🛡️ Trojan Horse trong thời đại số: Khi tệp tin "vô hại" trở thành kẻ phá hoại thầm lặng

Trojan là gì và tại sao nguy hiểm?


Trong thế giới bảo mật, Trojan không còn là huyền thoại – mà là mối đe dọa thực tế, tồn tại âm thầm và đánh vào yếu tố yếu nhất: người dùng. Tên gọi Trojan bắt nguồn từ truyền thuyết về con ngựa gỗ thành Troy – nơi quân Hy Lạp giấu binh lính trong một món quà hòa bình để đánh úp kẻ địch từ bên trong. Các phần mềm Trojan ngày nay cũng sử dụng chính chiến lược này: ngụy trang dưới dạng hợp pháp như tệp Word, PDF, hay ứng dụng vô hại để lừa người dùng tự tay kích hoạt.

Một khi người dùng mở tệp, Trojan sẽ kích hoạt payload – thực hiện các hành động độc hại như:

• Cài RAT để chiếm quyền điều khiển từ xa
• Ghi lại bàn phím (keylogger)
• Mở cửa hậu (backdoor) cho hacker
• Khởi động tấn công từ chối dịch vụ (DoS)
• Vô hiệu hóa phần mềm bảo mật
• Mã hóa dữ liệu đòi tiền chuộc (ransomware)

Điều quan trọng cần nhấn mạnh: Trojan không tự lây lan như virus hay sâu. Chúng phụ thuộc vào sự cả tin hoặc thiếu hiểu biết của người dùng – thông qua các chiêu trò social engineering (giả danh nhân sự, tài chính, hoặc báo cáo nội bộ). Phân loại các loại Trojan phổ biến


Trong thực tế, nhiều Trojan có chức năng chồng chéo, nhưng có thể phân loại theo mục đích tấn công chính: 1. Trojan truy cập từ xa (RAT – Remote Access Trojan)

• Giúp hacker điều khiển toàn bộ hệ thống từ xa.
• Ví dụ: Poison Ivy, DarkComet.
• Cho phép tải file, quay màn hình, điều khiển camera, microphone.
• Thường thấy trong các cuộc tấn công APT.

2. Trojan ẩn dữ liệu / Ransomware

• Mã hóa dữ liệu và yêu cầu trả tiền chuộc (thường bằng Bitcoin).
• Ví dụ: Locky, WannaCry.
• Dạng Trojan này đánh vào các SMB server, chia sẻ mạng, backup yếu.

3. Trojan ngân hàng

• Nhắm đến người dùng Internet Banking.
• Sử dụng tiêm HTML để đánh cắp thông tin tài khoản, mã xác thực (OTP/TAN).
• Ví dụ nổi tiếng: Zeus, Dridex, TrickBot.

4. Trojan DoS (Denial of Service)

• Khi được kích hoạt, phần mềm gửi hàng ngàn request khiến hệ thống quá tải và sập.
• Có thể nhắm đến web server, DNS server hoặc hệ thống SCADA.

5. Trojan Proxy

• Biến thiết bị nạn nhân thành máy trung gian (proxy server) để ẩn danh hacker.
• Hacker thực hiện hành vi tội phạm từ địa chỉ IP nạn nhân, gây khó truy vết.

6. Trojan FTP

• Mở cổng TCP 21 và cho phép truyền file tự do.
• Dùng để tải lên payload khác, hoặc đánh cắp dữ liệu.

7. Trojan phá hoại bảo mật

• Tự động tắt phần mềm antivirus, gỡ firewall, hoặc vô hiệu hóa Windows Defender.
• Làm hệ thống mất khả năng tự bảo vệ, mở đường cho các tấn công sau đó.

Kịch bản thực tế: Một Trojan trong môi trường doanh nghiệp


Một email giả mạo từ bộ phận nhân sự được gửi đến nhiều nhân viên, với tiêu đề:
Tệp đính kèm là “Layoff_List_2025.pdf.exe” (kèm icon PDF), sử dụng kỹ thuật double extension spoofing. Khi người dùng mở file:

• Một Trojan RAT được cài âm thầm
• Hacker dùng TeamViewer/quasar RAT điều khiển thiết bị
• Cài mã độc tấn công lateral movement
• Lấy cắp thông tin đăng nhập tài khoản domain admin từ RAM

Hậu quả: kẻ tấn công chiếm toàn bộ hệ thống trong vài giờ.Cách phòng chống Trojan hiệu quả

1. Huấn luyện người dùng: Nhận diện các email/tệp lừa đảo, không mở file lạ.
2. Triển khai EDR/XDR: Có khả năng phát hiện hành vi bất thường dù file không bị antivirus flag.
3. Sử dụng sandbox: Phân tích file đáng ngờ trong môi trường ảo.
4. Chặn macro, block EXE qua email: Đặc biệt trong môi trường doanh nghiệp.
5. Phân quyền tối thiểu: Hạn chế quyền của người dùng khi mở file lạ.
6. Giám sát lưu lượng mạng: Phát hiện kết nối command & control bất thường.

Kết luận


Trojan là minh chứng cho việc không phải lúc nào mối đe dọa cũng ầm ỹ như ransomware hoặc lây lan mạnh như sâu mạng. Chúng lặng lẽ, tinh vi, và khai thác điểm yếu con người một cách hoàn hảo. Trong SOC hoặc môi trường doanh nghiệp, Trojan là một trong những tác nhân tấn công phải được theo dõi liên tục – từ hành vi bất thường của endpoint cho đến các kết nối ngầm ra ngoài Internet.