Trojans en backdoors
Het Paard van Troje heeft zijn naam aan de oude mythische verhaal over hoe de Grieken gaven hun vijand een groot houten paard als geschenk tijdens de oorlog.
De vijand aanvaardde dit geschenk en zij brachten het in hun koninkrijk, en tijdens de nacht, de Griekse soldaten sloop van het paard en viel de stad, volledig overwinnen van de moeilijkheden.
Een Trojaans paard is een ongeautoriseerde programma binnen een legitiem programma. Dit programma voert onbevoegde onbekende functies door de gebruiker. Een legitiem programma dat door de plaatsing van niet-geautoriseerde code gewijzigd in is; deze code uitvoert onbekende functies door de gebruiker.
Werken:
Trojaanse paarden komen in twee delen, een client en een server gedeelte deel. Toen het slachtoffer op de server zijn machine draait, zal de aanvaller vervolgens gebruik maken van de client om te verbinden met de server en het gebruik van de Trojan te starten. TCP / IP-protocol is het protocol gebruikelijke type dat wordt gebruikt voor communicatie, maar sommige functies van de Trojanen gebruik van het UDP-protocol ook. Wanneer de Server wordt uitgevoerd op de computer van het slachtoffer, zal het (meestal) proberen om ergens te verbergen op de computer, te beginnen met luisteren op sommige haven (s) voor inkomende verbindingen vanaf de aanvaller, het register te wijzigen en / of gebruik een andere auto te beginnen methode.
Het is noodzakelijk voor de aanvaller om te weten van het slachtoffer IP-adres om verbinding te maken zijn / haar machine. Veel Trojans hebben functies zoals mailing van het slachtoffer IP, alsmede de aanvaller messaging via ICQ of IRC. Dit wordt gebruikt wanneer het slachtoffer een dynamisch IP die elke keer dat u verbinding met het internet krijg je een ander IP (het merendeel van de dial-up gebruikers hebben betekent dit heeft).
De meeste van de Trojanen gebruik Auto-methoden Begin dus zelfs bij het afsluiten van uw computer zijn ze in staat om opnieuw op te starten en opnieuw de aanvaller toegang tot uw machine te geven. Nieuwe auto-start-methoden en andere trucs zijn ontdekt de hele tijd. Het ras begint met "lid" van de Trojaanse in enkele uitvoerbare bestand dat u gebruikt heel vaak, zoals explorer.exe, bijvoorbeeld, en gaat naar de bekende methodes zoals het aanpassen van het systeem bestanden of het Windows-register. Systeem bestanden bevinden zich in de Windows-map en hier een korte uitleg zijn van misbruik daarvan door de aanvallers:
- Automatische start Folder - de Auto Start map bevindt zich in C: \ Windows \ Start Menu \ Programs \ Startup en zoals de naam suggereert start automatisch alles wat er geplaatst.
- Win.ini - Windows systeem bestand met behulp van load = en run = Trojan.exe Trojan.exe om de Trojan te voeren
- System.ini - Gebruik van Shell = Explorer.exe trojan.exe resultaten in de uitvoering van elk bestand na Explorer.exe
- Wininit.ini - Setup-programma's vooral gebruiken; eenmaal draaien, het wordt automatisch verwijderd, wat erg handig is voor de Trojanen opnieuw op te starten
- Winstart.bat - Fungeren als een normale bat bestand Trojan is toegevoegd as@trojan.exe aan de uitvoering ervan door de gebruiker te verbergen
- Autoexec.bat - Het is een auto-DOS-bestand starten en het wordt gebruikt als auto-start methode als deze -> c: \ Trojan.exe
- Config.sys - Kan ook gebruikt worden als een auto-start methode voor Trojans
- Opstarten Explorer - is een auto-start methode voor Windows95, 98, ME en als c: \ explorer.exe bestaat, zal gestart worden in plaats van de gebruikelijke c: \ Windows \ Explorer.exe, dat is de gemeenschappelijke pad naar de bestand.
