Trojan, Backdoors,RootKit

1. Trojan, Backdoors,RootKit Fitri Setyorini

3. Trojan Programs • Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal • Mampu menyamar menjadi program biasa • Menyembunyikan : • Backdoors • Rootkits • Memungkinkan penyerangan jarak jauh

4. Apa yang dilakukan trojan ? • Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar

5. Trojan Ternama

6. Utility Trojan • Beast • Phatbot • Amitis • QAZ • Back Orifice • Back Orifice 2000

7. Tini • NetBus • SubSeven • Netcat • Donald Dick • Let me rule • RECUB

8. Network Backdoor listens on port ABC Backdoors • Penyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut • Backdoor mencoba mendengar port dan mencari akses

9. Back Doors • Lewat jalan belakang • Tidak harus melewati otentikasi • Berusaha mempertahankan akses ke sistem • Awalnya masuk lewat pintu depan • Masih bekerja walaupun pintu depan ditutup • Penyerang yang memiliki akses back door “memiliki” sistem

10. Trojan Horse Backdoor Tools • Windows backdoor yg populer: • Back Orifice 2000 (BO2K) • NetBus • Sub7 • Lanfiltrator • Hack-a-tack • The Virtual Network Computer (VNC)* • *remote administration tool often used as a backdoor

11. Back Orifice

12. RootKits • Mengganti komponen key system • Lebih sukar dideteksi dibanding Trojan Horse - Backdoors • Terdiri dari rootkit biasa dan rootkit kernel • Membutuhkan akses root untuk instalasi

13. File-File Penting Yang Diserang • Server configuration file • Networking configuration file • System configuration file • Crontabs • Setuserid program • Setgroupid program

14. Program-program yang digantikan • du - menunjukkan free disk space • find – menemukan file • ifconfig – menunjukkan status NIC • ls – Menunjukkan isi direktori

15. Pada Windows systems… • Menggantikan Dynamic Link Libraries atau mengubah sistem • Pada UNIX systems… • Menggantikan /bin/login dengan versi backdoor dari /bin/login

16. Traditional RootKit • Linux RootKit 5 (lrk5) • ditulis Lord Somer • RootKits terlengkap • Memiliki trojan dari program berikut: • chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su • Lrk6 • T0rnkit • dll

17. Kernel Rootkit • Knark (Linux) • Adore (Linux) • Plasmoid’s Solaris Loadable Kernel Module (Solaris) • The Windows NT kernel-level RootKit (Windows)

18. Application-level Traditional RootKit Kernel-level RootKit Evil Program good login good ps good ifconfig good tripwire Trojan login Trojan ps Trojan ifconfig good tripwire good program good program good program good program Kernel Trojan Kernel Module Kernel Kernel Trojan Horse Backdoors

19. Cara Melindungi dari rootkit • Menscan /bin/login dan mengecek apakah ada perubahan sistem • Menggunakan File Integrity Checker seperti Tripwire • Menggunakan tool deteksi rootkit

20. Unix Rootkit Analysis/Detection/Deterrent Tools • Chkrootkit • Rkscan • Carbonite • Rkdet • Checkps • LSM (Loadable Security Module) • LCAP (Linux Kernel Capability Bounding Set Editor)

21. Chkrootkit • Paling lengkap dan ampuh : • http://www.chkrootkit.org/ • Versi terakhir: 04/03/2003 - Version 0.40 • Ditest pada: • Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x • OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2 • NetBSD 1.5.2 • Solaris 2.5.1, 2.6 and 8.0 • HP-UX 11 and True64