Analiza cailor troieni

Articol postat de:

Subseven2

Caii troieni sunt programe „deghizate” ce încearcă să creeze breşe în sistemul de operare pentru a permite unui utilizator accesul în sistem. Troienii nu au facilitatea de a se auto-multiplica precum viruşii informatici.

Troienii sunt alcătuiţi din trei componente:

  • programul Server: programul propriu-zis al troianului ce infectează calculatorul victimă;
  • programul Client: folosit pentru conectarea la calculatorul infectat şi pentru a trimite comenzi sau a primi informaţii;
  • programul Build/Edit Server: folosit pentru editarea programului Server.

Caii troieni se pot împărţi în mai multe categorii, în funcţie de scopul acţiunii lor:

  • backdoors: permite atacatorului să preia controlul asupra calculatorului victimă prin Internet;
  • password stealer: programe ce fură parole (citesc datele de la tastatură şi le stochează în fişiere ce pot fi citite ulterior de către atacator sau pot fi trimise direct către contul de e-mail al atacatorului);
  • logical bombs: când sunt întrunite anumite condiţii aceşti troieni pot efectua operaţii ce compromit securitatea sistemului;
  • Denial of Service tools: programe ce trimit anumite secvenţe de date către o ţintă (de obicei un site web), cu intenţia de a întrerupe serviciile de Internet ale acelei ţinte.

Un utilizator ce doreşte să infecteze un calculator trebuie să aibă la îndemână toate cele trei componente ale unui troian. Programul ce va fi folosit pentru a infecta calculatorul victimă va fi programul Server. Acest modul va trebui configurat cu ajutorul programului Build/Edit Server.

Subseven

Fig. 1: Modulul Build/Edit Server al troianului SubSeven 2.1.5


Cu ajutorul acestui program se pot seta diverşi parametri pentru programul Server, ca de exemplu:

  • modalitatea de pornire a serverului pe calculatorul victimă (se poate seta ca serverul să pornească la fiecare repornire a sistemului de operare);
  • adresa de e-mail către care va trimite notificări atacatorului;
  • numărul portului ce va trebui deschis în cadrul calculatorului victimă pentru a face posibilă conexiunea cu atacatorul;
  • parola de acces la calculatorul victimă (pentru a nu permite si altor persoane accesul la calculatorul infectat);
  • mesajul de eroare ce va apare în momentul accesării fişierului Server (în cazul în care programul Server apare sub forma unui fişier multimedia şi în momentul accesării nu se întâmplă nimic, pentru a nu trezi suspiciuni utilizatorului va trebuie setat un mesaj de eroare similar mesajelor afişate de sistemul de operare);

Odată ce programul Server a fost configurat, utilizatorul ce doreşte să infecteze un sistem va trebui să găsească o modalitate prin care să trimită fişierul respectiv calculatorului victimă. În momentul în care fişierul Server va fi accesat pe calculatorul victimă, troianul va infecta sistemul de operare şi va permite accesul la acesta. Următorul pas este folosirea  programului Client pentru conectarea la Serverul ce rulează pe calculatorul infectat. În felul acesta utilizatorul rău intenţionat va avea acces la sistemul de operare şi la sistemul de fişiere al calculatorului victimă.

Cu ajutorul unui cal troian se pot obţine informaţii despre sistemul calculatorului infectat sau despre reţeaua de calculatoare din care face parte, informaţii ce pot fi folosite în cadrul altor atacuri. Se pot fura parole de la conturi de e-mail sau conturi bancare prin intermediul unui program de genul keylogger (citeşte datele introduse de la tastatură) încorporat în cadrul troianului, date ce sunt stocate într-un fişier ascuns ce poate fi citit ulterior de către atacator sau poate fi trimis la una din adresele de e-mail specificate de atacator. Accesul atacatorului la calculatorul victimă presupune şi accesul complet la sistemul de fişiere al sistemului, fiind posibilă copierea, modificarea sau chiar ştergerea tuturor datelor.

De regulă caii troieni reprezintă o consolă în care atacatorii inserează comenzile specifice, dar au existat şi cazuri de troieni ce au avut programul Client sub forma unei interfeţe grafice în care comenzile se puteau da prin nişte simple click-uri de mouse. Un astfel de cal troian a fost SubSeven, troian ce a beneficiat de numeroase versiuni, ultimele având o interfaţă grafică foarte complexă şi uşor de folosit.

Subseven2

Fig. 2: Modulul Client al troianul SubSeven 2.1.5


Programul Client al troianului Subseven, versiunea 2.1.5 beneficiază de 7 module: Connection, Keys/Messages, Advanced, Miscellaneus, Fun Manager, Extra Fun, Local Options.

Modulul Connection este folosit pentru configurarea opţiunilor de conectare la programul Server ce rulează pe calculatorul infectat, modulul Keys/Messages pentru trimiterea de mesaje, modulul Advanced pentru urmărirea activităţii pe Internet, pentru furtul de parole,  şi pentru editarea regiştrilor, modulul Miscellaneus pentru accesarea sistemului de fişiere şi efectuarea de operaţii cu acestea, modulele Fun Manager şi Extra Fun pentru realizarea de operaţii cu efecte „hazlii” pentru atacator (răsturnarea imaginii de fundal, inversarea comenzilor mouse-ului, captură de ecran), modulul Local Options fiind folosit pentru setarea unor opţiuni locale.

Dacă troienii anilor ‘90 au avut ca principal scop vandalizarea calculatorului victimă (ştergerea fişierelor sau formatarea hard disk-ului) şi elementele distractive pentru atacator (oprirea monitorului, deschiderea CD-ROM-ului sau trimiterea de mesaje amuzante), troienii din anii ’00 au avut ca scop furarea parolelor şi în special a datelor despre conturile utilizatorilor, troienii de la începutul acestui deceniu sunt foarte bine puşi la punct tehnologic şi au ca principal scop terorismul cibernetic.

Sursa foto: SubSeven
Sursa articolului: MIHAI, Ioan-Cosmin; “Securitatea informațiilor”, ISBN 978-606-11-29203-4, Editura Sitech, 2012


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>