Griffie wordt vaak gebruikt in verschillende auto-start-methoden. Hier zijn een aantal bekende manieren:
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run]
"Info" = "c: \ map \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"Info" = "c: \ map \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices]
"Info" = "c: \ map \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce]
"Info =" c: \ map \ Trojan.exe "
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Run]
"Info" = "c: \ map \ Trojan.exe"
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"Info" = "c: \ map \ Trojan.exe"
- Open de Register-Shell
[HKEY_CLASSES_ROOT \ exefile \ shell \ Open \ Command]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ Open \ Command]
Een toets met de waarde "1% *%" moet er worden geplaatst en als er een aantal uitvoerbare bestand is er geplaatst is, zal het worden uitgevoerd elke keer dat u een binair bestand. Het wordt gebruikt als dit: trojan.exe "% 1% *"; dit zou de Trojaanse opnieuw op te starten.
- ICQ Net Detect Methode
[HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ Agent \ Apps \]
Deze sleutel bevat alle bestanden die zullen worden uitgevoerd als ICQ internetverbinding detecteert. Zoals u begrijpt kan deze functie van ICQ is erg handig, maar het is vaak misbruikt door aanvallers ook.
- ActiveX-componenten
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ KeyName]
StubPath = C: \ Directory \ Trojan.exe
Dit zijn de meest voorkomende Auto-methoden met behulp van Windows-systeembestanden starten, en het Windows-register.
Trojans Variaties
1.Remote Access Trojans
Dit zijn waarschijnlijk de meest gebruikte openbaar Trojaanse paarden, alleen omdat zij de aanvallers de bevoegdheid heeft om meer dingen te doen op de computer van het slachtoffer dan het slachtoffer zelf, staande in voorzijde van de machine. De meeste van deze Trojaanse paarden zijn vaak een combinatie van de andere varianten vindt u hieronder lezen. Het idee van deze Trojans is om de aanvaller te geven een volledig toegang tot de machine van iemand, en daarom de toegang tot bestanden, prive-gesprekken, boekhoudkundige gegevens, enz.
2. Wachtwoord verzenden Trojans
Het doel van deze Trojaanse paarden is te rippen alle cache opgeslagen wachtwoorden en ook voor andere wachtwoorden dan bent u sturen naar het invoeren van een specifiek e-mailadres, kijk zonder dat de gebruiker iets merken. Wachtwoorden voor ICQ, IRC en FTP, HTTP of elke andere applicatie die een gebruiker nodig om een login wachtwoord in te voeren worden teruggestuurd naar de aanvaller e-mail adres, die in de meeste gevallen is op een gratis web gelegen gebaseerde e-mailprovider . De meeste van hen niet opnieuw opstarten wanneer Windows wordt geladen, als het idee is om zoveel mogelijk info over het slachtoffer machine als wachtwoorden te verzamelen, Marc logs, ICQ gesprekken en mail ze, maar het hangt af van de behoeften van de aanvaller en de specifieke situatie.
3. Keyloggers
Deze Trojaanse paarden zijn om de toetsaanslagen van het slachtoffer log en laat de aanvaller zoek naar wachtwoorden of andere gevoelige gegevens in het logbestand. De meeste van hen komen met twee functies zoals online en offline opname. Natuurlijk konden ze zo worden geconfigureerd dat
Stuur het logbestand naar een specifiek e-mailadres op een dagelijkse basis.
4. Vernietigend
De enige functie van deze Trojaanse paarden te vernietigen en de bestanden te verwijderen. Dit maakt hen zeer eenvoudig en makkelijk te gebruiken. Ze kunnen automatisch verwijderen alle processen in uw systeembestanden (bijvoorbeeld:. Dell. Of. Exe-bestanden, eventueel nog andere) op uw machine. Het Trojaanse paard is geactiveerd wordt door de aanvaller of soms werkt het als een logische bom en begint op een bepaalde dag en op specifieke uur.
5.Denial of Service (DoS) aanval Trojans
Deze Trojaanse paarden zijn steeds erg populair deze dagen, waardoor de aanvaller bevoegdheid om DDoS beginnen als het hebben van genoeg slachtoffers natuurlijk. Het belangrijkste idee is dat als je besmet hebben 200 ADSL-gebruikers en start the slachtoffer tegelijk aanvallen, zal dit een veel verkeer (meer dan de bandbreedte van het slachtoffer te genereren, in de meeste gevallen) en haar de toegang tot het internet zal worden stilgelegd. WinTrinoo is een DDoS tool die recentelijk is geworden echt populair, en als de aanvaller heeft besmet veel ADSL-gebruikers, belangrijke internetsites kunnen worden stilgelegd als gevolg, zoals we hebben gezien dat het gebeuren in de afgelopen maanden.
