Ủy quyền Sử dụng máy tính của nạn nhân làm thiết bị nguồn để khởi động các cuộc tấn công và thực hiện các hoạt động bất hợp pháp khác.. Ransomware Ransomware là phần mềm độc hại từ chỗi
Trang 1TRUONG DAI HOC CONG NGHE THONG TIN &
TRUYEN THONG VIET — HAN
KHOA KY THUAT MAY TINH VA DIEN TU
Oud
VICE
BAI TAP LON KIEM THU XAM NHAP
TIM HIEU VE TROJAN VA SU DUNG CONG CU MSFVENOM DE TAO MOT TROJAN VIRUS
Trang 2TRUONG DAI HOC CONG NGHE THONG TIN &
TRUYEN THONG VIET — HAN
KHOA KY THUAT MAY TINH VA DIEN TU
Oud
VIE
BO AN KIEM THU XAM NHAP
TIM HIEU VE TROJAN VA SU DUNG CONG CU MSFVENOM DE TAO MOT TROJAN VIRUS
Trang 3NHAN XET CUA GIANG VIEN HUONG DAN
Trang 4CHUONG 1
Trang 5MO DAU
Trong thời đại số hóa hiện nay, TroJan đã trở thành một trone những mối đe dọa chính đối với hệ thống thông tin và đữ liệu của cá nhân, tổ chức và doanh nghiệp trên khắp thế giới Sự tàn pha ma Trojan có thê gây ra không chỉ đối với kinh tế mà còn ảnh hưởng đến uy tín và an toàn của mọi người Đề tài này tập trung vảo việc nghiên cứu, giả lập tắn công Trojan và cách đối phó với chúng
Tuy nhiên, đối mặt với mối đe dọa này, không chỉ đơn thuần là việc nghiên cứu
về tấn công Trojan, mà còn là việc tìm hiểu cách đối phó với chúng Chúng ta sẽ khám phá các biện pháp bảo vệ hệ thống, chiến lược đảm bảo tính an toàn và khôi phục đữ liệu sau khi bị tấn công Cuộc hành trình này không chỉ dành cho các chuyên gia bảo mật mạng mà còn dành cho mọi người quan tâm đến an toàn thông tin và tình hình hiện tai cua Trojan
Chúng ta hy vọng rằng thông qua việc tìm hiểu và gia lap tan céng Trojan, ching
ta sẽ đóng góp vào việc giảm thiểu tác động tiêu cực của Trojan đối với cá nhân, tổ chức và xã hội Đây là một cuộc hành trình quan trọng vì an toàn thông tin là một trone những yếu tố cốt lõi của cuộc sống số hóa và xã hội hiện đại
Vì vậy, em đã chọn đề tài “Tìm hiểu về Trojan và sử dụng công cụ Msfvenom để tao mét Trojan virus” Trong dé tai này, em sẽ trình bày cái nhìn về cuộc tấn công thực
tế và cách đối phó, phòng chống nó
Trang 6LOI CAM ON
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian làm đồ án nay, em đã tìm hiểu, học hỏi và nhận được rất nhiều sự hỗ trợ từ các thầy cô
và các anh chị khóa trước Em cũng được học được rất nhiều kinh nghiệm thông qua sự chỉ dẫn tận tình, kèm theo những bài học có giá trị do các thay cô và anh chị di trước truyền đạt day bao
Với lòng biết ơn sâu sắc, em xin gửi lời cảm ơn đến quý thầy cô Khoa Kỹ Thuật May Tính và Điện Tử - Trường học Công Nghệ Thông Tin và Truyền thông Việt - Hàn
đã truyền đạt vốn kiến thức quý báu cho em cũng như các bạn cùng khóa Qua đây em cũng xin cảm ơn các anh khóa trước đã góp ý kiến giúp em để hoàn thành đồ án chuyên ngành nay
Đặc biệt, em xin chân thành cảm ơn Thay Tran Thé Son da tan tam hướng dẫn em qua từng buổi hướng dẫn để hoàn thành đồ án chuyên ngành Nếu không có những lời hướng dẫn, dạy bảo của cô thì đồ án chuyên ngành lần này khó có thê hoàn thiện được Mặc dù đã rất cố gắng, nhưng trone một khoản thời gian cho phép, cũng như về mặt kiến thức của em, cuỗn đồ án này không thể tránh khỏi nhiều thiếu sót Chính vì vậy,
