TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ
VIỆT HÀN

MÔN AN NINH MẠNG
CHƯƠNG 6 : TROJANS - BACKDOORS

Người thực hiện: Lê Long Bảo

Ngành : Mạng Máy Tính

Lớp : MM03A
1


Tin tức bảo mật
Một phần ba số virus máy tính hiện tại được tạo ra trong 10 tháng đầu năm
2010.

Corrons đã kết
luận
rằng:
“điều này ko
có nghĩa là có
ít mối đe dọa
hơn hay thị
trường
tội
pham
mạng
(tin tặc) đang

thu hẹp, có
khả năng là nó
sẽ tiếp tục mở

Theo các phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong
10 tháng đầu của năm 2010 thì các tội phạm mạng đã tạo ra và phát tán đến 1/3
số virus hiện tại, tạo ra 34% số lượng các phần mềm độc hại đã từng tồn tại và
được phân loại bởi PandaLabs.
Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và
phân loại đến 99,4% các phần mềm độc hại, hiện đang lưu trữ khoảng 134 triệu
tập tin đặc biệt, trong đó 60 triệu là phần mềm độc hại(virus, sâu, trojan và các
mối đe dọa từ máy tính khác...).
Báo cáo thêm là, cho đến tháng 10 của năm 2010 thì có thêm khoảng 20
triệu dòng phần mềm độc hại được tạo ra ( bao gồm cả các biến thể của nó) cùng
số lượng so với năm 2009. Tính trung bình thì các mối đe dọa đã tăng từ 55 lên
63 nghìn.

2


Tin tức bảo mật
Mặc dù những con số ấn tượng, nhưng tốc độ mà các mối đe dọa mới phát
triển đã giảm kể từ năm 2009. Kể từ nắm 2003 “ các mối đe dọa đã tăng theo tỷ lệ
100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ lệ tăng trưởng khoảng
50%”, Giám đốc kỹ thuật của PandaLabs giải thích.

Cuối năm 2010
chúng ta sẽ tìm ra
được nhiều mối đe
dọa trí tuệ tập thể

hơn năm 2009
Tuy nhiên dường
như tin tặc đang áp
dụng quy mô kinh
tế, tái sử dụng nhưng
mật mã gây hại hay
ưu tiên việc phân
phối những mối đe
dọa đang tồn tại hơn
tạo nên những mối
đe dọa mới”

Công ty này thông báo rằng, mặc dù phần mềm có chứa mã độc được tạo ra,
tuổi thọ của nó ngắn hơn : 54% các mẫu phần mềm độc hại chỉ hoạt động trong
vòng 24h, trái ngược với tuổi thọ vài tháng như những năm trước đây. Bây giờ nó
chỉ lây nhiễm một vài hệ thống rồi biến mất.
Giải pháp chống virus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi
chúng hoặc tạo ra những biến thể mới để tránh bị phát hiện. Đây là lý do tại sao
công nghệ bảo vệ như trí tuệ nhân tạo lại quan trọng như vậy, có thể nhanh chóng vô
hiệu hóa phần mềm độc hại mới và giảm bớt các rủi ro mà người dùng tiếp xúc với
nó trong vòng 24h.

3


Mục tiêu của chương

Trojan
Trojan là
là gì

gì

Trojan
Trojan lây
lây nhiễm
nhiễm vào
vào hệ
hệ

Trojan
Trojan được
được khai
khai thác
thác

thống
thống như
như thế
thế nào
nào

như
như thế
thế nào
nào

Kênh
Kênh công
công khai
khai –– kênh

kênh

Cổng
Cổng phổ
phổ biển
biển được
được

bảo
bảo mật
mật

Trojan
Trojan sử
sử dụng
dụng

Mục
Mục đích
đích của
của Trojan
Trojan

Phân
Phân loại
loại Trojan
Trojan

Dấu
Dấu hiệu

hiệu tấn
tấn công
công của
của

Trojan
Trojan được
được dò
dò tìm
tìm như
như

Trojan
Trojan

thế
thế nào
nào

Kỹ
Kỹ thuật
thuật ngăn
ngăn chặn
chặn virus
virus

Kiểm
Kiểm tra
tra và
và thăm

thăm dò
dò

Phần mềm ngăn chặn

Ngăn
Ngăn chặn
chặn Trojan
Trojan và
và
Backdoor
Backdoor
4


Giới thiệu về Trojan

5


Trojan là gì
 Trojan là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn dưới dạng những dữ liệu hay những chương trình dường
như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn.

