Lịch sử của mã độc có thể coi được bắt đầu từ năm 1949 khi lýthuyết đầu tiên về các chương trình tự sao chép ra đời , nhưng mãi đến năm 1981 loại mã độc đầu tiên là virus máy tính mới xu
Trang 1BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO
CƠ SỞ AN TOÀN THÔNG TIN
Đề tài: Tìm hiểu về RAT và Keylogger
Sinh viên thực hiện: Nhóm 8 :
Nguyễn Văn Đạt
Nguyễn Văn Hưng
Đào Văn Thạo
Người hướng dẫn :
TS Phạm Duy Trung
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2022
Trang 2MỤC LỤC
MỤC LỤC 2
DANH MỤC HÌNH ẢNH 4
LỜI NÓI ĐẦU 5
CHƯƠNG 1 GIỚI THIỆU CHUNG 7
1.1 Tính cấp thiết 7
1.2 Mục Tiêu 7
1.3 Công cụ sử dụng 8
CHƯƠNG 2 CƠ SỞ LÝ THUYẾT 9
2.1 Mã độc 9
2.1.1 Khái niệm về mã độc 9
2.1.2 Phân loại mã độc 10
2.1.3 Tấn công Trojan Horses 11
2.2 RAT- Remote Access Trojan 13
2.2.1 Khái niệm về RAT 13
2.2.2 Cơ chế hoạt động của RAT 13
2.2.3 Các mối nguy hại của RAT 14
2.2.4 Cách phòng ngừa RAT 15
2.3 Keylogger 16
Trang 32.3.1 Khái niệm Keylogger 16
2.3.2 Cơ chế hoạt dộng của Keylogger 17
2.3.3 Các mối nguy hại mà Keylogger đem lại 18
2.3.4 Cách phòng ngừa Keylogger 19
CHƯƠNG 3 THỰC NGHIỆM 21
TỔNG KẾT 22
TÀI LIỆU THAM KHẢO 23
Trang 4DANH MỤC HÌNH ẢNH
Trang 5LỜI NÓI ĐẦU
Trong thời kỳ công nghệ thông tin ngày càng phát triển, việc đảm bảo
sự an toàn của người dùng trên không gian mạng cũng như những thông tinnhạy cảm của người dùng là vô cùng quan trọng Tin tặc luôn biết cách lợidụng các lỗ hổng trong bảo mật cùng với sự thiếu hiểu biết của người dùng
để tấn công và khai thác thông tin quan trọng của người dùng, đe dọa đếntính bí mật, toàn vẹn của dữ liệu
Đi đôi với sự phát triển của công nghệ an toàn thông tin, cac hìnhthức tấn công của tin tặc trên không gian mạng ngày càng đa dạng Mộttrong các hình thức tấn công vô cùng nguy hại đến người dùng là mã độc.Trong số rất nhiều loại mã độc đang gây hại cho người dùng, RAT(RemoteAccess Trojan) đang tỏ rõ sự nguy hại của nó với người dùng RAT cùngvới keylogger âm thầm điều khiển, đánh cắp thông tin nhạy cảm của ngườidùng để truy cập trái phép, gây mất an toàn cho người dùng Trong bài báocáo này, nhóm chúng em sẽ tìm hiểu cách hoạt động của chúng nhằm nângcao nhận thức của người dùng trong việc bảo vệ bản thân trước những mối
đe dọa về an toàn thông tin
Bài báo cáo gồm có 3 chương:
Chương 1 Giới thiệu chung: Cung cấp những thông tin khái quát về
đề tài cũng như tính cấp thiết, mục tiêu mà đề tài hướng tới
Chương 2 Cơ sở lý thuyết: Cung cấp những khái niệm, cơ chế hoạtđộng của RAT và keylogger
Chương 3 Thực nghiệm: Mô phỏng quá trình tấn công RAT vàkeylogger trên không gian mạng
Trang 6Trong khi tìm hiểu , nghiên cứu và triển khai đề tài chúng em cũngkhông thể tránh khỏi những sai sót Vì vậy, chúng em rất mong thầy và cácngười dùng cho những ý kiến đóng góp để chúng em có thể hoàn thiện hơn.
