tiểu luận an toàn hệ thống thông tin_tìm hiểu trojan
MỤC LỤC I. MỞ ĐẦU Trojan là một chương trình gây hại cho máy tính . Nó được sử dụng vào rất nhiều mục đích như ăn cắp thông tin cá nhân, phá hoại máy tính, …. Gần đây, Trojan còn được phát triển trong lĩnh vực tình báo. Bài tìm hiểu này là một bài viết tìm hiểu về trojan, cách nó làm việc, sự thay đổi của nó và dĩ nhiên, chiến lược để giảm thiểu nguy cơ nhiễm nó. Trojan chỉ là 1 khía cạnh nhỏ của Window security nhưng chúng ta sẽ sớm nhận ra sự nguy hiểm và khả năng phá hoại của nó lớn như thế nào sau khi đọc những diều mà chúng tôi trình bày sau đây II. NỘI DUNG 1. Trojan là gì? Trước tiên chúng ta cần phải biết Trojan là gì? Trojan là: - Một chương trình trái phép được chứa trong 1 chương trình hợp pháp . Các chương trình này sẽ thực hiện các chức năng ẩn với người dùng (không mong muốn) - Đó cũng có thể là 1 chương trình hợp pháp nhưng đã được thay đổi bởi sự bố trí của các đoạn mã trí phép. Khi chương trình khởi chạy, các đoạn mã trái phép này sẽ thực hiện các chức năng ẩn với người dùng và nhiều khi là các chức năng không mong muốn - Bất cứ 1 chương trình nào xuất hiện nhằm thực hiện 1 chức năng cần thiết của người sử dụng nhưng nó lại thực hiện các chức năng ẩn vời người dùng và thường là không mong muốn vì bản thân code của chương trình sinh ra nhằm thực hiện 1 mục đích nào đó của người viết( thường là mục đích xấu). Như vậy Trojan là một chương trình ẩn, xâm nhập vào hệ thống và phá hoại từ bên trong. Nó tương tự như câu chuyện thần thoại về con ngựa thành troy trong thần thoại Hy Lạp. Và cái tên trojan bắt nguồn từ ý tưởng này. Lần đầu tiên Trojan được biết đến là khi Cult of the Dead Cow tạo ra Back Orifice, một Trojan nổi tiếng tấn công vào cổng 31337. 2. Đặc điểm trojan. Không như Virus, Trojan không tự nhân bản. Trojan có 2 phần, Client và Server. Kẻ tấn công sẽ gửi phần Server đến nạn nhân, khi Server được khởi chạy trên máy tính nạn nhân, kẻ tấn công sẽ sử dụng các Client để kết nối với Server trong máy nạn nhân và bắt đầu sử dụng các Trojan. Giao thức TCP/IP thường được sử dụng cho truyền thông, nhưng một số chức năng của Trojan sử dụng giao thức UDP. Khi Server khởi chạy trên máy tính nạn nhân, nó thường ẩn ở một nơi nào đó trong máy tính, bắt đầu lắng nghe trên một số cổng ( Listening), bắt đầu cho phép kẻ tấn công chỉnh sửa registry và tự khởi động một số phương thức tấn công khác. Một điều rất quan trọng trong tấn công mạng là kẻ tấn công phải biết IP của nạn nhân. Vì thế Trojan được thiết kế có tính năng tự động gửi thư có nội dung là IP của nạn nhân như một tin nhắn của kẻ tấn công. Điều này sẽ được sử dụng khi máy tính nan nhân sử dụng IP động. Nếu người sử dụng ADSL dùng IP tĩnh sẽ dễ dàng bị tấn công hơn vì IP này dễ bị các kẻ tấn công lợi dụng, Hầu hết các Trojan sử dụng phương thức tự động khởi động (Auto- Starting ), do đó ngay cả khi bạn tắt máy vẫn có khả năng bị kẻ tấn công sử dụng Trojan khởi động lại và truy cập vào máy tính của bạn. Khả năng tự khởi động và một số thủ đoạn khác hoạt động ở mọi thời điểm. Trojan bắt đầu xâm nhập máy tính bằng cách gắn mình vào 1 số các ứng dụng thực thi thường dùng như explorer.exe, và đi đến các phương thức thay đổi file hệ thống hoặc Window Registry. Tập tin hệ thống đặt trong thư mục Windows và đây là nơi mà kẻ tấn công tấn công vào hệ thống. Các thư mục kẻ tấn công có thể lợi dụng: Thư mục khởi động (Autostart Folder ): Thư mục