Friday, 8 July 2011

CHƯƠNG 9: TROJANS, BACKDOORS

Trojan và Backdoor là hai phương thức mà hacker dùng để xâm nhập bất hợp pháp hệ thống mục tiêu. Chúng có những trạng thái khác nhau, nhưng có một điểm chung là: Các hacker phải cài đặt một chương trình khác trên máy tính mục tiêu, hoặc là người dùng bị đánh lừa để cài đặt chương trình Trojan hoặc Backdoor trên máy tính của họ. Trojan và backdoor là những công cụ hữu ích cho hacker chân chính (hacker mũ trắng), và những nhà quản trị hệ thống, họ sử dụng công cụ này để kiếm tra máy tính và hệ thống mạng.


Virus và Worm có thể dùng để phá hoại máy tính và hệ thống mạng như Trojan và Backdoor. Trong thực tế, có nhiều loại virus mang theo cả Trojan vào hệ thống, sau khi hacker để lại một backdoor.

Trong chương này, chúng ta sẽ thảo luận sự giống và khác nhau của Tronjan, Backdoor, Virus, và Worm. Tất cả chúng đều được gọi chung là chương trình độc hại hay mã độc hại (Malicious Code hoặc Malware). Đây là vấn đề quan trọng của hacker chân chính, bởi vì nó là cách chung nhất được sử đụng để dung hòa hệ thống.

1.  Malware Và Các Vấn Đề Cơ Bản


Trước khi đi vào nội dung chính của bài học, chúng ta nên dành thời gian để hiểu Malware là gì, và các dạnh hoạt động của chúng.

Malware là gì?


Khái niệm rộng nhất được đề cập đến là “Malware” hay “Malicious code”, được gọi là “Mã độc hại” trong các phần sau của tài liệu này. Mã độc hại được định nghĩa là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống

Xưa nay, chúng ta thường gom tất cả những chương trình nào có nguy hại đến máy tính vào một cái tên gọi là Virus. Điều này thật oan ức cho virus, vì nó chỉ là một phần nhỏ trong các chương trình gây hại mà thôi. Định nghĩa Malware sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn quen gọi chung là virus như: worm, trojan, spy-ware, ... thậm chí là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit, key-logger, ...

Phân loại Malware


Trước khi phân tích các dạng của malware. Có một điều cần đặc biệt chú ý: Có nhiều cách để chia ra các dạng của malware. Có thể theo tính năng, phương thức hoạt động hoặc khả năng gây hại…

Một malicious code cố định sẽ không hẵn nằm trong một dạng cố định hay nói một cách chính xác hơn là nó thường là sự kết hợp của một hay nhiều dạng cơ bản bên dưới. Mục đích của việc này là làm tăng tính đa năng của một malicious code về tính năng, đa dạng cũng như khả năng lẫn tránh trước các chương trình an ninh.

Virus


Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Như vậy, theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu trữ, quét các file trước khi lưu xuống ổ cứng, ... Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.

Compiled Virus


Là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như (Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này. Compiled virus cũng có thể là pha trộn bởi cả boot virus và file virus trong cùng một phiên bản.

Worm


Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng. Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger,... Tấn công của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file). Worm có thể chia làm 2 loại:

  • Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.

  • Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky, Mydoom là ví dụ cho thể loại này.


Trojan Horse


Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troia”. Trojan đóng vai trò như một kẻ gián điệp dưới sự chỉ đạo của kẻ tấn công. Trojan horse không tự nhân bản, nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây hại:

 

  • Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password)

  • Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, như sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống)

  • Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)


 

Tùy vào mục đích mà ta có thể chia trojan ra một số dạng căn bản sau:

  • Remote Access Trojans (RATs) dùng để gi lại hoạt động hệ thống từ xa

  • Data-Sending Trojans dùng để tìm kiếm và gửi dữ liệu đến kẻ xâm phạm

  • Destructive Trojans dùng để xóa và làm hỏng các file trên hệ thống

  • Denial-of-Service Trojans dùng cho các cuộc tấn công từ chối dịch vụ

  • Proxy Trojans dùng để tạo các luồng dữ liệu ngầm hoặc các cuộc tấn công lên các hệ thống khác

  • FTP Trojans dùng để tạo một FTP server trên máy nạn nhân và copy một số dữ liệu

  • Security Software Disabler Trojans dùng để phát hiện và ngừng các chương trình diệt virus.


