Đồ án an toàn mạng và bảo mật mạng kỹ thuật tấn công mạng

IDLE Scan:Kỹ thuật mà nhà nghiên cứu Antirez phát hiện qua sử dụng cơ chế TCP mớikĩ thuật scan những port mà các kĩ thuật khác khó xác định trạng thái, Hacker cóthể scan mục tiêu mà khôn

- là 1 trong 3 yếu tố cần thiết trước khi thực hiện 1 cuộc tấn công.

- kết quả sau khi thực hiện footprinting là thông tin khá chi tiết và cụ thể về đối tượng Có nhiềumôi trường để thu thập thông tin như: internet, intranet, extranet, wireless và cả những hệ thốngphức tạp khác

Mỗi một môi trường có những điểm mà ta cần khai thác

Các phương pháp thu thập thông tin:

- Unearth initial information

- Locate the network range

- Ascertain active machines

- Discover open ports/access ports

- Detect operating systems

- Uncover services on ports

- Map the network.

ở đây, ta tìm hiểu 2 phương pháp thu thập thông tin liên quan đến footprinting là Unearth initial

information và Locate the network range.

Unearth initial information: thu thập, tìm kiếm những thông tin gốc của đối tượng, từ đó

khoanh vùng cần tìm kiếm Những thông tin thường là:

+ tìm kiếm tên miền

+ vị trí

+ thông tin liên lạc: mail, điện thoại

Open source Footprinting là cách dễ nhất và an toàn nhất để tìm kiếm thông tin về một đốitượng Thông tin mang tính phổ biến, sẵn có như địa chỉ, số điện thoại Thực hiện câu truy vấnwhois, tìm kiếm thông qua các DNS table là những dạng khác nhau của open source footprinting.Hầu hết những thông tin này thì có thể dễ dàng lấy được và hợp pháp Một cách dễ dàng để kiểmtra thông tin nhanh và chính xác là kiểm tra HTML source code của website để tìm kiếm các liênkết, các comment,

Việc gõ tên công ty vào bất kỳ cỗ máy tìm kiếm nào có thể lấy được domain name của nó Loạithông tin sẵn có từ các nguồn mở bao gồm các thông tin thông thường về mục tiêu, thông tinnhân viên, thông tin kinh doanh, thông tin từ các nhóm thông tin như thông tin về hệ thống, cácđường link đến website của công ty hay website cá nhân và HTML source code

Attacker có thể tìm kiếm domain name với một whois client cũng như sử dụng Nslookup

Whois:

Có một vài whois lookup clients trên mạng và một số có thể cung cấp nhiều thông tin hơn so vớiwhois lookup chuẩn, giống như hình dưới đây Việc truy vấn whois này cung cấp thêm một sốthông tin như loại server(server type), số lượng các danh sách DMOZ(DMOZ listing), trạng tháiwebsite, có bao nhiêu website mà web server này làm host Nó cũng nêu ra tùy chọn cho việcgiám sát cho từng site cụ thể

Một số whois clients cũng cung cấp kiểu truy vấn ngược Ở đây, biết địa chỉ IP có thể tìm ngượctrở lại domain của nó Nguồn tài nguyên chính xác cho các database của whois là:

Có 4 RIR, mỗi cái duy trì database của whois nắm giữ chi tiết việc đăng ký địa chỉ IP trong cáckhu vực của nó

Vì những lý do lịch sử, whois database ARIN thường là điểm khởi đầu của quá trình tìm kiếm.Nếu một địa chỉ nằm ngoài vùng của ARIN thì nó sẽ cung cấp một tham chiếu đến APNIC hayRIPE NCC

Tools:

Có một vài tool cho quá trình whois lookup Một trong số đó là Sam Spade(www.samspade.org).SmartWhois(www.tamos.com)Netscan(www.netscantools.com)

Một vài hệ điều hành cung cấp đặc tính whois Để thực hiện câu truy vấn tại command line,

format là: whois –h hostname identifier

Ví dụ: whois –h whois.arin.net<query string>

Để có được nhiều phản hồi cụ thể hơn, câu truy vấn có thể sử dụng các cờ Nhiều loại cờ có thểđược thiết lập cùng với nhau để quyết định một đầu ra cụ thể

Nslookup:

- Nslookup là một chương trình dùng để truy vấn domain name server Hiển thị thông tin

có thể được dùng để chẩn đoán cấu trúc của DNS

- Giúp tìm kiếm thêm địa chỉ IP nếu DNS biết được whois

- Bản ghi MX cho biết địa chỉ IP của mail server

Nslookup là công cụ có giá trị để truy vấn thông tin DNS cho quá trình phân giải tên miền

Nó được đóng gói với cả UNIX và Windows và có thể truy xuất bằng dòng lệnh Khinslookup chạy, nó chỉ ra hostname và địa chỉ IP của DNS server được cấu hình cho localsystem, và sau đó hiển thị dấu nhắc cho câu lệnh tiếp theo Đây là chế độ mang tính tươngtác Chế độ mang tính tương tác cho phép người dùng truy vấn name server thông tin về cáchost và domain hay để in danh sách các host trong domain

Khi một địa chỉ IP hay hostname được nối thêm vào câu truy vấn nslookup, nó hành độngtrong chế độ passive Ở chế độ không tương tác chỉ được dùng để in tên và thông tin đượcyêu cầu cho một host hay domain

Phương pháp tấn công:

Nslookup cho phép một máy cục bộ tập trung vào một DNS khác với DNS mặc định bằngviệc sử dụng câu lệnh server Bằng việc gõ câu lệnh ‘server’<name> (với <name> làhostname của server mà bạn muốn sử dụng cho việc lookup trong tương lai) hệ thống sẽ tậptrung vào DNS domain mới Zone transer có thể được thực hiện nếu security không chặt chẽ,

và tất cả thông tin được cập nhật từ DNS chính

Locate the network range:

Bao gồm:

- Tìm range của các địa chỉ IP

- Xác định subnetmask

Nguổn tài nguyên thông tin:

- ARIN(American Registry of Internet Numbers)

Thông tin có thể hữu ích cho attacker là các địa chỉ ip private

Nếu các DNS server không được cài đặt một cách chính xác, attacker có cơ hội có đượcdanh sách các máy cục bộ Đôi khi nếu một attacker thực hiện traceroute đến một máynào đó, anh ta cũng có thể có được địa chỉ IP của gateway cục bộ

Kết quả của whois cho google.com Câu truy vấn đưa đến kết quả là địa chỉ thật củagoogle, network range, ngày đăng ký/cập nhật các thông tin kết nối.

