Nhận Biết Máy Tính Bị Nhiễm Trojan Như Thế Nào ?
Ngoài việc sử dụng các chương trình diệt virus được cập nhật đầy đủ như Avast, Kaspersky, Nob32 …thì chúng ta có thể căn cứ vào những hành vi bất thường của máy tính như các thông báo lỗi lạ để Nhận Biết Máy Tính Bị Nhiễm Trojan, CDROM hoạt động đóng mở tự động cho chúng ta biết máy tính đang có vấn đề và có khả năng bị lây nhiễm trojan / backdoor.
Chúng ta còn có thể giám sát các cổng trên hệ thống Windows với lệnh như C:\netstat – na để xem những cổng lạ nào đang mở, nếu có những cổng như trong hình minh họa sau thì có lẽ máy tính đa bị nhiễm mã độc. Ngoài ra, việc sử dụng các chương trình giám sát mạng như Wireshark để phát hiện những kết nối bất hợp lý, những truyền thông khả nghi là biện pháp rất tốt để phát hiện các trojan / backdoor tinh vi. Vì nhiều mã độc có khả năng ẩn mình qua mặt cả những chường trình diệt virus, không xuất hiện trong danh sách task list hay các tiến trình đang chạy nhưng khi chúng truyền thông với hacker để nhận lệnh thì các gói tin này không thể nào qua mặt được những ứng dụng giám sát đường truyền như Wireshark, đây cũng là phương pháp tôi tư vấn cho một số học viên trước đây làm việc tại Bộ tài chính để phát hiện ra các trojan nguy hiểm chuyên đánh cắp dữ liệu và gởi sang một máy chủ đặt tại nước ngoài. Cũng vì sự hữu ích của mình mà hiện nay Wireshark được xếp số 1 trong 125 công cụ bảo mật hàng đầu trên trang www.sectools.org.
Thế Nào Là “Wrapping” ?
Để có thế phát tán các mã độc hay trojan / backdoor hacker thường đính kèm những công cụ này vào những công cụ hợp lệ khác, ví dụ như thời gian gần đây website unikey.org bị hacker tấn công và chèn mã độc vào chương trình này để khi người dùng download ứng dụng unikey về máy cài đặt sẽ vô tình cài luôn chương trình nguy hiểm của hacker. Và những ứng dụng cho phép gắn một trojan hay backdoor vào một chương trình khác được gọi là các wrapper và quá trình này gọi là Wrapping hay đóng gói.
Những công cụ đóng gói trojan :
- Graffiti là một chương trình game hoạt họa có thể dùng để gói một trojan và khi người dùng tải về máy tính để chơi thì sẽ cài luôn cả trojan được đóng gói.
- Silk Rope 2000 là một wrapper kết hợp BackOrifice server và một ứng dụng thông thường khác.
- EliTeWrap là ứng dụng cao cấp chuyên đóng gói các chương trình .exe hoạt động trên hệ thống Windows. EliteWrap có thể tạo ra những ứng dụng cài đặt để có thể bung nén vào những thư mục đã được chỉ định.
- IconPlus là ứng dụng dùng để chuyển đổi các icon theo nhiều định dạng khác nhau cũng được các hacker dùng cho việc phân tán các mã độc nguy hiểm.
- Ngoài ra, có một ứng dụng hữu ích là chương trình AutoIT cho phép người dùng tạo ra các công cụ hay những script theo các lệnh và hàm thư viên của Windows.
Mặc dù đây là một công cụ hữu ích nhưng lại bị nhiều hacker Việt Nam lạm dụng để tạo ra các công cụ nguy hiểm như virus Yahoo! Messenger trước đây. Và AutoIt tích hợp sẳn một wrapper là UPX để đóng gói các kịch bản được tạo ra vì vậy ứng dụng diệt virus BKAV đã mặc nhiên xem các chương trình được tạo bằng Auto IT là virus do phát hiện có header của UPX. Tuy nhiên, đây là một dạng “diệt nhầm hơn bỏ sót” vì nhiều chương trình hữu ích được viết bằng Auto IT chứ không phải tất cả ứng dụng tạo bởi Auto It đều xấu ví dụ như kịch bản lockscreen.exe do tôi tạo ra để người dùng có thể nhanh chóng khóa màn hình khi rời khỏi bàn làm việc chỉ với một cái click chuột.
Trojan Construction Kit và Trojan Maker
Trojan construction kit va trojan maker là những công cụ mà các hacker dùng để t75 tạo ra các biến thể trojan / backdoor nguy hiểm của riêng mình , với các cấu hình riêng như khởi tạo kết nối trên những kênh IRC riêng, dựa vào các số hiệu cổng mà những chương trình diệt virus hay trojan scanning tool có thể không nhận biết được vì không có những dấu hiệu trùng lắp trong cơ sở dữ liệu do mới được tạo ra. Một số công cụ dùng để tạo trojan như Senna Spy Generator, Trojan Horse Construction Kit, Pandora’s Box.