 Với sự hỗ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã bị trojan tấn công và có thể đọc được những tài liệu cá nhân,
có những tập tin và hiển thị những hình ảnh hoặc tin nhắn trên màn hình.

6



Kênh công khai – kênh bảo mật

Kênh công khai

Kênh bảo mật

7


Mục đích của Trojan

8


Trojan tạo ra để làm gì

Thông tin thẻ tín dụng

Dữ liệu tài khoản (Địa chỉ email, username, password…)

Tài liệu mật

Dữ liệu tài chính (Tài khoản ngân hàng, số an sinh xã hội, bảo hiểm thông tin)

Thông tin nơi ở của nạn nhân

Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp

9



Nhận biết một cuộc tấn công bằng Trojan

10


Các cổng phổ biến được sử dụng bởi Trojan

11


Lây nhiễm Trojan

12


Làm thế nào Trojan lây nhiễm vào hệ thống

I

Tạo ra một Trojan mới sử dụng bộ công cụ xây dựng Trojan

II

Tạo ra một dropper nằm trong gói Trojanized, chứa mã độc để cài đặt lên

máy tính mục tiêu

13



Làm thế nào Trojan lây nhiễm vào hệ thống

III

Tạo ra một wrapper để cài đặt lên máy nạn nhân

IV

Phổ biến Trojan

V

Thực thi các dropper

VI

Thực thi thường xuyên các mối gây hại

14


Wrapper kết nối hai giao diện khác nhau
Một wrapper gắn file thực thi Trojan với một trình ứng dụng
như là games hoặc office

Khi người dùng chạy wrapper lần đầu , nó sẽ
chạy Trojan làm background và sau đó chạy ứng

Hai chương trình wrapper có thể được


dụng wrapper làm foreground

kết nối trong 1 file đơn
15


Chương trình Wrapper

16


Trojan có thể lây nhiễm vào hệ thống bằng những cách khác
nhau

Hợp pháp hóa một gói trong phần mềm
hợp pháp

Giả mạo chương trình

Download file và game từ Internet

Ứng dụng chat

Ứng dụng IRC

Ứng dụng IRC

Các site không tin cậy và phần mềm miễn
phí


Chia sẽ file, thư mục

Đính kèm

Các lỗi của phần mềm duyệt và gửi mail

17


Trojan được khai thác như thế nào

18


Kỹ thuật phòng chống Virus

Phá vỡ tập tin Trojan thành nhiều phần rồi
nén lại thành một tập tin duy nhất

Không bao giờ sử dụng Trojan được tải từ
WEB(vì các anti-virus có thể dò tìm ra nó

Viết một Trojan rồi nhúng nó vào một ứng

một các dễ dàng)

dụng

Thay đổi nội dung tập tin Trojan bằng cách

sử HEX và đồng thời cũng thay đổi tổng
kiểm tra và mã hóa tập tin

Thay đổi cú pháp của Trojan

 Chuyển từ EXE sang .VB script
 Chuyển từ EXE sang .DOC
Chuyển từ EXE sang .PPT
Chuyển từ EXE sang .PDF
19


Loại Trojan

20


Loại Trojan

21


Shell Trojan
 Shell Trojan cho phép điều khiển từ xa lệnh Shell trên máy nạn nhân
 Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng cho attacker kết nối
đến

 Máy trạm trên máy attacker cho phép chạy lệnh shell trên máy nạn nhân

22



Shell Trojan : Netcat

23


GUI Trojan : Mosucker

24


GUI Trojan : Jumper - Biodox

25