Phương pháp tấn công:

Từ câu truy vấn nslookup, một attacker có thể tìm thấy tên name server, mail exchangeserver và chúng thuộc lớp nào Mail exchange server cũng có thể được chuyển sang cácđịa chỉ IP Hơn nữa anh ta có thể liệt kê mạng bằng việc thực hiện câu truy vấn IP ngược.Trong trường hợp này, ta tìm kiếm 216.239.33.25 là địa chỉ IP của smtp1.google.com

- Traceroute khai thác một đặc tính của Internet protocol là Time To Live(TTL)

- Traceroute khám phá đường đi của các gói tin IP di chuyển giữa 2 hệ thống bằng việc gửiliên tiếp các gói tin UDP với trường TTL tăng liên tục

- Khi mỗi router thực thi một gói tin IP, nó giảm trường TTL xuống 1 Khi trường TTLbằng 0, nó gửi một thông điệp “TTL exceeded” bằng việc sử dụng gói tin ICMP trở vềnơi gửi

- Router với các DNS entry sẽ xác định được tên các router, vị trí và mối quan hệ

Mục đích của việc thu thập thông tin mà cụ thể ở đây là footprinting, là các thông tin này, cảhacker và quản trị hệ thống có thể thu thập theo cách không cần phải thâm nhập Tất cả cácphương pháp được đề cập đều mang tính thụ động và không bị phát hiện bởi đối tượng(ngoại trừtraceroute) Những thông tin được thu thập trong suốt quá trình này sẽ được dùng liên tục trongsuốt quá trình thâm nhập

Thực hiện footprinting đối với các tổ chức có thể giúp người quản trị hệ thống biết được loạithông tin nào nằm bên ngoài hệ thống, các luồng tiềm ẩn có thể pose vào tổ chức Anh ta có thểthực hiện việc đo lường mang tính phòng ngừa để thấy rằng những thứ này không được dùngnhư là một phương tiện để khai thác và nâng cao nhận thức của user về việc sử dụng tài sảnthông tin

Thực hiện kết nối với 1 port, sau khi “thử” thì xác định chương trình gì đang sử dụng port đóThông thường dựa trên các port thông dụng

- Network Scanning : Dò quét những host nào hoạt động trong mạng

- Vulnerability Scanning : Dò quét các lỗ hỏng bảo mật trên từng các ứng dụng chạy trên máyđích

Các bước scanning:

1 Checking for Live Systems-ICMP Scanning

Kiểm tra máy đích còn hoạt động trên mạng bằng giao thức ICMP (ping)

2 Checking for open ports

Kiểm tra các port đang mở trên máy đích, hacker sẽ kết nối với các port đó, phân tích xácđịnh ứng dụng đang chạy trên hệ thống đích Đối với giao thức TCP, sẽ có các kỹ thuậtscan như sau:

a TCP connect:

Đây là kiểu kết nối TCp cơ bản, quá trình này phải qua 3 bước hay còn gọi là Three Way Handshake

Bước 1: Hacker gửi gói tin TCP yêu cầu kết nối có cờ được đặt là SYN

Bước 2: Hacker nhận được gói tin trả lời của máy đích với cờ là SYN và ACK

Bước 3: Hacker gửi gói tin trả lời với cò là ACK tới máy đích

Kết quả: kết nối giữa Hacker và máy đích thành công

Tại bước 3: Gói tin thay vì RST thì nó sẽ được đặt là RST, khi đó port ở máy đích sẽvào trạng thái đóng Như vậy hacker sẽ gửi gói tin RST để kết thúc quá trình khởi tạotrước khi một kết nối được thiết lập.

c Xmas Scan :

Kỹ thuật kiểm tra giao thức TCP bằng cách gửi các gói "Xmas Tree " đến máy đích,nếu port mở thì sẽ không có sự phản hồi, nhưng nếu port đóng thì sẽ có sự phản hồi.Mục đích: Xmas Scan chỉ làm việc trong môi trường Windows và nó xác định port nào trên máyđích đang được đóng

d FIN Scan :

Kỹ thuật giống như kiểu Xmas Scan, nhưng ở đây các gói FIN sẽ được gửi đi, nếu port

mở thì sẽ không có sự phản hồi,và ngược lại nếu có sự trả lời bằng gói RST/ACK thìport đó ở trạng thái đóng

Mục đích: Fin Scan chỉ làm việc trong môi trường Windows và nó xác định portnào trên máy đích đang được đóng

e NULL Scan :

Kỹ thuật ương tự Xmas Tree Scan, nhưng gói tin gửi đi sẽ không đặt cờ nào, và nhậnđược gói tin có cờ SYN và ACK

f IDLE Scan:

Kỹ thuật mà nhà nghiên cứu Antirez phát hiện qua sử dụng cơ chế TCP mới

kĩ thuật scan những port mà các kĩ thuật khác khó xác định trạng thái, Hacker cóthể scan mục tiêu mà không cần gửi gói tin có IP của mình (Hacker ẩn IP tránh bịpahst hiện)

cụ thể:

- Đa số các dich vụ đều lắng nghe ở các port TCP phổ biến: web server : 80, FTP: 21

- Nếu port ở trạng thái listening có nghĩa là nó mở, ngược lại là nó đóng

- Kiểm tra port đóng hay mở bằng cách gửi gói tin SYN, máy đích sẽ phản hồiSYN+ACK nếu nó mở và RST nếu nó đóng

