CEH v10

[CEH-Module 7] Phần 1: Malware Threats – Malware, Trojan

Posted on by Thiên Phong

Khái niệm

Malware là từ viết tắt của cụm từ Malicious Software (phần mềm độc hại). Thuật ngữ malware là một thuật ngữ phổ biến chỉ nhiều loại phần mềm độc hại, được thiết kế đặc biệt để tiếp cận mục tiêu, lấy cắp thông tin và phá hoại hệ thống.

Bất cứ phần mềm nào tạo ra với mục tiêu ác ý như phá hỏng, vô hiệu hóa hay giới hạn kiểm soát của người dùng chính thống và cung cấp quyền truy cập cho kẻ tấn công hay người phát triển phần mềm đều được coi là malware.

Phân loại

Malware được chia thành nhiều loại như VirusesWormsKeyloggersSpywaresTrojansRansomware và các loại khác.
Viruses và Worms sử dụng những kĩ thuật cũ trong khi các Malware khác có những thủ đoạn mới mẻ và nguy hiểm hơn.

Cách lan truyền malware

Có rất nhiều cách để malware truy cập vào hệ thống. User nên cẩn thận khi tiếp cận các phương pháp lan truyền phổ biến sau:

Phần mềm miễn phí

Khi cung cấp miễn phí phần mềm trên mạng, phần mềm đó thường được tổ chức cung cấp đính kèm một số phần mềm và ứng dụng khác. Bên thứ ba có thể lợi dụng những phần mềm thêm vào này để lan truyền malware.

Ví dụ tiêu biểu nhất của phần mềm miễn phí là những file crack chứa malware, hoặc chỉ có malware ngụy trang thành tệp crack.

Dịch vụ chia sẻ tệp

Dịch vụ chia sẻ tệp như torrent, TeamViewer, UltraView, Peer-to-peer chuyển tiếp tệp qua vô số máy tính. Trong quá trình chia sẻ, tệp có thể bị nhiễm độc, hoặc tệp nhiễm độc có thể được chia sẻ kèm theo bởi vì có một máy tính bảo mật kém.

Phương tiện có thể gỡ bỏ

Malware có thể lan truyền thông qua các phương tiện như USB. Có nhiều loại malware nâng cao có thể lan truyền qua khu lưu trữ của USB cũng như qua Firmware gắn trong phần cứng. Ngoài USBExternal hard diskCDDVD cũng có thể chứa malware bên trong.

Email

Hiện nay, email là phương tiện giao tiếp phổ biến nhất trong một tổ chức. Malware có thể lan truyền thông qua tệp đính kèm trong email hoặc email có chứa URL độc hại.

Không sử dụng tường lửa và Anti-Virus

Vô hiệu hóa tường lửa và chương trình Anti-Virus hay không sử dụng các phần mềm an ninh Internet có thể gây ra việc tải về malware ngoài ý muốn. Anti-virus và tường lửa sẽ chặn tải về malware tự động và cảnh báo khi phát hiện malware.

Khái niệm Trojan

Trojan (Trojan Horse) là chương trình độc hại, thuật ngữ này bắt nguồn từ một câu chuyện Hi Lạp cổ về một con ngựa gỗ lớn chứa các binh sĩ ẩn nấp bên trong. Khi con ngựa này vào thành phố, các binh sĩ này nhảy ra và bắt đầu tấn công thành phố.

Giống như câu chuyện, Trojan Horse nguỵ trang và đợi thời cơ tốt nhất để tấn công. Phần mềm này có thể giúp kẻ tấn công tiếp cận cũng như cung cấp quyền truy cập không chính thống. Trojan cũng có thể làm các thiết bị kết nối chung một mạng bị nhiễm độc.

