Báo cáo trình bày kịch bản “Giả mạo mail tin cậy lừa nạn nhân tải về máy file chứa virus” I. Giới thiệu một số tool tạo virus và nhúng file: 1. Tool tạo virus:  Windows Scripting Host Worm Constructer  Chức năng: Có thể tạo virus dưới định dạng .vbs  Các tính năng: - Có thể chọn môi trường lây lan qua Outlook, P2P Networks, Pirch, Mirc. - Sử dụng một số Payload Options để gán cho virus thực thi như hiện lên một thông báo, ping tới một địa chỉ mạng, hay disable mouse và keyboard… Giao diện WSHWC  SSPPYY  Chức năng: Có thể tạo virus dưới định dạng .exe  Các tính năng: - File virus được tạo có thể nhúng vào 1 file ảnh. - Virus này thực chất là 1 keylog, toàn bộ những thao tác của máy nạn nhân sẽ được gửi tới mail của master. Giao diện SSPPYY 2. Tool nhúng file:  Stealth tool  Chức năng: Có thể ẩn và chạy virus dưới một phần mềm trung gian.  Các tính năng: - Add thêm dung lượng bytes cho phần mềm. - Bind 2 file .exe lại với nhau. - Tạo file .vbs để tránh các phần mềm antivirus. - Chia nhỏ phần mềm thành các phần nhỏ. Giao diện Stealth Tools II. Demo kịch bản: 1. Nội dung kịch bản: Có 1 mail giả mạo là mail của công ty, muốn lừa nhân viên truy cập vào 1 link trang web tưởng chừng tin cậy để download về phần mềm “ketoan.exe”. Nhưng thực tế, khi nạn nhân click vào sẽ được dẫn tới một link khác ẩn dưới đó. Lợi dụng sơ hở của nạn nhân chủ quan không kiểm tra link down. Nếu nạn nhân chạy phần mềm này đồng thời kích hoạt cả virus. Virus này thực chất là 1 loại keylogger. Toàn bộ thao tác của victim sẽ được gửi tới email của master. Mail thật: mail.vncert.vn Mail giả mạo: mail.vncet.vnn Địa chỉ mail giả mạo: ktht@vncert.vnn Địa chỉ mail nạn nhân: ntkien@vncert.vn Link down file phần mềm giả: http://vncert.vn/downloads/ketoan.exe Link down file phần mềm thật (đã bị nhúng virus) được ẩn dưới link trên: ftp://vncert.vnn/downloads/congvan.exe 2. Triển khai kịch bản và kết quả thu được: Tạo file virus định dạng .exe sử dụng tool SSPPYY theo từng bước sau: Đặt tên cho file virus “spy.exe” Nhúng ảnh cho file virus này. Bước này tạm thời bỏ qua, không sử dụng. Thiết lập địa chỉ email và ID truy cập để virus trên máy victim gửi log về. Thiết lập listen port và password. Có thể chọn option “Enable Aurora Server” để quản lý victim thông qua web browser với địa chỉ IP “192.168.16.27:80” Tùy theo mục đích người sử dụng mà chọn kiểu log. Sau khi hoàn thành việc tạo virus có tên “spy.exe” , ta tiến hành nhúng file virus này với một phần mềm trung gian “write.exe” để đánh lừa victim. Sử dụng stealth tool để thực hiện kỹ thuật nhúng này. Ta vào tab Blind và nhập đường dẫn tới file “spy.exe” và file “write.exe”. Như vậy ta đã hoàn thành xong việc ngụy trang cho “spy.exe” Khi victim tải về và chạy file “ketoan.exe” này, khi đó sẽ đồng thời chạy phần mềm “write.exe” và kích hoạt “spy.exe” Bước cuối cùng là quá trình giả mạo mail tin cậy để lừa nạn nhân tải về file “ketoan.exe” này. Sử dụng tab “insert link” để ẩn link thật dưới link giả như trong hình sau: . nhân tải về máy file chứa virus I. Giới thiệu một số tool tạo virus và nhúng file: 1. Tool tạo virus:  Windows Scripting Host Worm Constructer  Chức năng: Có thể tạo virus dưới định dạng .vbs. file virus “spy.exe” Nhúng ảnh cho file virus này. Bước này tạm thời bỏ qua, không sử dụng. Thiết lập địa chỉ email và ID truy cập để virus trên máy victim gửi log về. Thiết lập listen port và. Chức năng: Có thể tạo virus dưới định dạng .exe  Các tính năng: - File virus được tạo có thể nhúng vào 1 file ảnh. - Virus này thực chất là 1 keylog, toàn bộ những thao tác của máy nạn nhân