trojan horses centro de informática 04 de novembro de 2005 fernando pedrosa (fpl) gilberto trindade...

Trojan Horses

Centro de Informática04 de Novembro de 2005

Fernando Pedrosa (fpl)Gilberto Trindade (gthn)

Roteiro

- Introdução- Definições- Trojan Horses- Como você pode ser infectado- Precauções- A natureza sutil dos Trojan Horses- Trojan Horses notórios- Referências

Introdução

- Senta que lá vem a história...

Definições

- Um Trojan Horse é:

- Um programa com um propósito útil e desejável – aparentemente.

- Um programa que contém funções de espionagem ou de backdoor

- Um programa que requer a interação do usuário para sua ativação

Definições

- Um Trojan Horse não é:

- Vírus- Worm- Ou qualquer outro tipo de malware

- Por que ?

Trojan Horses

- Para que serve?

- apagar dados em um computador- corromper arquivos de alguma forma- espalhar outros malwares, como vírus, worms, etc- lançar ataques de DDoS ou mandar spam- espionagem- logging- instalar um backdoor- etc...

Exemplo: Text Editor Trojan Horse

- Cenário:

- Editor de texto em sistemas operacionais multi-usuários

- Ele tem READ Access a todos os arquivos texto do sistema

- Mas o usuário pode apenas executá-lo

Exemplo:Salami Slicing Attacks

- Cenário:

- Funcionário de banco com acesso ao sistema informatizado

- Instala um trojan que desvia alguns centavos de todas as transações bancárias para a sua conta

- O cara acumulou $70,000 antes de ser preso…

Exemplo:Password Snatcher

- Cenário:

- Qualquer ambiente com autenticação de usuário

- O trojan fica constantemente “logando” os keystrokes do usuário

- Opções:- Anexar o código do Trojan Horse ao final do programa (exemplo: o passwd do UNIX)- Ou , alterar o código fonte do programa, e recompilá-lo, já infectado.

Trojan Horses

- Existem basicamente cinco tipos de Trojan Horses:

- Administração Remota- Servidor de arquivos- Emissor de senhas- Key logger- Trojans de DDoS

Administração Remota

- O autor do trojan adquire certos poderes sobre a máquina atacada , tais como:

- alterar o registro do S.O- fazer o upload de arquivos- fazer o dowload de arquivos- executar arquivos, etc…

- São os mais comuns – SubSeven, Netbus, Back Orifice – todos eles se enquadram nesta categoria

Servidor de Arquivos

- O trojan instala um pequeno servidor de arquivos na máquina infectada

- Usado geralmente para uploadar um trojan de administração remota mais poderoso

Emissor de senhas

- Tem o único objetivo de roubar as senhas do usuário que teve sua máquina infectada

- Geralmente as informações são mandadas por email ao hacker

Key Logger

- Armazena tudo o que o usuário digita

- Mais tarde manda esta informações por email ao hacker

- Ou , armazena em um arquivo, o qual pode ser baixado mais tarde, através de um pequeno servidor que é instalado junto com o trojan

DDoS Trojans

- O objetivo é infectar o maior número possível de máquinas com o trojan, para lançar um ataque de DDoS a um determinado site

- Os ataques podem ser direcionados a pessoas ou um grandes sites, como a Yahoo.com

Como você pode ser infectado

- Websites:- Alvo mais comum: I.E- Mas browsers mais seguros também podem ser atingidos

- Instant Message- Os clientes de I.M. ainda são muito inseguros

- E-mail - O famoso anexo...

Como se proteger

- Fique atento

- Não abra anexos inesperados, mesmo que seja de um email conhecido

- Arquivos de programas P2P (Kazaa, Shareaza, etc) são particularmente suspeitos

- Instale softwares anti-trojan

Trojan Horses notórios

- Alguns trojan horses ficaram famosos ao longo do tempo

- Back Orifice- NetBus- SubSeven

Back Orifice

Foi criado como uma ferramenta para

Administração de Sistema Remoto. Permitindo que um

usuário controle uma máquina, que esteja rodando

Windows, remotamente.

Back Orifice – Como Age

Um pequeno programa servidor é instalado numa máquina, que é remotamente manipulada por um programa cliente através de uma interface gráfica. Os dois componentes se comunicam entre si usandoos protocolos

TCP e/ou UDP. Ele normalmente roda na porta 31337.

NetBus

Foi muito usando antes do release do BackOrifice .

Funciona semelhante ao BO pois também se trata de uma ferramenta de Administração

de Sistema Remoto. Apesar de não ter sido criado com intenções maléficas, ele

trouxe sérias conseqüências.

NetBus

Em 1999, o NetBus foi usado para colocar pornografia infantil no

computador de trabalho de Magnus Eriksson, um professor de

direito da Lund University. As 3.500 imagens foram descobertas pelo administrador de sistemas, e Eriksson foi acusado de ter feito o dowload delas conscientemente.

Eriksson perdeu seu posto de pesquisador da faculdade, e após o ocorrido ele fugiu do país e teve que procurar ajuda médica para

curar o stress

SubSeven

Sub7, ou SubSeven, é o nome de um popular trojan ou backdoor. É usado pricipalmente por script kiddies para “brincar”, escondendo o cursor do mouse, mudando configurações do sistema ou entrando em sites pornográficos. Pode ser usado também para roubar números de cartões através de um keystroke logger.

June 2002 24

Softwares Anti-Trojans

• PestPatrol – detecta e elimina pestes destrutivas

como trojans, spyware, adware e ferramentas hacker.

• Tauscan– é um poderoso detector e removedor

de Trojan Horses capaz de detectar todo tipo de backdoor conhecido atualmente. Ele trabalha em background e protege o computador contra ataques.

June 2002 25

Softwares Anti-Trojans

• Anti-Keylogger– É o primeiro produto deste tipo no

mundo. Ele bloqueia programas que capturam tudo que o usuário digita.

“The subtle nature of Trojan Horses”

- Ser ou nao ser um trojan…- Depende do ponto de vista

- Um bug também pode ser um trojan- Bugs X Trojans- Erro acidental ou um trojan horse?

Referências

- Trojan Horse primer-http://windowsecurity.com/articles/Trojan_Horse_Primer.html

- Virus and Malware list-http://bleepingcomputer.com/forums/topict405.html

- Anti-Trojan organization-http://www.anti-trojan.com/

- How to remove a trojan- http://www.2-spyware.com/trojans-removal

Referências

- The complete Windows Trojan paper- http://windowsecurity.com/whitepapers/The_CompleteWindows_Trojans_Paper.html

- Spyware Warrior - http://spywarewarrior.com/

- Wiley.-.Malicious.Cryptography.- Exposing.Cryptovirology – Cap 9

Obrigado e, Perguntas?