Een andere variatie van een VvV trojan is de e-mail-bom trojan, met als voornaamste doel te infecteren zoveel machines als mogelijk en tegelijkertijd de specifieke e-mail adres / adressen met willekeurige onderwerpen en inhoud die niet kunnen worden gefilterd aanval.
6.Proxy/Wingate Trojans
Interessante functie uitgevoerd in veel trojans is het draaien van het slachtoffer computer in een proxy / Wingate server beschikbaar om de hele wereld of alleen aan de aanvaller. Het wordt gebruikt voor anonieme Telnet, ICQ, IRC, enz., en ook voor domeinen met gestolen credit cards en vele andere illegale activiteiten te registreren. Dit geeft de aanvaller volledige anonimiteit en de kans om alles te doen van uw computer en als hij / zij betrapt wordt het spoor leidt terug naar jou.
7.FTP Trojans
Deze trojans zijn waarschijnlijk de meest eenvoudige enen en zijn soort verouderd omdat het enige wat ze doen is poort 21 (de poort voor FTP-overdrachten open) en iedereen laat aansluiten op uw machine of gewoon de aanvaller. Nieuwere versies zijn met een wachtwoord, zodat alleen de degene die besmet is mag u aansluit op uw computer beschermd.
8.Software Detectie Killers
Er zijn zulke functionaliteiten ingebouwd in een aantal trojans, maar er zijn ook aparte programma's die zullen doden ZoneAlarm, Norton Anti-Virus en vele andere (populaire anti-virus/firewall) programma's, dat uw machine te beschermen. Wanneer ze zijn uitgeschakeld, zal de aanvaller volledige toegang hebben tot uw machine, tot op zekere illegale activiteit uit te voeren, uw computer gebruiken om anderen aan te vallen en verdwijnen vaak. Ook al kan het u opvallen dat deze programma's niet werken of naar behoren functioneert, zal het u wat tijd om de trojan te verwijderen, installeer de nieuwe software te configureren en weer terug online met enig gevoel van veiligheid.
Hoe krijg ik Infected
Na zijn manieren om besmet met Trojaanse paarden:
Een ICQ
2 IRC
3 bijlagen
4 fysieke toegang
5 browser en e-mail software bugs
6 NetBIOS (filesharing)
Trojaanse programma's: Trojaanse paarden kunnen als volgt worden ingedeeld:
1.Backdoors
2.Algemene lijnen Trojans
3.PSW Trojans
4.Trojan Clickers
5.Trojan downloaders
6.Trojan Droppers
7.Trojan Proxies
8.Trojan Spies
9.Trojan Kennisgevers
10.ArcBombs
Backdoors
Vandaag backdoors zijn de meest gevaarlijke vorm van Trojans en het meest verbreid. Deze Trojaanse paarden zijn remote administration utilities die open geïnfecteerde machines voor externe besturing via een LAN of het internet. Ze werken op dezelfde wijze als juridische remote beheer programma's worden gebruikt door systeembeheerders. Dit maakt hen moeilijk om enige verschil tussen een juridische detect.The administratie tool en een backdoor is dat backdoors geïnstalleerd en opgestart worden zonder medeweten of toestemming van de gebruiker van het slachtoffer machine. Nadat de achterdeur is gelanceerd, houdt toezicht op de lokale systeem zonder medeweten van de gebruiker, vaak de achterdeur niet zichtbaar zullen zijn in het logboek van de actieve programma's.
Zodra een remote beheer utilitiy met succes is geïnstalleerd en opgestart, het slachtoffer machine is wijd open.
Backdoor functies kunnen zijn:
1.Sending / ontvangen van bestanden
2.Launching / verwijderen van bestanden
3.Executing bestanden
4.Displaying aanmelding
5.Deleting gegevens
6.Rebooting de machine
Met andere woorden, backdoors gebruikt door virusschrijvers op te sporen en vertrouwelijke informatie te downloaden, kwaadaardige code uit te voeren, gegevens te vernietigen, ook de machine in bot-netwerken, enzovoort. Kortom, backdoors combineren de functionaliteit van de meeste andere soorten Trojaanse paarden in een pakket.
