Kiểm soát trình duyệt của một người không dễ dàng. Và các trình duyệt phổ biến được thiết kế để ngăn chặn điều đó. Nhưng tin tặc có thể làm được bằng cách sử dụng cái được gọi là tấn công man-in-the-browser.

Vậy chính xác thì tấn công man-in-the-browser là gì? Và quan trọng hơn, làm thế nào để ngăn chặn nó?

Tấn công Man-in-the-Browser là gì?

Tấn công man-in-the-browser (MitB) là khi một Trojan được sử dụng để đánh chặn hoặc sửa đổi dữ liệu được gửi giữa trình duyệt và máy chủ web.

Thường bằng cách sử dụng các tiện ích mở rộng trình duyệt (extension) không an toàn, script hoặc đối tượng trợ giúp trình duyệt (Browser Helper Object).

Tấn công man-in-the-browser là một kiểu tấn công man-in-the-middle. Nó có đặc điểm là đánh chặn ở cấp ứng dụng chứ không phải cấp mạng.

Không giống như các cuộc tấn công phishing, người dùng không bắt buộc phải truy cập vào một trang web độc hại. Thay vào đó, người dùng truy cập một trang web hợp pháp nhưng những gì họ thực sự thấy thì được kiểm soát bởi kẻ tấn công.

Tấn công man-in-the-browser có thể được sử dụng để:

• Thay đổi giao diện của một trang web.
• Thêm cột/trường mới.
• Sửa đổi phản hồi của trang web đối với đầu vào.
• Chặn thông tin được gửi bởi người dùng.
• Sửa đổi thông tin được gửi bởi người dùng.
• Chiếm đoạt toàn bộ phiên trong thời gian thực.

Khi nào các cuộc tấn công Man-in-the-Browser xảy ra?

Các cuộc tấn công man-in-the-browser chủ yếu được thực hiện trong các giao dịch tài chính. Hoặc đánh cắp tài khoản Facebook.

Ví dụ: Khi bạn cài đặt một extension độc hại, nó có thể lấy cookie, token Facebook của bạn và gửi về máy chủ Hacker. Hoặc thông tin về tài khoản Internet Banking. Khi thành công, chi tiết thanh toán của bạn có thể bị đánh cắp và thanh toán thậm chí có thể chuyển cho một người khác.

Loại tấn công này cũng có thể được sử dụng để đánh cắp thông tin cá nhân. Ví dụ: nếu bạn gặp một biểu mẫu trực tuyến yêu cầu số CMND/CCCD của bạn, hoặc số điện thoại, thông tin cá nhân…

Các cuộc tấn công Man-in-the-Browser hoạt động như thế nào?

Các cuộc tấn công Man-in-the-browser có thể được thực hiện theo một số cách khác nhau. Đây là cách các cuộc tấn công MitB thường hoạt động:

1. Bạn vô tình tải Trojan về máy. Điều này có thể xảy ra nếu bạn truy cập sai trang web, tải sai file hoặc mở tệp đính kèm email sai.
2. Trojan cài đặt thứ gì đó có thể thao túng trình duyệt của bạn. Thông thường là một tiện ích mở rộng trong trình duyệt.
3. Bạn mở trình duyệt của mình và tiện ích mở rộng sẽ tự động được load. Tiện ích mở rộng đó sẽ có một danh sách các trang web mà nó tương thích. Nó sẽ không có tác dụng gì cho đến khi bạn truy cập một trong những trang web đó.
4. Bạn truy cập trang web ngân hàng có trong danh sách và tiện ích mở rộng sẽ được bật. Nó ghi lại mọi thứ bạn nhập vào từ bàn phím.
5. Bạn đăng nhập vào tài khoản của mình và yêu cầu chuyển khoản ngân hàng 100 triệu.
6. Tiện ích mở rộng đó sẽ sửa đổi thông tin để tiền chuyển từ 100 triệu lên thành 1 tỷ và tiền sẽ chuyển đến tài khoản ngân hàng của kẻ tấn công.
7. Ngân hàng của bạn nhận được yêu cầu, chuyển tiền và phản hồi lại rằng chuyển khoản đã thành công.
8. Tiện ích mở rộng sửa đổi phản hồi của ngân hàng và trình duyệt của bạn cho bạn biết rằng 100 triệu đó đã được chuyển thành công.

