Module Trojan Và Backdoor Những Nội Dung Chính Trong Chương Này Giới Thiệu Về Backdoor Trojan Là Gì Overt Và Covert Channel Netcat Cách Nhận Biết Máy Tính Bị Nhiễm Trojan Thế Nào Là “Wrapping” ? Phòng Chống Trojan Để kiểm soát mục tiêu hacker thường sử dụng trojan backdoor, chúng có số điểm khác biệt có chung cách thức lây nhiễm cần cài đặt thông qua chương trình khác hay người dùng phải bị dẫn dụ để click vào tập tin đính kèm mã độc email, hay truy cập vào đường link liên kết đến trang web chèn mã khai thác, mã độc chứa trojan hay backdoor nhúng kèm shellcode (chúng ta trình bày khái niệm phần sau) cài đặt máy nạn nhân Một số tài liệu tham khảo trojan backdoor - Virus Construction Kit : http://youtu.be/r0PKMNeMIfI - ICMP Shell Backdoor : http://youtu.be/C0j7Df3xQrQ Backdoor Backdoor hay gọi “cổng sau” chương trình mà hacker cài đặt máy tính nạn nhân để điều khiển hay xâm nhập lại dễ dàng Một chức khác backdoor xóa tất thông tin hay chứng mà hacker để lại họ xâm nhập trái phép vào hệ thống, backdoor tinh vi tự nhân hay che dấu để trì “cổng sau” cho phép hacker truy cập hệ thống chúng bị phát Kỹ thuật mà backdoor thường thực thêm dịch vụ hệ điều hành Windows, dịch vụ khó nhận dạng hiệu cao Do tên chúng thường đặt giống với tên dịch vụ hệ thống hay chi hacker tìm tên tiến trình hệ thống không hoạt động (hay tắt tiến trình này) dùng tên đặt cho backdoor Điều qua mặt chuyên gia hệ thống giàu kinh nghiệm Một backdoor thường đề cập CEH Remote Administration Trojan (RAT) cho phép hacker kiểm soát máy tính bị chiếm quyền điều khiển với chức xem quản lý toàn desktop, thực thi tập tin, tương tác vào registry hay chí tạo dịch vụ hệ thống khác Không backdoor thông thường RAT neo chúng hệ điều hành nạn nhân để khó bị xóa có hai thành phần mô hình hoạt động backdoor thành phần client thành phần server Trong server tập tin cài vào máy tính bị lây nhiễm client ứng dụng mà hacker dùng để điều khiển server Hình 6.1 – RAT backdoor Trojan ? Đôi phân biệt chức Backdoor Trojan công cụ cao cấp thuộc dạng có chức giống Sự phân biệt liên quan đến hành động chúng mà hacker thực hiện, ví dụ hacker cần tiến hành công từ chối dịch vụ thành phần mã độc máy tính nạn nhân gọi trojan, hacker thâm nhập vào máy chủ qua mã độc cài sẳn chương trình nguy hiểm xem backdoor Và trojan backdoor hay ngược lại Trojan ban đầu ý tưởng điều khiển máy tính liên phòng ban quân sự, sau hacker phát triển thành công cụ công nguy hiểm Tên gọi trojan lấy ý tưởng từ chiến thành Troy với tên gọi Trojan Hoorse, có lẽ bạn xem qua hay nghe nói đến phim chiến thành Troy tài tử Brad Pitt thể xuất sắc vài anh hùng Achil, với quân lực mạnh mẽ hạ thành, bọn họ lập mưu tặng quà ngựa gỗ khổng lồ có chiến binh núp bên để đêm xuất công phá thành từ phía bên Hình 6.2 giao diện điều khiển trojan điển hình Zeus Trojan máy tính vậy, cài vào hệ thống thông qua hình thức “tặng quà” hay cách tương tự Ví dụ ta cần kiếm chương trình phục vụ công việc tìm chúng qua mạng chia sẽ, diễn đàn hay tìm kiếm torrent ứng dụng Các hacker biết rõ điều nên họ tạo sẳn chương trình với tập tin crack “khuyến mãi” thêm mã độc (trojan/backdoor) Nếu bất cẩn bạn bị nhiễm trojan theo hình thức này, bị nhiễm tìn hiệu bàn phím gõ vào hay hành động máy tính thông báo đến hộp thư hacker hay đẩy lên máy chủ FTP mạng internet Đối với trojan phức tạp tinh vi trang bị thêm chế nhận lệnh từ kênh IRC để hacker dễ dàng điều khiển phát