TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT HÀN MÔN AN NINH MẠNG CHƯƠNG 6 : TROJANS - BACKDOORS Người thực hiện: Lê Long Bảo Ngành : Mạng Máy Tính Lớp : MM03A 1 Tin tức bảo mật Một phần ba số virus máy tính hiện tại được tạo ra trong 10 tháng đầu năm 2010. Corrons đã kết luận rằng: “điều này ko có nghĩa là có ít mối đe dọa hơn hay thị trường tội pham mạng (tin tặc) đang thu hẹp, có khả năng là nó sẽ tiếp tục mở Theo các phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong 10 tháng đầu của năm 2010 thì các tội phạm mạng đã tạo ra và phát tán đến 1/3 số virus hiện tại, tạo ra 34% số lượng các phần mềm độc hại đã từng tồn tại và được phân loại bởi PandaLabs. Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và phân loại đến 99,4% các phần mềm độc hại, hiện đang lưu trữ khoảng 134 triệu tập tin đặc biệt, trong đó 60 triệu là phần mềm độc hại(virus, sâu, trojan và các mối đe dọa từ máy tính khác...). Báo cáo thêm là, cho đến tháng 10 của năm 2010 thì có thêm khoảng 20 triệu dòng phần mềm độc hại được tạo ra ( bao gồm cả các biến thể của nó) cùng số lượng so với năm 2009. Tính trung bình thì các mối đe dọa đã tăng từ 55 lên 63 nghìn. 2 Tin tức bảo mật Mặc dù những con số ấn tượng, nhưng tốc độ mà các mối đe dọa mới phát triển đã giảm kể từ năm 2009. Kể từ nắm 2003 “ các mối đe dọa đã tăng theo tỷ lệ 100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ lệ tăng trưởng khoảng 50%”, Giám đốc kỹ thuật của PandaLabs giải thích. Cuối năm 2010 chúng ta sẽ tìm ra được nhiều mối đe dọa trí tuệ tập thể hơn năm 2009 Tuy nhiên dường như tin tặc đang áp dụng quy mô kinh tế, tái sử dụng nhưng mật mã gây hại hay ưu tiên việc phân phối những mối đe dọa đang tồn tại hơn tạo nên những mối đe dọa mới” Công ty này thông báo rằng, mặc dù phần mềm có chứa mã độc được tạo ra, tuổi thọ của nó ngắn hơn : 54% các mẫu phần mềm độc hại chỉ hoạt động trong vòng 24h, trái ngược với tuổi thọ vài tháng như những năm trước đây. Bây giờ nó chỉ lây nhiễm một vài hệ thống rồi biến mất. Giải pháp chống virus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi chúng hoặc tạo ra những biến thể mới để tránh bị phát hiện. Đây là lý do tại sao công nghệ bảo vệ như trí tuệ nhân tạo lại quan trọng như vậy, có thể nhanh chóng vô hiệu hóa phần mềm độc hại mới và giảm bớt các rủi ro mà người dùng tiếp xúc với nó trong vòng 24h. 3 Mục tiêu của chương Trojan Trojan là là gì gì Trojan Trojan lây lây nhiễm nhiễm vào vào hệ hệ Trojan Trojan được được khai khai thác thác thống thống như như thế thế nào nào như như thế thế nào nào Kênh Kênh công công khai khai –– kênh kênh Cổng Cổng phổ phổ biển biển được được bảo bảo mật mật Trojan Trojan sử sử dụng dụng Mục Mục đích đích của của Trojan Trojan Phân Phân loại loại Trojan Trojan Dấu Dấu hiệu hiệu tấn tấn công công của của Trojan Trojan được được dò dò tìm tìm như như Trojan Trojan thế thế nào nào Kỹ Kỹ thuật thuật ngăn ngăn chặn chặn virus virus Kiểm Kiểm tra tra và và thăm thăm dò dò Phần mềm ngăn chặn Ngăn Ngăn chặn chặn Trojan Trojan và và Backdoor Backdoor 4 Giới thiệu về Trojan 5 Trojan là gì  Trojan là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn dưới dạng những dữ liệu hay những chương trình dường như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn.  