Bản Tin Bảo Mật
Một phâ n ba số vi rus máy tính hiện tại được tạ o ra trong 10 thá ng đầu năm 2010. Theo cá c phòng thí nghiệm bảo mật và phần mềm độc hại của Panda, trong 10 tháng đầu của nă m 2010 thì cá c tội phạm mạng đã tạo ra và phát tán đến 1/3 s ố vi rus hiện tại, tạo ra 34% số l ượng cá c phần mềm độc hại đã từng tồn tại và được phân loại bởi PandaLabs. Công nghệ độc quyền Collective Intelligent , tự động phát hiện, phân tích và phân loại đến 99,4% cá c phầ n mềm độc hại, hiện đang l ưu trữ khoảng 134 tri ệu tập tin đặc biệt, trong đó 60 tri ệu là phần mềm độc hại(virus, sâu, trojan và cá c mối đe dọa từ má y tính khác...). Bá o cá o thêm là cho đến tháng 10 của năm 2010 thì có thêm khoảng 20 tri ệu dòng phần mềm độc hạ i được tạo ra ( bao gồm cả các biến thể của nó) cùng s ố lượng so với năm 2009. Tính trung bình thì các mối đe dọa đã tăng từ 55 l ên 63 nghìn. Mặ c dù những con số ấn tượng, nhưng tốc độ mà cá c mối đe dọa mới phát triển đã giảm kể từ nă m 2009. Kể từ nắ m 2003 “ cá c mối đe dọa đã tăng theo tỷ l ệ 100% hoặc nhiều hơn nhưng cho đến nay trong năm 2010 tỷ l ệ tă ng trưởng khoảng 50%”, Giám đốc kỹ thuật của PandaLabs gi ả i thích. Công ty nà y thông báo rằ ng, mặc dù phần mềm có chứa mã độc được tạ o ra , tuổi thọ của nó ngắ n hơn : 54% cá c mẫu phần mềm độc hại chỉ hoạt động trong vòng 24h, trá i ngược với tuổi thọ và i tháng như những năm trước đâ y. Bâ y giờ nó chỉ l ây nhiễm một vài hệ thống rồi biến mấ t. Gi ả i pháp chống vi rus có thể phát hiện phần mềm độc hại mới, tin tặc thay đổi chúng hoặc tạo ra những biến thể mới để tránh bị phát hiện. Đây l à lý do tại sao công nghệ bảo vệ như trí tuệ nhâ n tạo lại quan trọng như vậ y, có thể nhanh chóng vô hiệu hóa phần mềm độc hại mới và gi ả m bớt các rủi ro mà người dùng ti ếp xúc với nó trong vòng 24h.
Corrons đã kết luận rằng: “điều này không có nghia là có ít mối đe dọa hơn hay thị trường tội pham mạng(tin tặc) đang thu hẹp. có khả năng là nó sẽ tiếp tục mở rộng. cuối năm 2010 chúng ta sẽ tìm ra được nhiều mối đe dọa trí tuệ tập thể hơn năm 2009. tuy nhiên dường như tin tặc đang áp dụng quy mô kinh tế, tái sử dụng nhưng mật mã gây hại hay ưu tiên việc phân phối những mối đe dọa đang tồn tại hơn tạo nên những mối đe dọa mới”
Bản Tin Bảo Mật
Các chuyên gia(nhà nghiên cứu) bảo mật đã phát hiên ra một mối đe dọa “ransomware” tấn công máy tính trên khắp thế giới. Các chuyên gia tai hãng bảo mật Kaspersky Lap đã cho biết: hôm nay ngày 29/11 trong một trang blog người ta đã đã phát hiện máy tính bị mã hóa bởi phần mềm ransomware. Đây là một loại phần mềm độc hại, nó tấn công hệ thống máy tính- mã hóa dữ liêu -“hostage(con tin_ ko bik dùng chữ chi hêt) chống lại người sử dụng máy tính, và sau đó đòi tiền chuộc bằng cách chuyển tiền đến hacker hoặc yêu cầu người sử dụng máy tính mua công cụ giải mà giả ví dụ như – để trở lại. Ransomware mơi đc gọi là trojan-ransom.win32.Gpcode.ax, cũng tương tự như nhưng virut Gpcode trojan độc hại đac được phát hiện bởi Kaspersky Lap khác vào năm 2004 , và xuất hiện trở lại vào năm 2008. Hangc Kaspersky Lap cho biết rằng “ ko giống như nhưng biến thể trước” ransomware mới “ko xóa bỏ những tập tin sau khi mã hóa. Thay vào đó là viết chồng lên nhưng dữ liệu trong cách tập tin, bằng cách này , nhưng tập tin sẽ ko đc phục hồi bằng nhung phần mềm phục hồi dữ liêu như PhotoRec,
Mục Tiêu Module 6
Trojan là gì? Overt and covert channels Mục đích của Trojan Dấu hiệu tấn công của Trojan Cổng phổ biến được Trojan sử dụng Trojan lây nhiễm vào hệ thống như thế nào?