- Mỗi gói tin IP tren mạng đều có ID gọi là IPID

- Một số hệ thống tăng số IPID mỗi làn gửi

- Số IPID này sẽ cho Hacker biết có bao nhiêu gói tin IP đã gửi đi

B1: Hacker chọn 1 "Zombie " và gửi gói tin SYN/ACK đến Zombie đó và xem thử

IPID là bao nhiêu

B2: Hacker gửi gói tin SYN tới máy đích với IP giả mao là của Zombie

- Nếu máy đích gửi cho Zombielà RST có nghĩa port đóng, Zombie sẽ không gửitiếp gói nào nữa

- Hacker tiếp tục gửi gói tin SYN/ACK đến Zombie đó và xem thử IPID Giờ là

bao nhiêu nếu số này tăng lên có nghĩa port máy đích này đang mở

g FTP Bounce Scan:

Kỹ thuật sử dụng FTP server trung gian để tấn công FTP server đích

Chuẩn bị tập tin: instrs

quote "retr instrs"

3 Banner Grabbing/OS Fingerprinting

Xác định dịch vụ và phiên bản tương ứng

Với kết quả mà hacker có được từ việc scan port giúp hacker xác định những dịch vụ nàođang chạy trên máy chủ.Việc nayf rất quan trọng, lúc này hacker đã tiếp cận dần hơn vớimáy chủ Hacker thực hiện một kết nối đến dịch vụ trên port mà nó sử dụng Ví dụ nhưFTP (21), SSH (22), Telnet (23), SMTP (25) …

Ví dụ thông thường nhất: telnet đến dịch vụ với cổng mà mình cần kiểm tra để xác địnhbanner của nó

Câu lệnh khi thực hiện telnet cổng 80

OS Fingerprinting: Xác định hệ điều hành máy đích, phiển bản, …

Có 2 kiểu OS fingerprinting

Active stack fingerprinting: dựa vào hệ điều hành khởi tạo TCP khác nhau để xác định

hệ điều hành đó là gì, phương thức gửi những gói tin tới máy đích và phân tích các gói tintrả lời

Passive fingerprinting : không trực tiếp scan hệ thống để lấy thông tin về hệ điều hành

mà nó sử dụng kỹ thuật sniffing thay vì kỹ thuật scanning Phương pháp này thì ít chínhxác hơn là active stack fingerprinting

4 Scan for Vulnerable

Sau khi hacker đã xác định được OS và ứng dụng, sẽ tiến hành quét các lỗi của OS hayứng dụng đó, thông thường các tool lưu các lỗi bảo mật của các ứng dụng từ trước tới nayvào database của mình, sau đó tiens hành dò quét các lỗi đó và tấn công.

Tool: nesus, netcat

5 Draw Network Diagram of Vulnerable host

Vẽ ra mô hình mạng đích, phục vụ cho việc tấn công

6 Prepare Proxies

Proxy là một Internet server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự antoàn cho việc truy cập Internet của các máy khách, còn gọi là khách hàng sử dụng dịch vụinternet

Mục đích: che giấu IP thật của minh khi tấn công, thay vào đó là IP của proxy server

Net Bios Null Sessions:

Trong quá trình enumeration, attacker thu thập các thông tin như tên các user và group, routingtable, và dữ liệu SNMP

 Null section thường được biết đến như là Holy Grail của Windows hacking Đây là mộtlỗi của Common Internet File System(CIFS) hoặc Server Messaging Block(SMB)

 Null section xảy ra khi chúng ta log vào một hệ thống với user trống và password trống

 Sử dụng null section cho phép ta thu thập các thông tin sau từ host:

+ danh sách các user và group

+ danh sách các thiết bị

+ danh sách các vùng chia sẻ

+ các user và host SIDs(Security Identifiers)

 Một null section là một kết nối không an toàn, không có bằng chứng nào để định danh.Không có một sự xác nhận user, password nào được cung cấp khi thiết lập phiên làmviệc Không có session key nào được trao đổi khi thiết lập một null section, và vì vậy hệ

thống không thể gửi thông điệp được mả hóa hay thậm chí được ký với tư cách là mộtuser trong null section.

Giao thức SMB(Server Message Block) được dùng để chia sẻ file trong Window NT/2000.Attacker có thể chặn và định danh các gói tin SMB không đánh dấu sau đó định danh traffic vàforward nó để server thực hiện những hành động không mong muốn Attacker có thể pose như làserver hay client sau một authentication hợp lệ và giành quyền truy cập dữ liệu

Mỗi phiên SMB sử dụng tài nguyên của server Việc thiết lập nhiều null session sẽ làm chậmthậm chí phá hủy server ngay cả server 2003 Một attacker có thể lặp lại nhiều lần việc thiết lậpcác SMB session cho đến khi server không response nữa

Biện pháp đối phó Null Session:

- Null session yêu cầu truy xuất vào TCP port 139 hay TCP port 445

- Ta có thể disable SMB service trên toàn bộ hay một vài host không bind WINS ClientTCP/IP từ interface

- Chỉnh sửa registry để giới hạn các user nạc danh

NetBIOS Enumeration:

- NBT scan là một chương trình scan IP các mạng để lấy thông tin NetBIOS

- Với mỗi đáp ứng, nó liệt kê địa chỉ IP, NetBIOS computer name, logged-in user name vàđịa chỉ MAC

- Điều đầu tiên mà một attacker sẽ cố gắng thử trên Windows 2000 là lấy danh sách cáchost

1 net view/ domain

2 nbstat –A<some IP>

SNMP Enummeration:

- SNMP thì đơn giản Các manager gửi request đến các agent, và các agent gửi reply trởlại

- Các manager có thể gửi request để set các giá trị cho các biến nào đó

- Traps cho phép manager biết được điều gì đang diễn ra ở phía agent:

+ reboot

+ một interface hoạt động không như mong đợi

+ một điều gì đó xấu đang tiềm ẩn

SNMP là một giao thức quản lý mạng phổ biến trong TCP/IP Nó là một giao thức đơn giảnrequest/response truyền đạt thông tin quản lý giữa 2 thực thể SNMP: SNMP applications(còn gọi

là SNMP manager) và SNMP agents

Một bộ thông tin được gọi là MIB(Management Information Base) Hầu hết mỗi agent có mộtMIB nhỏ cho phép manager thấy được các packet vào và ra hệ thống Ngoài MIB cơ bản, mỗiagent hỗ trợ một MIB khác chứa thông tin vể một mục đích cụ thể Ví dụ, MIB của Window NT/

