Trojan xâm nhập như thế nào?
Hacker có thể đứng từ xa kiểm soát phần cứng và phần mềm của hệ thống bằng cách cài đặt Trojan.
- Trojan thường được đóng gói vào phần mềm miễn phí hoặc phần mềm có thể tải xuống dễ dàng. Khi người dùng tải xuống các file như vậy, hệ thống mục tiêu sẽ tự động cài đặt Trojan.
- Các quảng cáo pop-up khác nhau cố gắng đánh lừa người dùng.
- Hacker gửi Trojan qua email dưới dạng file đính kèm. Khi người dùng mở các file độc hại này, Trojan sẽ tự động cài đặt.
Các bạn có thể đọc tất cả bài viết về CEH Tiếng Việt tại đây.
Hacker lây nhiễm một máy mục tiêu bằng cách sử dụng Trojan theo các bước sau:
- Bước 1: Tạo một Trojan mới bằng cách sử dụng các công cụ như Trojan Horse Construction Kit, Social Engineering Toolkit (SET) và Beast. Các Trojan mới có khả năng cao hơn trong việc xâm nhập vào hệ thống mục tiêu, vì cơ chế bảo mật có thể không phát hiện chúng. Các Trojan này cần được chuyển đến máy nạn nhân bằng cách sử dụng dropper hoặc downloader.
- Bước 2: Sử dụng dropper hoặc downloader để cài đặt mã độc vào mục tiêu. Khi chạy, dropper trích xuất các thành phần malware ẩn trong nó và thực thi chúng, thường không lưu chúng vào đĩa để tránh phát hiện. Downloader là các công cụ vận chuyển malware, chúng gián tiếp tải Trojan về. Dropper có thể dễ dàng né tránh tường lửa nhưng downloader có thể bị phát hiện bằng cách sử dụng các công cụ phân tích mạng.
- Bước 3: Sử dụng một wrapper như petite.exe, Graffiti.exe, lExpress Wizard hoặc eLiTeWrap để gắn kết chương trình thực thi Trojan vào các file hợp lệ nhằm cài đặt Trojan trên mục tiêu.
- Bước 4: Sử dụng một công cụ mã hóa như BitCrypter để mã hóa Trojan nhằm né tránh việc bị phát hiện bởi tường lửa/IDS.
- Bước 5: Lan truyền Trojan
- Bước 6: Triển khai Trojan trên máy nạn nhân bằng cách thực thi dropper hoặc downloader để che đậy nó.
- Bước 7: Thực thi tiến trình gây hại. Hầu hết các malware chứa một tiến trình gây hại để cung cấp các payload. Một số payload chỉ hiển thị hình ảnh hoặc thông điệp nhưng một số payload khác có thể xóa file, định dạng lại ổ cứng, …. Tiến trình gây hại cũng có thể bao gồm việc gửi tín hiệu kích hoạt cho malware.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 1 trojan](https://sinhviencntt.net/wp-content/uploads/2023/06/image-67-1024x213.png)
Quy trình tạo Trojan
Tạo Trojan
Hacker có thể tạo ra Trojan bằng cách sử dụng các công cụ như DarkHorse Trojan Virus Maker và Senna Spy Trojan Generator.
Các công cụ này có thể tạo trojan và tùy chỉnh theo yêu cầu của mình. Những công cụ này rất nguy hiểm và có thể gây phản tác dụng nếu không thực hiện đúng cách. Những Trojan mới được tạo ra bởi hacker sẽ không bị phát hiện khi quét bằng các chương trình diệt vì chúng không khớp với signature đã biết nào. DarkHorse Trojan Virus Maker có thể tạo trojan một cách linh hoạt và nhanh chóng. Ví dụ, nếu chọn tùy chọn Disable Process, Trojan sẽ vô hiệu hóa tất cả các tiến trình trên hệ thống mục tiêu.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 3 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 2](https://sinhviencntt.net/wp-content/uploads/2023/06/image-120.png)
Nhúng Dropper hoặc Downloader
Sau khi xây dựng Trojan, hacker sử dụng một công cụ dropper hoặc downloader để truyền gói Trojan vào máy nạn nhân.
Droppers là các chương trình được sử dụng để che giấu payload malware. Dropper được thực thi bằng cách đơn giản là tải code của nó vào bộ nhớ, sau đó, payload malware được trích xuất và ghi vào file. Tiếp theo, quá trình cài đặt malware được khởi động và payload được thực thi. Emotet, Dridex, Gymdrop và Anatsa là những dropper nổi tiếng mà hacker có thể tận dụng.