khởi động nằm ở C:\Windows\Start Menu\Programs\startup, và như tên gọi của nó , các thành phần trong thư mục này sẽ được tự động khởi động khi Windows khởi động Win.ini File hệ thống của Window được tải => file Trojan.exe được khởi chạy => Trojan bắt đầu hoạt động System.ini Wininit.ini Winstart.bat Autoexec.bat Là một file DOS tự động khởi động và nó được sử dụng như 1 phương thức tự động khởi động như sau: C;\Trojan.exe Config.sys Được sử dụng như một phương thức tự động khởi chạy cho Trojan Explorer Startup Registry thường được sử dụng cho nhiều phương thức tự động khởi động khác nhau. Có thể kể đến 1 số cách sau: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Info"="c:\directory\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Once] "Info"="c:\directory\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS ervices] "Info"="c:\directory\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS ervicesOnce] "Info="c:\directory\Trojan.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Info"="c:\directory\Trojan.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOn ce] "Info"="c:\directory\Trojan.exe" - Registry Shell Open [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] Một khóa có giá trị “%1%” được đặt vào đó và nếu có 1 số tập tin thực thi đặt ở đó thì nó sẽ đưuọc thực hiện mỗi khi bạn mở một file nhị phân. Nó được sử dụng như sau: Trojan.exe “%1%”, và nó sẽ khởi động trojan - - ICQ Net Detect Method [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\] Khóa này gồm tất cả các file sẽ được thực hiện nếu ICQ phát hiện kết nối Internet. Bạn có thể hiểu rằng,tính năng này rất tiện dụng nhưng lại dễ bị làm dụng bởi các kẻ tấn công - ActiveX Component [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName] StubPath=C:\directory\Trojan.exe Đây là những phương thức tự động khởi động phổ biến nhất sử dụng file hệ thống và Windows registry 3. Các dạng Trojan cơ bản Có rất nhiều biến thể của Trojan được tạo ra và thật khó để kể tên và mô tả hết chúng. Nhưng chung quy lại nó đều được tạo ra để thực hiện một số chức năng liệt kê sau, và một số chức năng còn chưa được hoặc không bao giờ được công khai. a. Remote Access Trojans ( RAT ) – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từ xa Đây có lẽ là loại Trojan được sử dụng nhiều nhất. Khi Trojan này được kích hoạt, nó sẽ cung cấp cho kẻ tấn công sức mạnh làm việc trên máy tính của nạn nhân hơn so với chính bản thân nạn nhân khi đứng trước thiết bị của họ. Hầu hết các Trojan loại này thường được kết hợp với các loại khác được trình bày bên dưới. Ý tưởng của những Trojan này là cung cấp cho kẻ tấn công truy nhập thành công vào máy tính cua một ai đó, qua đó truy cập vào các tập tin quan trọng, thông tin , dữ liệu cá nhân, thông tin các tài khoản của chủ nhân máy tính lưu trong thiết bị… Các tính năng của RAT phát triển hàng ngày và tỏ ra nguy hiểm hơn. Một ví dụ đơn giản của Trojan lọa này là trojan Girlfriend, trojan này khi được kích hoạt trong máy nạn nhân sẽ không cho nạn nhân shutdow, hiển thị 1 đoạn text trên màn hình, nhiều khi chúng còn chat với nạn nhân nữa. Các Hacker thwuognf ngụy trang chúng dưới dạng file ảnh và giấu duôi .exe đi. Cách thức làm việc của Trojan RAT cũng tương tự như các Trojan khác. Chúng thường ẩn náu trong các chương trình lớn, khi bạn chạy chương trình này thì chúng cũng được kích hoạt. Mỗi RAT thường chạy server với một cổng riêng biệt mà ở đó