PTES #3: Tiêu chuẩn thực thi kiểm thử xâm nhập (The Penetration Testing Execution Standard)

#pentest
#MayFest2025

0 0 0

Người đăng: Phương Phương

Theo Viblo Asia

Theo dõi các phần trước tại:

Chúng ta tiếp tục đến với phần cuối của PTES.

6. Post Exploitation - Hậu khai thác

Mục đích

Mục đích của giai đoạn sau khai thác là để xác định giá trị của máy bị xâm phạm và để duy trì kiểm soát máy để sử dụng sau này. Giá trị của máy được xác định bởi độ nhạy của dữ liệu được lưu trữ trên đó và tính hữu dụng của máy móc trong việc thỏa hiệp hơn nữa mạng. Các phương pháp được mô tả trong giai đoạn này có nghĩa là giúp người kiểm tra xác định và ghi lại dữ liệu nhạy cảm, xác định cài đặt cấu hình, kênh liên lạc và mối quan hệ với các thiết bị mạng khác có thể được sử dụng để truy cập thêm vào mạng và thiết lập một hoặc nhiều phương thức truy cập vào máy sau đó. Trong trường hợp các phương pháp này khác với các quy tắc tham gia đã thỏa thuận, các quy tắc tham gia phải được tuân thủ.

Đánh giá hệ thống

Giai đoạn Post-Exploitation yêu cầu tuân thủ chặt chẽ các quy tắc để bảo vệ hệ thống và dữ liệu của khách hàng, tránh gây gián đoạn hoạt động. Mọi thay đổi cấu hình, truy cập hoặc ghi nhận dữ liệu nhạy cảm phải được ghi lại, hoàn nguyên nếu có thể, và báo cáo chi tiết cho khách hàng. Không sử dụng phương pháp duy trì truy cập gây ảnh hưởng hệ thống nếu chưa có sự đồng ý bằng văn bản. Dữ liệu thu thập phải được mã hóa, bảo mật, và xóa sau khi hoàn tất đánh giá. Không chia sẻ thông tin với bên thứ ba nếu chưa được cho phép. Nếu phát hiện dấu hiệu hệ thống bị tấn công trước đó, phải ghi lại và bàn giao bằng chứng cho khách hàng.

Bên cạnh đó, pentester cần hiểu rõ chính sách sử dụng hệ thống, luật pháp liên quan, và đảm bảo mọi hành động được sự cho phép hợp pháp từ phía khách hàng.

Phân tích hạ tầng

Phân tích cấu hình mạng của máy bị xâm nhập giúp xác định subnet, router, máy chủ quan trọng và mối quan hệ giữa các thiết bị, từ đó mở rộng mục tiêu tấn công. Cần kiểm tra các giao diện mạng, bảng định tuyến, bảng ARP và DNS để phát hiện mạng ẩn và dịch vụ mới. Việc xác định proxy server, dịch vụ đang lắng nghe và kết nối VPN giúp khai thác các kênh truy cập tiềm năng. Ngoài ra, dịch vụ thư mục và các giao thức phát hiện thiết bị lân cận như CDP, LLDP, mDNS, NetBios cũng cung cấp thông tin quan trọng để mở rộng phạm vi tấn công và đánh giá hạ tầng mạng.

Pillaging

Pillaging là giai đoạn thu thập thông tin từ hệ thống bị xâm nhập nhằm đạt các mục tiêu đánh giá hoặc mở rộng tấn công. Dữ liệu có thể là tệp tin nhạy cảm, mật khẩu, thông tin cá nhân, cấu hình hệ thống, lịch sử truy cập, hay dữ liệu từ cơ sở dữ liệu, dịch vụ chia sẻ tệp, máy in, hoặc chương trình khởi động cùng hệ thống. Các dịch vụ bảo mật, phần mềm giám sát, sao lưu, và công cụ quản trị từ xa cũng là mục tiêu để phát hiện lỗ hổng hoặc chiếm quyền kiểm soát. Cần kiểm tra trình duyệt, ứng dụng nhắn tin, chính sách bảo mật, khóa mã hóa, và tập tin người dùng để tìm dữ liệu giá trị. Dịch vụ mạng như DHCP, DNS, VPN, ảo hóa, RADIUS/TACACS, chứng thực, dịch vụ triển khai và quản lý chứng chỉ cũng là nguồn dữ liệu nhạy cảm. Các kỹ thuật như key-logging, chụp màn hình, bắt gói tin giúp đánh giá rủi ro và phát hiện thông tin bảo mật. Tất cả hoạt động phải tuân thủ phạm vi đánh giá và luật pháp hiện hành, tránh thu thập dữ liệu riêng tư của người dùng không thuộc phạm vi kiểm thử.

