TRƯỜNG ĐẠI HỌC CƠNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH KHOA: CÔNG NGHỆ THÔNG TIN BÀI BÁO CÁO ĐỀ TÀI: TÌM HIỂU VỀ MÃ ĐỘC ROOTKIT Giáo viên hướng dẫn : Nguyễn Thị Hạnh Sinh viên thực : Nhóm Lớp : DHQT16A Mơn học : An tồn thơng tin TP Hồ Chí Minh, tháng 01 năm 2022 LỜI NÓI ĐẦU Hiện nay, thị trường Việt Nam, ý thức khái niệm việc bảo mật thông tin cịn sơ khai mẻ Có nhiều người khơng quan tâm khơng có ý thức tầm quan trọng vấn đề bảo mật thông tin cá nhân, tạo điều kiện cho tổ chức cá nhân đánh cắp thông tin sử dụng thông tin cá nhân cá thể vào nhiều mục đích khác để chuộc lợi Hậu nhẹ bị spam điện thoại email cho mục đích bn bán, mơi giới; trung việc bị đánh cắp tải khoản mạng xã hội Facebook, Instagram ; nặng việc thơng tin cá nhân bị làm giả để phục vụ cho mục đích phi pháp mà người bị hại cịn khơng hay biết Các hackers lợi dụng lỗ hổng bảo mật ,sử dụng Virus,Trojan,Worms…để phá hoại đánh cắp thông tin.Điều nguy hiểm chúng ngày tin vi khó phát hackers sử dụng số biện pháp che dấu hoạt động hệ thống xóa bỏ dấu vết truy cập ngày tinh vi Một số sử dụng mã độc Rootkit Do thời gian không nhiều tài liệu rootkit khan hiếm, nhóm chúng em cố gắng tìm hiểu nhiều có xảy sai xót làm mong bạn bỏ qua đóng góp ý kiến để nhóm chúng em hồn thiện Nhóm em xin chân thành cảm ơn ! Mục Lục LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ ROOTKIT 1.1 Khái niệm Rootkit 1.2 Lịch sử hình thành mã độc Rootkit .6 CHƯƠNG II: NGUYÊN LÍ HOẠT ĐỘNG VÀ PHÁ HOẠI .7 2.1 Nguyên lí hoạt động phá hoại 2.2 Tấn công Rootkit User mode Rootkit CHƯƠNG 3: PHÁT HIỆN ROOTKIT .10 3.1 Phương pháp phát nhận biết Rootkit 10 3.2 Cách phòng chống mã độc RooKits 10 3.3 Hoặc vấn đề mà bạn cảm thấy thích thú RooKits 12 CHƯƠNG IV: KẾT LUẬN 13 TÀI LIỆU THAM KHẢO .14 CHƯƠNG I: TỔNG QUAN VỀ ROOTKIT 1.1 Khái niệm Rootkit Rootkit phần mềm tập hợp công cụ phần mềm che giấu tồn phần mềm khác, thường vi-rút, xâm nhập vào hệ thống máy tính Tin tặc thường sử dụng rootkit sau chiếm quyền truy cập vào hệ thống máy tính Chúng ẩn liệu hệ thống, tệp quy trình chạy mà từ tin tặc vơ tình xâm nhập vào hệ thống máy tính Máy tính cài đặt rootkit gọi bị “chiếm quyền root”[1].Thuật ngữ "rootkit" ban đầu sử dụng cho hệ thống sử dụng công cụ Unix, ẩn hồn tồn dấu vết kẻ xâm nhập lệnh "ps", "netstat", "w" "passwd" cho mục đích kiểm tra, cho phép kẻ cơng "root" giữ lại Quyền truy cập hệ thống người quản trị hệ thống khơng thể nhìn thấy chúng Ngày thuật ngữ sử dụng cho Microsoft Windows cơng cụ tương tự xuất 1.2 Lịch sử hình thành mã độc Rootkit Kỹ thuật Rootkit thực Nó tồn gần mười năm Đầu tiên phát triển hệ điều hành Unix-like (Solaris Linux) sau Windows Rootkit công khai dựa Windows vào năm 1999 Greg Hoglund-một chuyên gia bảo mật người lập trình website rootkit.com Thuật ngữ rootkit bắt nguồn từ root-mức truy nhập cao vào hệ thống, có quyền admin từ kit-một tập cơng cụ để che giấu chiếm quyền.