Trojan cách phòng chống Nguyễn Thanh Hải MỤC LỤC MỤC LỤC I Tìm hiểu trojan 1.1 Khái niệm 1.2 Phân loại trojan 1.2.1 Trojan điều khiển từ xa 1.2.2 Keyloggers 1.2.3 Trojan đánh cắp mật 1.2.4 FTP trojan 1.2.5 Trojan phá hoại 1.2.6 Trojan chiếm quyền kiểu leo thang 1.3 Nguyên lý hoạt động trojan II Ví dụ trojan 2.1 Trojan mimikatz 2.2 Trojan Exploit-CVE2012-0158.b!rtf III Cách phát phòng chống trojan 3.1 Cách phát máy tính bị nhiễm trojan 3.2 Cách remove trojan 3.3 Cách phòng chống trojan KẾT LUẬN M12CQDT01-B Trang Trojan cách phịng chống Nguyễn Thanh Hải I Tìm hiểu trojan 1.1 Khái niệm Trojan chương trình hoạt động nhằm chống lại gây tổn hại đến người dùng máy tính , chúng chương trình có lớp vỏ hợp pháp bên chứa đựng nguy bên Các chương trình thường làm việc bí mật người dùng thường khơng nhận hoạt động chúng Chúng giới hạn quyền người dùng tới mức tối đa Tất trojan hacker dùng cho mục đích riêng họ Hầu hết số để thiết lập quyền điều khiển từ xa RATs (Remote Adminitration Tools ) Không giống virus , trojan thường không tự nhân mà chạy ngầm máy tính nạn nhân Có trojan máy tính hiểm hoạ mà chúng gây lỗi khác nhau, thông thường hại làm chậm tốc độ máy tính nạn nhân, nghiêm trọng chúng làm quyền sửa registry, làm treo máy hay format lại ổ đĩa 1.2 Phân loại trojan 1.2.1 Trojan điều khiển từ xa RAT đóng vai trị server máy tính nạn nhân tạo điều kiện cho hacker kết nối với máy tính nạn nhân thực lệnh khác Rất khó nhận có tồn máy tính khơng trojan phát triển liên tục hàng ngày trở nên hiệu Những trojan tốt tạo điều kiện cho hacker quyền điều khiển chí cao thân người chủ máy chúng tự động kích hoạt nạn nhân khởi động máy tính Sử dụng trojan loại đơn giản, chúng thường gồm file server client, với cách sử dụng đơn giản file hướng dẫn kèm Các tính trojan loại ngày cao hơn, ví dụ trojan girl-friend ngăn khơng cho nạn nhân tắt máy tính, hiển thị text lên hình, biểu diển âm thanh, hình ảnh, download, upload file từ server, chí chat với nạn nhân… Nhưng sử dụng chúng thường bạn phải ngụy trang chúng dạng file ảnh giấu đuôi exe chúng Cách thức làm việc trojan RAT: RAT trojan thường ẩn náu chương trình lớn, bạn chạy chương trình này, trojan tự động kích hoạt Mỗi RAT thường chạy server cổng riêng biệt, cổng cho phép hacker thâm nhập vào máy bạn làm thứ mà cảm thấy thích thú Các trojan xâm nhập vào máy tính thường tạo file thực thi ghi thêm dịng lệnh tự kích hoạt vào file win.ini, bạn biết file trojan khơng thể vơ hiệu hố cách thơng thường Thường bạn khơng thể xố khơng thể vào registry để xố chúng thường làm chức edit registry hệ điều hành Đó chưa kể đến việc nhiều loại trojan lạ M12CQDT01-B Trang Trojan cách phòng chống Nguyễn Thanh Hải kích hoạt tên file lạ mà bạn khơng nghĩ trojan mà tưởng file thực thi hệ điều hành Người ta sử dụng RAT để điều khiển , quản lí từ xa máy tính thân họ , ln phải cẩn thận RAT gây tác hại mà ta khơng biết trước Ví dụ loại : Back Orifice, girlfriend , Net Bus 1.2.2 Keyloggers Hoạt động loại đơn giản , chúng ghi lại diễn biến bàn phím bao gồm thơng tin mật tài khoản internet, mật hòm thư, mật FTP lưu lại máy nạn nhân gửi địa email hacker Keyloggers thường nhỏ gọn sử dụng nhớ nên khó để nhận chúng Ví dụ loại : Kuang Keylogger 1.2.3 Trojan đánh cắp mật Loại trojan lợi dụng lỗ hổng trình lưu trữ trao đổi mật máy nạn nhân để đánh cắp mật người dùng gửi lại cho kẻ công 1.2.4 FTP trojan Loại trojan mở cổng 21 máy mục tiêu người truy cập không cần mật vào máy mục tiêu, tải file máy mục tiêu 1.2.5 Trojan phá hoại Loại trojan khơng có mục đích ngồi việc phá hoại máy tính nạn nhân Loại phá huỷ tồn đĩa cứng, mã hoá file… 1.2.6 Trojan chiếm quyền kiểu leo thang Thường sử dụng admin cỏi Chúng “gắn” vào ứng dụng hệ thống Một người quản trị hệ thống chạy chúng, chúng