1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Bài Giảng An Ninh Mạng Trojans - Backdoors

98 687 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 98
Dung lượng 32,99 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Dấu hiệu tấn công của TrojanCổng phổ biển được Trojan sử dụng Cổng phổ biển được Trojan sử dụng Trojan lây nhiễm vào hệ thống như thế nào Trojan lây nhiễm vào hệ thống như thế nào Trojan

Trang 1

MÔN AN NINH MẠNG

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN

HỮU NGHỊ VIỆT HÀN

Người thực hiện: Lê Long Bảo Ngành : Mạng Máy Tính Lớp : MM03A

CHƯƠNG 6 : TROJANS - BACKDOORS

1

Trang 2

Một phần ba số virus máy tính hiện tại được tạo ra trong 10 tháng

đầu năm 2010

Theo các phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong 10 tháng đầu của năm 2010 thì các tội phạm mạng đã tạo ra và phát tán đến 1/3 số virus hiện tại, tạo ra 34% số lượng các phần mềm độc hại đã từng tồn tại và được phân loại bởi PandaLabs

Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và phân loại đến 99,4% các phần mềm độc hại, hiện đang lưu trữ khoảng 134 triệu tập tin đặc biệt, trong đó 60 triệu là phần mềm độc hại(virus, sâu, trojan và các mối đe dọa từ máy tính khác )

Báo cáo thêm là, cho đến tháng 10 của năm 2010 thì có thêm khoảng 20 triệu dòng phần mềm độc hại được tạo ra ( bao gồm cả các biến thể của nó) cùng số lượng so với năm 2009 Tính trung bình thì các mối đe dọa đã tăng từ 55 lên 63 nghìn

Trang 3

Mặc dù những con số ấn tượng, nhưng tốc độ mà các mối đe dọa mới phát triển đã giảm kể từ năm 2009 Kể từ nắm 2003 “ các mối

đe dọa đã tăng theo tỷ lệ 100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ lệ tăng trưởng khoảng 50%”, Giám đốc kỹ thuật của PandaLabs giải thích

Công ty này thông báo rằng, mặc dù phần mềm có chứa mã độc được tạo ra, tuổi thọ của nó ngắn hơn : 54% các mẫu phần mềm độc hại chỉ hoạt động trong vòng 24h, trái ngược với tuổi thọ vài tháng như những năm trước đây Bây giờ nó chỉ lây nhiễm một vài

hệ thống rồi biến mất

Giải pháp chống virus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi chúng hoặc tạo ra những biến thể mới để tránh bị phát hiện Đây là lý do tại sao công nghệ bảo vệ như trí tuệ nhân tạo lại quan trọng như vậy, có thể nhanh chóng vô hiệu hóa phần mềm độc hại mới và giảm bớt các rủi ro mà người dùng tiếp xúc với nó trong vòng 24h

Tuy nhiên dường

như tin tặc đang áp

dụng quy mô kinh

tế, tái sử dụng

nhưng mật mã gây

hại hay ưu tiên

việc phân phối

những mối đe dọa

đang tồn tại hơn

tạo nên những mối

đe dọa mới”

Trang 4

Dấu hiệu tấn công của Trojan

Cổng phổ biển được Trojan sử

dụng

Cổng phổ biển được Trojan sử

dụng

Trojan lây nhiễm vào hệ thống như thế

nào

Trojan lây nhiễm vào hệ thống như thế

nào

Trojan được khai thác như thế nào

Trojan được khai thác như thế nào

Phân loại Trojan

Phân loại Trojan

Kỹ thuật ngăn chặn virus

Phần mềm ngăn chặn

Ngăn chặn Trojan và Backdoor

Ngăn chặn Trojan và Backdoor

Kiểm tra và thăm dò

Kiểm tra và thăm dò

Trang 5

Giới thiệu về Trojan

Trang 6

 Trojan là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại

ẩn dưới dạng những dữ liệu hay những chương trình dường như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn

 Với sự hỗ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã

bị trojan tấn công và có thể đọc được những tài liệu cá nhân, có những tập tin và hiển thị những hình ảnh hoặc tin nhắn trên màn hình

