Tìm hiểu một số kỹ thuật phát triển mã độc phục vụ thu tin trên máy tính đối tượng

Với sự phát triển của công nghệ thông tin, ngày càng có nhiều công cụ giúp việc thu thập thông tin bí mật cho hiệu quả tốt hơn như Perfect Keylogger, Ardamax Keylogger, Metasploit. Chúng có cập nhật những kỹ thuật mới có thể khai thác hiệu quả việc thu tin một cách bí mật đồng thời có thể khai thác các lỗ hổng bảo mật giúp cho việc cài cắm dễ dàng hơn. Tuy nhiên, do sự phổ biến của các công cụ này, các phần mềm AV và hệ thống phòng thủ hiện nay đã có những cải tiến để có thể đánh bại các công cụ này, hơn nữa việc sử dụng công cụ khiến cho khả năng tùy biến của người sử dụng không được cao, không thể kiểm soát mã nguồn nên tiềm ẩn những khó khăn và cả vấn để an ninh bảo mật. Với sự cập nhật và phát triển của công nghệ hiện nay ngày càng có nhiều kỹ thuật giúp xây dựng thu tin bí mật tốt hơn.

triển mã độc phục vụ thu tin trên máy tính đối tượng” là công trình nghiên

cứu của bản thân tôi; các số liệu trong khóa luận là trung thực, chính xác, cáctài liệu tham khảo có nguồn gốc trích dẫn rõ ràng; kết quả nghiên cứu khôngsao chép vi phạm bản quyền của của bất kỳ công trình nào

Tôi xin chịu trách nhiệm và hình thức kỷ luật theo quy định cho lời camđoan của tôi

Hà Nội, tháng 7 năm 2019

Sinh viên

CHƯƠNG 1: TỔNG QUAN VỀ TÌNH HÌNH AN NINH MẠNG 7

1.1 An ninh mạng và một số vấn đề trong an ninh mạng 7

1.1.1 Một số khái niệm liên quan đến an ninh mạng 7

1.1.2 Các nguy cơ gây mất an ninh mạng 8

1.2 Một số loại mã độc và các hình thức tấn công mạng máy tính 10

1.2.1 Một số loại mã độc thường gặp 10

1.2.2 Một số hình thức tấn công phổ biến trong mạng máy tính 13

1.3 Vấn đề thu thập thông tin trên mạng 15

1.3.1 Thu thập thông tin công khai trên Internet 15

1.3.2 Thu thập thông tin bí mật 16

CHƯƠNG 2: CÔNG TÁC THU THẬP THÔNG TIN BÍ MẬT VÀ MỘT SỐ CÔNG CỤ HỖ TRỢ 18

2.1 Quy trình cài cắm mã độc thu tin vào máy tính của đối tượng 18

2.2 Giới thiệu một số công cụ phục vụ thu tin bí mật 20

2.2.1 Công cụ Perfect Keylogger 20

2.2.2 Công cụ IExpress 24

2.2.3 Công cụ Metasploit 30

CHƯƠNG 3: MỘT SỐ KỸ THUẬT SỬ DỤNG TRONG XÂY DỰNG MÃ ĐỘC THU TIN TRÊN MÁY TÍNH 34

3.1 Các kỹ thuật lây nhiễm 34

3.1.1 Kỹ thuật lây nhiễm qua các thiết bị lưu trữ di động 34

3.1.2 Kỹ thuật ký sinh vào các tập tin định dạng khác 35

3.1.3 Kỹ thuật lợi dụng lỗ hổng của Active X 36

3.1.4 Kỹ thuật lây nhiễm qua thư điện tử (Email) 37

3.2.2 Khởi động cùng hệ thống 41

3.2.3 Kỹ thuật sử dụng cơ chế Hook để tự khởi động lại 44

3.2.4 Kỹ thuật sử dụng File Locking 45

3.3 Kỹ thuật thu thập thông tin 46

3.3.1 Sử dụng kỹ thuật Hook để thu thập thao tác người dùng 46

3.3.2 Sử dụng các hàm API hỗ trợ 48

CHƯƠNG 4: XÂY DỰNG MÃ ĐỘC THU TIN BÍ MẬT VÀ ỨNG DỤNG TRONG CÔNG TÁC QUÂN ĐỘI 51

4.1 Giới thiệu về phần mềm thu tin bí mật KeySpy 51

4.2 Các chức năng và kỹ thuật sử dụng trong lập trình 51

4.2.1 Chức năng thu tin bí mật từ máy đối tượng 52

4.2.2 Chức năng gửi thông tin thu thập về máy chủ 54

4.2.3 Chức năng lây nhiễm sang các thiết bị lưu trữ di động 55

4.2.4 Chức năng lây nhiễm từ các thiết bị lưu trữ di động sang máy tính .56

4.2.5 Chức năng giải mã bản thông tin thu được gửi về 56

4.3 Xây dựng tình huống sử dụng mã độc thu tin trên máy tính 57

4.4 Phương hướng quản lý tập trung thông tin thu thập 60

KẾT LUẬN 62

DANH MỤC TÀI LIỆU THAM KHẢO 64

PHỤ LỤC : Hướng dẫn cài đặt phần mềm Perfect Keylogger 66

nguồn VNCERT) 17

Hình 2.1 Quy trình chung cài cắm mã độc thu tin bí mật 18

Hình 2.2 Giao diện của chương trình Perfect Keylogger 21

Hình 2.3 Tùy chọn Cài đặt từ xa trong Perfect Keylogger 22

Hình 2.4 Thiết lập trong mục Logging 22

Hình 2.5 Thiết lập trong mục Ảnh chụp màn hình 23

Hình 2.6 Thiết lập trong mục Email 23

Hình 2.7 Thiết lập trong mục Phân phát 24

Hình 2.8 Giao diện phần mềm IExpress 25

Hình 2.9 Tính năng Confirmation Prompt 26

Hình 2.10 Tính năng Lisence Agreement 26

Hình 2.11 Danh sách Package Files 27

Hình 2.12 Tùy chọn các tập tin được kích hoạt 27

Hình 2.13 Tùy chọn hiển thị cửa sổ cài đặt 28

Hình 2.14 Tùy chọn thông báo cài đặt đã thành công 28

Hình 2.15 Tùy chọn tên và nơi lưu gói cài đặt 29

Hình 2.16 Tùy chọn yêu cầu khởi động lại 29

Hình 2.17 Khai thác thành công lỗ hổng MS17-010 33

Hình 3.1 Sử dụng IExpress để ký sinh mã độc 35

Hình 3.2 Hộp thoại nhắc cài đặt Active X ở spazbox.net 37

Hình 3.3 Cấu trúc của mã độc tự mã hóa 39

Hình 3.4 Chuyển vị các dòng lệnh dựa vào các nhánh và lệnh nhảy 40

Hình 3.5 Chuyển vị các dòng lệnh dựa trên các dòng lệnh độc lập 41

Hình 4.1 Sơ đồ hoạt động của mã độc KeySpy 52

Hình 4.2 Các tập tin trong phần mềm thu tin KeySpy 57

Hình 4.4 Phần mềm thu tin được thêm vào mục StartUp khi khởi động 58 Hình 4.5 Phần mềm thu tin được lây nhiễm và tồn tại dưới dạng thư mục ẩn tại đường dẫn “%AppData%” 59 Hình 4.6 Thông tin thu thập được gửi về máy chủ 59 Hình 4.7 Thông tin thu thập được sau khi giải mã 60