[1] Việc phát Sony Rootkit (rootkit quản lý quyền số) với Mark Rusonovich Sysinternal khiến rootkit quan tâm cách đặc biệt nhiều người bắt đầu tìm hiểu hoạt Cho tới kiện đó, rootkit khêu gợi tị mò hiểm họa cận kề Sự kiện Sony Rootkit xảy ngày 31/10/2005 đưa rootkit thành trung tâm ý Nó chứng tỏ, hãng nghiên cứu phát triển kỹ thuật rootkit qui củ Sau kiện này, Sony phải tiến hành gỡ bỏ rootkit đĩa CD tốn khoản bồi thường khơng Sự kiện cho trước sau xảy ra, mà nhà cung cấp bảo mật đưa nhiều biện pháp để chống lại kiểu nguy có thể, những người tạo malware tương ứng đáp lạo kỹ thuật ăn cắp tinh ranh Bằng cách sử dụng rootkit khả lút nó, hacker máy tính tìm cách hiệu để công Các chương trình che giấu rootkit cho thấy nguy cận kề an ninh mạng Thực tế ngày 6/12/2005 tạp chí eweek cơng bố có tới 20% malware bị phát Windows XP SP2 rootkit số malware 14%, thời điểm kiện Sony Rootkit số 8% CHƯƠNG II: NGUYÊN LÍ HOẠT ĐỘNG VÀ PHÁ HOẠI 2.1 Nguyên lí hoạt động phá hoại Mã độc Rootkit thường dùng để che dấu công cụ chạy bất hệ thống bị xâm nhập Chúng thường gồm “cửa sau” để giúp kẻ xâm nhập truy cập vào hệ thống dễ dàng lần sau Thí dụ rootkit che dấu ứng dụng tạo shell kẻ công kết nối với cổng mạng cụ thể hệ thống Mã độc Rootkit nhân có chức tương tự Cửa sau cho phép tiến trình từ người dùng thơng thường thi hành chức dành riêng cho siêu người dùng Mã độc Rootkit che dấu loại cơng cụ khác dùng để xâm phạm hệ thống Điều bao gồm công cụ dùng để công thêm vào hệ thống máy tính có kết nối với hệ thống bị xâm nhập công cụ bắt gói tin (packet sniffer) chương trình ghi thao tác bàn phím (keylogger) Một cách xâm phạm phổ biến dùng hệ thống bị chiếm quyền làm bàn đạp cho xâm phạm Điều thực cách làm cho xâm phạm xuất phát từ mạng hay hệ thống bị chiếm thay từ kẻ công Các công cụ bao gồm công cụ công từ chối dịch vụ, công cụ chuyển tiếp phiên chat công spam email Ngồi ra, rootkit hay dùng cho mục đích bảo vệ quyền Rootkit tạo đường truy nhập cho kẻ xâm nhập trở lại, việc thực cách cài đặt cửa hậu (backdoor – phương pháp ẩn cho việc lấy quyền truy nhập máy tính) Cửa hậu daemon truy nhập từ xa, chẳng hạn phiên sửa chữa telnetd sshd, cấu hình để chạy cổng cổng mặc định mà daemon thường nghe (daemon loại chương trình chạy ngầm, đợi kích hoạt điều kiện kiện cụ thể, daemon không chịu kiểm soát trực tiếp người dùng).