Với sự hỗ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã bị trojan tấn công và có thể đọc được những tài liệu cá nhân, có những tập tin và hiển thị những hình ảnh hoặc tin nhắn trên màn hình. 6 Kênh công khai – kênh bảo mật Kênh công khai Kênh bảo mật 7 Mục đích của Trojan 8 Trojan tạo ra để làm gì Thông tin thẻ tín dụng Dữ liệu tài khoản (Địa chỉ email, username, password…) Tài liệu mật Dữ liệu tài chính (Tài khoản ngân hàng, số an sinh xã hội, bảo hiểm thông tin) Thông tin nơi ở của nạn nhân Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp 9 Nhận biết một cuộc tấn công bằng Trojan 10 Các cổng phổ biến được sử dụng bởi Trojan 11 Lây nhiễm Trojan 12 Làm thế nào Trojan lây nhiễm vào hệ thống I Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan II Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên máy tính mục tiêu 13 Làm thế nào Trojan lây nhiễm vào hệ thống III Tạo ra một wrapper để cài đặt lên máy nạn nhân IV Phổ biến Trojan V Thực thi các dropper VI Thực thi thường xuyên các mối gây hại 14 Wrapper kết nối hai giao diện khác nhau Một wrapper gắn file thực thi Trojan với một trình ứng dụng như là games hoặc office Khi người dùng chạy wrapper lần đầu , nó sẽ chạy Trojan làm background và sau đó chạy ứng Hai chương trình wrapper có thể được dụng wrapper làm foreground kết nối trong 1 file đơn 15 Chương trình Wrapper 16 Trojan có thể lây nhiễm vào hệ thống bằng những cách khác nhau Hợp pháp hóa một gói trong phần mềm hợp pháp Giả mạo chương trình Download file và game từ Internet Ứng dụng chat Ứng dụng IRC Ứng dụng IRC Các site không tin cậy và phần mềm miễn phí Chia sẽ file, thư mục Đính kèm Các lỗi của phần mềm duyệt và gửi mail 17 Trojan được khai thác như thế nào 18 Kỹ thuật phòng chống Virus Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy nhất Không bao giờ sử dụng Trojan được tải từ WEB(vì các anti-virus có thể dò tìm ra nó Viết một Trojan rồi nhúng nó vào một ứng một các dễ dàng) dụng Thay đổi nội dung tập tin Trojan bằng cách sử HEX và đồng thời cũng thay đổi tổng kiểm tra và mã hóa tập tin Thay đổi cú pháp của Trojan  Chuyển từ EXE sang .VB script  Chuyển từ EXE sang .DOC Chuyển từ EXE sang .PPT Chuyển từ EXE sang .PDF 19 Loại Trojan 20 Loại Trojan 21 Shell Trojan  Shell Trojan cho phép điều khiển từ xa lệnh Shell trên máy nạn nhân  Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng cho attacker kết nối đến  Máy trạm trên máy attacker cho phép chạy lệnh shell trên máy nạn nhân 22 Shell Trojan : Netcat 23 GUI Trojan : Mosucker 24 GUI Trojan : Jumper - Biodox 25 Tài liệu Trojan Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân Trojan được thực thi khi nạn nhân mở file tài liệu và click và gói Trojan trên hệ thống của nạn nhân 26 Email Trojan  Attacker điều khiển từ xa máy tính của nạn nhân bằng cách gửi một email  Attacker có thể lấy file hoặc thư mục bằng cách gửi lệnh thông qua email  Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc 27 Email Trojan : RemoteByMail 28 Defacement Trojans Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng và thay thế các chuỗi, bitmaps, logos và icon từ nhiều cửa sổ Ví dụ : deface calc.exe chương trình Áp dụng cho người dùng tùy chỉnh ứng dụng (UCA) theo kiểu Nó cho phép bạn hiển thị và biên tập gần cửa sổ hủy hoại như bất kỳ khía cạnh nào của một trình biên dịch , từ menu cho đến hộp thoại đến icon và bên ngoài 29 Defacement Trojans: Restorator 30 Botnet Trojans  Botnet Trojan lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa lý rộng lớn, tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm  Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ, spamming, Click gian lận và trộm cắp thông tin tài chính 31 Botnet Trojans Tool 32 Botnet Trojan:NetBot Attacker 33 Proxy Server Trojan  Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet  Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân  Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này 34 Proxy Server Trojan : W3bPr0xy Tr0j4n  W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế mail của chủ Trojan 35 FTP Trojans  FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP  Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ file nào tồn tại trên máy tính của nạn nhân. 36 FTP Trojans : TinyFTPD 37 VNC Trojans 38 VNC Trojan Tool 39 HTTP/HTTPS Trojans 40 HTTP Trojan : HTTP Rat 41 SHTTPD Trojan – HTTPS (SSL)  SHTTPD là một HTTP server nhỏ có thể được nhúng vào trong bất kỳ chương trình nào  Nó có thể được làm cầu nối với một chương trình chính hãng( game Chess.exe), khi thực thi nó sẽ biến một máy tính thành một máy chủ Web vô hình 42 ICMP Tunneling 43 ICMP Trojan : icmpsend 44 Remote Access Trojan Trojan làm việc giống như truy cập Remote Desktop. Hacker chiếm đoạt được hết GUI truy cập đến hệ thống từ xa 1. 