API : Application Programming InterfaceCRC : Cyclic Redundancy Check

DLL : Dynamic Link Library

FTP : File Tranfer Protocol

HTML : HyperText Markup Language

IP : Internet Protocol

MỞ ĐẦU

1 Lý do nghiên cứu đề tài

Với sự phát triển của công nghệ hiện nay, máy tính và mạng máy tínhngày càng có vai trò hết sức quan trọng trong tất cả các lĩnh vực Sử dụngmáy tính giúp cho quá trình xử lí, tính toán được nhanh chóng để cho kết quảtốt nhất, nâng cao năng suất lao động của con người Sự phổ biến của máytính đã tạo tiền đề cho Internet ra đời đáp ứng cho nhu cầu tìm kiếm, chia sẻthông tin trên toàn thế giới Tuy nhiên, cùng với đó là các vấn đề về an toànmạng, an toàn dữ liệu và bảo mật thông tin, ngăn chặn sự xâm nhập, phá hoại

và đánh cắp thông tin quan trọng gây thiệt hại cho các cá nhân, doanh nghiệp

và tổ chức

Hiện nay có rất nhiều phương pháp tấn công [9, 12] nhằm đánh cắp dữliệu, trong đó một hình thức phổ biến, có hiệu quả lâu dài và khó bị ngườidùng phát hiện là tìm cách cài cắm các mã độc để thu thập thông tin trên máytính nạn nhân Đây là một mối đe dọa lớn cho các tổ chức, doanh nghiệp cónhững thông tin bí mật ảnh hưởng đến quá trình hoạt động và phát triển của

họ Theo báo cáo của Bộ Thông tin và Truyền thông, 6 tháng đầu năm 2019ghi nhận 3.159 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam.Trong đó có 968 cuộc tấn công thay đổi giao diện (Deface), 635 cuộc tấncông cài cắm mã độc (Malware), 1.556 cuộc tấn công lừa đảo (Phishing).Không chỉ các máy tính kết nối mạng mới có nguy cơ bị kẻ tấn công cài cắmcác phần mềm thu tin mà các thiết bị khác như điện thoại di động, máy tínhnội bộ, các thiết bị mạng cũng là những đối tượng mà kẻ tấn công có thểnhắm vào Ngoài ra, việc sử dụng kỹ nghệ xã hội (Social Engineering) tấncông vào ý thức bảo mật của người trong nội bộ đang dần phổ biến hơn bởihiệu quả thành công của nó

Đối với ngành Quân đội, có tính chất là một lực lượng vũ trang trọngyếu của Đảng Cộng sản Việt Nam, có vai trò nòng cốt trong sự nghiệp bảo vệ

an ninh quốc gia và giữ gin trật tự an toàn xã hội Những thông tin, tài liệu, dữliệu của ngành mang tính chất bí mật tuyệt đối không được để lộ lọt, sao chép,đánh cắp Ngoài những biện pháp để có thể bảo vệ tài liệu theo cách truyềnthống, các cơ quan tổ chức trong ngành cần có những hiểu biết về cách thứcthu thập thông tin của những kẻ tấn công để có thể nâng cao ý thức cảnh giác,đồng thời đề ra những biện pháp phòng chống việc tấn công mã độc để thuthập thông tin hiện nay Ngoài ra, trong công tác đấu tranh chống tội phạm sửdụng công nghệ cao, lực lượng quân đội còn có nhiệm vụ thu thập thông tin,tài liệu, chứng cứ phục vụ cho công tác đấu tranh chống tội phạm nên cần cónhững hiểu biết về các mã độc thu tin, sâu hơn là các kỹ thuật, thủ thuật mà

kẻ tấn công sử dụng vào trong phần mềm thu tin Việc này giúp cho cơ quanquân đội hiểu được vấn đề và có các biện pháp phòng chống cũng như đánhchặn các âm mưu của đối tượng đồng thời cũng vận dụng những hiểu biết này

để phục vụ cho quá trình điều tra thu thập thông tin, chứng cứ, đấu tranhchống các loại tội phạm

Vì những lý do trên tác giả đã chọn đề tài “Tìm hiểu một số kỹ thuật

phát triển mã độc phục vụ thu tin trên máy tính đối tượng” có ý nghĩa trong

việc tìm hiểu, nghiên cứu các kỹ thuật xây dựng mã độc thu tin, vận dụngchúng phòng ngừa các cuộc tấn công cũng như điều tra thu thập tin trongcông tác quân đội

2 Tình hình nghiên cứu liên quan đến đề tài

Việc xây dựng các mã độc thu tin bí mật đã có lịch sử từ khi con ngườibắt đầu sử dụng máy tính, với nhiều kỹ thuật khác nhau được áp dụng trongtừng thời kỳ với các loại máy tính và nền tảng hệ điều hành Các kỹ thuật nàythường tận dụng việc khai thác các lỗ hổng trên hệ điều hành, trình duyệt, các

giao thức và hiểu biết của người sử dụng Tuy nhiên các phần mềm và hệ điềuhành luôn được cập nhật và sửa lỗi liên tục, cải thiện và vô hiệu hóa các lỗhổng cũ nhưng cũng có thể xuất hiện các lỗ hổng mới nên sẽ có những cảitiến mới trong việc xây dựng mã độc thu tin bí mật ngày càng tinh vi và nguyhiểm hơn.

Với sự phát triển của công nghệ thông tin, ngày càng có nhiều công cụgiúp việc thu thập thông tin bí mật cho hiệu quả tốt hơn như PerfectKeylogger, Ardamax Keylogger, Metasploit Chúng có cập nhật những kỹthuật mới có thể khai thác hiệu quả việc thu tin một cách bí mật đồng thời cóthể khai thác các lỗ hổng bảo mật giúp cho việc cài cắm dễ dàng hơn Tuynhiên, do sự phổ biến của các công cụ này, các phần mềm AV và hệ thốngphòng thủ hiện nay đã có những cải tiến để có thể đánh bại các công cụ này,hơn nữa việc sử dụng công cụ khiến cho khả năng tùy biến của người sử dụngkhông được cao, không thể kiểm soát mã nguồn nên tiềm ẩn những khó khăn

và cả vấn để an ninh bảo mật Với sự cập nhật và phát triển của công nghệhiện nay ngày càng có nhiều kỹ thuật giúp xây dựng thu tin bí mật tốt hơn Vìvậy, trong quá trình nghiên cứu đề tài tác giả tiếp tục tìm hiểu, nghiên cứu, hệthống lại các kỹ thuật giúp nâng cao hiệu quả cho việc xây dựng mã độc thuthập thông tin bí mật trên máy tính đối tượng

3 Mục tiêu, nhiệm vụ nghiên cứu

Mục tiêu nghiên cứu của khóa luận là tập trung nghiên cứu, tìm hiểucác công cụ, các kỹ thuật được thường được sử dụng trong quá trình xây dựng

mã độc thu thập thông tin bí mật và ứng dụng các kỹ thuật này để cụ thể hóabằng việc xây dựng một mã độc thu tin có ứng dụng trong thực tiễn ngànhQuân đội

Về nhiệm vụ nghiên cứu:

- Tổng quát được các vấn đề an ninh, bảo mật thông tin hiện nay vàcông tác thu thập thông tin bí mật.