động “tổng công” gây tình trạng từ chối dịch vụ website hay máy chủ quan hay tổ chức Hình 6.1 - ZeuS trojan thường dùng để đánh cắp tài khoản ngân hàng trực tuyến Trong bảng 6.1 danh sách số trojan thông dụng cổng tương ứng mà chúng hoạt động : Trojan BackOrifice Deep Throat NetBus Whack-a-mole NetBus GirlFriend Protocol (Giao thức vận chuyển) UDP UDP TCP TCP TCP TCP Port / Cổng 31337, 31338 2140, 3150 12345, 12346 12361, 12362 20034 21544 Masters Paradise TCP 3129, 40421, 40422, 40423, 40426 Bảng 6.1 – Các trojan thông dụng số hiệu cổng tương ứng Overt Và Covert Channel Có hai chế truyền thông máy tính hay hệ thống mạng hợp lệ bất hợp lệ Những ứng dụng trò chơi hay chương trình nghe nhạc, xem phim truyền liệu sử dụng co chế truyền hợp lệ qua kênh truyền gọi Overt Chennel Ngược lại, hacker điều khiển máy tính nạn nhân thướng sử dụng kênh truyền bất hợp lệ Covert Channel Thành phần client (điều khiển) Trojan sử dụng covert channel để gởi thị đến server (thành phần trojan cài máy tính bị điều khiển, hay zombie) Covert channel dựa lỹ thuật gọi tunneling,trong kỹ thuật giao thức gói giao thức khác nhằm vượt qua kiểm soát firewall ICMP tunneling phương pháp dùng ICMP ECHOrequest ECHO reply để mang theo paypload (chương trình mà hacker muốn chạy máy nạn nhân) Hoặc phương pháp tunnling qua giao thức http gọi lại http tunnling, giao thức bao bọc giao thức SSH gọi SSh tunneling, kỹ thuật vượt firewall rât hay hacker sử dụng Các bạn tham khảo viết chủ đề Pcworld với tựa đề “Cách Không Chỉ Điểm” Với SSH Tunneling ! Công Cụ Tấn Công Loki công cụ công cho phép truy cập mức cao vào trình điều khiển lệnh dựa ICMP, khiến cho việc phát chúng trở nên khó khăn backdoor thông thường dựa TCP hay UDP Các Loại Trojan Trojan sử dụng cho nhiều dạng công khác từ đánh cắp liệu chạy chương trình từ xa, công từ chối dịch vụ …Có nhiều dạng trojan khac mà bạn cần lưu ý chương trình CEH :  Remote Access Trojan (RAT) — dùng để truy cập từ xa vào hệ thống  Data-Sending Trojan — dùng để đánh cắp liệu hệ thống gởi cho hacker  Destructive Trojan — sử dụng để phá hủy tập tin hệ thống  Denial of Service Trojan — dùng để phát động đợt công từ chối dịch vụ  Proxy Trojan —được dùng để tạo võ bọc truyền thông (tunnel) hay phát động công từ hệ thống khác  FTP Trojan — dùng để tạo dịch vụ FTP nhằm chép liệu lên hệ thống bị nhiễm  Security software disabler Trojan — dùng để tắt dịch vụ phòng chống virus, trojan Các Trojan Và Backdoor Cần Quan Tâm TROJ_OAZ trojan thay đổi tên chương trình notepad.cexe note.com sau chép thành notepad.exe vào thự mục hệ thống Windows Như mở chương trình notepad trojan hoạt động mở công hậu (backdoor) 7597 để hacker thâm nhập vào máy tính từ xa TROJ_OAZ nhiễm vào registry để nạp máy tính khởi động Tini trojan có kích thươc nhỏ đơn giãn hoạt động hệ điều hành Windows chuyên lắng nghe cổng 7777 cho phép hacker chạy lệnh từ xa thông qua chương trình telnet đến cổng máy tính bị lây nhiễm Donald Disk dạng backdoor Trojan hệ thống Windows cho phép hacker toàn quyền kiểm soát qua môi trường internet Hacker đọc, ghi, xoa hay chạy ứng dụng hệ thống Donald Disk kèm thoe keylogger để bắt tín hiệu bàn phím thay đổi registry để thực hành động đóng mở khay CD-ROM Donald Disk hoạt động cổng mặc định 23476 hay 23477 NetBus chương trình Trojan với giao diện đồ họa (đa số trojan ngày dùng cữa sở đồ họa thiết kế rõ ràng giúp cho hacker dễ dàng sử dụng), netbus có