Trojan là gì, Backdoor là gì. Cách phòng chống trojan như thế nào? Đây có lẽ là câu hỏi được quan tâm nhiều nhất trong tình hình hiện nay. Hãy cùng Huỳnh Quí đi tìm hiểu về trojan và backdoor nhé.
Giới thiệu về Trojan và Backdoor
Backdoor là gì?
Backdoor là gì? Backdoor hay còn gọi là “cổng sau” là chương trình mà các hacker cài đặt trên máy tính của nạn nhân để có thể điều khiển hay xâm nhập một cách dễ dàng. Một chức năng khác của backdoor là xóa tất cả những thông tin hay các chứng cứ mà hacker để lại khi họ xâm nhập trái phép vào hệ thống máy tính của nạn nhân, các backdoor tinh vi đôi khi tự nhân bản hay che dấu để có thể duy trì “cổng sau” cho phép các hacker truy cập hệ thống ngay cả khi chúng bị phát hiện.
Kỹ thuật mà backdoor thường thực hiện đó là thêm một dịch vụ mới trên các hệ điều hành Windows, và dịch vụ này càng khó nhận dạng thì hiệu quả càng cao. Do đó tên của chúng thường đặt giống với tên của những dịch vụ của hệ thống hay thậm chi các hacker sẽ tìm tên các tiến trình hệ thống nào không hoạt động (hay tắt những tiến trình này) và dùng tên này đặt cho các backdoor của mình. Điều này sẽ qua mặt được cả những chuyên gia hệ thống giàu kinh nghiệm.
Một trong các backdoor thường được đề cập trong CEH là Remote Administration Trojan (RAT) cho phép các hacker kiểm soát những máy tính đã bị chiếm quyền điều khiển với những chức năng xem và quản lý toàn bộ desktop, thực thi các tập tin, tương tác vào registry hay thậm chí tạo ra các dịch vụ hệ thống khác.
Không như các backdoor thông thường RAT neo chúng vào hệ điều hành của nạn nhân để khó bị xóa đi và luôn có hai thành phần trong mô hình hoạt động của backdoor này là thành phần client và thành phần server. Trong đó server là tập tin sẽ được cài vào máy tính bị lây nhiễm còn client là ứng dụng mà các hacker dùng để điều khiển server.
Trojan là gì?
Đôi khi không có sự phân biệt giữa chức năng của Backdoor và Trojan vì các công cụ cao cấp thuộc dạng này luôn có những chức năng giống nhau. Sự phân biệt chính liên quan đến những hành động của chúng mà hacker sẽ thực hiện, ví dụ hacker cần tiến hành các cuộc tấn công từ chối dịch vụ DOS thì các thành phần mã độc trên máy tính của nạn nhân được gọi là trojan, còn khi hacker thâm nhập vào một máy chủ qua mã độc được cài sẳn thì chương trình nguy hiểm được xem là backdoor.
Và một trojan cũng có thể là backdoor hay ngược lại. Trojan ban đầu chỉ là một ý tưởng điều khiển máy tính liên phòng ban trong quân sự, nhưng về sau đã được các hacker phát triển thành một công cụ tấn công nguy hiểm.
Tên gọi trojan lấy ý tưởng từ cuộc chiến thành Troy với tên gọi là Trojan Hoorse, có lẽ các bạn cũng đã xem qua hay nghe nói đến bộ phim cuộc chiến thành Troy do tài tử Brad Pitt thể hiện rất xuất sắc trong vài anh hùng Achil, mặc dù với quân lực mạnh mẽ nhưng vẫn không thể nào hạ thành, vì vậy bọn họ đã lập mưu tặng một món quà là con ngựa gỗ khổng lồ có các chiến binh núp ở bên trong để nữa đêm xuất hiện công phá thành từ phía bên trong.
Trojan trên máy tính cũng vậy, được cài vào hệ thống của chúng ta thông qua các hình thức “tặng quà” hay những cách tương tự mà người dùng khó mà phát hiện được. Ví dụ ta cần kiếm một chương trình nào đó phục vụ công việc và tìm chúng qua các mạng chia sẽ, search google, trên các diễn đàn hay tìm kiếm torrent của ứng dụng này.
Các hacker biết rõ điều này nên họ đã tạo sẳn các chương trình trên với tập tin [email protected] đã được “khuyến mãi” thêm mã độc (trojan/backdoor). Nếu bất cẩn các bạn có thể bị nhiễm trojan theo hình thức này, một khi bị nhiễm thì các tìn hiệu bàn phím chúng ta gõ vào hay những hành động trên máy tính của mình sẽ được thông báo đến hộp thư của hacker hay đẩy lên một máy chủ FTP nào đó trên mạng internet.
Đối với các trojan phức tạp và tinh vi còn được trang bị thêm các cơ chế nhận lệnh từ kênh IRC để các hacker dễ dàng điều khiển và phát động các cuộc “tổng tấn công” gây ra tình trạng từ chối dịch vụ của website hay máy chủ của cơ quan hay tổ chức.
