Bài báo cáo Đề tài tìm hiểu về mã Độc rootkit

Khai niém Rootkit Rootkit 1a phan mềm hoặc một tập hợp các công cụ phần mềm che giấu sự tồn tai của phần mềm khác, thường là vi-rút, xâm nhập vào hệ thông máy tính.. Thuật ngữ "rootkit"

TRUONG DAI HQC CONG NGHIEP THANH PHO HO CHI MINH

KHOA: CONG NGHE THONG TIN _—_ _—

YtC—><—<=r¬

BAI BAO CAO

DE TAI: TIM HIEU VE MA DOC ROOTKIT

i

Giáo viên hướng dẫn : Nguyễn Thị Hạnh

Sinh viên thực hiện : Nhóm 6

Lớp : DHQT16A

Môn học : An toàn thong tin

=> | TP Hồ Chí Minh, tháng 01 năm 2022 <

DANH SACH THANH VIEN NHOM

4_ | Nguyễn Thị Mai Linh 20033871

BANG PHAN CONG CONG VIEC

Tìm hiểu

1 Nguyễn Mạnh Cường - Lịch sử hình thành mã độc

RooKits Tông hợp nội dung Tìm hiểu

hoại

Tông hợp nội dung Tìm hiểu

3 Lê Thi Hiề Hoặc là những vấn đề mà

cm an bạn cảm thấy thích thú về

RooKits Tim hiéu

hay nhat va m6 ta vé no Tim hiéu „

- Cách nhận biết một hệ

5 Dương Thị Lệ Quân thống máy nh bị nhiễm - Cách phòng chống mã độc

RooKtts

BANG TU DANH GIA MỨC ĐỘ HOÀN THÀNH CÔNG VIỆC CUA CAC

THANH VIEN TRONG NHOM

Thang diém A,B,C,D

Nguyễn Thị Mai Linh B B A X A

LOI NOI DAU

Hiện nay, trong thị trường Việt Nam, ý thức và khái niệm về việc bảo mật thông tin đang còn đang rất sơ khai và mới mẻ Có rất nhiều người đang không quan tâm

và không có ý thức về tầm quan trọng của vấn để bảo mật thông tin cá nhân, tạo điều kiện cho các tổ chức và cá nhân đánh cắp thông tin và sử dụng thông tin cá nhân của các cá thê vào nhiều mục đích khác nhau đề chuộc lợi Hậu quả nhẹ thì sẽ

bị spam điện thoại hoặc email cho các mục đích buôn bán, môi giới; trung thì sẽ là ở việc bị đánh cắp các tải khoản mạng xã hội như là Facebook, Instagram ; nang chính là ở việc thông tin cá nhân đó sẽ bị làm giả dé phục vụ cho các mục đích phi

pháp mà người bị hại còn không hay biết

Các hackers đã lợi dụng các lỗ hồng bảo mật ,sử dụng VIrus, IroJan,Worms dé phá hoại và đánh cắp thông tin.Điều cực kì nguy hiểm là chúng ngày cảng tín ví và khó phát hiện do hackers đã sử dụng một số biện pháp che dấu các hoạt động trong

hệ thống và xóa bỏ dấu vết truy cập ngày càng tính ví Một trong số đó chính là sử dụng mã độc Rootkit

Do thời gian không nhiều và tài liệu về rootkit khá khan hiếm, nhóm chúng em

đã có gắng tìm hiểu nhiều nhất có thế và nếu có xảy ra sai xót trong bải làm mong

cô và các bạn có thê bỏ qua hoặc đóng góp ý kiến để nhóm chúng em hoàn thiện hơn

Nhóm em xin chân thành cảm ơn Ì

Mục Lục

09096) 0 ố.ố ` 4 CHUONG I: TỎNG QUAN VẺ ROOTKIT, 55 2222221 tt 112kg 6

1.2, Lịch sử hình thành mã độc RootkÏt - 0 212211212 1011221111111 11110218111 8c ray 6

CHUONG II: NGUYÊN LÍ HOẠT ĐỘNG VÀ PHÁ HOẠI 5c Scnstrre 7

2.1 Nguyên lí hoạt động và phá hoại 1 2s H1 1 12111 rệt 7 2.2 Tấn công của Rootkit trong User mode Rootkit 5 ST Hye 9

CHƯƠNG 3: PHÁT HIỆN ROOTKTT -2 2 S2 SE E1E112211 21112112121 11g nai 10

3.1 Phương pháp phát hiện và nhận biết Rootkit 2 5 2H Hye 10 3.2 Cách phòng chống mã độc RooKifs - 5 S2 SH HH 2111k 10 3.3 Hoặc là những vấn đề mà bạn cảm thấy thích thú về RooKits - 5 ¿ 12

