Trojans và Virus
Ngô Văn Công
Giới thiệu
Là một chương trình phá
hoại nhưng giả dạng một
chương trình hữu dụng.
Thu thập các thông tin về
hệ thống
Không tự nhân bản
Có thể là một trò chơi hay
là một chương trình hợp lệ.
Với sự giúp đỡ của trojans
thì attacker có thể truy cập
vào mật khẩu, đọc các
trang tài liệu, xóa file
trong máy tính bị nhiễm
Cách thức hoạt động
Attacker truy cập vào hệ thống bị nhiễm trojans khi người dùng lên mạng
Sau khi truy cập vào máy tính nạn nhân, attacker có thể triển khai nhiều kiểu
tấn công khác.
Chú ý:Để kết nối vào trojans, attacker phải biết địa chỉ IP của máy nạn nhân,
một số trojans có chức năng mail về cho attacker địa chỉ IP của máy nạn
nhân.
Trojans tự khởi động
Các trojans thường tự khởi động khi hệ thống nạn
nhân restart lại
Có nhiều cách tự khởi động
Gắn trojans vào chương trình explorer.exe
Một số file hệ thống:win.ini, system.ini, winstart.bat
Thêm mục vào registry
•
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run]
–
"Info"="c:\directory\Trojan.exe"
•
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\RunOnce]
–
"Info"="c:\directory\Trojan.exe"
•
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\RunServices]
–
"Info"="c:\directory\Trojan.exe"
Các kiểu trojans
Remote Access Trojans
Data-sending trojans
Lấy dữ liệu về mật khẩu và gửi về cho attacker
Destructive trojans
Phá hủy và xóa dữ liệu
Denial-of-Service Attack trojans
Giúp hacker thực hiện tấn công từ chối dịch vụ hệ
thống khác
Proxy trojans
Chuyển hệ thống nạn nhân thành proxy
FTP trojans
Mở port 21 và cho phép attacker kết nối vào hệ thống
Security Software disablers
Tắt các chương trình diệt virus
Mục đích tạo ra trojans
Lấy thông tin credit card
Thông tin tài khoản(email, password,
username )
Các tài liệu quan trọng
Thông tin tài chính(tài khoản nhà băng )
Sử dụng máy tính nạn nhân cho mục đích bất
chính như hack,scan,flood các máy tính khác trên
mạng
Cách thức trojans xâm nhập vào hệ thống
Thông qua các ứng dụng chat
Thông qua các file đính kèm
Thông qua file chia sẻ
Thông qua các chương trình giả mạo
Tài các tập tin,trò trơi, phần mềm từ internet
Trojans:netcat
Cung cấp kết nối mạng cơ bản bằng giao thức TCP/UDP cho phép user
tương tác với hệ thống đích
Kết nối vào và ra khỏi hệ thống bằng bất kỳ cổng nào
Netcat:client/server
Tổng kết
Trojans là đoạn mã nguy hiểm năm trong các
phần mềm cracker xâm nhập vào hệ thống đích
Múc đích chính trojans là xâm nhập và duy trì
truy cập vào hệ thống đích
Trojans nằm ẩn trong hệ thống, có thể thay đổi
registry để co phép truy cập từ xa vào hệ thống
Trojans thông dụng:back orifice, netbus,
Subseven
Có kiến thức về trojans và cái các chương trình
phát hiện và tiêu diệt trojans là cách tốt để ngăn
chặn trojans
Virus
Tin tức
Nội dung
Virus
Lịch sử virus
Các kiểu virus
Virus và Worm
Tấn công bằng virus
Tác hại virus
Giới thiệu
Virus máy tính là mối đe dọa đối với các
doanh nghiệp và các cá nhân
Virus máy tính là một đoạn chương trình
nhỏ có thể lây nhiễm giữa các máy tính
bằng cách tự nhân bản và tấn công các
tập tin khác
Khi tập tin bị nhiễm virus thì chương trình
virus sẽ tự chạy ở hậu cảnh mà người
dùng không hề biết gì
Sự ra đời virus
Các đặc tính của virus
Virus nằm trong bộ nhớ máy tính và tự
nhân bản khi chương trình chứa nó chạy
Virus có thể tự thay đổi codes để xuất hiện
khác đi
Tự che dấu để không bị phát hiện
Mã hóa thành các biểu tượng
Thay đổi dự liệu chỉ mục để thêm các bytes
virus vào file
Sử dụng “stealth algorithm” để chuyển hướng
dự liệu
Cách thức hoạt động của virus
Hầu hết virus hoạt động ở hai giai đoạn
Giai đoạn nhiễm vào hệ thống
•
Tác giả viết virus sẽ quyết định khi nào virus nhiễm
vào hệ thống
•
Một số virus nhiễm vào hệ thống khi nó được chạy
•
Một số khác nhiễm vào máy tính khi xuất hiện sự
kiện nào đó
Giai đoạn tấn công
•
Một số virus sau khi nhiễm vào sẽ tấn công hệ
thống: làm hỏng hệ thống hay xóa tập tin
Giai đoạn nhiễm vào hệ thống
Gắn vào tệp .EXE để lây nhiễm
Bước tấn công
Làm chậm hệ thống bằng cách phân mảnh các tập tin
Worms
Worm
Là những chương trình có
thể tự nhân bản từ máy
tính sang máy tính nhưng
không lây nhiễm các
chương trình khác.
Không giống như virus,
Worm không dùng các tập
tin trên host để lây lan,
Worm chỉ tồn tại bên trong
tập tin, tập tin này sẽ được
truyền từ máy tính sang
máy tính thông qua hệ
thống mạng
Code Red Worm: IIS, nó
xóa trang web và hiện lên
thông điệp "Hacked By
Chinese," hơn 90.000 máy
tính chạy IIS nhiễm trong
vòng khỏang 4 giờ
Virus nhiễm vào hệ thống như thế nào
Tự nạp vào bộ nhớ và kiểm tra các file
chạy trên đĩa
Thêm đoạn mã virus vào các chương trình
hợp lệ mà người dùng không biết
Khi người dụng chạy các chương trình này
thì chương trình virus sẽ chạy và tìm các
tập tin khác nhiễm vào
Quá trình trên lặp lại cho tới khi người
dụng phát hiện ra sự bất thường của máy
tính
Các kiểu virus
Virus được phân loại dựa trên 2 tiêu chuẩn
Nhiễm vào cái gì
Các thức lây nhiễm
Phân loại virus
System sector hay là Boot virus
•
Nhiễm vào boot sector của đĩa cứng
File virus
•
Nhiễm vào các file thực thi của hệ điều hành
Macro virus
•
Nhiễm vào các tài liệu:word, excel
Source code virus
•
Thêm các đoạn trojan code vào các đoạn code trên máy
Network virus
•
Nhiễm vào máy thông qua mail hay qua mạng
System sector virus
System sector là vùng
đặc biệt trên đĩa chứa
chương trình sẽ chạy
khi khởi động máy
System sector thường
là đích các loại virus
Dùng các kỹ thuật
thông thường virus để
lây nhiễm và che dấu
chúng