210 likes | 365 Views
Trojan, Backdoors,RootKit. Fitri Setyorini. Trojan Programs. Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal Mampu menyamar menjadi program biasa Menyembunyikan : Backdoors Rootkits Memungkinkan penyerangan jarak jauh.
E N D
Trojan, Backdoors,RootKit Fitri Setyorini
Trojan Programs • Jenis serangan yang menimbulkan perubahan secara bertahap tanpa diketahui dan bersifat fatal • Mampu menyamar menjadi program biasa • Menyembunyikan : • Backdoors • Rootkits • Memungkinkan penyerangan jarak jauh
Apa yang dilakukan trojan ? • Dengan Trojan, penyerang dapat mengakses password, sehingga mampu membaca dokumen, menghapus file,menampilkan hambar atau pesan di layar
Utility Trojan • Beast • Phatbot • Amitis • QAZ • Back Orifice • Back Orifice 2000
Tini • NetBus • SubSeven • Netcat • Donald Dick • Let me rule • RECUB
Network Backdoor listens on port ABC Backdoors • Penyerang berusaha mengambil alih sistem dan menginstall backdoor untuk mengakses lebih lanjut • Backdoor mencoba mendengar port dan mencari akses
Back Doors • Lewat jalan belakang • Tidak harus melewati otentikasi • Berusaha mempertahankan akses ke sistem • Awalnya masuk lewat pintu depan • Masih bekerja walaupun pintu depan ditutup • Penyerang yang memiliki akses back door “memiliki” sistem
Trojan Horse Backdoor Tools • Windows backdoor yg populer: • Back Orifice 2000 (BO2K) • NetBus • Sub7 • Lanfiltrator • Hack-a-tack • The Virtual Network Computer (VNC)* • *remote administration tool often used as a backdoor
RootKits • Mengganti komponen key system • Lebih sukar dideteksi dibanding Trojan Horse - Backdoors • Terdiri dari rootkit biasa dan rootkit kernel • Membutuhkan akses root untuk instalasi
File-File Penting Yang Diserang • Server configuration file • Networking configuration file • System configuration file • Crontabs • Setuserid program • Setgroupid program
Program-program yang digantikan • du - menunjukkan free disk space • find – menemukan file • ifconfig – menunjukkan status NIC • ls – Menunjukkan isi direktori
Pada Windows systems… • Menggantikan Dynamic Link Libraries atau mengubah sistem • Pada UNIX systems… • Menggantikan /bin/login dengan versi backdoor dari /bin/login
Traditional RootKit • Linux RootKit 5 (lrk5) • ditulis Lord Somer • RootKits terlengkap • Memiliki trojan dari program berikut: • chfn, chsh, crontab, du, find, ifconfig, inetd, killall, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su • Lrk6 • T0rnkit • dll
Kernel Rootkit • Knark (Linux) • Adore (Linux) • Plasmoid’s Solaris Loadable Kernel Module (Solaris) • The Windows NT kernel-level RootKit (Windows)
Application-level Traditional RootKit Kernel-level RootKit Evil Program good login good ps good ifconfig good tripwire Trojan login Trojan ps Trojan ifconfig good tripwire good program good program good program good program Kernel Trojan Kernel Module Kernel Kernel Trojan Horse Backdoors
Cara Melindungi dari rootkit • Menscan /bin/login dan mengecek apakah ada perubahan sistem • Menggunakan File Integrity Checker seperti Tripwire • Menggunakan tool deteksi rootkit
Unix Rootkit Analysis/Detection/Deterrent Tools • Chkrootkit • Rkscan • Carbonite • Rkdet • Checkps • LSM (Loadable Security Module) • LCAP (Linux Kernel Capability Bounding Set Editor)
Chkrootkit • Paling lengkap dan ampuh : • http://www.chkrootkit.org/ • Versi terakhir: 04/03/2003 - Version 0.40 • Ditest pada: • Linux 2.0.x, 2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x and 4.x • OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1 and 3.2 • NetBSD 1.5.2 • Solaris 2.5.1, 2.6 and 8.0 • HP-UX 11 and True64