Trojan, Backdoors,RootKit Fitri Setyorini
Trojan, Backdoors,RootKitFitri Setyorini
Trojan ProgramsJenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatalMampu menyamar menjadi program biasaMenyembunyikan :BackdoorsRootkitsMemungkinkan penyerangan jarak jauh
Apa yang dilakukan trojan ?Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar
Trojan Ternama
Utility Trojan BeastPhatbotAmitisQAZBack OrificeBack Orifice 2000
TiniNetBusSubSevenNetcatDonald DickLet me ruleRECUB
BackdoorsPenyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut Backdoor mencoba mendengar port dan mencari akses
Back DoorsLewat jalan belakangTidak harus melewati otentikasiBerusaha mempertahankan akses ke sistemAwalnya masuk lewat pintu depanMasih bekerja walaupun pintu depan ditutupPenyerang yang memiliki akses back door memiliki sistem
Trojan Horse Backdoor Tools Windows backdoor yg populer:Back Orifice 2000 (BO2K)NetBusSub7LanfiltratorHack-a-tackThe Virtual Network Computer (VNC)*
*remote administration tool often used as a backdoor
Back Orifice
RootKitsMengganti komponen key system Lebih sukar dideteksi dibanding Trojan Horse - Backdoors Terdiri dari rootkit biasa dan rootkit kernelMembutuhkan akses root untuk instalasi
File-File Penting Yang DiserangServer configuration file Networking configuration fileSystem configuration fileCrontabsSetuserid programSetgroupid program
Program-program yang digantikan
du - menunjukkan free disk space find menemukan fileifconfig menunjukkan status NICls Menunjukkan isi direktori
Pada Windows systemsMenggantikan Dynamic Link Libraries atau mengubah sistemPada UNIX systemsMenggantikan /bin/login dengan versi backdoor dari /bin/login
Traditional RootKitLinux RootKit 5 (lrk5)ditulis Lord Somer RootKits terlengkapMemiliki trojan dari program berikut:chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and suLrk6T0rnkitdll
Kernel RootkitKnark (Linux)Adore (Linux)Plasmoids Solaris Loadable Kernel Module (Solaris)The Windows NT kernel-level RootKit (Windows)
Trojan Horse Backdoors
Type of Trojan horse backdoorCharacteristicsAnalogyExample tools in this categoryApplication-Level Trojan Horse BackdoorA separate application runs on the systemAn attacker adds poison to your soup.Sub7, BO2K, Tini, etc.Traditional RootKitsCritical Operating System components are replaced.An attacker replaces your potatoes with poison onesLrk6, T0rnkit, etc.Kernel-Level RootKitsKernel is patched.An attacker replaces your tongue with a poison one.Knark, adore, Kernel Intrusion System, rootkit.com, etc.
Cara Melindungi dari rootkitMenscan /bin/login dan mengecek apakah ada perubahan sistemMenggunakan File Integrity Checker seperti TripwireMenggunakan tool deteksi rootkit
Unix Rootkit Analysis/Detection/Deterrent ToolsChkrootkitRkscanCarboniteRkdet CheckpsLSM (Loadable Security Module)LCAP (Linux Kernel Capability Bounding Set Editor)
ChkrootkitPaling lengkap dan ampuh : http://www.chkrootkit.org/Versi terakhir: 04/03/2003 - Version 0.40 Ditest pada:Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2NetBSD 1.5.2Solaris 2.5.1, 2.6 and 8.0HP-UX 11 and True64
Ifconfig : masks promiscuous mode