trojan horses centro de informática 04 de novembro de 2005 fernando pedrosa (fpl) gilberto trindade...
TRANSCRIPT
Trojan Horses
Centro de Informática04 de Novembro de 2005
Fernando Pedrosa (fpl)Gilberto Trindade (gthn)
Roteiro
- Introdução- Definições- Trojan Horses- Como você pode ser infectado- Precauções- A natureza sutil dos Trojan Horses- Trojan Horses notórios- Referências
Introdução
- Senta que lá vem a história...
Definições
- Um Trojan Horse é:
- Um programa com um propósito útil e desejável – aparentemente.
- Um programa que contém funções de espionagem ou de backdoor
- Um programa que requer a interação do usuário para sua ativação
Definições
- Um Trojan Horse não é:
- Vírus- Worm- Ou qualquer outro tipo de malware
- Por que ?
Trojan Horses
- Para que serve?
- apagar dados em um computador- corromper arquivos de alguma forma- espalhar outros malwares, como vírus, worms, etc- lançar ataques de DDoS ou mandar spam- espionagem- logging- instalar um backdoor- etc...
Exemplo: Text Editor Trojan Horse
- Cenário:
- Editor de texto em sistemas operacionais multi-usuários
- Ele tem READ Access a todos os arquivos texto do sistema
- Mas o usuário pode apenas executá-lo
Exemplo:Salami Slicing Attacks
- Cenário:
- Funcionário de banco com acesso ao sistema informatizado
- Instala um trojan que desvia alguns centavos de todas as transações bancárias para a sua conta
- O cara acumulou $70,000 antes de ser preso…
Exemplo:Password Snatcher
- Cenário:
- Qualquer ambiente com autenticação de usuário
- O trojan fica constantemente “logando” os keystrokes do usuário
- Opções:- Anexar o código do Trojan Horse ao final do programa (exemplo: o passwd do UNIX)- Ou , alterar o código fonte do programa, e recompilá-lo, já infectado.
Trojan Horses
- Existem basicamente cinco tipos de Trojan Horses:
- Administração Remota- Servidor de arquivos- Emissor de senhas- Key logger- Trojans de DDoS
Administração Remota
- O autor do trojan adquire certos poderes sobre a máquina atacada , tais como:
- alterar o registro do S.O- fazer o upload de arquivos- fazer o dowload de arquivos- executar arquivos, etc…
- São os mais comuns – SubSeven, Netbus, Back Orifice – todos eles se enquadram nesta categoria
Servidor de Arquivos
- O trojan instala um pequeno servidor de arquivos na máquina infectada
- Usado geralmente para uploadar um trojan de administração remota mais poderoso
Emissor de senhas
- Tem o único objetivo de roubar as senhas do usuário que teve sua máquina infectada
- Geralmente as informações são mandadas por email ao hacker
Key Logger
- Armazena tudo o que o usuário digita
- Mais tarde manda esta informações por email ao hacker
- Ou , armazena em um arquivo, o qual pode ser baixado mais tarde, através de um pequeno servidor que é instalado junto com o trojan
DDoS Trojans
- O objetivo é infectar o maior número possível de máquinas com o trojan, para lançar um ataque de DDoS a um determinado site
- Os ataques podem ser direcionados a pessoas ou um grandes sites, como a Yahoo.com
Como você pode ser infectado
- Websites:- Alvo mais comum: I.E- Mas browsers mais seguros também podem ser atingidos
- Instant Message- Os clientes de I.M. ainda são muito inseguros
- E-mail - O famoso anexo...
Como se proteger
- Fique atento
- Não abra anexos inesperados, mesmo que seja de um email conhecido
- Arquivos de programas P2P (Kazaa, Shareaza, etc) são particularmente suspeitos
- Instale softwares anti-trojan
Trojan Horses notórios
- Alguns trojan horses ficaram famosos ao longo do tempo
- Back Orifice- NetBus- SubSeven
Back Orifice
Foi criado como uma ferramenta para
Administração de Sistema Remoto. Permitindo que um
usuário controle uma máquina, que esteja rodando
Windows, remotamente.
Back Orifice – Como Age
Um pequeno programa servidor é instalado numa máquina, que é remotamente manipulada por um programa cliente através de uma interface gráfica. Os dois componentes se comunicam entre si usandoos protocolos
TCP e/ou UDP. Ele normalmente roda na porta 31337.
NetBus
Foi muito usando antes do release do BackOrifice .
Funciona semelhante ao BO pois também se trata de uma ferramenta de Administração
de Sistema Remoto. Apesar de não ter sido criado com intenções maléficas, ele
trouxe sérias conseqüências.
NetBus
Em 1999, o NetBus foi usado para colocar pornografia infantil no
computador de trabalho de Magnus Eriksson, um professor de
direito da Lund University. As 3.500 imagens foram descobertas pelo administrador de sistemas, e Eriksson foi acusado de ter feito o dowload delas conscientemente.
Eriksson perdeu seu posto de pesquisador da faculdade, e após o ocorrido ele fugiu do país e teve que procurar ajuda médica para
curar o stress
SubSeven
Sub7, ou SubSeven, é o nome de um popular trojan ou backdoor. É usado pricipalmente por script kiddies para “brincar”, escondendo o cursor do mouse, mudando configurações do sistema ou entrando em sites pornográficos. Pode ser usado também para roubar números de cartões através de um keystroke logger.
June 2002 24
Softwares Anti-Trojans
• PestPatrol – detecta e elimina pestes destrutivas
como trojans, spyware, adware e ferramentas hacker.
• Tauscan– é um poderoso detector e removedor
de Trojan Horses capaz de detectar todo tipo de backdoor conhecido atualmente. Ele trabalha em background e protege o computador contra ataques.
June 2002 25
Softwares Anti-Trojans
• Anti-Keylogger– É o primeiro produto deste tipo no
mundo. Ele bloqueia programas que capturam tudo que o usuário digita.
“The subtle nature of Trojan Horses”
- Ser ou nao ser um trojan…- Depende do ponto de vista
- Um bug também pode ser um trojan- Bugs X Trojans- Erro acidental ou um trojan horse?
Referências
- Trojan Horse primer-http://windowsecurity.com/articles/Trojan_Horse_Primer.html
- Virus and Malware list-http://bleepingcomputer.com/forums/topict405.html
- Anti-Trojan organization-http://www.anti-trojan.com/
- How to remove a trojan- http://www.2-spyware.com/trojans-removal
Referências
- The complete Windows Trojan paper- http://windowsecurity.com/whitepapers/The_CompleteWindows_Trojans_Paper.html
- Spyware Warrior - http://spywarewarrior.com/
- Wiley.-.Malicious.Cryptography.- Exposing.Cryptovirology – Cap 9
Obrigado e, Perguntas?