[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 08:55:32 (+0700) | #1 | 243554 |
huydd
Member
|
0 |
|
|
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
|
|
Chào các bác,
Chẳng là tôi đang compile một số loại botnet để demo phục vụ cho các bài giảng của tôi. Hiện botnet đã hoạt động tốt nhưng ngặt cái bất cứ trình antivirus nào cũng phát hiện được kể cả chương trình còi lẫn chương trình hàng khủng.
Vậy xin hỏi có bác nào biết về các phần mềm encrypt và pack để đóng gói lại botnet nhằm qua mặt các chương trình antivirus thông thường hay không. Nếu biết xin cho biết tên hoặc có link qua PM nữa thì càng tốt
Xin cảm ơn các bác |
|
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 11:42:46 (+0700) | #2 | 243570 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
huydd wrote:
Chào các bác,
Chẳng là tôi đang compile một số loại botnet để demo phục vụ cho các bài giảng của tôi. Hiện botnet đã hoạt động tốt nhưng ngặt cái bất cứ trình antivirus nào cũng phát hiện được kể cả chương trình còi lẫn chương trình hàng khủng.
Vậy xin hỏi có bác nào biết về các phần mềm encrypt và pack để đóng gói lại botnet nhằm qua mặt các chương trình antivirus thông thường hay không. Nếu biết xin cho biết tên hoặc có link qua PM nữa thì càng tốt
Xin cảm ơn các bác
Cho hỏi trường nào ở VN có giáo trình dạy về việc tạo botnet và ẩn botnet vậy? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 12:47:42 (+0700) | #3 | 243575 |
huydd
Member
|
0 |
|
|
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
|
|
Cái này không phải chương trình đại học bác conmale ạ, đây là chuỗi bài giảng về an ninh thông tin tôi đang soạn để tổ chức tập huấn cho các cán bộ quản trị mạng trong ngành. Tôi muốn đưa vào các phần demo để anh chị em có thể có cái nhìn trực quan hơn. Thực ra việc ẩn botnet không quá quan trọng đối với demo nhưng ở đây tôi muốn chứng minh là ngay cả khi một máy tính được trang bị một phần các giải pháp bảo mật nhưng nếu người sử dụng không cẩn thận thì việc trở thành nạn nhân của botnet vẫn xảy ra.
Cảm ơn các bác
|
|
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 13:32:42 (+0700) | #4 | 243580 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
huydd wrote:
Cái này không phải chương trình đại học bác conmale ạ, đây là chuỗi bài giảng về an ninh thông tin tôi đang soạn để tổ chức tập huấn cho các cán bộ quản trị mạng trong ngành. Tôi muốn đưa vào các phần demo để anh chị em có thể có cái nhìn trực quan hơn. Thực ra việc ẩn botnet không quá quan trọng đối với demo nhưng ở đây tôi muốn chứng minh là ngay cả khi một máy tính được trang bị một phần các giải pháp bảo mật nhưng nếu người sử dụng không cẩn thận thì việc trở thành nạn nhân của botnet vẫn xảy ra.
Cảm ơn các bác
Tôi nghĩ trọng tâm ở đây là "an ninh thông tin" chớ chẳng phải là "demo" botnet. Nếu con zombie chỉ đơn giản là một software nhận chỉ thị từ server để hoạt động một cách bình thường thì chẳng có antivirus nào tóm cổ hết. Chỉ có zombies có những động thái đáng ngờ, client bình thường mà lại ráng access vùng bộ nhớ bất hợp lệ hoặc có checksum không đúng như đã khai báo... thì mới bị tóm thôi. Nếu bạn có thể viết một con zombie có những động thái đáng ngờ kia mà không biết phải làm gì để qua mặt antivirus thì quả là lạ.
Đây là những thứ không nên phổ biến vì quá nguy hại. malware, zombies, ddos.... đã tràn lan không kiểm soát được rồi mà còn phổ biến những thứ này nữa thì chẳng khác gì đổ dầu vô lửa. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 13:36:51 (+0700) | #5 | 243582 |
Ar0
Member
|
0 |
|
|
Joined: 14/01/2011 23:20:26
Messages: 165
Offline
|
|
huydd wrote:
Cái này không phải chương trình đại học bác conmale ạ, đây là chuỗi bài giảng về an ninh thông tin tôi đang soạn để tổ chức tập huấn cho các cán bộ quản trị mạng trong ngành. Tôi muốn đưa vào các phần demo để anh chị em có thể có cái nhìn trực quan hơn. Thực ra việc ẩn botnet không quá quan trọng đối với demo nhưng ở đây tôi muốn chứng minh là ngay cả khi một máy tính được trang bị một phần các giải pháp bảo mật nhưng nếu người sử dụng không cẩn thận thì việc trở thành nạn nhân của botnet vẫn xảy ra.
Cảm ơn các bác
Hỏi nhỏ thôi nghe. Ngay cả người giảng mà còn không biết cách làm, lỡ trong lúc thuyết trình có người đưa tay lên phát biểu "Bác có thể chia sẽ cách ẩn botnet được không? em thấy bác làm được đó, bác nói sơ qua cho em nghe đi" bạn sẽ trả lời ra sao? Không lẽ là "Ờ, mình cũng không biết làm sao, hôm bữa lên HVA nhờ mấy anh đó giải đáp nên mình làm theo chứ mình chả hiểu"
==> Uy tín của bạn không còn, còn của HVA tăng lên.