hacker có thể được "mời vào !". Các trojan khi vào máy thường tạo ra một file thực thi nào đó hoặc ghi thêm dòng lệnh tự kích hoạt vào trong file win.in. Có nhiều lúc bạn biết nó là trojan nhưng cũng không thể vô hiệu nó bằng những cách thông thường, vì chúng thường là mất chức năng "regedit" của Windows. Có nhiều trojan kích hoạt những file mà ta thường nghĩ chúng là của hệ điều hành. Điển hình của Trojan RAT là Back Orifice, Net Bus, Remote Anything. b. Data-Sending Trojans – Gửi những thông tin nhạy cảm cho kẻ tấn công Mục đích của những Trojan này khi được kích hoạt là trích xuất tất cả mật khẩu lưu trữ và cung có thể tìm kiếm các mật khẩu khác mà bạn đang nhập sau đó gửi chúng vào 1 tài khoản e-mail của kẻ tấn công mà nạn nhân là bạn không hề nhận thấy điều gì. Mật khẩu cho ICQ,IRC,FTP,HTTP hoặc bất kỳ một ứng dụng nào khác mà yêu cầu người dùng phải nhập tên đăng nhập và mật khẩu sẽ được gửi đến địa chỉ thư điện tử của kẻ tấn công, mà hầu hết các trường hợp là các địa chỉ mail miễn phí. Hầu hết trong số chúng không khởi động lại khi Windows được nạp, và như tên gọi của nó, Trojan loại này sẽ thu thập thật nhiều thông tin trong thiết bị của nạn nhân như Password, nhật ký mIRC, các cuộc hội thoại ICQ và thư điện tử của họ. Tuy nhiên nó cũng phụ thuộc vào nhu cầu của kẻ tấn công cũng như tình hình cụ thể. Điển hình cho Trojan loại này có thể kể đến Bari, Barok … c. KeyLoggers Trojan loại này rất đơn giản. Khi được khởi chạy trong máy của nạn nhân, trojan này có nhiệm vụ tạo một nhật ký lưu lại tất cả các thao tác nạn nhân thao tác trên bàn phím, dĩ nhiên không thể thiếu các thông tin nhạy cảm về account và password của nạn nhân, sau đó gửi về một địa chỉ mail của kẻ tấn công. File nhật ký (log) này cho phép kẻ tấn công tìm kiếm các thông tin cá nhân nhạy cảm của nạn nhân nhằm mục đích chiếm đoạt các tài khoản cá nhân của nạn nhân. Keyloggers thường hoạt động rất êm, sử dụng rất ít bộ nhớ, chạy như một chương trình nền, nên rất khó nhận ra. Hầu hết các Trojan loại này đều được thiết lập để hoạt động trực tuyến và ngoại tuyến (Online và offline). Và tất nhiên chúng sẽ được thiết lập để gửi các thông tin thu thập được gửi về mail của kẻ tấn công theo kế hoạch. Điển hình của loại trojan này là Kuang Keylogger. d. Destructive - Trojan phá hoại Chức năng duy nhất của Trojan này là tiêu diệt và xóa các tập tin. Điều này khiến chúng rất đơn giản và dễ sử dụng. Khi được kích hoạt chúng có thể tự động xóa tất cả các tập tin hệ thống quan trọng trong máy tính nạn nhân ( Như các file *.dll, *.ini hoặc các tập tin *.exe, và một số file khác ). Trojan được kích hoạt bởi kẻ tấn công hoặc đôi khi nó hoạt động như 1 chiếc đồng hồ hẹn giờ, tự kích hoạt vào 1 thời gian nhất định theo chu kỳ thiết lập bởi kẻ tấn công. Tuy đơn giản nhưng đây lại là 1 loại Trojan vô cùng nguy hiểm và rất khó kiểm soát. Ví dụ về Trojan lạo này là Goner worm. Nó được phát hiện năm 2001 với mục đích xóa đi các phần mềm anti-virus và các file trên máy nhạn nhân e. Denial Of Service (DoS) Attack Trojans – Từ chối dịch vụ Trojan loại này đang dần trở nên phổ biến. Chúng đem lại sức mạnh cho kẻ tấn công khi tập hợp đủ số nạn nhân. Ý tưởng chính của Trojan loại này là nếu bạn có 200 người dùng ADSL bị nhiễm và bắt đầu cùng tấn công nạn nhân đồng thời, điều này sẽ tạo nên nhiều lượt truy nhập đến nạn nhân ( thường là vượt quá băng thông của nạn nhân ) làm cho các truy nhập Internet của nạn nhân