Tracking Cookie


Là một dạng lạm dụng cookie để theo dõi một số hành động duyệt web của người sử dụng một cách bất hợp pháp. Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân.

Malicious Mobile Code


Là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó. Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code. Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript.

 


Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Attack). Cuộc tấn công có thể đi tới bằng một email khi người dùng mở một email độc bằng web-browser. Sau khi nhiệm vào máy này, Nimda sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác. Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi tìm thấy, nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”). Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân.


Virus Hoax


Là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email. Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ.
Attacker Tool

Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm. Ví dụ như một hệ thống đã bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống. Attacker tool thường gặp là backdoor và keylogger

  • Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,... Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool

  • Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.

  • Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật, ...Ví dụ về keylogger như: KeySnatch, Spyster.

  • Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các tấn công nguy hiểm. Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger. Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender.


Phishing


Là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại. Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân, ...). Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, ... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu,... Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.

2.  Backdoor


Backdoor là một chương trình (program) hoặc có liên quan đến chương trình, được hacker sử dụng để cài đặt trên hệ thống đích, nhằm mục đích cho anh ta truy cập trở lại hệ thống vào lần sau. Mục đích của backdoor là xóa bỏ một cách minh chứng hệ thống ghi nhật ký. Nó cũng giúp hacker cầm cự trạng thái truy cập khi bị quản trị viên phát hiện và tìm cách khắc phục.

Khởi tạo một dịch vụ (servce) mới là kỹ thuật cơ bản khi thảo luận về Backdoor trong hệ điều hành Windows. Trước khi cài đặt backdoor, hacker phải quét hệ thống mục tiêu, để tìm những service đang chạy. Hacker có thể thêm serice và đặt một cái tên kín đáo hoặc là một dịch vụ không bao giờ được sử dụng, và nó được active thủ công hoặc hoàn toạn bị disable.

Kỹ thuật này thì có hiệu quả hơn, bởi vì khi kiểm tra lổi của hệ thống, admin thường tìm thấy những thứ dư thừa trên hệ thống, tạo thành những dịch vụ không được kiểm tra chặc chẽ. Kỹ thuật backdoor đơn giãn nhưng hiệu quả: Hacker có thể quay trở lại máy tính bị tấn công trong vài lần sau đó. Dịch vụ do backdoor tạo ra thường có quyền truy cập cao (higher privileges), như tài khoản hệ thống (system account).

Remote Administration Trojans (RAT)


RAT là một phần của backdoor, được sử dụng để bật tính năng điều khiển từ xa, thông qua sự thỏa thuận của máy tính. Nó cung cấp những hàm (function) được user sử dụng, và tại thời điểm đó một cổng (port) mạng sẽ được mở trên máy tính nạn nhân. Một khi RAT được khởi động, nó sẽ thực thi vài tập tin, ứng dụng. Sau đó tác động đến registry key để khởi động tiến trình và có khi chúng lại tạo ra những dịch vụ sở hữu của hệ thống. Không giống như backdoor thông thường, RAT móc vào hệ điều hành của máy tính nạn nhân và luôn tọa thành gói với hai tập tin: tập tin phía client và tập tin phía server. Server file được cài đặt vào máy tính nạn nhân, và client file được kẻ đột nhập sử dụng để điều khiển sự thỏa hiệp của hệ thống.

Overt channel và Covert channel?


