Tội ác trong tin học
==========================================================================
I. TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI II.
III. KHOA CÔNG NGHỆ THÔNG TIN
IV.
Bài tập lớn môn:
MỘT SỐ VẤN ĐỀ XÃ HỘI CỦA CNTT
V. Đề tài:
TỘI ÁC TRONG TIN HỌC
Giảng viên hướng dẫn: Nguyễn Thị Lụa
Thầy Trần Doãn Vinh
Nhóm sinh viên:
Phạm Thu Hương
Trịnh Thị Thu Hương
Đỗ Thị Liên
Lớp : K54C
Hà nội Tháng 10/14
- 1 -
Tội ác trong tin học
==========================================================================
MỤC LỤC
Lời giới thiệu…………………………………………………………………… trang 2
I. Khái niệm tội ác trong tin học………………………………………… trang 2
II. Các loại hình tội phạm tin học………………………………………… trang 3
1. Virus …………………………………………………………………… trang 3
2. Hack…………………………………………………………………… trang 17
III. Các hình thức tấn công ………………………………………………… trang 24
1. Tấn công trực tiếp ……………………………………………………….
trang 24
2. Nghe trộm ……………………………………………………………
….trang 24
3. Giả mạo địa chỉ…………………………………………………………
trang 25
4. Vô hiệu các chức năng của hệ thống …………………………………….
trang 25
5. Lỗi của người quản trị hệ thống………………………………………….
trang 25
6. Tấn công vào tếu tố con người
………………………………………… trang 25
IV. Xu hướng và cách phòng chống ……………………………………… trang 25
1. Xu hướng ……………………………………………………………… trang 25
2. Phòng chống …………………………………………………………… trang 25
V. Thực trạng an ninh mạng ở Việt Nam ………………………… …… trang 29
1. An ninh mạng Việt Nam năm 2006…………………………… ………trang 29
2. An ninh mạng Việt Nam năm 2007 …………………………………… trang 30
3. Xu hướng an ninh mạng dến năm 2010……………………………… trang 33
- 2 -
Tội ác trong tin học
==========================================================================
Lời giới thiệu
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng
Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng Internet đã xâm nhập vào
hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên Internet cũng đa dạng cả về nội
dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin
cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị cao, yêu cầu phải đảm bảo tính ổn định
và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn.
“Siêu xa lộ thông tin không phải là đường cao tốc để chuyển tải tội ác. Ngăn chặn tội ác trên
Internet sẽ là điều chúng ta cần quan tâm. Có khi chủ quan, quá tin vào công nghệ và sự lơ là trong quản
lý là điểm yếu khiến hệ thống mạng ở Việt Nam thường không đứng vững trước tin tặc.Đây là vấn đề
quan tâm chung của các quốc gia phát triển và đang phát triển.
Dù đi tiên phong trong nghiệp vụ chống tội phạm máy tính, các chuyên gia của FBI vẫn tỏ ra dè
dặt trước kết quả đã đạt được trong chiến dịch Operation Cyber Sweep cũng như triển vọng hợp tác
chống tội phạm tin học toàn thế giới. John McCabe - một thành viên thuộc đội đặc nhiệm của FBI tại
Minneapollis, cho biết: “Điều tra tội ác trên mạng là điều hết sức khó khăn. Tuy nhiên vẫn có thể hy
vọng. Dù ranh ma, song tội phạm tin học vẫn để lại những dấu tay điện tử trên không gian ảo. Nhờ
những dấu vết này mà chúng tôi tìm ra chúng”.
Cảnh sát quốc tế đã lập nhiều nhóm an ninh mạng, phối hợp với đội ngũ chuyên gia mạng để
chống các hình thức tội phạm trong thế giới mạng. Các nhóm này phối hợp theo khu vực Mỹ , Âu, Phi
và châu Á- Thái Binh Dương. Mỗi nhóm bao gồm những người đứng đầu đội đặc nhiệm chống tội ác tin
học (Information Technology Crime Unit – ITCU) của một quốc gia. Tuy các đội đặc nhiệm ITCU của
từng quốc gia có nhiều khác biệt, nhưng Interpol vẫn liên tục tổ chức trao đổi thông tin, chia sẻ kinh
nghiệm, cập nhật tình hình tội phạm và huấn luyện các kỹ năng tin học cần thiết, để các nhóm chiến đấu
với tội phạm tin học và chiến thắng thế giới ngầm trên Internet. Nhóm phối hợp châu Á-Thái Bình
Dương của cảnh sát quốc tế hình thành từ năm 1998 và Việt Nam trở thành thành viên từ năm 2002.
Chống tội phạm tin học đã trở thành cuộc chiến có quy mô toàn cầu. Hôm 19-9, tại Singapore,
đại diện 10 nước thành viên ASEAN đã ra thông cáo chung về việc chia sẻ thông tin liên quan đến an
ninh máy tính trong năm tới và dự kiến sẽ hoàn tất việc thiết lập những đội đặc nhiệm chống tội phạm
trên mạng vào năm 2005.
Các đội đặc nhiệm này sẽ chia sẻ những thông tin liên quan đến hacker, các loại sâu và virus máy
tính, đồng thời hợp tác chống lại những hình thức tội ác mới trên mạng. Bước đầu tiên, một hiệp định
khung về chia sẻ thông tin có thể sẽ được thông qua vào năm tới.
Trong thế giới công nghệ, xuất hiện nhiều loại hình tội ác. Ở đây chúng tôi chỉ đề cập đến loại
hình tấn công phổ biến nhất là virus máy tính. Có rất nhiều cách tấn công, càn quét thế giới mạng.
- 3 -
Tội ác trong tin học
==========================================================================
I. Khái niệm “tội ác” trong tin học.
Thế giới đang chứng kiến sự phát triển như vũ bão của Công Nghệ Thông tin, Công nghệ máy
tính và đặc biệt là mạng Internet, các dịch vụ Internet ngày càng phát triển và lớn mạnh, xâm nhập hầu
hết các lĩnh vực trong đời sống xã hội: kinh tế, xã hội, chính trị đời sống, nó trở thành điều tất yếu không
thể thiếu như miếng ăn giấc ngủ của con người. Thời gian làm việc của con người với mạng máy tính
càng ngày càng nhiều hơn, người ta trao đổi, tin tức công việc thường xuyên trên mạng. Internet mang
lại cho người ta lợi ích về thời gian, kinh tế…
Dịch vụ mạng Internet ngày càng có giá trị cao vì vậy yêu cầu phải đảm bảo tính ổn định và an
toàn cao. Bên cạnh đó là những hình thức phá hoại mạng cũng trở lên tinh vi và phức tạp hơn.
II. Các loại hình tội phạm tin học
1.Virus.
Trong khoa học máy tính, virus máy tính còn gọi là virus máy tính là một loại chương trình máy
tính được thiết kế để tự nhân bản và sao chép chính nó vào các chương trình khác (truyền nhiễm tính)
của máy tính. Virus có thể rất nguy hiểm và có nhiều hiệu ứng tai hại như là làm cho một chương trình
không hoạt động đúng hay huỷ hoại bộ nhớ của máy tính (độc tính).
Có loại virus chỉ làm thay đổi nhẹ màn hình nhằm mụch đích "đùa giỡn" nhưng cũng có thứ tiêu
huỷ toàn bộ dữ liệu trên các ổ đĩa mà nó tìm thấy. Một số loại virus khác lại còn có khả năng nằm chờ
cho đến đúng ngày giờ đã định mới phát tán các hiệu ứng tai hại. Hầu hết các loại virus được phát triển
chỉ nhắm tấn công vào các hệ điều hành Windows vì thứ nhất thị phần của các hệ điều hành này lên đến
khoảng 90%, và thứ hai là hệ điều hành Windows không an toàn như các hệ điều hành dựa trên nhân
Linux.
Tuỳ theo chức năng hay phạm vi hoạt động, người ta có nhiều cách phân loại virus:
• Virus lan truyền qua thư điện tử
• Virus lan truyền qua Internet
• Các virus cổ điển
• Các khái niệm có liên quan
1.1. Virus lan truyền qua thư điện tử:
Đại đa số các virus ngày nay thuộc vào lớp này. Lí do là virus có thể tự tìm ra danh sách các địa
chỉ thư điện tử và tự nó gửi đi hàng loạt (mass mail) để gây hại hàng triệu máy tính, làm tê liệt nhiều cơ
quan trên toàn thế giới trong một thời gian vô cùng ngắn.