2000 sẽ báo cáo các user hiện tại trên thiết bị

Cách phòng chống SNMP Enumeration:

- Cách đơn giản nhất là remove SNMP agent hay tắt dịch vụ SNMP

- Nếu tắt SNMP không được thì đổi default ‘public’ community name

- Thực thi Group Policy security được gọi là các giới hạn cộng thêm đối với các kết nốinạc danh

- Giới hạn việc truy xuất vào null session pipes, null session shares và IPSec filtering

II Một số kiếu tấn công:

1 SQL Injection:

Cho phép những kẻ tấn công lợi dụng lỗ hỏng trong việc kiểm tra dữ liệu nhập trong cácứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để inject và thi hành các câulệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước ) Hậu quả của nó rấttai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh,… do cótoàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là Server mà ứng dụng đó đang chạy.Lỗinày thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sơ dữliệu như SQL Server, MySQL,Oracle,DB2,Sysbase

 Các dạng tấn công bằng SQL Injection

Có 4 dạng tấn công thông thường gồm: vượt qua đăng kiểm lúc đăng nhập(authorization bypass) ,sử dụng câu lệnh SELECT ,sử dụng câu lệnh INSERT ,sử dụng cácStored-procedure

 Dạng tấn công vượt qua kiểm tra đăng nhập.

Dạng tấn công này, tin tặc có thể dể dàng vượt qua các trang đăng nhập nhờ vào lỗi khidùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web

Thông thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệthống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập

và mật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên đăng nhập và mậtkhẩu có hợp lệ hay không để quyểt định cho phép hay từ chối thực hiện tiếp

Thoạt nhìn dường như không chứa bất cứ một lỗ hổng về an toàn nào Người dùng khôngthể đăng nhập mà không có tên đăng nhập và mật khẩu hợp lệ Tuy nhiên nó thưc sự không antoàn và là tiền đề cho một lỗi SQL injection.Chổ sơ hở nằm ở chổ dữ liệu nhập vào từ ngườidùng để xây dựng trực tiếp câu lệnh SQL Chính điều này cho phép những kẻ tấn công có thểđiều khiển câu truy vấn sẽ được thực hiện

 Dạng tấn công sử dụng câu lệnh SELECT

Dạng tấn công này phức tạp hơn Để thực hiện được tấn công này ,kẻ tấn công phải cókhả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếukhởi đầu cho việc tấn công

Xét các website về tin tức Thông thường , sẽ có trang nhận ID của tin cần hiển thị rồi sao

đó truy vấn nội dung của tin có ID này Ví dụ :

http://www.myhost.com/shownews.asp?ID=123

Tuy nhiên , giống đăng nhập ở trước,nó để lộ sơ hở cho một lỗi SQL Injection khac.Kẻ tấn công

có thể thay thế một ID hợp lệ bằng cách gán ID cho một giá trị khác, và từ đó, khởi đầu cho mộtcuộc tấn công bất hợp pháp, ví dụ như : 0 or 1=1 (nghĩa làhttp://www.myhost.com/shownews.asp?ID=0 or 1=1)

 Dạng tấn công sử dụng câu lệnh INSERT

Thông thường các ứng dụng web cho phép người dùng đăng ký một tài khoản để thamgia Chức năng không thể thiếu là sau khi đăng ký thành công , người dùng có thể xem và hiệuchỉnh thông tin của mình SQL Injection có thể được dùng khi hệ thống không kiểm tra tính hợp

lệ của thông tin nhập vào

 Kiểm soat dữ liệu chặt chẽ nhập vào

Để phòng tránh nguy cơ có thể xảy ra Hãy bảo vệ các câu lệnh SQL là bằng cách kiểmsoát chặt chẽ tất cả các dữ liệu nhập nhận từ đối tượng Request (Request,Request.QueryString,Request.Form,Request.Cookie, and Request.ServerVariables)

 Thiết lập cấu hình an toàn cho hệ quản tri CSDL

Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lý dữ liệu đến tài khoản ngườidùng mà ứng dụng web đang sử dụng Các ứng dụng thông thường nên tránh dùng đến các quyền

tự do như ‘dbo’ hay ‘sa’, Quyền càng bị hạn chế , thiệt hại càng ít Ngoài ra để tránh các nguy cơ

từ SQL injection attack, nên chú ý bỏ bất kỳ thông tin kĩ thuật nào chứa trong thông điệp chuyển

xuống cho người dùng khi có ứng dụng lỗi Các thông báo lỗi thông thường tiết lộ các chi tiết kỉthuật có thể cho phép kẻ tấn công biết được điểm yếu của hệ thống.

 Một số công cụ tấn công bằng SQL injection

- Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn côngđang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service)

- Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay,giúp các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng

 Bị nghe lén Điện thoại cũng là Sniffer!

 Bị đọc trộm thư hay E-mail cũng là một hình thức Sniffer!

 Bị nhìn trộm nội dung Chat cũng là Sniffer!

 Hoạt động của sniffer :

Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP

Tấn C ông ARP:

a Giới thiệu:

Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle Trong trường hợpnày giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn rabình thường nên người sử dụng không hề hay biết mình bị tấn công

b Quá trình “đầu độc” ARP:

- Host A và Host B là 2 Máy tính đang “nói chuyện” với nhau

Host C là “kẻ Sniffer”

- Ở Host A trên bảng ARP có lưu địa chỉ IP và MAC tương ứng của Host B

- Ở Host B trên bảng ARP có lưu địa chỉ IP và MAC tương ứng của Host A

- Host C thực hiện quá trình nghe lén: host C gữi các ARP packet tới cả Host A và Host B có nội dung sau: “ tôi là A, B, MAC và IP của tôi là XX, YY”

Quá trình đầu độc ARP:

- Host A nhận lầm Host C là Host B

- Host B nhận lầm Host C là Host A

Quá trình “nói chuyện” giữa Host A và Host B, tất cả thông tin đều bị Host C “nghe thấy”

Tôi có thể Sniffer kết nối giữa 2 người mà tôi không có quyền truy cập

vào đường truyền của họ không ?

