TROJAN, BACKDOOR

VIRUS VÀ WORM

Khoa Công nghệ thông tin và Truyền thông

Trường Đại học Cần Thơ
Phần A
TROJAN VÀ BACKDOOR
TROJAN VÀ BACKDOOR
•  Trojan và backdoor là gì.

•  Kênh công khai và bí mật.

•  Các loại trojan.

•  Biện pháp đối phó trojan.

•  Tổng kết.
TROJAN
•  Trojan là một chương trình độc hại được cải trang như
một chương trình vô hại.
•  Trojans được sử dụng để đánh cắp dữ liệu hoặc phá hoại
hệ thống mục tiêu.
v  Trojan thường được gắn vào:
§  Phần mềm miễn phí
§  Công cụ gỡ bỏ phần mềm gián điệp
§  Phần mềm tối ưu hóa hệ thống
§  Âm nhạc, hình ảnh, trò chơi và video
BACKDOOR
•  Backdoor là một chương trình cho phép hacker truy
cập trở lại hệ thống sau đó.

•  Backdoor có thể được nhúng vào trong một trojan

độc hại

•  Kỹ thuật phổ biến nhất để che giấu backdoor trong

hệ điều hành Windows là thêm một dịch vụ mới có
vẻ vô hại để chạy backdoor này.
KÊNH CÔNG KHAI VÀ BÍ MẬT
•  Hacker có thể giao tiếp với backdoor thông qua các
kênh công khai hoặc bí mật.
•  Kênh công khai (overt channel) là cách thông thường và
hợp pháp mà các chương trình giao tiếp trong một hệ
thống máy tính hoặc mạng.
•  Kênh bí mật (covert channel) sử dụng các chương trình
hay các kênh giao tiếp theo một cách không theo quy chuẩn
hoặc dự kiến.
CÁC LOẠI TROJAN PHỔ BIẾN
•  Remote Access Trojans (RATs): Được sử dụng để
truy cập từ xa vào một hệ thống.
•  Data-Sending Trojans: Được sử dụng để tìm dữ
liệu trên một hệ thống và gởi dữ liệu cho hacker.
•  Destructive Trojans: Được sử dụng để xóa hoặc
làm hỏng các tập tin trên một hệ thống.
•  Denial-of-Service Trojans: Được sử dụng để khởi
động một cuộc tấn công từ chối dịch vụ.
CÁC LOẠI TROJAN PHỔ BIẾN
Ø Proxy Trojans: Sử dụng máy nạn nhân làm điểm
xuất phát để truy cập hoặc phá hoại các hệ thống
khác.
Ø FTP Trojans: Được sử dụng để tạo ra một máy chủ
FTP nhằm sao chép các tập tin vào một hệ thống.
Ø Security Software Disabler Trojans: Được sử dụng
để ngăn chặn phần mềm diệt virus.
CÁC LOẠI TROJAN
CÁCH PHÁT TÁN TROJAN
•  Trojan được đóng gói cùng với các gói phần mềm khác.
Khi người dùng tải gói phần mềm này về, trojan sẽ được
tự động cài đặt lên hệ thống.
•  Nạn nhân bị bẫy bởi những pop-up quảng cáo. Cho dù có
nhấn YES hay NO thì trojan vẫn được cài vào máy.
•  Hacker gởi trojan đính kèm trong email.
•  Thỉnh thoảng khi nạn nhân nhấp chuột vào các loại tập tin
khác như thiệp chúc mừng, phim, ảnh khiêu dâm thì trojan
sẽ được âm thầm cài đặt lên hệ thống.
 CÁCH PHÁT TÁN TROJAN
a l H a c k in g a n d C o u n t e r m e a s u r e s E x a m 3 1 2 - 5 0 C e r t if ie d E th ic a l
n s a n d B a c k d o o rs

Dropper . . . . . .

- 1 1 .........
> Dropper
Trojan Packet
Ww* y
drops the
Trojan
0 ) ........ 11 ------
chess.exe
W ra p p e r
Trojan code execution
A tta c k e r
V ic tim 's S y s te m
s

FIGURE 6 .4 : Illu s tr a tin g th e pro c e s s o f in fe c tin g m a c h in e s u s ing T ro ja n s (2 o f 2)

Ví dụ về cách đóng gói và phát tán Trojan

VÍ DỤ: COMMAND SHELL TROJAN
•  Command Shell Trojan cho phép điều khiển từ xa một shell trên
máy nạn nhân.
•  Máy chủ trojan được cài trên máy của nạn nhân, trong đó nó
mở một cổng cho hacker kết nối đến.
•  Máy trạm trojan được cài trên máy hacker cho phép chạy lệnh
shell trên máy nạn nhân.
COMMAND SHELL TROJAN: NCAT
VÍ DỤ: BOTNET TROJAN
•  Botnet Trojan lây nhiễm lên một số lượng lớn các máy
tính trên một phạm vi địa lý rộng lớn, tạo ra một mạng
bot được điều khiển thông qua trung tâm Command
and Control (C&C)
•  Botnet được sử dụng để phát động các cuộc tấn công
như: từ chối dich vụ (DoS), spamming, …
 VÍ DỤ: BOTNET TROJAN
acking a n d C o u n te rm e a s u re s Exam 3 1 2 -5 0 C ertified Ethical
n d B ack d o o rs

B o tn e t
C&C S e r v e r

FIGURE 6.18: Illustrating the process of infecting company's website using Botnet Trojans

t w o m a in c o m p o n e n ts :

B o tn e t
 | p • a S © 1® ' i Target
P ro c e s s

A tta c k e r V ic tim (P ro x ie d ) In te rn e t company

VÍ DỤ: PROXY SERVER TROJAN Copyright © by EG-G*ancil. All Rights Reserved. Reproduction is Strictly Prohibited.