CHƯƠNG TV: KẾT LUẬN - 55 c2 Ự H12 H521 2H11 ng re 13 TÀI LIỆU THAM KHẢO - 52-5 2S 1 11121122111 T221 1121121 te 14

CHUONG I: TONG QUAN VE ROOTKIT

1.1 Khai niém Rootkit

Rootkit 1a phan mềm hoặc một tập hợp các công cụ phần mềm che giấu sự tồn tai của phần mềm khác, thường là vi-rút, xâm nhập vào hệ thông máy tính Tin tặc thường sử dụng rootkit sau khi chiếm được quyền truy cập vào hệ thông máy tính Chúng ân dữ liệu hệ thong, tệp hoặc các quy trình đang chạy mà từ đó tin tặc có thé

vô tỉnh xâm nhập vào hệ thống máy tính Máy tính đã cài đặt bộ rootktt được gọi bị

“chiếm quyền root”[1] Thuật ngữ "rootkit" ban đầu được sử dụng cho các hệ thống

sử dụng bộ công cụ UnIx, có thể ấn hoàn toàn dấu vết của những kẻ xâm nhập các lệnh "ps", "netstat", "w" và "passwd" cho mục đích kiêm tra, cho phép kẻ tấn công

"root" có thé được giữ lại Quyên truy cập trên hệ thống ngay cả khi người quản trị

hệ thống không thể nhìn thấy chúng Ngày nay thuật ngữ này cũng được sử dụng cho Microsoft Windows khi các công cụ tương tự xuất hiện

1.2, Lịch sw hinh thanh ma doc Rootkit

Ky thuat Rootkit thực ra không phải là mới Nó đã tồn tại gần mudi may năm Dau tiên được phát triển trên hệ điều hành Unix-like (Solaris và Linux) và sau đó là trên Windows Rootkit đầu tiên được công khai dựa trên Windows là vào năm 1999 bởi Greg Hoglund-một chuyên gia về bảo mật và người lập trình website rootkit.com Thuật ngữ rootkit bắt nguồn từ root-mức truy nhập cao nhất vào hệ thống, có quyền admin và từ kit-một tập các công cụ đề che giấu và chiếm quyền.[1 ]

Việc phát hiện Sony Rootkit (rootkit quản lý bản quyền số) với Mark Rusonovich của Sysinternal da khién rootkit duoc quan tâm một cách đặc biệt và nhiều người đã bắt đầu tìm hiểu hoạt của nó Cho tới sự kiện đó, rootkit chỉ là một cái gi đó khêu gợi sự tò mò hơn là một hiểm họa cận kề Sự kiện Sony Rootkit xay ra ngay 31/10/2005 đã đưa ra rootkit thanh trung tâm chú ý Nó cũng chứng to, hang da nghiên cứu và phát triển kỹ thuật rootkit qui củ Sau sự kiện này, Sony đã phải tiến hành gỡ bỏ rootkit trên các đĩa CD và tốn khoản bồi thường không ít

Sự kiện này được cho là trước sau gì cũng xảy ra, khi mà các nhà cung cấp bảo mật đưa ra nhiều biện pháp để chống lại các kiểu nguy cơ có thé, thì những những người tạo ra malware cũng sẽ tương ứng đáp lạo bằng các kỹ thuật ăn cắp và tỉnh ranh

hon Bang cach str dung rootkit và khả năng lén lút của nó, những hacker máy tính

đã tìm ra cách mới và hiệu quả đề tấn công Các chương trình che giấu và rootkit cho thây một nguy cơ cận kề về an ninh mạng Thực tế ngày 6/12/2005 tạp chí eweek đã công bố rằng có tới 20% malware bị phát hiện trên Windows XP SP2 là cac rootkit trong sé malware la 14%, trong khi tai thoi diém cua su kién Sony Rootkit con s6 dé 1a 8%