Trojan là gì

Trang 7

Kênh công khai – kênh bảo mật

Kênh công khai Kênh bảo mật

Trang 8

Mục đích của Trojan

Trang 9

Thông tin nơi ở của nạn nhân

Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp

Trang 10

Nhận biết một cuộc tấn công bằng Trojan

Trang 11

Các cổng phổ biến được sử dụng bởi Trojan

Trang 12

Lây nhiễm Trojan

Trang 13

Làm thế nào Trojan lây nhiễm vào hệ thống

Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan

Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên máy tính mục tiêu

I

II

Trang 14

Làm thế nào Trojan lây nhiễm vào hệ thống

Tạo ra một wrapper để cài đặt lên máy nạn nhân

Trang 15

Wrapper kết nối hai giao diện khác nhau

Một wrapper gắn file thực thi Trojan với một trình ứng dụng như

là games hoặc office

Khi người dùng chạy

wrapper lần đầu , nó sẽ chạy

Trojan làm background và

sau đó chạy ứng dụng

wrapper làm foreground

Hai chương trình wrapper có thể được kết nối trong 1 file đơn

Trang 16

Chương trình Wrapper

Trang 17

Giả mạo chương trình

Download file và game

Trang 18

Trojan được khai thác như thế nào

Trang 19

Kỹ thuật phòng chống Virus

Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy

nhất

Không bao giờ sử dụng

Trojan được tải từ

Thay đổi cú pháp của Trojan

 Chuyển từ EXE sang VB script

 Chuyển từ EXE sang DOC

 Chuyển từ EXE sang PPT

 Chuyển từ EXE sang PDF

Viết một Trojan rồi nhúng

nó vào một ứng dụng

Trang 20

Loại Trojan

Trang 21

Loại Trojan

Trang 22

 Shell Trojan cho phép điều khiển từ xa lệnh Shell trên

máy nạn nhân

 Máy chủ Trojan được cài trên máy của nạn nhân, trong

đó nó mở một cổng cho attacker kết nối đến

 Máy trạm trên máy attacker cho phép chạy lệnh shell

trên máy nạn nhân

Shell Trojan

Trang 23

Shell Trojan : Netcat

Trang 24

GUI Trojan : Mosucker

Trang 25

25

Trang 26

Tài liệu Trojan

Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân

Trojan được thực thi khi nạn nhân

mở file tài liệu và click và gói Trojan trên hệ thống của nạn nhân

Trang 27

 Attacker điều khiển từ xa máy tính của nạn nhân bằng cách gửi một email

 Attacker có thể lấy file hoặc thư mục bằng cách gửi lệnh thông qua email

 Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc

27

Email Trojan

Trang 28

Email Trojan : RemoteByMail

Trang 29

Defacement Trojans

Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng và thay thế các chuỗi, bitmaps, logos

và icon từ nhiều cửa sổ chương trình

Trang 30

Defacement Trojans: Restorator

Trang 31

 Botnet Trojan lây nhiễm một số lượng lớn các máy tính trên

một phạm vi địa lý rộng lớn, tạo ra một mạng bot được điều

khiển thông qua Command và Control (C&C) trung tâm

 Botnet được sử dụng để phát động một cuộc tấn công khác

nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ,

spamming, Click gian lận và trộm cắp thông tin tài chính

31

Botnet Trojans

Trang 32

Botnet Trojans Tool

Trang 33

33

Trang 34

 Trojan Proxy thường được sử dụng như một ứng

dụng cho phép Attacker từ xa sử dụng máy tính của

nạn nhân như một Proxy để kết nối Internet

 Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một

Proxy server trên máy tính của nạn nhân

 Hàng ngàn máy tính trên Internet bị nhiễm với

những Proxy server bằng cách sử dụng kỹ thuật này

Proxy Server Trojan

Trang 35

 W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế

mail của chủ Trojan

35

Proxy Server Trojan : W3bPr0xy Tr0j4n

Trang 36

 FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở

cổng FTP

 Attacker có thể kết nối đến máy của nạn nhân bằng cách sử

dụng cổng FTP để tải bất kỳ file nào tồn tại trên máy tính của nạn nhân

FTP Trojans

Trang 37

37

Trang 38

VNC Trojans

Trang 39

VNC Trojan Tool

Trang 40

HTTP/HTTPS Trojans

Trang 41

41

Trang 42

 SHTTPD là một HTTP server nhỏ có thể được nhúng

vào trong bất kỳ chương trình nào

 Nó có thể được làm cầu nối với một chương trình chính hãng( game Chess.exe ), khi thực thi nó sẽ biến một máy tính thành một máy chủ Web vô hình

Trang 43

ICMP Tunneling

Trang 44

ICMP Trojan : icmpsend

Trang 45

Remote Access Trojan

Trojan làm việc giống như truy cập Remote Desktop Hacker

chiếm đoạt được hết GUI truy cập đến hệ thống từ xa

1 Lây nhiễm máy tính(Rebecca’s) với server.exe và Trojan kết

nối ngược trở lại

2 Trojan kết nối đến cổng 80 để Attacker tại Nga thiết lập một

kết nối đảo ngược

3 Jason, kẻ tấn công, có toàn quyền điều khiển máy của

Rebecca

Trang 46

Remote Access Trojan: RatDarkComet

Trang 47

47

Trang 48

1. Covert Channel Tunneling Tool (CCTT) Trojan hiện nay có nhiều kỹ thuật khai thác khác nhau, tạo ra các kênh chuyển giao dữ liệ tùy ý