Trojan được triển khai như thế nào? Phân loại Trojan Trojan được dò tìm như thế nào? Kỹ thuật ngăn chặn Anti-Virus Ngăn chặn Trojan và Backdoor Phần mềm ngăn chặn Trojan Kiểm tra và thăm dò
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra , thăm dò
Trojan là gì?
Trojan là một chương trình mà trong đó chứa đựng nhưng mã nguy hiểm và độc hại ẩn dưới dạng nhưng dữ liệu hay nhưng chương trình dường như vô hại theo như tính năng này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của bạn. Với sự hổ trợ của trojan, kẻ tấn công sẽ đánh cắp những mật khẩu trong máy tính đã bị trojan tấn công và có thể đọc được những tài liệu cá nhân, có những tập tin và hiễn thị những hình ảnh hoặc tin nhắn trên màn hình.
Một kênh truyền tải thông tin trong một hệ thống máy tính hay một mạng lưới theo cách vi pham chính sách bảo mật. Hình thức đơn giản nhất của kênh bảo mật là trojan.
Một phương tiện thông tin liên lạc hợp pháp trong một hệ thống máy tính hay một mạng lưới để truyền dữ liệu. Ví dụ một kênh “công khai” bao gồm những trò chơi hay bất cứ chương trình hợp pháp nào.
Mục Đích Của Trojan
Xóa hoặc thay thế các file quan trọng của hệ thống
Tạo một kết nối giả để tấn công DOS
Tải Spyware Adwares và các file độc hại
Vô hiệu hóa tường lửa và phần mềm chống virus
Ăn cắp thông tin như mật khẩu, mã bảo mật thẻ tín dụng thông tin bằng cách sử dụng keylogers
Chụp màn hình, ghi âm, quay màn hình của máy nạn nhận
lây nhiễm sang PC của nạn nhân như một máy chủ proxy cho các cuộc tấn công chuyển tiếp
Sử dụng máy tính của nạn nhân để tạo một mạng botnet(mạng máy tính ma) để thực hiện tấn công DDOS
Sử dụng máy tính của nan nhân để phát tán thư rác và bom thư
Mục Đích Của Người Tạo Ra Trojan?
Thông tin thẻ tín dụng
Dữ liệu tài khoản( Địa chỉ Email, user name, password...)
Tài liệu mật
Dữ liệu tài chính (tài khoản ngân hàng, số an sinh xã hội, bảo hiểm thông tin
Thông tin liên quan đến nơi ở của nạn nhân
Sử dụng máy tính nạn nhân cho các mục đích bất hợp pháp, chẳng hạn như hack, scan, flood, hoặc xâm nhập một máy tính khác trong mạng nội bộ hoặc internet.
Những Nhận Biết Của Một Cuộc Tấn Công Bằng Trojan
Ổ CD-ROM mở và đóng bởi nó
Thanh Taskbar biến mất
Trình duyệt của máy tính chuyển hướng đến những trang không rõ Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động.
Cửa sổ thiết lập màu sắc bị thay đổi Nút Start Windows biến mất
Thiết lập của màn hình chờ tự động thay đổi
Hộp thoại trò chuyện là xuất hiện trên máy tính của nạn nhân Màn hình máy tính bật ngược hoặc đảo lộn Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được Xuất hiện các báo cáo mua lạ trong thẻ tín dụng của mình
Hình nền và background thay đổi
Chức năng các nút trái phải bị đảo lộn Màn hình máy tính bị nó tắt mở Nhà cung cấp dịch vụ than phiền nạn nhân đang scan ip của mình Mọi người biết nhiều thông tin của nạn nhân
Tài liệu hoặc tin nhắn được in ra từ máy in của mình
Trỏ chuột biến mất hoặc di chuyển bởi nó
Phím tắt Ctrl+Alt+Del dừng làm việc
Máy tính bị tắt hoặc mở bỏi nó
Các Cổng Phổ Biến Được Sử Dụng Bởi Trojan
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Trojan lây nhiễm
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra thăm dò
Làm Thế Nào Sử Dụng Một Trojan Để Lây Nhiễm Vào Hệ Thống?