em rất mong nhận được sự góp ý của các thầy cô cũng như của các bạn cùng khóa để
đề tài này được tốt hơn Một lần nữa em xin sửi lời cảm ơn chân thành đến tất cả mọi nguol
Trang 7MUC LUC
1.1 GIỚI THIỆU CHƯNG - 2 ©2S21222122212221271121122111121212 1122122212012 e6 1 1.1.1 Mã đỘc - n1 1111211 2212111112121 1212111111211 11 n1 ro 1
II 0 án bổn odi(((iớÁẶẶaóa -.ÚIẢI.ÝỶẢÔẢÝIAIAA 1
1.2 KẾT CHƯƠNG l - 2 222 2122212711211222112211211122122121212 21 1e 7 CHƯƠNG 2 GIỚI THIỆU PHẦN TÍCH RANSOMWARE VÀ TROJAN
2.1 Ransomware D110 khu D1111 01 1582112 xxx 1H ky " L1 20 111125 111k uy se, 8 2.1.1 Gidi thiéu Ransomwate ccc ccc ccccccccccceseccseeseseeeteeectetettteenseceseceuaentess 8 2.1.2 Phân tích về ransoImwafe -s- 2 11111 15111115111111121111111111111112111112111111 5112 xe 8
2.2.1 Khái niệm 5-1 21 1111121111211 11 1111121212221 2111221222122 re l6
2.2.2 Lịch sử ra đời và phát triển của 'TrOJañ 2 2 2201122111221 1 121 1121111222 17 2.2.3 Các vụ tấn công bằng Trojan nỗi tiếng 2 ©5212 E1921212117E2 112121222 19 2.2.4 Phân tích TroJan - L2 2 22122211121 1121 11121111811 15211 181111011 1182011111 21 2.3 Kết chương 2 1c 111110111111 11211 1111211111121 1121211112211 xe 25
CHUONG 3 TRIEN KHAI GIA LAP TAN CÔNG VÀ CÁCH PHÒNG CHÓNG
3.1 Triển khai giả lập tắn công 5 5c 1E 1 11211 1111111211212 2222221 re 26
3.1.1 Thiết bị 5c 21 2 22121121122122112121111221121212122221212122 1n 26 3.1.2 Tình huồng - 5-1 2E 21121121511211211111211 1211211222212 22 tra 26
3.2 Cách phòng chống kề HH kg, HH ng xi HH1 ng xxy dedeseeeeeseseeseseesesees 32
3.2.1 Trước khi bị tân công -5- 1 2 112111121111111211111111122111 121111212212 32 3.2.2 Sau khi bị tấn công c- 5 St s1 21211211111211111115 1121111212111 xe 34 3.3 Kết chương 3 á S1 911121511211 11 0111121111211 11 1 1211111111 2 1 1111211 re 40
Trang 8IV )00)0900).79 804 n, Ô
Trang 9DANH MUC VIET TAT
Distributed Denial of Service DDoS
Trang 10
DANH MỤC HÌNH ẢNH
Hình 1 Mã độc
Hình 2 Mã ban đầu Nhiễm giun đỏ
Hình 3 Mã Đỏ Nhiễm 19 giờ sau
Hình 4 Nhiễm SQL Slammer ban đầu
Hình 5 Lây nhiễm SQL Slammer 30 phút sau
Hình ó Code lây nhiễm Worms Code Red
Hình 7 Ransomware
Hình 8 Hacker tống tiền nạn nhân
Hình 9 Locker Ransomware
Hinh 10 Ransomware Crypto
Hình 11 Phương pháp Gn minh của Ransomware
Hình 30 Người dùng chạy file chứa mã độc
Hình 31 Lấy quyền admin
Hình 32 Kiểm tra quyền
Hinh 33 Chan defender
Hình 34 Thiết lập Trojan hoạt động cùng hệ thống
Hinh 44 Capsa Network Analyzer
Hình 45 Khôi phục từ bản sao lưu
Hình 4ó Đánh giá thiệt hại
Bảng 1 Phân loại Trojan
Trang 11CHUONG 1 TONG QUAN VE MA DOC 1.1 GIỚI THIỆU CHUNG
1.1.1 Mã độc
Phần mềm độc hại là mã hoặc phần mềm được thiết kế để gay hw hai, pha hoại, đánh cắp hoặc gây ra một số hành động 'xấu' hoặc bất hợp pháp khác đối với dữ liệu, máy chủ hoặc mạng