Trong ví dụ này, cả bạn hoặc ngân hàng của bạn đều không có gì để nghi ngờ.

Cách Ngăn chặn Man-in-the-Browser

Các cuộc tấn công man-in-the-browser rất khó bị phát hiện. Chúng chỉ xảy ra khi bạn truy cập các trang web hợp pháp. Và chúng được thiết kế để cung cấp các phản hồi có vẻ hợp pháp và bình thường.

Tin tốt là chúng ta có thể được ngăn chặn các cuộc tấn công này.

Sử dụng xác thực ngoài băng tần

Xác thực ngoài băng tần (Out-of-band authentication) là một loại xác thực hai yếu tố có thể ngăn chặn các cuộc tấn công man-in-the-browser.

Xác thực ngoài băng tần sử dụng một kênh phụ như SMS để xác nhận chi tiết của bất kỳ giao dịch nào bạn thực hiện.

Ví dụ: nếu bạn đang thực hiện chuyển khoản ngân hàng, trước tiên bạn sẽ phải nhận được tin nhắn SMS từ ngân hàng của mình. Thông báo sẽ bao gồm tất cả các chi tiết giao dịch và nó sẽ không tiếp tục cho đến khi bạn trả lời xác nhận.

Ý tưởng ở đây là nếu trình duyệt của bạn bị xâm phạm, rất khó có khả năng kẻ tấn công có quyền truy cập vào thẻ SIM của bạn.

Sử dụng phần mềm bảo mật

Bất kỳ phần mềm bảo mật đáng tin cậy nào cũng sẽ khiến Trojan hầu như không thể được cài đặt trên máy tính của bạn.

Các sản phẩm chống vi-rút hiện đại không chỉ được thiết kế để ngăn chặn các chương trình như vậy được cài đặt, chúng còn giám sát toàn bộ máy tính của bạn để tìm các chương trình có hành vi giống như Trojan. Điều này có nghĩa là nếu một chương trình vượt qua AV của bạn, nó sẽ bị bắt khi bắt đầu thao tác với trình duyệt.

Nhận biết khi máy tính bị nhiễm Trojan

Nếu máy tính của bạn bị nhiễm Trojan, nó thường sẽ bắt đầu hoạt động thất thường. Dưới đây là một số điều cần chú ý.

• Trình duyệt của bạn đang đưa bạn đến các trang web mà bạn không yêu cầu.
• Trình duyệt của bạn đột nhiên hiển thị nhiều quảng cáo hơn.
• Kết nối internet của bạn bị gián đoạn.
• Máy tính của bạn tự kết nối với Internet.
• Máy tính của bạn hiển thị thông báo popup.
• Máy tính của bạn chậm hơn bình thường.
• Các chương trình đang chạy không do bạn mở.
• Các tệp được di chuyển hoặc bị xóa mà bạn không biết.

Tránh các trang web độc hại

Phần mềm bảo mật rất hữu ích nhưng nó chỉ nên được sử dụng như một tuyến phòng thủ cuối cùng. Điều quan trọng hơn là các trang web bạn truy cập và các tệp bạn tải xuống.

Cố gắng tránh các trang web đáng nghi vấn như những trang cung cấp bất kỳ thứ gì vi phạm bản quyền. Hãy cẩn thận với những gì bạn tải xuống và nơi bạn tải xuống.

Bảo mật email

Email là một phương pháp phổ biến để phát tán Trojan. Những kẻ tấn công gửi hàng triệu email với hy vọng chỉ một số ít sẽ được mở. Email có thể gửi Trojan dưới dạng tệp đính kèm và liên kết đến các trang web độc hại.

Không nên mở email từ những người gửi không xác định và nghi ngờ bất kỳ yêu cầu bạn tải xuống thứ gì đó hoặc nhấp vào liên kết.

Tấn công man-in-the-browser là một trong những cách hiệu quả nhất để đánh cắp thông tin từ những người dùng trực tuyến.

Tin tốt là tuy khó phát hiện nhưng chúng rất dễ ngăn chặn. Một cuộc tấn công man-in-the-browser là không thể xảy ra nếu bạn không cài đặt Trojan từ trước. Và với phần mềm bảo mật phù hợp và thói quen duyệt web an toàn, đây không phải là điều bạn cần lo lắng.