- Tìm hiểu, giới thiệu các công cụ, phân tích các kỹ thuật được sử dụng

để xây dựng các mã độc thu tin bí mật trên máy tính

- Vận dụng những kỹ thuật đã nghiên cứu, tìm hiểu để xây dựng một

mã độc thu thập thông tin bí mật có ý nghĩa trong thực tế

4 Đối tượng và phạm vi nghiên cứu đề tài

Việc xây dựng mã độc thu thập thông tin bí mật không phải làm mộtchủ đề mới mẻ Tuy nhiên, với sự phát triển của công nghệ lập trình hiện nay,ngày càng có thêm các công cụ hỗ trợ, kỹ thuật được cải tiến, kỹ thuật mớiđược ứng dụng vào việc xây dựng các mã độc Đây là một lĩnh vực có liênquan đến lĩnh vực an ninh, bảo mật Trong khuôn khổ khóa luận tốt nghiệpnày, tác giả chỉ tập trung tìm hiểu và nghiên cứu:

- Quy trình, cách thức để tiến hành thu thập thông tin bí mật của đốitượng

- Các công cụ hỗ trợ trong việc thu tin và xây dựng phần mềm thu tin

- Các kỹ thuật trong lập trình cũng như các kỹ thuật phục vụ thu tin đểxây dựng mã độc thu tin bí mật

- Xây dựng mã độc thu thập thông tin bí mật có sử dụng các kỹ thuật đãtìm hiểu và tiến hành thử nghiệm các chức năng

5 Phương pháp nghiên cứu

Trong khóa luận tốt nghiệp, để có được một hệ thống khoa học tìm hiểuhợp lý nhất, tác giả đã sử dụng các phương pháp nghiên cứu như sau:

- Phương pháp phân tích, tổng hợp: tổng hợp, phân tích các bài báo,công trình khoa học được kiểm chứng liên quan đến bài toán của mình Từ đó,chọn lọc, đánh giá, tìm những dẫn chứng và các lý thuyết phù hợp cho khóaluận Các bài báo công trình khoa học được lấy từ các nguồn tin cậy như:

 IEEE Xplore Digital Library: http://ieeexplore.ieee.org

 The ACM Digital Library: http://dl.acm.org/

 Google Scholar: https://scholar.google.com

 ResearchGate: https://www.researchgate.net/

- Phương pháp khảo sát thực tế

- Phương pháp chuyên gia: học hỏi, trao đổi với các chuyên gia tronglĩnh vực an ninh, an toàn thông tin để có cái nhìn tổng quan về đề tài khóaluận

- Phương pháp thực nghiệm khoa học: tác giả sử dụng các phương pháp

đã có để áp dụng cho bài toán đặt ra, phương pháp này giúp kiểm chứng tínhkhả thi, những ưu điểm, nhược điểm của giải pháp

6 Ý nghĩa khoa học, ý nghĩa thực tiễn của đề tài

- Ý nghĩa khoa học: Cung cấp cái nhìn tổng quan về thực trạng tình

hình an ninh, bảo mật thông tin và vấn đề thu thập thông tin trên Internet cũngnhư thu tin bí mật từ máy tính đối tượng

Hệ thống hóa được các kỹ thuật trong xây dựng các phần mềm thu tin

bí mật, đông thời đi sâu vào phân tích các kỹ thuật này và xem xét ưu, nhượcđiểm của nó Bên cạnh đó, tác giả còn giới thiệu thêm một số công cụ có uytín có thể hỗ trợ trong việc áp dụng các kỹ thuật cũng như phục vụ thu tin bímật trên máy tính đối tượng

- Ý nghĩa thực tiễn: Đánh giá được tình hình vấn đề thu thập thông tin

bímật, rút ra được các kinh nghiệm trong xây dựng mã độc thu tin Áp dụngnhững hiểu biết tích lũy được về các kỹ thuật để xây dựng mã độc thu tin bímật KeySpy

7 Kết cấu của đề tài

Ngoài phần Mở đầu và Kết luận, Danh mục tài liệu tham khảo và Phụlục, kết cấu của khóa luận gồm 4 chương:

Chương 1: Tổng quan về tình hình an ninh mạng

Chương này trình bày tình hình an ninh mạng hiện nay, những kháiniệm về an toàn, bảo mật thông tin và tình hình diễn biến của vấn đề thu tin bímật

Chương 2: Công tác thu thập thông tin bí mật và một số công cụ hỗ trợ

Trong chương này, tác giả đưa ra quy trình để thu thập thông tin bí mật

từ máy tính đối tượng, đồng thời giới thiệu một số công cụ hỗ trợ cho việc thutin

Chương 3: Một số kỹ thuật sử dụng trong xây dựng mã độc thu tin trên máy tính

Chương này tập trung vào giới thiệu, phân tích các kỹ thuật trong xâydựng phần mềm thu tin bí mật và đưa ra một số ví dụ minh họa cụ thể

Chương 4: Xây dựng mã độc thu tin bí mật và ứng dụng trong công tác quân đội

Chương này sẽ giới thiệu về mã độc thu tin bí mật KeySpy do tác giảxây dựng; giới thiệu, giải thích các kỹ thuật và chức năng qua kịch bản tấncông và thu thập thông tin bí mật

1.1 An ninh mạng và một số vấn đề trong an ninh mạng

1.1.1 Một số khái niệm liên quan đến an ninh mạng

- An ninh mạng và không gian mạng

Theo Luật An ninh mạng [1] ta có khái niệm như sau:

An ninh mạng là sự đảm bảo hoạt động trên không gian mạng không

gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi íchhợp pháp của các cơ quan, tổ chức, cá nhân

Không gian mạng là mạng lưới kết nối của các cơ sở hạ tầng công nghệ

thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thốngthông tin, hệ thống xử lí và điều khiển công nghệ thông tin, cơ sở dữ liệu; lànơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian

và thời gian

- Mô hình bộ ba an ninh

Mô hình bộ ba an ninh (tam giác CIA) là khái niệm cơ bản, cốt lỗi,

xuyên suốt lĩnh vực an toàn thông tin Đồng thời, đây cũng là những mục tiêucần hướng tới để đảm bảo an toàn cho một hệ thống thông tin

thông tin Thông tin không thể bị sửa đổi, bị làm giả bởi những người không

1.1.2 Các nguy cơ gây mất an ninh mạng

- Do lỗi của người lập trình, sơ suất của người quản trị

Đây là nguy cơ được xếp vào hàng nguy hiểm nhất Trong lập trình, cáccảnh báo (warnings) do trình biên dịch đưa ra thường bị bỏ qua từ đó tiềm ẩnnhững lỗi như tràn bộ đệm, tràn heap Khi người dùng vô tình hay cố ý sửdụng các đầu vào không hợp lý thì chương trình có thể xử lý sai dẫn đến bịkhai thác, gây treo hệ thống Do đó, lập trình viên phải luôn luôn cập nhậtthông tin, các lỗi bị khai thác và cách phòng chống, sử dụng phương thức lậptrình an toàn và chính sách người dùng được xử lý, truy cập đến một số thôngtin nhất định

- Lừa đảo và lấy cắp thông tin

Việc lộ lọt thông tin bí mật của các cơ quan, tổ chức doanh nghiệp làmối nguy thường trực, đặc biệt là những công ty quân sự và cơ quan nhànước Có nhiều tổ chức bị lộ thông tin từ bên trong, rất khó phát hiện kẻ tấncông

Cách tốt nhất để phòng tránh nguy cơ này là phải có những chính sáchbảo mật được thiết kế tốt Những chính sách có thể giúp người quản lý bảomật thông tin thu thập thông tin, điều tra và kết luận chính xác, nhanh chóng

Ví dụ, với hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu

vực đặt tài liệu bí mật, hệ thống sẽ ghi lại được thời gian, địa chỉ IP, tài liệu bịlấy, các phần mềm được cài đặt.