tạo cho hacker quyền cao hệ thống, trojan gửi tới người dùng có quyền cho họ quyền xâm nhập hệ thống Cịn có số loại trojan bao gồm chương trình tạo để chọc ghẹo , chúng thơng báo máy tính bạn dính virus ổ cứng bạn bị format , mật bạn bị có trị đùa vơ hại nhóm lập trình viên chương trình 1.3 Ngun lý hoạt động trojan Cách thức vận hành trojan đơn giản, thường chúng gồm thành phần client server, máy nạn nhân bị lây nhiễm trojan chúng biến thành server cổng bị mở ra, kẻ công dùng client để kết nối tới IP nạn nhân Server M12CQDT01-B Trang Trojan cách phòng chống Nguyễn Thanh Hải ẩn nhớ tạo nên thay đổi hệ thống Nó tạo thêm đường khởi động vào registry file autoexec.bat, win.ini file hệ thống khác, vây mà server tự khởi động windows làm việc phiên Cách phổ biến phương thức thay đổi registry khố sau: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Server"="C:\\WINDOWS\\server.exe" Trojan tự động copy vào thư mục Windows Windows\System Đây gọi phương thức lây nhiễm File server nạn nhân kích hoạt tự biến mất, dù nạn nhân có tài giỏi tới đâu không nhận tồn trojan lần File server ghi lại IP thời cổng để thiết lập email gửi cho hacker Một bị lây nhiễm trojan mở cổng client kết nối tới máy nạn nhân hacker làm việc theo ý muốn II Ví dụ trojan Để làm rõ hoạt động trojan, học viên xin lấy ví dụ vài loại trojan 2.1 Trojan mimikatz Đây loại trojan đánh cắp mật Trojan viết tác giả Benjamin người Pháp Trojan viết cho việc công lấy cắp mật tài khoản hệ điều hành windows phiên bản: Win XP, Vista, Win server 2008 x86, x64, win 7, win Phần mềm mimikatz.exe khởi chạy trích xuất file sekurlsa.dll chèn vào LSASS.exe SAMSS.exe, từ lấy thông tin tài khoản mật máy tính tài khoản trao đổi máy tính với máy khác mạng Cách thức hoạt động trojan cơng vào mục tiêu: - File SAM chứa thông tin tài khoản mật máy tính chạy hệ điều hành windows - Giao thức lsaSS: Đây giao thức dùng cho trao đổi mật máy tính chạy windows Khi chạy giao thức này, thông tin tài khoản mật người dùng lưu tạm dạng clear text nhớ RAM Tiến trình chạy sekurlsa.dll lấy cắp thông tin M12CQDT01-B Trang Trojan cách phòng chống Nguyễn Thanh Hải Sau lấy cắp mật khẩu, chương trình có tùy chọn cho kẻ công lưu thông tin dạng file text máy nạn nhân gửi thông tin máy tính kẻ cơng 2.2 Trojan Exploit-CVE2012-0158.b!rtf Đây loại trojan điều khiển từ xa Loại trojan khai thác lỗ hổng MS12-027 phiên Microsoft Office 2003, 2007 MySQL Server 2000, 2005, 2008 Cách thức công thường gặp kẻ công sử dụng công cụ Metasploit exploit file doc, tiếp cách (chẳng hạn gửi mail đính kèm file chứa trojan này) khiến nạn nhân mở file máy tính Nếu máy tính nạn nhân tồn lỗ hổng MS12-027 (các máy tính khơng cập nhật vá từ Microsoft có lỗ hổng này) thời điểm nạn nhân mở file chứa trojan, kẻ công chiếm quyền điều khiển máy nạn nhân mà khơng có dấu hiệu rõ ràng làm cho nạn nhân nhận điều Khi chiếm quyền điều khiển máy nạn nhân, kẻ cơng tạo tài khoản với quyền admin, hay lấy cắp, xóa tài liệu máy tính nạn nhân,… hay hành vi chiếm quyền M12CQDT01-B Trang Trojan cách phịng chống Nguyễn Thanh Hải Hình minh họa vụ công trojan Exploit-CVE2012-0158.b!rtf Kẻ công gửi file hai.doc đến máy mail nạn nhân Khi nạn nhân lưu file máy mở kẻ cơng chiếm quyền điều khiển (giao diện dịng lệnh) Tiếp kẻ cơng tạo thêm tài khoản admin123 máy nạn nhân III Cách phát phòng chống trojan 3.1 Cách phát máy tính bị nhiễm trojan Việc cần làm kiểm tra cổng (port) máy tính Điều thực số chương trình : Portcheck, Portscanning chương trình Netstat MS-Dos Windows Cách làm mở MS-Dos Commandline đánh vào lệnh : netstat-a Kế ta thấy vài thứ tương tự sau: Active Connections Proto Local Address Foreign Address State TCP _:31337 0.0.0.0:45178 LISTENING UDP _:31337 *:* Với thông báo này, ta thấy chương