Kênh công khai (overt channel) là kênh được khởi tạo một cách hợp pháp để các trương trình có thể giao tiếp với nhau trong hệ thống hoặc môi trường mạng. Các protocol là một ví dụ điển hình của overt channel

Kênh ẩn (covert channel) lại khởi tạo một cách bí mật đối với người sử dụng, các chương trình không trong sang, sẽ lấy môi trường này để có thể giao tiếp và trao đổi thông tin mà không cần có sự cho phép của người sử dụng

Kênh ẩn thường (có thể) nằm ẩn dưới các kênh công khai để giao tiếp với môi trường bên ngoài. Ví dụ: Dịch vụ HTTP trên port 80 là dịch vụ dành cho giao tiếp web, hiển thị các web page đối với overt channel. Nhưng đối với covert channel sẽ lợi dụng dịch vụ trên port đó để gửi thông tin không cho phép đến các web server. Một covert channel cao cấp hơn sẽ gửi đi thông tin của nó theo đúng định dạng của một communication khác. Ví dụ cho dạng này có thể là một dịch vụ SSH trên port 80 và thông tin gửi trên đường truyền của giao tiếp SSH sẽ (có vẻ) theo đúng định dạng của một HTTP bình thường (Tất nhiên chương trình phía SSH client & server sẽ là một chương trình tự chế).
Hacking Tool

Loki là một công cụ hack, cung cấp giao tiếp dòng lệnh qua ICMP. Từ chương trình này hacker có thể tiến hành thực thi các lệnh trên máy tính nạn nhân.

3.  Trojan là gì?


Trojan là một chương trình độc hại, cải trang thành những thứ có vẽ lành mạnh. Trojan thường được tải xuống trong một chương trình khác, hoặc gói ứng dụng. Một khi được cài đặt vào máy, nó có thể đánh và làm hư hỏng cấp dữ liệu, hoặc làm lỗi và chậm hệ thống. Chúng cũng có thể được sử dụng như là một điểm chết (launching point) trong kỹ thuật tấn công DDOS.

Một vài loại Trojan có thể dùng để điều khiển tập tin trên máy tính hy sinh (victim computer), quản lý tiến trình, điều khiển từ xa command line, ghi lại sự gõ phím, quay phim màn hình, khởi động hoặc tắt máy.

Một kỹ thuật giả Trojan có thể kết nối chính nó, tức là máy tính phát Trojan với máy tính bị nhiễm hoặc bị lây lan, trên một kênh IRC (Internet Relay Chat – Dịch vụ dùng để  trò chuyện trên mạng).

Trojan thường gắn vào một chương trình khác, và thường được cài đặt vào máy tính mà người dùng không biết. Trojan được gửi đến hệ thống victim bằng những cách như: Instant Messenger (IM), IRC, đính kèm qua email, NetBIOS. Những chương trình thường dễ bị nhiễm Trojan thường mang mác ý nghĩa hợp pháp như: phần mềm miễn phí (freeware), công cụ diệt spyware, tối ưu hóa hệ thống (system optimizer), screen saver, music, picture, game, video. Tất cả chúng đều có thể chứa Trojan nguy hiểm khi bạn cài đặt trên hệ thống. Những lời mời gọi cho chương trình miễn phí, file nhạc, phim, và nội dung có tính hấp dẫn, hoặc khơi dậy tính tò mò của người dùng (phim sex chẳng hạn) đều có thể được cài đặt Trojan trong đó. Chương trình này sau khi truy cập được vào hệ thống, có được quyền truy cập, sẽ tiến hành phá hủy, hoặc ra lệnh thực thi cho máy tính.

Bảng dưới đây mô tả một số kiểu Trojan và các port thường được chúng sử dụng để giao tiếp trong mục tiêu tấn công của mình.

 


Dùng lệnh netstat –an trong chế độ CMD để xem trạng thái của các port như thế nào.


4.  Những kiểu khác nhau của Trojan


Trojan phát triển đa dạng nhiều thể loại khác nhau. Dưới đây xin liệt kê cho các bạn vài kiểu hoạt động phổ biến của Trojan.

  • Remote Access Trojans: được sử dụng để điều khiển từ xa máy tính.

  • Data-Sending Trojans: Được sử dụng để tìm kiếm dữ liệu trên hệ thống và gửi qua cho hacker.

  • Destructive Trojans: Được sử dụng để xóa hoặc làm hỗng tập tin trên hệ thống.

  • Denial of Service Trojans: Được sử dụng trong tấn công từ chối dịch vụ.

  • Proxy Trojans: Được sử dụng để tạo thành tunnel cho việc gửi hoặc khởi chạy một chương trình trên hệ thống victim.

  • FTP Trojans: Sử dụng để tạo dịch vụ FTP, sao đó copy tài nguyên tập tin.

