Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 98 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
98
Dung lượng
32,99 MB
Nội dung
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ
VIỆT HÀN
MÔN AN NINH MẠNG
CHƯƠNG 6 : TROJANS - BACKDOORS
Người thực hiện: Lê Long Bảo
Ngành : Mạng Máy Tính
Lớp : MM03A
1
Tin tức bảo mật
Một phần ba số virus máy tính hiện tại được tạo ra trong 10 tháng đầu năm
2010.
Corrons đã kết
luận
rằng:
“điều này ko
có nghĩa là có
ít mối đe dọa
hơn hay thị
trường
tội
pham
mạng
(tin tặc) đang
thu hẹp, có
khả năng là nó
sẽ tiếp tục mở
Theo các phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong
10 tháng đầu của năm 2010 thì các tội phạm mạng đã tạo ra và phát tán đến 1/3
số virus hiện tại, tạo ra 34% số lượng các phần mềm độc hại đã từng tồn tại và
được phân loại bởi PandaLabs.
Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và
phân loại đến 99,4% các phần mềm độc hại, hiện đang lưu trữ khoảng 134 triệu
tập tin đặc biệt, trong đó 60 triệu là phần mềm độc hại(virus, sâu, trojan và các
mối đe dọa từ máy tính khác...).
Báo cáo thêm là, cho đến tháng 10 của năm 2010 thì có thêm khoảng 20
triệu dòng phần mềm độc hại được tạo ra ( bao gồm cả các biến thể của nó) cùng
số lượng so với năm 2009. Tính trung bình thì các mối đe dọa đã tăng từ 55 lên
63 nghìn.
2
Tin tức bảo mật
Mặc dù những con số ấn tượng, nhưng tốc độ mà các mối đe dọa mới phát
triển đã giảm kể từ năm 2009. Kể từ nắm 2003 “ các mối đe dọa đã tăng theo tỷ lệ
100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ lệ tăng trưởng khoảng
50%”, Giám đốc kỹ thuật của PandaLabs giải thích.
Cuối năm 2010
chúng ta sẽ tìm ra
được nhiều mối đe
dọa trí tuệ tập thể
hơn năm 2009
Tuy nhiên dường
như tin tặc đang áp
dụng quy mô kinh
tế, tái sử dụng nhưng
mật mã gây hại hay
ưu tiên việc phân
phối những mối đe
dọa đang tồn tại hơn
tạo nên những mối
đe dọa mới”
Công ty này thông báo rằng, mặc dù phần mềm có chứa mã độc được tạo ra,
tuổi thọ của nó ngắn hơn : 54% các mẫu phần mềm độc hại chỉ hoạt động trong
vòng 24h, trái ngược với tuổi thọ vài tháng như những năm trước đây. Bây giờ nó
chỉ lây nhiễm một vài hệ thống rồi biến mất.
Giải pháp chống virus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi
chúng hoặc tạo ra những biến thể mới để tránh bị phát hiện. Đây là lý do tại sao
công nghệ bảo vệ như trí tuệ nhân tạo lại quan trọng như vậy, có thể nhanh chóng vô
hiệu hóa phần mềm độc hại mới và giảm bớt các rủi ro mà người dùng tiếp xúc với
nó trong vòng 24h.
3
Mục tiêu của chương
Trojan
Trojan là
là gì
gì
Trojan
Trojan lây
lây nhiễm
nhiễm vào
vào hệ
hệ
Trojan
Trojan được
được khai
khai thác
thác
thống
thống như
như thế
thế nào
nào
như
như thế
thế nào
nào
Kênh
Kênh công
công khai
khai –– kênh
kênh
Cổng
Cổng phổ
phổ biển
biển được
được
bảo
bảo mật
mật
Trojan
Trojan sử
sử dụng
dụng
Mục
Mục đích
đích của
của Trojan
Trojan
Phân
Phân loại
loại Trojan
Trojan
Dấu
Dấu hiệu
hiệu tấn
tấn công
công của
của
Trojan
Trojan được
được dò
dò tìm
tìm như
như
Trojan
Trojan
thế
thế nào
nào
Kỹ
Kỹ thuật
thuật ngăn
ngăn chặn
chặn virus
virus
Kiểm
Kiểm tra
tra và
và thăm
thăm dò
dò
Phần mềm ngăn chặn
Ngăn
Ngăn chặn
chặn Trojan
Trojan và
và
Backdoor
Backdoor
4
Giới thiệu về Trojan
5
Trojan là gì
Trojan là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn dưới dạng những dữ liệu hay những chương trình dường
như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn.
Với sự hỗ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã bị trojan tấn công và có thể đọc được những tài liệu cá nhân,
có những tập tin và hiển thị những hình ảnh hoặc tin nhắn trên màn hình.
