Trojan, Backdoors,RootKitFitri Setyorini

Trojan ProgramsJenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatalMampu menyamar menjadi program biasaMenyembunyikan :BackdoorsRootkitsMemungkinkan penyerangan jarak jauh

Apa yang dilakukan trojan ?Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar

Trojan Ternama

Utility Trojan BeastPhatbotAmitisQAZBack OrificeBack Orifice 2000

TiniNetBusSubSevenNetcatDonald DickLet me ruleRECUB

BackdoorsPenyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut Backdoor mencoba mendengar port dan mencari akses

Back DoorsLewat jalan belakangTidak harus melewati otentikasiBerusaha mempertahankan akses ke sistemAwalnya masuk lewat pintu depanMasih bekerja walaupun pintu depan ditutupPenyerang yang memiliki akses back door memiliki sistem

Trojan Horse Backdoor Tools Windows backdoor yg populer:Back Orifice 2000 (BO2K)NetBusSub7LanfiltratorHack-a-tackThe Virtual Network Computer (VNC)*

*remote administration tool often used as a backdoor

Back Orifice

RootKitsMengganti komponen key system Lebih sukar dideteksi dibanding Trojan Horse - Backdoors Terdiri dari rootkit biasa dan rootkit kernelMembutuhkan akses root untuk instalasi

File-File Penting Yang DiserangServer configuration file Networking configuration fileSystem configuration fileCrontabsSetuserid programSetgroupid program

Program-program yang digantikan

du - menunjukkan free disk space find menemukan fileifconfig menunjukkan status NICls Menunjukkan isi direktori

Pada Windows systemsMenggantikan Dynamic Link Libraries atau mengubah sistemPada UNIX systemsMenggantikan /bin/login dengan versi backdoor dari /bin/login

Traditional RootKitLinux RootKit 5 (lrk5)ditulis Lord Somer RootKits terlengkapMemiliki trojan dari program berikut:chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and suLrk6T0rnkitdll

Kernel RootkitKnark (Linux)Adore (Linux)Plasmoids Solaris Loadable Kernel Module (Solaris)The Windows NT kernel-level RootKit (Windows)

Trojan Horse Backdoors

Type of Trojan horse backdoorCharacteristicsAnalogyExample tools in this categoryApplication-Level Trojan Horse BackdoorA separate application runs on the systemAn attacker adds poison to your soup.Sub7, BO2K, Tini, etc.Traditional RootKitsCritical Operating System components are replaced.An attacker replaces your potatoes with poison onesLrk6, T0rnkit, etc.Kernel-Level RootKitsKernel is patched.An attacker replaces your tongue with a poison one.Knark, adore, Kernel Intrusion System, rootkit.com, etc.

Cara Melindungi dari rootkitMenscan /bin/login dan mengecek apakah ada perubahan sistemMenggunakan File Integrity Checker seperti TripwireMenggunakan tool deteksi rootkit

Unix Rootkit Analysis/Detection/Deterrent ToolsChkrootkitRkscanCarboniteRkdet CheckpsLSM (Loadable Security Module)LCAP (Linux Kernel Capability Bounding Set Editor)

ChkrootkitPaling lengkap dan ampuh : http://www.chkrootkit.org/Versi terakhir: 04/03/2003 - Version 0.40 Ditest pada:Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2NetBSD 1.5.2Solaris 2.5.1, 2.6 and 8.0HP-UX 11 and True64

Ifconfig : masks promiscuous mode