Tạo ra một Trojan mới sử dụng Trojan house Construction Kit
Tạo ra một Trojan, một phần trong gói Trojanized cài đặt mã độc trên hệ thông mục tiêu
Làm Thế Nào Để Sử Dụng Một Trojan Lây Nhiễm Vào Hệ Thống?
Tạo ra một wrapper để cài đặc lên máy tính của nạn nhân
Phổ biến các Trojan
Thực thi các dropper
Thực thi thường xuyên các mối gây hại
Một wrapper liên kết với một file thực thi Trojan tìm kiếm một ứng dụng .EXE như trò chơi hoặc ứng dụng văn phòng
Wrappers (cầu nối giữa hai giao diện khác nhau)
Hai chương trình wrapped gặp nhau trong một file
Khi người dùng chạy một Wrapped EXE, đầu tiên nó thiết lập một Trojan in the background và chạy ứng dụng Wrapper trong foreground
Các Attacker có thể gửi đến người dùng một lời chào sinh nhật có chứa Trojan , ví dụ như một chiếc bánh sinh nhật nhảy múa trên màn hình
Trojan Có Thể Lây Nhiễm Vào Hệ Thống Bằng Những Cách Khác Nhau
Ứng dụng tin nhắn ngay lập tức
Hợp pháp hóa một gói không hợp pháp trong phần mềm đóng gói
IRC(Internet Relay Chat) Chương trình giả mạo
Tập tin đính kèm
Tải các tập tin, trò chơi và màn hình chờ từ các site trên internet
Truy cập vật l{ Các site phần mềm miễn phí không đáng tin cậy
NetBIOS( Chia sẽ file) Các lỗi của phần mềm trình duyệt và gủi mail
Trojan kết nối đến máy chủ của Attacker
Attacker gửi email đến nạn nhân có chứa link đến server Trojan
Nạn nhân click vào link và kết nối đến Server Trojan ở Nga
Attacker cài đặt Trojan đã được lây nhiễm lên máy tính cùa nạn nhân
Trojan được gửi đến nạn nhân
Trojan Được Triển Khai Như Thế Nào?
Trojan Server ( RUSSIA)
Các máy tính thường bị nhiễm Trojan khi click và một đường link chứa mã độc hoặc mở một Email có đính kèm tập tin, Trojan cài đặt lên máy tính một backdoor để cho bọn tội phạm có thể sử dụng máy tính như là một máy chủ để phát tán thư rác
Các Kỹ Thuật Phòng Chống VIRUS
Luôn luôn viết một Trojan rồi nhúng nó vào một ứng dụng
Phá vỡ tập tin Trojan thành nhiều phần rồi nén lại thành một tập tin duy nhất
Không bao giờ sử dụng Trojan được tải từ WEB(vì các anti- virus có thể dò tìm ra nó một các dễ dàng)
Thay đổi cú pháp của Trojan Chuyển từ EXE sang .VB script Chuyển từ EXE sang .DOC Chuyển từ EXE sang .PPT Chuyển từ EXE sang .PDF
Thay đổi nội dung tập tin Trojan bằng cách sử HEX và đồng thời cũng thay đổi tổng kiểm tra và mã hóa tập tin
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra thăm dò
Lệnh Trojan Shell cho phép điều khiển từ xa lệnh Shell trên máy tính của nạn nhân Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng để cho Attacker kết nối đến. Một máy trạm được trên máy của Attacker, trong đó nó được sử dụng để chạy lệnh shell trên máy tính của nạn nhân
Attacker nhúng Trojan vào một tài liệu để lây nhiễm vào máy của nạn nhân
Trojan được thực thi khi nạn nhân mở file tài liệu và click và gói Trojan trên hệ thống của nạn nhân
Attacker điều khiển từ xa máy tính của nạn nhân bằng cách gửi một email
Attacker có thể lấy file hoặc thư mục bằng cách gủi lệnh thông qua email
Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc
Vi dụ: Xóa Calc.exe
Trình biên tập mã nguồn, cho phép hiển thị, chỉnh sữa, mở rộng và thay thế các chuỗi, bitmaps, logos và icon từ nhiều cửa sổ chương trình
Họ áp dụng cho người dùng tùy chỉnh ứng dụng (UCA) theo kiểu cửa sổ hủy hoại
Nó cho phép bạn hiển thị và biên tập gần như bất kz khía cạnh nào của một trình biên dịch , từ menu cho đến hộp thoại đến icon và bên ngoài
Trojan botnet lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa l{ rộng lớn, tạo ra một mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn công từ chối dich vụ, spamming, Click gian lân và trộm cắp thông tin tài chính
Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này
W3bPr0xy Tr0j4n là proxy server Trojan hỗ trợ nhiều kết nối từ nhiều máy trạm và báo cáo IP và cổng đế mail của chủ Trojan
FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kz file nào tồn tại trên máy tính của nạn nhân.
