Trojan, Backdoors,RootKit

Trojan, Backdoors,RootKit

Fitri Setyorini

Trojan Programs

• Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal

• Mampu menyamar menjadi program biasa– Menyembunyikan :

• Backdoors• Rootkits

– Memungkinkan penyerangan jarak jauh

Apa yang dilakukan trojan ?

• Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar

Trojan Ternama

Utility Trojan

• Beast• Phatbot• Amitis• QAZ• Back Orifice• Back Orifice 2000

• Tini• NetBus• SubSeven• Netcat• Donald Dick• Let me rule• RECUB

Backdoors

• Penyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut – Backdoor mencoba mendengar

port dan mencari akses

Network

Backdoorlistenson portABC

Back Doors

• Lewat jalan belakang– Tidak harus melewati otentikasi

• Berusaha mempertahankan akses ke sistem– Awalnya masuk lewat pintu depan– Masih bekerja walaupun pintu depan ditutup

• Penyerang yang memiliki akses back door “memiliki” sistem

Trojan Horse Backdoor Tools

• Windows backdoor yg populer:– Back Orifice 2000 (BO2K)– NetBus– Sub7– Lanfiltrator– Hack-a-tack– The Virtual Network Computer (VNC)*

– *remote administration tool often used as a backdoor

Back Orifice

RootKits

• Mengganti komponen key system • Lebih sukar dideteksi dibanding Trojan

Horse - Backdoors• Terdiri dari rootkit biasa dan rootkit kernel• Membutuhkan akses root untuk instalasi

File-File Penting Yang Diserang

• Server configuration file • Networking configuration file• System configuration file• Crontabs• Setuserid program• Setgroupid program

Program-program yang digantikan

– du - menunjukkan free disk space – find – menemukan file– ifconfig – menunjukkan status NIC– ls – Menunjukkan isi direktori

• Pada Windows systems…– Menggantikan Dynamic Link Libraries atau

mengubah sistem• Pada UNIX systems…

– Menggantikan /bin/login dengan versi backdoor dari /bin/login

Traditional RootKit

• Linux RootKit 5 (lrk5)– ditulis Lord Somer– RootKits terlengkap– Memiliki trojan dari program berikut:

• chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su

• Lrk6• T0rnkit• dll

Kernel Rootkit

– Knark (Linux)– Adore (Linux)– Plasmoid’s Solaris Loadable Kernel Module

(Solaris)– The Windows NT kernel-level RootKit

(Windows)

Trojan Horse Backdoors

Type of Trojan horse backdoor

Characteristics Analogy Example tools in this category

Application-Level Trojan Horse Backdoor

A separate application runs on the system

An attacker adds poison to your soup.

Sub7, BO2K, Tini, etc.

Traditional RootKits Critical Operating System components are replaced.

An attacker replaces your potatoes with poison ones

Lrk6, T0rnkit, etc.

Kernel-Level RootKits Kernel is patched. An attacker replaces your tongue with a poison one.

Knark, adore, Kernel Intrusion System, rootkit.com, etc.

Traditional RootKit

Kernel

Trojanlogin

Trojanps

Trojanifconfig

goodtripwire

Kernel-level RootKit

Kernel

goodlogin

goodps

goodifconfig

goodtripwire

TrojanKernel Module

Application-level

Kernel

Evil Program

goodprogram

goodprogram

goodprogram

goodprogram

Cara Melindungi dari rootkit

• Menscan /bin/login dan mengecek apakah ada perubahan sistem

• Menggunakan File Integrity Checker seperti Tripwire

• Menggunakan tool deteksi rootkit

Unix Rootkit Analysis/Detection/Deterrent Tools

• Chkrootkit• Rkscan• Carbonite• Rkdet • Checkps• LSM (Loadable Security Module)• LCAP (Linux Kernel Capability Bounding

Set Editor)

Chkrootkit

• Paling lengkap dan ampuh : – http://www.chkrootkit.org/– Versi terakhir: 04/03/2003 - Version 0.40 – Ditest pada:

• Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x

• OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2• NetBSD 1.5.2• Solaris 2.5.1, 2.6 and 8.0• HP-UX 11 and True64