Upload
billy
View
54
Download
0
Embed Size (px)
DESCRIPTION
Xavier Almolda Cardona Joan Blanch Llorca. Seguretat a internet: Cavalls de Troia. Què és un cavall de troia?. És un programa que treballa contra un usuari, aproximadament com un virus, i és contingut en un programa aparentment legítim. - PowerPoint PPT Presentation
Citation preview
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors
(Seminaris de CASO)
Autors
Seguretat a internet:Cavalls de Troia
Xavier Almolda CardonaJoan Blanch Llorca
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
2
Què és un cavall de troia?
És un programa que treballa contra un usuari, aproximadament com un virus, i és contingut en un programa aparentment legítim.
Els troians només afecten equips connectats a altres equips, ja sigui per mitjà d’internet o d’una LAN.
És invisible a l’usuari que és atacat. La major part de troians són RATs (Remote Administration
Tools). Tenir un troià al sistema és inofensiu, executar-los causa el
problema, i a partir d’aquest moment es vulnerable a atacs.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
3
Com infecta un troià?(1) S’anomenen cavalls de troia perquè el codi del troià entra al
nostre sistema amagat dins de programes aparentment inofensius.
La infecció per un troià sol estar associada a arxius descarregats d’internet, rebuts per e-mail i arxius rebuts per programes de missatgeria instantània.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
4
Com infecta un troià?(2) Perquè un troià tingui èxit en la seva missió, sigui quina sigui, ha
d’aconseguir executar-se al nostre sistema sense ser detectat. Existeixen “binders” d’arxius que fusionen 2 executables en un de
sol. Es sol utilitzar aquesta tècnica per fusionar el servidor del troià i un programa qualsevol. Després es fa arribar aquest arxiu a l’usuari que es vol atacar. La infecció comença quan s’executa l’arxiu.
Alguns troians, com la majoria de virus, s’ajunten automàticament als executables del sistema infectat.
Servidor del troià
Programa inofensiu
Binder
Programa aparentment inofensiu amb el codi del servidor
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
5
Com infecta un troià?(3)
És important remarcar que un troià només podrà efectuar la seva missió si executem el codi d’aquest en el nostre sistema.
El simple fet de tenir guardat en disc un arxiu infectat amb un troià no implica que aquest pugui actuar.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
6
Com funcionen? (1)
socket()
bind()
listen()
accept()
read()
write()
El servidor fa binding usant un port que serà conegut per al client
socket()
connect()
write()
read()
SERVIDOR
CLIENT
El client ha de coneixer l’adreça IP del servidor que vol atacar
El funcionament de la majoria de troians es basa en l’aqruitectura client/servidor.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
7
Com funcionen? (2)
En el nostre sistema s’està executant un servidor. Des d’una màquina remota un usuari executa el client que es conecta al nostre servidor.
El servidor, per ser un procés del nostre sistema, té tots els privilegis de l’usuari que l’ha iniciat, encara que ho hagi fet involuntàriament.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
8
Esquema de funcionament
INTERNET
A1. Arriba un arxiu infectat pel troià al ordinador A
2. L’ordinador A executa l’arxiu infectat
A
3. El servidor del troià s’està executant en l’ordinador A i és susceptible de ser atacat
BINTERNETLAN
4. Qualsevol ordinador que disposi del client i tingui connexió amb A pot realitzar un atac
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
9
Efectes perjudicials(1)• L’atac per mitjà d’un troià pot provocar
diferents efectes, depenent del tipus de troià i de les intencions de l’atacant:
• Control del nostre ordinador: Moviment del ratolí Obrir CD Creació/eliminació de processos Missatges Tancar sessió,reiniciar/apagar
equip …
• Extracció de dades: Passwords Actuant com a servidor de FTP …
• Efectes destructius: Eliminació d’arxius Alteració de dades …
• …
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
10
Efectes perjudicials(2) - Imatges del client del Subseven
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
11
Com detectar un cavall de Troia
Usant un scanner de ports i comprovar que no tenim ports “sospitosos” oberts.
Usant una firewall que permeti connexions només a través de ports coneguts.
ATENCIO! Hi ha troians que deshabiliten les firewalls més populars.
Tots els antivirus detecten un gran nombre de troians
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
12
Com funciona un scanner de ports? Hi ha diversos tipus de scanners de ports:
– TCP connect scanning: És el més usat. Intenta un connect a una IP i ports determinats. Si es realitza l’accept el port està obert.
– TCP SYN scanning: S’envia un paquet SYN com si s’iniciés una connexió. Si ens torna un SYN ACK el port està obert i s’envia un RST per finalitzar-la. Si es rep un RST el port està tancat.
– TCP FIN scanning: Semblant al TCP SYN però enviant paquets FIN. Si el port està tancat es rep un RST, si està obert no es rep res. No funciona en sistemes Microsoft perquè envien RST independentment de l’estat del port.
– …
Amb un scanner de ports i una llista de ports per identificar els ports oberts, podem realitzar atacs a màquines remotes i protegir millor la nostra màquina.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
13
Com detectar un troià: (1) Scanner de ports local
• Resultat del scanner de ports sobre el nostre PC abans d’executar el troià.
• El mateix scanner al mateix PC un cop executat el servidor del troià netbus.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
14
Com detectar un troià: (2) Firewall
En aquest moment no hi hacap conexió activa en
el nostre PC
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
15
Com detectar un troià: (2) Firewall
Connexions en escolta del servidor, que està executant-se
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
16
Com detectar un troià: (2) Firewall
Les connexions del servidorencara en escolta, i un client
connectat.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
17
Com detectar un troià: (3) Antivirus Imatges del antivirus detectant
l’execució del codi del troià Evita que el codi perjudicial es
comenci a executar En alguns casos permet
reparar l’arxiu infectat eliminant el codi del troià
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
18
Com detectar un troià: Ventatges/inconvenients dels diferents mètodes
Mètode Ventatges Inconvenients Funció
Scanner de ports
Ens permet detectar si el servidor està instal.lat en qualsevol moment
No podem assegurar al 100% que es tracti d’un troià. No repara la infecció No protegeix, només ens permet detectar-los.
Anàlisi del sistema
Firewall Detecta i evita qualsevol intent de ser atacats
No repara la infecció Alguns troians les deshabiliten
Evitar atacs
Antivirus Detecta exactament el tipus de troià que tenim Pot eliminar el troià del nostre sistema
Només detectarà alguns troians coneguts.
Evitar la infecció del sistema
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
19
Bibliografia Documents de www.astalavista.com Documentació adjunta amb els troians usats:
- NetBus 1.53- SubSeven- Delta Source v0.5 BETA- Frenzy Beta 0.1.0