HÀ NỘI - 2009


Cán bộ hướng dẫn : Ths. Đoàn Minh Phương
Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải

HÀ NỘI – 2009 Lời cảm ơn

Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc
biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng
như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng
Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những
người đã chỉ dẫn em trong từng bước đề tài.
Để có thể thực hi
ện và hoàn thành khóa luận này, các kiến thức trong 4 năm
học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô
giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua.
Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi
thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.
Cu

Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện
pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những
tìm hiể
u về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng
(IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử
nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.
Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra
những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống
mạng lớn như mạ
ng của các trường đại học.
Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa
luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công
nghệ này.
Mục lục


3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS 31
3.4.1. Cài đặt 31
3.4.2. Cấu hình hình thái hoạt động 31
3.4.3. Cấu hình sự kiện an ninh 32
3.4.4. Cấu hình phản hồi 35
3.4.5. Cấu hình tường lửa 42
3.4.6. Cấu hình protection domain 44
3.4.7. Cấu hình cảnh báo 46
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 48
3.5.1. Ngăn chặn các hình thức thu thập thông tin 48
3.5.2. Ngăn chặn tấn công DoS 49
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan 50
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật 50
3.6. TRIỂN KHAI THỰC TẾ 51
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH
HƯỚNG NGHIÊN CỨU TƯƠNG LAI 58
4.1. KẾT QUẢ ĐẠT ĐƯỢC 58
4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 58
PHỤ LỤC A 60
PHỤ LỤC B 63
PHỤ LỤC C 65
PHỤ LỤC D 68
PHỤ LỤC E 72
1
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT

Kí hiệu và viết tắt Giải thích
ĐHQGHN Đại học Quốc gia Hà Nội
IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập
VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội

DANH SÁCH HÌNH MINH HỌA

Hình 1 – Sơ đồ kết nối logic của VNUnet 5
Hình 2 - Minh họa trình tự tấn công 14
Hình 3 - Giao diện DoSHTTP 17
Hình 4 - Giao diện smurf attack 18
Hình 5 - Giao diện client trojan beast 18
Hình 6 - Lỗi trong dịch vụ RPC 19
Hình 7 - Giao diện metasploit 20
Hình 8 - Giao diện metasploit (2) 21
Hình 9 – Security Events 34
Hình 10 – Response Filters 42
Hình 11 – Protection Domain 45
Hình 12 - Protection Domain 46
Hình 13 - Mức độ nghiêm trọng của thông báo 47
Hình 14 - Minh họa thông báo 47
Hình 15 - Ngăn chặn thu thập thông tin 48
Hình 16 – Đánh dấu cảnh báo SYNFlood 49
Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) 50
Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 50
Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo 51
Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive 51
Hình 21 – Mô hình mạng VNUnet 52
Hình 22 – Sơ đồ triển khai IPS 53
Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT 54
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS 55
Hình 25 - Hệ thống IPS gửi mail cho người quản trị 56

Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ
thống mạng của Tr
ường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết
bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết
luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể
được phát triển từ kết quả của khoá luận.
4

CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 1.1. AN NINH MẠNG

Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an
ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các
nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo
mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được
việc cập nhật đầy đủ các bản vá.
Chỉ vừa trong một thời gian ngắn về tr
ước, tường lửa có thể ngăn chặn được hầu
hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web
và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần
mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ
thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặ
n những tấn công dựa
trên tầng ứng dụng và worm.
Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng
trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên
Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy,
các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ

Hình 1 – Sơ đồ kết nối logic của VNUnet

1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet

Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :
• Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-
Document, ), voice, DVD video,
Router
3600
INTERNET

TEIN2

mạng riêng
Trung tâm TTTV
10.1.0.0/16
10.10.0.0/16
Cáp quang

TT Đào tạo từ xa
Proxy
Web

Mail

6
• Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực
tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm
giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của
cá nhân, tập thể trên toàn hệ thống.
• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
• Có trung tâm dữ liệu mạnh.
• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người
dùng cuối 1Gbps.
• Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ
khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.
• Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài
giảng t
ừ xa.
• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh,
đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một
desktop ảo.
• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.

sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS
được nói tới trong khóa luận.

