athena-chapter 6 - trojan and backdoor

- Rất dễ tạo Trojan từ các tool kit có rất nhiều trên Internet như Stealth,Beat II... Netcat: là trojan backdoor đơn giản nhưng hữu hiệu download tại : http://netcat.sourcef

Trang 1

www.Athena.Edu.Vn Tel : (08)38244041 - 090 78 79 477

CHAPTER 6: TROJAN AND BACKDOOR

I Trojan và backdoor :

- Trojan horse là chương trình máy tính thường được ẩn dưới các chương trình khác, có chứa code ẩn được viết để khai thác lỗ hổng hoặc gây nguy hại cho hệ điều hành, chủ yếu dùng để ăn cắp các thông tin nhạy cảm như password account,file

- Backdoor là chương trình tạo kết nối từ xa Hacker thường sử dụng để kết nối lấy file hoặc điều khiển tới máy của nạn nhân mà có thể bypass quá trình

authentication.Hacker thường cài đặt trên máy của nạn nhân để dễ dàng kết nối cho lần xâm nhập sau

- Spyware chương trình thu thập thông tin về user , hoạt động ngầm để thu thập về các hoạt động của người dùng Kết hợp với Adware để quảng cáo (pop-up) cho các site thương mại

- Điều kiện cần của Trojan và Backdoor:

+ Phải có trên máy của victim(cài đặt hoặc copy vào máy victim)

- Trojan-backdoor thường được nhúng phần server.exe trong các chương trình hợp lệ để lừa nạn nhân và hacker sẽ dùng phần client để tạo kết nối tới nạn nhân khi nạn nhân online

- Rất dễ tạo Trojan từ các tool kit có rất nhiều trên Internet như Stealth,Beat

II Các kiểu Trojan-Backdoor :

- Trojan thường có một hoặc nhiều tính năng :

+ Remote connect Access : kết nối và điều khiển từ xa

+ Sending data : gửi file giữa hacker và victim

+ Destructive and DoS : phá hủy file hoặc máy và DoS

+ Security software disable : tắt firewall,antivirus software để dễ dàng kết nối

Trang 2

Chương 6: Tài liệu học an ninh mạng – Hacker Mũ Trắng – Trung tâm đào tạo quản trị mạng & an ninh mạng ATHENA

IV Lab :

1 Netcat: là trojan backdoor đơn giản nhưng hữu hiệu download tại :

http://netcat.sourceforge.net/download.php Netcat chạy được trên Windows và Linux

a Trên Windows : không cần cài đặt,chạy trên command-line

b Trên Linux :

- Giải nén và cài đặt với lệnh tar,./configure,make

Trang 3

Trang 4

Trang 5

- Các option của Netcat :

Trang 7

- Tạo kết nối từ máy linux : nc IP(máy cần kết nối) port(lắng nghe)

Trang 9

Trang 10

Trang 11

2 Netbus : trojan nổi tiếng được viết ra từ năm 1998 Netbus khi chạy sẽ tự động cài đặt và đưa vào registry để tự động khởi động cùng OS

Trang 13

- Connect đến Netbus : nhập IP máy muốn kết nối,port lắng nghe,password nếu có

- Sau khi kết nối xong sẽ hiện tình trạng phía dưới và hacker có thể toàn quyền quản lý máy của nạn nhân

Trang 14

- Cài đặt và chạy phần server trên Linux :

+ tar –vxfz icmp-backdoor.tar.gz

+ cd icmp-backdoor

+ make server

+ /ibd-server 0

Trang 15

Trang 16

Trang 17

Trang 20

Trang 21

Trang 22

Trang 23

Trang 24

Trang 25

Trang 26

Trang 27

- Analyze quá trình truyền data trên Ethereal: ta thấy nội dung data nằm trong gói tin ping

Trang 28

Trang 29

4 Trojan Creator Kit:

- Ta có thể tự tạo Trojan 1 cách dễ dàng bằng các toolkit có rất nhiều trên Internet từ đơn giản đến phức tạp

- LAB : tạo Trojan với Turkojan version 4 Download tại :

http://www.turkojan.com/downloads/Turkojan4.exe Chạy file setup.exe để cài đặt ,mở chương trình ta sẽ có giao diện như hình dưới

Trang 30

- Chọn vào Editor để tạo phần server.exe

+ Chọn IP address để Server sẽ connect ngược lại mỗi khi connect vào mạng hoặc qua Internet

+ Port kết nối

+ Kiểu hoạt động của server: visible hoặc invisible

Sau đó save ra thành file server.exe

Trang 31

- Sau khi kích hoạt file server.exe trên máy nạn nhân server.exe sẽ connect ngược về ngay lập tức và hiện thông báo tình trạng

Trang 32

- Dưới đây là kết quả remote desktop máy 192.168.3.105(nạn nhân) Turkojan dùng

cơ chế TCP stream tốc độ truyền khá ổn định.Có thể chỉ theo dõi hoặc kiểm soát cả máy

Trang 33

5 Wrapper file : chương trình cho phép merge các file thuận tiện cho việc nhúng Trojan vào các file.game để dễ dàng lừa nạn nhân kích hoạt file sẽ kích hoạt đồng thời Trojan.Elitewrap download tại

http://homepage.ntlworld.com/chawmp/elitewrap/elitewrap.zip Trong lab dùng elitewrap để nhúng Trojan ackcmd.exe(rename thành svchost.exe) vào file

Trang 35

Trang 37

Trang 38

- Tạo kết nối tới từ máy Hacker:

+ ackcmd.exe 192.168.3.104(máy muốn kết nối)

Trang 39

- Ta thấy kết nối được tạo thành

6 Adware Analyst : dưới đây là 1 đoạn code vbs khi bấm vào sẽ gọi pop-up mà địa chỉ được ghi trong phần “xxxx” của phần myIE.Navigate "xxxx"

Trang 40

Set WSHShell = WScript.CreateObject("WScript.Shell")

WshShell.AppActivate("Microsoft Internet Explorer")

Set WSHShell = Nothing

Để tạo loop đơn giản ta có thể xét tiếp

Định dạng
Số trang	40
Dung lượng	4,69 MB