Một nhược điểm của loại virus này khiến chúng ta có thể loại bỏ nó dễ dàng là nó phải được gửi
dưới dạng đính kèm theo thư điện tử (attached mail). Do đó ngưòi dùng thường không bị nhiễm virus
cho tới khi nào tệp virus đính kèm được mở ra (do đặc diểm này các virus thường được "trá hình" bởi
các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
Nhược điểm thứ nhì của loại virus này là nó phải là tệp mệnh lệnh tự thi hành (self executable
file). Trong hệ thống Windows có một số kiểu tệp có khả năng này, chúng bao gồm các tệp có đuôi
(extension) là .exe, .com, .js, .bat, và các loại script. (Lưu ý, chữ "mệnh lệnh tự thi hành" là để phân
biệt với các tệp mệnh lệnh phải được gọi qua một chưong trình trung gian như dll, vxd.)
- 4 -
Tội ác trong tin học
==========================================================================
Trước đây, để tìm bắt các tay tin tặc chuyên phát tán virus thì FBI hay Interpol thường dựa vào
danh mục người gửi để truy ngược về người phát tán virus đầu tiên mà bắt giữ.
Tuy nhiên, loại virus này không phải là không có ưu điểm. Thứ nhất, nó có thể lợi dung khuyết
điểm làm tròn dung lượng hiển thị của hệ thống (Ví dụ: 2,01K thành 2K) để ẩn những con virus Dung
lượng nhỏ khi gửi. Thứ hai, nó có thể giấu một phần của tệp tin gửi và hiển thị đuôi file và chỉ cần người
dùng liên kết đến file đó là bị dính virus.
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm:
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn
công.
• .bat: Microsoft Batch File
• .chm: Compressed HTML Help File
• .cmd: Command file for Windows NT
• .com: Command file (program
• .cpl: Control Panel extension
• .doc: Microsoft World
• .exe: Executable File
• .hlp: Help file
• .hta: HTML Application
• .js: JavaScript File
• .jse: JavaScript Encoded Script File
• .lnk: Shortcut File
• .msi: Microsoft Installer File
• .pif: Program Information File
• .reg: Registry File
• .scr: Screen Saver (Portable Executable File)
• .sct: Windows Script Component
• .shb: Document Shortcut File
• .shs: Shell Scrap Object
• .vb: Visual Basic File
• .vbe: Visual Basic Encoded Script File
• .vbs: Visual Basic File
• .wsc: Windows Script Component
• .wsf: Windows Script File
• .wsh: Windows Script Host File
- 5 -
Tội ác trong tin học
==========================================================================
• .{*}: Class ID (CLSID) File Extensions
Ngày nay đã có rất nhiều loại virus mới tự bản thân chúng có thể "ăn cắp" tên và địa chỉ thư điện
tử của các chủ hộp thư khác để mạo danh mà gửi các đính kèm tới các địa chỉ chứa trong các hộp thư
của họ.
Do đó, ngay cả các thư điện tử có địa chỉ gửi từ người thân quen cũng không chắc là không
chứa các đính kèm có thể là virus. Nạn nhân điển hình của việc lan truyền virus kiểu này thường từ các
hộp thư điện tử miễn phí vì các hộp thư này thường không cung cấp đầy đủ các dịch vụ bảo vệ tối đa
cho thân chủ.
Dựa vào đó, một lời khuyên tốt nhất là đừng bao giờ mở các tệp mệnh lệnh mới qua thư điện tử
trừ khi biết rõ 100% là chúng không chứa virus.
Lưu ý:
Trong các chương trình hộp thư loại cũ (Outlook 95 chẳng hạn) hệ điều hành, bởi mặc định, sẽ
không hiển thị đuôi của các tệp đính kèm qua thư điện tử nên cần phải cài đặt lại để tránh lầm tưởng một
tệp có đuôi là .txt.exe thành đuôi .txt (vì khi đó hệ điều hành tự động dấu đi cái đuôi exe). Thay vì nhìn
thấy tên tệp là "love.txt.exe" thì người đọc chỉ nhìn thấy "love.txt" và lầm rằng đó chỉ là tệp kí tự
thường, nhưng kì thực nó là virus Love.
II.1.2 Virus lan truyền qua Internet
Khác với loại lan truyền qua thư điện tử, virus loại này thường ẩn mình trong các chương trình
lưu hành lậu (illegal) hay các chương trình miễn phí (freeware, shareware). Thật ra không phải chương
trình lậu hay chương trình miễn phí nào cũng có virus nhưng một số tay hắc đạo lợi dụng tâm lý "tham
đồ rẻ" để nhét virus vào đấy.
Loại này thường hay nằm dưới dạng .exe và nhiều khi được gói trong .zip.
Các hệ điều hành mới ngày nay có khả năng tự khởi động và cài đặt một phần mềm ngay sau khi
tải về máy. Tính năng này rất tiện lợi nhưng cũng vô cùng tai hại nếu nhỡ chương trình tải về có chứa
virus thì rõ ràng người tải về đã "cõng rắn cắn máy nhà".
Lời khuyên:
Đừng bao giờ cho phép (đồng ý nhấn nút OK mà không cần biết mình đã làm gì!!!) mở tệp tin
ngay lập tức sau khi tải về mà trước nhất phải kiểm qua virus.
1.2 Các virus cổ điển:
Virus đầu tiên là phát minh của một thiếu niên ở Anh. Nó chỉ truyền được qua đường mạng và
các thiết bị chứa dữ liệu như đĩa mềm do kết quả của việc sử dụng chung đĩa mềm, CD ROM, đĩa
ZIP/ZAP hay băng từ. Virus nổi tiếng trong lich sử máy tính của loại này là virus Stealth. Nó có khả
năng thay đổi ngay cả chức năng của BIOS. Ngày nay, Stealth vẫn còn nhưng đã được biến dạng thành
một trong hai loại kể trên
1.3 Các khái niệm có liên quan:
• Sâu máy tính (worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua
hệ thống mạng (thường là qua hệ thống thư điện tử). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên
máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng
hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus,
họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
- 6 -
Tội ác trong tin học
==========================================================================
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ
điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệ
sau đó của nó có tên là Trojan. Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự
gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message.
• Phần mềm ác tính (malware): (chữ ghép của maliciuos và software) chỉ chung các phần
mềm có tính năng gây hại như virus, worm và Trojan horse.
• Trojan Horse : đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó
không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này
người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là
không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ
sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là
loại virus cực kỳ nguy hiểm. Nó có thể hủy ổ cứng, hủy dữ liệu.
• Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào
hệ điều hành mà không để lại "di chứng". Thường một số chương trình diệt virus có kèm trình diệt
spyware nhưng diệt khá kém đối với các đợt "dịch".
• Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các
chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông
tin kịt màn hình, cưỡng chế người sử dụng.
• Botnet : Trước đây, loại này thường dùng để nhắm vào các hệ thống điều khiển máy tính
từ xa, nhưng hiện giờ lại nhắm vào người dùng.
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình
cao. Nó được rao bán với giá từ 20USD trở lên cho các hacker. Hậu quả của nó để lại không nhỏ: mất tài
khoản. Nếu liên kết với một hệ thống máy tính lớn, nó có thể tống tiền cả một doanh nghiệp.
Nhóm của Sites ở Sunbelt cùng với đội phản ứng nhanh của công ty bảo mật iDefense Labs đã
tìm ra một botnet chạy trên nền web có tên là Metaphisher. Thay cho cách sử dụng dòng lệnh, tin tặc có
thể sử dụng giao diện đồ họa, các biểu tượng có thể thay đổi theo ý thích, chỉ việc dịch con trỏ, nhấn
chuột và tấn công.
Theo iDefense Labs, các bot do Metaphisher điều khiển đã lây nhiễm hơn 1 triệu PC trên toàn
cầu. Thậm chí trình điều khiển còn mã hóa liên lạc giữa nó và bot "đàn em" và chuyển đi mọi thông tin
về các PC bị nhiễm cho người chủ bot như vị trí địa lý, các bản vá bảo mật của Windows và những trình
duyệt đang chạy trên mỗi PC.