2.1.1. Thâm nhập [9]

Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản
trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản
người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp
quyền của họ. Thâm nhập cũng có thể được thực hiện bở
i “người bên ngoài”, họ khám
phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để
chiếm quyền điều khiển hệ thống.
Một thâm nhập có thể xảy ra dưới những dạng sau :
• Một virus, sâu hay trojan được cài vào máy qua những con đường như mail,
active X hay java script …
• Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer),
nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá
mã khác.
• Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet
cũ, ftp, IMAP hay POP mail …)
• Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,…
• Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗ
hổng trong hệ thống cho phiên thâm nhập sau.
Một khi kẻ thâm nhập đã có được quyề
n hợp lệ với một máy tính hay một hệ
thống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với
hệ thống. Trojan là một chương trình giống như các chương trình khác mà người dùng
có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bất
hợp pháp.
Một hành vi thâm nhập phổ thống khác là cài phầ

• Sử dụng tối đa năng lực của bộ vi x
ử lý, làm cho nó không thực hiện được các
công việc khác.
• Gây ra các lỗi trong vi mã của máy.
• Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổn
hoặc treo đơ.
• Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗi
thrashing.
• Làm treo hệ điều hành.
• Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trang
web chứa nhiều thông tin nhi
ều lần, cho đến khi chúng lưu trữ một lần gọi vượt
quá băng thông giới hạn.

9
Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ. Dưới đây là một
số loại tấn công tiêu biểu :
• Smurf Attack
• SYNFlood
• Land Attack
• UDP Flood
• Tear Drop
Chi tiết về các cách tấn công này xem trong phụ lục C.
Tấn công từ chối dịch vụ phân tán (Distributed DoS)
Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vào
quá trình làm ngập lụt băng thông hoặ
c tài nguyên của máy bị tấn công. Để thực hiện
được tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các
chương trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng
một thời điểm để đồng loạt tấn công vào một mục tiêu. Cách thức này có thể huy động


2.1.3. Lỗ hổng bảo mật [10]

Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà
cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống. Lỗ hổng có thể là
kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc
hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai.
Một nguy c
ơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như
là một phương pháp được sử dụng để tấn công. Một cửa sổ của lỗ hổng là thời gian từ
khi lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triển
khai tới khi một bản vá bảo mật có sẵn hoặc được tri
ển khai .
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ
của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không
hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như
sendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như
trong Windows NT, Windows XP, UNIX; ho
ặc trong các ứng dụng mà người sử dụng
thường xuyên sử dụng như Word processing, Các hệ databases
Nguyên nhân
Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà có
thể tìm được bởi vét cạn. Người dùng máy tính lưu trữ các mật khẩu trên máy tính ở
chỗ mà một chương trình có thể truy cập được nó. Nhiều người dùng sử dụng lại các
mật khẩu giữa nhiều chương trình và website.
Thiết k
ế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thi
các chính sách tối ưu cho người dùng/chương trình quản lý. Ví dụ hệ điều hành với các
chính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyền
truy cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc

nếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị tin tặc, nếu
không các tin tặc sẽ có ngay lập tức có lợ
i thế trong việc lợi dụng khai thác. Việc bảo
mật thông qua việc che dấu thông tin các lỗ hổng cũng phải tương tự như trên .
Việc cho phép một cách công bằng việc phổ biến các thông tin bảo mật tích cực
là rất quan trọng. Thường sẽ có một kênh tin tưởng là nguồn của các thông tin bảo mật
(vd .g CERT
, SecurityFocus, Secunia and VUPEN). Các nguồn này phân tích và đánh
giá rủi ro đảm bảo chất lượng của các thông tin này. Việc phân tích phải bao gồm đầy
đủ các chi tiết để cho phép một người dùng có liên quan với phần mềm có thể đánh giá
được rủi ro cá nhận của họ hoặc ngay lập tức có các hành động để bảo vệ tài sản của
họ.
Ngày công bố lỗ hổng
Thời gian của việc đưa ra một lỗ hổng được
định nghĩa khác nhau trong tập đoàn
bảo mật và lĩnh vực. Nó thường được coi như là một loại công bố công cộng của các
thông tin bảo mật bởi một bên. Thông thường , thông tin lỗ hổng được đưa ra trên một
danh sách thư tín hoặc được xuất bản trên một website bảo mật và trong một tư vấn an
ninh sau đó.
Thời gian của công bố là ngày đầu tiên lỗ hổng bảo mật được miêu tả trên m
ột
kênh ,nơi được công bố thông tin về lỗ hổng và có đầy đủ các yêu cầu sau :
Thông tin miễn phí và công cộng .
Thông tin lỗ hổng được đưa ra bởi một nguồn hoặc một kênh độc lập được tin cậy
Lỗ hổng chịu phân tích bởi các chuyên gia như thông tin đánh giá mức độ rủi ro
được bao gồm trên công bố.