Phòng Chống Trojan Hầu hết các ứng dụng phòng và diệt virus hiện nay đều có khả năng phòng chống trojan, ngăn ngừa chúng lây nhiễm trên hệ thống máy tính. Tuy nhiên, các bạn nên sử dụng các chương trình antivirus được cập nhật đầy đủ để có thể phát hiện ra các biến thể mới nhất của mã độc. Trong trường hợp sử dụng các chương trình diệt virus miễn phí nên chọn các ứng dụng được đánh giá tốt nhất, như AVAST ! Antivirus Free có thể cài trên các hệ thống Windows XP, Windows 7, Windows Vista hiện tôi đang sử dụng với hiệu quả cao, cảnh báo đầy đủ những virus mới và những website chứa mã độc.
Tuy nhiên, các phiên bản thương mại vẫn có nhiều tính năng mạnh mẽ hơn, khả năng phòng chống trojan cao hơn so với các bản miễn phí. Do đó, nếu đặt yếu tố hiệu quả lên hàng đầu thì nên chọn các sản phẩm thương mại của AVAST, Kaspersky hay NOB 32.
Bên cạnh đó, kết hợp thêm một phiên bản BKAV, CMC miễn phí (hay có phí) nhằm ngăn ngừa những virus nội cũng là một giải pháp đáng quan tâm. Ngoài ra, chúng ta nên cẩn thận khi sử dụng những phần mềm crack hay chạy các tập tin vá, chương trình lấy keygen vì đây là những nguồn lây nhiễm trojan, virus hàng đầu. Trong trường hợp cần cài đặt thử nghiệm những ứng dụng không tin cậy hãy cài trước trên máy ảo để xem có tác hại hay hành động khả nghi nào không (giám sát với các chương trình Wiresharke, Process Monitor, dùng lệnh netstat –na để kiểm soát các session trên máy tính…)
Những Công Cụ Giám Sát Port Và Dò Tìm Trojan
- Fport : Công cụ miễn phí của Foundstone báo cáo về tình trạng của tất cả các cổng TCP / UDP đang mở cùng với dịch vụ tương ứng hoạt động trên những cổng này. Hãy ứng dụng Fport để nhanh chóng phát hiện tình trạng hoạt động của cổng và dịch vụ trên máy tính của bạn.
- TCP View : Chương trình hoạt động trên hệ điều hành Windows hiển thị chi tiết các điểm đầu cuối tham gia truyền thông trên TCP / UDP bao gồm các địa chỉ local và remote cũng như tình trạng của các kết nối TCP (tại sao chúng ta không nói đến tình trạng của “kết nối UDP”, đ1o là do UDP không phải là một giao thức hướng liên kết, cần ghi nhớ để tránh bị bẫy trong các câu hỏi của CEH)
- PrcView : Là ứng dụng dùng để giám sát các tiến trình đang hoạt động, đây là công cụ dạng dòng lệnh rất hay, có khả năng kill (đóng) các tiến trình nguy hiểm.
- Inzider : Là một ứng dụng hữu ích liệt kê những tiến trình đang hoạt động trên hệ thống Windows và các cổng tương ứng, Inzider có thể phát hiện một số trojan như BackOrifice mặc dù chúng tự chèn vào trong các tiến trình của hệ thống để ẩn trên danh sách của Task list nhưng trojan này vẫn phải mở các cổng xác định.
- Tripwire : Ứng dụng trên Linux dùng để kiểm tra tính toàn vẹn của hệ thống tập tin, sử dụng một thuật toán băm để có thể xác định được tình trạng của các tập tin hệ thống và nhận biết khi có sự thay đổi xảy ra. Tripwire tạo ra một thiết lập chuẩn (baseline) của hệ thống và thường xuyên quét các tập tin nếu có sự thay đổi xảy ra sẽ cảnh báo cho quản trị hệ thống.
Phòng Chống Trojan Bằng Cách Kiểm Tra Tính Toàn Vẹn Của tập Tin
Trên hệ thống Windows Server 2003 trở về sau có một tính năng gọi là Windows File Protection (WFP) giúp ngăn ngừa việc thay thế các tập tin được bảo vệ. WFP kiểm tra tính toàn vẹn của tập tin khi có sự tác động đến các tập tin SYS, DLL, OCX, TTF hay EXE. Điều này bảo đảm chỉ có các tập tin đã được xác thực bởi Microsoft mới thay đổi được các tập tin hệ thống. Ngoài ra, chúng ta có thể sử dụng công cụ sigverif xem các tập tin có được xác thực bởi Microsoft hay không thông qua các thao tác sau :
Tổng Kết
Như vậy, trong chương này chúng ta đã tìm hiểu về trojan và backdoor với những đặc điểm khác biệt của chúng. Các bạn cần ghi nhớ những cổng thông dụng mà trojan hay backdoor thường sủ dụng cũng như các phương pháp dùng để kiểm tra sự có mặt của các phần mềm độc hại này. Trong các câu hỏi của bài thi chứng chỉ CEH thường hay đề cập đến những cổng mà trojan như Subseven, BackOrofice hay Netbus hoạt động, và những điểm lưu ý khác là các tùy chọn quan trọng của trojan Netcat.