Các thông tin giá trị

Các mục tiêu có giá trị cao/đặc trưng được xác định từ dữ liệu trước khi bắt đầu và phân tích hệ thống bị xâm nhập. Hiểu rõ hoạt động và tương tác của chúng giúp đánh giá tác động đến doanh nghiệp, dữ liệu quan trọng và rủi ro đối với hạ tầng, dịch vụ của khách hàng, từ đó ưu tiên trong kiểm thử thâm nhập.

Trích xuất và phân tích dữ liệu

  • Trích xuất dữ liệu: Quá trình xác định tất cả các đường dẫn có thể để trích xuất dữ liệu từ các khu vực đã truy cập được. Bao gồm các đường phụ và thứ cấp như các subnet khác nhau. Sau khi lập bản đồ, bắt đầu thử nghiệm trích xuất dữ liệu.
  • Kiểm tra đường dẫn: Dữ liệu được trích xuất mô phỏng theo các chiến thuật thực tế của các tác nhân đe dọa phù hợp với tổ chức. Việc này được thực hiện trong phạm vi thỏa thuận, thường trích xuất đến server do tester kiểm soát.
  • Đánh giá sức ảnh hưởng: Mục tiêu là kiểm tra khả năng phát hiện và ngăn chặn dữ liệu nhạy cảm bị rò rỉ, đồng thời đánh giá phản ứng và xử lý sự cố của đội bảo mật.

Kiên trì

Cài đặt kênh truy cập bí mật (Backdoor) có xác thực

  • Tiến hành cài đặt backdoor yêu cầu xác thực để duy trì quyền truy cập hệ thống. Có thể cài mới hoặc sửa đổi dịch vụ nhằm thiết lập kết nối ngược trở lại máy kiểm tra. Tối thiểu sử dụng tên người dùng và mật khẩu phức tạp; ưu tiên sử dụng chứng chỉ hoặc khóa mã hóa (ví dụ: SSH, ncat, RDP).
  • Các kết nối ngược nên giới hạn truy cập từ một địa chỉ IP duy nhất nhằm giảm khả năng bị phát hiện. Ngoài ra, tạo các tài khoản phụ với mật khẩu mạnh để phục hồi quyền truy cập khi cần.
  • Backdoor nên được cấu hình để có thể tồn tại qua các lần khởi động lại hệ thống nhằm đảm bảo duy trì quyền truy cập lâu dài trong quá trình kiểm thử.

Leo quyền vào hệ thống

Từ hệ thống đã bị xâm nhập, tester có thể thực hiện quét mạng nội bộ (ARP scan, ping sweep), truy vấn DNS, liệt kê dịch vụ thư mục, hoặc tấn công brute-force. Có thể tận dụng các giao thức quản trị như WinRM, WMI, SMB, SNMP cùng với thông tin xác thực đã chiếm được. Ngoài ra, có thể thiết lập VPN, SSH proxy hoặc port forwarding để làm bàn đạp tấn công sâu hơn. Kế hoạch nên được đánh giá lại thường xuyên để đạt được mục tiêu đánh giá.

Dọn dẹp dấu vết sau tấn công

Quy trình dọn dẹp đảm bảo toàn bộ hệ thống được khôi phục trạng thái ban đầu sau khi kết thúc bài kiểm thử xâm nhập. Tất cả tài khoản người dùng và tập tin thực thi được sử dụng trong quá trình đánh giá cần được xử lý. Các bước gồm:

  • Xóa toàn bộ tập tin thực thi, script và file tạm trên hệ thống đã xâm nhập. Nếu có thể, sử dụng phương pháp xóa an toàn.
  • Khôi phục các cấu hình hệ thống và ứng dụng về giá trị ban đầu nếu đã bị thay đổi.
  • Gỡ bỏ hoàn toàn các backdoor hoặc rootkit đã cài đặt.
  • Xóa các tài khoản người dùng được tạo để truy cập trở lại vào hệ thống.

