-
UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE-Master
studije-Odbrana od Trojanaca
Prof. dr Gojko Grubor*Digitalna forenzika*
Digitalna forenzika
-
CiljeviObjasniti klijentske i serverske komponente
TrojanacaPrepoznati mogue metodologije za osnovno rebutovanje
odbrane od Trojanaca*Digitalna forenzika*
Digitalna forenzika
-
ta je Trojanac? (1)Maliciozni, naizgled benigni program koji
probija sistem zatite IKT sistemaTo je program iz dva dela
klijentski i serverski deo Klijentski program koristi haker da
dobije pristup na ciljanu mainuServerski deo haker alje u raunar
rtve sakriven u nekoj vrsti bezazlenog programa koji poziva
korisnika da pokrene izvrni fajl, koji, pak, lansira server na raun
rtve*Digitalna forenzika*
Digitalna forenzika
-
Kako korisnik moe dobiti Trojanca (2)Server se alje u nekom
omotu moda neki film, igrica ili muziki fajlKlik na taj fajl
oslobaa Trojanca koji moe:Izbrisati vrsti diskUkrasti brojeve
kreditnih karticaUkrasti pasvordOmoguiti drugom da preuzme kontrolu
raunaraPoslati/preuzeti fajlove*Digitalna forenzika*
Digitalna forenzika
-
ta NIJE Trojanac? (3)Virus CrvRoot KitHakerski napadKrakerski
napadesto se svi ovi termini meaju*Digitalna forenzika*
Digitalna forenzika
-
Definicija TrojancaProgram Trojanca moe se definisati kao:
Neovlaen program, sadran u nekom legitimnom programu koji izvrava
funkcije nepoznete i najee neeljene za korisnika Legitiman program
koji se menja ugradnjom neovlaenog kda koji izvrava funkcije
nepoznete i najee neeljene za korisnikaSvaki program koji izgleda
da izvrava eljenu i potrebnu funkciju ali, (zbog ugraenog
malicioznog koda) izvrava nepoznete i neeljene funkcije za
korisnika
*Digitalna forenzika*
Digitalna forenzika
-
TrojanciPregled
Trojanac i osnove zadnjih vrata (Backdoor Capabilities)
Kapaciteti zadnjih vrata (Backdoor Capabilities)
Binders & Wrappers
Steganografija i prikrivanje Alati za zadnja vrata (Backdoor
tool)
*Digitalna forenzika*
Digitalna forenzika
-
Kako rtva moe znati da je inficiran?Ne moe sasvim, aliponekad
ima znakova kao to su:aktivnosti ne prate odvijanje tekueg
procesa,visk procenat korienja (perfiormansi) CPUkonstantan pristup
mreinepoznati fajlovi pojavljuju se na sistemu udni dogaaji, kao to
je otvaranje kuita CD ROM-a bez namere korisnika*Digitalna
forenzika*
Digitalna forenzika
-
Kako nas Trojanac pronalazi?Tako to se ciljana maina inficira.
Kako haker locira ciljni raunar?Serverski program pinguje (ICMP) i
otvara specifini portHaker skenira ovaj otvoreni portProgram
Trojanca alje e-potom IP adresu ciljnog raunara, IRC poruku,
logove, adresar e-pote itd., natrag do hakera*Digitalna
forenzika*
Digitalna forenzika
-
Kako se zatititi od Trojanaca?Anti virusni program dobrog
kvaliteta sa aurnim definicijama virusa (potpisa).Kvalitetan
firewall program sa aurnim definicijama (potpisima) inficiranih web
sajtova.Dobra praksa upravljanja pasvordom.Raditi na sistemu sa
korisnikim, a ne administratorskim nalogom.*Digitalna
forenzika*
Digitalna forenzika
-
Nekoliko primeraPostoji preko 1000 poznatih Trojanaca, a
najpoznatiji su (?):Back OrificeNetbusSub
Seven---Coorfloode*Digitalna forenzika*
Digitalna forenzika
-
Kako Trojanci rade?Serverska komponenta se instalira na ciljni
raunar u legalnom omotuHaker skenira IP adrese i otkriva otvoren
port na ciljnom raunaru Program Trojanca alje e-mail, ili alje IRC
poruku hakeru, sa IP adresom sistemaHaker se spaja i preuzima
kontrolu nad sistemom (bot raunar)Haker koristi sistem kao
platformu za illegalne aktivnosti*Digitalna forenzika*
Digitalna forenzika
-
Rebutovanje Odbrane od TrojanacaTraiti detalje sa kojima se moe
potvrditi vetaenje pred sudom.
Koji tip Trojanca je aktivan?Koji port je kompromitovan?Koje su
aktivnosti kompromitovane?Ako se dobiju specifni odgovori odbrana
moe biti validna.
*Digitalna forenzika*
Digitalna forenzika
-
Dokazivanje/osporavanje Odbrane od TrojanacaIspitati imid
specifino na dokaze o prisustvu Trojanaca:Revidirati logove svakog
anti-virusnog programa na sistemu Revidirati logove firewall-a, ako
postojiTraiti izbrisane log fajloveRazviti vremensku liniju
aktivnosti Restaurirati imid i pokrenuti sistemAktivirati tekui
anti-virusni skenerAktivirati specifine alate za pretragu za
uobiajene TrojanceMonitorisati aktivnosti portova, rada procesa
itd.*Digitalna forenzika*
Digitalna forenzika
-
Ako se Trojanac otkrijeta uraditi sledee?Koji je tip Trojanca?ta
Trojanac moe uraditi? (istraivanje na Internetu)Kada se Trojanac
pojavio?Dokazati ili osporiti odbranu od Trojanaca?*Digitalna
forenzika*
Digitalna forenzika
-
Netbus Trojanac*Digitalna forenzika*
Digitalna forenzika
-
Pie Bill Gates*Digitalna forenzika*
Digitalna forenzika
-
Whack A - Mole*Digitalna forenzika*
Digitalna forenzika
-
AOL Admin*Digitalna forenzika*
Digitalna forenzika
-
AOL Admin*Digitalna forenzika*
Digitalna forenzika
-
Doly Trojan*Digitalna forenzika*
Digitalna forenzika
-
Memory Manager*Digitalna forenzika*
Digitalna forenzika
-
Hack -A- Tack*Digitalna forenzika*
Digitalna forenzika
-
DEEPTHROAT TROJAN*Digitalna forenzika*
Digitalna forenzika
-
Panja!*Digitalna forenzika*
Digitalna forenzika
-
Panja!*Digitalna forenzika*
Digitalna forenzika
-
Panja!*Digitalna forenzika*
Digitalna forenzika
-
Ranjivi portovi*Digitalna forenzika*
Digitalna forenzika
-
Root Kitsta je Root Kit?Definicija: izvrni programi
(executable); tehnike za ubacivanje backdoor,
trapdoorKarakteristikeModifikuju sistemske logoveTeko se detektuju
Maskiraju prisustvo malicioznih programaObezbeuje kapaciteti za
izbegavanje detekcijeRoot Kits kriju druge programe i sebeDetekcija
potpisaKriju prisustvo svog kodaHeuristika detekcija
(anomalija)Mora kriti modifikacije koje pravi na memoriji
*Digitalna forenzika*
Digitalna forenzika
-
Pitanja?*Digitalna forenzika*
Digitalna forenzika
*****************************
