7.1 Nguy cơ Malware - Cách lan truyền Malware và khái niệm Trojan
Certified Ethical Hacker v10 Vietnamese
Kteam
Danh sách bài học
7.1 Nguy cơ Malware - Cách lan truyền Malware và khái niệm Trojan
Tóm tắt
Malware là từ viết tắt của cụm từ Malicious Sofware (phần mềm ác ý). Thuật ngữ malware là một thuật ngữ phổ biến chỉ nhiều loại phần mềm độc hại, được thiết kế đặc biệt để tiếp cận mục tiêu, lấy cắp thông tin và phá hoại hệ thống. Bất cứ phần mềm nào tạo ra với mục tiêu ác ý như phá hỏng, vô hiệu hóa hay giới hạn kiểm soát của người dùng chính thống và cung cấp quyền truy cập cho kẻ tấn công hay người phát triển phần mềm đều được coi là malware.
Malware được chia thành nhiều loại như Viruses, Worms, Keyloggers, Spywares, Trojans, Ransomware và các loại malware khác. Hiện nay malware là nguy cơ khá nghiêm trọng. Malware loại Viruses và Worms sử dụng những kĩ thuật cũ trong khi các Malware khác có những thủ đoạn mới mẻ và nguy hiểm hơn.
Cách lan truyền malware
Có rất nhiều cách để malware truy cập vào hệ thống. User nên cẩn thận khi tiếp cận các phương pháp lan truyền malware phổ biến sau:
- Phần mềm miễn phí
Khi cung cấp miễn phí phần mềm trên mạng, phần mềm đó thường được tổ chức cung cấp đính kèm một số phần mềm và ứng dụng khác. Bên thứ ba có thể lợi dụng những phần mềm thêm vào này để lan truyền malware.
Ví dụ tiêu biểu nhất của phần mềm miễn phí là những tệp crack chứa malware, hoặc chỉ có malware ngụy trang thành tệp crack.
- Dịch vụ chia sẻ tệp
Dịch vụ chia sẻ tệp như torrent và Peer-to-peer chuyển tiếp tệp qua vô số máy tính. Trong quá trình chia sẻ, tệp có thể bị nhiễm độc, hoặc tệp nhiễm độc có thể được chia sẻ kèm theo bởi vì có một máy tính bảo mật kém.
- Phương tiện có thể gỡ bỏ
Malware có thể lan truyền thông qua các phương tiện như USB. Có nhiều loại malware nâng cao có thể lan truyền qua khu lưu trữ của USB cũng như qua Firmware gắn trong phần cứng. Ngoài USB, External hard disk, CD, DVD cũng có thể chứa malware bên trong.
Hiện nay, email là phương tiện giao tiếp phổ biến nhất trong một tổ chức. Malware có thể lan truyền thông qua tệp đính kèm trong email hoặc email có chứa URL ác ý.
- Không sử dụng tường lửa và Anti-Virus
Vô hiệu hóa tường lửa và chương trình Anti-Virus hay không sử dụng các phần mềm an ninh Internet có thể gây ra việc tải về malware ngoài ý muốn. Anti-virus và tường lửa sẽ chặn tải về malware tự động và cảnh báo khi phát hiện malware.
Khái niệm Trojan
Trojan Horse và Trojan là những chương trình ác ý, hành động sai lệch với những dự định ban đầu. Thuật ngữ này bắt nguồn từ một câu chuyện Hi Lạp cổ về một con ngựa gỗ lớn chứa các binh sĩ ẩn nấp bên trong. Khi con ngựa này vào thành phố, các binh sĩ này nhảy ra và bắt đầu tấn công thành phố.
Giống như câu chuyện, Trojan horse hành động sai lệch với những dự định ban đầu và đợi thời cơ tốt nhất để tấn công. Phần mềm Trojan này có thể giúp kẻ tấn công tiếp cận thông tin cá nhân cũng như cung cấp quyền truy cập không chính thống. Trojan cũng có thể làm các thiết bị kết nối chung một mạng bị nhiễm độc.
