32.11 Trojanische Pferde
Besonders beliebt bei Unix-Systemen, da auf besonders kreative Weisen unterbringbar, sind trojanische Pferde, oder kurz Trojaner. [Fn. Dabei handelt es sich um Programme, die sich entweder so gut verstecken, dass sie nicht gefunden werden und einem Angreifer in der Regel eine Remote-Shell zur Verfügung stellen, oder um Programme, die sich als andere Programme ausgeben, in Wirklichkeit aber Tätigkeiten im Sinne des Angreifers, der sie auf dem System platziert hat, durchführen.] Diese werden je nach Kreativität und Know-how-Level des Angreifers so gut versteckt, dass selbst ein äußerst erfahrener Administrator sie kaum aufspüren kann. Daher gilt: Unterschätzen Sie die Gefahr von trojanischen Pferden nicht!
inetd
Die wohl einfachste Form einer simplen Backdoor ist die Rekonfiguration des Superservers inetd, wobei eine Root-Shell an einen möglichst unauffälligen Port, etwa 49398, gebunden wird. Diese Methode wird allerdings von den meisten Administratoren entdeckt: Externe Portscans und Programme wie lsof oder netstat helfen Ihnen bei der Erkennung solcher simplen TCP- oder UDP-Backdoors. Daher gehen einige Angreifer noch weiter und modifizieren Ihre Analyse-Tools.
Kernel-Module
Besonders gerissene Angreifer kommen auch auf die Idee, ihre (nicht immer selbst geschriebenen) Hintertüren durch andere Protokolle, etwa ICMP, zu tunneln und Kernel-Modifikationen für diverse Formen der Backdoors zu erstellen. Die Bandbreite der Möglichkeiten reicht von Kernel-Modulen, die einen Prozess in der Prozesstabelle oder ein Verzeichnis im Dateisystem verstecken, bis hin zu Kernel-Modulen, die sich selbst verstecken und verschlüsselte Verbindungen über eigene Protokolle realisieren.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.