6
Kênh công khai – kênh bảo mật
Kênh công khai
Kênh bảo mật
7
Mục đích của Trojan
8
Trojan tạo ra để làm gì
Thông tin thẻ tín dụng
Dữ liệu tài khoản (Địa chỉ email, username, password…)
Tài liệu mật
Dữ liệu tài chính (Tài khoản ngân hàng, số an sinh xã hội, bảo hiểm thông tin)
Thông tin nơi ở của nạn nhân
Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp
9
Nhận biết một cuộc tấn công bằng Trojan
10
Các cổng phổ biến được sử dụng bởi Trojan
11
Lây nhiễm Trojan
12
Làm thế nào Trojan lây nhiễm vào hệ thống
I
Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan
II
Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên
máy tính mục tiêu
13
Làm thế nào Trojan lây nhiễm vào hệ thống
III
Tạo ra một wrapper để cài đặt lên máy nạn nhân
IV
Phổ biến Trojan
V
Thực thi các dropper
VI
Thực thi thường xuyên các mối gây hại
14
Wrapper kết nối hai giao diện khác nhau
Một wrapper gắn file thực thi Trojan với một trình ứng dụng
như là games hoặc office
Khi người dùng chạy wrapper lần đầu , nó sẽ
chạy Trojan làm background và sau đó chạy ứng
Hai chương trình wrapper có thể được
dụng wrapper làm foreground
kết nối trong 1 file đơn
15
Chương trình Wrapper
16
Trojan có thể lây nhiễm vào hệ thống bằng những cách khác
nhau
Hợp pháp hóa một gói trong phần mềm
hợp pháp
Giả mạo chương trình
Download file và game từ Internet
Ứng dụng chat
Ứng dụng IRC
Ứng dụng IRC
Các site không tin cậy và phần mềm miễn
phí
Chia sẽ file, thư mục
Đính kèm
Các lỗi của phần mềm duyệt và gửi mail
17
Trojan được khai thác như thế nào
18
Kỹ thuật phòng chống Virus
Phá vỡ tập tin Trojan thành nhiều phần rồi
nén lại thành một tập tin duy nhất
Không bao giờ sử dụng Trojan được tải từ
WEB(vì các anti-virus có thể dò tìm ra nó
Viết một Trojan rồi nhúng nó vào một ứng
một các dễ dàng)
dụng
Thay đổi nội dung tập tin Trojan bằng cách
sử HEX và đồng thời cũng thay đổi tổng
kiểm tra và mã hóa tập tin
Thay đổi cú pháp của Trojan
Chuyển từ EXE sang .VB script
Chuyển từ EXE sang .DOC
Chuyển từ EXE sang .PPT
Chuyển từ EXE sang .PDF
19
Loại Trojan
20
Loại Trojan
21
Shell Trojan
Shell Trojan cho phép điều khiển từ xa lệnh Shell trên máy nạn nhân
Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng cho attacker kết nối
đến
Máy trạm trên máy attacker cho phép chạy lệnh shell trên máy nạn nhân
22
Shell Trojan : Netcat
23
GUI Trojan : Mosucker
24
GUI Trojan : Jumper - Biodox
25
Tài liệu Trojan
Attacker nhúng Trojan vào một tài
liệu để lây nhiễm vào máy của nạn
nhân
Trojan được thực thi khi nạn nhân mở file tài liệu và click
và gói Trojan trên hệ thống của nạn nhân
26
Email Trojan
Attacker điều khiển từ xa máy tính của nạn nhân bằng cách gửi một email
Attacker có thể lấy file hoặc thư mục bằng cách gửi lệnh thông qua email
Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc
27
Email Trojan : RemoteByMail
28
Defacement Trojans
Trình biên tập mã nguồn, cho phép hiển thị,
chỉnh sữa, mở rộng và thay thế các chuỗi,
bitmaps, logos và icon từ nhiều cửa sổ
Ví dụ : deface calc.exe
chương trình
Áp dụng cho người dùng tùy
chỉnh ứng dụng (UCA) theo kiểu
Nó cho phép bạn hiển thị và biên tập gần
cửa sổ hủy hoại
như bất kỳ khía cạnh nào của một trình
biên dịch , từ menu cho đến hộp thoại đến
icon và bên ngoài
29
Defacement Trojans: Restorator
30
Botnet Trojans
Botnet Trojan lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa lý rộng lớn,
tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm
Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm
tấn công từ chối dich vụ, spamming, Click gian lận và trộm cắp thông tin tài chính
31
Botnet Trojans Tool
32
Botnet Trojan:NetBot Attacker
33
Proxy Server Trojan
Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy
tính của nạn nhân như một Proxy để kết nối Internet
Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân
Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ
thuật này
34
Proxy Server Trojan : W3bPr0xy Tr0j4n
W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo
IP và cổng đế mail của chủ Trojan
35
FTP Trojans
FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP
Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ file
nào tồn tại trên máy tính của nạn nhân.
