modul 7 trojan, backdoors,rootkit

Download Modul 7 Trojan, Backdoors,RootKit

Post on 19-Oct-2015

17 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Trojan, Backdoors,RootKitFitri Setyorini

  • Trojan ProgramsJenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatalMampu menyamar menjadi program biasaMenyembunyikan :BackdoorsRootkitsMemungkinkan penyerangan jarak jauh

  • Apa yang dilakukan trojan ?Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar

  • Trojan Ternama

  • Utility Trojan BeastPhatbotAmitisQAZBack OrificeBack Orifice 2000

  • TiniNetBusSubSevenNetcatDonald DickLet me ruleRECUB

  • BackdoorsPenyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut Backdoor mencoba mendengar port dan mencari akses

  • Back DoorsLewat jalan belakangTidak harus melewati otentikasiBerusaha mempertahankan akses ke sistemAwalnya masuk lewat pintu depanMasih bekerja walaupun pintu depan ditutupPenyerang yang memiliki akses back door memiliki sistem

  • Trojan Horse Backdoor Tools Windows backdoor yg populer:Back Orifice 2000 (BO2K)NetBusSub7LanfiltratorHack-a-tackThe Virtual Network Computer (VNC)*

    *remote administration tool often used as a backdoor

  • Back Orifice

  • RootKitsMengganti komponen key system Lebih sukar dideteksi dibanding Trojan Horse - Backdoors Terdiri dari rootkit biasa dan rootkit kernelMembutuhkan akses root untuk instalasi

  • File-File Penting Yang DiserangServer configuration file Networking configuration fileSystem configuration fileCrontabsSetuserid programSetgroupid program

  • Program-program yang digantikan

    du - menunjukkan free disk space find menemukan fileifconfig menunjukkan status NICls Menunjukkan isi direktori

  • Pada Windows systemsMenggantikan Dynamic Link Libraries atau mengubah sistemPada UNIX systemsMenggantikan /bin/login dengan versi backdoor dari /bin/login

  • Traditional RootKitLinux RootKit 5 (lrk5)ditulis Lord Somer RootKits terlengkapMemiliki trojan dari program berikut:chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and suLrk6T0rnkitdll

  • Kernel RootkitKnark (Linux)Adore (Linux)Plasmoids Solaris Loadable Kernel Module (Solaris)The Windows NT kernel-level RootKit (Windows)

  • Trojan Horse Backdoors

    Type of Trojan horse backdoorCharacteristicsAnalogyExample tools in this categoryApplication-Level Trojan Horse BackdoorA separate application runs on the systemAn attacker adds poison to your soup.Sub7, BO2K, Tini, etc.Traditional RootKitsCritical Operating System components are replaced.An attacker replaces your potatoes with poison onesLrk6, T0rnkit, etc.Kernel-Level RootKitsKernel is patched.An attacker replaces your tongue with a poison one.Knark, adore, Kernel Intrusion System, rootkit.com, etc.

  • Cara Melindungi dari rootkitMenscan /bin/login dan mengecek apakah ada perubahan sistemMenggunakan File Integrity Checker seperti TripwireMenggunakan tool deteksi rootkit

  • Unix Rootkit Analysis/Detection/Deterrent ToolsChkrootkitRkscanCarboniteRkdet CheckpsLSM (Loadable Security Module)LCAP (Linux Kernel Capability Bounding Set Editor)

  • ChkrootkitPaling lengkap dan ampuh : http://www.chkrootkit.org/Versi terakhir: 04/03/2003 - Version 0.40 Ditest pada:Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2NetBSD 1.5.2Solaris 2.5.1, 2.6 and 8.0HP-UX 11 and True64

    Ifconfig : masks promiscuous mode