VNC Trojan bắt đầu một VNC Server deamon trong hệ thông bị nhiễm
Nó kết nối đến nạn nhân bằng cách sử dụng bất kz VNC viewer nào với mật khẩu “secret”
Khi chương trình VNC được xem xét kỹ lưỡng, thì Trojan sẽ không bao giờ bị phát hiện bởi trình chống Virus
Chương trình con xuất hiện để người dùng tường lửa do đó cho phép truy cập Internet
HTTP Trojan có thể vượt qua bất kz tường lửa nào và làm việc theo các đảo ngược một đường hầm HTTP tunnel
Chúng được thực thi trên host nội bộ rồi tự nhân bản lên theo một chu kz được tính trước
Lây nhiễm máy tính của nạn nhân với server.exe và công cụ HTTP Trojan
Trojan gửi email với vị trí của địa chỉ IP
Kết nối đến địa chỉ IP qua cổng 80 bằng cách sử dụng trình duyệt
Hiển thị quảng cáo, ghi dữ liệu cá nhân, bàn phím ... Tải các file không được yêu cầu, vô hiệu hóa chương trình/ hệ thông Làm ngập kết nối Internet và phát tán các mối đe dọa Theo dõi hoạt động duyệt Web và hiijacks(một phương thức chiếm hết kết nối có sẵn) internet trình duyệt Làm sai lệch về phát hiện và loại bỏ phần mềm gián điệp
Tạo ra server.exe bằng cách sử dụng HTTP RAT
SHTTPD là một HTTP server nhỏ có thể được nhúng vào trong bất kz chương trình nào Nó có thể được làm cầu nối với một chương trình chính hãng( game Chess.exe), khi thực thi nó sẽ biến một máy tính thành một máy chủ Web vô hình
Kênh bí mật là một trong những phương pháp trong đó một Attacker có thể ẩn các dữ liệu trong giao thức đó là không thể phát hiện
ICMP tunneling sử dung ICMP echo-request và trả lời và thực hiện một payload lén lút kiểm soát hoặc truy cập máy của nan nhân
Dựa vào kỹ thuật gọi là Tunneling (đường hầm), cho phépmột giao thức được thực hiện qua giao thức khác
Trojan làm việc giống như truy cập Remote Desktop. Hacker chiếm đoạt được hết GUI truy cập đến hệ thống từ xa 1.
2.
3.
Lây nhiễm máy tính(Rebecca’s) với server.exe và Trojan kết nối ngược trở lại Trojan kết nối đến cổng 80 để Attacker tại Nga thiết lập một kết nối đảo ngược Jason, kẻ tấn công, có toàn quyền điều khiển máy của Rebecca
1.