bị sập (đóng băng). WinTrinoo là 1 công cụ tấn công DDoS đang phổ biến hiện nay, và nếu kẻ tấn công làm nhiều người sử dụng Internet nhiễm Trojan này thì việc các website lớn bị đánh sập theo chủ đích của kẻ tấn công là một kết quả tất yếu, như chúng ta đã thấy nó diễn ra trong thời gian qua (Một số trang Web lớn của Việt Nam cũng bị tấn công dạng này như tình trạng từ chối dịch vụ của trang http://vietnamnet.vn/ thời gian qua) Một biến thể khác của DoS trojan là mail-bomb trojan. Mục đích của trojan này là lây lan càng nhiều máy tính càng tốt và đồng thời tấn công các địa chỉ email cụ thể. f. Proxy / Wingate Trojans Một tính năng thú vị của nhiều loại trojan là biến máy tính của nạn nhân thành 1 máy chủ proxy/wingate mở cho toàn thế giới hoặc chỉ cho các kẻ tấn công. Nó được sử dụng với các Telnet, ICQ,IRC,… ẩn danh hay cũng có thể đăng ký tên miền với các thẻ tín dụng bị đánh cắp và nhiều hoạt động bất hợp pháp khác. Điều này cho phép giấu thông tin kẻ tấn công, kẻ tấn công có thể làm mọi thứ từ máy tính của nạn nhân và nếu bị phát hiện thì mọi dấu vết sẽ lưu lại trên máy của bạn. Sẽ rất nguy hiểm cho người dùng Internet thường xuyên nếu bị nhiễm loại trojan này. Kẻ tấn công sẽ dùng các máy này làm trạm trung gian để thực hiện các hoạt động phạm pháp mà tránh được các biện pháp lần theo dấu vết của các cơ quan chức năng. g. FTP Trojans Loại trojan này có lẽ là loại đơn giản nhất và là 1 loại lỗi thời. Điều duy nhất nó thực hiện là mở cổng 21 ( cổng dùng cho việc truyền thông FTP ) và cho phép tất cả mọi người hoặc chỉ mình kẻ tấn công kết nối với máy tính của bạn.Khi nhiễm Trojan này, máy tính nạn nhân như ngôi nhà không cửa để các kẻ tấn công xâm nhập máy tính của nạn nhân và tải các tài liệu từ máy của nạn nhân h. Software Detection Killers Chức năng này có thể được xây dựng trong 1 trojan hoặc tạo thành 1 chương trình riêng biệt. Nó sẽ tìm và tiêu diệt các chương trình bảo vệ máy tính như phần mềm diệt virus, tường lửa, …. Và khi chúng bị tiêu diệt, kẻ tấn công có thể tấn công vào máy tính của bạn để thực hiện 1 số hoạt động bất hợp pháp, sử dụng máy tính của bạn để tấn công người khác. i. Trojan chiếm quyền điều khiển leo thang đặc quyền [...]... bởi các Trojan phổ biến) Nếu các cổng ấy đang được sử dụng nhiều khả năng máy của bạn đã bị nhiễm Trojan Ngoài ra bạn cũng có thể sử dụng các phần mềm Scan Trojan để phát hiện Trojan trong thiết bị của mình 9 Cách phát hiện các chương trình Trojan Có ba nguyên lý của bất kỳ chương trình Trojan nào: a) Một trojan muốn hoạt động phải lắng nghe các request trên một cổng nào đó Một chương trình đang chạy... Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động Phát hiện Port sử dụng bởi Trojans - Dùng câu lệnh Netstat an trong windows để biết hệt thống đang lắng nghe trên các port nào + Hình dưới ta thấy có port 7777 – à thì ra là port của Tini Trojan + Máy của tôi đâu có sử port nào là 8800 sao lại đang để chế độ nghe và có máy đang kết nối đến nhỉ ồ đó chắc là của Trojans - Dùng phần... một số loại Trojan Với mục đích của bài viết để chúng ta hiểu về Trojan, sử dụng Trojan là một trong những nội dung cơ bản của nghiên cứu về bảo mật Khi biết cách sử dụng và cách hoạt động của các loại Trojan bạn có thể từ đó đưa ra các giải pháp an ninh mạng cho doanh nghiệp của mình cũng như những dữ liệu quan trọng của chúng ta Trong phần này tôi giới thiệu với các bạn những loại Trojan sau: - Tini... bạn, cài đặt