Câu hỏi thường gặp

Man-in-the-browser (MitB) là gì và nó nguy hiểm như thế nào?

MitB là một loại tấn công mạng nhắm vào trình duyệt web của người dùng. Kẻ tấn công sử dụng phần mềm độc hại để đánh chặn và sửa đổi dữ liệu giữa trình duyệt và máy chủ, cho phép chúng thay đổi nội dung trang web, đánh cắp thông tin đăng nhập và thực hiện các hành vi gian lận tài chính.

Tôi có thể làm gì để bảo vệ mình khỏi các cuộc tấn công MitB?

Sử dụng phần mềm diệt virus cập nhật thường xuyên, tránh truy cập các trang web không đáng tin cậy, cẩn thận với các tệp đính kèm email và liên kết, và bật xác thực hai yếu tố (2FA) cho tất cả các tài khoản quan trọng là những biện pháp phòng ngừa hiệu quả.

Nếu tôi nghi ngờ máy tính của mình bị nhiễm MitB, tôi nên làm gì?

Hãy quét máy tính của bạn bằng phần mềm diệt virus và phần mềm chống malware. Nếu phát hiện phần mềm độc hại, hãy xóa chúng và thay đổi mật khẩu cho tất cả các tài khoản trực tuyến của bạn. Bạn cũng nên liên hệ với chuyên gia an ninh mạng để được hỗ trợ thêm.

Mình sẽ chỉ bạn cách đăng nhập không cần mật khẩu để chứng minh lỗi đăng nhập của VNPT Long An. Nếu bạn có thể liên lạc được với lãnh đạo hoặc người điều hành website này, hãy thông báo với họ về lỗi này nhé !

Cách đăng nhập vào Website VNPT không cần mật khẩu

Thông thường, khi phụ huynh đã đăng ký dịch vụ tra cứu điểm online thì sẽ có mật khẩu để xem điểm. Để có thể xem được điểm của học sinh, phụ huynh phải điền đúng số điện thoại và mật khẩu đã đăng ký tại trang chủ https://school.vnptlongan.vn/

Nếu đăng nhập đúng tài khoản và mật khẩu, thì bạn sẽ được chuyển đến trang xem điểm https://school.vnptlongan.vn/xem-diem

Nhưng đột nhiên mình thấy có một vài trục trặc trên website này. Mình xin phép không nói cụ thể về đoạn code bị lỗi . Tránh trường hợp Hacker khai thác và tấn công vào cơ sở dữ liệu. Bây giờ mình sẽ chứng minh lỗi đó cho bạn xem.

Mình có liên hệ một phụ huynh có con học tại Long An và có đăng ký dịch vụ xem điểm online. Mình điền vào số điện thoại đã đăng kí vào ô đăng nhập. Nhưng mật khẩu thì mình điền bậy bạ vì mình không có hỏi mật khẩu của người này.

Khi mình ấn đăng nhập thì sẽ bị báo mật khẩu sai như ảnh trên. Tuy nhiên, mình đổi địa chỉ truy cập thành trang xem điểm https://school.vnptlongan.vn/xem-diem thì lại xem được điểm của số điện thoại đó.

Tóm lược

Hệ thống đã thực hiện việc kiểm tra mật khẩu trên Cơ sở dữ liệu. Tuy nhiên, lại cấp quyền xem điểm cho số điện thoại đó. Mình nhập sai mật khẩu nhưng vẫn xem được điểm. Có lẽ đây là một lỗi đáng cân nhắc.

Mình không chụp ảnh điểm của học sinh đó vì mình tôn trọng quyền riêng tư của em ấy. Bạn nào đang là lập trình viên back-end thì nên lưu ý trường hợp này. Vì lỗi này sẽ khiến website trở nên mất uy tín và tin tưởng của người dùng.

Một website được xem là hoàn hảo khi cả hai yếu tố Front-end (Giao diện) và Back-end (Xử lý dữ liệu) đều ổn. Bài viết này là một bài học quý giá cho các bạn đang theo học lập trình web hướng Back-end.

Hi vọng website VNPT Long An sẽ được thông báo sớm về tình trạng lỗi này và khắc phục.