Chúng em xin chân thành cảm ơn !
Trang 7CHƯƠNG 1 GIỚI THIỆU CHUNG 1.1 Tính cấp thiết
Ngày nay, người dùng trên không gian mạng luôn phải cảnh giáctrước những nguy cơ có thể gây mất an toàn cho thông tin cá nhân củamình Một trong các mối đe dọa vô cùng nguy hiểm và khó nhận biết màtin tặc thường sử dụng để tấn công là mã độc Chúng có thể ẩn nấp ở cácđường link, tệp tin hay phần mềm tưởng chừng như vô hại mà người dùng
vô tình truy cập hay tải về Chúng âm thầm phá hoại đánh cắp dữ liệu,thông tin của người dùng trong vô thức Đó chính là mối nguy hiểm chímạng đối với người dùng
Các dạng mã độc khác nhau được tạo ra với cơ chế hoạt động cũngnhư mục đích tấn công khác nhau RAT-Remote Access Trojan là dạng tấncông truy cập trái phép vào máy của người dùng, kết hợp với keyloggerđánh cắp các thông tin quan trọng của người dùng trong âm thầm và khóphát hiện RAT và keylogger xuất hiện từ rât sớm Từ cuối những nhữngnăm 1990, đã xuất hiện nhiều phần mềm RAT như SubSeven, Back Orifice,Poison-Ivy, và chúng vẫn có thể sử dụng cho đến ngày nay
Trước sự nguy hiểm và khó phát hiện mà chúng đem lại, chúng tacần nâng cao nhận thức của người dùng bằng cách trang bị những kiến thức
cơ bản về dạng tấn công này cùng với đó là cách phản ứng trước tấn công,luôn cảnh giác trước những đường liên kết, các tệp tin, phần mềm lạ
1.2 Mục Tiêu
Trang 8Nhận thức được tính nguy hại mà RAT và keylogger đem đến chongười dùng, nhóm chúng em quyết định nghiên cứu và triển khai đề tài nàyvới các mục tiêu đặt ra là:
Nâng cao nhận thức của bản thân và người dùng trước mối đedọa và RAT và keylogger nói riêng và các mối đe dọa kháctrên không gian mạng nói chung
Hiểu rõ cách thức phát tán cũng như cơ chế hoạt động củaRAT và keylogger
Nhận thức được cách phát tán chủa chúng trên không gianmạng cùng với cách phòng tránh, khắc phục khi gặp sự cố
Xây dựng demo mô phỏng tấn công của RAT và Keylogger,qua đó có cái nhìn sâu sắc hơn về chúng
1.3 Công cụ sử dụng
Trang 9CHƯƠNG 2 CƠ SỞ LÝ THUYẾT 2.1 Mã độc
2.1.1 Khái niệm về mã độc
Mã độc ( Tên tiếng Anh là Malware hay Malicious software ) là cácchương trình máy tính được tạo ra với mục đích làm hại đến tính bí mật ,tính toàn vẹn hoặc tính sẵn sàng của dữ liệu , ứng dụng và hệ điều hành củacủa hệ thống Có thể nói mã độc có một quá trình phát triển khá dài và luônsong hành cùng những chiếc máy tính Khi mà các công nghệ phần mềm ,phần cứng và hệ điều hành phát triển thì mã độc cũng phát triển theo để cóthể tương thích , ký sinh trên hệ thống máy tính Mã độc không tự sinh ra
mà được tạo ra bởi con người và có thể mang các mục đích khác nhau như :phá hoại , thử nghiệm hay đơn giản chỉ là một trò đùa ác ý Từ khi xuấthiện cho đến nay , mã độc vẫn luôn không ngừng phát triển và đã trở thànhmột nguy cơ lớn nhất đối với hầu hết các hệ thống , vì vậy cuộc chiếnchống lại mã độc vẫn luôn diễn ra hàng ngày và được cho là sẽ không baogiờ kết thúc
Lịch sử của mã độc có thể coi được bắt đầu từ năm 1949 khi lýthuyết đầu tiên về các chương trình tự sao chép ra đời , nhưng mãi đến năm
1981 loại mã độc đầu tiên là virus máy tính mới xuất hiện , virus này có tên