36
FTP Trojans : TinyFTPD
37
VNC Trojans
38
VNC Trojan Tool
39
HTTP/HTTPS Trojans
40
HTTP Trojan : HTTP Rat
41
SHTTPD Trojan – HTTPS (SSL)
SHTTPD là một HTTP server nhỏ có thể được nhúng vào trong bất kỳ chương trình nào
Nó có thể được làm cầu nối với một chương trình chính hãng( game Chess.exe), khi thực thi nó
sẽ biến một máy tính thành một máy chủ Web vô hình
42
ICMP Tunneling
43
ICMP Trojan : icmpsend
44
Remote Access Trojan
Trojan làm việc giống như truy cập Remote Desktop. Hacker chiếm đoạt được hết GUI truy cập đến hệ thống từ
xa
1.
2.
3.
Lây nhiễm máy tính(Rebecca’s) với server.exe và Trojan kết nối ngược trở lại
Trojan kết nối đến cổng 80 để Attacker tại Nga thiết lập một kết nối đảo ngược
Jason, kẻ tấn công, có toàn quyền điều khiển máy của Rebecca
45
Remote Access Trojan: RatDarkComet
46
Remote Access Trojan: Apocalypse
47
Kênh Trojan bí mật : CCTT
1. Covert Channel Tunneling Tool (CCTT) Trojan hiện nay có nhiều kỹ thuật khai thác khác nhau,
tạo ra các kênh chuyển giao dữ liệ tùy ý được ủy quyền bỏi hệ thông kiểm soát truy cập mạng
2. Nó cho phép kẻ tấn công có được một vỏ bọc máy chủ bên ngoài từ bên trong mạng nội bộ và
ngược lại
3. Nó thiết lập một TCP/UDP/HTTP CONNECT| PORT CHANNEL cho phép dòng dữ liệu TCP
(SSH, SMTP, POP, etc...) giữa một máy chủ bên ngoài và một hộp từ bên trong mạng nội bộ
48
E-Banking Trojan
E-Banking Trojan đánh chặn các thông tin tài khoản của nạn nhân trước khi nó được mã hóa và gửi lệnh Trojan và trung tâm điều khiển của kẻ tấn
công
49
Phân tích Banking Trojan
50
E-Banking Trojan : ZeuS
Zeus là một Trojan ngân hàng đánh cắp dữ liệu từ máy tính bị nhiễm thông qua trình duyệt web và lưu trữ
được bảo vệ
51
Trojan Phá hoại
Đây là một loại
Trojan nguy hiểm
Trojan này sẽ phá
toàn bộ ổ đĩa mạng
Khi thực thi, Trojan
sẽ phá hủy hệ thống
Người dùng không
thể boot hệ thống
và cục bộ của hệ
thống
52
Trojan Thông báo
53
Credit Card Trojan
54
Trojan Che Giấu Dữ Liệu (Trojan Mã Hóa)
55
BlackBerry Trojan : PhoneSnoop
56
MAC OS Trojan : DNSChanger
57
MAC OS Trojan : DNSChanger
58
MAC OS Trojan : Hell Raiser
59
Dò tìm Trojan
60
Dò tìm Trojan
61
Quét cổng đáng ngờ
1/ Trojan mở cổng không sử dụng trong máy tính nạn nhân để kết nối trở lại để xử lý
2/ Hãy tìm thiết lập kết nối đến các địa chỉ IP không rõ hoặc đáng ngờ
62
Công cụ giám sát cổng: IceSword
63
Công cụ giám sát cổng: CurrPort và TCP View
64
Quét tiến trình đáng ngờ
65
Công cụ quét tiến trình: What’s running
66
Công cụ quét tiến trình
67
Quét Registry đáng ngờ
68
Công cụ giám sát Registry
69
Quét trình điều khiển thiết bị đáng ngờ
70
Công cụ giám sát trình điều khiển thiết bị: DriverView
71
Công cụ giám sát trình điều khiển thiết bị
72
Quét các dịch vụ đáng ngờ
73
Công cụ giám sát dịch vụ Windows :
Manager (SrvMan)
Windows Service
74
Công cụ giám sát dịch vụ Windows
75
Quét các chương trình đang khởi động
76
Windown 7 Startup Registry Entries
77
Công cụ giám sát chương trình đang khởi động : Starter
78
Công cụ giám sát chương trình đang khởi động : Security
Autorun
79
Công cụ giám sát chương trình đang khởi động
80
Quét các tập tin và thư mục đáng ngờ
81
Kiểm tra tính toán vẹn của tập tin và Folder: FastSum và
MD5
82
Công cụ kiểm tra tính toán vẹn của tập tin và Folder
83
Quét các hoạt động mạng đáng ngờ
84
Phát hiện Trojan và sâu máy tính : Capsa Network Analyzer
Capsa là một công cụ phân tích mạng trực quan, cung cấp thông tin chi tiết để giúp kiểm tra nếu có bất kỳ hoạt động Trojan trên mạng
85
Phương pháp phòng chống
86
Biện pháp đối phó với Trojan
87
Biện pháp đối phó với Backdoor
88
Bộ công cụ xây dựng Trojan Horse
89
Phần mềm phòng chống Trojan
