Để Trở Thành Chuyên Gia Bảo Mật (Module6 – P1) Trojan và Backdoor

Để kiểm soát mục tiêu các hacker thường sử dụng trojan và backdoor, giữa chúng có một số điểm khác biệt nhưng đều có chung một cách thức lây nhiễm đó là cần được cài đặt thông qua một chương trình khác hay người dùng phải bị dẫn dụ để click vào một tập tin đính kèm mã độc trong email, hay truy cập vào đường link liên kết đến trang web đã được chèn mã khai thác, và mã độc chứa trojan hay backdoor sẽ được nhúng kèm trong shellcode (chúng ta sẽ trình bày khái niệm này ở phần sau) cài đặt trên máy của nạn nhân.

Backdoor Là Gì

Backdoor hay còn gọi là “cổng sau” là chương trình mà hacker cài đặt trên máy tính của nạn nhân để có thể điều khiển hay xâm nhập lại dễ dàng. Một chức năng khác của backdoor là xóa tất cả những thông tin hay các chứng cứ mà hacker có thể để lại khi họ xâm nhập trái phép vào hệ thống, các backdoor tinh vi đôi khi tự nhân bản hay che dấu để có thể duy trì “cổng sau” cho phép các hacker truy cập hệ thống ngay cả khi chúng bị phát hiện. Kỹ thuật mà backdoor thường thực hiện đó là thêm một dịch vụ mới trên các hệ điều hành Windows, và dịch vụ này càng khó nhận dạng thì hiệu quả càng cao. Do đó tên của chúng thường đặt giống với tên của những dịch vụ của hệ thống hay thậm chi các hacker sẽ tìm tên các tiến trình hệ thống nào không hoạt động (hay tắt những tiến trình này) và dùng tên này đặt cho các backdoor của mình. Điều này sẽ qua mặt được cả những chuyên gia hệ thống giàu kinh nghiệm.
Một trong các backdoor thường được đề cập trong CEH là Remote Administration Trojan (RAT) cho phép các hacker kiểm soát những máy tính đã bị chiếm quyền điều khiển với những chức năng xem và quản lý toàn bộ desktop, thực thi các tập tin, tương tác vào registry hay thậm chí tạo ra các dịch vụ hệ thống khác. Không như các backdoor thông thường RAT neo chúng và hệ điều hành của nạn nhân để khó bị xóa đi và luôn có hai thành phần trong mô hình hoạt động của backdoor này là thành phần client và thành phần server. Trong đó server là tập tin sẽ được cài vào máy tính bị lây nhiễm còn client là ứng dụng mà các hacker dùng để điều khiển server.

Trojan là gì ?

Đôi khi không có sự phân biệt giữa chức năng của Backdoor và Trojan vì các công cụ cao cấp thuộc dạng này luôn có những chức năng giống nhau. Sự phân biệt chính liên quan đến những hành động của chúng mà hacker sẽ thực hiện, ví dụ hacker cần tiến hành
các cuộc tấn công từ chối dịch vụ thì các thành phần mã độc trên máy tính của nạn nhân được gọi là trojan, còn khi hacker thâm nhập vào một máy chủ qua mã độc được cài sẳn thì chương trình nguy hiểm được xem là backdoor. Và một trojan cũng có thể là backdoor hay ngược lại. Trojan ban đầu chỉ là một ý tưởng điều khiển máy tính liên phòng ban trong quân sự, nhưng về sau đã được các hacker phát triển thành một công cụ tấn công nguy hiểm
Tên gọi trojan lấy ý tưởng từ cuộc chiến thành Troy với tên gọi là Trojan Hoorse, có lẽ các bạn cũng đã xem qua hay nghe nói đến bộ phim cuộc chiến thành Troy do tài tử Brad Pitt thể hiện rất xuất sắc trong vài anh hùng Achil, mặc dù với quân lực mạnh mẽ nhưng vẫn không thể nào hạ thành, vì vậy bọn họ đã lập mưu tặng một món quà là con ngựa gỗ khổng lồ có các chiến binh núp ở bên trong để nữa đêm xuất là giao diện điều khiển của một trojan điển hình Zeus.
Trojan trên máy tính cũng vậy, được cài vào hệ thống của chúng ta thông qua các hình thức “tặng quà” hay những cách tương tự. Ví dụ ta cần kiếm một chương trình nào đó phục vụ công việc và tìm chúng qua các mạng chia sẽ, các diễn đàn hay tìm kiếm torrent của ứng dụng này. Các hacker biết rõ điều này nên họ đã tạo sẳn các chương trình trên với tập tin crack đã được “khuyến mãi” thêm mã độc (trojan/backdoor). Nếu bất cẩn các bạn có thể bị nhiễm trojan theo hình thức này, một khi bị nhiễm thì các tìn hiệu bàn phím chúng ta gõ vào hay những hành động trên máy tính của mình sẽ được thông báo đến hộp thư của hacker hay đẩy lên một máy chủ FTP nào đó trên mạng internet. Đối với các trojan phức tạp và tinh vi còn được trang bị thêm các cơ chế nhận lệnh từ kênh IRC để các hacker dễ dàng điều khiển và phát động các cuộc “tổng tấn công” gây ra tình trạng từ chối dịch vụ của website hay máy chủ của cơ quan hay tổ chức.