[2] Một rootkit thiết kế tốt có khả che dấu xóa bỏ dấu vết việc đưa vào máy tính, tồn hoạt động Ví dụ: Nó sửa nhật trình (log) hệ thống để khơng ghi xóa bỏ tất thơng tin liên quan đến việc đưa vào máy, thơng tin lần truy nhập kẻ xâm nhập, thơng tin tiến trình (các chương trình thực thi) mà rootkit chạy Những kẻ xâm nhập không lành nghề xóa tẩy trắng nhật trình, tượng đầu mối cho thấy có chuyện bất thường Trong trường hợp điển hình, rootkit che dấu đăng nhập, tiến trình, tập tin log bao gồm phần mềm đánh cắp liệu từ trạm cuối (terminal), nối kết mạng bàn phím máy tính Trong nhiều trường hợp rootkit xem ngựa trojan Cửa sau cho phép tiến trình từ người dùng thơng thường thi hành chức dành riêng cho siêu người dùng Rootkit che dấu loại cơng cụ khác dùng để xâm phạm hệ thống Điều bao gồm công cụ dùng để công thêm vào hệ thống máy tính có kết nối với hệ thống bị xâm nhập công cụ bắt gói tin (packet sniffer) chương trình ghi tác vụ bàn phím (keylogger) Một cách xâm phạm phổ biến dùng hệ thống bị chiếm làm bàn đạp cho xâm nhập Điều thực cách làm cho vụ xâm nhập xuất phát từ mạng hay hệ thống bị chiếm thay từ kẻ cơng Các cơng cụ bao gồm công cụ công từ chối dịch vụ (DOS), công cụ chuyển tiếp phiên chat công spam email [2] Nói cách đơn giản, số thứ PC bạn bị chặn rootkit Điều có nghĩa sau rootkit cài đặt, bạn tin tưởng thông tin mà PC bạn báo cáo Ví dụ: Gần cho việc rootkit sử dụng CD thương mại dùng để quản lý quyền kỹ thuật số tranh luận chống chép CD Sony 2005 Ví dụ: bạn yêu cầu PC liệt kê tất chương trình khởi chạy, rootkit lút xóa chương trình mà khơng muốn cho bạn biết Nói cách khác, rootkit che giấu tất thứ Chúng ẩn máy tính bạn ẩn hoạt động độc hại PC bạn Thực ra, rootkit tự thân khơng mang tính hiểm độc chúng sử dụng với chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan lại nguy hiểm nhiều 2.2 Tấn công Rootkit User mode Rootkit Có nhiều loại RootKits có khả phá hoại hay hay phải đề cập đến Rootkit hoạt động chế độ người dùng (User Mode Rootkit) User mode rootkit, gọi rootkit ứng dụng, thực thi theo cách giống chương trình người dùng thơng thường User mode rootkit khởi tạo trình khởi động hệ thống giống chương trình bình thường khác, chúng đưa vào hệ thống thơng qua ống nhỏ giọt (một chương trình thiết kế để cài đặt số loại vi-rút định hệ thống mà hệ thống muốn lây nhiễm) Phương pháp phụ thuộc vào hệ điều hành Ví dụ, rootkit Windows thường tập trung vào việc kiểm soát chức Windows DLL, hệ thống Unix, toàn ứng dụng thay hồn tồn Rootkit.[3] Rootkit thuộc loại chạy cấp độ người dùng hệ điều hành Phải nói rằng, rootkit trước giúp kẻ cơng kiểm sốt mục tiêu chúng cách cung cấp quyền truy cập backdoor, rootkit người dùng có xu hướng ẩn cách thay đổi ứng dụng quan trọng cấp độ người dùng, chẳng hạn cung cấp quyền truy cập cửa hậu người dùng vào Linux Windows Linux User Mode Rootkit Hiện có số Rootkit hoạt động chế độ người dùng, cụ thể sau: Để có quyền truy cập từ xa vào máy, dịch vụ (services) đăng nhập "login, Sshd, inetd", v.v., tất sửa đổi cách bao gồm backdoor password (mật cửa hậu) Kẻ công cần truy cập dịch vụ cung cấp