CHƯƠNG II: NGUYÊN Li HOAT DONG VA PHA HOAI

2.1 Nguyên lí hoạt động và phá hoại

Mã độc Rootkit thường được dùng đề che dấu các công cụ chạy bất chính trên hệ thông bị xâm nhập Chúng thường gồm các “cửa sau” để giúp kẻ xâm nhập truy cập vào hệ thống dễ đàng hơn ở lần sau Thí dụ như rootkit có thể che dấu một ứng dụng tạo ra một shell khi kẻ tấn công, kết nối với một cổng mạng cụ thể trên hệ thông Mã độc Rootkit nhân cũng có thể có chức năng tương tự Cửa sau cũng cho phép các tiến trình từ người dùng thông thường thi hành các chức năng dành riêng cho siêu người dùng Mã độc Rootkit cũng có thể che dấu mọi loại công cụ khác có thê dùng để xâm phạm hệ thống Điều này bao gồm các công cụ dùng đề tấn công thêm vào các hệ thống máy tính có kết nối với hệ thống bị xâm nhập như là công cụ bắt gói tin (packet sniffer) va chuong trinh ghi thao tac ban phim (keylogger) Mét cách xâm phạm phô biến là dùng hệ thống bị chiếm quyền làm bàn đạp cho xâm pham tiếp theo Điều này được thực hiện bằng cách làm cho một xâm phạm có vẻ xuất phát từ mạng hay hệ thống bị chiếm thay vì từ kẻ tấn công Các công cụ này bao gồm công cụ tân công từ chối dịch vụ, công cụ chuyền tiếp phiên chat và các tấn công spam email Ngoài ra, rootkit cũng hay được dùng cho mục đích bảo vệ bản quyền

Rootkit tạo đường truy nhập cho kẻ xâm nhập trở lại, việc này được thực hiện bằng cách cài đặt một cửa hậu (backdoor — một phương pháp ân cho việc lấy quyền truy nhập máy tính) Cửa hậu này có thể là một daemon truy nhập từ xa, chẳng hạn một phiên bản đã được sửa chữa của telnetd hoặc sshd, được cầu hình để chạy trên một cổng không phải công mặc định mà các daemon này thường nghe (daemon là một

loại chương trình chạy ngầm, đợi được kích hoạt bởi một điều kiện hoặc một sự kiện cụ thé, daemon không chịu sự kiểm soát trực tiếp của người dùng).[2] Một rootkit được thiết kế tốt sẽ có khả năng che dấu hoặc xóa bỏ bất cứ dấu vết nào của việc nó được đưa vào máy tính, sự tồn tại và hoạt động của nó

Ví dụ: Nó có thê sửa nhật trình (log) hệ thống đề không ghi hoặc xóa bỏ tất cả các thông tin liên quan đến việc nó được đưa vào máy, thông tin về các lần truy nhập tiếp theo của kẻ xâm nhập, và thông tin về các tiến trình (các chương trình được thực thi) ma rootkit chạy Những kẻ xâm nhập không lành nghề có thể chỉ xóa hoặc tây trắng các nhật trình, hiện tượng này có thê là đầu mối cho thấy có chuyện bat thường

Trong trường hợp điển hình, rootkit che dấu đăng nhập, tiến trình, tập tin va log va

có thê bao gồm phần mềm đánh cắp dữ liệu từ trạm cuối (terminal), các nối kết mạng và bản phím máy tính Trong nhiều trường hợp rootkit được xem là ngựa trojan Cửa sau cũng cho phép các tiến trình từ người dùng thông thường thi hành các chức năng dành riêng cho siêu người dùng Rootkit cũng có thể che dấu mọi loại công cụ khác có thê dùng đề xâm phạm hệ thống Điều này bao gồm các công

cụ dùng để tấn công thêm vào các hệ thông máy tính có kết nối với hệ thông bị xâm nhập như là công cụ bắt gói tin (packet sniffer) và chương trình ghi tác vụ bàn phím (keylopger) Một cách xâm phạm phô biến là dùng hệ thống bị chiếm làm bàn đạp cho xâm nhập tiếp theo Điều này được thực hiện bằng cách làm cho một vụ xâm nhập có vẻ như xuất phát từ mạng hay hệ thông bị chiếm thay vì từ kẻ tấn công Các công cụ này bao gồm công cụ tấn công từ chối dịch vụ (DOS), công cụ chuyền tiếp phiên chat và các tấn công spam email [2]

Nói một cách đơn giản, một số thứ trong PC cua ban bị chặn đều là do rootkit Điều này có nghĩa là sau khi một rootkit được cài đặt, bạn sẽ không thể tin tưởng được bất kỳ thông tin nào mà PC của bạn báo cáo

Vị dụ: Gần đây cho việc rootkit được sử dụng trên CD thương mại dung dé quan ly quyền kỹ thuật số là cuộc tranh luận chỗng sao chép CD Sony 2005

Ví dụ: nếu bạn yêu cầu PC của mình liệt kê tất cả các chương trình đang khởi

chạy, rootkit có thé lén lút xóa bất kỳ chương trình nào mà nó không muốn cho bạn

biết Nói cách khác, rootkit che giấu đi tất cả mọi thứ Chúng ấn mình trên máy tính của bạn và cũng ân hoạt động độc hại trên PC của bạn

Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần mềm

gián diép, trojan thi lai nguy hiêm hơn rất nhiễu

2.2 Tấn công của Rootkit trong User mode Rootkit

Có nhiều loại RootKits có khả năng phá hoại hay nhưng hay nhất phải đề cập đến Rootkit hoạt động dưới chế độ người dùng (User Mode RootkIt)

User mode rootkit, đôi khi được gọi là rootkit ứng dụng, thực thi theo cách giống như các chương trình người dùng thông thường User mode rootkit có thê được khởi tạo trong quá trình khởi động hệ thống giống như bất kỳ chương trình bình thường nào khác, hoặc chúng có thể được đưa vảo hệ thống thông qua ống nhỏ giọt (một chương trình được thiết kế để cài đặt một số loại vi-rút nhất định trên hệ thông mà

hệ thống muốn lây nhiễm) Phương pháp phụ thuộc vảo hệ điều hành Ví du, rootkit của Windows thường tập trung vào việc kiểm soát chức năng cơ bản của Windows DLL, nhưng trên hệ thống Unix, toàn bộ ứng dụng có thể được thay thế hoàn toàn bang Rootkit.[3]

Rootkit thuộc loại này sẽ chạy ở cấp độ người dùng trong hệ điều hành Phải nói rằng, trong khi các rootkit trước đây đã giúp những ké tấn công kiểm soát mục tiêu của chúng bằng cách cung cấp quyền truy cập backdoor, thì các rootkit người dùng

có xu hướng ân mình bằng cách thay đôi các ứng dụng quan trọng ở cấp độ người dùng, chắng hạn như cung cấp quyền truy cập cửa hậu của người dùng vào Linux và Windows

Linux User Mode Rootkit

Hiện tại có một số Rootkit hoạt động dưới chế độ người dùng, cụ thể như sau:

Đề có quyền truy cập từ xa vào máy, các dịch vụ (services) đăng nhập như "login, Sshd, va inetd", v.v., tat cả đều được sửa đổi bằng cách bao gồm backdoor password (mật khâu cửa hậu) Ké tấn công chỉ cần truy cập các dịch vụ nảy và cung cấp mật khâu cửa hậu để có quyền truy cập root ngay lập tức Lưu ý rằng, kẻ tấn công đã

khai thác hệ thống bằng cách thay đối các dịch vụ hợp pháp bằng các dịch vụ độc hại và với kỹ thuật này, nó chỉ kết nối lại để có quyền truy cập root

Một cách khác dé dat đến cấp độ này là thực hiện cuộc tấn công leo thang đặc quyền Kẻ tan công sửa đổi các lệnh như "chsh,„ su su " qua mật khẩu theo cách

mà kẻ tấn công sử dụng các lệnh này với backdoor password, kẻ tắn công sẽ ngay lập tức được nâng lên quyên root

CHƯƠNG 3: PHÁT HIỆN ROOTKIT

3.1 Phương pháp phát hiện và nhận biết Rootkit

Máy tính xuất hiện các dấu hiệu bất thường khi sử dụng là các dấu hiệu đầu tiên chúng ta cần quan tâm Các chuyện bất thường có nguy cơ cao:

® Máy tính đang sử dụng bị chậm, các tác vụ và ứng dụng không hoạt động binh thường

® - Có chương trình lạ bật các thông báo, tự động bật, tự động tắt

® - Máy tính tự động khởi động lại, màn hình, Webcam tự dưng bat sang

e Chuột tự động điều khiến như có người đang sử dụng máy tính

e© Trình duyệt xuất hiện các plugin lạ, thường xuyên bật quảng cáo không

mong muốn

Trên các thiết bị di động, dấu hiệu nhận biết cũng rõ ràng và dễ phát hiện

e = Thiét bị nhanh nóng hơn khi sử dụng, nhanh hết pin

e - Thiết bị thiếu dung lượng lưu trữ, lưu lượng mạng sử dụng tăng cao

® - Thường xuyên bật các pop-up quảng cáo

® Xuất hiện các ứng dụng lạ được cài đặt

©_ Thiết bị hoạt động như bị điều khiển bởi con người: Màn hình tự động sáng,

tự động bật/tắt các ứng dụng

3.2 Cách phòng chống mã độc RooKits

Trước hết cần nhận thức một cách rõ ràng rằng phòng tránh mã độc và ngăn chặn

mã độc không chỉ dựa vào các phần mềm diệt virus mà còn liên quan tới cả nhận thức của người dùng Một cách tông quan nhất, việc phòng tránh mã độc và ngăn

10