2. 3. Lây nhiễm máy tính(Rebecca’s) với server.exe và Trojan kết nối ngược trở lại Trojan kết nối đến cổng 80 để Attacker tại Nga thiết lập một kết nối đảo ngược Jason, kẻ tấn công, có toàn quyền điều khiển máy của Rebecca 45 Remote Access Trojan: RatDarkComet 46 Remote Access Trojan: Apocalypse 47 Kênh Trojan bí mật : CCTT 1. Covert Channel Tunneling Tool (CCTT) Trojan hiện nay có nhiều kỹ thuật khai thác khác nhau, tạo ra các kênh chuyển giao dữ liệ tùy ý được ủy quyền bỏi hệ thông kiểm soát truy cập mạng 2. Nó cho phép kẻ tấn công có được một vỏ bọc máy chủ bên ngoài từ bên trong mạng nội bộ và ngược lại 3. Nó thiết lập một TCP/UDP/HTTP CONNECT| PORT CHANNEL cho phép dòng dữ liệu TCP (SSH, SMTP, POP, etc...) giữa một máy chủ bên ngoài và một hộp từ bên trong mạng nội bộ 48 E-Banking Trojan E-Banking Trojan đánh chặn các thông tin tài khoản của nạn nhân trước khi nó được mã hóa và gửi lệnh Trojan và trung tâm điều khiển của kẻ tấn công 49 Phân tích Banking Trojan 50 E-Banking Trojan : ZeuS  Zeus là một Trojan ngân hàng đánh cắp dữ liệu từ máy tính bị nhiễm thông qua trình duyệt web và lưu trữ được bảo vệ 51 Trojan Phá hoại Đây là một loại Trojan nguy hiểm Trojan này sẽ phá toàn bộ ổ đĩa mạng Khi thực thi, Trojan sẽ phá hủy hệ thống Người dùng không thể boot hệ thống và cục bộ của hệ thống 52 Trojan Thông báo 53 Credit Card Trojan 54 Trojan Che Giấu Dữ Liệu (Trojan Mã Hóa) 55 BlackBerry Trojan : PhoneSnoop 56 MAC OS Trojan : DNSChanger 57 MAC OS Trojan : DNSChanger 58 MAC OS Trojan : Hell Raiser 59 Dò tìm Trojan 60 Dò tìm Trojan 61 Quét cổng đáng ngờ 1/ Trojan mở cổng không sử dụng trong máy tính nạn nhân để kết nối trở lại để xử lý 2/ Hãy tìm thiết lập kết nối đến các địa chỉ IP không rõ hoặc đáng ngờ 62 Công cụ giám sát cổng: IceSword 63 Công cụ giám sát cổng: CurrPort và TCP View 64 Quét tiến trình đáng ngờ 65 Công cụ quét tiến trình: What’s running 66 Công cụ quét tiến trình 67 Quét Registry đáng ngờ 68 Công cụ giám sát Registry 69 Quét trình điều khiển thiết bị đáng ngờ 70 Công cụ giám sát trình điều khiển thiết bị: DriverView 71 Công cụ giám sát trình điều khiển thiết bị 72 Quét các dịch vụ đáng ngờ 73 Công cụ giám sát dịch vụ Windows : Manager (SrvMan) Windows Service 74 Công cụ giám sát dịch vụ Windows 75 Quét các chương trình đang khởi động 76 Windown 7 Startup Registry Entries 77 Công cụ giám sát chương trình đang khởi động : Starter 78 Công cụ giám sát chương trình đang khởi động : Security Autorun 79 Công cụ giám sát chương trình đang khởi động 80 Quét các tập tin và thư mục đáng ngờ 81 Kiểm tra tính toán vẹn của tập tin và Folder: FastSum và MD5 82 Công cụ kiểm tra tính toán vẹn của tập tin và Folder 83 Quét các hoạt động mạng đáng ngờ 84 Phát hiện Trojan và sâu máy tính : Capsa Network Analyzer Capsa là một công cụ phân tích mạng trực quan, cung cấp thông tin chi tiết để giúp kiểm tra nếu có bất kỳ hoạt động Trojan trên mạng 85 Phương pháp phòng chống 86 Biện pháp đối phó với Trojan 87 Biện pháp đối phó với Backdoor 88 Bộ công cụ xây dựng Trojan Horse 89 Phần mềm phòng chống Trojan 90 Phần mềm Anti-Trojan: TrojanHunter 91 Phần mềm Anti-Trojan: Emisoft Malware 92 Phần mềm Anti-Trojan 93 Kiểm tra xâm nhập 94 Kiểm tra xâm nhập Trojan và Backdoor Quét hệ thống cổng mở, các tiến trình đang chạy, các khóa registry, trình điều khiển thiết bị và dịch vụ Nếu bất kỳ cổng đáng ngờ, quá trình, mục đăng ký, trình điều khiển thiết bị hoặc dịch vụ được phát hiện, kiểm tra các tập tin thực thi liên quan Thu thập thêm thông tin về các từ trang web của nhà phát hành, nếu có, và Internet Kiểm tra nếu các cổng được mở bởi Trojan 95 Kiểm tra xâm nhập Trojan và Backdoor 96 Kiểm tra xâm nhập Trojan và Backdoor 97 HẾT 98 [...]