Downloader là một chương trình có thể tải xuống và cài đặt các chương trình nguy hiểm như malware. Downloaders tương tự như droppers nhưng điểm khác biệt là downloader bản thân nó không chứa malware trong khi dropper lại có. Do đó, downloader có thể vượt qua các phần mềm quét virus.
Khi nạn nhân mở file chứa downloader, downloader sẽ liên lạc với server hacker để tải xuống các chương trình nguy hiểm khác. Godzilla downloader, Trojan.Downloader, W97M.Downloader và ISB.Downloader!gen309 là một số downloader phổ biến nhất.
Nhúng Wrapper
Wrappers là các phần mềm đóng gói cho phép gắn kết các file thực thi Trojan vào các ứng dụng .EXE thông thường. Khi người dùng chạy ứng dụng .EXE đã được đóng gói, nó trước tiên cài đặt Trojan trong background và sau đó chạy trong foreground. Hacker có thể nén bất kỳ file nhị phân (DOS/WIN) nào bằng các công cụ như petite.exe. Công cụ này giải nén file EXE (sau khi nén) trong thời gian runtime. Do đó, Trojan có thể xâm nhập một cách gần như không bị phát hiện, vì hầu hết phần mềm diệt virus không thể phát hiện signature trong file.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 5 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 4](https://sinhviencntt.net/wp-content/uploads/2023/06/image-121.png)
Hacker cũng có thể đặt nhiều file thực thi trong một file thực thi duy nhất. Các wrappers này cũng có thể hỗ trợ các chức năng như chạy một file trong nền và một file khác trên màn hình desktop.
Wrappers là một loại “glueware” được sử dụng để kết nối các thành phần phần mềm khác nhau lại với nhau. Một wrapper đóng gói nhiều thành phần vào một nguồn dữ liệu duy nhất để việc sử dụng trở nên thuận tiện hơn so với nguồn dữ liệu gốc chưa được đóng gói.
Nhúng Crypter
Crypter là một phần mềm mã hóa binary code gốc của file .exe. Hacker sử dụng crypter để che giấu virus, spyware, keylogger, RAT, … nhằm không cho phần mềm diệt virus phát hiện.
BitCrypter là một công mã hóa và nén các file thực thi 32-bit và ứng dụng .NET mà không ảnh hưởng đến chức năng của chúng. Nó giúp mã độc mã hóa vào các phần mềm hợp pháp nhằm lách qua tường lửa và phần mềm diệt virus. BitCrypter hỗ trợ một loạt các hệ điều hành khác nhau, từ Windows XP cho đến phiên bản Windows 10, …
Sự lây lan của Trojan
Sau khi tạo ra Trojan và sử dụng dropper/downloader, wrapper và crypter, hacker phải tìm cách cài trojan lên máy mục tiêu bằng một số kỹ thuật sau:
Qua email
Trojan là phương tiện mà hacker có thể tiếp cận hệ thống của nạn nhân. Để kiểm soát máy nạn nhân, hacker tạo ra một Trojan server và sau đó gửi email dụ dỗ nạn nhân nhấp vào một link nào đó trong email. Ngay khi nạn nhân nhấp chuột vào link đó, nó sẽ kết nối trực tiếp đến Trojan server, server sẽ tự gửi Trojan đến máy tính của nạn nhân sau đó tự động cài đặt. Kết quả là máy tính của nạn nhân bị nhiễm trojan mà không hề hay biết. Khi nạn nhân kết nối đến server của hacker, hacker có thể tiếp quản hoàn toàn máy nạn nhân và thực hiện bất kỳ hành động nào.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 7 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 6](https://sinhviencntt.net/wp-content/uploads/2023/06/image-122.png)
Thông qua Covert Channels
“Overts” đề cập đến một cái gì đó hiển nhiên hoặc rõ ràng, trong khi “covert” đề cập đến một cái gì đó bí mật, che giấu hoặc ẩn giấu. Một Overt Channel là một kênh hợp pháp để chuyển dữ liệu trong mạng của một tổ chức và nó hoạt động một cách an toàn để chuyển dữ liệu và thông tin. Ngược lại, một Covert Channel là một đường dẫn bí mật.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 9 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 8](https://sinhviencntt.net/wp-content/uploads/2023/06/image-123.png)