Những công cụ tạo bot và điều khiển dễ dùng trên góp phần làm tăng vọt số PC bị nhiễm bot
được phát hiện trong thời gian gần đây. Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ ở bang
California, bị tuyên án 57 tháng tù vì đã vận hành một doanh nghiệp "đen" thu lợi bất chính dựa vào các
botnet điều khiển 400.000 "thành viên" và 3 tay điều khiển bot bị bắt ở Hà Lan mùa thu năm trước chính
là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!
Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng có được những công cụ
phá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker vì tiền hay vì tò mò.
• Keylogger : là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho
việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc
của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ,
cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an
- 7 -
Tội ác trong tin học
==========================================================================
ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể
sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
• Phishing : là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa
lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một
người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực hiện
bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.
• Rootki t : là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang
chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những
năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ
thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các
rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản của
Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng
thành các driver hay các môdule trong nhân hệ điều hành (kernel module).
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiện vào tháng 11
năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụng của Sony. Phần mềm của Sony
giấu bất kỳ file hay tiến trình bắt đầu với "$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợi
dụng đặc điểm này .
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm chậm hệ thống và
làm thay đổi những file nhất định. Hiện giờ, loại siêu rootkit này chỉ mới ở dạng ý tưởng, cần nhiều thời
gian trước khi tin tặc có thể thực hiện phương thức tấn công này.
• Phần mềm tống tiền (Ransomware): là loại phần mềm ác tính sử dụng một hệ thống mật
mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
• Cửa hậu (Backdoor): trong một hệ thống máy tính, cửa hậu là một phương pháp vượt
qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính,
trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường. Cửa hậu có thể có hình thức một
chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khi
một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows),
hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan.
• Virus lây qua passport : Loại virus này lây qua các thẻ RFID cá nhân để thay đổi nội
dung của thẻ, buộc tội người dùng và có thể ăn cắp passport. Vì sóng RFID không lây qua kim loại nên
khi không cần dùng, bạn nên để trong hộp kim loại.
• Virus điện thoại di động : chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại
có virus điện thoại di động. Loại này thường lây qua tin nhắn. Một vài virus ĐTDĐ cũng đánh sập HĐH
và làm hỏng thiết bị. Một số khác chỉ gây khó chịu như thay đổi các biểu tượng làm thiết bị trở nên khó
sử dụng. Một số ít còn nhằm vào tiền. Ví dụ, một Trojan lây lan các điện thoại ở Nga gửi tin nhắn tới
những dịch vụ tính tiền người gửi.
II.1.4 Một vài ví dụ cụ thể :
a. Cách diệt sâu W32.Killaut.A
Phát hiện: September 12, 2007
Cập nhật: September 12, 2007 5:45:49 PM
Kiểu: Worm
Có kick thước khoảng : 264,088 bytes
- 8 -
Tội ác trong tin học
==========================================================================
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau :
• %UserProfile%\My Documents\[CURRENT USER ACCOUNT].exe
• %System%\debug_32.exe
• %System%\MsMpEng.exe
• %Windir%\Tasks\At1.job
• %Windir%\Tasks\At2.job
• %Windir%\Tasks\dmadmin_1.exe
• %Windir%\compmgmt.exe
Tiếp theo nó sẽ khởi tạo file sau
%UserProfile%\My Documents\[FolderName].exe
Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặ thuộc tính cho tất cả các
folder
%SystemDrive%\[FolderName].exe
• %SystemDrive%\autorun.inf
%SystemDrive%\New_Folder.exe
Sau đó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt
đâu khởi động sẽ khóa một số tính năng
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Icons\"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00
73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65
00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Shell" "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00
6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00
64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule\"AtTaskMaxHours" =
"0x00000048"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"AtTaskMaxHours" =
"0x00000048"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolder
Options" = "0x00000001"
• HKEY_CURRENT_USER\Control Panel\don't load\"appwiz.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USER\Control Panel\don't load\"Services.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USER\Control Panel\don't load\"Startup.cpl" = "6E 00 6F 00 00 00 00"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolder
Options" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun"
= "0x00000001"
- 9 -
Tội ác trong tin học
==========================================================================
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind"
= "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFileM
enu" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\"Sheli
" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73
00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRe
gistryTools" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTas
kMgr" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDriveT
ypeAutoRun" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\"Disab
led" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00 3A 00
5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00
6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
•HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Infodelivery\Restrictions\"{default}" = "00 00 C3"
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\"(default)" = "74 00 78 00 74 00 66 00 69 00
6C 00 65 00 00 00 05"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69
00 64 00 64 00 65 00 6E 00 00 00 03"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\Policy\DontShowSuperHidden\"(default)" = "00 00 C3"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53
00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00
6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77
00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F
00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\"AlternateShell" = "63 00 3A
00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00
32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "63
00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00
33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
•
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
= "0x00000002"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFil
eExt" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowS
uperHidden" = "0x00000000"
- 10 -
Tội ác trong tin học
==========================================================================
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Connection
Settings" = "0x00000001"
•HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel\"ConnectionsTab" = "0x00000001"
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"GeneralTab"
= "0x00000001"
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"HomePage"
= "0x00000001"
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Settings" =
"0x00000001"
•HKEY_USERS\S-1-5-
18Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "0x00000001"
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\find
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Khi Windows khởi động thì các file sau cũng hoạt động cùng
• sp_rsser.exe
• avgupsvc.exe
• sp_rssrv
• avg7alrt
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để
tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như
hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập
tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ
co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính
trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự
cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên
máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử
dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính
sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
- 11 -
Tội ác trong tin học
==========================================================================
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Icons\"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
\"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79
00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E
00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Shell" "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00
6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00
64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule\"AtTaskMaxHours" =
"0x00000048"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"AtTaskMaxHours" =
"0x00000048"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolde
rOptions" = "0x00000001"
HKEY_CURRENT_USER\Control Panel\don't load\"appwiz.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USER\Control Panel\don't load\"Services.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USER\Control Panel\don't load\"Startup.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolde
rOptions" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun"
= "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind"
= "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFile
Menu" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\"Shel
i" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00
73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00
00"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRe
gistryTools" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTa
skMgr" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDriveT
ypeAutoRun" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\"Disa
- 12 -
Tội ác trong tin học
==========================================================================
bled" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00 3A
00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64
00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Infodelivery\Restrictions\"{default}" = "00 00 C3"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Connection
Settings" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel\"ConnectionsTab" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel\"GeneralTab" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"HomePage"
= "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Settings" =
"0x00000001"
HKEY_USERS\S-1-5-
18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" =
"0x00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\"(default)" = "74 00 78 00 74 00 66 00 69 00
6C 00 65 00 00 00 05"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69
00 64 00 64 00 65 00 6E 00 00 00 03"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\Policy\DontShowSuperHidden\"(default)" = "00 00 C3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00
53 00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00
69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00
6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00
6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\"AlternateShell" = "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00
33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "63
00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79
00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00
2E 00 65 00 78 00 65 00 00 00 05"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidde
n" = "0x00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideF
ileExt" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Show
SuperHidden" = "0x00000000"
4. Khôi phục và chỉnh sửa regedit
- 13 -
Tội ác trong tin học
==========================================================================
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\find
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
5. Exit the Registry Editor.
b. Cách diệt Trojan.Cakefes:
Phát hiện: September 10, 2007
Cập nhật: September 10, 2007 11:02:23 AM
Kiểu: Trojan
Có kick thước khoảng : 61,440 bytes
Những hệ thống bị ảnh hưởng: Windows
2000, Windows 95, Windows 98, Windows Me, Windows
NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt
động sau :
Nó sẽ khởi tạo vào computer một file có biểu tượng của Microsoft Word icon:
[JAPANESE CHARACTERS].exe khi nào nhiễm nó sẽ thay thế tất cả các file thành [ORIGINAL FILE
NAME].doc
Trên những file đó khi mở ra chỉ hiển thih tiếng nhật. Tiếp theo nó sẽ khởi tạo những file sau
• %UserProfile%\Local Settings\Temp\CKFSe.exe
• %UserProfile%\Local Settings\Temp\mmm.exe
• %UserProfile%\Local Settings\Temp\[ORIGINAL FILE NAME].doc
• %System%\svhoster
• %System%\svhoster.exe
Tiếp theo mmm.exe sẽ tấn công Internet Explorer và chuyển đổi TCP sang 443 và điều khiển đến host sau
cvnxus.8800.or
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để
tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như
hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới
những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ
co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính
trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự
cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên
máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử
dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính
sử dụng phương tiện truy nhập thông tin được tin cậy.