The primary vulnerabilities for end-user workstations are virus, worm, and Trojan Horse attacks
từ máy tính này sang máy tính khác, do đó lây nhiễm vào máy tính Một virus đơn giản
có thể tự cài đặt ở dòng mã đầu tiên trong tệp thực thi.Vi-rút có thể vô hại đối với những vi-rút hiển thị hình ảnh trên màn hình hoặc chúng có thể phá hoại Họ cũng có thể sửa đổi hoặc xóa các tập tin trên ô cứng Hầu hết vi-rút lây lan qua ô nhớ USB, CD, DVD, mang chia sẻ và email Virus email 1a một loại virus phổ biến
> Các vụ nôi tiếng liên quan đến Virus
- Melissa Virus(1999) la thanh quả của một lập trình viên người Mỹ tên David L Smith và được chứa trong một văn bản word đính kèm trong email Khi mở file đính kèm đó, virus sẽ không chỉ lây nhiễm cho hệ thông chủ mà còn tự động chuyền tiếp thư cho 50 người đầu tiên trong danh bạ của nạn nhân Kết quả là, loại virus đó lây lan nhanh đến nỗi vài nhà cung cấp email đã phải ngừng cung cấp dịch vụ đến khi khắc phục được hậu quả
Trang 12- ILOVEYOU (2000) cach thức hoạt động tương tự Melissa Virus
> Gần như khá ít vụ tấn công bằng virus theo kiểu nảy, 1 phần là do ý thức của người dùng Internet và cùng đã có các công nghệ quét và cảnh báo virus ngay trên trình duyệt
Ủy quyền Sử dụng máy tính của nạn nhân làm thiết bị nguồn để
khởi động các cuộc tấn công và thực hiện các hoạt động bất hợp pháp khác
FTP Cho phép dịch vụ truyền tệp trái phép trên thiết bị
cuol
Trình vô hiệu hóa phân mềm Ngăn chặn hoạt động của các chương trình chống vi-
Từ chối dịch vụ (DoS) Làm chậm hoặc tạm dừng hoạt động mạng
Keylogger Có gắng chủ động đánh cắp thông tin bí mật, chăng
hạn như số thẻ tín dụng, bằng cách phi lại các thao tác gõ phím được nhập vào biểu mẫu web
Bảng 1 Phân loại Trojan 1.1.2.3 Worms
Worms máy tính cũng tương tự như virus vì chúng tự nhân bản bằng cách khai thác các lỗ hồng trong mạng một cách độc lập Worm có thể làm chậm mạng khi chúng
2
Trang 13lây lan từ hệ thống này sang hệ thống khác Worms có thể chạy mà không cần chương trinh may chủ
Hình 3 Mã Đỏ Nhiễm 19 giờ sau
Sự lây nhiễm ban đầu của sâu SQL Slammer được gọi là sâu ăn Internet SQL Slammer là một cuộc tấn công từ chối địch vụ (DoS) khai thac lỗi tràn bộ đệm trong SQL Server cua Microsoft
Trang 15Womm là các chương trình độc lập tấn công hệ thống đề khai thác lỗ hông đã biết Sau khi khai thác thành công, sâu sẽ tự sao chép từ máy chủ tắn công sang hệ thống mới được khai thác và chu trình lại bắt đầu
@
— HS aac
domme ant fo
SỬ days
Hình 6 Code lây nhiễm Worms Code Red
Repeat the cycle
Cơ chế lan truyền này thường được triển khai theo cách khó phát hiện
> Lưu yý : Worm không bao giờ ngừng lây lan trên internet Sau khi được thả ra, sâu tiếp tục lây lan cho đến khi tat cả các nguồn lây nhiễm có thế được vá đúng cách 1.1.2.4 Ransomware
Ransomware là phần mềm độc hại từ chỗi quyền truy cập vào hệ thông máy tính