Trojan
Một phần mềm ác ý đánh lừa user về mục đích thật sự của nó được coi là Trojan. Trojan thường được lan truyền qua tấn công phi kĩ thuật. Mục đích chính của việc sử dụng Trojan là:
- Tạo cửa sau
- Lấy quyền truy cập không chính thống
- Lấy cắp thông tin
- Lây nhiễm các thiết bị kết nối
- Tấn công ransomware (mã độc tống tiền)
- Sử dụng nạn nhân để spam
- Sử dụng nạn nhân như Botnet
- Tải về các malware khác
- Vô hiệu hóa tường lửa
Quy trình lây nhiễm Trojan
Kẻ tấn công sử dụng những bước sau để gây nhiễm Trojan cho hệ thống mục tiêu.
- Tạo ra một Trojan sử dụng Trojan Construction Kit (bộ xây dựng Trojan).
- Tạo ra một Dropper.
- Tạo ra một Wrapper.
- Lan truyền Trojan.
- Thực thi Dropper.
Trojan Construction Kit cho phép người sử dụng tạo ra Trojan của riêng mình. Những Trojan tự tạo này nguy hiểm cho cả mục tiêu lẫn kẻ tấn công nếu không được thực thi đúng cách hoặc cháy ngược (backfire). Trojans tự tạo có thể tránh sự phát hiện từ máy quét virus và Trojan.
Một vài Trojan Construction Kit:
- Dark Horse Trojan Virus Maker
- Senna Spy Generator
- Trojan Horse Construction Kit
- Progenic mail Trojan Construction Kit
- Pandora's Box
Droppers
Dropper là một phần mềm hay chương trình thiết kế chủ yếu để chuyển một payload (*) đến hệ thống mục tiêu. Mục tiêu chính của Dropper là cài đặt mã malware vào máy tính mục tiêu, tránh khỏi cảnh báo và phát hiện. Nó sử dụng rất nhiều phương pháp để lan truyền và cài đặt malware.
(*)Trong an ninh máy tính, payload là một phần của một malware như sâu máy tính hay virus, một đoạn code được chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó, như hủy bỏ dữ liệu, gởi spam hay mã hóa dữ liệu. Thêm vào payload, những malware như vậy có thêm overhead code để lan truyền nó, hay để tránh bị nhận diện.
Công cụ Trojan-Dropper:
- TrojanDropper: Win32/Rotbrow.A
- TrojanDropper: Win32/Swisyn
- Trojan: Win32/Meredrop
- Troj/Destover-C
Wrapper
Wrapper là một tệp thường gắn với tệp ác ý để lan truyền Trojan. Wrappers thường là những tệp thực thi phổ biến như trò chơi, âm nhạc, tệp video cũng như những tệp không ác ý khác.
Crypter
Crypter là phần mềm sử dụng khi tạo ra Trojan. Chức năng cơ bản của Crypter là mã hóa, phức tạp hóa và điều chỉnh malware và chương trình ác ý. Bằng cách sử dụng Crypter để giấu tệp, các phần mềm an ninh sẽ khó phát hiện ra malware hơn. Phần mềm này thường được hacker sử dụng để tạo ra malware có khả năng qua mặt các chương trình an ninh bằng cách ngụy trang như một phần mềm không ác ý cho đến khi được cài đặt.
Một vài Crypter sẵn có để giấu chương trình ác ý là:
- Cryogenic Crypter
- Heaven Crypter
- Swayz Cryptor
Triển khai Trojan
Quy trình triển khai phần mềm Trojan khá đơn giản. Một kẻ tấn công sẽ tải Trojan lên một serve và phần mềm này sẽ tự động tải về khi nạn nhấn ấn vào link. Sau khi tải lên, kẻ tấn công sẽ gửi một email chứa đường link ác ý. Khi nạn nhân nhận được email spam và click vào link, máy sẽ kết nối với Trojan Server và tải Trojan về PC của nạn nhân. Sau khi Trojan được cài đặt ở PC, Trojan sẽ cung cấp cho kẻ tấn công quyền truy cập không chính thống, thông tin cá nhân hay thực hiện một hành động kẻ tấn công thiết kế.
Các loại Trojans
- Command Shell Trojans
Command Shell Trojans có khả năng cung cấp quyền kiểm soát từ xa lệnh Shell trên máy tính nạn nhân. Máy chủ Trojan của Command Shell Trojans như Netcat được cài đặt trên máy tính mục tiêu. Máy chủ Trojan sẽ mở cổng cho ứng dụng bên client kết nối với lệnh shell, ứng dụng client được cài đặt trong máy của kẻ tấn công.