Covert channel là phương pháp được hacker sử dụng để triển khai và che giấu Trojan trong một giao thức nào đó không thể phát hiện. Kỹ thuật này gọi là kỹ thuật gọi là tunneling, cho phép một giao thức truyền thông qua giao thức khác. Tunneling trở thành một phương thức truyền thông hấp dẫn cho Trojan, vì hacker có thể sử dụng covert channel để cài đặt backdoor lên mục tiêu. Các channel này chủ yếu nhằm né tránh các chương trình diệt virus và tường lửa được triển khai trong mạng. Hacker có thể tạo các covert channel bằng cách sử dụng các công cụ như Ghost Tunnel V2, ElectricFish và Bachosens Trojan.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 11 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 10](https://sinhviencntt.net/wp-content/uploads/2023/06/image-124-1024x222.png)
Thông qua Proxy Servers
Trojan proxy là một ứng dụng độc lập giúp hacker sử dụng máy tính của nạn nhân như một proxy để kết nối đến máy mục tiêu. Nếu các cơ quan chức năng phát hiện, dấu vết vi phạm sẽ dẫn tới nạn nhân vô tội và không phải hacker do đó có thể gây phiền toái về mặt pháp lý cho nạn nhân. Hàng ngàn máy tính trên Internet đã bị nhiễm bởi các proxy server. Một số Trojan proxy như Linux.Proxy.10, Proxy Trojan hoặc Pinkslipbot (Qbot), …
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 13 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 12](https://sinhviencntt.net/wp-content/uploads/2023/06/image-125-1024x204.png)
USB/Flash Drives
Hacker cũng có thể copy Trojan vào USB và lừa nạn nhân sử dụng. Sau khi lan truyền vào máy nạn nhân, Trojan sẽ tự động thực thi, gây nhiễm và xâm phạm hệ thống và mạng.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 15 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 14](https://sinhviencntt.net/wp-content/uploads/2023/06/image-126-1024x265.png)
Exploit Kit
Exploit Kit (bộ công cụ khai thác) được sử dụng để khai thác các lỗ hổng bảo mật và được tìm thấy trong các ứng dụng như Adobe Reader và Adobe Flash Player, bằng cách phân phối phần mềm độc hại như phần mềm gián điệp, virus, Trojan, worm, bot, backdoor hoặc các payload khác đến hệ thống mục tiêu. Exploit kit đi kèm với mã exploit được viết sẵn. Do đó, chúng dễ sử dụng đối với những cá nhân không phải là chuyên gia IT. Bằng cách sử dụng các exploit kit, hacker có thể nhắm mục tiêu vào trình duyệt hoặc các chương trình có thể truy cập bằng trình duyệt, các lỗ hổng zero-day, …
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 16 exploit kit](https://sinhviencntt.net/wp-content/uploads/2023/06/image-127-1024x413.png)
Quy trình khai thác có thể thay đổi tùy thuộc vào exploit kit được sử dụng:
- Nạn nhân truy cập vào một trang web chính thống được lưu trữ trên web server bị xâm phạm.
- Nạn nhân bị chuyển hướng qua các server trung gian khác.
- Nạn nhân không biết mình đang đặt chân lên exploit kit server chứa trang đích của exploit kit khác.
- Exploit kit thu thập thông tin về nạn nhân
- Nếu khai thác thành công, malware sẽ được tải xuống và thực thi trên hệ thống của nạn nhân.
BotenaGo exploit kit được viết bằng ngôn ngữ Go chứa hơn 30 biến thể và có khả năng tấn công hàng triệu thiết bị IoT và thiết bị router trên toàn thế giới. BotenaGo được phát hiện lần đầu vào tháng 11 năm 2021 và được nhận dạng là phần mềm độc hại Mirai botnet. Sử dụng BotenaGo, hacker bắt đầu bằng việc đặt một backdoor trong thiết bị nạn nhân thông qua port 31412 bằng cách gửi GET request và lắng nghe IP của nạn nhân (response) qua port 19412. Sau nhúng backdoor thành công, hacker có xâm nhập bằng các chức năng được code sẵn trong mã nguồn. BotenaGo đang được hacker sử dụng thành công trong việc phân phối các chức năng tấn công DDoS bằng cách lan truyền payload đến thiết bị nạn nhân.
Một số lỗ hổng liên quan:
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 18 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 17](https://sinhviencntt.net/wp-content/uploads/2023/06/image-128.png)
Tính năng:
- Không có giao tiếp trực tiếp với máy chủ C2C
- Sử dụng function mapping để thực hiện khai thác.
- Khai thác tới 33 lỗ hổng trong giai đoạn khởi tạo.
- Triển khai phần mềm độc hại Mirai trên máy nạn nhân thông qua các link.
![[CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 20 [CEH] Module 7 - Phần 3: Exploit kit và các bước tạo Trojan 19](https://sinhviencntt.net/wp-content/uploads/2023/06/image-129-1024x648.png)