Một phần mềm ác ý đánh lừa user về mục đích thật sự của nó được coi là Trojan. Nó thường được lan truyền qua tấn công phi kĩ thuật. Mục đích chính của Trojan là:

  • Tạo cửa sau
  • Lấy quyền truy cập không chính thống
  • Lấy cắp thông tin
  • Lây nhiễm các thiết bị kết nối
  • Tấn công ransomware (mã độc tống tiền)
  • Sử dụng nạn nhân để spam
  • Sử dụng nạn nhân làm Botnet
  • Tải về các malware khác
  • Vô hiệu hóa tường lửa

Các port trojan thường gặp:

Quy trình lây nhiễm Trojan

Kẻ tấn công sử dụng những bước sau để gây nhiễm Trojan cho hệ thống mục tiêu.

  • Tạo ra một Trojan sử dụng Trojan Construction Kit (bộ xây dựng Trojan)
  • Tạo ra một Dropper
  • Tạo ra một Wrapper
  • Lan truyền Trojan
  • Thực thi Dropper

Trojan Construction Kit

Trojan Construction Kit cho phép người sử dụng tạo ra Trojan của riêng mình. Những Trojan tự tạo này nguy hiểm cho cả mục tiêu lẫn kẻ tấn công nếu không được thực thi đúng cách hoặc cháy ngược (backfire). Trojans tự tạo có thể tránh được phát hiện từ quét virus.

Một vài Trojan Construction Kit:

  • Dark Horse Trojan Virus Maker
  • Senna Spy Generator
  • Trojan Horse Construction Kit
  • Progenic mail Trojan Construction Kit
  • Pandora’s Box

Dropper

Dropper là một phần mềm hay chương trình thiết kế chủ yếu để chuyển một payload (*) đến hệ thống mục tiêu. Mục tiêu chính của Dropper là cài đặt mã malware vào máy mục tiêu, tránh khỏi cảnh báo và phát hiện. Nó sử dụng rất nhiều phương pháp để lan truyền và cài đặt malware.

(*)Trong an ninh máy tính, payload là một phần của một malware như worm hay virus, một đoạn code được chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó, như hủy bỏ dữ liệu, spam hay mã hóa dữ liệu. Thêm vào payload, những malware như vậy có thêm overhead code để lan truyền nó, hay để tránh bị nhận diện.

Công cụ Trojan Dropper:

  • TrojanDropper: Win32/Rotbrow.A
  • TrojanDropper: Win32/Swisyn
  • Trojan: Win32/Meredrop
  • Troj/Destover-C

Wrapper

Wrapper là một folder thường có một tệp độc hại để lan truyền TrojanWrapper thường là những tệp thực thi phổ biến như trò chơi, âm nhạc, tệp video cũng như những tệp bình thường khác.

Crypter

Crypter là phần mềm sử dụng khi tạo ra Trojan. Chức năng cơ bản của Crypter là mã hóa, phức tạp và điều chỉnh malware và chương trình độc hại. Bằng cách sử dụng Crypter để giấu tệp, các phần mềm an ninh sẽ khó phát hiện ra malware hơn.

Phần mềm này thường được hacker sử dụng để tạo ra malware có khả năng qua mặt các chương trình an ninh bằng cách ngụy trang như một phần mềm không ác ý cho đến khi được cài đặt. Một vài Crypter sẵn có để giấu malware là:

  • Cryogenic Crypter
  • Heaven Crypter
  • Swayz Cryptor

Triển khai Trojan

Quy trình triển khai Trojan khá đơn giản:

  • Một kẻ tấn công sẽ tải Trojan lên một server và phần mềm này sẽ tự động tải về khi nạn nhấn ấn vào link.
  • Sau khi tải lên, kẻ tấn công sẽ gửi một email chứa link độc.
  • Khi nạn nhân nhận được email spam và click vào link, máy sẽ kết nối với Trojan Server và tải Trojan về PC của nạn nhân.
  • Sau khi Trojan được cài đặt ở máy nạn nhân, Trojan sẽ cung cấp cho kẻ tấn công quyền truy cập không chính thống, thông tin cá nhân hay thực hiện một hành động kẻ tấn công thiết kế.

Các loại Trojans

Command Shell Trojans

Command Shell Trojans có khả năng truy cập quyền kiểm soát lệnh từ xa trên máy tính nạn nhân. Máy chủ Trojan như Netcat được cài đặt trên máy tính mục tiêu. Máy chủ sẽ mở cổng cho bên client kết nối với shell được cài đặt trong máy của kẻ tấn công.