... và đồng thời cũng thay đổi tổng kiểm tra và mã hóa tập tin Thay đổi cú pháp của Trojan  Chuyển từ EXE sang VB script  Chuyển từ EXE sang DOC Chuyển từ EXE sang PPT Chuyển từ EXE sang PDF 19 Loại Trojan 20 Loại Trojan 21 Shell Trojan  Shell Trojan cho phép điều khiển từ xa lệnh Shell trên máy nạn nhân  Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng cho attacker kết nối đến... Defacement Trojans: Restorator 30 Botnet Trojans  Botnet Trojan lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa lý rộng lớn, tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm  Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ, spamming, Click gian lận và trộm cắp thông tin tài chính 31 Botnet Trojans. .. attacker cho phép chạy lệnh shell trên máy nạn nhân 22 Shell Trojan : Netcat 23 GUI Trojan : Mosucker 24 GUI Trojan : Jumper - Biodox 25 Tài liệu Trojan Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân Trojan được thực thi khi nạn nhân mở file tài liệu và click và gói Trojan trên hệ thống của nạn nhân 26 Email Trojan  Attacker điều khiển từ xa máy tính của nạn nhân bằng cách... cổng phổ biến được sử dụng bởi Trojan 11 Lây nhiễm Trojan 12 Làm thế nào Trojan lây nhiễm vào hệ thống I Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan II Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên máy tính mục tiêu 13 Làm thế nào Trojan lây nhiễm vào hệ thống III Tạo ra một wrapper để cài đặt lên máy nạn nhân IV Phổ biến Trojan V Thực thi các dropper VI Thực thi... Các lỗi của phần mềm duyệt và gửi mail 17 Trojan được khai thác như thế nào 18 Kỹ thuật phòng chống Virus Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy nhất Không bao giờ sử dụng Trojan được tải từ WEB(vì các anti-virus có thể dò tìm ra nó Viết một Trojan rồi nhúng nó vào một ứng một các dễ dàng) dụng Thay đổi nội dung tập tin Trojan bằng cách sử HEX và đồng thời cũng thay đổi... Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này 34 Proxy Server Trojan : W3bPr0xy Tr0j4n  W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế mail của chủ Trojan 35 FTP Trojans  FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP  Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ... Trojan:NetBot Attacker 33 Proxy Server Trojan  Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet  Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân  Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này 34 Proxy Server Trojan :... một email  Attacker có thể lấy file hoặc thư mục bằng cách gửi lệnh thông qua email  Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc 27 Email Trojan : RemoteByMail 28 Defacement Trojans Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng và thay thế các chuỗi, bitmaps, logos và icon từ nhiều cửa sổ Ví dụ : deface calc.exe chương trình Áp dụng cho người... Wrapper kết nối hai giao diện khác nhau Một wrapper gắn file thực thi Trojan với một trình ứng dụng như là games hoặc office Khi người dùng chạy wrapper lần đầu , nó sẽ chạy Trojan làm background và sau đó chạy ứng Hai chương trình wrapper có thể được dụng wrapper làm foreground kết nối trong 1 file đơn 15 Chương trình Wrapper 16 Trojan có thể lây nhiễm vào hệ thống bằng những cách khác nhau Hợp pháp hóa