Backdoors hebben een bijzonder gevaarlijke sub-klasse: varianten die kan voortplanten, zoals wormen. Het enige verschil is dat wormen zijn geprogrammeerd om voortdurend uitdragen, dat deze 'mobiele spread' backdoors slechts na een specifieke opdracht van de 'meester'.
Algemeen Trojans
Deze losse categorie omvat een verscheidenheid van Trojaanse paarden die schade slachtoffer machines of integriteit van gegevens of aantasting van het functioneren van het slachtoffer machine bedreigen.
Multi-purpose Trojaanse paarden zijn ook opgenomen in deze groep, zoals sommige virusschrijvers multi-functionele Trojans creëren in plaats van Trojan verpakkingen.
PSW Trojans
Deze familie van Trojans steelt wachtwoorden, wachtwoorden uit het systeem normaal slachtoffer machines. Ze zoeken voor systeembestanden, die vertrouwelijke informatie bevatten, zoals wachtwoorden en internet toegang tot telefoonnummers en vervolgens stuurt deze naar een email gecodeerd adres in het lichaam van de Trojan. Het zal vervolgens worden opgehaald door de 'meester' of de gebruiker van de illegale programma.
Sommige PSW Trojans te stelen van andere soorten informatie, zoals:
System Details (geheugen, schijfruimte, besturingssysteem details)
Lokale e-mailclient
IP-adres
Registratie details
Wachtwoorden voor on-line games
Trojan-AOL zijn PSW Trojans dat wachtwoorden steelt voor AOL (American Online) Zij zijn vervat in een sub-groepen, omdat ze zo talrijk.
Trojan Clickers
Dit door een familie van trojans omleidingen slachtoffer machines aan bepaalde websites of andere Internet bronnen. Clickers ofwel de nodige opdrachten te verzenden naar de browser of vervangen systeembestanden, waar standaard Internet-URL's worden opgeslagen (bijvoorbeeld de 'hosts' bestand in MS Windows).
Clickers worden gebruikt:
1.To verhogen van het aantal treffers van een specifieke site voor reclame doeleinden
2.To organiseren van een DoS aanval op een bepaalde server of site
3.To leiden dat het slachtoffer een besmette bron waar de machine zal worden aangevallen door andere malware (virussen of Trojaanse paarden)
Trojan downloaders
Dit door een familie van trojans downloadt en installeert nieuwe malware of adware op de getroffen machine. De downloader vervolgens lanceert de nieuwe malware of registers met autorun staat volgens de lokale vereisten voor het besturingssysteem. Dit alles gebeurt zonder medeweten of toestemming van de gebruiker.
De namen en locaties van malware te downloaden zijn ofwel in de code van de Trojaanse of gedownload vanaf een bepaalde website of andere internet locatie.
Trojan Droppers
Deze Trojaanse paarden worden gebruikt om andere malware te installeren op machines slachtoffer zonder medeweten van de gebruiker. Droppers installeren hun lading, hetzij zonder enige kennisgeving worden getoond, of het weergeven van een valse melding over een fout in een gearchiveerd bestand of in het besturingssysteem. De nieuwe malware is gedaald tot een bepaalde locatie op een lokale harde schijf en vervolgens gelanceerd.
Droppers worden normaliter gestructureerd in de volgende manier:
De druppelaar functionaliteit bevat code te installeren en alle bestanden van de lading uit te voeren.
In de meeste gevallen de lading bevat andere Trojaanse paarden en ten minste een hoax: moppen, spelletjes, afbeeldingen, enzovoort. De hoax is bedoeld om de gebruiker af te leiden of om te bewijzen dat de activiteit wordt veroorzaakt door de druppelaar onschadelijk is, terwijl het eigenlijk dient het verbergen van de installatie van de gevaarlijke lading.
Hackers gebruiken dergelijke programma's twee doelstellingen te verwezenlijken:
Verborgen of gemaskeerd installatie van andere Trojaanse paarden of virussen
Tricking antivirus oplossingen, die niet in staat zijn om alle onderdelen te analyseren
Trojan Proxy
Deze Trojaanse paarden fungeren als een proxy-server en bieden anonieme toegang tot het internet vanaf slachtoffer machines. Vandaag deze Trojans zijn erg populair bij spammers die altijd behoefte aan extra machines voor grote mailings. Virus coders zal bevatten vaak Trojan-proxies in Trojaanse verpakkingen en verkopen, netwerken van geïnfecteerde computers aan spammers.