•  P Proxy server Trojan cho phép hacker sử dụng từ xa

ro x y S e r v e r T r o ja n s
máy tính của nạn nhân như một Proxy để kết nối
A p r o x y s e r v e r T r o j a n is a t y p e o f T r o j a n t h a t c u s t o m i z e s t h e t a r g e t ' s s y s t e m t o a c t as
p r o x y s e r v eInternet.
r. A p ro x y s e rv e r T ro ja n , w h e n in fe c te d , s ta rts a h id d e n p r o x y s e rv e r o n th e v ic tim
c o m p u t e r . T h e a t t a c k e r c a n u s e t h i s t o c a r r y o u t a n y i l l e g a l a c t i v i t i e s s u c h as c r e d i t c a r d f r a u
• t hProxy
id e n tity e f t , a n d server
c a n e v eTrojan,
n l a u n c h khim a lbị nhiễm,
ic io u s a t t a c k s bắt
a g a đầu t h e rmột
i n s t oẩn n e t w o r k s . T h is c a

Proxy server trên máy tính của nạn nhân.

c o m m u n i c a t e t o o t h e r p r o x y s e r v e r s a n d c a n a ls o s e n d a n e m a i l t h a t c o n t a i n s t h e r e l a t e
in fo rm a tio n .

4 !P ■ T a rg e t
A tta c k e r V ic tim (P ro x ie d ) In te rn e t
Company

FIGURE 6.19: Attacker infecting Target company's system using Proxy Server Trojans
 to th e v ic tim 's m a c h in e using Password: te s t
B a a e D ir: c : \ v in 9 8
FTP p o rt to d o w n lo a d a ny file s A llo v d IP : a ll
th a t e xist o n th e v ic tim 's L o c a l A dd re ss: 1 9 2 .1 6 8 .1 6 8 .1 6
ReadAccess: Yes
c o m p u te r W n te A c c e s s : Yes
L Is tA c c e s s : Yes
C re a te A c c e s s : Yes
D e le te A c c e s s : Yes

VÍ DỤ: FTP TROJAN

E xe cu te A cce ss: Yes
U klo d cA co e ss: No
AnonyaousAccess No
Check T is e O at T hread C re a te d S u c c e s s fu lly
***************
0 C o n n e c tio n I s I n Use

•  FTP Trojan cài đặt FTP server trên máy nạn nhân để Copyright © by EG-G*ancil. All Rights Reserved. Reproduction Is Strictly Prohibited.

mở cổng FTP.
F T P T r o ja n s

•  Hacker
A n FTP T r ocó j a n thểis a kếtt y p e nối
o f T r đến
o ja n th máya t is của
d e s i g n nạn
e d t o nhân
o p e n p bằng
o r t 21 and m a ke th e
t a r g e t ' s s y s t e m a c c e s s i b le t o t h e a t t a c k e r . It I n s t a ll s a n FTP s e r v e r o n t h e t a r g e t ' s m a c h i n e ,
a l l o w i n g cách
th e a ttasử c k e dụng
r t o g a icổngn a c c e s FTP
s to se đển s i ttải
i v e bất
d a t a kỳ a n d tập
d o w tin
n l o a nào tồn
d /u p lo a d f i l etại
s /p ro g ra m s

trên máy tính của nạn nhân.

t h r o u g h t h e FTP P r o t o c o l . F u r t h e r , i t a l s o i n s t a l l s m a l w a r e o n t h e t a r g e t s s y s t e m . C r e d i t c a r d
i n f o r m a t i o n , c o n f i d e n t i a l d a t a , e m a i l a d d r e s s e s , a n d p a s s w o r d a t t a c k s c a n a ls o b e e m p l o y e d
w h e r e o n ly t h e a t t a c k e r g a in s access t o t h e s y s te m .

FTP Server
(ft
Send me
V u lu a ic I n d r i v e C h a s no l a b e l .
c : \ c r e d i t c a r d . t x t file Voluae Serial Nunber is D45E-9FRE Directory of C:\
(FTP S erver
06/02/2012 1,024 -rnd
in s ta lle d in 09/06/2012 0 abc.txt
0 8 /2 4 /2 0 1 2 <D1K> A d v e n tN e t
th e
05/21/2012 0 AUTOEXEC.BAT
9 5 V *• b a ckg ro un d ) 05/21/2012 0 CONFIG.SYS
Here is th e requested file 06/04/2012 <DIR>Data
08/11/2012 <DIR>Documents and
Hacker Victim

FIGURE 6.21: Attacker infecting victim 's system using FTP Trojans
BIỆN PHÁP PHÒNG CHỐNG TROJAN
•  Không tải về và thực thi các ứng dụng từ các nguồn
không tin cậy
•  Không mở tập tin đính kèm email nhận được từ những
người gửi không rõ ràng.
•  Cài đặt các bản vá lỗi và cập nhật bảo mật cho hệ điều
hành và các ứng dụng.
•  Quét đĩa CD/DVD và USB trước khi sử dụng.
•  Chặn tất cả các cổng không sử dụng tại các máy chủ
và tường lửa.