mật cửa hậu để có quyền truy cập root Lưu ý rằng, kẻ công khai thác hệ thống cách thay đổi dịch vụ hợp pháp dịch vụ độc hại với kỹ thuật này, kết nối lại để có quyền truy cập root Một cách khác để đạt đến cấp độ thực công leo thang đặc quyền Kẻ công sửa đổi lệnh "chsh,, su su, " qua mật khẩu, theo cách mà kẻ công sử dụng lệnh với backdoor password, kẻ công nâng lên quyền root CHƯƠNG 3: PHÁT HIỆN ROOTKIT 3.1 Phương pháp phát nhận biết Rootkit Máy tính xuất dấu hiệu bất thường sử dụng dấu hiệu cần quan tâm Các chuyện bất thường có nguy cao:  Máy tính sử dụng bị chậm, tác vụ ứng dụng khơng hoạt động bình thường  Có chương trình lạ bật thơng báo, tự động bật, tự động tắt  Máy tính tự động khởi động lại, hình, Webcam tự dưng bật sáng  Chuột tự động điều khiển có người sử dụng máy tính  Trình duyệt xuất plugin lạ, thường xuyên bật quảng cáo không mong muốn Trên thiết bị di động, dấu hiệu nhận biết rõ ràng dễ phát  Thiết bị nhanh nóng sử dụng, nhanh hết pin  Thiết bị thiếu dung lượng lưu trữ, lưu lượng mạng sử dụng tăng cao  Thường xuyên bật pop-up quảng cáo  Xuất ứng dụng lạ cài đặt  Thiết bị hoạt động bị điều khiển người: Màn hình tự động sáng, tự động bật/tắt ứng dụng 3.2 Cách phòng chống mã độc RooKits Trước hết cần nhận thức cách rõ ràng phòng tránh mã độc ngăn chặn mã độc không dựa vào phần mềm diệt virus mà liên quan tới nhận thức người dùng Một cách tổng quan nhất, việc phòng tránh mã độc ngăn 10 chặn mã độc tổng hòa nhiều yếu tố khác Dưới tơi xin tóm tắt số biện pháp sau: - Luôn cài đặt sử dụng phần mềm diệt virus hãng Ví dụ: Kaspersky, CyStack, Bitdifender, Avast, Norton, Bkav, … Việc xuất phần mềm diệt virus thấy mã độc phát hay diệt, nhiên giúp phòng tránh mã độc hiểm họa xâu xa giúp yên tâm duyệt web download phần mềm - Xây dựng sách với thiết bị PnP Với thiết bị loại này: USB, CD/DVD, … virus lợi dụng để thực thi mà không cần cho phép người dùng Do đó, cần thiết lập lại chế độ cho thiết bị chương trình để hạn chế thực thi khơng kiểm sốt mã độc Ngồi ra, q trình sử dụng thiết bị USB, không nên mở trực tiếp cách chọn ổ đĩa nhấn phím Enter, nhấp đôi chuột vào biểu tượng mà nên bấm chuột phải click vào explore.Không nên mở tải file không rõ nguồn gốc, đăc biệt file thực thi (các file có exe, dll, …) Với file không rõ nguồn gốc này, tốt nên tiến hành quét phần mềm diệt virus thực kiểm tra trực tiếp website: Khi có nghi ngờ cảnh báo cần dừng việc thực thi file lại để đảm bảo an toàn - Truy cập web an tồn Q trình truy cập web nguyên nhân khiến máy tính dễ dàng bị nhiễm mã độc người dùng khơng có nhận thực đắn Khi truy cập web cần ý: Không nên truy cập vào trang web đen, trang web độc hại, có nội dung khơng lành mạnh, khơng tiện click vào url từ email từ nội dung chat, website, … Các website url thường xuyên ẩn chứa