- 14 -
Tội ác trong tin học
==========================================================================
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất.
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
c .Spam đính kèm tệp PDF nối gót thư rác ảnh:
(Cập nhật ngày 2/8/2007)
Một trong những mánh khóe mới nhất của giới spammer là sử dụng định
dạng PDF để xâm nhập vào các hòm thư do bộ lọc e-mail không thể đọc được nội
dung bên trong.
Thư rác ảnh:(file ảnh có đuôi .gif hoặc .jpeg với nội dung khuyến mại được chèn ngay trong
phần nội dung) được những kẻ phát tán spam sử dụng hơn một năm qua và đã rất thành công. Nhưng khi
các công cụ bảo mật được nâng cấp để đối phó với tình trạng này, spammer lại tiếp tục chơi trò "mèo
vờn chuột" và cách đây 2 tháng, chúng tung ra một thủ thuật mới.
Đính kèm file PDF là bước đi khôn ngoan vì người sử dụng vẫn nghĩ thông điệp quảng cáo sẽ
phải hiện ra ngay trong phần nội dung của e-mail. Hơn nữa, định dạng PDF hiện phổ biến trong giao
dịch, do đó người nhận cần mở file do lo ngại bỏ lỡ thông tin quan trọng. Theo hãng bảo mật Symantec
(Mỹ), PDF spam chiếm 8% tổng lượng thư rác trong tháng 7.
Trong khi đó, hãng Sophos của Anh nhận thấy PDF spam bắt đầu xuất hiện trong các chiến dịch
thư rác "pump-and-dump" - hình thức "tung hỏa mù" để thao túng giá cổ phiếu của các công ty và nạn
nhân mới nhất là hãng kinh doanh sản phẩm không dây Prime Time Group (PTG).
Đầu tuần này, người sử dụng Internet liên tục nhận được e-mail chứa file đính kèm dạng PDF
với nội dung lôi kéo họ mua cổ phiếu của PTG. Các nhà đầu tư có thể không nhận ra rằng nhóm
spammer kia đã nắm trong tay một lượng lớn cổ phiếu với giá rẻ và đang vận động mọi người tham gia
mua bán để bơm giá cao lên. Sau đó, chúng sẽ bán toàn bộ số cổ phiếu đó để kiếm lời (pump and dump).
Spammer đã thành công khi lượng thư rác toàn cầu tăng lên 30% chỉ trong một ngày còn giá cổ phiếu
PTG cũng tăng tới 60%.
Sophos ước tính thư rác "pump-and-dump" hiện chiếm khoảng 25% lượng spam toàn cầu. Trong
tháng 4, hãng IDC thống kê có khoảng 97 tỷ e-mail được gửi đi mỗi năm, trong đó 40 tỷ là thư rác.
d.Virus Ukuran:
- 15 -
Ảnh:
Suremail.
Tội ác trong tin học
==========================================================================
"Giữa tháng 7, thấy xuất hiện hiện tượng file dữ liệu FoxPro và SQL của nhiều đơn vị ngành Tài
chính, tiền tệ bị phá hỏng. Nguyên nhân đều do virus W32.Ukuran.Worm gây ra", Trung tâm BKIS cho
biết.
Virus Ukuran có xuất xứ từ Indonesia, khi máy tính bị lây nhiễm, các file dữ liệu .DBF,
.LDF, .MDF, .BAK của FoxPro và SQL sẽ bị ghi đè bởi các dữ liệu rác (những con số ngẫu nhiên).
Theo thống kê từ hệ thống giám sát của BKIS, đã có khoảng 50.500 máy tính tại Việt Nam bị nhiễm sâu
này.
"Do tính chất nguy hiểm của loại 'bọ máy tính' này, người sử dụng cần cập nhật ngay phiên bản
diệt virus mới nhất để ngăn chặn kịp thời trước khi chúng xâm nhập, tránh những hậu quả đáng tiếc xảy
ra", chuyên gia về sâu máy tính của BKIS Vũ Ngọc Sơn khuyến cáo.
Trong 30 ngày qua, nhiều người cũng hoang mang vì một hiện tượng tương đối phổ biến là các
thư mục (folder) trên máy bỗng dưng biến mất. Rắc rối này là do virus W32.SkyNetY.Worm. Các
chuyên gia của BKIS khẳng định thực chất các folder vẫn còn trên máy, không biến mất mà chỉ bị ẩn đi.
Nếu gặp phải hiện tượng trên, cần bình tĩnh vì dữ liệu vẫn còn và có thể khôi phục lại được.
Danh sách 10 virus lây nhiều nhất trong tháng:
STT Tên virus Tỉ lệ lây
nhiễm
1 W32.WinibA.Worm 4,89 %
2 W32.Winib.Worm 4,81 %
3 W32.CatchYMQ.Worm 2,64 %
4 W32.NotifyB.Worm 1,92 %
5 W32.SCkeylogA.Trojan 1,79 %
6 W32.DakNongB.Worm 1,59 %
7 W32.Ukuran.Worm 1,41 %
8 W32.RavMonA.Worm 1,26 %
9 W32.SalityS.PE 1,11 %
10 W32.CSNet.Trojan 1,11 %
e.Cảnh giác với công cụ tạo trojan phiên bản mới : (cập nhật ngày 20/08/2007)
- 16 -
Tội ác trong tin học
==========================================================================
Shark 2 là tên phiên bản mới của công cụ tạo "ngựa thành Troy" khá nguy hiểm mà hãng bảo
mật PandaLabs vừa cảnh báo đến người dùng sau khi phân tích hàng loạt diễn đàn hacker trên Internet.
Shark 2 được phát triển và cập nhật liên tục, trên mỗi diễn đàn đều có những phiên bản khác
nhau như 2.1, 2.2 hay 2.3.2. Điều nguy hiểm nhất mà Shark 2 có thể làm là hỗ trợ các script kiddies tạo
ra những mã độc mà không cần am tường về kỹ thuật lập trình. Giao diện của Shark 2 cũng đơn giản,
script kiddies chỉ cần chọn lựa loại mã độc hay trojan với chức năng tương ứng để xuất ra và sử dụng.
Các tùy chọn chức năng của Shark 2 khi tạo trojan cũng khá đa dạng. Loại trojan được tạo sẽ mở cửa
hậu để dẫn lối cho các cuộc tấn công kế tiếp, cấu hình mã độc để tự động chạy mỗi khi hệ thống của
nạn nhân khởi động, hiển thị các thông báo lỗi, thực thi các tập tin tùy ý, làm ngưng trệ các dịch vụ, tác
vụ của hệ thống.
Tất nhiên là ngoài những tùy chọn kể trên thì không thể thiếu các khả năng mà hầu như trojan
nào cũng có là: chụp màn hình hoạt động, âm thanh, thao tác phím gõ. Điều hướng nạn nhân truy cập
vào các website giả mạo (phishing) hoặc tải về thêm các trojan khác, đánh cắp thông tin tài khoản ngân
hàng, email Theo các chuyên gia phân tích bảo mật của PandaLabs, sở dĩ Shark 2 nguy hiểm là vì
những "đứa con" của nó có thể được cấu hình để làm ngưng hoạt động chính bản thân chúng - khi phát
hiện có công cụ sửa lỗi. Do đó, sẽ rất khó khăn khi cho việc dò tìm chúng trên hệ thống.