Trojan | Protocol (Giao thức vận chuyển) | Port / Cổng |
BackOrifice | UDP | 31337, 31338 |
Deep Throat | UDP | 2140, 3150 |
NetBus | TCP | 12345, 12346 |
Whack-a-mole | TCP | 12361, 12362 |
NetBus 2 | TCP | 20034 |
GirlFriend | TCP | 21544 |
Masters Paradise | TCP | 3129, 40421, 40422, 40423,
40426 |
Danh sách một số trojan thông dụng và cổng tương ứng mà chúng hoạt động
Công Cụ Tấn Công
Loki là một công cụ tấn công cho phép truy cập ở mức cao vào trình điều khiển lệnh dựa trên ICMP, khiến cho việc phát hiện chúng trở nên khó khăn hơn các backdoor thông thường dựa trên TCP hay UDP.
Các Loại Trojan
Trojan có thể được sử dụng cho nhiều dạng tấn công khác nhau từ đánh cắp dữ liệu cho đến chạy chương trình từ xa, tấn công từ chối dịch vụ,… Có rất nhiều dạng trojan khác nhau mà các bạn cần lưu ý:
- Remote Access Trojan (RAT) — dùng để truy cập từ xa vào hệ thống
- Data-Sending Trojan — dùng để đánh cắp dữ liệu trên hệ thống và gởi về cho hacker.
- Destructive Trojan — sử dụng để phá hủy tập tin trên hệ thống
- Denial of Service Trojan — dùng để phát động các đợt tấn công từ chối dịch vụ.
- Proxy Trojan —được dùng để tạo ra các võ bọc truyền thông (tunnel) hay phát động tấn công từ một hệ thống khác.
- FTP Trojan — dùng để tạo ra dịch vụ FTP nhằm sao chép dữ liệu lên hệ thống bị nhiễm.
- Security software disabler Trojan — dùng để tắt các dịch vụ phòng chống virus, trojan.
Nhận Biết Máy Tính Bị Nhiễm Trojan và Backdoor Như Thế Nào?
Ngoài việc sử dụng các chương trình diệt virus được cập nhật đầy đủ như Avast, Kaspersky, Eset,… thì chúng ta có thể căn cứ vào những hành vi bất thường của máy tính như các thông báo lỗi lạ, các phần mềm hoạt động đóng mở tự động hoặc chúng hoạt động một cách chậm chạm cho chúng ta biết máy tính đang có vấn đề và có khả năng bị lây nhiễm trojan / backdoor.
Chúng ta còn có thể giám sát các cổng trên hệ thống Windows với lệnh như C:\netstat – na để xem những cổng lạ nào đang mở, nếu có những cổng như trong hình minh họa sau thì có lẽ máy tính đa bị nhiễm mã độc.
Các cổng tương ứng với chương trình nguy hiểm
Ngoài ra, việc sử dụng các chương trình giám sát mạng như Wireshark để phát hiện những kết nối bất hợp lý, những truyền thông khả nghi là biện pháp rất tốt để phát hiện các trojan / backdoor tinh vi.
Vì nhiều mã độc có khả năng ẩn mình qua mặt cả những chường trình diệt virus, không xuất hiện trong danh sách task list hay các tiến trình đang chạy nhưng khi chúng truyền thông tin với hacker để nhận lệnh thì các gói tin này không thể nào qua mặt được những ứng dụng giám sát đường truyền như Wireshark, cũng vì sự hữu ích của mình mà hiện nay Wireshark được xếp số 1 trong 125 công cụ hỗ trợ bảo mật hàng đầu.
Cách phòng chống Trojan Backdoor
Hầu hết các ứng dụng diệt virus hiện nay đều có khả năng phòng chống trojan và backdoor, ngăn ngừa chúng lây nhiễm trên hệ thống máy tính. Tuy nhiên, các bạn nên sử dụng các chương trình antivirus được cập nhật đầy đủ và có bản quyền để có thể phát hiện ra các biến thể mới nhất của mã độc.
Trong trường hợp sử dụng các chương trình diệt virus miễn phí nên chọn các ứng dụng được đánh giá tốt nhất, như AVAST, KIS,… có thể cài trên các hệ thống windows. Tuy nhiên, các phiên bản thương mại vẫn có nhiều tính năng mạnh mẽ hơn, khả năng phòng chống trojan cao hơn so với các bản miễn phí. Do đó, nếu đặt yếu tố hiệu quả lên hàng đầu thì nên chọn các sản phẩm thương mại.
Ngoài ra, chúng ta nên cẩn thận khi sử dụng những phần mềm cr.@ck hay chạy các tập tin vá, chương trình lấy keygen vì đây là những nguồn lây nhiễm trojan, virus hàng đầu. Trong trường hợp cần cài đặt thử nghiệm những ứng dụng không tin cậy hãy cài trước trên máy ảo để xem có tác hại hay hành động khả nghi nào không (giám sát với các chương trình Wiresharke, Process Monitor, dùng lệnh netstat –na để kiểm soát các session trên máy tính…)
Vậy là hôm nay chúng ta đã cùng nhau tìm hiểu về Trojan và Backdoor qua bài viết Trojan là gì, Backdoor là gì. Nếu vẫn không hiểu có thể inbox vào Fanpage để mình hỗ trợ nhé.