- Defacement Trojans
Sử dụng Trojan này, kẻ tấn công có thể xem, chỉnh sửa và trích rút thông tin từ các chương trình Windows. Kẻ tấn công có thể thay thế chuỗi, hình ảnh và logo bằng những dấu vết của mình. Bên cạnh đó, kẻ tấn công sử dụng ứng dụng tùy chỉnh User-Styled Custom Application (UCA), để thay đổi nội dung chương trình. Website Defacement là phần mềm phổ biến nhất.
- HTTP/HTTPS Trojans
HTTP và HTTPS Trojans qua mặt sự thăm dò của tường lửa và thực thi ứng dụng trên máy mục tiêu. Sau khi thực thi, nó bắt đầu xây dựng đường hầm HTTP/ HTTPS để giao tiếp với kẻ tấn công từ máy tính nạn nhân.
- Botnet Trojans
Botnet là tập hợp nhiều máy tính đã bị tấn công hoặc thỏa hiệp, không bị giới hạn trong một mạng LAN nhất định mà có thể lan truyền qua một phạm vi địa lí lớn. Những botnet này được điều khiển bởi Trung tâm lệnh và kiểm soát (Command and Control Center). Những botnet được sử dụng để thực hiện tấn công như từ chối dịch vụ, spam, ...
- Proxy Server Trojans
Trojan-Proxy Server là một ứng dụng malware riêng, có thể biến hệ thống host thành một proxy server. Kẻ tấn công có thể sử dụng máy tính nạn nhân như một proxy server do trojans này kích hoạt tính năng proxy server trên hệ thống mục tiêu. Kĩ thuật này được dùng để chuẩn bị cho các tấn công tiếp theo bằng cách che giấu nguồn gốc ban đầu của tấn công.
- Remote Access Trojans (RAT)
RAT cung cấp cho kẻ tấn công quyền truy cập từ xa tới máy tính nạn nhân bằng cách mở Port cho phép truy cập GUI tới hệ thống từ xa. RAT bao gồm cả một cửa sau để duy trì truy cập quản lí và kiểm soát với mục tiêu. Kẻ tấn công sử dụng RAT để quan sát hành động của user, truy cập thông tin tuyệt mật, chụp màn hình, thu âm và quay video sử dụng webcam, định dạng ổ cứng, chỉnh sửa tệp, ...
Dưới đây là danh sách các công cụ RAT:
- Optix Pro
- MoSucker
- BlackHole RAT
- SSH-R.A.T
- njRAT
- Xtreme RAT
- DarkComet RAT
- Pandora RAT
- HellSpy RAT
- ProRat
- Theef
Các loại Trojans khác:
- FTP Trojans
- VNC Trojans
- Mobile Trojans
- ICMP Trojans
- Covert Channel Trojans
- Notification Trojan
- Data Hiding Trojan
Mindmap
Biện pháp đối phó Trojan
Một hệ thống hay mạng có thể đối phó với đa số các loại Trojan nếu thực hiện những biện pháp phòng tránh tấn công Trojan tiêu biểu sau đây.
- Không click vào những tệp đính kèm đáng ngờ trong emai
- Chặn những port không sử dụng
- Quan sát giao thông mạng
- Không tải về tệp từ những nguồn không đáng tin cậy
- Cài đặt phần mềm bảo mật và anti-virus phiên bản nâng cấp
- Quét những phương tiện có thể gỡ bỏ trước khi sử dụng
- Kiểm tra tính toàn vẹn của tệp
- Kích hoạt kiểm kê
- Thiết lập tường lửa host-based
- Phần mềm phát hiện xâm nhập
Cách phát hiện Trojans
Tải xuống
Tài liệu
Nhằm phục vụ mục đích học tập Offline của cộng đồng, Kteam hỗ trợ tính năng lưu trữ nội dung bài học 7.1 Nguy cơ Malware - Cách lan truyền Malware và khái niệm Trojan dưới dạng file PDF trong link bên dưới.
Ngoài ra, bạn cũng có thể tìm thấy các tài liệu được đóng góp từ cộng đồng ở mục TÀI LIỆU trên thư viện Howkteam.com
Đừng quên like và share để ủng hộ Kteam và tác giả nhé!