Tác giả 27NeverDie

(facebook.com/27hoangtieng)

Cms Admin Page Bypass

[su_box title=”Lời Nhắn” style=”glass” box_color=”#d33734″ radius=”1″]Cách Hack này áp dụng trong các web của Tàu khựa để anh em nào muốn nghiêng cứu về cách hack quyền quản trị Website thì đây là một trong các cách hack của giới Hacker nhé ! Mục đích giúp các bác chuyên ngành Security biết thêm một vài thủ thuật mà nghiêng cứu !!! Chúc Các Bạn Thành Công – AnonyViet[/su_box]

Bước 1:Vào google gõ lệnh này vào ô tìm kiếm:

inurl:"wladmin/login.asp" —后台登陆入口—

Bước 2: Chọn thử vài trang mà google liệt kê ra bên dưới, bạn sẽ được vào được trang đăng nhập vào của Website (kết quả là các trang của tụi Trung Quốc nhé)

Bước 3:Hãy nhập vào ô User và Pass như lệnh dưới đây để đăng nhập từ lỗ hỗng cổng sau của chúng !

Username : '=' 'or'
Password : '=' 'or'

Tèn tén ten:  Vào được trang Admin rồi, giờ làm gì thì tùy bạn nhé !! ^^

Demo: http://www.jxxdxh.com/wladmin/

– Vậy là biết thêm được một thủ thuật nữa của các Hacker Chúc các bác thành công !

AnonyViet !

Lỗ hổng này ảnh hưởng đến các sản phẩm CISCO ASA:

• Cisco ASA 5500 Series Adaptive Security Appliances
  
• Cisco ASA 5500-X Series Next-Generation Firewalls
  
• Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  
• Cisco ASA 1000V Cloud Firewall
  
• Cisco Adaptive Security Virtual Appliance (ASAv)
  
• Cisco Firepower 9300 ASA Security Module
  
• Cisco ISA 3000 Industrial Security Appliance

     Dạo gần đây nếu ai thường xuyên cập nhật tin tức an ninh mạng trên thế giới sẽ đều biết đến vụ việc Ukraina bị mất điện trên diện rộng vì bị tin tặc tấn công. Thủ phạm chính trong vụ việc ban đầu được xác định là mã độc mang tên “BlackEnergy”.

     Cho tới thời điểm hiện tại, các cuộc tấn công nhằm vào các nhà máy điện tại Ukraina vẫn chưa chấm dứt. Ngày 19/1/2016, khi đang theo dõi cuộc tấn công nhằm vào một nhà máy điện tại Ukraina, các chuyên gia bảo mật tại ESET đã phát hiện thêm một mã độc mới mang tên “Gcat backdoor”. Điều đáng nói ở đây là:

     – Phương thức lây nhiễm Gcat backdoor rất “kinh điển”. Đầu tiên nạn nhân nhận được một email có đính kèm tập tin Excel, tập tin Excel này được nhúng marco độc hại và đương nhiên bởi vì Excel mặc định Disable Macro nên tác giả không quên tạo một cái thông báo giả trên sheet với nội dung “dẫn dụ” người dùng Enable Macro. Khi Macro được Enable và khởi chạy, một downloader sẽ tải mã độc Gcat backdoor từ máy chủ C&C về và đồng thời thực thi nó.

– Gcat backdoor là một con backdoor mã nguồn mở. Mã nguồn của Gcat được public trên Github. Thậm chí con Gcat này được viết khá đơn giản bằng Python sau đó convert ra Stand-alone Executable bằng PyInstaller.

     Riêng điều đáng nói thứ 2 lại làm tôi nhớ đến vụ một nhóm APT đã sử dụng 7 loại mã độc tấn công chính phủ Myanmar hồi tháng 8/2015. Trong 7 mã độc được sử dụng, có một con RAT mang tên “trochilus” cũng được release mã nguồn (hay ít nhất là 1 phần mã nguồn) tại Github trước khi các nhà nghiên cứu biết đến nó lần đầu tiên.

    Từ những điều trên chúng ta có thể thấy rằng:Một cuộc tấn công APT đôi khi không quá cao siêu đến nỗi chúng ta chưa từng thấy. Một cuộc tấn công APT đôi khi cực kỳ đơn giản, hiện hữu đến mức ta không ngờ có người sử dụng lại nó.