Hãy tưởng tượng :

Alice và Bob một người ở Berlin, một người ở London Họ đang truyền thông với nhau

 Còn bạn, bạn đang ở Paris

 Bạn muốn nghe trộm phiên truyền thông của họ ?

Bạn không có quyền nhảy vào đường truyền của họ Rất tiếc! Câu trả lời là không Bạn phải

có quyền truy cập trên đường truyền mà bạn muốn Sniffer Tuy nhiên nếu bạn là một Hacker thực thụ thì vẫn có cách để bạn thực hiện mục đích này bằng cách dành được quyền truy cập từ

xa như :

Tấn công và đột nhập vào máy tính của Bob hay Alice cài đặt phầm mềm Sniffer, rồi từ xa bạn chỉ việc khai thác thông tin

 Tấn công đột nhập vào hệ thống mạng của ISP và cài đặt Sniffer.

 Hối lộ, lừa đảo nhân viên trong ISP để bạn tiến hành móc nối cài

 đặt các thiết bị, chương trình Sniffer trên các thiết bị vật lý của ISP này Như đường dây Cable chẳng hạn

 Ngăn chặn những kẻ muốn Sniffer dữ liệu:

Đồng thời sử dụng các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp chứng thực an toàn (Authentication):

 SSL (Secure Socket Layer)

 PGP và S/MIME

 OpenSSH

 VPNs (Virtual Private Networks)

 Ngăn chặn những kẻ muốn Sniffer Password:

 Ngăn chặn hành động Sniffer trên những thiết bị phần cứng:

Thay thế Hub của bạn bằng những Switch Switch sẽ tạo ra một “Broadcast Domain” nó cótác dụng gửi đến những kẻ tấn công những gói ARP không hợ lệ (Spoof ARP Packet)

Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự phòng thủ này.Các yêu cầu truy vấn ARP chứa đựng những thông tin chính xác từ IP cho đến MAC của ngườigửi Thông thường để giảm bớt lưu lượng ARP trên đường truyền, đa số các máy tính sẽ đọc và

sử dụng các thông tin từ bộ đệm (Cache) mà chúng truy vấn được từ Broadcast

Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt qua sự phòng thủ nàybằng cách gửi những gói ARP chứa đựng những thông tin về địa chỉ IP của Router đến chính địachỉ MAC của anh ta Tất cả những máy tính trong hệ thống mạng cục bộ này sẽ nhầm tưởng anh

ta là Router và sẽ thiết lập phiên truyền thông đi qua máy tính của anh ta

Một cuộc tấn công DOS tương tự trên một hệ thống mạng cục bộ, khi thành công sẽ đá văngmục tiêu mà họ muốn tấn công ra khỏi mạng rồi bắt đầu sử dụng chính địa chỉ IP của máy tínhvừa bị tấn công này Những kẻ tấn công sẽ khéo léo thừa kể và sử dụng những kết nối này Bảnthan Windows khi phát hiện được hành động này, nó không hành động gì cả mà lại tử tế đóngStack TCP/IP của chính mình và cho phép kết nối này tiếp tục

Để phòng chống lại các cuộc tấn công dạng bạn chỉ cần sử dụng các công cụ IDS (IntrusionDetecte Service) Các IDS như BlackICE IDS, Snort sẽ tự động phát hiện và cảnh báo về cáccuộc tấn công dạng này

http://www.snort.org/

Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng tay Hacker có thểtạo ra các địa chỉ Spoof MAC bằng cách hướng vào các địa chỉ trên Adapter Để khắc phục điềunày, hầu hết các Switch đều không cho phép tự ý cấu hình lại các địa chỉ MAC

 Một số phương pháp để phát hiện Sniffer trên hệ thống mạng của mình:

Khi sniffer đứng đơn lẻ trên một máy tính không có sự truyền thông thì sẽ không có dấu hiệu gì Tuy nhiên nếu được cài đặt trên một máy tính không đơn lẻ và có sự truyền thông, bản thân Sniffer sẽ phát sinh ra lưu lượng thông tin Bạn có thể truy vấn ngược DNS để tìm thông tin liên quan đến những địa chỉ IP

Dưới đây liệt kê một số phương pháp để phát hiện Sniffer :

 Phương pháp dùng Ping:

Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử dụng TCP/IPStack Bởi vậy khi bạn gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho bạn kếtquả Bạn hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy màbạn cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernetcủa nó

4 Bạn Ping đến địa chỉ IP và địa chỉ MAC mới

5 Trên nguyên tắc không một máy tính nào có thể nhìn thấy có thể nhìn thấy được Packet này.Bởi Adapter Ethernet chỉ chấp nhận những địa chỉ MAC hợp lệ của chính nó

6 Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC(MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt SnifferBằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu trên CácHacker sẽ sử dụng những MAC Address ảo Rất nhiều hệ thống máy tính trong đó có Windows

có tích hợp khả năng MAC Filtering

Windows chỉ kiểm tra những byte đầu tiên Nếu một địa chỉ MAC có dạng FF-00-00-00-00-00,thì đơn giản Windows sẽ coi nó là FF-FF-FF-FF-FF-FF Đây là sơ hở cho phép các Hacker cóthể khai thác đánh lừa hệ thống máy tính của bạn

Kỹ thuật phát hiện Sniffer đơn giản này thường được sử dụng trên các hệ thống Ethernet dựatrên Switch và Bridge

 Phương pháp sử dụng ARP:

Phương pháp phát hiện Sniffer này tương tự như phương pháp dùng Ping

Khác biệt chỗ chúng ta sẽ sử dụng những Packet ARP Đơn giản bạn chỉ cần gửi một PacketARP đến một địa chỉ nào đó trong mạng (không phải Broadcast) Nếu máy tính đó trả lời lạiPacket ARP bằng địa chỉ của chính nó Thì máy tính đó đang cài đặt Sniffer ở chế độ hỗn tạpMỗi Packet ARP đều chứa đầy đủ thông tin về người gửi và người nhận Khi Hacker gửi mộtPacket ARP đến địa chỉ loan truyền tin (Broadcast Address), nó bao gồm thông tin về địa chỉ IPcủa bạn và địa chỉ MAC được phân giải bởi Ethernet Ít phút sau mọi máy tính trong hệ thốngmạng Ethernet đều nhớ thông tin này Bởi vậy khi Hacker gửi các Packet ARP không đi quaBroadcast Address Tiếp đó anh ta sẽ ping đến Broadcast Address Lúc này bất cứ máy tính nàotrả lời lại anh ta mà không bằng ARPing, anh ta có thể chụp được các thông tin về địa chỉ MACcủa máy tính này bằng cách sử dụng Sniffer để chụp các khung ARP (ARP Frame).