Nhận ra và gỡ bỏ các lỗ hổng
Nhiều các công cụ phần mềm tồn t
ại để giúp đỡ trong việc khám phá (và thỉnh

một công cụ được sử dụng bởi những kẻ thâm nhập bằng cách
chiếm quyền hệ thống và tạo cổng sau cho kẻ thâm nhập truy cập vào.

Trojan
Trojan là các chương trình máy tính trông có vẻ như là
một phần mềm hữu ích, nhưng thực ra chúng làm tổn thương
bả
o mật và gây ra rất nhiều phá hủy. Chúng chiếm quyền điều
khiển máy bị nhiễm và cho phép người ngoài truy cập trái
pháp tới, hoặc chúng có thể tự động download các lệnh thực
thi từ một địa chỉ ngoài. Trojan thường đi kèm với keylogger,
một phần mềm lưu lại các thao tác bàn phím của người dùng
và gửi cho kẻ điều khiển hoặc phần mềm theo dõi màn hình
13
máy tính. Việc có được những mật khẩu hợp lệ làm cho kẻ tấn công chiếm được toàn
quyền với tài khoản của người dùng.
Cũng có những thuật ngữ khác về những mối đe dọa an ninh mạng, tuy nhiên
chúng chỉ là phương tiện dẫn đường cho những hoạt động kể trên.

2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1]

Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũng
không quá khó khăn cho những người có kiến thức về công nghệ thông tin nói chung.
Để đạt được mục đích, các hacker thường thực hiện một tấn công thâm nhập theo
những bước sau :
• FootPrinting – In dấu
• Scanning – Dò quét
• Enumeration – Điểm danh
• Gaining Access – Có quyền truy cập
• Escalating Privileges – nâng cấp quyền

thông tin về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin
cá nhân của nhân viên trong một công ty đối tượng. Những thông tin tưởng chừng đơn
giản này lại là những thông tin không thể thiếu được khi bắt đầu một tấn công thâm
nhập vào hệ th
ống của đối tượng. Các thông tin cá nhân về nguồn tài nguyên con
người như Số điện thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thông
tin này hacker đã có thể làm chủ hệ thống.
Chỉ có một cách để ngăn ngừa việc in dấu là bảo vệ những thông tin nhạy cảm
khỏi những nơi có thể dễ dàng truy cập đến.
Bước tiếp theo trong quá trình này là dò quét (Scanning)
Nếu như in dấ
u chỉ tìm hiểu các thông tin bên ngoài của một nhà băng thì dò quét
là kiểm tra tất cả các cửa sổ hay cửa ra vào của nhà băng đó. Việc đầu tiên trong đó là
xác định xem hệ thống có “sống” hay không. Việc này có thể được thực hiện bằng các
15
công cụ như ping (hay fping hoặc nmap). Tiếp đó là xác định xem có những dịch vụ
tcp hay udp nào đang hoạt động trên các máy đối tượng. Có rất nhiều cách thức cũng
như công cụ để thực hiện việc này ngày nay. Bước cuối cùng là xác định hệ điều hành
trên các máy đó, việc này rất quan trọng trong việc tấn công thâm nhập qua các lỗ
hổng bảo mật.
Bước cuối cùng trong các bước tìm kiếm thông tin là enumeration (điểm danh).
Hành động này yêu cầu phải kết nối và truy vấn trực tiếp tới máy đối tượng nên nó khá
dễ bị lưu vết và cảnh báo. Cách thức cơ bản nhất của của điểm danh là lấy banner
(banner grabbing). Thông tin này sẽ cho biết các dịch vụ đang sử dụng và phiên bản
của các dịch vụ đó. Ví dụ :