Defacement Trojans

Sử dụng Trojan này, kẻ tấn công có thể xem, chỉnh sửa và trích rút thông tin từ các chương trình Windows. Kẻ tấn công có thể thay thế chuỗi, hình ảnh và logo bằng những dấu vết của mình. Bên cạnh đó, kẻ tấn công sử dụng ứng dụng tùy chỉnh User-Styled Custom Application (UCA) để thay đổi nội dung chương trình. Website Defacement là phần mềm phổ biến nhất.

HTTP/HTTPS Trojans

HTTP và HTTPS Trojans qua mặt sự thăm dò của tường lửa và thực thi ứng dụng trên máy mục tiêu. Sau khi thực thi, nó bắt đầu xây dựng đường hầm HTTP/HTTPS để giao tiếp với kẻ tấn công từ máy tính nạn nhân.

Botnet Trojans

Botnet là tập hợp nhiều máy tính đã bị tấn công hoặc thỏa hiệp, không bị giới hạn trong một mạng LAN nhất định mà có thể lan truyền qua một phạm vi địa lí lớn. Những botnet này được điều khiển bởi hacker qua Trung tâm lệnh và kiểm soát (Command and Control Center). Những botnet được sử dụng để thực hiện tấn công như từ chối dịch vụ, spam,…

Proxy Server Trojans

Trojan-Proxy Server là một ứng dụng malware riêng, có thể biến hệ thống host thành một proxy server. Kẻ tấn công có thể sử dụng máy tính nạn nhân như một proxy server do trojans này kích hoạt tính năng proxy server trên hệ thống mục tiêu. Kĩ thuật này được dùng để chuẩn bị cho các tấn công tiếp theo bằng cách che giấu nguồn gốc ban đầu của tấn công.

Remote Access Trojans (RAT)

RAT cung cấp cho kẻ tấn công quyền truy cập từ xa tới máy tính nạn nhân bằng cách mở Port cho phép truy cập GUI tới hệ thống từ xa. RAT bao gồm một cửa sau để duy trì truy cập quản lí và kiểm soát mục tiêu. Kẻ tấn công sử dụng RAT để quan sát hành động của user, truy cập thông tin tuyệt mật, chụp màn hình, thu âm và quay video sử dụng webcam, định dạng ổ cứng, chỉnh sửa tệp,…

Danh sách các công cụ RAT:

  • Optix Pro
  • MoSucker
  • BlackHole RAT
  • SSH-R.A.T
  • njRAT
  • Xtreme RAT
  • DarkComet RAT  
  • Pandora RAT  
  • HellSpy RAT
  • ProRat
  • Theef

Các loại Trojans khác:

  • FTP Trojans
  • VNC Trojans
  • Mobile Trojans
  • ICMP Trojans
  • Covert Channel Trojans
  • Notification Trojan
  • Data Hiding Trojan

Phòng tránh Trojan

Một hệ thống hay mạng có thể đối phó với đa số các loại Trojan nếu thực hiện những biện pháp phòng tránh tấn công Trojan đầy đủ:

  • Không click vào những tệp đính kèm đáng ngờ trong emai
  • Chặn những port không sử dụng
  • Quan sát lưu lượng mạng
  • Không tải về từ những nguồn không đáng tin cậy
  • Cài đặt phần mềm bảo mật và anti-virus phiên bản nâng cấp
  • Quét những phương tiện có thể gỡ bỏ trước khi sử dụng
  • Kiểm tra tính toàn vẹn của tệp
  • Kích hoạt kiểm kê
  • Thiết lập tường lửa host-based
  • Phần mềm phát hiện xâm nhập
Thiên Phong

Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi! There is a crack in everything, that's where the light gets in. Dám thử thách, bước ra khỏi vùng an toàn, may mắn sẽ tới.

1 thoughts on “[CEH-Module 7] Phần 1: Malware Threats – Malware, Trojan

  1. Pingback: Giới thiệu về Certified Ethical Hacker v10 (Tiếng Việt) - CRF Blogger

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
More info Accept