Giáo trình CEH v7 tiếng việt - Trojans và Backdoors - chương 6

Đây là một loại phần mềm độc hại, nó tấn công hệ thống máy tính- mã hóa dữ liêu -“hostagecon tin_ ko bik dùng chữ chi hêt chống lại người sử dụng máy tính, và sau đó đòi tiền chuộc bằng

Corrons đã kết luận rằng:

“điều này không có nghia

là có ít mối đe dọa hơn hay

thị trường tội pham

mạng(tin tặc) đang thu hẹp

có khả năng là nó sẽ tiếp

tục mở rộng cuối năm

2010 chúng ta sẽ tìm ra

được nhiều mối đe dọa trí

tuệ tập thể hơn năm 2009

tuy nhiên dường như tin

tặc đang áp dụng quy mô

kinh tế, tái sử dụng nhưng

mật mã gây hại hay ưu

tiên việc phân phối những

mối đe dọa đang tồn tại

hơn tạo nên những mối đe

dọa mới”

Một phâ n ba số vi rus máy tính hiện tại được tạ o ra trong 10 thá ng đầu năm 2010

Theo cá c phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong 10 tháng đầu của

nă m 2010 thì cá c tội phạm mạng đã tạo ra và phát tán đến 1/3 s ố vi rus hiện tại, tạo ra 34% số

l ượng cá c phần mềm độc hại đã từng tồn tại và được phân loại bởi PandaLabs

Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và phân loại đến 99,4% cá c phầ n mềm độc hại, hiện đang l ưu trữ khoảng 134 tri ệu tập tin đặc biệt, trong đó 60 tri ệu là phần mềm độc hại(virus, sâu, trojan và cá c mối đe dọa từ má y tính khác )

Bá o cá o thêm là cho đến tháng 10 của năm 2010 thì có thêm khoảng 20 tri ệu dòng phần mềm độc hạ i được tạo ra ( bao gồm cả các biến thể của nó) cùng s ố lượng so với năm 2009 Tính trung bình thì các mối đe dọa đã tăng từ 55 l ên 63 nghìn

Mặ c dù những con số ấn tượng, nhưng tốc độ mà cá c mối đe dọa mới phát triển đã giảm kể từ

nă m 2009 Kể từ nắ m 2003 “ cá c mối đe dọa đã tăng theo tỷ l ệ 100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ l ệ tă ng trưởng khoảng 50%”, Giám đốc kỹ thuật của PandaLabs

gi ả i thích

Công ty nà y thông báo rằ ng, mặc dù phần mềm có chứa mã độc được tạ o ra , tuổi thọ của nó ngắ n hơn : 54% cá c mẫu phần mềm độc hại chỉ hoạt động trong vòng 24h, trá i ngược với tuổi thọ và i tháng như những năm trước đâ y Bâ y giờ nó chỉ l ây nhiễm một vài hệ thống rồi biến

mấ t

Gi ả i pháp chống vi rus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi chúng hoặc tạo

ra những biến thể mới để tránh bị phát hiện Đây l à lý do tại sao công nghệ bảo vệ như trí tuệ nhâ n tạo lại quan trọng như vậ y, có thể nhanh chóng vô hiệu hóa phần mềm độc hại mới và

gi ả m bớt các rủi ro mà người dùng ti ếp xúc với nó trong vòng 24h

Bản Tin Bảo Mật

Các chuyên gia(nhà nghiên cứu) bảo mật đã phát hiên ra một mối đe dọa

“ransomware” tấn công máy tính trên khắp thế giới

Các chuyên gia tai hãng bảo mật Kaspersky Lap đã cho biết: hôm nay ngày 29/11 trong một trang blog người ta đã đã phát hiện máy tính bị mã hóa bởi phần mềm ransomware Đây là một loại phần mềm độc hại, nó tấn công hệ thống máy tính- mã hóa dữ liêu -“hostage(con tin_ ko bik dùng chữ chi hêt) chống lại người sử dụng máy tính, và sau đó đòi tiền chuộc bằng cách chuyển tiền đến hacker hoặc yêu cầu người sử dụng máy tính mua công cụ giải mà giả ví dụ như – để trở lại

Ransomware mơi đc gọi là trojan-ransom.win32.Gpcode.ax, cũng tương tự như nhưng virut Gpcode trojan độc hại đac được phát hiện bởi Kaspersky Lap khác vào năm 2004 , và xuất hiện trở lại vào năm 2008

Hangc Kaspersky Lap cho biết rằng “ ko giống như nhưng biến thể trước” ransomware mới “ko xóa bỏ những tập tin sau khi mã hóa Thay vào đó là viết chồng lên nhưng dữ liệu trong cách tập tin, bằng cách này , nhưng tập tin

sẽ ko đc phục hồi bằng nhung phần mềm phục hồi dữ liêu như PhotoRec,

Bản Tin Bảo Mật

Trojan là gì?