  • Security software disabler Trojans: Dùng để dùng những chương trình antivirus.


Reverse Connect Trojan


Kỹ thuật này cho phép hacker truy cập vào máy tính bên trong mạng nội bộ từ bên ngoài. Hacker có thể cài đặt một Trojan đơn giãn vào mạng bên trong (internal network), ví dụ như Reverse www shell. Sau một khoản thời gian, Internal Server cố gắng truy cặp đến hệ thống chủ - master system, để thực thi một lệnh nào đó. Nếu hacker có để lại trên Master System những đoạn lệnh đôc hại, nó sẽ được thực thi trên máy tính trong mạng internal. Reverse WWW Shell sử dụng chuẩn HTTP. Nó rất là nguy hiểm, bởi vì rất khó để phát hiện, nó trong giống như một client truy cập web từ internal.

Hình dưới đây ví dụ về một quá trình Reverse Connect Trojan. Yuri là một hacker, máy tính của anh ta đang lắng nghe ở port 80, tức là dịch vụ web. Bằng cách nào đó, anh ta gửi được chương trình server.exe đến cho máy tính của Rebecca. Khi chương trình server.exe được chạy trên máy của Rebecca, nó sẽ gừi thông báo về cho Yuri. Khi đó, Yuri sẽ có toàn quyền điều khiển máy của Rebecca.

 
Hacking Tool

Kỹ thuật tấn công này bạn có thể sủ dụng với công cụ Nuclear RAT Trojan. Đây là công cụ giúp bạn tạo ra file server.exe như ví dụ trên, và đồng thời điều khiển máy tính nạn nhân từ xa, khi nạn nhân cài đặt server.exe.

Kỹ thuật Wrapper


Wrapper là một gói phần mềm được sử dụng để đính kèm Tronjan. Wrapper giúp liên kết một tập tin bình thường đến Trojan. Cả tập tin bình thường và trojan này cùng được đặt trong một tập tin thực thi đơn giãn và được cài đặt khi chương trình được chạy. Thông thường, game và những chương trình có tính hấp dẫn (phim sex) được sử dụng là wrapper, bởi vì nó khơi gợi tham vọng của con người. Với cách này, user không chú ý đến sự trì trệ của tốc độ xử lý hệ thống, trong khi trojan đã được cài vào máy, user chỉ có thể thấy những chương trình mà mình muốn cài đặt.

Dưới đây là một ví dụ để bạn có thể hiểu rõ hơn vấn đề này. Một chương trình chơi cờ có kích thước 90Kb, khi được đính kèm thêm trojan thì kích thường tăng lên 110Kb. Người dùng bình thường không để ý đến sự khác biệt về dung lượng này. Hãng sản xuất trò chơi không biết sản phẩm của mình bị nhiễm trojan rồi truyền qua mạng.

 
Hacking Tool

Graffiti là một game vui nhộn có cài trojan bằng phương thức wrapper. Khi người dùng bước vào thế giới trò chơi, cũng là lúc Trojan này hoạt động.

ELiTeWrap là một chương trình của windows, với tập tin exe. Chương trình có thể giúp chúng ta tạo ra quá trình cài đặt chương trình, với các bước như chấp nhận bản quyền, copy file, cài đặt…và không thể thiếu, đó là nó giúp chúng ta gắn một trojan vào trong quá trình cài đặt.

IconPlus là chương trình chuyển đổi định dạng giữa các loại icon khác nhau. Một kẽ tấn công có thể nhập vào icon một đoạn mã đôc, hoặc một trojan. Người dùng hoàn toàn không nhận ra mình đang chạy mẫu trojan, mà chỉ biết mình đang chạy ứng dụng.

Tạo và điều khiển Trojan


Có vài công cụ giúp hacker tạo ra Trojan thuộc sở hữu của riêng họ. Những công cụ này (gọi là toolkit) giúp hacker khởi tạo và tùy chỉnh nhiều cho Trojan của mình. Toolkit này thường nguy hiểm, và có thể gây tác dụng ngược nếu sử dụng không đúng cách. Trojan mới được tạo ra, đi kèm với nhiều lợi ích, và thường không bị phát hiện bởi các chương trình an nình, vì chúng chưa có dữ liệu về mẫu trojan mới này.
Hacking Tool

Một vài công cụ có thể kể tên như Senna Spy Generator, Trojan Horse Construction Kit v2.0, Progenic Mail Trojan Construction Kit, và Pandora’s Box.