Người dùng Internet ngày càng trở thành miếng mồi ngon cho những hacker hoặc thậm chí là các script
kiddies sử dụng những công cụ tạo trojan. Sau Pinch lại đến Shark 2, chắc chắn sẽ có những phiên bản
kế tiếp hoặc những công cụ mới tạo ra các trojan nguy hiểm hơn. Chương trình chống virus liệu có đủ để
đương đầu với các hiểm họa này? Tốt nhất cho một hệ thống vẫn là: chương trình chống virus,
rootkit, tường lửa và sử dụng internet với mức độ cảnh giác cao.
f. Cài phần mềm chơi game tự động 'dễ' dính Trojan:(cập nhật /5/9/2007) ()
Theo Trung tâm BKIS, có tới 102 Trojan đánh cắp mật khẩu game online xuất hiện trong vòng 1
tháng qua, nâng tổng số loại mã độc này góp mặt tại Việt Nam lên 258.
Khi cài phần mềm chơi game tự động cần tìm hiểu rõ
nguồn.
Ảnh: Hoàng Hà.
Không chỉ ghi lại thao tác bàn phím (keylogger) để lấy cắp mật khẩu, các Trojan này còn lục lọi
trong bộ nhớ của máy tính, tìm trò chơi trực tuyến đang chạy và "cuỗm lấy" thông tin tài khoản (game
- 17 -
Tội ác trong tin học
==========================================================================
account) của người sử dụng. "Phần lớn máy tính bị nhiễm Trojan khi người sử dụng vào các website độc
hại hoặc cài những phần mềm chơi tự động (AutoPlay) không rõ nguồn gốc", ông Vũ Ngọc Sơn, Trưởng
phòng Virus Trung tâm BKIS, khuyến cáo. "Để phòng tránh, không nên cài bất cứ phần mềm gì khi
chưa biết rõ xuất xứ, nhất là địa chỉ liên hệ của nhà sản xuất. Người dùng PC cũng cần thường xuyên
cập nhật phần mềm diệt virus mới".
Cũng trong khoảng 30 ngày qua, BKIS đã phát hiện gần 10 website tên miền .gov.vn có
những lỗ hổng nguy hiểm khiến kẻ xấu có thể thay đổi giao diện site, đánh cắp thông tin trong cơ sở dữ
liệu, thậm chí là kiểm soát toàn bộ máy chủ.
"Chúng tôi tìm thấy trong số này có những trang web đã bị hacker kiểm soát và gắn mã độc phát
tán virus. Đây là một kiểu tấn công rất nguy hiểm, bởi người sử dụng không mấy đề phòng khi truy cập
vào các website chính thống, đặc biệt với các địa chỉ .gov.vn", ông Nguyễn Tử Quảng, Giám đốc BKIS,
cho biết.
Theo nghiên cứu của Trung tâm an ninh mạng Bách Khoa, việc người sử dụng không thường
xuyên cập nhật bản vá lỗ hổng phần mềm khiến số lượng máy tính ở Việt Nam bị lây nhiễm các loại mã
độc hại luôn ở mức cao.
2 . Hack:
2.1 .Mục đích và động cơ của hackers:
- Đạt mục đích gì đó liên quan đến tiền bạc, như thay đổi thông tin về tài khoản trong ngân hàng,
chuyển tiền , trộm creditcard
- Đạt mục đích gì đó liên quan đến tiền bạc, như thay đổi thông tin về tài khoản trong ngân - Giải
trí khi rảnh rỗi, thử tay nghề, chứng tỏ khả năng , kiểm tra mức độ bảo mật
- Làm yếu đi hoặc giảm khả năng chống cự của các hệ thống trên mạng, giúp dễ dàng cho việc
xâm nhập khai thác theo mục đích nào khác
- Tận dụng các tài nguyên trên mạng như đĩa cứng, tốc độ CPU, dung lượng đường truyền
mạng Hacker có thể lợi dụng sơ hở của 1 server để chiếm một vùng ko gian đĩa free trên nó để chứa dữ
liệu của mình, hoặc lợi dụng tốc độ CPU và bandwidth của các server (thường rất nhanh) để làm vào
việc khác như tính toán , thậm chí dùng để Dos các server khác Từ những mục đích trên, bạn cần hiểu
rõ bản thân hệ thống bạn đang kiểm soát. Có những vấn đề đặt ra như sau:
- Bạn đang nắm giữ và bảo vệ cái gì, mức độ quan trọng của chúng?
- Cách thức nào người ta có thể tìm cách tấn công, trộm thông tin hay thậm chí phá hủy thông
tincủabạn?
- Mức độ khó mà hacker sẽ gặp phải, họ thành công đến mức độ nào?
- Mức độ ảnh hưởng nghiêm trọng thế nào nếu hacker thành công?Việc hiểu rõ và đánh giá đúng
chính mình cũng như khả năng của đối phương có thể giúp bạn hạn chế tối đa khả năng bị tấn công. Có
một điều bạn phải hiểu nó như một yếu tố khách quan, tất yếu là "Mọi hệ thống phức tạp sớm muộn
cũng sẽ gặp rắc rối", vì đơn giản là các hệ thống đó cho bàn tay và trí tuệ con người tạo ra, mà con người
thì không ai hoàn hảo cả. Nếu bạn chú ý sẽ biết trong thời gian vừa qua, các hệ thống được xem vào
hàng đại gia trên net đều đã từng được viếng thăm, như Microsoft, Oracle, eBay, NASA, CIA, các cơ
quan liên bang USA, các hệ thống ngân hàng lớn trên thế giới Security liên tục được cải thiện, và bên
cạnh đó thì lỗi, lổ hổng cũng ko ngừng được phát hiện.
2.2. Một số cách thức hacker dùng để xâm nhập
- 18 -
Tội ác trong tin học
==========================================================================
Về cơ bản, để có thể tiến hành thâm nhập vào hệ thống, các hacker thường phải qua những bước
sau. Lưu ý các bước tôi trình bày ở đây không bắt buộc phải được thực hiện tuần tự mà tùy vào điều
kiện và ngữ cảnh để áp dụng cho thích hợp. Các công cụ trình bày ở đây các bạn cần tìm hiểu cách sử
dụng, tôi sẽ không trình bày chi tiết.
a. Xác định mục tiêu - Footprinting
Bước này tương đối đơn giản. Tuy nhiên đối với hacker thật sự muốn tìm cách thâm nhập vào 1
hệ thống thì bước này rất cần thiết. Càng thu thập được nhiều thông tin liên quan đến mục tiêu càng tốt.
Ví dụ như muốn thâm nhập trang web của 1 công ty nào đó, điều đầu tiên các hacker thường dùng là xác
định host, domain (nếu là website); dùng các công cụ như WhoIS, Ping, ICMP (nMap, Fping) để tìm
hiểu các thông tin liên quan đến host/domain như vị trí, các Domain Name Records Ví dụ từ domain
name, ta có thể ping để biết được nó host ở đâu với IP cụ thể là gì ; hoặc tìm hiểu cấu trúc mạng của
đối phương sử dụng các phương pháp routing (traceroute) và SNMP data.