là Apple II và được phát tán thông qua hệ điều hành của hãng Apple , nólây lan lên các hệ thống của công ty Texas A & M , thông qua các trò chơi
để ăn cắp bản quyền trên đĩa mềm Năm 1983 xuất hiện định nghĩa đầu tiên
về virus máy tính do một sinh viên người Mỹ có tên là Fred Cohen đưa ra ,định nghĩa này phát biểu rằng “ Virus là một chương trình máy tính có thể
Trang 10tác động lên những chương trình máy tính khác bằng cách sửa đổi chúngthông qua việc đưa vào một bản sao của nó ” Kể từ đó , một thế giới cácloại mã độc và chương trình tấn công đã hình thành và phát triển với tốc độchóng mặt Đi kèm với nó là cả một ngành công nghiệp sản xuất công cụphát hiện và phòng chống Ngày nay , trên thế giới có rất nhiều loại viruskhác nhau đang hiện diện trên hệ thống máy tính toàn cầu Chúng phá hoại
và gây ra các hậu quả rất nặng nề đối với ngành công nghệ thông tin thếgiới
2.1.2 Phân loại mã độc
Một cách phân loại phổ biến là dựa vào hình thức lây nhiễm của mãđộc , theo cách phân loại này thì mã độc gồm hai dạng chính Dạng thứnhất cẩn vật chủ để tồn tại và lây nhiễm , vật chủ ở đây có thể là các tệp dữliệu , các tệp ứng dụng , hay các tập chung trình thực thì Mã độc thuộcdạng này chỉ là một đoạn mà đặc biệt của một chương trình máy tính khôngthể thực thi độc lập như một chương trình thông thường mà bắt buộc phải
có bước kích hoạt của chương trình chủ thì mới có thể hoạt động được Một số loại mã độc phổ biến thuộc dạng này là : Virus , Trojan , Trap Doors, Logic Bombs Dạng thứ hai tồn tại độc lập như các chương trình độc hại
có thể chạy trên hệ điều hành , một số loại mà đỏ thuộc dạng này là :Worms , Zombie
Trang 112.1.3 Tấn công Trojan Horses
TrojanHorse là loại mã độc được đặt theo sự tích “ Con ngựa thànhTroy " TrojanHorse không có khả năng tự nhân bản , nó thường đượcnhiễm vào hệ thống với biểu hiện rất bình thường nhưng thực chất bêntrong có ẩn chứa các đoạn mã với mục đích gây hại Trojan có thể gây hạitheo ba cách sau :
-Thực hiện các chức năng của chương trình chủ một cách bìnhthường , đồng thời thực thi các hoạt động gây hại một cách riêng biệt ( ví dụ: như 14 1 gửi một trò chơi dụ cho người dùng sử dụng , bên cạnh là thựchiện việc đánh cấp password )
-Thực thi các chức năng của chương trình chu , nhưng sửa đổi một sốchức năng để gây hại ( ví dụ như một Trojan gia lập một của số login để lấy
Trojan Horses Viruses
Độc lập với chương
trình
Worms Zombie
Trang 12password ) hoặc che giấu các hành động phá hoại khác ( ví dụ : như Trojanche giấu cho các tiến trình độc hại khác bằng cách tắt các hiện thị của hệthống )
-Thực thi luôn một chương trình gây hại bằng cách núp dưới danhmột chương trình không có hại ( ví dụ như một Trojan được giới thiệu như
là một trở chơi hoặc một chương trình tiện ích trên mạng , người dùng chỉcần kích hoạt chương trình tiện ích này là lập tức dữ liệu trên PC sẽ bị xoảhết )
Trojan truy cập từ xa : Được thiết kế để cho kẻ tấn công có khả năng
từ xa chiếm quyền điều khiển của máy bị hại Loại Trojan này thường giấuvào các trò chơi và các chương trình tiện ích làm cho người dùng mất cảnhgiác