5.  Phòng chống Trojan


Nhiều công cụ thương mại của phần mềm chống Virus, cũng như phát hiện các loại spyware, trojan, backdor và mã độc hại khác. Phần mềm này thường bao gồm chức năng là phát hiện và xóa bỏ malware, tất nhiên có nhiều cách thực hiện khi xóa bỏ. Bởi vì nhiều tập tin bị nhiễm bệnh có liên quan đến hệ thống, ví dụ như tập tin trong hệ điều hành, nếu xóa bỏ triệt để có thể làm cho hệ thống không hoạt động. Ngoài ra, các công cụ giám sát hoạt động cũng có ít trong việc phát hiện ra những chương trình lạ đang hoạt động trên máy.

Điểm chính trong cơ chế hoạt động của Trojan và Backdor là cài đặt một chương trình trên máy tính. Vì thế cách tốt nhất để tránh nhiệm trojan là không nên cho phép user bình thường có được quyền cài đặt chương trình tùy ý.

Dưới đây là các khuyến cáo dành cho các bạn để phòng chống Trojan hiệu quả.

  • Hạn chế sử dụng chung máy tính, cài đặt mật khẩu bảo vệ

  • Không mở các tập tin lạ không rõ nguồn gốc, chú ý các file có đuôi mở rộng: exe, bat,com,…

  • Không vào các trang web lạ, không click vào các đường link lạ

  • Không cài đặt các phần mềm lạ

  • Quét các port đang mở với các công cụ như Netstat, Fport, TCPView…

  • Quét các tiến trình đang chạy với Process Viewer, What’s on my computer, Insider…

  • Quét những thay đổi trong Registry với MsConfig, What’s running on my computer…

  • Quét những hoạt động mạng với Ethereal, WireShark…

  • Chạy các phần mềm diệt Trojan.


 
Hacking Tool

Fport sẽ tạo một bảng báo cáo về tình hình hoạt động của giao thức TCP/IP trong mạng, giúp chúng ta biết được những ứng dụng nào đang hoạt động kết nối đến internet.

TCPView là công cụ có sẵn trong Windows, cũng dùng để xem trạng thái hoạt động gói dữ liệu TCP hoặc UDP, bao gồm việc truy cập mạng, trao đổi dữ liệu, địa chỉ nguồn đích của gói tin.

Tripwire là công cụ dùng để tính bảng Hash cho tập tin. Tập tin ban đầu, qua sự tính toán của Tripware bằng một thuật toán nào đó, sẽ cho ra một dãy số. Bên nhận cũng dùng chương trình để tính toán lại cho tập tin nhận được. Nếu hai tập tin không trùng hash thì có thể nó đã bị đính kèm trojan.

6.  Tổng kết


Kết thúc bài học này bạn cần nắm rõ các vấn đề như sau:

  • Khái niệm về Trojan: Trojan là một đoạn code được chứa trong một phần mềm, ứng dụng khác, nó được cài đặt vào máy tính.

  • Covert channel là gì:  Covert channel sử dụng giao tiếp trên những cổng không hợp pháp

  • Ứng dụng cơ bản của Covert channels là ICMP tunneling, reverse WWW shell.

  • Khái niệm về backdoor: Backdoor thường được sử dụng là một phần của Trojan. Nó được sử dụng để tạo thành một cửa sau bí mật, dành cho hacker quay trở lại hệ thống vào lần sau.

  • Trojan hoạt động như thế nào: Điều cần thiết nhất là chúng phải được cài đặt trên máy tính.

  • Phòng chống Trojan: Cách đơn giãn nhất là cài đặt một chương trình Antivirus vào máy tính.
    <<<<<<<<<<<< Theo Nguyễn Đức Trung>>>>>>>>>>>

Được đăng bởi vào lúc
Nhãn: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Ads Inside Post