bị nhiễm hoặc dữ liệu của nó Ransomware thường xuyên sử dụng thuật toán mã hóa để
mã hóa các tệp và dữ liệu hệ thống.Email và quảng cáo độc hại, còn được gọi là quảng cáo độc hại „ là vectơ cho các chiến dịch ransomware
Ky thuật xã hội cũng được sử dụng khi tội phạm mạng ø1ả danh kỹ thuật viên bảo mật thực hiện các cuộc gọi ngẫu nhiên tại nhà và thuyết phục người dùng kết nối với trang web tải ransomware xuông máy tính của người dùng
Trang 16độc hại
Phân mêm hủ dọa Bao gồm phần mềm lừa đảo sử dụng kỹ thuật xã hội để gay sốc
hoặc gây lo lắng bằng cách tạo ra nhận thức về mối đe đọa Nó thường nhắm vảo người dùng không nghỉ ngờ và cố gắng thuyết phục người dùng lây nhiễm vào máy tính bằng cách thực hiện hành động để giải quyết mối đe dọa không có thật
Lừa đảo Có gắng thuyết phục mọi người tiết lộ thông tin nhạy cảm Ví dụ
bao gồm việc nhận được email từ ngân hàng yêu cầu người dùng tiết lộ tài khoản và số PIN của họ
Rootkit Được cài đặt trên một hệ thống bị xâm nhập Sau khi được cài đặt,
nó tiếp tục ân sự xâm nhập của mình và cung câp quyên truy cập đặc quyền cho tác nhân đe dọa
Phần mềm gián điệp có thể là trình giám sát hệ thống, ngựa
Trojan, phần mềm quảng cáo, cookie theo dõi và trình ghi nhật ky khóa
Phan mềm quảng
cáo
Hiển thị các cửa sô bật lên gây phiền nhiễu để tạo doanh thu cho
tác p1ả của nó Phần mềm độc hại có thể phân tích sở thích của người đùng bằng cách theo dõi các trang web đã truy cập Sau đó,
nó có thể gửi quảng cáo bật lên phù hợp với các trang web đó
Bảng 2 Các loại phần mềm độc hại khác
1.1.2.6 Hành vi phần mềm độc hại phô biến
Máy tính bị nhiễm phần mềm độc hại thường biểu hiện một hoặc nhiều triệu
chứng sau:
- Xuất hiện các tập tin, chương trình hoặc biểu tượng lạ trên màn hình
- _ Các chương trình chống vi-rút và tường lửa đang tắt hoặc định cầu hình lại cài đặt
- Man hinh may tinh bi treo hoac hệ thong bi treo
Trang 17Email được gửi một cách tự nhiên vào danh sách liên lạc của bạn mà bạn không
hề hay biết
Các tập tin đã được sửa đổi hoặc xóa
Tăng mức sử dụng CPU và/hoặc bộ nhớ
Sự cố khi kết nối với mạng
Tốc độ máy tính hoặc trình duyệt web chậm
Các tiến trình hoặc dịch vụ không xác định đang chạy
Công TCP hoặc UDP không xác định mở
Kết nối được thực hiện với các máy chủ trên Internet mà không cần thao tác của người dùng
Hành vị kỳ lạ của máy tính
Lưu ý: Hành vi của phần mềm độc hại không giới hạn ở danh sách trên
KET CHUONG 1
Với những kiến thức trong quá trình học tập và các kiến thức, dữ liệu trên Chúng
em sẽ đên với chương 2 giới thiệu và phân tích kĩ càng hơn về Trojan
Trang 18CHUONG 2 GIOI THIEU PHAN TICH TROJAN
2.1 Trojan
2.1.1 Khái niệm
Trojan được mọi neười người biết đến như một loại mã hay 1 phần mềm độc hại được ấn dưới 1 lớp vỏ các phần mềm được cho là hợp pháp, an toàn Loại mã nảy được thiết ké dé lam hỏng, phá hoạt, có thể đánh cắp thông tin, gây ra một số hành động có hại lên dữ liệu hoặc mạng của thiết bị