trình “nghe” thấy cổng 31337 cho TCP-Connection Đó cách chạy đặc thù trojan, chúng đợi acttacker kết nối với chúng gửi cho chúng lệnh… Một người giàu kinh nghiệm nhận biết cổng mà trojan sử dụng (trong trường hợp 31337 = Backdoor Office) Đối với người chưa có kinh nghiệm, họ sử dụng chương trình qt virus Nhưng khó để tìm tồn trojan M12CQDT01-B Trang Trojan cách phịng chống Nguyễn Thanh Hải Sau bạn cần kiểm tra chương trình chạy (nhưng với Windows Taskmanager – Alt + Ctrl + Del) nhiều trojan tự che giấu kiểm tra Windows Taskmanager Tốt ta nên sử dụng Taskmanager khác để thay thế, chẳng hạn CCTASK Cần khởi động lại máy trước kiểm tra, muốn nhìn thấy chương trình chạy Windows khởi động Nếu phát thứ đáng nghi, việc cần làm lưu lại file nơi đặc biệt xóa file gốc Một vài khả khác ta tìm thấy trojan kiểm sốt file system để tự động chạy Windows khởi động Trong file: Autoexec.bat: file kiểm soát lệnh ‘del’ ‘format’ lệnh Dos…, giúp cho file tự chạy khởi động Windows (MS-Dos file) Win.ini: file kiểm soát lệnh : ‘load=’ ‘run=’ câu lệnh cho phép chạy file mà người dùng cho đường dẫn đến System.ini: file cho phép sử dụnh lệnh ‘shell=’ để gọi chương trình khởi động PC Registry: có vài khả để khởi động file với trợ giúp cua Registry Bạn kiểm tra chương trình bạn muốn ‘Registry.exe’ Khi máy tính bị nhiễm trojan, thường số biểu sau nên lưu ý gặp phải, máy tính bị nhiễm trojan: - Biểu khác lạ máy tính - Các bảng thơng báo với nội dung kỳ quặc, đáng nghi - Một số file bị xóa khơng rõ ngun nhân - Máy tính chạy chậm bình thường 3.2 Cách remove trojan Khi biết máy bị nhiễm trojan người dùng làm theo bước sau để remove nó: Kill chương trình với Taskmanager (rất quan trọng số chương trình có khả tự khơi phục chức Auto Start) Xóa bỏ chức Auto Start Save file nơi khác xố M12CQDT01-B Trang Trojan cách phịng chống Nguyễn Thanh Hải Khởi dộng lại máy check máy lại xem có Trojan khơng Nếu có lỗi, khôi phục lại file khởi động lại máy Thay đổi Password máy Gửi Trojan tới đầu mối hỗ trợ hãng phần mềm diệt virus chờ hồi đáp họ 3.3 Cách phịng chống trojan Để đảm bảo an tồn cho máy tính cá nhân, cách tốt thực số biện pháp an tồn để phịng tránh bị lây nhiễm trojan, tránh việc để bị lây nhiễm xử lý, bước xử lý phức tạp, lúc hậu khơng thể bù đắp Một số biện pháp phịng chống kể đến sau: - Cài đặt chương trình diệt virus, tốt gói Internet Security - Không click vào link truy cập lạ, không mở file gửi đối tượng không tin tưởng - Không sử dụng phần mềm có nguồn gốc khơng rõ ràng, phần mềm crack, path… M12CQDT01-B Trang Trojan cách phòng chống Nguyễn Thanh Hải KẾT LUẬN Hiện nay, lực lượng hacker phát triển ngày cịn cracker phát triển với tốc độ tưởng tượng Không thể tồn hệ thống giới bị công Một máy tính cá nhân mục tiêu đơn giản mà cracker với không nhiều hiểu biết máy tính cơng, lí cracker phát triển manh mẽ đến Các hacker có khả viết trojan tự thử nghiệm cịn cracker có khả sử dụng trojan cách hiệu quả, kĩ họ nạn nhân khả sử dụng trojan Tiểu luận đưa vấn đề thường thức trojan cách phòng tránh, với mục đích cung cấp cho người dùng cá nhân hiểu biết trojan để tự bảo vệ giới mạng đầy rẫy nguy hiểm M12CQDT01-B Trang ... trojan Để làm rõ hoạt động trojan, học viên xin lấy ví dụ vài loại trojan 2.1 Trojan mimikatz Đây loại trojan đánh cắp mật Trojan viết tác giả Benjamin người Pháp Trojan viết cho việc công lấy... Các hacker có khả viết trojan tự thử nghiệm cracker có khả sử dụng trojan cách hiệu quả, kĩ họ nạn nhân khả sử dụng trojan Tiểu luận đưa vấn đề thường thức trojan cách phòng tránh, với mục đích... dịng lệnh) Tiếp kẻ công tạo thêm tài khoản admin123 máy nạn nhân III Cách phát phòng chống trojan 3.1 Cách phát máy tính bị nhiễm trojan Việc cần làm kiểm tra cổng (port) máy tính Điều thực số chương