Overt Và Covert Channel

Có hai cơ chế truyền thông trên máy tính hay hệ thống mạng là hợp lệ và bất hợp lệ. Những ứng dụng trò chơi hay các chương trình nghe nhạc, xem phim khi truyền dữ liệu sử dụng co chế truyền hợp lệ qua những kênh truyền gọi là Overt Chennel. Ngược lại, khi hacker điều khiển máy tính của nạn nhân thướng sử dụng các kênh truyền bất hợp lệ Covert Channel. Thành phần client (điều khiển) của Trojan sử dụng covert channel để gởi các chỉ thị đến server (thành phần trojan được cài trên các máy tính bị điều khiển, hay
các zombie).

Covert channel dựa trên lỹ thuật gọi là tunneling,trong kỹ thuật này một giao thức sẽ được gói bởi giao thức khác nhằm vượt qua sự kiểm soát của firewall như ICMP tunneling là phương pháp dùng ICMP ECHOrequest và ECHO reply để mang theo các paypload (chương trình mà hacker muốn chạy trên máy nạn nhân). Hoặc các phương pháp tunnling qua giao thức http gọi lại http tunnling, còn nếu như một giao thức được bao bọc bởi giao thức SSH thì gọi là SSh tunneling, một kỹ thuật vượt firewall rât hay được các hacker sử dụng. Các bạn có thể tham khảo một bài viết của tôi về chủ đề này trên Pcworld với tựa đề “Cách Không Chỉ Điểm” Với SSH Tunneling !

Các Loại Trojan

Trojan có thể được sử dụng cho nhiều dạng tấn công khác nhau từ đánh cắp dữ liệu cho đến chạy chương trình từ xa, tấn công từ chối dịch vụ …Có nhiều dạng trojan khac nhau mà các bạn cần lưu ý trong chương trình CEH :

1.  Remote Access Trojan (RAT) — dùng để truy cập từ xa vào hệ thống
2. Data-Sending Trojan — dùng để đánh cắp dữ liệu trên hệ thống và gởi về cho hacker.
3. Destructive Trojan — sử dụng để phá hủy tập tin trên hệ thốn
4. Denial of Service Trojan — dùng để phát động các đợt tấn công từ chối dịch vụ.
5.  Proxy Trojan —được dùng để tạo ra các võ bọc truyền thông (tunnel) hay phát động tấn công từ một hệ thống khác.
6. FTP Trojan — dùng để tạo ra dịch vụ FTP nhằm sao chép dữ liệu lên hệ thống bị nhiễm.
7. Security software disabler Trojan — dùng để tắt các dịch vụ phòng chống virus, trojan.