• Chính vì cái không ngờ đó nên chúng ta bị tấn công.
• Bảo mật không phải chỉ là lo trang bị và chạy đua với công nghệ mới. Bảo mật nên xuất phát từ việc đầu tư vào con người.
• Mấy má dạo này thích release malware công khai trên Github quá nhỉ.

(Theo CEH)

Các công cụ cần có:

• 1 tài khoản DDNS hoặc No-ip (Các bài viết về DDNS, No-ip các bạn có thể tìm thấy trong website có rất nhiều bài hướng dẫn DDNS, NO-IP  ).
• Nmap (Download Nmap)
• 1 cái đầu tư duy

Bắt đầu thực hành nào:

Bước 1:

Đầu tiên, các bạn cần xác định dãy IP được cấp phát cho các máy trạm và Gateway của nó. Để xác định được range IP cấp cho các máy trạm và Gateway của Router, các bạn vào cmd và gõ lệnh ipconfig rồi Enter

IPv4 Address là IP của máy mình:192.168.1.108

Default Gateway của hệ thống là: 192.168.1.1

Thường các quán nét sẽ chia hệ thống thành 2 dãy IP

• 1 dãy cho các máy Bootrom (192.168.1.2 -> 192.168.1.99)
• 1 dãy các máy trạm. (192.168.1.100 -> 254)

Bước 2:

Cài đặt phần mềm Nmap. Cứ nhấn hết Next là xong.

Sau khi cài xong, mở Nmap lên tiến hành scan các range IP và các Port của quán net

• Ở mục Target: là dãy mạng cần Scan: 192.168.1.0/24.
• Ở mục Profile: chọn Intense Scan, all TCP Port.
• Rồi nhấn vào Scan

Chờ hiện ra kết quả như hình (hơi lâu xíu)

Trong kết quả ta có 10 host đang online:

• 1 host có thể là Linux,
• 8 host là Windows
• 1 host chưa xác định là gì

Trình bày ở trên Getway của Router là 192.168.1.1, trong hình sau khi scan ta thấy đó là 1 host Linux. Có thể host này chính là Router vì thường các thiết bị Router sẽ chạy trên mã nguồn của Linux

Trong kết quả của Nmap ta thấy Router đang mở 2 port là 53 và 80 (port web).

Ta thử vào trình duyệt web gõ IP của router xem: 192.168.1.1

User và Password thường chủ quán net ít khi thay đổi vì sẽ rắc rối nếu không có kiến thức về CNTT, và nhân viên kỹ thuật khi đến xử lý sự cố sẽ phức tạp hơn. Do đó họ thường để user/pass mặc định

Giờ ta thử user: admin, pass: admin.

Wao, vậy là truy cập được vào trang cấu hình của Router rồi. Họ dùng thiết bị hãng TotoLink

Đến đây thì ta đi được nửa chặng đường rồi. Không nên tiếp tục ở quán net,bây giờ tìm cách về nhà mà vẫn truy cập được Router này. Vì vậy ta sử dụng chức năng DDNS để gán tên miền cho ip tĩnh của quán net thông qua Router

Đây cách để mình có thể remote từ xa vào Router. Vào menu: Management -> DDNS.

Chọn No-IP, sau đó gõ tên miền đã đăng ký trên No-ip. Thông tin đăng nhập rồi save lại và reboot Router

Xong 1 em: 192.168.1.1

Giờ tiếp theo ta xem IP 192.168.1.2 của quán net là máy gì? (nó chạy hệ điều hành Windows, mở port 3389 (port remote desktop). Vậy là ta có thể remote được máy tính 192.168.1.2 theo suy đoán đây sẽ là server Bootroom

Tiến hành Remote Desktop thử nào.

• Vào run gõ lệnh mstsc.
• Nhập Computer: 192.168.1.2

Xuất hiện hộp thoại yêu cầu tài khoản Remote

Bây giờ phải dùng phương pháp đoán mò thôi, thông thường các pass đơn giản như tên chủ quán, password, 123456, 123@abc … Hên xui nhé

Nếu thành công sẽ xuất hiện hình dưới đây

Remote được vào Bootrom rồi, việc làm tiếp theo là gì thì tùy bạn nhé!

(Author: Darkcode – Shellsec)