C:\>telnet www.abc.com
80
HTTP/1.0 400 Bad Request
Server: Netscape-Commerce/1.12

wayne.net. MX 10 email.wayne.net
rsmithpc TXT "smith, robert payments 214-389-xxxx"
rsmithpc A 10.10.10.21
wmaplespc TXT "Waynes PC"
wmaplespc A 10.10.10.10
wayne CNAME wmaplespc.wayne.net

Ngoài ra, còn một số các dịch vụ khác có thể được khai thác để biết thêm thông
tin như MSRPC, NetBIOS, SNMP, …. Có thể xem thêm chi tiết về cách khai thác các
dịch vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới.
Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựa
các phương thức tấn công, thâm nhập khác nhau. Đầu tiên, hacker có thể chọn DoS
hoặc DDoS đối tượng. Các cách thức tấn công từ chối d
ịch vụ này không làm hacker
chiếm được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường
lửa và các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống
mạng qua đó tạo điều kiện cho việc thâm nhập dễ dàng hơn.
Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn công
nhằm vào hệ thống thì hacker không c
ần phải tấn công từ chối dịch vụ mà sẽ khai thác
các lỗ hổng bảo mật hoặc phã mã để có một số tài khoản quản trị thông qua nghe trộm,
phishing sử dụng keylogger, worm và trojan. Cũng có một số trường hợp, khi hacker
không tìm ra được các điểm yếu của hệ thống, họ tấn công vào điểm yếu con người. Ví
dụ như họ giả mạo đối tác kinh doanh để yêu cầu tài khoả
n hợp lệ, hoặc họ cũng có thể
gọi điện cho nhân viên quản lý và giả vờ bị mất tài khoản. Tất nhiên việc có được đầy
đủ các thông tin về con người là rất cần thiết.
Nếu hacker chỉ có được những tài khoản quản trị ở mức thấp thì họ sẽ tìm cách
nâng cấp quyền quản trị của tài khoản đó bằng cách lợi dụng sự tín nhiệ
m của tài

dụng công cụ DoSHTTP của socketsoft.com.

Hình 3 - Giao diện DoSHTTP
18
Công cụ có giao diện sử dụng rất đơn giản, chỉ cần thiết lập số kết nối đồng thời,
xác định mục tiêu và tấn công. Chỉ cần vài máy cùng tiến hành tấn công đồng thời là
có thể đánh sập một web server cỡ nhỏ.
Một tấn công nữa được mô phỏng là smurf attack. Công cụ sử dụng là smurf2k.
Tương tự như trên, giao diện chương trình cũng rất đơn giản, ch
ỉ việc xác định mục
tiêu, kích cỡ gói tin và tiến hành tấn công.

Hình 4 - Giao diện smurf attack

2.3.3. Thâm nhập qua Trojan

Mô phỏng sử dụng Trojan Beast. Trojan này lây nhiễm trên hệ điều hành
windows và sử dụng cơ chế client server. Phần server được nhúng vào những phần
mềm vô hại và được cài đặt trên máy nạn nhân qua sai sót của người dùng. Phần này
sẽ mở một cổng 6666 cho máy client kết nối tới. Trojan này còn có tác dụng vô hiệu
hóa phần mềm tường lửa và chống virus đồng thời cài đặt một keylogger để lấy thông
tin về mật khẩu của ngườ
i dùng qua đó hacker có thể truy cập trực tiếp đến máy nạn
nhân.

Hình 5 - Giao diện client trojan beast

19
Đây là màn hình xây dựng trojan (nhúng vào các file chạy, đưa trojan lên
webserver).