessment phase
* Risk Assessment 風險評估
* Remediation 矯正(改設定,上patches)
* Verification (驗證,rescan system,看設定是否正確)
* Monitoring (持續監控)
4. Vulnerability classification
* 設定不當(改設定)
* 漏洞 (上parches)
5. types of Vulnerability assessment
看課文
6. 弱掃工具
* 產品式
* 服務式
## Module 06 System Hacking
windows 架構
1. 單機架構-> SAM
c:\windows\system32\config\SAM
or 到登入檔regedit -> HKEY_LOCAL_MACHINE裡面
下載工具提權:[sysinternals](https://docs.microsoft.com/en-us/sysinternals/)
* PSTools
開啟新的cmd (具有system權限)`PsExex64.exe -s -i cmd.exe`
每一個帳號都有一組特定的ID值(RID 流水號,從1000開始,0-999 系統保留,500是內建管理者帳號0x1f4)
V值靠近尾巴的位置有加密過的密碼
2. 單機登入(網路版 -> NTLM)
連線到windows的身份認證協定
SMB/CIFS
TCP:139 SMB over NetBT(以前)
TCP:445 SMB TCP(現在)
* Authentication
* NTLM v1:單向驗證(server 驗證 client)
* NTLM v2:雙向驗證
* File/print sharing
* IPC(inter-process communication)
* 1.0
* 2.0 多了digital signature
* 3.0 DS+Encryption
3. ad 認證 -> ntds.dit(kerberos)
KDC
* AS(Authentication services)
* TGS
主動線上攻擊
* 字典攻擊
首先要有字典檔 wordlist
SecLists on GitHub
* 暴力攻擊
所有文字的排列組合,要知道(Char set 字元集) + Length 密碼長度
eg.
US Keyboard
A-Z: 26
a-Z: 26
0-9: 10
<symbol>: 32
<space>: 1
共計95個字(Char set 字元集) + Length 密碼長度
* Rule-based
對他的密碼邏輯有概念
PTH
Kerberos Attack:
1. Pass the Ticket 傳遞票卷攻擊
想辦法拿到到人家的票券,例如TGT or ST,可以使用mimikatz,將票券注入到自己的記憶體中
`kerberos::ptt <票券名稱>`
`klist purge` 把票券刪除
2. Golden Ticket 黃金票券攻擊(TGT)
AS_REP(TGT)
自己想辦法製作一張TGT出來
TGT 是由KRBTGT的密碼or密碼雜湊簽發出來的
工具:impacket
手法:DRSUAPI
3. Silver Ticket (ST)
TGS_REP(ST)
服務的帳號Service Account password簽發的
可以存取服務,影響範圍需要根據服務
4. Kerberosting 火烤Kerberos
藉由取得的ST來拿到服務帳號,首先服務需要是用AD帳號註冊
註冊帳號:
5. AS_REP roasting
破解AS-REP的封包來取得Client的帳號密碼
不實用的東東,因為必須要有勾選使用者管理中的Do not require Kerberos preautentication,沒人會做這種事
6. Overpass the Hash (OverPTH)
工具:rubeus exe
AD Attack:
1. Skeleton Key
實際案例:https://medium.com/cycraft/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730
使用mimikatz執行Skeleton幫每一組帳號設定後門密碼
實際用那組後門密碼登入
2. DCSync
DRSUAPI:使用帳號進行DC複寫
**大大大前提,要有網域管理者權限**
Rainbow Table Attack
論Hash + salt的重要性
$5 : crypto sha256
第二段: salt
第三段: 256bit
Vulnerability Exploitation
Memory based vulnerabilities
* Buffer Overflow
* Stack 可以達到 Arbitrary Code Execution
* Heap 可以達到 Data leak/ modification
* Dangling Pointer
* User After Free (UAF)
* Double Free
水平提權 Demo
因為Windows有UAC會檔你直接安裝其他服務
所以須要想點方法繞過去,這邊使用UACME這個工具
`"Akagi64.exe" 48 cmd.exe`
48 是功能代碼....
成功就會噴新的CMD給你用囉!
接著就可以用psExec提權了
## module 7 Malware Threats
Malware 不懷好意的程式 -> 惡意程式
感染途徑
1. black hatSearch Engine Optimization (SEO)駭客搜尋引擎排名演算法
2.Social Engineered Click-jacking 社交工程的綁架點擊
你按到的東西不是你按的
3. Spearphishing Sites 目標式的釣魚(選定特定標的)
4. Malvertising 含有病毒的廣告(ex:谷哥廣告詐騙)
5.Compromised Legitimate Website 入侵合法網站(ex:watering hole attack)透過植入惡意程式在合法網站讓一般使用者中獎
6. Drive-by Downloads 結合watering hole attack 下載惡意程式
7. Spam Emails 垃圾郵件
構成惡意軟體的條件
### APT
APT = Advanced Persistent Threats
一種攻擊手法
一種低調緩慢的攻擊
1. 目標性
2. 沒有時間性
3. 有龐大的資源
4. 對於風險耐受度高
5.
6.
[會考] APT生命週期(六階段攻擊)
會考流程順序
1. Preparation 準備
2. Initial Intrusion 發動攻擊
3. 建立C2連線攻擊(OBTAIN CREDENTIALS)
4. 製作後門程式
5. 情蒐,尋找目標資料,將資料外洩
6. 清除 善後
### Trojan 木馬
目標:控制機器
###### tags: `CEH`
Google Drive
Gist
Clipboard
Sign in with Wallet