 Phương pháp sử dụng DNS :

Rất nhiều chương trình Sniffer có tính năng phân giải ngược các địa IP thành DNS mà chúngnhìn thấy (như dsniff) Bởi vậy khi quan sát lưu lượng truyền thông của DNS bạn có thể pháthiện được Sniffer ở chế độ hỗn tạp (Promiscuous Mode)

Để thực hiện phương pháp này, bạn cần theo dõi quá trình phân giải ngược trên DNS Servercủa bạn Khi bạn phát hiện được những hành động Ping liên tục với mục đích thăm dò đếnnhững địa chỉ IP không tồn tại trên hệ thống mạng của bạn Tiếp đó là những hành động cốgắng phân giải ngược những địa chỉ IP được biết từ những Packet ARP Không gì khác đây

là những hành động của một chương trình Sniffer

 Phương pháp Source-Route :

Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa chỉ đích trong mỗiHeader của IP để phát hiện hành động Sniff trên từng đoạn mạng Tiến hành ping từ một máytính này đến một máy tính khác Nhưng tính năng Routing trên máy tính nguồn phải được vôhiệu hoá Hiểu đơn giản là làm thế nào để gói tin này không thể đi đến đích Nếu như bạnthấy sự trả lời, thì đơn giản hệ thống mạng của bạn đã bị cài đặt Sniffer

Để sử dụng phương pháp này bạn cần sử dụng vào một vài tuỳ chọn trong Header IP ĐểRouter sẽ bỏ qua những địa chỉ IP đến và tiếp tục chuyển tiếp đến những địa chỉ IP trong tuỳchọn Source-Route của Router

Lấy một ví dụ cụ thể : Bob và Anna cùng nằm trên một đoạn mạng Khi có một người kháctrên cùng đoạn mạng gửi cho cô ta vài Packet IP và nói chuyển chúng đến cho Bob Annakhông phải là một Router, cho lên cô ta sẽ Drop tất cả Packet IP mà người kia muốn chuyểntới Bob (bởi cô ta không thể làm việc này) Một Packet IP không được gửi đến Bob, mà anh

ta vẫn có thể trả lời lại được Điều này vô lý, anh ta đã sử dụng các chương trình Sniffer

 Phương pháp giăng bẫy (Decoy):

Tương tự như phương pháp sử dụng ARP nhưng nó được sử dụng trong những phạm vimạng rộng lớn hơn (gần như là khắp nơi) Rất nhiều giao thức sử dụng các Password khôngđược mã hoá trên đường truyền, các Hacker rất coi trọng những Password này, phương pháp

giăng bẫy này sẽ thoả mãn điều đó Đơn giản bạn chỉ cần giả lập những Client sử dụngService mà Password không được mã hoá như : POP, FTP, Telnet, IMAP Bạn có thể cấuhình những User không có quyền hạn, hay thậm chí những User không tồn tại Khi Sniffđược những thông tin được coi là «quý giá» này các Hacker sẽ tìm cách kiểm tra, sử dụng vàkhai thác chúng Bạn sẽ làm gí kế tiếp ???

 Phương pháp kiểm tra sự chậm trễ của gói tin (Latency) :

Phương pháp này sẽ làm giảm thiểu sự lưu thông trên hệ thống mạng của bạn Bằng cách gửimột lượng thông tin lớn đến máy tính mà bạn nghi là đã bị cài đặt Sniffer Sẽ không có hiệu ứng

gí đáng kể nếu máy tính đó hoàn toàn không có gì Bạn ping đến máy tính mà bạn nghi ngờ đã bịcài đặt Sniffer trước thời gian chịu tải và trong thời gian chị tải Để quan sát sự khác nhau của 2thời điểm này

Tuy nhiên phương pháp này tỏ ra không mấy hiệu quả Bản thân những Packet IP được gửi

đi trên đường truyền cũng gây ra sự trậm trễ và thất lạc Cũng như những Sniffer chạy ở chế độ

“User Mode” được xử lý độc lập bởi CPU cũng cho ra những kết quả không chính xác

Do đây chỉ mà một tài liệu có tính chất căn bản giới thiệu về Sniffer, nên tôi sẽ không đề cậpđến cách thức để sử dụng Sniffer trên các hệ thống mạng Tuy nhiên tôi vẫn nêu qua những hệthống mạng có thể bị Sniffer:

 Cable Modem

 DSL

 ADSL

 Switched Network

 Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây)

Những giao thức mà thông tin Password không được mã hoá, khá nguy hiểm khi bị Sniffer:

- Có khả năng bắt được hầu hết các gói tin, của rất nhiều các giao thức.