90
Phần mềm Anti-Trojan: TrojanHunter
91
Phần mềm Anti-Trojan: Emisoft Malware
92
Phần mềm Anti-Trojan
93
Kiểm tra xâm nhập
94
Kiểm tra xâm nhập Trojan và Backdoor
Quét hệ thống cổng mở, các tiến
trình đang chạy, các khóa registry,
trình điều khiển thiết bị và dịch vụ
Nếu bất kỳ cổng đáng ngờ, quá
trình, mục đăng ký, trình điều
khiển thiết bị hoặc dịch vụ được
phát hiện, kiểm tra các tập tin thực
thi liên quan
Thu thập thêm thông tin về
các từ trang web của nhà phát
hành, nếu có, và Internet
Kiểm tra nếu các cổng được mở bởi Trojan
95
Kiểm tra xâm nhập Trojan và Backdoor
96
Kiểm tra xâm nhập Trojan và Backdoor
97
HẾT
98
[...]... và đồng thời cũng thay đổi tổng kiểm tra và mã hóa tập tin Thay đổi cú pháp của Trojan Chuyển từ EXE sang VB script Chuyển từ EXE sang DOC Chuyển từ EXE sang PPT Chuyển từ EXE sang PDF 19 Loại Trojan 20 Loại Trojan 21 Shell Trojan Shell Trojan cho phép điều khiển từ xa lệnh Shell trên máy nạn nhân Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng cho attacker kết nối đến... Defacement Trojans: Restorator 30 Botnet Trojans Botnet Trojan lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa lý rộng lớn, tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ, spamming, Click gian lận và trộm cắp thông tin tài chính 31 Botnet Trojans. .. attacker cho phép chạy lệnh shell trên máy nạn nhân 22 Shell Trojan : Netcat 23 GUI Trojan : Mosucker 24 GUI Trojan : Jumper - Biodox 25 Tài liệu Trojan Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân Trojan được thực thi khi nạn nhân mở file tài liệu và click và gói Trojan trên hệ thống của nạn nhân 26 Email Trojan Attacker điều khiển từ xa máy tính của nạn nhân bằng cách... cổng phổ biến được sử dụng bởi Trojan 11 Lây nhiễm Trojan 12 Làm thế nào Trojan lây nhiễm vào hệ thống I Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan II Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên máy tính mục tiêu 13 Làm thế nào Trojan lây nhiễm vào hệ thống III Tạo ra một wrapper để cài đặt lên máy nạn nhân IV Phổ biến Trojan V Thực thi các dropper VI Thực thi... Các lỗi của phần mềm duyệt và gửi mail 17 Trojan được khai thác như thế nào 18 Kỹ thuật phòng chống Virus Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy nhất Không bao giờ sử dụng Trojan được tải từ WEB(vì các anti-virus có thể dò tìm ra nó Viết một Trojan rồi nhúng nó vào một ứng một các dễ dàng) dụng Thay đổi nội dung tập tin Trojan bằng cách sử HEX và đồng thời cũng thay đổi... Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này 34 Proxy Server Trojan : W3bPr0xy Tr0j4n W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế mail của chủ Trojan 35 FTP Trojans FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ... Trojan:NetBot Attacker 33 Proxy Server Trojan Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này 34 Proxy Server Trojan :... một email Attacker có thể lấy file hoặc thư mục bằng cách gửi lệnh thông qua email Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc 27 Email Trojan : RemoteByMail 28 Defacement Trojans Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng và thay thế các chuỗi, bitmaps, logos và icon từ nhiều cửa sổ Ví dụ : deface calc.exe chương trình Áp dụng cho người... Wrapper kết nối hai giao diện khác nhau Một wrapper gắn file thực thi Trojan với một trình ứng dụng như là games hoặc office Khi người dùng chạy wrapper lần đầu , nó sẽ chạy Trojan làm background và sau đó chạy ứng Hai chương trình wrapper có thể được dụng wrapper làm foreground kết nối trong 1 file đơn 15 Chương trình Wrapper 16 Trojan có thể lây nhiễm vào hệ thống bằng những cách khác nhau Hợp pháp hóa