7. Reporting - Báo cáo

Mục đích

Tài liệu này nhằm xác định các tiêu chí cơ bản cần có trong một báo cáo kiểm thử xâm nhập (penetration testing). Mặc dù các tổ chức được khuyến khích sử dụng định dạng báo cáo tùy chỉnh và gắn thương hiệu riêng, phần hướng dẫn dưới đây đưa ra một cấu trúc tiêu chuẩn nhằm đảm bảo rằng các thành phần quan trọng được bao gồm, từ đó giúp cung cấp thông tin nhất quán, có thể hành động và có giá trị cho người đọc.

Cấu trúc báo cáo

Báo cáo được chia thành hai 2 phần chính nhằm truyền đạt các mục tiêu, phương pháp và kết quả của quá trình kiểm thử đến nhiều đối tượng người đọc khác nhau.

Tóm tắt kết quả

  • Tóm tắt Điều hành Báo cáo Pentest: Báo cáo này trình bày các mục tiêu, phát hiện chính và kết luận tổng thể của cuộc kiểm thử thâm nhập (Pentest), nhằm hỗ trợ khách hàng (CLIENT) đánh giá hiệu quả của các biện pháp an ninh hiện có và xác định các điểm yếu có thể bị khai thác.
  • Mục đích và Tổng quan: Client đã yêu cầu kiểm thử một số hệ thống cụ thể trong môi trường nội bộ hoặc bên ngoài để đánh giá khả năng phòng vệ trước các cuộc tấn công mạng. Mục tiêu là xác định các lỗ hổng có thể gây ảnh hưởng nghiêm trọng nếu bị khai thác. Kiểm thử bao gồm cả các kỹ thuật tấn công trực tiếp và gián tiếp như khai thác lỗ hổng hệ thống, tấn công từ phía người dùng (client-side), tấn công qua trình duyệt, và tấn công phishing.
  • Tư thế An ninh và Xếp hạng Rủi ro: Tư thế an ninh hiện tại của CLIENT được đánh giá ở mức ELEVATED (7/15), đồng nghĩa với rủi ro trung bình-cao về việc kiểm soát an ninh có thể bị phá vỡ và gây thiệt hại tài chính đáng kể. Một trong những lỗ hổng nghiêm trọng nhất là việc sử dụng mật khẩu mặc định trên website công khai, cho phép truy cập trái phép vào tài liệu nhạy cảm và tài khoản người dùng.
  • Phân tích Nguồn gốc Rủi ro: Biểu đồ chỉ ra rằng phần lớn rủi ro bắt nguồn từ việc thiếu cứng hóa hệ điều hành (41%), thiếu bản vá bảo mật (29%), thiếu cứng hóa ứng dụng (18%), thông tin xác thực dễ đoán (6%) và sai sót trong thiết kế mạng (6%).
  • Lộ trình Chiến lược Khắc phục: Ngay lập tức - Xác định người chịu trách nhiệm an ninh và trạng thái hiện tại của hệ thống.
    • 1–3 tháng: Lập chiến lược khắc phục, thành lập hội đồng an ninh thông tin, lên kế hoạch và ưu tiên khắc phục, vá lỗi, củng cố dịch vụ.
    • 3–12 tháng: Thực hiện đánh giá an ninh nội bộ theo các tiêu chuẩn như NIST.
    • 12 tháng trở lên: Đánh giá bởi bên thứ ba theo chuẩn ISO/IEC 27001 hoặc tương đương để củng cố nền tảng an ninh dài hạn.
    • Kết luận: Báo cáo đưa ra cái nhìn toàn diện về các rủi ro hiện hữu, mức độ nghiêm trọng, cũng như lộ trình cụ thể giúp CLIENT tăng cường bảo mật hệ thống và giảm thiểu nguy cơ bị tấn công trong tương lai.

Kết quả chi tiết

1. Introduction: Phần mở đầu báo cáo kỹ thuật cung cấp tổng quan về quá trình kiểm thử xâm nhập, bao gồm thông tin liên hệ, đội ngũ tham gia từ cả phía khách hàng và nhóm pentest. Ngoài ra, phần này liệt kê các tài sản được kiểm tra, phạm vi và mục tiêu kiểm thử, cường độ thử nghiệm (blackbox/graybox/whitebox), phương pháp tiếp cận (tự động, thủ công hoặc kết hợp), và hệ thống phân loại mối đe dọa. Đây là tài liệu định hướng cho tất cả thông tin kỹ thuật còn lại trong báo cáo.