Kế đến là dạo quanh web site, tìm hiểu cấu trúc website, tìm cách download source code (bằng
các trình như Teleport Pro, Intellitamper ), vì từ đó có thể biết được các thông tin mà người chủ cố tình
hoặc vô tình để hở như tên liên lạc, emails, số điện thoại, các thông tin liên quan đến bảo mật (như cơ
chế an toàn, ngôn ngữ lập trình ); các liên kết liên quan đến website Việc dạo và xem cấu trúc website
đôi khi sẽ cho ta cái nhìn tổng quan về bảo mật của site đó, nếu may mắn ta có thể tìm được lỗi (thường
là lỗi lập trình, lỗi thiết lập access right/chmod chưa đúng.Các search engine như Google,
AltaVista cũng có thể trở thành công cụ rất hữu ích trong quá trình này. Ví dụ search trên Google để
tìm các trang dùng asp, có trang quản lý của admin và giới hạn ở các site ViệtNam, ta có thể search theo
từ khóa: "/admin/ asp site:.com.vn" hoặc "admin.asp login.asp site:.com.vn" Ví dụ search trên
AltaVista để tìm các link liên quan đến site www.hcm.fpt.vn, ta có thể dùng từ khóa
"link:www.hcm.fpt.vn AND anydata".Đây là một ví dụ điển hình về kết quả đạt được khi tìm hiểu về
website: Lần dạo đầu tiên qua site này điều đầu tiên nhận thấy là họ dùng ASP để thiết kế. Tuy nhiên tôi
chưa vội quan tâm đến việc tìm lỗi liên quan đến nó mà chú ý đến mục Hội viên và Đăng nhập hội viên,
đây là vùng riêng của các member tham gia webiste. Cụ thể là tại , điều tôi hay làm là thử download cấu
trúc website dùng Intellitamper. Kết quả sau khi download của IT là rất nhiều file asp, ở đây tôi quan
tâm đến thư mục /hoivien/ vì trang đăng nhập nằm ở thư mục này. Trong thư mục này kết quả cho thấy
có 6 file asp, trong đó có file hvshow.asp làm tôi quan tâm. Tôi chạy thử nó trên browser , kết quả cho
thấy bên cạnh thông báo đăng kí là thông tin của hội viên thứ 1 với login name là Cóco, tên là
DuongMinh và 1 số thông tin khác. Nghĩ đến việc đoán password, tôi quay trở lại trang login lúc nãy và
thử đăng nhập vào với login name là Cóco, pass là duongminh. Không thành công! pass là duong Cũng
fail! pass là minh! Thành công! Bạn là Hội viên Vàng Sau đó tôi xem qua 1 chút và cẩn thận logout. Ví
dụ này tôi đưa ra với mục đích giúp các bạn hiểu 1 trong các bước cơ bản đầu tiên trong quá trình
hacking. Hy vọng các bạn khi thử thành công không nên làm ảnh hưởng đến dữ liệu của người khác.
b. Thu thập thông tin về mục tiêu - Scanning, Enumeration
Bước này thật ra tương tự bước đầu tiên (Footprinting) nhưng ở mức độ chi tiết và nâng cao hơn.
- Tìm hiểu các dịch vụ (services) được dùng trên hệ thống đối phương, dò/quét các cổng (port) để tìm
kiếm cổng hở, xác định dịch vụ dùng cho cổng này.
Một số công cụ thừơng được dùng như:
Nmap (www.insecure.org/nmap)
Netcat
- 19 -
Tội ác trong tin học
==========================================================================
Strobe (packetstorm.security.com)
ISS (www.iss.net)
Các trình duyệt cổng hở và các tài nguyên chia xẻ (share) khác dùng cho Windows như Superscan,
Sechole, Redbutton, Net Essential
Quá trình duyệt cổng có thể cho ta biết được các dịch vụ web nào được sử dụng ở mục tiêu. Ví dụ như
các cổng TCP: 139, 135 (NETBIOS), 110 (pop3), 80 (HTTP), 79 (Finger), 53 (domain), 25 (smtp), 21
(ftp) Thậm chí cả hệ điều hành và webserver đựơc sử dụng ở mục tiêu.
Ví dụ với netcat, ta dùng lệnh sau: nc -v -z 203.162.1.1 1-255
Với nmap, ta dùng: nmap -sS 203.162.1.1/255 hay nmap -p80 -O 203.162.1.10
Các bạn tự tìm hiểu cách sử dụng các tool khác. Lưu ý các câu lệnh ví dụ ở đây chỉ mang tính chất tham
khảo.
- Tìm hiểu các lỗi/lổ hổng bảo mật mà mục tiêu có thể mắc phải. Ta có thể tìm thông tin từ các website
sau:
www.securityfocus.com
www.l0pht.com
www.microsoft.com/security
packetstorm.security.com
Hoặc có thể đăng ký ở các mailing list để có thể nhận được các thông tin về security cập nhập nhất:
Buqtraq (www.securityfocus.com)
NTBugTraq (www.ntbugtraq.com)
Pen-Test (www.securityfocus.com)
c. Tiến hành tấn công
- Khai thác điểm yếu của hệ thống, hệ điều hành
. Thử tìm cách truy xuất đến các dịch vụ của hệ thống dựa trên hoặc có liên quan đến các lỗi bảo mật
. Tìm hiểu các thông tin về lỗi bảo mật từ các nhà sản xuất hệ thống, tìm hiểu các thông tin patch/update
tương ứng với version bạn đang nghiên cứu
- Khai thác điểm yếu của các ứng dụng dùng trên máy chủ - server
. Một số ứng dụng server có thể có lỗi như Microsoft IIS, Netscape Enterprise Server, Oracle, Apache
- Khai thác điểm yếu của các ứng dụng client
. Tìm hiểu các lỗi về /cgi-bin, các lỗi về tràn bộ đệm
. Tìm hiểu các lỗi về javascript
. Tìm hiểu các lỗi về cookies
. Tìm hiểu các thiết lập mặc định của các ứng dụng web, vd như mật khẩu admin ngầm định của một số
Forum
- Leo thang đặc quyền (Escalate Privileges), tôi chỉ mô tả một số cách có thể đạt được mục đích
. Theo dõi trên mạng (sniff) để tìm cách lấy các thông tin bảo mật của người dùng, vd như dùng các
công cụ bắt gói tin (packet sniffer) để bắt các thông tin liên quan đến mật khẩu di chuyển trên mạng
. Tìm cách lấy các SUID từ các chương trình quản lý nhưng khả năng kiểm tra các giá trị nhập vào hoặc
các giá trị biên kém.
. Tìm hiểu các user (user ID) ko có mật khẩu, mật khẩu rỗng, hoặc các mật khẩu ngầm định
. Tìm kiếm các thông tin về mật khẩu trong các file trên hệ thống, dùng các công cụ crack pass nếu các
file password đựơc mã hoá
. Tìm hiểu kĩ mối quan hệ giữa các máy trong hệ thống muốn thâm nhập, dò các sơ hở và tìm cách khai
thác lan rộng ra khắp hệ thống.
Như vậy, leo thang đặc quyền là tìm cách nâng cao quyền hạn của mình trong hệ thống. Vi dụ từ user
- 20 -
Tội ác trong tin học
==========================================================================
Guest hay Khôngrmal user trong hệ thống, hacker có thể tìm hiểu các sơ hở để từ đó bổ sung thêm
quyền hạn cho mình, thậm chí đoạt quyền admin. Một ví dụ điển hình của leo thang đặc quyền trong quá
trình khai thác lỗi của Hosting Controller, khi upload 1 exploit script lên 1 Khôngrmal host, nếu sau đó
ta tìm cách chuyển script đó vào thư mục admin của HC thì khi run nó sẽ có quyền admin.
- Mở rộng khai thác ra các hệ thống lân cận; xác định các mục tiêu kế tiếp bắt nguồn hoặc có liên quan
đến mục tiêu ban đầu
. Dùng netstat -na để tìm hiểu các connection đến các máy khác
. Thử khả năng từ một máy trong mạng, kết nối đến máy khác có trust-relationship, nếu may mắn thì có
thể thâm nhập được mà ko phải qua các quá trình kiểm tra gắt gao
. Tìm hiểu các file có trên hệ thống, chẳng hạn như các file trong *nix /etc/hosts, ssh/identity.pub
- Các bước khác tùy khả năng của bạn.
d. Xóa dấu vết (xóa log files ), tệ hơn có thể là phá hủy thông tin của hệ thống
2.3. Các mục tiêu và phương pháp hay dùng hiện nay :
a.Các mục tiêu thuờng bị tấn công :
- Unix và các biến thể từ nó: Linux, FreeBSD, Solaris, SCO
- Các hệ thống Windows NT, 2k, XP, 9x
- Các dịch vụ và máy chủ WWW
- Các ứng dụng web, Forum
- Trộm mật khẩu của các dịch vụ web như các web e-mail, instant Hộp thư
b. Các kiểu tấn công thông dụng :
- Tấn công làm ngập đường truyền mạng (flood), tấn công từ chối dịch vụ (Distributed Denial of
Service)
- Tấn công dạng local - cục bộ
- Tấn công remote - từ xa
- Tấn công dạng điều khiển dữ liệu - data driven
Bây giờ tôi sẽ phân tích chi tiết hơn về các kiểu tấn công ở trên.
b.1 Tấn công từ chối dịch vụ (DoS)
- Feature driven
SYN flooding
- Inappropriate configurations
SMURF
- Programming flaws
Teardrop
- Distributed DoS: DoS tập thể 1 mục tiêu từ nhiều hướng, nhiều máy (Sẽ biên soạn và bổ sung sau)
b.2 Tấn công dạng local - host based
- Khai thác các lỗi tràn bộ đệm
Cách hạn chế: Quản lý tốt bộ nhớ, stack; cập nhật các bản sửa lỗi; lập trình kĩ càng và tốt hơn.