Covert Channel Tunneling Tool (CCTT) Trojan hiện nay có nhiều kỹ thuật khai thác khác nhau, tạo ra các kênh chuyển giao dữ liệ tùy { được ủy quyền bỏi hệ thông kiểm soát truy cập mạng
2. Nó cho phép kẻ tấn công có được một vỏ bọc máy chủ bên ngoài từ bên trong mạng nội
bộ và ngược lại
3. Nó thiết lập một TCP/UDP/HTTP CONNECT| PORT CHANNEL cho phép dòng dữ liệu
TCP (SSH, SMTP, POP, etc...) giữa một máy chủ bên ngoài và một hộp từ bên trong mạng nội bộ
E-Banking Trojan Đánh chặn các thông tin tài khoản của nạn nhân trước khi nó được mã hóa và gửi lệnh Trojan và trung tâm điều khiển của kẻ tấn công
Trojan chặn một số chứng thực giao dich hợp lệ (TAN) được nhập bởi người sử dụng
Nó thay thế các TAN bằng một số ngẫu nhiên giống như là bị từ chối bởi ngân hàng
Attacker lợi dụng việc chặn TAN với các chi tiết đăng nhập của người dùng
Trojan tạo một trường giả mạo trên các trang E-Banking
Các trường bổ sung gợi ra thêm thông tin như số thẻ và ngày tháng năm sinh
Attacker có thể sử dụng thông tin để mạo danh và thỏa hiệp tài khoản của nạn nhân
Trojan phân tích bài yêu cầu và phản hồi đến trình duyệt của nạn nhân
Nó thỏa hiệp và tranh dành chưng thực
Trojan tranh giành và chăn đầu vào số hiệu khách hàng và mã truy cập mà người dùng
Zeus là một Trojan ngân hàng đánh cắp dữ liệu từ máy tính bị nhiễm thông qua trình duyệt web và lưu trữ được bảo vệ
Trojan Phá Hoại
Khi thực hiện trojan này nó phá hủy các hệ điều hành
Đây là một loại trojan nguy hiểm và phá hoại
Trojan này định dạng tất cả các ổ đĩa nội bộ và ổ đĩa mạng
Người sữ dụng sẽ không khởi động được hệ điều hành
Trojan Che Giấu Dữ Liệu (Trojan Mã Hóa)
Kẻ tấn công yêu cầu một khoản tiền chuộc hoặc nạn nhân phải mua hàng từ các cửa hàng trực tuyến của họ để có mật khẩu để mở khóa "Đừng cố gắng để tìm kiếm một
chương trình giải mã hóa. thông tin tôi chỉ đơn giản là không tồn tại trong đĩa cứng của bạn nữa, "trả tiền để mở khóa mật
khẩu
Trojan Mã Hóa: mã hóa tập tin dữ liệu trong hệ thống của nạn nhân và làm cho thông tin không sử dụng được "Máy tính của bạn bắt được phần mềm của chúng tôi trong khi trình duyệt các trang khiêu dâm bất hợp pháp, tất cả các tài liệu, tập tin văn bản, cơ sở dữ liệu trong thư mục My Documents đã được mã hóa bằng mật khẩu phức tạp. "
Người dùng được nhắc nhở để tải về một codec để xem video
Người sử dụng sau đó tải về các codec giả và cài đặt codec đó.
Sau khi các codec giả mạo được cài đặt, video được chơi để không làm tăng nghi ngờ
Thiết lập DNS của máy cục bộ được kẻ tấn công thay đổi địa chỉ IP
Tin tặc điều khiển hoàn toàn máy tính MAC OS X của nạn nhân
Một thông báo được gửi đến kẻ tấn công về máy tính của nạn nhân bằng cách sử dụng HTTP gửi tin nhắn
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra xâm nhập
Quét cổng đáng ngờ
Trojan mở cổng không sử dụng trong máy tính nạn nhân để kết nối trở lại để xử lý Hãy tìm thiết lập kết nối đến các địa chỉ IP không rõ hoặc đáng ngờ
Công cụ giám sát cổng: IceSword
Công cụ giám sát cổng: CurrPort và TCPView
Quét Quá Trình Đáng Ngờ
Trojan cũng có thể sử dụng phương pháp rootkit để ẩn các tiến trình hoạt động của mình
Trojan ngụy trang bản thân bằng chính các dịch vụ Windows hoặc giấu các tiến trình hoạt động của mình để tránh bị phát hiện
Trojans đưa mã vào các tiến trình windown khác như exploere.exe để sinh ra tiến trình không thể nhìn thấy iexplorer.exe hoặc firefox.exe
Sử dụng các công cụ giám sát quá trình để phát hiện trojan và backdoor ẩn
Công cụ giám sát quá trình: Cái gì đang chạy
Công cụ giám sát quá trình