- Các cuộc tấn công của Hacker

Trong không gian mạng, luôn có những kẻ tấn công có khả năng thâmnhập, chủ động tìm kiếm, khai thác các mục tiêu nhằm mục đích riêng Mỗi

kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống.Bên cạnh đó cũng có vô số các cuốn sách, diễn đàn đăng tải những nội dungnày

Bước đầu, kẻ tấn công thu thập thông tin về hệ thống nhiều nhất có thể.Càng nhiều thông tin thì khả năng thành công của việc tấn công sẽ càng lớn

Từ đó, họ lợi dụng các lỗ hổng tìm được hoặc sử dụng các tài khoản mặc địnhnhằm chiếm quyền truy cập vào hệ thống Khi đã thành công kẻ tấn công sẽcài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống

Để tránh nguy cơ này, các hệ thống thông tin tương tác với người dùngcần giấu đi những thông tin quan trọng liên quan đến cấu hình hệ thống, sửdụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thườngxuyên, cấu hình tường lửa hợp lý, chính sách truy cập riêng của từng nhómngười dùng

- Sự lây lan của các loại mã độc

Có rất nhiều loại mã độc có thể kể đến như: vi-rút (Virus), sâu máy tính(Worm), trojan horse, logic bomb, v.v với khả năng gây thiệt hại lớn Khi đãxâm nhập vào các máy tính, mã độc có thể mở cửa hậu (Back Door) để thểtruy cập và làm mọi việc trên máy nạn nhân như theo dõi quá trình sử dụngmáy tính Facebook cũng từng bị tấn công do máy tính của một số nhân viên

bị cài cắm mã độc

Mã độc có thể lây nhiễm vào máy tính qua nhiều con đường: lỗ hổngphần mềm, hệ điều hành, ý thức người sử dụng hệ thống, sử dụng phần mềmCrack, không rõ nguồn gốc Cách tốt nhất để tránh nguy cơ này là luôn cậpnhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệtvirus.

- Tấn công từ chối dịch vụ (Denial of Services) [9]

Khi mà kẻ tấn công khó có thể xâm nhập vào hệ thống hoặc không có ýđịnh xâm nhập để đánh cắp các thông tin, chúng sẽ tìm cách tấn công vào tínhsẵn sàng của hệ thống, cụ thể là tấn công từ chối dịch vụ làm hệ thống khôngthể phục vụ người dùng trong một khoảng thời gian dài bằng cách truy cậpđến hệ thống liên tục, với số lượng lớn, có tổ chức Có 2 kiểu tấn công từ chốidịch vụ như sau:

+ DoS (Denial of Services): kẻ tấn công sử dụng các công cụ (tấn côngSynfloods, Smurfs, Fraggles) để tấn công vào hệ thống, khiến nó không thể

xử lý được yêu cầu, làm nghẽn băng thông khiến người dùng khác khó màtruy cập được

+ DDoS (Distributed Denial of Services): một hình thức cao cấp củaDoS, các nguồn tấn công được điều khiển bởi một vài máy chủ khác cùng tấncông vào hệ thống Loại tấn công này khó phát hiện ra hơn cho các hệ thốngphát hiện tự động, giúp kẻ tấn công ẩn mình tốt hơn

- Tấn công sử dụng kỹ nghệ xã hội (Social Engineering)

Đây là một kỹ thuật khai thác nhằm vào điểm yếu con người Kỹ thuậttấn công sử dụng kỹ nghệ xã hội là quá trình đánh lừa người dùng của hệthống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống tiền Nói mộtcách khác, cách tấn công này là một trò lừa đảo rất tinh vi được thực hiện quamạng, với tỉ lệ thành công rất cao Điển hình cho hình thức này là Hacker nổi

tiếng Kevin Mitnick [8] Trong một lần, anh chỉ cần vài thông tin quan trọngcủa tổng thống Mỹ, đã gọi điện cho thư ký của ông và lấy được toàn bộ thôngtin về thẻ tín dụng của tổng thống

1.2 Một số loại mã độc và các hình thức tấn công mạng máy tính

1.2.1 Một số loại mã độc thường gặp

Mã độc (hay các phần mềm độc hại) là các đoạn mã, tập lệnh, chươngtrình hay các phần mềm được tạo với mục đích làm ảnh hưởng các chức năng,đánh cắp dữ liệu người dùng, chiếm quyền điều khiển, phá hoại các tàinguyên có trong máy tính Bằng các tìm hiểu có liên quan [7, 14], tác giả xingiới thiệu một số loại mã độc thường gặp hiện nay và các đặc trưng trongchức năng của chúng

- Vi-rút máy tính (Computer Virus)

Thuật ngữ vi-rút máy tính dùng để chỉ những chương trình tấn công vàlây nhiễm chính nó vào các tập tin có thể thực thi Nếu được kích hoạt, vi-rút

sẽ tiến hành lây nhiễm chính nó sang các tập tin thực thi khác Vi-rút có thểthực hiện các hoạt động gây hại như tạo Back Door, phá hủy các tập tin, công

cụ có ích

Vi-rút có đặc điểm phổ biến là tính bí mật, giúp cho chúng khó bị pháthiện, do đó có thể bí mật thâm nhập vào máy tính người dùng và hoạt động.Ngày càng có nhiều kỹ thuật giúp vi-rút máy tính ngày càng tiến hóa hơn,biến đổi qua từng lần lây nhiễm, khiến cho các phần mềm AV khó có thể pháthiện chúng

- Sâu máy tính (Worms)

Giống như vi-rút, sâu máy tính được tạo ra để có thể tự sao chép và lâynhiễm sang các hệ thống khác Tuy nhiên, sâu máy tính không cần lây nhiễmvào các tập tin thực thi để lây lan sang các máy khác mà chúng có thể tự nhân

bản chính mình, tạo ra khung chứa riêng để lây nhiễm Sâu máy tính thườngđược dùng để lây lan trên diện rộng, đặc biệt là trên môi trường Internet,chúng khai thác các lỗ hổng trên hệ thống máy tính để có thể chiếm quyềntruy cập, đánh cắp hoặc xóa dữ liệu quan trọng.

- Trojan

Trojan là một chương trình độc hại hoạt động ẩn nấp dưới vỏ bọc củacác chương trình hữu ích mà người dùng có chủ đích cài đặt Thuật ngữTrojan bắt nguồn từ câu chuyện Hy Lạp cổ đại về con ngựa gỗ được sử dụng

để xâm chiếm thành Troy Trong thực tế, nhiều Trojan chứa đựng các phầnmềm gián điệp khiến máy tính bị thu thập thông tin, điều khiển từ xa mộtcách bí mật Về mặt kỹ thuật so với vi-rút thì Trojan chỉ là một phần mềmthông thường và không có ý nghĩa tự lan truyền, chúng lừa đảo để thực hiệncác thao tác trái với quyền và mong muốn của người sử dụng

- Rootkit

Rootkit là công cụ phần mềm độc hại có khả năng truy cập trái phépvào máy tính, thay đổi và thực thi các tệp từ xa, tùy chỉnh, can thiệp sâu vàocấu hình hệ thống trên máy tính Rootkit không thể tự sao chép và lây lan, nơichúng hoạt động là các lớp thấp hơn của lớp ứng dụng, nhân hệ điều hành, hệthống BIOS với quyền truy cập đặc biệt nên rất khó phát hiện và ngăn chặn.Khi một rootkit được phát hiện, các chuyên gia khuyên nên xóa toàn bộ ổcứng và cài đặt lại mọi thứ từ đầu

- Phần mềm gián điệp (Spyware)

Phần mềm gián điệp được cài đặt hoàn toàn bí mật trên máy tính ngườidùng và trong quá trình sử dụng rất khó để phát hiện hoạt động của nó Cácphần mềm này có nhiệm vụ thu thập các thông tin từ các hoạt động của ngườidùng như thói quen duyệt Web, các thông tin nhạy cảm như tài khoản ngân

hàng, thẻ tín dụng thậm chí là các cuộc nói chuyện ghi âm, ghi hình Ngàynay, phần mềm gián điệp còn có các chức năng tiên tiến hơn như thay đổi càiđặt, làm chậm tốc độ mạng, thay đổi trang chủ.