- Khai thác các điểm yếu trong việc kiểm tra điều kiện thực thi của các ứng dụng
Cách hạn chế: Lập trình kĩ và tốt hơn
- Dùng trojan, backdoor, virus
Cách hạn chế: Kiểm tra kĩ càng các chương trình lạ trứơc khi thực hiện, sử dụng các trình diệt virus
thông dụng và thường xuyên cập nhật
- Crack password
Cách hạn chế: Dùng các kĩ thuật mã hóa cao hơn, hạn chế số lần thử mật khẩu ở các login form
- 21 -
Tội ác trong tin học
==========================================================================
- Đăng nhập vào hệ thống kiểu vật lý bằng cách khởi động từ đĩa mềm hoặc một hệ điều hành song song
khác
Cách hạn chế: Tăng cường các biện pháp bảo vệ các thiết bị
b.3 Tấn công dạng remote - network based
- Khai thác các lỗi tràn bộ đệm
Cách hạn chế: Tương tự như ở local
- Tấn công nhiễm độc tên miền (DNS Cache poisoning)
Cách hạn chế: Dùng cache timeout, DNSSEC, Khôngn-Caching Servers
- Tấn công vào lỗi/lổ hổng của website.
Cách hạn chế: Cập nhật các bản sửa lỗi mới nhất, thiết lập cấu hình chính xác, điều chỉnh các quyền hạn,
thiết kế và viết mã website tốt.
- Khai thác các tên đăng nhập, mật khẩu yếu; tức là các mật khẩu ngầm định, quá ngắn, dễ đoán; hoặc
các dạng đăng nhập có cơ chế kiểm tra sơ hở, ko kiểm tra số lần thử password làm dễ crack bằng
dictionary, bruteforce
Cách hạn chế: Tăng cường kiểm tra số lần thử password (vd sẽ ko cho tiếp tục đăng nhập nếu số lần
nhập sai password quá 5 lần ), giới hạn chiều dài password tối thiểu, tăng cường mã hóa bằng các giải
thuật tốt
- Khai thác từ các thông tin chia sẻ (sharing) như SMB/NetBIOS, NFS
Cách hạn chế: giới giạn quyền hoặc tắt share, nâng cấp hệ thống file có khả năng bảo mật cao hơn như
NTFS, HPFS
b.4 Tấn công dạng điều khiển dữ liệu - data driven
- Khai thác sơ hở của các đối tượng dữ liệu dùng phía server, các mã Java, Javascript, VBScript, Perl,
PHP , các ActiveX control.
- Dùng cửa sau (backdoor), trojan, virus .
Windows: BackOffice 2k, DeepThroat (cổng UDP 2140, 3150), NetSphere (TCP 30100, 30102),
GateCrasher (TCP 6969), GirlFriend (TCP 21554), Hack'a'Tack (TCP 31785; UDP 31789, 31791),
EvilFTP (TCP 23456), SubSeven (TCP 1234)
- Khai thác sơ hở từ các cổng dịch vụ, các giao thức cấu hình sai hoặc có cơ chế bảo mật yếu.
Cách hạn chế chung dạng này: Cập nhật các bản sửa lỗi, fix lỗi; thiết lập cấu hình chính xác; dùng tường
lửa (firewall, proxy), các trình antivirus.
2.4. Một vài ví dụ điển hình của HACK:
a .Hack domain:
Các trang web có thể bị đánh cướp bất cứ lúc nào nếu không chú trọng đến vấn đề bảo mật cho
tên miền. Domain có thể bị tấn công qua nhà cung cấp dịch vụ hoặc khách hàng.
Nếu nhắm vào nhà cung cấp, hacker sẽ lợi dụng sơ hở của người quản trị hay lỗ hổng của máy
chủ để chiếm quyền điều khiển. Sau đó chuyển tên miền qua nhà cung cấp khác. Ở cấp độ thấp hơn, kẻ
tấn công sẽ nhằm vào các reseller (những người mua lại số lượng lớn tên miền từ các nhà cung cấp gốc
để bán lại cho người dùng cuối).
Tuy nhiên, hướng tấn công tên miền phổ biến nhất là nhắm vào phía khách hàng (chiếm khoảng
90% các vụ đánh cắp tên miền). Thủ thuật của hình thức này thường giống nhau là tìm cách chiếm đoạt
tài khoản thông qua e-mail được người dùng đăng ký tên miền. Cách thực hiện là gửi Trojan, cài
- 22 -
Tội ác trong tin học
==========================================================================
keylogger, dùng fake log-in mail để trộm mật khẩu, đặc biệt là mật khẩu của e-mail dùng đăng ký tên
miền. Một phương thức khác cũng là mạo danh e-mail rồi gửi tới nhà cung cấp tên miền để yêu cầu thay
mật khẩu mới, hay chuyển tên miền qua nơi khác.
Điển hinh nhất có thể nói tới 2 website có tiếng bị HACK DOMAIN: diendantinhoc.com và
hvaonline.net.
Từ đêm 6/1/2005, các thành viên của diễn đàn này khi truy cập vào địa chỉ diendantinhoc.com
đều bị chuyển hướng lần lượt sang một vài trang web có thông tin liên quan đến phần mềm iCMS. Đích
cuối cùng được trỏ đến là 1 website rao bán chính tên miền diendantinhoc.com với giá 9.000 euro.
"Sáng nay (4/8/2006), khi truy cập vào địa chỉ HVAOnline.net, người ta chỉ thấy những dòng
chữ do một Hacker để lại " và một thông báo khác từ legendayhacker "Vào
một buổi sáng như thường lệ Tôi đăng nhập vào www.hvaonline.net để xem tin tức thế nhưng đập vào
mắt mình là một homepage mới. Đau quá đọc mới biết là đã bị fake với nội dung như sau
"
Khi kiểm tra lại thông tin Quản Trị Mạng nhận định thấy vào khoảng chiều tối 2/8 diễn đàn của
hacker Việt Nam HVA đã bị tấn công. Nguyên nhân là do hai tên miền hvaonline.net và hvanews.net có
thể bị chiếm đoạt quyền điều khiển và được chuyển về RegisterFly, một nhà cung cấp dịch vụ đăng ký
tên miền có tiếng.
Để phòng tránh, điều quan trọng trước nhất là phải chọn mua tên miền ở nơi đáng tin cậy nhất.
Có câu "tiền nào của nấy", đừng nên so sánh vì sao giá tên miền của nhà cung cấp được tín nhiệm nhất
hiện nay - Networksolutions.com - là hơn 35 USD/năm, trong khi nhiều nơi chỉ khoảng 5-10 USD/năm.
Bước tiếp theo là phải tự bảo vệ tài khoản tên miền và cả e-mail dùng để đăng ký (hạn chế dùng e-mail
này trong các giao dịch khác). Cần yêu cầu nhà cung cấp xác lập trạng thái "khóa" domain và chỉ thực
hiện chuyển tên miền khi nhận được yêu cầu của chính người dùng thông qua điện thoại hoặc văn bản,
nhằm tránh bị mạo danh.
Ngoài ra, nên thường xuyên quét kiểm tra Trojan, virus, không nhận hay download những file lạ
đính kèm e-mail, không vào các website lạ Đặc biệt là nên thường xuyên kiểm tra trạng thái tên miền
thông qua đăng nhập trực tiếp vào website nhà cung cấp, hoặc gián tiếp ở địa chỉ
để biết hiện trạng tên miền của mình.
b. Hack SIM mobi:
Hiện nay, hiện tượng hack sim mới nhen nhóm ở Việt Nam, nhưng cũng đã khiến người tiêu
dùng hết sức lo lắng.
Hiện tại, có hai hình thức hack sim.
- Thứ nhất, khách hàng mang máy di động đến cửa hàng sửa chữa, rất dễ gặp tình trạng bị copy
dữ liệu của sim, để lộ thông tin bảo mật.