Quét Cho Các Mục Registry Đáng Ngờ
Windows sẽ tự động thực hiện các lệnh trong
mục của registry
Quét giá trị registry cho các mục đáng ngờ có thể chỉ ra sự lây nhiễm Trojan
Trojans chèn hướng dẫn tại các phần của registry để thực hiện các hoạt động độc hại
Công cụ giám sát mục Registry
Quét cho các điều khiển thiết bị đáng ngờ
Trojan được cài đặt cùng với các trình điều khiển thiết bị tải về từ các nguồn không tin cậy và sử dụng các trình điều khiển như một lá chắn để tránh bị phát hiện
Quét cho các trình điều khiển thiết bị đáng ngờ và xác minh nếu họ là chính hãng và tải về từ trang web ban đầu của nhà xuất bản
Công cụ giám sát điều khiển thiết bị: DriverView
Công cụ giám sát điều khiển thiết bị
Quét cho dịch vụ Windows đáng ngờ
Trojans sinh ra các dịch vụ Windows cho phép Hacker điều khiển từ xa máy tính nạn nhân và thông qua các hướng dẫn độc hại
Trojan đổi tên các quá trình hoạt động của mình để trông giống như một dịch vụ Windows chính hãng để tránh bị phát hiện
Trojan sử dụng kỹ thuật rootkit để thao tác HKEY_LOCAL_MACHINE\System\CurrentContro lSet \Services khóa registry để ẩn các tiến trình của nó
Công cụ Giám sát Dịch vụ Windows : Windows Service Manager (SrvMan)
Công cụ Giám sát Dịch vụ Windows
Quét các chương trình khởi động đáng ngờ
Bắt đầu kiểm tra lên danh sách chương trình trong registry Thông tin chi tiết được đề cập trong slide tiếp theo
Bắt đầu kiểm tra lên thư mục C:\ProgramData\Microsoft\Windows \StartMenu\Programs\Startup C:\Users\(User-Name)\AppData\ Roaming\Microsoft\Windows \SCartMenu\Programs\Startup
Kiểm tra các dịch vụ Windows tự động bắt đầu
Kiểm tra các trình điều khiển thiết bị tự động nạp C:\Windows\System32\ drivers
Thiết lập Khởi động Explorer
Cài đặt khởi chạy Windows
Thiết lập Khởi động IE
Chương trình chạy trên Windows khởi động có thể được đặt trong các mục đăng ký
Công cụ Giám sát chương trình khởi động: Starter
Công cụ giám sát chương trình khởi động: bảo mật AutoRun
Công cụ giám sát chương trình khởi động
Quét các tập tin và thư mục đáng ngờ
Trojan thường sửa đổi các tập tin và thư mục hệ thống. Sử dụng những công cụ này để phát hiện những thay đổi hệ thống
Nó sẽ kiểm tra tính toàn vẹn của tập tin quan trọng đã được kỹ thuật số chữ ký của Microsoft
Nó là một tiện ích command line tính toán mật mã MD5 hoặc SHA1 cho các tập tin
Nó là giúp thẩm định tính toàn vẹn của hệ thống và báo cáo cho những thay đổi của các tập tin hệ thống quan trọng
Kiểm tra Tính toàn vẹn các tập tin và Folder : FastSum và WinMD5
Kiểm tra Tính toàn vẹn các tập tin và Folder
Quét các hoạt động mạng đáng ngờ Trojan kết nối trở lại để xử lý và gửi thông tin bí mật cho kẻ tấn công Sử dụng Netscan và Sniffers gói để theo dõi mạng lưới giao thông đi đến các địa chỉ độc hại từ xa
Chạy các công cụ như Capsa để theo dõi lưu lượng truy cập mạng và tìm kiếm hoạt động đáng ngờ được gửi qua mạng
Phát hiện trojan và sâu máy tính với Capsa Network Analyzer
Capsa là một công cụ phân tích mạng trực quan, cung cấp thông tin chi tiết để giúp kiểm tra nếu có bất kỳ hoạt động Trojan trên mạng
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra xâm nhập
Biện pháp đối phó Trojan Biện pháp đối phó Trojan
Tránh tải về và thực hiện các ứng dụng từ các nguồn không tin cậy Tránh mở file đính kèm email nhận được từ những người gửi không rõ
Cài đặt các bản vá lỗi và cập nhật bảo mật cho các hệ thống điều hành và các ứng dụng
Quét đĩa CD và đĩa mềm với phần mềm chống virus trước khi sử dụng
Tránh chấp nhận các chương trình chuyển giao tin nhắn tức thời Chặn tất cả các cổng không cần thiết tại các máy chủ và tường lửa