Các Trojan Và Backdoor Cần Quan Tâm

• TROJ_OAZ là một trojan thay đổi tên chương trình notepad.cexe thanh note.com sau đó sao chép chính nó thành notepad.exe vào thự mục hệ thống của Windows. Như vậy mỗi khi chúng ta mở chương trình notepad thì trojan cũng hoạt động và mở công hậu (backdoor) 7597 để hacker có thể thâm nhập vào máy tính từ xa. TROJ_OAZ còn nhiễm vào registry để nạp khi máy tính khởi động.
• Tini là một trojan có kích thươc rất nhỏ và đơn giãn hoạt động trên hệ điều hành Windows chuyên lắng nghe trên cổng 7777 cho phép hacker chạy lệnh từ xa thông qua chương trình telnet đến cổng này trên các máy tính bị lây nhiễm.
• Donald Disk là một dạng backdoor Trojan trên hệ thống Windows cho phép hacker toàn quyền kiểm soát qua môi trường internet. Hacker có thể đọc, ghi, xoa hay chạy bất kì ứng dụng nào trên hệ thống. Donald Disk kèm thoe cả keylogger để bắt tín hiệu bàn phím và thay đổi registry để thực hiện các hành động như đóng mở khay CD-ROM. . Donald Disk hoạt động trên các cổng mặc định 23476 hay 23477
• NetBus là một chương trình Trojan với giao diện đồ họa (đa số các trojan ngày nay đều dùng các cữa sở đồ họa được thiết kế rõ ràng giúp cho hacker dễ dàng sử dụng), netbus có chức năng tương tự như Donald Disk trong việc điều khiển máy tính từ xa. Đây cũng là một ứng dụng tôi đã dùng để “nghịch” một chút trên máy tính của đồng nghiệp trước đây làm cho chủ nhân của máy tính bị nhiễm rất ngạc nhiên khi thấy khe CD-ROM bị đóng mở liên tục mà không biết tại sao, cứ cho rằng bị hư phần cứng. Trong tình huống thử nghiệm này tôi sử dụng một file hình ảnh để đính kèm trojan. Netbus thêm một khóa vào registry tại
  

  HKEY_CURRENT_USER\NetBus Server và thay đổi giá trị cổng tạiHKEY_CURRENT_USER\NetBus Server\General\TCPPort . Nếu NetBus đượccấu hình chạy tự động trên máy tính bị nhiễm sẽ xuất hiện khóa tên là NetBusServer Pro tạiHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService

• ComputerSpy Key Logger đây là ứng dụng lưu lại các tín hiệu bàn phím để thu thập các thông tin đăng nhập của người dùng và các trang như ICQ, MSN, AOL, AIM và Yahoo Messenger hay webmail. Ngoài ra công cụ này có thể màn hình theo những khoảng thời gian xác định.
• Beast là trojan chạy tại bộ nhớ cấp phát cho dịch vụ WinLogon.exe, một khi được cài chương trình sẽ tự chèn chính nó vào Windows Explorer hay Internet Explorer. Beast thuộc dạng trojan tất cả trong một (all in one) vì các thành phần server, client và server editor đề nằm trên cùng một ứng dụng.
• CyberSpy thuộc dạng telnet trojan có khả năng sao chép chính nó vào thư mục hệ thống của Windows cũng như tự đăng kí trong registry để có thể chạy khi hệ thống khởi động. Một khi được cài CyberSpy sẽ thông báo cho hacker biết cổng đang lắng nghe qua email hay ICQ.
• SubRoot là trojan quản trị từ xa mà hacker có thể dùng để điều khiển máy tính bị nhiễm qua cổng 1700
• LetMeRule cũng thuộc loại trojan quản trị từ xa (RAT) và có thể lắng nghe trên bất kì cổng nào trên máy tính bị lây nhiễm, cho phép hacker xóa hay thực thi tập tin trên máy tính nạn nhân, xem và sữa đổi registry hay điều khiển máy tính này
  thông qua dòng lệnh.
• Firekiller 2000 có chức năng tắt các chương trình chống virus và ứng dụng tường lữa. Một khi bị nhiễm mã độc này các chương trình phòng vệ sẽ mất tác dụng, buộc lòng phải gỡ ra và cài lại chúng sau khi đã quét trojan/backdoor sạch sẽ từchế độ safemode hay trên các đĩa khởi động DVD/CD.Hard Drive Killer Pro có chứ cna8ng phá hũy toàn bộ dữ liệu trên các hệ thống DOS hay Windows.BackOrifice 2000 là một công cụ điều khiển từ xa với giao diện đồ họa,BackOrifice không xuất hiện trong danh sách các tiến trình hay tasklist. Cũng như các trojan mạnh mẽ khác no có khả năng thêm các khóa trong registry đểchạy khi máy tính khởi động. Bên cạnh đó BackOrifice còn có các plug in hỗ trỡnhưng chức năng như mã hóa với giao thức mạnh mẽ 3DES, điều khiển desktopt