2. Information Gathering: Giai đoạn thu thập thông tin là nền tảng cho toàn bộ kiểm thử, chia thành bốn nhóm:

  • Passive Intelligence: Thu thập thông tin từ các nguồn công khai như DNS, WHOIS, Google Dorking mà không gửi truy vấn trực tiếp tới hệ thống của khách hàng.
  • Active Intelligence: Bao gồm quét cổng, lập bản đồ hệ thống mạng và phân tích kiến trúc bằng cách gửi truy vấn trực tiếp tới tài sản mục tiêu.
  • Corporate Intelligence: Xây dựng hiểu biết về cấu trúc doanh nghiệp, đơn vị kinh doanh, quy mô và cách chúng gắn với các tài sản công nghệ.
  • Personnel Intelligence: Thu thập thông tin về nhân sự, như email, hồ sơ công khai, sơ đồ tổ chức giúp xác định mục tiêu tấn công xã hội.

3. Vulnerability Assessment: Đánh giá điểm yếu nhằm xác định các lỗ hổng tiềm ẩn và phân loại mức độ nghiêm trọng. Giai đoạn này sử dụng cả công cụ tự động (như Nessus, OpenVAS) và phương pháp thủ công để phát hiện các lỗ hổng kỹ thuật theo tầng OSI, cũng như các lỗ hổng logic. Các thông tin quan trọng:

  • Phân loại lỗ hổng (CVSS, độ ảnh hưởng)
  • Vị trí và cách phát hiện (công cụ quét hay thủ công)
  • Tầm ảnh hưởng và khả năng khai thác

4. Exploitation/Vulnerability Confirmation: Giai đoạn xác thực các lỗ hổng bằng cách khai thác có kiểm soát để kiểm tra mức độ truy cập đạt được:

  • Exploitation Timeline: Mốc thời gian từng hoạt động khai thác.
  • Direct Attacks: Tấn công trực tiếp vào hệ thống mục tiêu đã xác định.
  • Client-side & Browser-side Attacks: Tấn công thông qua người dùng như phishing hoặc khai thác trình duyệt.
  • Access Level: Các quyền truy cập đạt được và đường dẫn leo thang đặc quyền.
  • nRemediation: Gợi ý vá lỗi và biện pháp giảm thiểu/kiểm soát thay thế.

5. Post Exploitation: Tập trung vào rủi ro thực tế sau khai thác thành công:

  • Privilege Escalation: Kỹ thuật và đường dẫn leo thang đặc quyền.
  • Sensitive Data Access: Truy cập hệ thống kinh doanh cốt lõi hoặc dữ liệu nhạy cảm như PII, dữ liệu tài chính, thông tin tuân thủ (PCI-DSS, HIPAA...).
  • Persistence & Exfiltration: Khả năng duy trì truy cập hoặc trích xuất dữ liệu mà không bị phát hiện.

6. Countermeasure Effectiveness: Phân tích hiệu quả của các biện pháp phòng thủ đang được triển khai:

  • Detection: Xác minh xem tường lửa (FW/WAF), IDS/IPS, DLP hay giám sát con người có phát hiện hành vi tấn công không.
  • Response: Phản ứng của hệ thống (nếu có) trước các hành vi khai thác.

Gợi ý cải thiện: Tối ưu hóa khả năng phát hiện và phản ứng.

7. Risk/Exposure Analysis: Kết hợp thông tin từ các phần trên để định lượng rủi ro:

  • Incident Frequency: Xác suất sự cố xảy ra.
  • Threat Capability: Khả năng của kẻ tấn công.
  • Control Strength: Hiệu lực của các biện pháp kiểm soát hiện tại.
  • Compound Vulnerability: Các lỗ hổng kết hợp với nhau có thể gây hậu quả nghiêm trọng.
  • Loss Magnitude: Ước tính tổn thất chính và phụ mỗi khi có sự cố.
  • Root Cause Analysis: Phân tích nguyên nhân gốc, hướng đến việc nhận diện quá trình hoặc cơ chế bảo mật thất bại thay vì đổ lỗi cho bản vá.