chức tương tự Donald Disk việc điều khiển máy tính từ xa Đây ứng dụng dùng để “nghịch” chút máy tính đồng nghiệp trước làm cho chủ nhân máy tính bị nhiễm ngạc nhiên thấy khe CD-ROM bị đóng mở liên tục mà sao, cho bị hư phần cứng Trong tình thử nghiệm sử dụng file hình ảnh để đính kèm trojan Netbus thêm khóa vào registry HKEY_CURRENT_USER\NetBus Server thay đổi giá trị cổng HKEY_CURRENT_USER\NetBus Server\General\TCPPort Nếu NetBus cấu hình chạy tự động máy tính bị nhiễm xuất khóa tên NetBus Server Pro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS ervices ComputerSpy Key Logger ứng dụng lưu lại tín hiệu bàn phím để thu thập thông tin đăng nhập người dùng trang ICQ, MSN, AOL, AIM Yahoo Messenger hay webmail Ngoài công cụ hình theo khoảng thời gian xác định Beast trojan chạy nhớ cấp phát cho dịch vụ WinLogon.exe, cài chương trình tự chèn vào Windows Explorer hay Internet Explorer Beast thuộc dạng trojan tất (all in one) thành phần server, client server editor đề nằm ứng dụng CyberSpy thuộc dạng telnet trojan có khả chép vào thư mục hệ thống Windows tự đăng kí registry để chạy hệ thống khởi động Một cài CyberSpy thông báo cho hacker biết cổng lắng nghe qua email hay ICQ SubRoot trojan quản trị từ xa mà hacker dùng để điều khiển máy tính bị nhiễm qua cổng 1700 LetMeRule thuộc loại trojan quản trị từ xa (RAT) lắng nghe cổng máy tính bị lây nhiễm, cho phép hacker xóa hay thực thi tập tin máy tính nạn nhân, xem sữa đổi registry hay điều khiển máy tính thông qua dòng lệnh Firekiller 2000 có chức tắt chương trình chống virus ứng dụng tường lữa Một bị nhiễm mã độc chương trình phòng vệ tác dụng, buộc lòng phải gỡ cài lại chúng sau quét trojan/backdoor từ chế độ safemode hay đĩa khởi động DVD/CD Hard Drive Killer Pro có cna8ng phá hũy toàn liệu hệ thống DOS hay Windows BackOrifice 2000 công cụ điều khiển từ xa với giao diện đồ họa, BackOrifice không xuất danh sách tiến trình hay tasklist Cũng trojan mạnh mẽ khác no có khả thêm khóa registry để chạy máy tính khởi động Bên cạnh BackOrifice có plug in hỗ trỡ chức mã hóa với giao thức mạnh mẽ 3DES, điều khiển desktop từ xa chuột hay bàn phím … Netcat Trojan Và Những Chức Năng Thông Dụng Netcat trojan dạng dòng lệnh mạnh mẽ dễ sử dụng Trước đây, Netcat xem công cụ “sạch” bị hacker sử dụng nhiều vào mục tiêu không sáng nên hầu hết chương trình phòng chống virus đưa Netcat vào danh sách đen Công cụ có khả mở cổng TCP hay UDP máy tính bị nhiễm, hacker sử dụng chương trình telnet để kết nối tới cổng mở thực nhiều thao tác nguy hiểm truyền file, thực thi lệnh Netcat chạy hệ thống Windows Linux, tương tác theo mô hình client / server minh họa Hình 6.2 : Hình 6.2 – Netcat Để xem tùy chọn Netcat chạy lệnh nc.exe –h Hình 6.3 : Hình 6.3 – Các tùy chọn Netcat Ví dụ bạn muốn tạo kênh chat hai máy với netcat server (có IP là192.168.0.1) netcat client lắng nghe cổng xác định ví dụ 3333 máy có địa 192.168.0.1 với lệnh : C:\nc.exe -l 3333 Trên máy lại kết nối thông qua lệnh : C:\nc.exe 192.168.0.1 3333 Truyền Tập Tin Với Netcat Với Netcat ta truyền tập tin dễ dàng, lấy ví dụ hai máy cần truyền tập tin backup.iso từ máy 192.168.0.1 (server) máy 192.168.0.1 chạy lệnh máy đóng vai trò server C:\ cat backup.iso | nc -l 3333 Để nhận tập tin backup.iso client chạy lệnh: C:\ nc 192.168.0.1 3333 > backup.iso Dùng Netcat Như Là Công Cụ Quét Cổng Một chức thú vị khác Netcat khả quét cổng mở ma1yti1nh xa thông qua