Thảo luận
Nếu bạn có bất kỳ khó khăn hay thắc mắc gì về khóa học, đừng ngần ngại đặt câu hỏi trong phần bên dưới hoặc trong mục HỎI & ĐÁP trên thư viện Howkteam.com để nhận được sự hỗ trợ từ cộng đồng.
Nội dung bài viết
Tác giả/Dịch giả
Khóa học
Certified Ethical Hacker v10 Vietnamese
Certified Ethical Hacker v10 Vietnamese
Những nguy cơ từ malware và cách phòng tránh
Ở thời điểm hiện tại, thật khó tin là các mã mức thấp vẫn có thể chạy ngầm trên máy tính mà không bị phát hiện. Các chính phủ cũng nhận ra các biện pháp phòng thủ hiện tại là chưa đủ và họ có thể dễ dàng mất quyền kiểm soát mạng nội bộ hay website vào tay kẻ khác. Bài viết sẽ tập trung về những loại malware nổi lên gần đây và đề xuất những giải pháp có thể sử dụng để đối phó với các mối đe dọa này.
Cùng với sự phát triển của công nghệ phần mềm thì các nhà phát triển cũng đưa ra những cảnh báo và đồng thời triển khai thêm nhiều biện pháp an ninh nhằm đảm bảo sản phẩm của họ được bảo vệ an toàn. Tuy nhiên, mối đe dọa do malware gây ra không vì thế mà giảm đi. Khi mà các biện pháp đối phó ra đời thì những kẻ xấu lại tìm thêm nhiều cách tinh vi và phức tạp hơn để xâm nhập lỗ hổng hệ thống. Giờ đây chúng thậm chí có thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phần mềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.
Những hướng tấn công mới đang được phát triển cho thích hợp với kỷ nguyên mạng xã hội, như lây lan quan các trang mạng xã hội. Ngoài ra, các cuộc tấn công tương tự trước đây vẫn gây tổn thất nặng nề. Những virus truyền thống vẫn đang bí mật lây nhiễm vào file, làm ảnh hưởng tới hoạt động của máy tính và có thể biến máy tính của chúng ta làm máy chủ lây nhiễm lên các site cũng như các máy tính và mạng khác.
Malware có thể được mô tả như sau:
Ảnh hưởng của malware lên máy tính
Các loại malware nổi bật
Trong vài tháng trước đây, những malware nguy hiểm đã được nhận dạng. Malware mới nhất gồm có:
Flame
Flame mới được phát hiện vào tháng Năm. Nó còn được biết đến dưới cái tên Flamer hay Skywiper và được tin là đã xuất hiện từ 2 năm trước tuy nhiên chỉ được phát hiện cho đến gần đây. Với hơn 1000 cuộc tấn công ban đầu trên nhiều máy tính của các tổ chức chính phủ, học viện giáo dục và các cá nhân, Flame được mô tả như là malware tinh vi nhất từng được phát hiện.
Flame là malware đầu tiên sử dụng kỹ thuật mật mã hóa, tấn công xung đột tiền tố, cho phép virus làm giả thông tin chứng thực số hóa để lây lan. Loại malware này tấn công những máy tính chạy hệ điều hành Windows của Microsoft và dễ dàng lây lan đến những máy khác qua mạng LAN hay USB. Flame thu thập dữ liệu qua bản ghi âm, ảnh chụp, hoạt động trên bàn phím, hội thoại trên Skype và lưu lượng mạng. Nó cũng sử dụng vật chủ làm một trạm thu Bluetooth có thể cố gắng tải về thông tin từ các thiết bị được kích hoạt Bluetooth xung quanh. Tất cả dữ liệu thu thập được gửi đi để ra lệnh và điều khiển thiết lập server khắp thế giới. Sau khi xong việc, mọi dấu vết của malware bị xóa sạch khỏi máy tính do Flame hỗ trợ một lệnh Kill trong nó.
Đáng ngại nhất của loại malware này là nó hoạt động lén lút mà không thể phát hiện tuy nhiên vẫn âm thầm thu thập thông tin quan trọng. Mức độ gây hại của nó có thể là vô tận nhờ cấu trúc modun, sau khi lây nhiễm vào một máy tính bằng malware khởi đầu thì nhiều modun cũng dễ dàng được bổ sung để thực hiện những mục đích khác nhau.