Overt and covert channels

Mục đích của Trojan

Dấu hiệu tấn công của Trojan

Cổng phổ biến được Trojan sử dụng

Trojan lây nhiễm vào hệ thống như thế nào?

Trojan được triển khai như thế nào? Phân loại Trojan

Trojan được dò tìm như thế nào?

Kỹ thuật ngăn chặn Anti-Virus Ngăn chặn Trojan và Backdoor

Phần mềm ngăn chặn Trojan Kiểm tra và thăm dò

Mục Tiêu Module 6

Lây

nhiễm

Trojan

Loại Trojan

Dò tìm Trojan

Kiểm tra , thăm

dò

Phần mềm chống Trojan

Phương pháp phòng chống

Giới thiệu về Trojan

Trojan là một chương trình mà trong đó chứa đựng nhưng mã nguy hiểm và độc hại ẩn dưới dạng nhưng dữ liệu hay nhưng chương trình dường như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn

Với sự hổ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã bị trojan tấn công và có thể đọc được những tài liệu cá nhân, có những tập tin và hiễn thị những hình ảnh hoặc tin nhắn trên màn hình

Trojan là gì?

Một phương tiện thông tin

liên lạc hợp pháp trong một

hệ thống máy tính hay một

mạng lưới để truyền dữ liệu

Ví dụ một kênh “công khai”

bao gồm những trò chơi hay

bất cứ chương trình hợp

pháp nào

Một kênh truyền tải thông tin trong một hệ thống máy tính hay một mạng lưới theo cách

vi pham chính sách bảo mật Hình thức đơn giản nhất của kênh bảo mật là trojan

Tải Spyware Adwares và các file độc hại

Vô hiệu hóa tường lửa và phần mềm chống virus

Sử dụng máy tính của nạn nhân

Sử dụng máy tính của nan nhân để phát tán thư rác và bom thư

lây nhiễm sang PC của nạn nhân như một máy chủ proxy cho các cuộc tấn công chuyển tiếp

Mục Đích Của Người Tạo Ra Trojan?

Thông tin thẻ tín dụng

Dữ liệu tài khoản( Địa chỉ Email, user name, password )

Tài liệu mật

Dữ liệu tài chính (tài khoản ngân hàng, số an sinh xã hội, bảo hiểm thông tin

Thông tin liên quan đến nơi ở của nạn nhân

Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp, chẳng hạn như hack, scan, flood, hoặc xâm nhập một máy tính khác trong mạng nội bộ hoặc internet

Những Nhận Biết Của Một Cuộc Tấn Công Bằng Trojan

Ổ CD-ROM mở và

đóng bởi nó

Trình duyệt của máy tính chuyển hướng đến những trang không rõ

Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động

Thanh Taskbar biến mất

Hộp thoại trò

chuyện là xuất hiện

trên máy tính của

nạn nhân

Cửa sổ thiết lập màu sắc bị thay đổi

Nút Start Windows biến mất

Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được

Màn hình máy tính

bật ngược hoặc đảo

lộn

Thiết lập của màn hình chờ tự động thay đổi

Nhà cung cấp dịch vụ than phiền nạn nhân đang scan ip của mình

Xuất hiện các báo cáo mua lạ trong thẻ tín dụng của mình

Hình nền và

background thay

đổi

Chức năng các nút trái phải bị đảo lộn

Mọi người biết nhiều thông tin của nạn nhân

nó

Máy tính bị tắt hoặc

mở bỏi nó

Phím tắt Ctrl+Alt+Del dừng làm việc

Các Cổng Phổ Biến Được Sử Dụng Bởi Trojan

Giới thiệu về Trojan

Loại Trojan

Dò tìm Trojan

Kiểm tra thăm

dò

Phần mềm chống Trojan

Phương pháp phòng chống

Trojan

lây

nhiễm

Làm Thế Nào Sử Dụng Một Trojan Để Lây Nhiễm Vào Hệ Thống?

Tạo ra một Trojan mới sử dụng Trojan house Construction Kit

Tạo ra một Trojan, một phần trong gói Trojanized cài đặt mã độc trên hệ thông mục tiêu

Làm Thế Nào Để Sử Dụng Một Trojan Lây Nhiễm Vào Hệ Thống?