tùy chọn –z Không ứng dụng quét cổng khác Netcat không khởi tạo kết nối đến máy từ xa mà nhận dạng cổng mở, ví dụ ta muốn kiểm tra xem cổng từ 80 đến 90 máy 192.168.0.1 sử dụng lệnh : C:\ nc -z 192.168.0.1 80-90 Connection to 192.168.0.1 80 port [tcp/http] succeeded! Kết cho thấy cổng 80 mở dịch vụ tcp/http hoạt động Nhận Biết Máy Tính Bị Nhiễm Trojan Như Thế Nào ? Ngoài việc sử dụng chương trình diệt virus cập nhật đầy đủ Avast, Kaspersky, Nob32 …thì vào hành vi bất thường máy tính thông báo lỗi lạ, CDROM hoạt động đóng mở tự động cho biết máy tính có vấn đề có khả bị lây nhiễm trojan / backdoor Chúng ta giám sát cổng hệ thống Windows với lệnh C:\netstat – na để xem cổng lạ mở, có cổng hình minh họa sau có lẽ máy tính đa bị nhiễm mã độc Hình 6.4 – Các cổng tương ứng với chương trình nguy hiểm Ngoài ra, việc sử dụng chương trình giám sát mạng Wireshark để phát kết nối bất hợp lý, truyền thông khả nghi biện pháp tốt để phát trojan / backdoor tinh vi Vì nhiều mã độc có khả ẩn qua mặt chường trình diệt virus, không xuất danh sách task list hay tiến trình chạy chúng truyền thông với hacker để nhận lệnh gói tin qua mặt ứng dụng giám sát đường truyền Wireshark, phương pháp tư vấn cho số học viên trước làm việc Bộ tài để phát trojan nguy hiểm chuyên đánh cắp liệu gởi sang máy chủ đặt nước Cũng hữu ích mà Wireshark xếp số 125 công cụ bảo mật hàng đầu trang www.sectools.org Các bạn xem phần giới thiệu công cụ bảo mật hàng đầu giới http://youtu.be/R3CUulCG1tA Thế Nào Là “Wrapping” ? Để phát tán mã độc hay trojan / backdoor hacker thường đính kèm công cụ vào công cụ hợp lệ khác, ví dụ thời gian gần website unikey.org bị hacker công chèn mã độc vào chương trình để người dùng download ứng dụng unikey máy cài đặt vô tình cài chương trình nguy hiểm hacker Và ứng dụng cho phép gắn trojan hay backdoor vào chương trình khác gọi wrapper trình gọi Wrapping hay đóng gói 10 Những công cụ đóng gói trojan : - - Graffiti chương trình game hoạt họa dùng để gói trojan người dùng tải máy tính để chơi cài trojan đóng gói Silk Rope 2000 wrapper kết hợp BackOrifice server ứng dụng thông thường khác EliTeWrap ứng dụng cao cấp chuyên đóng gói chương trình exe hoạt động hệ thống Windows EliteWrap tạo ứng dụng cài đặt để bung nén vào thư mục định IconPlus ứng dụng dùng để chuyển đổi icon theo nhiều định dạng khác hacker dùng cho việc phân tán mã độc nguy hiểm Ngoài ra, có ứng dụng hữu ích chương trình AutoIT cho phép người dùng tạo công cụ hay script theo lệnh hàm thư viên Windows Mặc dù công cụ hữu ích lại bị nhiều hacker Việt Nam lạm dụng để tạo công cụ nguy hiểm virus Yahoo! Messenger trước Và AutoIt tích hợp sẳn wrapper UPX để đóng gói kịch tạo ứng dụng diệt virus BKAV xem chương trình tạo Auto IT virus phát có header UPX Tuy nhiên, dạng “diệt nhầm bỏ sót” nhiều chương trình hữu ích viết Auto IT tất ứng dụng tạo Auto It xấu ví dụ kịch lockscreen.exe tạo để người dùng nhanh chóng khóa hình rời khỏi bàn làm việc với click chuột Trojan Construction Kit Trojan Maker Trojan construction kit va trojan maker công cụ mà hacker dùng để t75 tạo biến thể trojan / backdoor nguy hiểm riêng , với cấu hình riêng khởi tạo kết nối kênh IRC riêng, dựa vào số hiệu cổng mà chương trình diệt virus hay trojan scanning tool không nhận biết dấu hiệu trùng lắp sở liệu tạo Một số công cụ dùng để tạo trojan Senna Spy Generator, Trojan Horse Construction Kit, Pandora’s Box Phòng Chống