Hình 7 Trojan Không giống với những loại virus khác, loại mã này không tự sao chép thông qua cách lây nhiễm lên các tệp hoặc máy tính khác Nó sẽ tồn tại bằng cách lặng lẽ không gây chú ý, có thể ngồi im trong máy tính của người dùng, thu thập các thông tin, thiết lập ra những lỗ hông trong hệ thống bảo mật máy vả chiếm lay thiết bị của bạn 2.1.2 Lịch sử ra đời và phát triển của Trojan
ANIMAL được thiết kế tính năng tự động sao chép Với tính năng này thì game ANIMAL sẽ có thể tự sao chép vào các thư mục được chia sẻ ở trong mạng nội bộ thiết
bị Nhờ vậy, tựa game da có thể lan rộng trên toàn bộ hệ thống
nữa Đến thang 12 nam 1989 thi AIDS Trojan là một loại mã độc tong tiền đã xuất
8
Trang 19hiện, còn được gọi là Ransomware đầu tiên được oui đến các số thuê bao của tạp chí
PC Business Word Đến cả những danh bạ trong hội nghị vé AIDS thuộc tổ chức Y tế
Thế giới
Hình 8 Lịch sử ra đời và phát triển của Trojan
Để có thé giải mã được những đoạn dư xlieue) này thì nạn nhân sẽ phải gửi 189 USD đến một hòm thư ở Panama Tại thời điểm những năm 2000 thì các cuộc tấn công
từ loại mã này đã được phát triên mạnh và ngày cảng tính vi hơn rất nhiều Điền hình là loại mã độc ILOVEYOU trong vụ tấn công của mã Trojan có sức tàn phá lớn nhất từ trước đên g!ờ
Hinh 9 ILOVEYOU
Trang 20Ở thời điểm đó thì thiệt hại được ước tính lên đến 8.7 tỷ USD Cuộc tấn công này
đã được lan truyền ở dạng hình thức email với chủ dé ILOVEYOU va di kèm theo ở một dạng tệp là LOVE-LETTER-FOR-YOU.txt.vbs Sau khi người dùng mở file nay thì nó sẽ tự động gửi đến mọi người số địa chỉ Outlook, khiến nó thành một trong những loại virus có tốc độ lây lan nhanh nhất tại thời điểm lúc bấy ĐIỜ
2.1.3 Các vụ tấn công bằng Trojan nỗi tiếng
Trojan Horse ban quyền Zeus (Zbot): Zeus là một Trojan nổi tiếng được sử dụng
dé đánh cắp thông tin tai chính từ máy tính của nạn nhân Nó đã gây ra nhiều thiệt hại tài chính lớn trên khắp thé giới
Trojan Stuxnet: Stuxnet là một Trojan độc đáo được phát hiện vào năm 2010 và được tin là đã được phát triển bởi các tổ chức tình báo quốc gia Nó đã tấn công các hệ thống kiểm soát công nghiệp của lIran và gây ra sự cô nghiêm trọng tại nhà máy hạt nhân Natanz
Hình 10 Trojan Stuxnet Trojan WannaCry: WannaCry là một Trojan ransomware nôi tiếng mà vào năm
2017 đã lan tràn trên toàn cầu Nó đã mã hóa dữ liệu trên hàng ngàn máy tính và yêu cầu mức tiền chuộc đề giải mã dữ liệu
Trojan Conficker: Conficker là một TroJan được phát hiện vào năm 2008 và đã lây lan rộng rãi Nó thường được sử dụng để tạo ra một mạng botnet mạnh mẽ và đã sây ra nhiêu vân đề bảo mật lớn
10
Trang 21Trojan Emotet: Emotet la m6t Trojan ma vào những năm gần đây đã trở thành một trone các mối đe dọa bảo mật mạng phô biến Nó thường được sử dụng đề phân tán các loại mã độc khác nhau, bao gồm cac ransomware
Ilkegal use of/regisre Unknown commana Illegal use of/registe S10S D10RD P
TEST 00BF 230009009 Ue
EB E9
zB 99
25 :09396038 ND 4:8X ¿
0996698 78 0D 9⁄1 662D 66256636 ADD