- Phần mềm quảng cáo (Adware)

Đây là các chương trình được tạo ra với mục đích hiển thị quảng cáotrên máy tính của nạn nhân, chuyển hướng các yêu cầu tìm kiếm đến cáctrang Web quảng cáo, thậm chí thu thập cả dữ liệu cá nhân để hiển thị quảngcáo với nội dung phù hợp Việc này ảnh hưởng rất nhiều đến việc sử dụngmáy tính khi các pop-up quảng cáo liên tục hiện ra che mất màn hình và nguy

cơ thu thập các thông tin quan trọng như ngân hàng, mật khẩu của ngườidùng

- Mã độc tống tiền (Ransomware)

Mã độc tống tiền là một loại phần mềm độc hại khi lây nhiễm sang máytính nạn nhân sẽ tiến hành khóa dữ liệu, thường là mã hóa chúng và yêu cầutiền chuộc để nạn nhân có thể lấy lại thông tin bị mã hóa Động cơ của cáccuộc tấn công mã độc tống tiền là tiền tệ, nạn nhân sẽ được thông báo sau khiviệc khai thác đã xảy ra, yêu cầu thanh toán bằng một loại tiền mã hóa,thường là bằng Bitcoin

1.2.2 Một số hình thức tấn công phổ biến trong mạng máy tính

Các hình thức tấn công trên mạng máy tính, theo tìm hiểu của một sốbài báo [11, 12] có thể được chia làm hai loại là chủ động và bị động Hìnhthức chủ động là khi kẻ xâm nhập mạng có được những phương pháp, câulệnh điều khiển để có thể làm gián đoạn việc hoạt động bình thường của hệthống Ngược lại, hình thức bị động thì kẻ xâm nhập tiến hành chặn bắt vàphân tích các luồng dữ liệu lớn qua lại trên mạng

1.2.2.1 Tấn công chủ động (Active Attack)

Tấn công giả mạo (Spoofing): Một cuộc tấn công giả mạo là tình huống

một người hoặc chương trình giả mạo thành công như một người khác bằngcách làm sai lệch, làm giả dữ liệu để có thể tương tác, giao tiếp, sử dụng hệthống hợp lệ, từ đó xâm nhập và gây hại cho hệ thống một cách bất hợp pháp.Hình thức giả mạo phổ biến của những kẻ tấn công hiện nay là giả mạo địachỉ IP, ARP và DNS

Tấn công công sửa đổi thông tin (Modification): là kiểu tấn công mà

trong đó kẻ tấn công thực hiện sửa đổi, làm trễ hoặc thay đổi trật tự các thôngtin để đạt được mục đích bất hợp pháp Kẻ tấn công có thể chỉnh sửa đổi cácthông điệp, thay đổi các tập tin cấu hình để hệ thống hoạt động sai mục đích.Tấn công sửa đổi thông tin tập trung nhắm vào tính toàn vẹn của thông tin

Tấn công từ chối dịch vụ DoS (Denial of Services): là kiểu tấn công

nhằm mục đích phá vỡ tính sẵn sàng của thông tin Kẻ tấn công thực hiện gửimột lượng lớn các yêu cầu đến hệ thống đích và khiến nó không đủ khả năng

xử lí (tràn bộ đệm), những yêu cầu từ người dùng khác đến hệ thống sẽ khôngđược xử lí Kiểu tấn công này thường dùng để tấn công vào các dịch vụ nhưWeb, Cloud, FTP, v.v

Tấn công bằng cách phát lại (Replay): đây là kiểu tấn công mà kẻ tấn

công đọc được nội dung thông điệp từ nơi gửi và sau đó gửi lại thông điệpnày đến nơi nhận Việc gửi lại thông điệp này có thể gây nhầm lẫn hoặc xácthực nhầm cho bên nhận Ngoài ra, kẻ tấn công cũng có thể thay đổi một sốthông tin khi phát lại để thực hiện hành vi trái phép của mình lên hệ thống

1.2.2.2 Tấn công bị động (Passive Attack)

Tấn công phân tích dữ liệu đường truyền (Traffic Analysis): kẻ tấn

công cố gắng theo dõi các lưu lượng mạng truyền qua lại giữa hai bên gửi và

bên nhận Từ đó, kẻ tấn công có thể nắm bắt được tiêu đề, giao thức, tần số và

độ dài các thông điệp Mặc dù không thể đọc được nội dung của các thôngđiệp, tuy nhiên kẻ tấn công có thể dự đoán được các tính chất quan trọng củathông tin trao đổi để có cơ sở tiến hành các bước tiếp theo trong cuộc tấncông

Tấn công giám sát, nghe lén (Eavesdropping): đây là kiểu tấn công mà

kẻ tấn công thực hiện tìm mọi cách để bắt chặn và đọc các thông tin bí mậttrong việc truyền dữ liệu của người gửi và nhận như các cuộc điện thoại,Email, tập tin được truyền Các thông tin này sẽ không bị kẻ tấn công chỉnhsửa, biên tập lại mà chị bị thất thoát ra ngoài, mất đi tính bí mật của thông tin.Việc chặn bắt thông tin có thể được thực hiện trên tất cả các đường truyền,nhờ vào các

công cụ mạng hay các thiết bị vật lý chuyên dụng để dò và chặn bắt thông tin

Trong thực tế việc tấn công một hệ thống thông tin thường kết hợpnhiều hình thức tấn công khác nhau để bổ sung và hỗ trợ cho nhau Các hìnhthức tấn công bị động thường là bước thu thập thông tin tạo cơ sở để triểnkhai mạch lạc, điều chỉnh phù hợp cho các hình thức tấn công quyết định ởcác bước sau

1.3 Vấn đề thu thập thông tin trên mạng

1.3.1 Thu thập thông tin công khai trên Internet

Từ cá nhân cho đến các tổ chức lớn khi tham gia vào môi trường mạngvới nhu cầu được kết nối, chia sẻ và nắm bắt thông tin cũng phải cung cấpnhững thông tin của mình lên mạng Internet Điều này giúp các công ty, tổchức được biết đến và mở rộng tương tác Tuy nhiên, từ những thông tin côngkhai tiềm ẩn mối nguy trước những kẻ tấn công luôn có ý đồ tìm cách khaithác những thông tin này nhằm mục đích xấu