Trojan và sửa đổi một số tập tin hệ thống, do đó, nó sẽ chạy lần sau khi bạn khởi động lại máy tính Đôi khi những kẻ tấn công có thể sử dụng DoS (từ chối tấn công dịch vụ) để tắt máy của bạn buộc bạn phải khởi động lại và Trojan có thể tự khởi động ngay lập tức 6 Kẻ tấn công dùng Trojan tìm kiếm những gì? Có lẽ nhiều người chỉ nghĩ đơn giản Trojan chỉ có thể gây hại cho hệ thống máy tính... đối với các admin kém cỏi Chúng có thể được “gắn” vào trong một ứng dụng hệ thống Một khi người quản trị hệ thống chạy chúng , chúng sẽ tạo cho hacker quyền cao hơn trong hệ thống và cho họ quyền xâm nhập hệ thống Còn có 1 số loại trojan nữa trong đó bao gồm cả những chương trình tạo ra chỉ để chọc ghẹo , chúng có thể ra một thông báo đại loại như máy tính của bạn đã dính virus và ổ cứng của bạn sẽ... kèm Trojans - Tối quan trọng là phải update OS thường xuyên - Cài phần mềm diệt virus uy tín: Kaspersky Internet Security, Norton Internet Security, và Mcafee Total Security,… và còn rất nhiều phần mềm diệt Virus và chống Trojan hay khác Sau khi cài các phần mềm này bạn hãy update nó thường xuyên III KẾT LUẬN Qua bài tiểu luận này, nhóm thực hiện hy vọng đã đem lại những kiến thức quan trọng về Trojan, ... 1 con Trojan Bạn kiểm tra Email và thật vui mừng khi thành quả của mình sắp được hoang thành Bạn sẽ tải về và chạy nó bởi vì nghĩ đó là file gửi từ người bạn của bạn và nó là an toàn Kết quả hiển nhiên là máy tính của bạn bị nhiễm Trojan Như các bạn thấy, Thông tin là sức mạnh” Chỉ vì kẻ tấn công biết bạn đang chờ đợi 1 tập tin cụ thể, và chọn thời điểm tấn công vào đúng lúc giả định là rất quan trọng... thiệu với các bạn những loại Trojan sau: - Tini - iCmd - Netcat - HTTP RAT a) Trojan Tini Bất kỳ một máy tính nào nếu bị nhiễm Trojan này đều cho phép Telnet qua Port 7777 không cần bất kỳ thông tin xác thực nào - Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file đó là OK mọi thứ đã hoàn tất và đợi những thông tin Telnet tới port 7777 - Trên máy 192.168.1.33 đã chạy file tini.exe... phiền toái hay thiệt hại nhất định 7 Các cổng được sử dụng bởi các Trojan phổ biến Trojan sử dụng các cổng cụ thể để giao tiếp với Client Trước đây, các Trojan nổi tiếng sử dụng các cổng nhất định, nhưng ngày nay với sự phát triển vượt bậc, các Trojan có thể thay đổi các cổng hoạt động mỗi lần được khởi động lại Một số cổng mà các Trojan nổi tiếng đã sử dụng: - Back Orifice – Sử dụng UDP protocol – Sử... tác hại và cách phòng chống chúng Trojan đang phát triển mỗi ngày Theo báo cáo quý I của PandaLabs, trong ba tháng đầu năm 2011, trung bình hàng ngày có 73.000 mẫu phần mềm độc hại mới ra đời, phần lớn trong số đó là trojan Người sử dụng Internet đang phải đối mặt với nguy cơ bị tấn công rất lớn Để không trở thành nạn nhân của Trojan, mỗi người cần nhận thức lại về an ninh Internet, dùng các phần mềm . các phần mềm Scan Trojan để phát hiện Trojan trong thiết bị của mình. 9. Cách phát hiện các chương trình Trojan Có ba nguyên lý của bất kỳ chương trình Trojan nào: - Một trojan muốn hoạt động. tiên Trojan được biết đến là khi Cult of the Dead Cow tạo ra Back Orifice, một Trojan nổi tiếng tấn công vào cổng 31337. 2. Đặc điểm trojan. Không như Virus, Trojan không tự nhân bản. Trojan có. được công khai. a. Remote Access Trojans ( RAT ) – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từ xa Đây có lẽ là loại Trojan được sử dụng nhiều nhất. Khi Trojan này được kích hoạt, nó sẽ cung