Theo tớ thì nên "biết gì thì giảng đó một cách thành thật", cái nào không rành nên đưa tài liệu, dùng số liệu trong tài liệu chứng minh.
p/s: vài chia sẽ kinh nghiệm thôi |
|
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 14:21:29 (+0700) | #6 | 243589 |
huydd
Member
|
0 |
|
|
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
|
|
Solved: Vấn đề đã được xử lý. Cảm ơn các bác đã comment
Không ngờ có những công cụ crypt được bot mà qua mặt được cả những anh như kaspersky hay bitdefendef.
Đính chính lại với các bác là em zombie này không phải là tôi viết mà là đoạn code về bot khá phổ biến được chỉnh sửa lại, chính vì thế các trình AV mới phát hiện ra ngay các dấu hiệu của nó. Mục tiêu ở đây là cho người học thấy được nguy cơ chứ không phải hướng dẫn cách tạo và reo rắc zombies.
@Aro: ở đây tôi muốn hỏi công cụ tức là một loại phần mềm để crypt các signatures đã biết của zombies thành một chuỗi crypted mà AV không phát hiện được. Lý thuyết để làm cái này thì có cả kho nhưng mà hiện thực hoá được nó bằng phần mềm thì tương đối mất công, tốt nhất là đi tìm tool hoặc opensource cho tiện. Còn trong lúc trình bày mà học viên có hỏi cách làm thì cũng nên chỉ cho họ link đề vào HVA (để đọc bài của bác conmale rằng không được phổ biến bừa bãi ) |
|
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
15/07/2011 20:13:37 (+0700) | #7 | 243608 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
huydd wrote:
Solved: Vấn đề đã được xử lý. Cảm ơn các bác đã comment
Không ngờ có những công cụ crypt được bot mà qua mặt được cả những anh như kaspersky hay bitdefendef.
Đính chính lại với các bác là em zombie này không phải là tôi viết mà là đoạn code về bot khá phổ biến được chỉnh sửa lại, chính vì thế các trình AV mới phát hiện ra ngay các dấu hiệu của nó. Mục tiêu ở đây là cho người học thấy được nguy cơ chứ không phải hướng dẫn cách tạo và reo rắc zombies.
@Aro: ở đây tôi muốn hỏi công cụ tức là một loại phần mềm để crypt các signatures đã biết của zombies thành một chuỗi crypted mà AV không phát hiện được. Lý thuyết để làm cái này thì có cả kho nhưng mà hiện thực hoá được nó bằng phần mềm thì tương đối mất công, tốt nhất là đi tìm tool hoặc opensource cho tiện. Còn trong lúc trình bày mà học viên có hỏi cách làm thì cũng nên chỉ cho họ link đề vào HAV (để đọc bài của bác conmale rằng không được phổ biến bừa bãi )
Bồ thử cho con bot đó "hoạt động" xem Kaspersky có thịt con bot đó hay không. Cơ chế nhận diện Signatures là cơ chế tìm diệt xưa như trái đất và các AV hiện nay đã không chỉ dựa vào nó, mà còn dựa vào các cơ chế nhận biết hành vi, heuristic... |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
16/07/2011 01:26:30 (+0700) | #8 | 243629 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
Qua topic này chỉ thấy mộ vấn đề là chủ topic rất tự tin về khả năng của bản thân. Một vấn đề đang còn tìm hiểu lại được đưa đi giảng dạy. Liệu người ta còn làm chuyện gì hay ho nữa đây. |
|
while(1){} |
|
|
|
[Discussion] Phần mềm encrypt và pack botnet để qua mặt antivirus software |
16/07/2011 08:23:28 (+0700) | #9 | 243640 |
huydd
Member
|
0 |
|
|
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
|
|
Các bạn thích chỉ trích thường không chịu đọc kỹ để hiểu bản chất vấn đề, cứ thấy hội nghị là lao vào ném đá, bản chất đó thì chỉ sợ mãi không khá lên được.
Như tôi đã nói ở trên, đây là nội dung tôi dự định đưa vào đợt tập huấn cho cán bộ về các nguy cơ bảo mật trên mạng lưới. Và mục đích của con bot này cũng chỉ là demo về nguy cơ khi một người dùng nhận được một file từ lạ. Việc che dấu ở trên tất nhiên chỉ nhằm qua được kiểm soát ban đầu khi người dùng nhận file về, còn nó hoạt động được trên hệ thống hay không thì đúng như bác xnohat nói, còn phụ thuộc vào nhiều thứ, ví dụ đơn giản như bật firewall mặc định của windows lên là con bot của tôi ngọng.
Ở đây không phải vấn đề tự tin hay không vì với kinh nghiệm hơn chục năm giảng dạy thì vấn đề tuỳ biến lúc giảng không quá khó. Cái tôi mong muốn là đem lại một cái nhìn mới, trực quan một chút về vấn đề mình nói, cũng giống như các bác ở HVA và MAIT trước đây có đợt rất hào hứng với vụ demo crack Wifi WEP key để chứng minh dùng wifi không an toàn.
Thân
|
|
|
|
|
|