mã độc đợi người dùng click, tự động tải về, thiết lập cài đặt để thực thi hợp pháp máy tính người dùng Một ví dụ tiêu biểu phân tích theo dõi máy nhân viên văn phòng, máy tính hầu hết bị cài đặt addon phần mềm quản cáo trình duyệt web thân người sử dụng cho phép addon phần mềm thực thi - Cập nhật máy tính, phần mềm 11 Thường xuyên cập nhật vá cung cấp từ hệ điều hành, vá cho ứng dụng sử dụng đặc biệt cập nhật chương trình diệt virus Đây yếu tố quan trọng để tránh loại mã độc lợi dụng lỗ hổng để lây lan, đồng thời cập nhật mẫu mã độc để giúp phần mềm diệt virus làm việc hiệu - Nhờ chuyên gia can thiệp Khi thấy máy tính có dấu hiệu bị lây nhiễm cần tiến hành quét phần mềm diệt virus, khơng có tiến triển tốt, cần nhờ giúp đỡ chuyên gia để kiểm tra máy tính, phát tiêu diệt mã độc Có thể việc làm tốn thời gian tiền bạc thật cần thiết tác hại việc để ngun máy tính cịn tốn thiệt hại nhiều lần 3.3 Hoặc vấn đề mà bạn cảm thấy thích thú RooKits - Chúng ta dùng chúng để tăng cường phần mềm mô phỏng.[4] - Để tăng cường phần mềm bảo mật, cho phép phần mềm tự bảo vệ khỏi hành động độc hại [4] - Khi thiết bị di động bị đánh cắp bị Rootkit bảo vệ chộng trộm thiết bị - phần mềm rootkit dựa BIOS cho phép giám sát, vơ hiệu hố xố liệu thiết bị.[4] - Rootkit dần trở nên phổ biến trở thành công cụ che giấu hữu hiệu cho loại phần mềm độc hại khác - Một vài Rootkit đời có khả chặn đứng khả cảnh báo truy vấn hệ thống cách luồn qua lọc 12 CHƯƠNG IV: KẾT LUẬN Hiện nay, rootkit hoạt động tinh vi, chúng giả dạng phần mềm hay ứng dụng phổ biến để xâm nhập vào máy tính Do đó, bạn nên tải phần mềm trang chủ cúa nguồn cung cấp đáng tin cậy Đồng thời, thường xuyên kích hoạt quét máy tính phần mềm anti rootkit để phát sớm loại bỏ chúng từ đầu Bên cạnh việc hiểu rõ rootkit gì, bạn cịn có thêm cách giúp tăng cường bảo vệ hệ thống, tránh bị nhiễm phần mềm độc hại Đó sử dụng máy chủ ảo để lưu trữ liệu nhà cung cấp chuyên nghiệp, uy tín để hỗ trợ chạy chương trình bảo mật back up liệu 13 TÀI LIỆU THAM KHẢO [1] Rootkit gì? Đặc điểm rootkit (longvan.net) [2] ROOTKIT LÀ GÌ VÀ NÓ HOẠT ĐỘNG THẾ NÀO ? – Lưới Che Nắng H.N.Q (npower.vn) [3] Rootkit gì? Có loại rootkit nào? - Quantrimang.com [4] Rootkit gì? Sử dụng Rootkit để làm gì? | Vietnix 14 ... bỏ dấu vết truy cập ngày tinh vi Một số sử dụng mã độc Rootkit Do thời gian không nhiều tài liệu rootkit khan hiếm, nhóm chúng em cố gắng tìm hiểu nhiều có xảy sai xót làm mong bạn bỏ qua đóng... Mục Lục LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ ROOTKIT 1.1 Khái niệm Rootkit 1.2 Lịch sử hình thành mã độc Rootkit .6 CHƯƠNG II: NGUYÊN LÍ HOẠT ĐỘNG VÀ... 2.2 Tấn công Rootkit User mode Rootkit CHƯƠNG 3: PHÁT HIỆN ROOTKIT .10 3.1 Phương pháp phát nhận biết Rootkit 10 3.2 Cách phòng chống mã độc RooKits 10