Thông qua các mạng xã hội như Facebook, Google, Zalo thì kẻ tấncông đã có một số thông tin cơ bản về đối tượng, đặc biệt là số điện thoại vàEmail quản trị Nhờ các thông tin này kẻ tấn công có thể lần đến các blog,ngân hàng, công ty, trường học, v.v để biết được thói quen, sở thích, thậm chí

cả những thông tin bí mật, những sơ hở trong việc bảo mật tài khoản ngườidùng Việc mà mọi người để lộ một số thông tin cơ bản của mình hiện naydường như là một điều tất yếu phải chấp nhận khi tham gia vào không gianmạng

Để tìm hiểu sâu hơn, thu thập được nhiều thông tin hơn phục vụ mụcđích của kẻ tấn công, ngày càng có nhiều công cụ, thủ thuật giúp việc này trởnên dễ dàng và hiệu quả Google Hacking [6] là một công cụ nổi tiếng vớimột cơ sở dữ liệu lớn như Google thì việc thực hiện truy vấn để lấy các thôngtin của một máy chủ như tên Domain, hệ điều hành, các dịch vụ, v.v là điềukhá dễ dàng Ngoài ra, kẻ tấn công có thể dùng một số công cụ như DomainName Lookup, Whois, Nslookup, Sam Spade để thu thập các thông tin, mỗicông cụ có một thế mạnh riêng nên cần sử dụng tổng hợp các công cụ để cóthể thu được lượng thông tin tốt nhất phục vụ cho mục đích Việc thu thậpthông tin công khai trên Internet ngày càng trở nên tất yếu và phổ biến, thôngtin hiện nay có thể coi là một loại tiền tệ mới, là nguồn tài nguyên quý giá trêntất cả lĩnh vực của đời sống xã hội

1.3.2 Thu thập thông tin bí mật

Bên cạnh việc chú ý thu thập các thông tin công khai một cách hợppháp trên Internet, để có các thông tin quan trọng, chuyên sâu và hữu ích hơn,tồn tại các cá nhân, cơ quan, tổ chức có mục đích thu thập các thông tin bímật của nhau để phục vụ cho mục đích riêng

Trong quá trình phát triển của máy tính cũng như các phần mềm máytính, sẽ còn phát sinh những lỗi chương trình hay những lỗ hổng bảo mật dolập trình viên hay người quản trị vô tình hoặc cố ý gây ra Nguy hiểm hơn khimáy tính được kết nối vào mạng Internet nên có rất nhiều những kẻ có ý đồtấn công dò quét được các lỗi và lỗ hổng này để tiến hành khai thác, thu thậpthông tin nhằm mục đích xấu Gần đây, một lỗ hổng bảo mật vô cùng nghiêmtrọng trên hệ điều hành Windows, một hệ điều hành phổ biến trên các máytính hiện nay được phát triển bởi Microsoft, đã được phát hiện và công bốcùng với đó là bản vá bảo mật MS17 – 010 ở tài liệu [10] Tuy nhiên, lỗ hổngnày đã sớm được các kẻ tấn công tận dụng và khai thác ăn cắp thông tin, tốngtiền, gây thiệt hại nặng nề cho các hệ thống máy tính trên toàn cầu bằng mãđộc Wanna Cry.

Hiện nay, kẻ tấn công có thể sử dụng nhiều công cụ để dò quét và khaithác các lỗi và lổ hổng để thực hiện tấn công vào các hệ thống máy tính Mộttrong các công cụ phụ biến là Metasploit [18] với khả năng mạnh mẽ, dò quétđược rất nhiều các lỗ hổng bảo mật trên nhiều nền tảng hệ điều hành Khi sửdụng thành công công cụ này, kẻ tấn công có thể cài đặt các mã độc, tải dữliệu của nạn nhân về máy tính của mình Một hướng khác là kẻ tấn công tiếnhành phát tán các chương trình có chứa mã độc, mồi nhử nạn nhân truy cập,tải vể và vô tình kích hoạt phần mềm độc hại Sau đó, phần mềm thu tin sẽtiến hành công việc của mình và gửi về máy chủ các thông tin thu thập được,đồng thời cài thêm các cửa hậu để tiến hành truy cập từ xa, đánh cắp, theo dõicập nhật các thông tin khác

Hình 1.1 Tình hình tấn công thu thập thông tin tại Việt Nam (Quý 1 – 2019,

nguồn VNCERT)

Trong thực tế, việc thu thập thông tin thường kết hợp giữa việc thu thậpthông tin công khai và thu thập thông tin bí mật Thu thập thông tin công khaithường là bước đầu và tạo tiền đề cho việc thu thập thông tin bí mật Nhữngthông tin thu thập được công khai sẽ giúp cho kẻ tấn công phân tích được đặcđiểm, tính chất, quy luật của đối tượng mình cần tấn cống từ đó thiết kế được

kế hoạch tấn công thu tin bí mật thực sự hiệu quả Lấy ví dụ, khi kẻ tấn côngmuốn lấy thông tin của một Website nào đó thì trước tiên cần biết được địachỉ IP, hệ điều hành, các Port mà máy chủ đang mở hoặc có thể là tấn côngvào thói quen của người quản trị viên, từ đó cài cắm mã độc khai thác các lỗhổng

CHƯƠNG 2 CÔ

NG TÁC THU THẬP THÔNG TIN BÍ MẬT VÀ

MỘT SỐ CÔNG CỤ HỖ TRỢ 2.1 Quy trình cài cắm mã độc thu tin vào máy tính của đối tượng

Để có thể thực hiện cài cắm mã độc và thu thập thông tin thành công,công tác thực hiện có thể được cụ thể hóa như Hình 2 2

Hình 2.2 Quy trình chung cài cắm mã độc thu tin bí mật

Giải thích qui trình thực hiện các bước như sau:

- Bước 1: Tập trung thu thập thông tin ban đầu về đối tượng và hệthống của đối tượng

+ Thông tin về cá nhân đối tượng, thói quen, sở thích thông qua mạng

xã hội, bạn bè, câu lạc bộ, v.v

+ Thu thập thông tin về máy tính, hệ thống thông tin của đối tượngthông qua các nguồn tin từ người đã tiếp cận được hệ thống của đối tượnghoặc các công cụ như Nmap, Whois, v.v

- Bước 2: Dò tìm, phân tích và phát hiện các lỗ hổng có thể có trên máytính hoặc hệ thống của đối tượng

+ Thông tin về loại hệ điều hành đang chạy

+ Thông tin về các cổng đang mở (Port), loại tường lửa (Firewall)

+ Thông tin về các dịch vụ (Services) đang chạy và các lỗ hổng có thể

có trên dịch vụ

- Bước 3: Nghiên cứu, viết mã độc thu tin hoặc sử dụng công cụ nhưPerfect Keylogger Sử dụng các công cụ như Metasploits để dò quét và khaithác lỗ hổng bảo mật có thể tồn tại trên hệ thống

Nếu cần thiết có thể sử dụng các kỹ nghệ xã hội (Social Engineering)

để thu thập thông tin, gài bẫy, cài cắm được mã độc thu tin

- Bước 4: Phát tán, cài cắm phần mềm gián điệp vào máy đối tượng+ Dùng công cụ Fake-Email để tạo Email nặc danh gửi mã độc đượcngụy trang cho đối tượng

+ Lợi dụng thói quen, sở thích của đối tượng để cài cắm phần mềmgián điệp Cụ thể có thể phát tán một bản cài đặt phần mềm mà đối tượngđang cần

có kí sinh phần mềm gián điệp bằng các công cụ như IExpress, DLL Inject,v.v

+ Khai thác các lỗ hổng bảo mật có thể có trên máy tính hoặc hệ thốngthông tin của đối tượng để tiến hành tấn công, cài cắm phần mềm gián điệp

+ Tiến hành chiếm quyền điều khiển nếu cần thiết và cố gắng duy trìtruy cập cho những phương án phòng bị cần thiết

- Bước 5: Thu thập, giải mã và xử lý dữ liệu thu được do phần mềmgián điêp gửi qua Email hoặc qua các máy chủ FTP để phục vụ cho công tácphân tích, thống kê, tìm kiếm thông tin sau này

2.2 Giới thiệu một số công cụ hỗ trợ công tác thu tin bí mật

2.2.1 Công cụ Perfect Keylogger

2.2.1.1 Giới thiệu và tổng quan về các tính năng

Trong công tác điều tra của cán bộ kỹ thuật thì việc ghi lại thao tác trênbàn phím và chụp ảnh màn hình máy tính đối tượng là một công việc rất hữuích Hiện nay, có rất nhiều công cụ hỗ trợ thu thập thông tin bí mật từ máytính như thông tin gõ bàn phím, các hình ảnh, dữ liệu duyệt Web, v.v trong đó

có Perfect Keylogger là một công cụ hỗ trợ đắc lực với nhiều tính năng vượttrội và dễ dàng sử dụng

Phần mềm Perfect Keylogger là một phần mềm thế hệ mới, hầu nhưkhông thể bị phát hiện, vẫn có được những chức năng quan trọng tương tựnhư các công cụ cao cấp khác nhưng dễ sử dụng, các cơ chế và thuật toánphức tạp sẽ được ẩn đằng sau một giao diện thân thiện với người dùng

Perfect Keylogger có thể ghi lại tất cả các phím được gõ, các địa chỉ URLđược nhập vào, thời điểm gõ và chương trình hoặc ứng dụng được mở Ngoài

ra, chương trình này khi chạy trên máy tính mục tiêu sẽ hoàn toàn ẩn đối vớingười dùng, không hiện lên thanh Taskbar cũng như không xuất hiện trọngTask Manager

Hình 2.3 Giao diện của chương trình Perfect Keylogger

Perfect Keylogger sẽ giúp chụp màn hình vào các thời điểm theo chu kìdưới chế độ ẩn và lưu trữ tất cả các ảnh nén Hơn nữa, phần mềm còn có tínhnăng cài đặt từ xa, người sử dụng có thể tạo ra một bản cài đặt được cấu hìnhsẵn để cho phép cài đặt trên máy mục tiêu và có thể tiêm bản cài từ xa vào bất

cứ phần mềm nào, gửi chúng qua thư điện tử để lây nhiễm người dùng khác

Nó sẽ gửi các phím được gõ, các ảnh chụp màn hình và trang Web bằng Emailhay FTP Phần mềm có thể qua mặt được các thiết bị tường lửa và có thể cậpnhật hay xoá bỏ từ xa

2.2.1.2 Cách cài đặt và sử dụng chương trình

Tải bản cài Perfect Keylogger mới nhất tại trang chủ Blazing Tools1 vàchọn phiên bản phù hợp với hệ điều hành, trên đây tác giả sử dụng bản cài đặt

1 https://www.blazingtools.com/downloads.html

cho hệ điều hành Windows 10 64-bit Sau khi tải về tiến hành cài đặt như bìnhthường (cụ thể phần cài đặt ở PHỤ LỤC) Sau khi cài đặt, công cụ này có thểtrực tiếp giám sát trên máy được cài đặt và lưu dữ liệu ngay tại máy Trongphần này, chúng ta tập trung vào việc sử dụng công cụ Perfect Keylogger đểtạo bản cài đặt từ xa để cài đặt bí mật lên máy tính đối tượng.

Nhấp chuột vào phần mềm Perfect Keylogger đang chạy ngầm dướikhay hệ thống, chọn mục Cài đặt từ xa để tiến hành tạo bản cài đặt (Hình 2 4)

Hình 2.4 Tùy chọn Cài đặt từ xa trong Perfect Keylogger

Hộp thoại hiện lên để chúng ta bắt đầu việc thiết lập các tính năngmong muốn trên bản cài đặt từ xa

- Chọn mục Đang ghi nhật ký để thiết đặt các công việc như chụp cácmật khẩu bị ẩn, các cú click chuột, các thao tác bàn phím

Hình 2.5 Thiết lập trong mục Logging

- Chọn mục Ảnh chụp màn hình (Hình 2 6), phần giúp cài đặt đượccách bản cài đặt tiến hành chụp màn hình Ở đây chúng ta có điều chỉnh thờigian cách nhau giữa hai lần chụp màn hình, chất lượng hình ảnh lưu lại, chụpnhiều cửa sổ hoạt động hay chụp toàn bộ màn hình hiển thị

Hình 2.6 Thiết lập trong mục Ảnh chụp màn hình

- Chọn mục Email, đây là nơi chúng ta thiếp lập các thông tin về việc

dữ liệu thu thập được sẽ được chuyển về Email như thế nào Truy cập thẻChung, ta có thể điều chỉnh thời gian mỗi lần gửi dữ liệu qua Email, địnhdạng tập tin bằng HTML, có mã hóa hay không, đợi dữ liệu thu thập đạt mộtmức nhất định thì tiến hành gửi đi

Hình 2.7 Thiết lập trong mục Email

Chuyển sang thẻ Phân phát, tiến hành thiết đặt chi tiết về địa chỉ Email,máy chủ Mail, tên đăng nhập và mật khẩu Trong mục này, người sử dụng cóthể kiểm tra thử một lần gửi dữ liệu đến tài khoản của mình để chắc chắn hơn.Đến đây, người dùng đã hoàn thành việc bản cài từ xa cho Perfect Keylogger

Hình 2.8 Thiết lập trong mục Phân phát

Sau khi tiến hành thiết lập hết các tính năng của bản cài đặt từ xa, cóthể xuất bản cài đặt với định dạng EXE Nếu bản cài được chạy trên máy tínhđối tượng thì sẽ thu thập các thông tin và gửi về địa chỉ Email như mọi thông

số đã thiết lập các bước trên Để kích hoạt bản cài trên máy tính người dùng

cần tìm cách ký sinh vào các gói cài đặt có ích khác hoặc sử dụng các kỹ thuậtlây nhiễm.

2.2.2 Công cụ IExpress

2.2.2.1 Giới thiệu công cụ IExpress

Công cụ IExpress là một công cụ của Microsoft có sẵn trong hệ điềuhành Windows cho phép tạo một bản cài đặt bao gồm các tập lệnh của mìnhdưới định dạng exe thay vì tệp bat hay vbs Nó có thể tạo một gói tự giảinén dữ liệu từ một tập hợp các tệp, sử dụng tập tin định dạng sed (Self-Extraction Directive) đề lưu trữ thông tin về tệp đóng gói

Công cụ trên được Microsoft phát triển nhằm giúp những nhà phát triển

có thể tạo nên một gói cài đặt đơn giản Cụ thể nó có thể đóng gói các tập tinlại thành một gói cài đặt, khi bắt đầu cài đặt thì phần mềm lại tự động giải nén

ra các tập tin cần thiết, người dùng có thể thiết lập cho tập tin nào chạy trước,thậm chí là thêm cả một tập các câu lệnh để chạy ngầm trong khi bản cài đượccài đặt Tuy nhiên, công cụ này bị những kẻ tấn công sử dụng để ký sinh mãđộc vào các bản cài đặt có sẵn để đánh lừa người dùng cài đặt phần mềm bịtiêm thêm các mã độc

2.2.2.2 Cài đặt và cách sử dụng

Công cụ IExpress đã được cài đặt sẵn trên các hệ điều hành Windows,

để mở và sử dụng công cụ, chỉ việc bật cửa sổ Run (Window+R) và gõ lệnhiexpress để khởi chạy Sau đây, chúng ta sẽ tạo một bản cài khác bằng cáchđóng gói bản cài Chrome chính thức từ trang chủ và mã độc Trong quá trìnhtừng bước tạo bản cài, chúng ta lần lượt xem xét các tính năng độc đáo củacông cụ này

Hộp thoại đầu tiên hiện lên với lời giới thiệu về công cụ, ở đây ta có haitùy chọn cách đóng gói cài đặt Lựa chọn “Create new Extraction Derective

file” để tự mình lựa chọn các tập tin đóng gói, lựa chọn thứ hai “Openexisting Self Extraction Derective file” để đóng gói từ thông tin tập tin SED

cho bản cài đặt thì tích chọn No prompt trên hộp thoại

Hình 2.10 Tính năng Confirmation Prompt

- License Agreement

Tính năng này sẽ giúp hiển thị điều khoản để người dùng đọc và đồng ýtrước khi cài đặt Để kích hoạt tính năng, chọn Display a license và thêm vàotập tin chứa nội dung điều khoản từ máy tính

Hình 2.11 Tính năng Lisence Agreement

- Thêm các tập tin cần đóng gói (Package Files)

Ở đây chúng ta có tập tin ChromeSetup.exe là bản cài đặt chính thức,còn các tập tin còn lại là các tập tin có chữa mã độc Tập tin Infect.exe sẽ tiếnhành sao chép các tập tin trong gói cài đặt vào máy tính và kích hoạt chúng

Hình 2.12 Danh sách Package Files

Sau khi nhấn Next, được giao diện như Hình 2 13, ở mục InstallProgram là tùy chọn tập tin được kích hoạt khi khởi chạy gói cài đặt Tùychọn còn lại là Post Install Command, chọn tập tin sẽ được chạy khi cài đặtxong, đây chính là phần mà kẻ tấn công thêm mã độc để chạy ngầm trong quátrình cài đặt.

Hình 2.13 Tùy chọn các tập tin được kích hoạt

- Show Window

Đây là tùy chọn có hiển thị cửa sổ trong quá trinh cài đặt, có 4 tùy chọn

là mặc định (Default), ẩn cửa sổ (Hidden), hiện cửa sổ nhưng thu nhỏ(Minimize) hiển thị cửa sổ cho người dùng (Maximized)

Hình 2.14 Tùy chọn hiển thị cửa sổ cài đặt

- Finish Message

Tùy chọn này sẽ hiển thị thông báo cho người dùng rằng quá trình càiđặt đã hoàn tất, hoặc một số thông báo tùy chọn khác Để không gây chú ýngười dùng ta nên tắt tính năng này đi khi cài cắm mã độc

Hình 2.15 Tùy chọn thông báo cài đặt đã thành công

Chọn đường dẫn lưu tập tin cài đặt sau khi hoàn thành đóng gói Bảncài được xuất dưới định dạng EXE Tùy chọn “Hide File Extracting ProgressAnimation from User” để ẩn quá trình giải nén khi cài đặt, con tùy chọn

“Store files Long Name inside Package” giúp cho tên các tập tin không bịđịnh dạng.

Hình 2.16 Tùy chọn tên và nơi lưu gói cài đặt

- Configure Restart

Yêu cầu người dùng cần khởi động lại hệ thống sau khi cài đặt haykhông Điều này thực sự hữu ích cho các mã độc kích hoạt bằng cách khởiđộng hệ thống

Hình 2.17 Tùy chọn yêu cầu khởi động lại

Sau khi hoàn thành việc tạo gói cài đặt có tên ChromeSetup.exe trong

đó đóng gói các tập tin là bản cài chính thức của Chrome và các tập tin độc

hại Khi nạn nhân sử dụng gói cài đặt này, mọi hoạt động trên giao điện vẫndiễn ra bình thường, tuy nhiên song song với quá trình cài đặt là quá trình lâynhiễm mã độc

2.2.3 Công cụ Metasploit

2.2.3.1 Giới thiệu về công cụ Metasploit

Metasploit là một bộ công cụ giúp dò quét và khai thác các lỗ hổng bảomật được sử dụng rộng rãi trong lĩnh vực an toàn thông tin Bộ công cụ banđầu là một dự án mã nguồn mở được phát triển bởi H.D.More, viết bằng Perlvào năm 2003, sau này được viết lại bằng Ruby vào năm 2007 Metasploit cócác phiên bản từ miễn phí cho tới trả phí dành cho các doanh nghiệp với nhiềutính năng vượt trội hơn song tất cả đều dựa trên nền tảng của MetasploitFramework Công cụ này có hai phiên bản là Metasploit Pro (phiên bản caocấp có trả phí) và Metasploit Community Edition (miễn phí, dựa trên mãnguồn Metasploit Framework)

Cả hai phiên bản trên hỗ trợ giao diện người dùng trên các trình duyệtphổ biến hiện nay như Chrome, Firefox, Internet Explorer Do chi phí và mụcđích học tập, chúng ta chỉ đi tìm hiều về phiên bản Metasploit CommunityEdition

2.2.3.2 Các tính năng chính của công cụ Metasploit

Metasploit hỗ trợ giao diện người dùng với hai dạng:

+ Console Interface: là giao diện sử dụng các dòng lệnh để cấu hình,kiểm tra tốc độ nhanh hơn và mềm dẻo hơn, sử dụng msfconsole.bat

+ Web Interface: tương tác với người dùng với giao diện trực quanhiển thị trên nền Web sử dụng msfweb.bat

+ Tích hợp nhiều công cụ dò quét mạng như Nmap, Zenmap, v.v.người dùng có thể quét các mạng, lập sơ đồ mạng, các máy chủ, các cổng cácdịch vụ đang chạy.

+ Xác định các lỗ hổng dựa trên phiên bản của hệ điều hành và cácứng dụng cài đặt trên hệ điều hành đó Người dùng xác minh những lỗ hổngnào có

thể khai thác, phải được khắc phục và những lỗ hổng nào không khai thácđược

+ Công cụ này giúp chúng ta có thể thử nghiệm khai thác các lỗ hổngbảo mật khi được phát hiện

- Giới thiệu một số câu lệnh trong Metasploit

Sau khi cài đặt Metasploit bằng các bản cài đặt được cung cấp, quátrình cài đặt cũng không có gì khó khăn, chủ yếu là giải nén bản cài và dùngtrong môi trường, hoặc người dùng có thể dùng sẵn công cụ này trên một bảnphân phối Linux phổ biến là Kali Linux Khởi động Metasploit trên Terminalbằng câu lệnh msfconsole

Tiếp tục thực hiện câu lệnh help để xem các câu lệnh và thông tin sơlược về chức năng của chúng Sau đây là một số lệnh quan trọng trongMetasploit:

- check: lệnh này giúp kiểm tra cấu hình cho công cụ đúng hay chưa

- connect: lệnh này giống như một bản netcat thu nhỏ được cho vàoMetasploit, được hỗ trợ với SSL, Proxy Dùng câu lệnh connect kết hợp vớiđịa chỉ IP và Port tương ứng, chúng ta có thể kết nối tới một host từMetasploit giống như khi dùng với Netcat hoặc Telnet