8. Conclusion: Phần kết luận tổng hợp các phát hiện và nhấn mạnh ảnh hưởng thực tế đến doanh nghiệp. Báo cáo khuyến khích tổ chức tiếp tục cải thiện chương trình bảo mật thông qua các biện pháp:

  • Đào tạo bảo mật nội bộ định kỳ
  • Kiểm thử xâm nhập định kỳ hàng năm hoặc khi có thay đổi hệ thống
  • Áp dụng các quy trình kiểm soát thay đổi, cập nhật và đánh giá rủi ro thường xuyên Báo cáo kết thúc bằng việc đề xuất kế hoạch hành động cải tiến an ninh và hỗ trợ khách hàng trong việc xây dựng lộ trình bảo mật bền vững.

III. Tổng kết

Phiên bản hiện tại có thể coi là v1.0 vì các yếu tố cốt lõi của tiêu chuẩn đã được củng cố và đã được “thử nghiệm thực tế” trong một thời gian dài. Phiên bản v2.0 đang được phát triển và sẽ cung cấp công việc chi tiết hơn theo các “cấp độ” - tức là các mức độ mà từng yếu tố của một cuộc thử nghiệm có thể được thực hiện. Vì không có cuộc thử nghiệm nào giống nhau hoàn toàn, và phạm vi kiểm thử có thể từ các bài kiểm thử ứng dụng web hoặc mạng thông thường cho đến một cuộc tấn công toàn diện theo kiểu red team - các cấp độ này sẽ cho phép tổ chức định nghĩa mức độ phức tạp mà họ mong đợi/đánh giá kẻ tấn công thực hiện, và cho phép pentester tăng cường độ tập trung vào những khu vực mà tổ chức cần họ nhất. Một số công việc ban đầu về “cấp độ” có thể thấy trong phần thu thập thông tin tình báo.

Tài liệu tham chiếu

PTES: PTES 

Xin cám ơn bạn Cường đã hỗ trợ dịch bài cuối #3 nhé!

Bình luận

Bài viết tương tự

- vừa được xem lúc

Hành trình pass OSCP trong lần thi đầu tiên (2020)

Vào một chiều đông 17/12/2020, tôi nhận được cái email thông báo đã pass OSCP ngay lần thử đầu tiên. Sau đó, tôi bắt đầu tìm hiểu về Security và quyết định học cái gì đó cho riêng mình.

0 0 201

- vừa được xem lúc

Segmentation penetration testing for PCI compliance

Giới thiệu – tổng quan về Network Segmentation. Các phân đoạn mạng(Network segment) hiện là một phần của cơ sở hạ tầng của bất kỳ tổ chức hoặc doanh nghiệp nào.

0 0 46

- vừa được xem lúc

Cài đặt môi trường Pentest Android trên Windows (Phần 1)

Một trong số các vấn đề khó nhất với những ai muốn tìm hiểu về Kiểm thử xâm nhập ứng dụng Android (Pentesting Android applications) là cách cài đặt môi trường kiểm thử. Kiểm thử xâm nhập ứng dụng di đ

0 0 147

- vừa được xem lúc

Một vài mẹo mà mình sử dụng với Burp Suite

Tự sự. Chuyện là có mấy thằng em hỏi mình về cách sử dụng Burp Suite như thế nào, rồi có tips and tricks nào hay hay không cho chúng nó học, tiện đây mình cũng chia sẻ kinh nghiệm của một người sử dụn

0 0 125

- vừa được xem lúc

Cài đặt môi trường Pentest Android trên Windows (Phần 2)

Sau phần 1 của series thì chúng ta đã có được môi trường java, python và máy ảo Android rồi. Trong phần 2 này chúng ta sẽ tiến hành cài đặt môi trường trong máy ảo để hỗ trợ pentest, cụ thể là cài roo

0 0 70

- vừa được xem lúc

Một vài mẹo mà mình sử dụng với Burp Suite (phần 2)

Bài này là bài nối tiếp về một bài mà mình đã viết tại Một vài mẹo mà mình sử dụng với Burp Suite. Bài đầu tiên mình đã viết về một vài tips và trick mình hay sử dụng với Burp Suite mặc định rồi, bài

0 0 87