Có thể dùng để kiểm tra lưu lượng băng thông, phân loại lưu lượng theo từng giao thức

- Nhược điểm: Không có sẵn bộ giải mã và bộ lọc password như Cain

Thông tin hiển thị là dạng thô

3 Buffer Overflow:

 Giới thiệu chung & khái niệm:

 Buffer Overflow là lỗi khi chương trình không kiểm tra kích thước dữ liệu đầu vào

 Kích thước dữ liệu đầu vào lớn hơn bộ nhớ khai báo khi lập trình à phần dữ liệu

dư ra đè lên một vùng bộ nhớ nào đó

char *buffer = (char *) malloc(16);

char *input = (char *) malloc(16);

 Khi quá trình ghi đè diễn ra trong stack à stack overflow

 Nếu số byte bị đè đủ nhiều thì return address cũng sẽ bị đè lên

 Nếu return address chứa một địa chỉ trỏ tới một đoạn chương trình thì đoạn chương trình đó sẽ được thực hiện

 Khai thác lỗi Stack Overflow

 Đưa được đoạn chương trình theo ý muốn vào bộ nhớ

 Lợi dụng quá trình quay lại khi gọi chương trình con để thực hiện đoạn chương trình Đơn giản nhất là ghi địa chỉ lệnh đầu tiên của đoạn chương trình vào return address à khi quay lại, địa chỉ đầu tiên của đoạn chương trình được đưa vào eip

 Một vi du về khai thác lỗi:

- Phương pháp khai thác dùng trong trường hợp này là lợi dụng lệnh call esp trongchương trình bị lỗi

- Trong module in_mp3.dll có lệnh call esp tại địa chỉ 0x0202D961 (windows xp2)

- Ta sẽ ghi giá trị 0x0202D961 đè lên địa chỉ return khi bị buffer overflow

- Trạng thái của stack khi tràn :

NOPShellcode0x0202D961

mã máy thực hiệnquay lại đầushellcode

- Địa chỉ return là 0x0202D961, lệnh được thực hiện là call esp Lúc này esp trỏ ào địa chỉ sau return address, tức là trỏ vào đầu mã máy thực hiện quay lại đầu shellcode

- Mã máy thực hiện, eip sẽ trỏ vào đầu shellcode

 Stack Overflow – Exploit:

return address

 Dữ liệu làm tràn truyền vào chứa shellcode.

 Vấn đề là tính toán sao cho return address trỏ vào lệnh đầu tiên của shellcode

 Các đoạn chương trình nguy hiểm có thể được đưa vào qua shellcode và chạy trênmáy nạn nhân:

 Cài đặt virus, worm v.v…

 Mở cổng trên máy nạn nhân và kết nối vào cổng đó để điểu khiển

 Phá hoại dữ liệu

 Bắt mọi lỗi ngay khi lập trình Ví dụ:

 Thu hồi bộ nhớ cho biến động

 Kiểm tra kích thước, khuôn dạng dữ liệu nhập vào…

 Công cụ :

 Công cụ:OllyDbg:http://www.ollydbg.de

 PC Tools ThreatFire:chống lai tấn Buffer Overflow

4. Session Hijacking:

 Khái niệm Session Hijacking:

Session Hijacking (đánh cướp Session) là sử dụng Session của một người dùng nào đó,

đã tạo được kết nối hợp lệ bằng một phương thức không hợp lệ

 Mô tả Session Hijacking :

PC A và PC B kết nối thành công với nhau, kẻ tấn công chiếm lấy session ID của PC A

để kết nối với PC B, dĩ nhiên lúc này PC B cho rằng kẻ tấn công là PC A, khi đó kẻ tấn công cótất cả quyền thực hiện các hành động mà PC A có thể thực hiện

 Bảo mật Session Hijacking:

 Đây là lỗi có mức độ nguy hiểm Lỗi được khai thác thông qua định danh Sessioncủa người dùng, tuy nhiên khả năng thành công không cao

 Một khi đã chiếm được Session của người dùng nào đó, kẻ tấn công sẽ có quyềntruy cập như người dùng đó

 Session thường được xác định thông qua một giá trị lưu trong cookie, mặc định

 HTTP là một giao thức có tính stateless cho nên, thông tin giữa client (trìnhduyệt) và server (web server) thường được kết thúc càng nhanh càng tốt vàconnection này sẽ được tắt bỏ sau khi quy trình chuyển gởi thông tin hoàn tất, Vìvậy, Session đã được tạo không được kiểm tra còn tồn tại hay không, cho đến khiuser bấm vào nút logout, xóa bỏ cookies Trừ trường hợp web server kiểm traxem Session này còn sống hay không sau một khoảng thời gian định sẳn

 Sự cần thiết của Session ID: Hãy tưởng tượng bạn vào một website nào đó, , bạnđăng nhập thành công Nhưng mỗi lần muốn trả lời một bài nào đó, bạn phảiđăng nhập lại, rất bất tiện Session ID sinh ra để khắc phục sự bất tiện đó

 Với một session ID tạo ra riêng cho một user khi kết nối tới một website nào đó, web server dựa vào session ID để nhận ra user, và chấp nhận cho user này thực hiện các hành động mà user được quyền mà không phải xác nhận lần này qua lần khác

5 Trojan & Backdoor:

 TROJANS:

1.Giới thiệu về Trojans:

 Một Trojan là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính

 Với sự trợ giúp của Trojan, một kẻ tất công có thể dễ dàng truy cập vào máy tínhcủa nạn nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, vànhiều khả năng khác

2 Các dạng và cách hoạt động của Trojan:

 Kẻ tấn công có thể truy cập được vào các máy tính đã bị nhiễm Trojans khi chúngOnline

 Kẻ tấn công có thể truy cập và điều khiển toàn bộ máy tính của nạn nhân, vàchúng có khả năng sử dụng vào nhiều mục đích khác nhau

 Các dạng Trojans cơ bản:

 Remote Access Trojans – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từxa

 Data-Sending Trojans – Gửi những thông tin nhạy cảm cho kẻ tấn công

 Destructive Trojans – Phá hủy hệ thống

 Denied-of-Service – DoS Attack Trojan: Trojans cho tấn công DoS

 Mục đích của những kẻ viết ra những Trojans:

 Lấy thông tin của Credit Card

 Lấy thông tin của các tài khoản cá nhân như: Email, Password,Usernames,…

 Những dữ liệu mật

 Thông tin tài chính: Tài khoản ngân hàng…

 Sử dụng máy tính của nạn nhân để thực hiện một tác vụ nào đó, như để tấncông, scan, hay làm ngập hệ thống mạng của nạn nhân

3 Những con đường để máy tính nạn nhân nhiễm Trojan:

- Qua các ứng dụng CHAT online như IRC – Interney Relay Chat.