Tạo ra một wrapper để cài đặc lên máy tính của nạn nhân

Phổ biến các Trojan

Thực thi các dropper

Thực thi thường xuyên các mối gây hại

Một wrapper liên kết với một file thực thi Trojan tìm kiếm một ứng dụng

nhau)

Khi người dùng chạy một Wrapped

EXE, đầu tiên nó thiết lập một

Trojan in the background và chạy

Trojan Có Thể Lây Nhiễm Vào Hệ Thống Bằng

Các site phần mềm miễn phí

không đáng tin cậy

Tải các tập tin, trò chơi và

Trojan Được Triển Khai Như Thế Nào?

Các máy tính thường bị nhiễm Trojan khi click và một đường link chứa mã độc hoặc mở một Email

có đính kèm tập tin, Trojan cài đặt lên máy tính một backdoor để cho bọn tội phạm có thể sử dụng máy tính như là một máy chủ để phát tán

thư rác

Trojan kết nối đến máy chủ của Attacker Attacker gửi email đến nạn nhân có chứa link đến server Trojan

Nạn nhân click vào link và kết nối đến Server Trojan

Các Kỹ Thuật Phòng Chống VIRUS

Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy nhất

Luôn luôn viết một Trojan rồi nhúng nó vào một ứng dụng

Không bao giờ sử dụng Trojan

được tải từ WEB(vì các

anti-virus có thể dò tìm ra nó một

các dễ dàng)

Thay đổi nội dung tập tin

Trojan bằng cách sử HEX và

đồng thời cũng thay đổi tổng

kiểm tra và mã hóa tập tin

Thay đổi cú pháp của Trojan

 Chuyển từ EXE sang VB script

 Chuyển từ EXE sang DOC

Chuyển từ EXE sang PPT

Chuyển từ EXE sang PDF

Giới thiệu về Trojan

Lây

nhiễm

Trojan

Dò tìm Trojan

Kiểm tra thăm

dò

Phần mềm chống Trojan

Phương pháp phòng chống Loại

Trojan

Lệnh Trojan Shell cho phép điều khiển từ xa lệnh Shell trên máy tính của nạn nhân

Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng để cho Attacker kết nối đến

Một máy trạm được trên máy của Attacker, trong đó nó được sử dụng để chạy lệnh shell trên máy tính của nạn nhân

Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân

Trojan được thực thi khi nạn nhân mở file tài liệu và click và gói Trojan trên hệ

thống của nạn nhân

Attacker điều khiển từ xa máy tính của nạn nhân bằng cách gửi một email

Attacker có thể lấy file hoặc thư mục bằng cách gủi lệnh thông qua email

Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc

Vi dụ: Xóa

Calc.exe

Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng

và thay thế các chuỗi, bitmaps, logos và icon

từ nhiều cửa sổ chương

trình

Nó cho phép bạn hiển thị và biên tập gần như bất kz khía cạnh nào của một trình biên dịch , từ menu cho đến hộp thoại đến icon và bên ngoài

Họ áp dụng cho người

dùng tùy chỉnh ứng dụng

(UCA) theo kiểu cửa sổ

hủy hoại

Trojan botnet lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa l{ rộng lớn, tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm

Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ, spamming, Click gian lân và trộm cắp thông tin tài chính

 Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet

 Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân

 Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này

W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế mail của chủ Trojan

FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP

Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP

để tải bất kz file nào tồn tại trên máy tính của nạn nhân

VNC Trojan bắt đầu một VNC Server deamon trong hệ thông bị nhiễm

Nó kết nối đến nạn nhân bằng cách sử dụng bất kz VNC viewer nào với mật khẩu “secret”

Khi chương trình VNC được xem xét kỹ lưỡng, thì Trojan sẽ không bao giờ bị phát hiện bởi trình chống Virus

bộ rồi tự nhân bản lên theo một chu

kz được tính trước

Chương trình con xuất hiện để người dùng tường lửa do

đó cho phép truy cập Internet

Lây nhiễm máy tính của nạn nhân với

server.exe và công cụ HTTP Trojan Trojan gửi email với vị trí của địa chỉ IP

Hiển thị quảng cáo, ghi dữ liệu cá nhân, bàn phím

Tải các file không được yêu cầu, vô hiệu hóa chương trình/ hệ thông

Làm ngập kết nối Internet và phát tán các mối đe dọa

Theo dõi hoạt động duyệt Web và hiijacks (một phương thức chiếm hết kết nối có sẵn) internet trình duyệt

 Làm sai lệch về phát hiện và loại bỏ phần mềm gián điệp

SHTTPD là một HTTP server nhỏ có thể được nhúng vào trong bất kz chương trình nào

 Nó có thể được làm cầu nối với một chương trình chính hãng( game Chess.exe), khi thực thi nó sẽ biến một máy tính thành một máy chủ Web vô hình