Flashback Trojan
Sự an toàn tuyệt đối của người dùng Apple giờ chỉ còn là quá khứ. Những năm trước đây, các cuộc tấn công nhắm vào người dùng Apple bằng sâu, virus và hacker là rất nhỏ. Flashback Trojan, được phát hiện lần đầu vào cuối năm 2011 được mô tả là thảm họa an ninh tồi tệ nhất xảy ra trên các máy Mac. Các cuộc tấn công trên toàn cầu những máy Mac và Macbook chạy nền tảng OS X đã đạt được số nạn nhân khổng lồ, hơn 600.000 thiết bị và không có dấu hiệu giảm đi.
Trojan nhắm vào những lỗ hổng trên Mac OS X. Một người dùng bị chuyển hướng đến một site giả mạo mà mã JavaScript làm tải một ứng dụng. Một file thực thi được lưu trên máy có thể tải về và chạy mã độc lên thiết bị. Kẻ điều khiển Trojan có khả năng làm mọi điều mình muốn trên máy bị lây nhiễm.
Sự gia tăng lượng người dùng của Apple làm cho những thiết bị này trở thành mục tiêu tuyệt vời cho các cuộc tấn công. Hacker chắc chắn sẽ tiếp tục tìm kiếm lỗ hổng hay những cách xâm nhập hệ thống này.
Trojan.Win32.Generic
Loại Trojan này được xếp trong top 10 malware gây lây nhiễm mạnh nhất gần đây và là malware lây lan mạnh nhất trong thời gian ngắn. Trojan.Win32.Generic xâm nhập máy tính thông qua backdoor, tự cài đặt và tiến hành phá hoại. Nó lợi dụng các lỗ hổng trên phần mêm máy tính để cấp quyền truy cập từ xa cho hacker đến vật chủ.
Artemis Trojan
Artemis Trojan có khả năng lây lan trên máy tính sau đó sẽ hiển thị thông tin sai lệch như các website bảo mật giả mạo. Mặc dù đã xuất hiện từ vài năm trước nhưng Trojan này bỗng gia tăng hoạt động vào năm nay. Vấn đề lớn nhất khi đối phó với Artemis là trong nhiều trường hợp, chương trình diệt virus không thể xác định được nó có thực sự là virus hay không.
Scrinject.b
Khi chuyển dịch dữ liệu vào đám mây đang là xu hướng chủ đạo ngày này thì đây thực sự là một mối lo lớn. Scrinject.b là một hệ các malware dựa trên đám mây. Nó có khả năng thu thập dữ liệu trên phạm vi toàn cầu.
Các bước ngăn cản malware
Kích hoạt và luôn luôn duy trì tường lửa. Nếu không tin tưởng vào tính năng tường lửa trên OS, bạn cũng có thể thử một trong số rất nhiều trình tường lửa trên mạng.
Kết luận
Động cơ đằng sau malware đã thay đổi nhiều theo thời gian. Những phiên bản malware đầu tiên chỉ được phát triển cho mục đích trêu chọc nhiều hơn là có chủ đích gây hại cụ thể. Mọi thứ đã đổi khác và những kẻ xấu tìm cách phát triển malware cho một mục đích đặc biệt như kiếm tiền hay thu thập thông tin quan trọng. Nhưng người dùng cũng có những phương pháp bảo vệ bản thân trước malware theo các bước đã đề cập bên trên.
Malware vẫn là một phần của thế giới điện toán ngày nay. Khi các nghiên cứu được tiến hành để cố gắng phát triển nhanh chóng những công cụ đối phó với chúng thì cũng là lúc kẻ tạo malware phát triển các chương trình mới và tìm những cách mới để lây nhiễm lên hệ thống của chúng ta. Và cuộc rượt đuổi sẽ cứ mãi tiếp diễn không ngừng.
Trojans có thể làm gì?
Trojans có thể thực hiện nhiều hành động khác nhau. Một số hành động Trojan thường gặp nhất:
Bộ máy ảo sử dụng thực hành CEHv10: Máy ảo thực hành CEHv10
Bộ công cụ thực hành sử dụng cho CEHv10: Tool thực hành CEHv10