Dette dokument diskuterer problemer omkring trojanske programmer. Jeg har valgt at koncentrere mig omkring trojanske programmer i relation til Windows. Der er over de seneste år frigivet mange af disse, de mest kendte er nok Back Orifice (BO2K), SubSeven, Hack-a-Tack og NetBus. Trojanske programmer kommer i flere forskellige udgaver, eksempelvis NT Rootkit (http://www.rootkit.com), beregnet til at åbne bagdøre på en NT server, og til at slette logfiler, og eventuelle spor en hacker måtte have lavet under et angreb.
BackOrifice, NetBus, Hack-a-Tack og Subseven er programmer, som kan anvendes til at administrere servere og klient PC'er, fra en anden PC. Med disse programmer kan man faktisk som minimum det samme som en bruger på den samme maskine, ja ofte er det installeret så man har administrator rettigheder på den pågældende enhed.
Hvad kan disse programmer så uden din viden?
Trojansk software er ikke andet end et program, det er som sådan ikke nødvendigvis en virus, selvom stort set alle producenter af virus software i mange tilfælde vil søge efter disse. Man kender jo også tilsvarende programmer, såsom Microsoft SMS, Symantec PC Anywhere og Danware Netop. Disse bruges jo også til at administrere en server eller PC fra en anden PC.
Forskellen imellem de før nævnte og et trojansk program er "blot" at de ofte installeres uden brugeren ved, at han installerer dem. Ofte kommer de som lidt ekstra kode i et program som brugeren henter ned fra internettet eller får med email, f. eks. i spil, og så installeres de uden at brugeren ved det. Nogle spreder sig selv som "rigtige" virus.
Hvordan bruger en angriber det trojanske program
Det trojanske program er jo nødt til på en eller anden måde at fortælle, at det er på PC'en. I nogle tilfælde ser vi, at programmet selv melder ud til en bestemt side på internettet om at nu er det installeret og samtidig medsender brugernavn og passwords på PC'en, så en eventuel angriber har alle data til at overtage kontrollen.
En anden form afventer forbindelse på en bestemt port, så hvis man bruger et såkaldt port-scanner program, kan man blot søge efter svar på eksempelvis port 31337, der er den port som Back Orifice 2000 normalt vil anvende. Disse port- scanningsprogrammer findes gratis på nettet, så en hvilken som helst person kan starte dette program, søge over et stort område af IP numre og så se, hvem der svarer på denne port.
Du kan selvfølgelig også selv prøve enten at bruge et tilsvarende port-scannings program og se, om der er nogen på dit netværk, hvis PC svarer på denne port, på din egen PC kan du skrive i en DOS prompt C:> netstat -a | find "listening" og se om der er nogle af disse porte der svarer.
Programmet skal jo også aktiveres
Når programmet er installeret gælder det jo om at sørge for, at programmet altid bliver aktiveret når PC'en starter, selvfølgelig uden at brugeren ved det. Dette kan gøres på flere forskellige måder:
Hvad kan jeg gøre - private brugere
Hvad kan jeg gøre - virksomheder
Hjemme-pc'er og notebooks
Dette er nok den gruppe hvor den største risiko eksisterer. Hjemme PC'en er nogle gange direkte på internettet, måske anvendt af børn, andre gange er den forbundet direkte til virksomhedens netværk. Husk på at det var tilsyneladende sådan, at Microsoft blev inficeret i oktober 2000. Notebooks lever jo ofte lidt det samme liv, så her gælder selvfølgelig de samme regler.
Blot bør man huske på, at det kan godt være, at man kan lære medarbejdere at passe på med eksempelvis at downloade programmer, men det er svært at lære en hel husstand dette. Så her er det endnu vigtigere, at man har faste procedure for hvordan man vil checkke sådanne enheder når de er tilsluttet, eller bliver bragt ind i virksomheden.
Back Orifice 2000
Beskrivelse:
Er et program som kan configureres på mange måder, default installationen vil normalt lave en fil med navnet UMGR32.EXE som lægges i kataloget WINNTSystem32, dernæst skriver den i registry HKEY_LOCAL_MACHINE..Run, ofte vil den også prøve at registrere sig som en service der automatisk startes når man starter PC'en.
Port: den lytter oftest på 31337, men dette kan ændres
Micrsoft har publiceret en artikel der beskriver hvordan man kan se om man er blevet inficeret med Back Orifice på adressen: support.microsoft.com/support/kb/articles/q237/2/80.asp
Hack-A-Tack
Beskrivelse:
Default installationen vil normalt installere en fil med navnet Expl32.exe som lægges i kataloget Windows og i registry sættes til opstart i HKLM….Run.
Port: 31789 (UDP)
Subseven
Beskrivelse:
Default installationen vil normalt installere en fil med navnet gsjtneaw.exe som lægges i kataloget WINNTSystem32 dernæst ændre den i NTUSER.Dat og NTUSER.dat.log i C:WINNTprofilesadministrator kataloget, og opretter HKLMHARDWAREWindows registry key.
Port: 27374 (TCP)
Netbus
Beskrivelse:
Default installationen vil normalt installere en fil med navnet patch.exe i kataloget WINNTSystem32, dernæst skriver den i registry HKEY_LOCAL_MACHINE..Run,
Port: 12345,12346, 20034
Konklusion
Hvis man arbejder aktivt og dynamisk med IT-sikkerhed og virksomhedens systemer, herunder følger med i de data, som systemet er sat til at logge, samt følger med på diverse steder på Nettet hvor de nye typer programmer konstant bliver beskrevet, så vil det hjælpe en stor del af vejen.
Hvis man så samtidig har en aktiv IT-sikkerheds politik, som alle i virksomheden er bekendt med, og ved, hvorfor den er, som den er, og en god portion sund fornuft, så tror jeg at man er kommet langt.