- Qua các file được đính kèm trên Mail…

- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD…

- Khi chạy một file bị nhiễm Trojan

- Qua NetBIOS – FileSharing

- Qua những chương trình nguy hiểm

- Từ những trang web không tin tưởng hay những website cung cấp phần mềm miễn phí

- Nó có khả năng ẩn trong các ứng dụng bình thường, khi chạy ứng dụng đó lập tức cũngchạy luôn Trojans

4 Những cách nhận biết một máy tính có thể bị nhiễm Trojans:

 Ổ CD-ROM tự động mở ra đóng vào

 Máy tính có những dấu hiệu lạ trên màn hình

 Hình nền của các cửa sổ Windows bị thay đổi…

 Các văn bản tự động in

 Máy tính tự động thay đổi font chữ và các thiết lập khác

 Hình nền máy tính tự động thay đổi và không thể đổi lại

 Chuột trái, chuột phải lẫn lộn

 Chuột không hiển thị trên màn hình

 Nút Start không hiển thị

 Một vài cửa sổ chát bật ra

 Các Port sử dụng bởi các Trojan phổ biến.

 Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338

 Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150

 NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346

 Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362

 Netbus 2 Pro – Sử dụng TCP – Qua Port 20034

 GrilFriend - Sử dụng Protocol TCP – Qua Port 21544

 Masters Paradise - Sử dụng TCP Protocol qua Port – 3129, 40421,40422,

Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file đó là OK mọithứ đã hoàn tất và đợi những thông tin Telnet tới port 7777.

Trên máy 192.168.1.33 đã chạy file tini.exe giờ ta đứng trên bất kỳ máy nào cũng có thểdùng lệnh: Telnet 192.168.1.33 7777 là có thể console vào được máy đó

Có nghĩa máy này enable telnet trên port 8080 và password là "vne"

Trong ví dụ này ta để file: iCmd.exe tại thư mục vnexperts.net trên ổ C:\

Trên máy khác ta có thể telnet tới máy này với câu lệnh:

Telnet portNhư ví dụ trên ta gõ: telnet 192.168.1.33 8080

Hệ thống bắt nhập password, ta gõ vne vào và Enter

Và kết quả:

-e chạy một chương trình nào đó.

Trên ví dụ này ta chạy với câu lệnh:

Nc.exe –L –p 8800 –t –e cmd.exe

Giờ thì ta có thể đứng bất kỳ trên máy nào có thể telnet tới máy này qua cổng 8800, vàhoàn toàn có thể kiểm soát được máy tính đó qua giao diện command line.

d HTTP RAT:

Với tính năng hoạt động như một Web Server được lập trình sẵn cho phép quản lý máytính trên giao diện Web Ta hoàn toàn có thể thực hiện được trên Internet, khi một máynhiễm Trojan này sẽ tự động gửi mail về cho ta qua cấu hình

Giờ đứng trên bất kỳ máy nào ta cũng có thể vào máy này qua cửa sổ của một trình duyệtweb bất kỳ:

http://192.168.1.33

Ta có thể chạy xóa hay download bất kỳ file nào từ máy nạn nhân

Ngồi trên bất kỳ máy nào ta sử dụng ICMPsend để remote tới hệ thống đã bị nhiễmICMP trojan

Trên thực tế còn rất nhiều loại Trojan khác bạn có thể tìm hiểu trên các trang web chuyên

về security, trong bài viết này tôi chỉ Demo một số loại Trojan dùng để trainning mà thôi

6. Cách ẩn một hoặc nhiều Trojan vào một file exe hay file chạy bình thường:

Mấy phần bên trên là cách sử dụng Trojan cơ bản Ví dụ bạn muốn sử dụng con trojan làiCmd.exe bạn phải làm thế nào? Copy file đó vào máy và chạy với câu lệnh iCmd.exevne 8800? Điều này không thể thực hiện bởi ai cho bạn ngồi trên máy đó.

Vậy làm thế nào để lây nhiễm Trojan này vào máy của nạn nhân?

Thật không may những kẻ tấn công đã khôn ngoan ẩn một hay nhiều Trojan vào một fileExe bình thường, như một chương trình cờ, một file exe bộ cài windows, file chạy củacác phần mềm miễn phí mà có khi ẩn luôn vào bộ cài các chương trình diệt virus

Cách ẩn Trojan vào file exe đó là công nghệ Wrapper Các phần mềm thường dùng:One file EXE Maker

Yet Another Binder

Pretator Wrapper

Sử dụng One file EXE Maker dấu và chạy file iCmd.exe

Download bộ cài của phần mềm này cài ra máy sau đó là chạy để ghép các file

File EXE mà ta lựa chọn là một chương trình cờ Caro rất phổ biến Fiver6_8.exe

File cờ caro ta để chạy bình thường

file iCmd.exe ta để chạy ẩn và copy vào hệ thống

Câu lệnh thêm trên file iCmd.exe ta chọn là vne 8800 – cho phép telnet vào port 8800 vàpassword là vne

Nhấn Save để hoàn thành quá trình.

Ta save ra với tên là caro.exe

Nhìn dung lượng của file ta thấy:

iCmd.exe dung lượng 36KB

Fiver6_8_en.exe dung lượng 310K

Caro.exe được tạo từ hai file trên dung lượng 353KB

Giờ ta thử chạy file Caro.exe

Chỉ có cửa sổ đánh cờ caro được bật ra nhưng đã có một file iCmd.exe được hoạt động,kiểm tra trong Task Manager:

Đứng trên bất kỳ máy nào ta cũng có thể remote tới máy này qua port 8800 và password

là vne

7. Cách phát hiện Trojan:

Có ba nguyên lý của bất kỳ chương trình Trojan nào:

- Một trojan muốn hoạt động phải lắng nghe các request trên một cổng nào đó

- Một chương trình đang chạy sẽ phải có TÊN trong Process List

- Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động

Phát hiện Port sử dụng bởi Trojans:

Dùng câu lệnh Netstat –an trong windows để biết hệt thống đang lắng nghe trên các portnào

- Hình dưới ta thấy có port 7777 – đó port của Tini Trojan