Upload
hogan
View
61
Download
6
Embed Size (px)
DESCRIPTION
Trojan, Backdoors,RootKit. Fitri Setyorini. Trojan Programs. Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal Mampu menyamar menjadi program biasa Menyembunyikan : Backdoors Rootkits Memungkinkan penyerangan jarak jauh. - PowerPoint PPT Presentation
Citation preview
Trojan, Backdoors,RootKit
Fitri Setyorini
Trojan Programs
• Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal
• Mampu menyamar menjadi program biasa– Menyembunyikan :
• Backdoors• Rootkits
– Memungkinkan penyerangan jarak jauh
Apa yang dilakukan trojan ?
• Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar
Trojan Ternama
Utility Trojan
• Beast• Phatbot• Amitis• QAZ• Back Orifice• Back Orifice 2000
• Tini• NetBus• SubSeven• Netcat• Donald Dick• Let me rule• RECUB
Backdoors
• Penyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut – Backdoor mencoba mendengar
port dan mencari akses
Network
Backdoorlistenson portABC
Back Doors
• Lewat jalan belakang– Tidak harus melewati otentikasi
• Berusaha mempertahankan akses ke sistem– Awalnya masuk lewat pintu depan– Masih bekerja walaupun pintu depan ditutup
• Penyerang yang memiliki akses back door “memiliki” sistem
Trojan Horse Backdoor Tools
• Windows backdoor yg populer:– Back Orifice 2000 (BO2K)– NetBus– Sub7– Lanfiltrator– Hack-a-tack– The Virtual Network Computer (VNC)*
– *remote administration tool often used as a backdoor
Back Orifice
RootKits
• Mengganti komponen key system • Lebih sukar dideteksi dibanding Trojan
Horse - Backdoors• Terdiri dari rootkit biasa dan rootkit kernel• Membutuhkan akses root untuk instalasi
File-File Penting Yang Diserang
• Server configuration file • Networking configuration file• System configuration file• Crontabs• Setuserid program• Setgroupid program
Program-program yang digantikan
– du - menunjukkan free disk space – find – menemukan file– ifconfig – menunjukkan status NIC– ls – Menunjukkan isi direktori
• Pada Windows systems…– Menggantikan Dynamic Link Libraries atau
mengubah sistem• Pada UNIX systems…
– Menggantikan /bin/login dengan versi backdoor dari /bin/login
Traditional RootKit
• Linux RootKit 5 (lrk5)– ditulis Lord Somer– RootKits terlengkap– Memiliki trojan dari program berikut:
• chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su
• Lrk6• T0rnkit• dll
Kernel Rootkit
– Knark (Linux)– Adore (Linux)– Plasmoid’s Solaris Loadable Kernel Module
(Solaris)– The Windows NT kernel-level RootKit
(Windows)
Trojan Horse Backdoors
Type of Trojan horse backdoor
Characteristics Analogy Example tools in this category
Application-Level Trojan Horse Backdoor
A separate application runs on the system
An attacker adds poison to your soup.
Sub7, BO2K, Tini, etc.
Traditional RootKits Critical Operating System components are replaced.
An attacker replaces your potatoes with poison ones
Lrk6, T0rnkit, etc.
Kernel-Level RootKits Kernel is patched. An attacker replaces your tongue with a poison one.
Knark, adore, Kernel Intrusion System, rootkit.com, etc.
Traditional RootKit
Kernel
Trojanlogin
Trojanps
Trojanifconfig
goodtripwire
Kernel-level RootKit
Kernel
goodlogin
goodps
goodifconfig
goodtripwire
TrojanKernel Module
Application-level
Kernel
Evil Program
goodprogram
goodprogram
goodprogram
goodprogram
Cara Melindungi dari rootkit
• Menscan /bin/login dan mengecek apakah ada perubahan sistem
• Menggunakan File Integrity Checker seperti Tripwire
• Menggunakan tool deteksi rootkit
Unix Rootkit Analysis/Detection/Deterrent Tools
• Chkrootkit• Rkscan• Carbonite• Rkdet • Checkps• LSM (Loadable Security Module)• LCAP (Linux Kernel Capability Bounding
Set Editor)
Chkrootkit
• Paling lengkap dan ampuh : – http://www.chkrootkit.org/– Versi terakhir: 04/03/2003 - Version 0.40 – Ditest pada:
• Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x
• OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2• NetBSD 1.5.2• Solaris 2.5.1, 2.6 and 8.0• HP-UX 11 and True64