- Thứ hai, hacker có thể dùng những công cụ, thiết bị hiện đại, tinh vi để theo dõi quá trình liên
lạc từ máy tới trạm gốc. Tuy vậy, tình trạng này ở Việt Nam nói chung và với mạng Viettel Mobile nói
riêng thường khó xảy ra, vì hacker cần được trang bị máy móc hết sức tinh vi. Hiện trạng bảo mật mạng
Viettel phụ thuộc rất nhiều vào công nghệ sim di động. Phương pháp bảo mật quan trọng và duy nhất
hiện nay tập trung vào công nghệ của sim. Trong tương lai, mạng Viettel sẽ đưa ra những sim di động có
công nghệ bảo mật cao đảm bảo an toàn dữ liệu cho sim, từ đó bảo đảm được tính an toàn trong quá
trình trao đổi của khách hàng.
- 23 -
Tội ác trong tin học
==========================================================================
Vừa qua, mạng MobiFone đã xảy ra vụ việc hack sim số đẹp. Nguyên nhân là do hacker biết
được mật mã (password) do sơ hở tại một cơ sở giao dịch MobiFone. Thủ phạm đã truy nhập vào mạng
VPN của MobiFone và dễ dàng lấy được những số điện thoại đẹp theo ý muốn. Đây là sơ hở của cơ chế
quản lý, để lộ tên truy cập và password cho đối tượng này.
Mạng GSM có thực sự an toàn? Câu trả lời có lẽ nên dành cho các nhà cung cấp dịch vụ. Tuy
nhiên, một điều dễ nhận thấy, với những máy móc thiết bị và công nghệ ngày càng hiện đại, thiệt hại
trước mắt có lẽ thuộc về người sử dụng dịch vụ khi việc hack sim không gây thiệt hại cho nhà cung cấp,
mà ngược lại, nó làm cho các nạn nhân khốn đốn vì phải chi trả cho nhà cung cấp dịch vụ nhiều hơn bởi
các cuộc gọi “xài chùa”.
Vì vậy, nếu có những hiện tượng trên xảy ra, xin hãy coi chừng vì rất có thể bạn đã là nạn nhân
của một vụ hack sim - trò dùng “chùa” cước viễn thông của loại tội phạm công nghệ cao được đánh giá
là tinh vi nhất hiện nay. Trong trường hợp này, tốt nhất bạn hãy liên hệ với chính nhà cung cấp dịch vụ
để được giúp đỡ.
Sau đây tôi nêu luôn một vài cách :
#Cách 1: đây là cách đơn giản nhất, nhưng đôi khi lại hiệu quả. Đó chính là hỏi luôn
victim, tất nhiên là không thể hỏi pass của cậu là gì. Hỏi thì bạn cứ hỏi ngày sinh, số di động nói chung
là tất tật rùi thử. Tôii không bàn đến cách này nữa, nó quá "hạ cấp".
#Cách 2: đây cũng là 1 đơn giản, bạn có thể download Ybrute - 1 chương trình dò Yahoo
pass - còn cách sử dụng nó thì đừng có hỏi tôi. Tuy nhiên khi mới vô thì tôi cũng xài qua cách này, điểm
yếu của cách này là chỉ có tác dụng khi victim xài pass là 1 từ có trong từ điển hay là 1 câu nói phổ biến,
ngoài ra, cách này cũng tốn rất nhiều thời gian.
#Cách 3: bạn có thể tạo 1 giao diện giống hệt như Yahoo, sau đó sửa đổi chút xíu để
cho khi victim gõ pass và user name thì xong rồi, pass bay như chim về email của ta, còn victim thì vẫn
vào hòm thư mà không hề hay biết. Việc này bạn có thể thực hiện dễ dàng bằng front page mà không
cần hiểu biết nhiều về html. Sau khi tạo xong giao diện, upload lên thì bạn chỉ việc dụ victim vô tròng
nếu bạn muốn thử nghiệm thì cứ việc ra ngoài hàng rùi để homepage ở đó là cái địa chỉ trang web mà
bạn dùng để câu, chắc chắn là sẽ có nhiều chú thỏ vô bẫy. Nếu bạn chưa tạo được thì liên hệ
, tôi sẽ giúp bạn.
#Cách 4: Sử dụng Trojan: cái này sẽ do bạn Toán đảm nhiệm.
#Cách 5: Tất cả đều phải thực hiện trên account Yahoo mail của bạn bởi vì bức tường lửa
của họ đã được nâng cấp bằng Unix-Apache sever. 1. Gửi một email tới: 2.
Dòng tiêu đề Subject của email là: Find password. 3. Tiếp đến là nội dung email bạn đánh vào đoạn
JScript sau: /config/cgi-bin/start?v703&login= "Tên login của bạn"&f="password của bạn"&f=
27586&javascript=ACTIVE&rsa> infor/-password#="" send back/?v_&from="địa chỉ muốn lấy pass"
(nhớ phải đánh thêm @yahoo.com nhe!) Ví dụ: Tên login của bạn là "hacker", password là "nobody" và
địa chỉ muốn lấy pass là "" chẳng hạn thì bạn đánh như sau: /config/cgi-bin/start?
v703&login="hacker"&f="nobody"&f= 27586&javascript=ACTIVE&rsa> infor/-password#="" send
back/?v_&from="" *The Yahoo system cần password của bạn để họ có thể gửi một
Javascript từ account của bạn trên Yahoo sever tới một password của người khác. Password sẽ tự động
được gửi đến email của bạn trong dấu"". Cách này tuy dễ thực hiện nhưng tỷ lệ thành công chỉ khoảng
60%, bởi vì nếu Web Browser của nạn nhân mà không hỗ trợ JS thì đành bó tay thôi, sau 2 phút chờ đợi
mà không thấy Yahoo sever hồi âm thì có lẽ bạn lên chuyển sang cách sau.
- 24 -
Tội ác trong tin học
==========================================================================
#Cách 6: cách này thì 100% là thành công, hay chưa. Cách này sử dụng khi bác đến nhà
victim chơi hoặc ra ngoài hàng, nếu bác chẳng may thấy victim xài tiện ích remember user name and
password thì hãy nhanh nhanh dùng cách này. Các bác download SnadBoy's Revelation v2 (lên
google.com mà tìm down load), sau đó thì cách sử dụng nó quá dễ để đưa lên đây. Cách này khá đơn
giản và hiệu quả là 100% nhưng ít có đất dụng võ vì nếu victim đọc bài này rùi thì họ sẽ không dùng cái
remember user name and password nữa đâu.
#Cách 7: 1. Vào Bravenet.com đăng kí một accout và đăng kí formmail bravenet.Trong
phần Setting bạn chọn đường dẫn URL là địa chỉ mà bạn muốn chuyển đến sau khi lừa họ check mail,
bạn nên chọn đường dẫn đến đến địa chỉ mà Yahoo báo lỗi khi Login bằng cách vào Yahoo mail và
đánh một cái ID, sau đó bạn cũng gõ pass luôn và bấm checkmail, yahoo sẽ báo là sai mật khẩu bạn hãy
chép cái đường dẫn URL này và dán vào trong mục URL của bravenet. 2. Sau khi hoàn thành bước đầu
thì bạn chuyển sang bước kế tiếp chỉnh lại trong mail yahoo đó nhớ là bạn phải làm 2 giao diện một giao
diện yahoo là sẵn sàng Login vào mail và cái thứ 2 là sai mật khẩu, tới đây chắc các bạn hiểu rồi phải
không? để khi victim checkmail thì đường dẫn thank sẽ báo là sai mật khẩu và lần này thì 100% là
victim checkmail thành công nhưng cũng đồng nghĩa với mất mật khẩu, mật khẩu của victim sẽ được
chuyển về hộp mail mà lúc bạn đăng lí bên bravenet.com. Bạn chỉ còn việc đi rải "bom" shortcut
checkmail và chỉ chờ cho victim checkmail là OK!
VI. Các hình thức tấn công
1 Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được
quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu.
Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ
tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật
khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc,
có một chương trình tự động hoá về việc dò tìm mật khẩu này. Một chương trình có thể dễ dàng lấy
được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử
các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số
trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử
dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số
trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay
administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương
trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn
ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có
quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín
trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những
lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử
dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không
kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi
đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
- 25 -