Trojan gửi dữ liệu : Thực hiện việc lấy và gửi dữ liệu nhạy cảm nhưmặt khẩu , thông tin thẻ tín dụng , các tệp nhật kỷ , địa chỉ email cho kẻtấn công Loại Trojan này có thể tìm kiếm cụ thể thông tin hoặc cài phầnmềm đọc trộm bàn phím và gửi toàn bộ các phim bẫm về cho kẻ tấn công
Trojan phá hoại : Thực hiện việc xóa các tập tin trên máy nạn nhân ,loại Trojan này giống với virus và thường có thể bị phát hiện bởi cácchương trình diệt virus
Trojan kiểu proxy : Sử dụng máy tính bị hại làm proxy , qua đó cóthể sử dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá cácmáy tính khác
Trojan FTP : Được thiết kế để mở cổng 21 và cho phép tin tặc kết nốivào máy bị hại sử dụng FTP Trojan tắt phần mềm an ninh : Thực hiện việc
Trang 13dừng hoặc xóa bỏ chương trình an ninh như phần mềm Anti - virus haytường lửa mà người dùng không nhận ra
Trojan DoS : Được sử dụng trong các cuộc tấn công từ chối dịch vụ
Ví dụ các phần mềm Botnet sử dụng trong DDoS cũng có thể coi là mộtloại Trojan
2.2 RAT- Remote Access Trojan
2.2.1 Khái niệm về RAT
RAT (Remote Access Trojan) là một loại phần mềm độc hại có thể
dễ dàng giúp người dùng chiếm quyền vào bất kỳ điện thoại hoặc máy tínhkhi đã bị lây nhiễm
Thông thường, RAT được sử dụng hầu hết cho việc hack RAT dùsao cũng được cài đặt trên thiết bị của nạn nhân và nếu được Crypter (mãhóa) thì phần mềm diệt virus không thể phát hiện Do đó, thiết bị dễ dàngnằm trong tầm kiểm soát của hacker
2.2.2 Cơ chế hoạt động của RAT
RATS có thể lây nhiễm vào máy tính giống như bất kỳ loại phầnmềm độc hại nào khác Chúng có thể được đính kèm với một email, đượclưu trữ trên một trang web độc hại hoặc khai thác lỗ hổng trong một máychưa được vá
RAT được thiết kế để cho phép kẻ tấn công điều khiển máy tính từ xatương tự như cách sử dụng Giao thức Máy tính Từ xa (RDP) vàTeamViewer để truy cập từ xa hoặc quản trị hệ thống RAT sẽ thiết lập mộtkênh lệnh và điều khiển (C2) với máy chủ của kẻ tấn công, qua đó các lệnh
có thể được gửi đến RAT và dữ liệu có thể được gửi lại RAT thường có
Trang 14một tập hợp các lệnh tích hợp và có các phương pháp để ẩn lưu lượng C2của chúng khỏi bị phát hiện.
RAT có thể được đóng gói với chức năng bổ sung hoặc được thiết kếtheo kiểu mô-đun để cung cấp các khả năng bổ sung khi cần thiết Ví dụ, kẻtấn công có thể đạt được chỗ đứng bằng cách sử dụng RAT và sau khi khámphá hệ thống bị nhiễm bằng RAT, có thể quyết định rằng họ muốn cài đặtkeylogger trên máy bị nhiễm RAT có thể được tích hợp sẵn chức năng này,
có thể được thiết kế để tải xuống và thêm mô-đun keylogger khi cần, hoặc
có thể tải xuống và khởi chạy keylogger độc lập
2.2.3 Các mối nguy hại của RAT
RAT nguy hiểm vì nó cung cấp cho kẻ tấn công quyền truy cập vàkiểm soát rất cao đối với hệ thống bị xâm phạm Hầu hết các RAT đượcthiết kế để cung cấp cùng mức chức năng như các công cụ quản trị hệ thống
từ xa hợp pháp, có nghĩa là kẻ tấn công có thể nhìn thấy và làm bất cứ điều
gì chúng muốn trên một máy bị nhiễm RAT cũng thiếu các hạn chế tương
tự của các công cụ quản trị hệ thống và có thể bao gồm khả năng khai tháccác lỗ hổng và đạt được các đặc quyền bổ sung trên một hệ thống bị nhiễm