Thiết lập cấu hình mặc định
Vô hiệu hoá chức năng không sử dụng bao gồm các giao thức và dịch vụ Tránh gõ các lệnh một cách mù quáng và thực hiện chế sẵn chương trình hoặc các kịch bản
Theo dõi lưu lượng truy cập mạng nội bộ cho các cảng lẻ hoặc mã hóa lưu lượng truy cập
Quản lý tính toàn vẹn tập tin cục bộ máy trạm thông qua tổng kiểm tra, kiểm toán, và quét cổng
Chạy các phiên bản chống virus, tường lửa và phần mềm phát hiện xâm nhập máy tính
Hạn chế quyền truy cập trong môi trường máy tính để ngăn chặn các ứng dụng độc hại installat trên
Biện pháp đối phó Backdoor
Hầu hết các sản phẩm chống virus thương mại có thể tự động quét và phát hiện các chương trình backdoor trước khi chúng có thể gây hại
Sử dụng công cụ chống virus chẳng hạn như Windows Defender, McAfee, Norton để phát hiện và loại bỏ các backdoors
Khuyến cáo người dùng không cài đặt các ứng dụng được tải về từ các trang web Internet không đáng tin cậy và file đính kèm trong email
Bộ xây dựng Trojan Horse
Bộ xây dưng Trojan Horse giúp kẻ tấn công tạo ra Trojan theo ý của họ
Bộ xây dựng Trojan Horse
Các công cụ trong những bộ dụng cụ này có thể gây nguy hiểm và có thể phản tác dụng nếu không thực hiện đúng
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra xâm nhập
Phần mềm Anti-Trojan: TrojanHunter
Phần mềm Anti-Trojan: Emsisoft Malware
Phần mềm Anti-Trojan
Giới thiệu về Trojan
Loại Trojan
Dò tìm Trojan
Lây nhiễm Trojan
Phương pháp phòng chống
Phần mềm chống Trojan
Kiểm tra xâm nhập
Pen Testing for Trojans and Backdoors
Quét hệ thống cổng mở, các tiến trình đang chạy, các khóa registry, trình điều khiển thiết bị và dịch vụ Nếu bất kỳ cổng đáng ngờ, tiến trình, chỉ mục registry, trình điều khiển thiết bị hoặc dịch vụ được phát hiện, kiểm tra các tập tin thực thi liên quan Thu thập thêm thông tin về các từ trang web của nhà phát hành, nếu có, và Internet Kiểm tra nếu các cổng đang mở được mở ra bởi các Trojan
Pen Testing for Trojans and Backdoors
Kiểm tra các chương trình khởi động và xác định nếu tất cả các chương trình trong danh sách có thể được công nhận với các chức năng được biết đến Kiểm tra các tập tin dữ liệu để sửa đổi hoặc thao tác bằng cách mở một số tập tin và so sánh giá trị hash của những tập tin này với một hash được tính toán trước
Kiểm tra hoạt động mạng đáng ngờ chẳng hạn như tải lên các tập tin số lượng lớn hoặc lưu lượng truy cập cao bất thường đi đến một địa chỉ web cụ thể
Kiểm tra việc sửa đổi tập tin quan trọng của điều hành hoặc thao tác bằng cách sử dụng các công cụ như tripwire hoặc tự so sánh giá trị hash nếu bạn có một bản sao lưu dự phòng
Chạy cập nhật một Trojan scanner từ một nhà cung cấp có uy tín để xác định Trojan trong mạng.
Tất cả các văn bản phát hiện trong các bước trước đó, nó giúp trong việc xác định hành động tiếp theo nếu các Trojans được xác định trong hệ thống Cô lập hệ thống bị nhiễm từ mạng ngay lập tức để ngăn chặn sự lây nhiễm hơn nữa Làm sạch hệ thống hoàn chỉnh sử dụng Anti-virus được cập nhật cho các Trojans này
Trojan là phần code độc hại trong phần mềm cracker một hệ thống có mục tiêu
Chúng được sử dụng chủ yếu để đạt được và giữ quyền truy cập vào hệ thống của mục tiêu
Chúng thường trú sâu trong hệ thống và thực hiện các thay đổi registry cho phép nó đáp ứng mục đích của nó như một công cụ quản trị từ xa
Trojan phổ biến bao gồm MoSucker, RemoteByMail, Bot Illusion, RAT HTTP, và Zeus
Nâng cao nhận thức và các biện pháp phòng ngừa là cách tốt nhất chống lại Trojan