Trojan Hầu hết ứng dụng phòng diệt virus có khả phòng chống trojan, ngăn ngừa chúng lây nhiễm hệ thống máy tính Tuy nhiên, bạn nên sử dụng chương trình antivirus cập nhật đầy đủ để phát biến thể mã độc Trong trường hợp sử dụng chương trình diệt virus miễn phí nên chọn ứng dụng đánh giá tốt nhất, AVAST ! Antivirus Free cài hệ 11 thống Windows XP, Windows 7, Windows Vista sử dụng với hiệu cao, cảnh báo đầy đủ virus website chứa mã độc Tuy nhiên, phiên thương mại có nhiều tính mạnh mẽ hơn, khả phòng chống trojan cao so với miễn phí Do đó, đặt yếu tố hiệu lên hàng đầu nên chọn sản phẩm thương mại AVAST, Kaspersky hay NOB 32 Bên cạnh đó, kết hợp thêm phiên BKAV, CMC miễn phí (hay có phí) nhằm ngăn ngừa virus nội giải pháp đáng quan tâm Ngoài ra, nên cẩn thận sử dụng phần mềm crack hay chạy tập tin vá, chương trình lấy keygen nguồn lây nhiễm trojan, virus hàng đầu Trong trường hợp cần cài đặt thử nghiệm ứng dụng không tin cậy cài trước máy ảo để xem có tác hại hay hành động khả nghi không (giám sát với chương trình Wiresharke, Process Monitor, dùng lệnh netstat –na để kiểm soát session máy tính…) Những Công Cụ Giám Sát Port Và Dò Tìm Trojan Fport : Công cụ miễn phí Foundstone báo cáo tình trạng tất cổng TCP / UDP mở với dịch vụ tương ứng hoạt động cổng Hãy ứng dụng Fport để nhanh chóng phát tình trạng hoạt động cổng dịch vụ máy tính bạn TCP View : Chương trình hoạt động hệ điều hành Windows hiển thị chi tiết điểm đầu cuối tham gia truyền thông TCP / UDP bao gồm địa local remote tình trạng kết nối TCP (tại không nói đến tình trạng “kết nối UDP”, đ1o UDP giao thức hướng liên kết, cần ghi nhớ để tránh bị bẫy câu hỏi CEH) PrcView : Là ứng dụng dùng để giám sát tiến trình hoạt động, công cụ dạng dòng lệnh hay, có khả kill (đóng) tiến trình nguy hiểm Inzider : Là ứng dụng hữu ích liệt kê tiến trình hoạt động hệ thống Windows cổng tương ứng, Inzider phát số trojan BackOrifice chúng tự chèn vào tiến trình hệ thống để ẩn danh sách Task list trojan phải mở cổng xác định Tripwire : Ứng dụng Linux dùng để kiểm tra tính toàn vẹn hệ thống tập tin, sử dụng thuật toán băm để xác định tình trạng tập tin hệ thống nhận biết có thay đổi xảy Tripwire tạo thiết lập chuẩn (baseline) hệ thống thường xuyên quét tập tin có thay đổi xảy cảnh báo cho quản trị hệ thống 12 Phòng Chống Trojan Bằng Cách Kiểm Tra Tính Toàn Vẹn Của tập Tin Trên hệ thống Windows Server 2003 trở sau có tính gọi Windows File Protection (WFP) giúp ngăn ngừa việc thay tập tin bảo vệ WFP kiểm tra tính toàn vẹn tập tin có tác động đến tập tin SYS, DLL, OCX, TTF hay EXE Điều bảo đảm có tập tin xác thực Microsoft thay đổi tập tin hệ thống Ngoài ra, sử dụng công cụ sigverif xem tập tin có xác thực Microsoft hay không thông qua thao tác sau : Click vào nút Start Click vào Run Nhập vào lệnh sugverif nhấn Start kết tập tin xác thực hiển thị Hoặc tiến hành kiểm tra tình trạng tập tin với System File Checker qua lệnh sfc / scannow để phát tập tin bị trojan thay đổi, phát System File Checker phục hồi chúng từ thư mục Windows\system32\dllcache Tổng Kết Như vậy, chương tìm hiểu trojan backdoor với đặc điểm khác biệt chúng Các bạn cần ghi nhớ cổng thông dụng mà trojan hay backdoor thường sủ dụng phương pháp dùng để kiểm tra có mặt phần mềm độc hại Trong câu hỏi thi chứng CEH thường hay đề cập đến cổng mà trojan Subseven, BackOrofice hay Netbus hoạt động, điểm lưu ý khác tùy chọn quan trọng trojan Netcat 13