Kênh bí mật là một trong những phương pháp trong đó một Attacker có thể ẩn các dữ liệu trong giao thức đó là không thể phát hiện

Dựa vào kỹ thuật gọi là Tunneling (đường hầm), cho phépmột giao thức được thực hiện qua giao thức khác

ICMP tunneling sử dung ICMP echo-request và trả lời

và thực hiện một payload lén lút kiểm soát hoặc truy cập máy của nan nhân

Trojan làm việc giống như truy cập Remote Desktop Hacker chiếm đoạt được hết GUI truy cập đến hệ thống từ xa

1 Lây nhiễm máy tính(Rebecca’s) với server.exe và Trojan kết nối ngược trở lại

2 Trojan kết nối đến cổng 80 để Attacker tại Nga thiết lập một kết nối đảo ngược

3 Jason, kẻ tấn công, có toàn quyền điều khiển máy của Rebecca

1 Covert Channel Tunneling Tool (CCTT) Trojan hiện nay có nhiều kỹ thuật khai thác khác nhau, tạo ra các kênh chuyển giao dữ liệ tùy { được ủy quyền bỏi hệ thông kiểm soát truy cập mạng

2 Nó cho phép kẻ tấn công có được một vỏ bọc máy chủ bên ngoài từ bên trong mạng nội

bộ và ngược lại

3 Nó thiết lập một TCP/UDP/HTTP CONNECT| PORT CHANNEL cho phép dòng dữ liệu TCP (SSH, SMTP, POP, etc ) giữa một máy chủ bên ngoài và một hộp từ bên trong mạng nội bộ

E-Banking Trojan Đánh chặn các thông tin tài khoản của nạn nhân trước khi nó được mã hóa và gửi lệnh Trojan và trung tâm điều khiển của kẻ tấn công

Trojan chặn một số chứng thực giao dich hợp lệ (TAN) được nhập bởi người sử dụng

Nó thay thế các TAN bằng một số ngẫu nhiên giống như là bị từ chối bởi ngân hàng

Attacker lợi dụng việc chặn TAN với các chi tiết đăng nhập của người dùng

Trojan tạo một trường giả mạo trên các trang E-Banking

Các trường bổ sung gợi ra thêm thông tin như số thẻ và ngày tháng năm sinh

Attacker có thể sử dụng thông tin để mạo danh và thỏa hiệp tài khoản của nạn nhân

Trojan phân tích bài yêu cầu và phản hồi đến trình duyệt của nạn nhân

Nó thỏa hiệp và tranh dành chưng thực

Trojan tranh giành và chăn đầu vào số hiệu khách hàng và mã truy cập

mà người dùng

Zeus là một Trojan ngân hàng đánh cắp dữ liệu từ máy tính bị nhiễm thông qua trình duyệt web và lưu trữ được bảo vệ

Trojan Phá Hoại

Đây là một loại trojan nguy hiểm

và phá hoại

Khi thực hiện trojan này nó phá hủy các hệ điều hành

Trojan Che Giấu Dữ Liệu (Trojan Mã Hóa)

Trojan Mã Hóa: mã hóa tập tin

dữ liệu trong hệ thống của nạn

nhân và làm cho thông tin không

sử dụng được

"Máy tính của bạn bắt được

phần mềm của chúng tôi trong

khi trình duyệt các trang khiêu

dâm bất hợp pháp, tất cả các

tài liệu, tập tin văn bản, cơ

sở dữ liệu trong thư mục

mở khóa

"Đừng cố gắng để tìm kiếm một chương trình giải mã hóa thông tin tôi chỉ đơn giản là

không tồn tại trong đĩa cứng của bạn nữa, "trả tiền để mở khóa mật

khẩu

Người sử dụng sau đó tải về các codec giả và cài đặt codec đó

Người dùng được nhắc nhở để tải về một codec

để xem video

Tin tặc điều khiển

hoàn toàn máy tính

MAC OS X của nạn

nhân

Một thông báo được gửi đến kẻ tấn công về máy tính của nạn nhân bằng cách sử dụng HTTP gửi tin nhắn

Lây

nhiễm

Trojan

Loại Trojan

Dò tìm Trojan

Kiểm tra xâm nhập

Phần mềm chống Trojan

Phương pháp phòng chống

Giới thiệu về Trojan

Trojan mở cổng không sử dụng trong máy tính nạn nhân để kết nối trở lại để xử lý

Hãy tìm thiết lập kết nối đến các địa chỉ IP không rõ hoặc đáng ngờ

Công cụ giám sát cổng: IceSword

Công cụ giám sát cổng: CurrPort và

TCPView