được ủy quyền bỏi hệ thông kiểm soát truy cập mạng

2. Nó cho phép kẻ tấn công có được một vỏ bọc máy chủ bên ngoài từ

bên trong mạng nội bộ và ngược lại

3. Nó thiết lập một TCP/UDP/HTTP CONNECT| PORT CHANNEL

cho phép dòng dữ liệu TCP (SSH, SMTP, POP, etc ) giữa một máy chủ bên ngoài và một hộp từ bên trong mạng nội bộ

Trang 49

E-Banking Trojan

E-Banking Trojan đánh chặn các thông tin tài khoản của nạn nhân trước khi nó được

mã hóa và gửi lệnh Trojan và trung tâm điều khiển của kẻ tấn công

Trang 50

Phân tích Banking Trojan

Trang 51

 Zeus là một Trojan ngân hàng đánh cắp dữ liệu từ máy tính bị

nhiễm thông qua trình duyệt web và lưu trữ được bảo vệ

51

E-Banking Trojan : ZeuS

Trang 52

sẽ phá hủy

hệ thống

Người dùng không thể boot hệ thống

Trang 53

Trojan Thông báo

Trang 54

Credit Card Trojan

Trang 55

Trojan Che Giấu Dữ Liệu (Trojan Mã Hóa)

Trang 56

BlackBerry Trojan : PhoneSnoop

Trang 57

57

Trang 58

MAC OS Trojan : DNSChanger

Trang 59

59

Trang 60

Dò tìm Trojan

Trang 61

Dò tìm Trojan

Trang 63

63

Trang 64

Công cụ giám sát cổng: CurrPort và TCP View

Trang 65

Quét tiến trình đáng ngờ

Trang 66

Công cụ quét tiến trình: What’s running

Trang 67

Công cụ quét tiến trình

Trang 68

Quét Registry đáng ngờ

Trang 69

Công cụ giám sát Registry

Trang 70

Quét trình điều khiển thiết bị đáng ngờ

Trang 71

Công cụ giám sát trình điều khiển thiết bị:

DriverView

Trang 72

Công cụ giám sát trình điều khiển thiết bị

Trang 73

Quét các dịch vụ đáng ngờ

Trang 74

Công cụ giám sát dịch vụ Windows : Windows

Service Manager (SrvMan)

Trang 75

Công cụ giám sát dịch vụ Windows

Trang 76

Quét các chương trình đang khởi động

Trang 77

Windown 7 Startup Registry Entries

Trang 78

Công cụ giám sát chương trình đang khởi động :

Starter

Trang 79

Công cụ giám sát chương trình đang khởi động :

Security Autorun

Trang 80

Công cụ giám sát chương trình đang khởi động

Trang 81

Quét các tập tin và thư mục đáng ngờ

Trang 82

Kiểm tra tính toán vẹn của tập tin và Folder:

FastSum và MD5

Trang 83

Công cụ kiểm tra tính toán vẹn của tập tin và

Folder

Trang 84

Quét các hoạt động mạng đáng ngờ

Trang 85

Phát hiện Trojan và sâu máy tính : Capsa Network

Analyzer

Capsa là một công cụ phân tích mạng trực quan, cung cấp thông tin chi tiết để giúp

kiểm tra nếu có bất kỳ hoạt động Trojan trên mạng

Trang 86

Phương pháp phòng chống

Trang 87

Biện pháp đối phó với Trojan

Trang 88

Biện pháp đối phó với Backdoor

Trang 89

Bộ công cụ xây dựng Trojan Horse

Trang 90

Phần mềm phòng chống Trojan

Trang 91

Phần mềm Anti-Trojan: TrojanHunter

Trang 92

Phần mềm Anti-Trojan: Emisoft Malware

Trang 93

Phần mềm Anti-Trojan

Trang 94

Kiểm tra xâm nhập

Trang 95

Kiểm tra xâm nhập Trojan và Backdoor

Quét hệ thống cổng mở, các tiến trình đang chạy, các khóa registry, trình điều khiển thiết bị và dịch vụ Nếu bất kỳ cổng đáng ngờ, quá trình, mục đăng ký, trình điều khiển thiết bị hoặc dịch vụ được phát hiện, kiểm tra các tập tin thực thi liên quan

Thu thập thêm thông tin về các từ trang web của nhà phát hành, nếu có, và Internet

Kiểm tra nếu các cổng được mở bởi Trojan

Trang 96

Kiểm tra xâm nhập Trojan và Backdoor

Trang 97

Kiểm tra xâm nhập Trojan và Backdoor

Trang 98

HẾT

Ngày đăng: 17/10/2015, 13:10

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm