Cách Chống Trojan & Backdoor toàn tập

1. Giới thiệu về Trojans

2. Các dạng và cách hoạt động của Trojan

3. Cách nhận biết máy tính bị nhiễm Trojan

4. Sự khác nhau của các Trojans

5. Sử dụng một số Trojan để tấn công

6. Ẩn Trojans vào một file .EXE bình thường

7. Cách phát hiện Trojans và Backdoor

8. Giải pháp phòng chống Trojan Backdoor

9. Kết luận

1. Giới thiệu về Trojans.

- Một Trojan là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính.

- Với sự trợ giúp của Trojan, một kẻ tất công có thể dễ dàng truy cập vào máy tính của nạn nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả năng khác.

2. Các dạng và cách hoạt động của Trojan

- Kẻ tấn công có thể truy cập được vào các máy tính đã bị nhiễm Trojans khi chúng Online.

- Kẻ tấn công có thể truy cập và điều khiển toàn bộ máy tính của nạn nhân, và chúng có khả năng sử dụng vào nhiều mục đích khác nhau.

- Các dạng Trojans cơ bản:

+Remote Access Trojans – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từ xa.

+ Data-Sending Trojans – Gửi những thông tin nhạy cảm cho kẻ tấn công

+ Destructive Trojans – Phá hủy hệ thống

+ Denied-of-Service – DoS Attack Trojan: Trojans cho tấn công DoS.

+ Proxy Trojans

+ HTTP, FTP Trojans: - Trojan tự tạo thành HTTP hay FTP server để kẻ tấn công khai thác lỗi.

+ Security Software Disable Trojan – Có tác dụng tắt những tính năng bảo mật trong máy tính của nạn nhân.

- Mục đích của những kẻ viết ra những Trojans:

+ Lấy thông tin của Credit Card

+ Lấy thông tin của các tài khoản cá nhân như: Email, Password, Usernames,…

+ Những dữ liệu mật.

+ Thông tin tài chính: Tài khoản ngân hàng…

+ Sử dụng máy tính của nạn nhân để thực hiện một tác vụ nào đó, như để tấn công, scan, hay làm ngập hệ thống mạng của nạn nhân.

3. Những con đường để máy tính nạn nhân nhiễm Trojan.

- Qua các ứng dụng CHAT online như IRC – Interney Relay Chat

- Qua các file được đính kèm trên Mail…

- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD…

- Khi chạy một file bị nhiễm Trojan

- Qua NetBIOS – FileSharing

- Qua những chương trình nguy hiểm

- Từ những trang web không tin tưởng hay những website cung cấp phần mềm miễn phí

- Nó có khả năng ẩn trong các ứng dụng bình thường, khi chạy ứng dụng đó lập tức cũng chạy luôn Trojans.

4. Những cách nhận biết một máy tính bị nhiễm Trojans – Cơ bản nhất – Có thể không đúng.

- Ổ CD-ROM tự động mở ra đóng vào.

- Máy tính có những dấu hiệu lạ trên màn hình.

- Hình nền của các cửa sổ Windows bị thay đổi…

- Các văn bản tự động in

- Máy tinh tự động thay đổi font chữ và các thiết lập khác

- Hình nền máy tính tự động thay đổi và không thể đổi lại.

- Chuột trái, chuột phải lẫn nộn..

- Chuột không hiển thị trên màn hình.

- Nút Start không hiển thị.

- Một vài cửa sổ chát bật ra

Các Port sử dụng bởi các Trojan phổ biến.

- Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338

- Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150

- NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346

- Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362

- Netbus 2 Pro – Sử dụng TCP – Qua Port 20034

- GrilFriend - Sử dụng Protocol TCP – Qua Port 21544

- Masters Paradise - Sử dụng TCP Protocol qua Port – 3129, 40421,40422, 40423 và 40426.

Để nhận biết những Port nào trên máy tính đang Active chúng ta dùng câu lệnh:

Netstat –an

5. Sử dụng một số loại Trojan

Với mục đích của bài viết để các bạn hiểu về Trojan, sử dụng Trojan là một trong những nội dung cơ bản của nghiên cứu về bảo mật. Khi biết cách sử dụng và cách hoạt động của các loại Trojan bạn có thể từ đó đưa ra các giải pháp an ninh mạng cho doanh nghiệp của mình cũng như những dữ liệu quan trọng của chúng ta. Trong phần này tôi giới thiệu với các bạn những loại Trojan sau:

- Tini

- iCmd

- Netcat

- HTTP RAT

a. Trojan Tini

Bất kỳ một máy tính nào nếu bị nhiễm Trojan này đều cho phép Telnet qua Port 7777 không cần bất kỳ thông tin xác thực nào.

- Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file đó là OK mọi thứ đã hoàn tất và đợi những thông tin Telnet tới port 7777.

- Trên máy 192.168.1.33 đã chạy file tini.exe giờ tôi đứng trên bất kỳ máy nào cũng có thể dùng lệnh: Telnet 192.168.1.33 7777 là có thể console vào được máy đó.

b. iCmd Trojan

Tương tự như Tini Trojan nhưng khác một điều đó là cho phép lựa chọn port để telnet và Password truy cập vào máy bị nhiễm trojan này.

VD: Máy bị nhiễm Trojan chạy file iCmd.exe với câu lệnh

- iCmd.exe vne 8080

Có nghĩa máy này enable telnet trên port 8080 và password là "vne"

Trong ví dụ này tôi để file: iCmd.exe tại thư mục vnexperts.net trên ổ C:\

- Trên máy khác tôi có thể telnet tới máy này với câu lệnh:

- Telnet port

- Như ví dụ trên tôi gõ: telnet 192.168.1.33 8080

Hệ thống bắt tôi nhập password tôi gõ vne vào và Enter

Và kết quả

c. Netcat Trojan.

Trojan này cho phép chúng ta lựa chọn khá nhiều Options như Port, chạy chế độ ẩn, cho phép telnet …..

Để chạy Trojan này tôi gõ câu lệnh:

Nc.exe –L –p -t –e

-L là hoạt động ở chế độ nghe

-p là Port sử dụng để nghe.

-t cho phép sử dụng Telnet

-e chạy một chương trình nào đó.

Trên ví dụ này tôi chạy với câu lệnh

- Nc.exe –L –p 8800 –t –e cmd.exe

Giờ thì tôi có thể đứng bất kỳ trên máy nào có thể telnet tới máy này qua cổng 8800, và hoàn toàn có thể kiểm soát được máy tính đó qua giao diện command line.

d. HTTP RAT

Với tính năng hoạt động như một Web Server được lập trình sẵn cho phép quản lý máy tính trên giao diện Web. Bạn hoàn toàn có thể thực hiện được trên Internet, khi một máy nhiễm Trojan này sẽ tự động gửi mail về cho bạn qua cấu hình.

Giờ đứng trên bất kỳ máy nào bạn cũng có thể vào máy này qua cửa sổ của một trình duyệt web bất kỳ:

http://192.168.1.33

Tôi có thể chạy xóa hay download bất kỳ file nào từ máy nạn nhân

e. ICMP Trojan

Sử dụng tunnel là ICMP gần như được sự đồng ý của bất kỳ firewall nào hay các hệ thống.

- Trên máy nạn nhân sử dụng ICMP Trojan Server chúng ta phải cài Trojan này với câu lệnh

- Ngồi trên bất kỳ máy nào bạn sử dụng ICMPsend để remote tới hệ thống đã bị nhiễm ICMP trojan

Trên thực tế còn rất nhiều loại Trojan khác bạn có thể tìm hiểu trên các trang web chuyên về security, trong bài viết này tôi chỉ Demo một số loại Trojan dùng để trainning mà thôi.

6. Cách ẩn một hoặc nhiều Trojan vào một file .exe hay file chạy bình thường

Mấy phần bên trên là cách sử dụng Trojan cơ bản. Ví dụ bạn muốn sử dụng con trojan là iCmd.exe bạn phải làm thế nào? Copy file đó vào máy và chạy với câu lệnh iCmd.exe vne 8800? Điều này không thể thực hiện bởi ai cho bạn ngồi trên máy đó.

Vậy làm thế nào để lây nhiễm Trojan này vào máy của nạn nhân?

Thật không may những kẻ tấn công đã khôn ngoan ẩn một hay nhiều Trojan vào một file Exe bình thường, như một chương trình cờ, một file exe bộ cài windows, file chạy của các phần mềm miễn phí mà có khi ẩn luôn vào bộ cài các chương trình diệt virus.

Cách ẩn Trojan vào file .exe đó là công nghệ Wrapper. Các phần mềm thường dùng:

- One file EXE Maker

- Yet Another Binder

- Pretator Wrapper.

a. Sử dụng One file EXE Maker dấu và chạy file iCmd.exe

Download bộ cài của phần mềm này cài ra máy sau đó là chạy để ghép các file

File EXE mà tôi lựa chọn là một chương trình cờ Caro rất phổ biến Fiver6_8.exe.

- File cờ caro tôi để chạy bình thường

- file iCmd.exe tôi để chạy ẩn và copy vào hệ thống

- Câu lệnh thêm trên file iCmd.exe tôi chọn là vne 8800 – cho phép telnet vào port 8800 và password là vne.

Nhấn Save để hoàn thành quá trình.

- Tôi save ra với tên là caro.exe

Nhìn dung lượng của file tôi thấy:

- iCmd.exe dung lượng 36KB

- Fiver6_8_en.exe dung lượng 310K

- Caro.exe được tạo từ hai file trên dung lượng 353KB

Giờ tôi thử chạy file Caro.exe

Chỉ có cửa sổ đánh cờ caro được bật ra nhưng đã có một file iCmd.exe được hoạt động, kiểm tra trong Task Manager:

Đứng trên bất kỳ máy nào tôi cũng có thể remote tới máy này qua port 8800 và password là vne

Trong bài viết này tôi chỉ Demo một chương trình ẩn file Exe các bạn có thể tìm kiếm các phần mềm này trên Internet.

7. Cách phát hiện Trojan.

Có ba nguyên lý của bất kỳ chương trình Trojan nào:

- Một trojan muốn hoạt động phải lắng nghe các request trên một cổng nào đó

- Một chương trình đang chạy sẽ phải có TÊN trong Process List

- Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động.

a. Phát hiện Port sử dụng bởi Trojans

- Dùng câu lệnh Netstat –an trong windows để biết hệt thống đang lắng nghe trên các port nào

+ Hình dưới ta thấy có port 7777 – à thì ra là port của Tini Trojan

+ Máy của tôi đâu có sử port nào là 8800 sao lại đang để chế độ nghe và có máy đang kết nối đến nhỉ ồ đó chắc là của Trojans

- Dùng phần mềm Fport

- Dùng phần mềm TCPView

Thật may tôi có thể xem toàn bộ các port đang sử dụng và chương trình gì tôi đang sử dụng port nào

Từ đây tôi có thể kiểm tra các dịch vụ mạng của tôi với những Port nghi ngờ tôi có thể dùng Firewall đóng lại.

b. Cách phát hiện các chương trình đang chạy

- Dùng phần mềm Process Viewer tất cả các Process sẽ được hiển thị dù có đang chạy chế độ ẩn và không hiện trên Task Manager của Windows.

c. Tìm một chương trình chạy lúc khởi động

- Trong Satup

- Trong Registry: Đa số sẽ nằm tại đây: Chúng ta sử dụng câu lệnh Msconfig trong Table Starup chương trình nào muốn chạy tự động sẽ phải nằm tại đây.

Trong ví dụ này tôi thấy có file nc.exe chạy lúc khởi động vị trí của nó là tại folder c:\vnexperts.net

8. Cách phòng chống Trojans và Backdoor

- Không sử dụng các phần mềm không tin tưởng (Đôi khi tin tưởng vẫn bị dính Trojans)

- Không vào các trang web nguy hiểm, không cài các ActiveX và JavaScript trên các trang web đó bởi có thể sẽ đính kèm Trojans

- Tối quan trọng là phải update OS thường xuyên

- Cài phần mềm diệt virus uy tín: Tôi hay dùng: Kaspersky Internet Security, Norton Internet Security, và Mcafee Total Security, nhưng nghe nói còn rất nhiều phần mềm diệt Virus và chống Trojan hay khác. Sau khi cài các phần mềm này bạn hãy update nó thường xuyên.

9. Kết luận.

Trong bài viết này tôi đã trình bày các khái niệm cơ bản thế nào là Trojans Backdoor, cách chúng lây nhiễm vào hệ thống. Một vài trojans demo cho các bạn hiểu sự nguy hiểm của Trojan. Quan trọng nhất là các bạn hãy bảo vệ chính môi trường của mình trước các tấn công từ bên ngoài.