Trojan Spies
Deze familie omvat een verscheidenheid van spionage programma's en belangrijke houthakkers, die alle sporen en op te slaan gebruiker de activiteit op de getroffen machine en vervolgens doorsturen van deze informatie aan de meester.
Trojan-spionnen verzamelen een scala van informatie, waaronder:
1.Keystrokes
2.Screenshots
3.Logs van actieve applicaties
4.Overige acties van de gebruiker
Deze Trojaanse paarden zijn het vaakst gebruikt om banken en andere financiële informatie te stelen om online fraude te ondersteunen.
Trojan Kennisgevers
Deze Trojaanse paarden op de hoogte van de 'meester' over een besmette machine. Kennisgevers bevestigen dat een machine besmet is met succes, en informatie te sturen over IP-adres, open poort nummers, het e-mailadres, enz. van het slachtoffer machine. Deze informatie kan worden verzonden per e-mail, de website van de meester, of door ICQ.
Kennisgevers worden meestal opgenomen in een verpakking van Troje 'en dienen enkel om de kapitein te verwittigen dat een Trojaans paard is geïnstalleerd op de getroffen machine.
ArcBombs
Deze Trojaanse paarden zijn gearchiveerde bestanden gecodeerd naar de de-compressor als het probeert te openen het besmette gearchiveerde bestand te saboteren. Het slachtoffer machine zal vertragen of crashen wanneer de Trojaanse bom ontploft, of de schijf zal worden gevuld met onzin gegevens. ArcBombs zijn vooral gevaarlijk voor servers, met name wanneer de inkomende gegevens voor het eerst wordt automatisch verwerkt: in dergelijke gevallen, een ArcBomb kan de server crash.
Er zijn drie soorten ArcBombs:
1.incorrect kop in het archief,
2.repeating gegevens
3.a reeks identieke bestanden in het archief.
Een verkeerde archief kop-of beschadigde gegevens kan zowel een oorzaak als de de-compressor crashen bij het openen en het uitpakken van de besmette archief.
Een groot bestand met herhalende gegevens kunnen worden verpakt in een zeer kleine archief: 5 gigabyte zal 200 KB zijn wanneer verpakt met behulp van RAR en 480 KB in ZIP-formaat.
Bovendien, speciale technieken bestaan om een enorm aantal identieke bestanden worden ingepakt in een archief, zonder significante gevolgen voor de grootte van het archief zelf: bijvoorbeeld, is het mogelijk om 10.100 identieke bestanden in een RAR-bestand 30 KB of een 230 KB ZIP-bestand.
Spyware en adware:
Spyware en adware zijn vormen van een Trojaans paard.
Spyware programma's een nuttige functie, en ook de installatie van een programma dat het gebruik van de computer van het slachtoffer de monitoren met het oog op de afzet aan de gebruiker.
Adware programma's zijn vergelijkbaar met programma's voor spy ware, met uitzondering van de aanvullende software te installeren toont ze reclameboodschappen rechtstreeks aan de gebruiker.
-------------------------------------------------- ---------------------------------------
Bijschrift:
Suhas Desai werkt samen met Tech Mahindra Ltd Pune, India als een Software ontwikkelaar.
Hij heeft bijgedragen definitieve werk in biometrische beveiliging domein en zijn project werk over "Bio-chipkaart voor RFID op Linux cluster" is algemeen erkend door -
1. 11e IEEE real time & Embedded Systems Symposium gehouden in Californië.
2. ISA Expo 2004, een security-conferentie gehouden in Texas.
3. E-Smart 2005, Een smartcard Innovatie Symposium, Frankrijk.
Hij is auteur van vele research papers, artikelen en functies voor gerenommeerde internationale en nationale conferenties, tijdschriften, procedures en web portals. Zijn werk over RFID is geëerd voor de "Intech", een wereldwijde Automation Publicatieblad van Texas. Hij is bereikbaar op desai.suhas @ gmail.com of suhasde@techmahindra.com
een artikel afkomstig van Suhas Desai