Trojan, Backdoors,RootKit Fitri Setyorini

Trojan Programs Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal Mampu menyamar menjadi program biasa –Menyembunyikan : Backdoors Rootkits –Memungkinkan penyerangan jarak jauh

Apa yang dilakukan trojan ? Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar

Trojan Ternama

Utility Trojan Beast Phatbot Amitis QAZ Back Orifice Back Orifice 2000

Tini NetBus SubSeven Netcat Donald Dick Let me rule RECUB

Backdoors Penyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut –Backdoor mencoba mendengar port dan mencari akses Network Backdoor listens on port ABC

Back Doors Lewat jalan belakang –Tidak harus melewati otentikasi Berusaha mempertahankan akses ke sistem –Awalnya masuk lewat pintu depan –Masih bekerja walaupun pintu depan ditutup Penyerang yang memiliki akses back door “memiliki” sistem

Trojan Horse Backdoor Tools Windows backdoor yg populer: –Back Orifice 2000 (BO2K) –NetBus –Sub7 –Lanfiltrator –Hack-a-tack –The Virtual Network Computer (VNC)* –* remote administration tool often used as a backdoor

Back Orifice

RootKits Mengganti komponen key system Lebih sukar dideteksi dibanding Trojan Horse - Backdoors Terdiri dari rootkit biasa dan rootkit kernel Membutuhkan akses root untuk instalasi

File-File Penting Yang Diserang Server configuration file Networking configuration file System configuration file Crontabs Setuserid program Setgroupid program

Program-program yang digantikan –du - menunjukkan free disk space –find – menemukan file –ifconfig – menunjukkan status NIC –ls – Menunjukkan isi direktori

Pada Windows systems… –Menggantikan Dynamic Link Libraries atau mengubah sistem Pada UNIX systems… –Menggantikan /bin/login dengan versi backdoor dari /bin/login

Traditional RootKit Linux RootKit 5 (lrk5) –ditulis Lord Somer – RootKits terlengkap –Memiliki trojan dari program berikut: chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su Lrk6 T0rnkit dll

Kernel Rootkit –Knark (Linux) –Adore (Linux) –Plasmoid’s Solaris Loadable Kernel Module (Solaris) –The Windows NT kernel-level RootKit (Windows)

Trojan Horse Backdoors Type of Trojan horse backdoor CharacteristicsAnalogyExample tools in this category Application-Level Trojan Horse Backdoor A separate application runs on the system An attacker adds poison to your soup. Sub7, BO2K, Tini, etc. Traditional RootKitsCritical Operating System components are replaced. An attacker replaces your potatoes with poison ones Lrk6, T0rnkit, etc. Kernel-Level RootKitsKernel is patched.An attacker replaces your tongue with a poison one. Knark, adore, Kernel Intrusion System, rootkit.com, etc. Traditional RootKit Kernel Trojan login Trojan ps Trojan ifconfig good tripwire Kernel-level RootKit Kernel good login good ps good ifconfig good tripwire Trojan Kernel Module Application-level Kernel Evil Program good program good program good program good program

Cara Melindungi dari rootkit Menscan /bin/login dan mengecek apakah ada perubahan sistem Menggunakan File Integrity Checker seperti Tripwire Menggunakan tool deteksi rootkit

Unix Rootkit Analysis/ Detection/Deterrent Tools Chkrootkit Rkscan Carbonite Rkdet Checkps LSM (Loadable Security Module) LCAP (Linux Kernel Capability Bounding Set Editor)

Chkrootkit Paling lengkap dan ampuh : – –Versi terakhir: 04/03/ Version 0.40 –Ditest pada: Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2 NetBSD Solaris 2.5.1, 2.6 and 8.0 HP-UX 11 and True64