để giúp đạt được mục tiêu của kẻ tấn công
Do kẻ tấn công có mức độ kiểm soát cao đối với máy tính bị nhiễm
và các hoạt động của nó, điều này cho phép chúng đạt được hầu hết mọimục tiêu trên hệ thống bị nhiễm và tải xuống và triển khai chức năng bổsung nếu cần để đạt được mục tiêu của chúng
Trang 15Sau khi cài đặt RAT, hacker có toàn quyền kiểm soát từ xa hệ thốngcủa nạn nhân, mà chúng có thể lạm dụng theo nhiều cách Một số sử dụng
nó để thu thập thông tin tình báo về các mục tiêu quân sự và ngoại giao,những người khác để lấy thông tin cá nhân và chi tiết thanh toán của thẻ tíndụng, hoặc chiếm quyền webcam để kiếm soát, quan sát phòng ngủ củangười dùng
2.2.4 Cách phòng ngừa RAT
RAT được thiết kế để ẩn mình trên các máy bị nhiễm, cung cấpquyền truy cập bí mật cho kẻ tấn công Chúng thường thực hiện điều nàybằng cách tích hợp chức năng độc hại trên một ứng dụng có vẻ hợppháp Ví dụ: một trò chơi điện tử hoặc ứng dụng kinh doanh vi phạm bảnquyền có thể được cung cấp miễn phí vì nó đã được sửa đổi để bao gồmphần mềm độc hại
Tính lén lút của RAT có thể khiến chúng khó bị phát hiện Một sốphương pháp để phát hiện và giảm thiểu tác động của RAT bao gồm:
Tập trung vào Vectơ lây nhiễm : RAT, giống như bất kỳ phần mềm
độc hại nào, chỉ là mối nguy hiểm nếu chúng được cài đặt và thực thitrên máy tính mục tiêu Việc triển khai các giải pháp chống lừa đảo
và duyệt web an toàn cũng như thường xuyên vá các hệ thống có thểlàm giảm nguy cơ RAT Đó là cách khiến chúng khó lây nhiễm vàomáy tính hơn ngay từ đầu
Tìm kiếm hành vi bất thường : RAT là Trojan thường giả dạng ứng
dụng hợp pháp và có thể bao gồm chức năng độc hại được thêm vào
Trang 16ứng dụng thực Giám sát các ứng dụng để tìm hành vi bất thường,chẳng hạn như notepad.exe tạo ra lưu lượng mạng.
Giám sát lưu lượng mạng : RAT cho phép kẻ tấn công điều khiển từ
xa một máy tính bị nhiễm mã độc qua mạng, gửi lệnh và nhận kếtquả Tìm lưu lượng mạng bất thường có thể phát hiện được liên kếtvới các kết nối này
Thực hiện Đặc quyền Ít nhất : Nguyên tắc ít đặc quyền nhất chỉ ra
rằng người dùng, ứng dụng, hệ thống, v.v chỉ nên có quyền truy cập
và quyền mà họ cần để thực hiện công việc của mình Việc triển khai
và thực thi đặc quyền ít nhất có thể giúp hạn chế những gì kẻ tấncông có thể đạt được bằng cách sử dụng RAT
Triển khai xác thực đa yếu tố (MFA) : RAT thường cố gắng đánh
cắp tên người dùng và mật khẩu cho các tài khoản trực tuyến Triểnkhai MFA có thể giúp tăng cường tính xác thực của người dùng
2.3 Keylogger
2.3.1 Khái niệm Keylogger
Keylogger thường là một phần mềm nhỏ gọn – hoặc đôi lúc nguyhiểm hơn thậm chí là một thiết bị phần cứng – với khả năng ghi lại mọiphím bấm mà người dùng đã nhấn trên bàn phím Tổng hợp kết quả của các
tổ hợp phím này, kẻ cài đặt keylogger có thể thu được tin nhắn cá nhân, nộidung email, số thẻ tín dụng và dĩ nhiên nguy hiểm nhất là mọi loại mật khẩucủa người dùng
Keylogger được sử dụng trong các tổ chức Công nghệ Thông tin (IT)
để khắc phục sự cố kỹ thuật với máy tính và mạng lưới kinh doanh