Aktuální nebezpečí jménem trojský kůň

Trojské koně jsou schopny krást tajná data i publikovat nelegální informace na firemních počítačích. Původní o...


Trojské koně jsou schopny krást tajná data i publikovat nelegální informace na
firemních počítačích.

Původní obsah pojmu trojský kůň (v angličtině trojan horse) v průběhu času
výrazně narostl. Kdysi byly za trojské koně označovány jakékoli počítačové
programy, které na jedné straně vykonávaly činnosti, které uživatel očekával,
ale zároveň prováděly i takové, o kterých neměl ani ponětí. A se kterými by
pravděpodobně nesouhlasil, kdyby ponětí měl. Vlastnosti trojského koně by se
tak daly označit jako nedokumentované neetické funkce regulérního programu.
Dnes je ale vnímání významu označení trojský kůň (často se lze setkat také s
jednoslovným označením trojan) o poznání širší. Za trojského koně bývá
považován každý program, který coby nedetekovaný vstupuje do počítače,
zajišťuje útočníkovi přístup k datům v něm, a tím působí škodu. Typický kód se
skládá ze dvou částí z klientské a ze serverové. Serverová je přitom
instalována na počítač oběti, útočník disponuje částí klientskou. Typická je
komunikace pomocí TCP, často je využíváno též UDP.
Jakmile dojde k napadení počítače, trojský kůň se především snaží ukrýt tak,
aby nebyl nalezen či detekován. Velice často tento úkon provádí tak, že se v
registrech naváže na některý z regulérních programů (jako je explorer.exe) a je
aktivován, kdykoliv dochází ke spuštění příslušné aplikace. Tím zajišťuje svoji
funkčnost i po restartu počítače.

V akci
Pro plné využití možností trojského koně potřebuje útočník znát IP adresu
napadeného počítače, takže její odeslání pomocí e-mailu, ICQ či IRC je jedním z
prvních úkolů škodlivého kódu po vstupu do počítače. Problémem (naštěstí pro
útočníka) jsou dynamické adresy typicky přidělované uživatelům připojeným
pomocí vytáčeného připojení. Proto některé trojské koně odesílají svoji IP
adresu často (nejčastěji po každém restartu stroje či po přihlášení k
internetu).
Možná si pokládáte otázku: Jaký je rozdíl mezi trojskými koni a viry, červy či
dalším škodlivým softwarem? Viry a červi se šíří, trojské koně nemusejí (setkat
se s nimi lze třeba na některých webových stránkách, kde čekají na přístup
oběti). Spyware pak slouží čistě ke sledování uživatele. Backdoor (zadní
vrátka) zase jen otevírají porty na počítači pro hackera, ale nemají žádné
další funkce. Naproti tomu trojské koně mohou (ale nemusejí) těchto prvků
využívat.

Druhy trojanů
V kybernetickém prostoru se můžeme setkat s různými typy trojských koní, které
lze obecně rozdělit do sedmi následujících kategorií. Upozorňujeme, že jen
málokdy se některý konkrétní kód podaří zařadit do jediné z nich.
První z těchto kategorií představují trojské koně umožňující vzdálený přístup.
Jsou asi nejznámější, protože se o nich nejvíce píše ostatně asi jen málokdo
nezná kódy jako Back Orifice nebo Netbus. Díky vzdálenému přístupu získává
útočník absolutní kontrolu nad napadeným počítačem může manipulovat se soubory,
účty, elektronickou poštou apod.
Dále jsou to trojské koně odesílající data. Pomocí ICQ, IRC, FTP nebo HTTP
dochází k odeslání buď konkrétní informace vyhledané na základě stanoveného
zadání, nebo jsou odesílány informace obecnější, získané pomocí instalovaného
key loggeru (snímače stisknutých kláves), a útočník si je následně sám
analyzuje. Data jsou zpravidla odesílána na freemail nebo prostřednictvím
formulářů umístěných na webových stránkách. Tím dochází k obejití firewallů a
dalších bezpečnostních prvků, protože odesílání e-mailů ani webové spojení
nebývají omezeny.
Nepříjemnou kategorií jsou destruktivní trojani. Jejich cílem je smazat a
zničit soubory. Buď je mohou likvidovat masově (třeba dll, ini nebo exe soubory
v operačním systému), nebo dle specifického zadání. Také mohou sloužit coby
logická bomba, kdy jsou k činnosti přiváděny na dálku útočníkem.
Trojské koně také mohou být použity pro útoky typu DoS. Pokud útočník získá
dostatek obětí (tedy pokud dokáže infikovat významný počet stanic), může
zahájit i distribuovaný DoS útok (DDoS). Stovka infikovaných ADSL uživatelů už
dokáže vytvořit velmi nepříjemný provoz. Stejně tak může být trojský kůň použit
jako e-mailová bomba: z infikovaných počítačů je odesláno obrovské množství
e-mailů s náhodnými předměty, obsahem i odesílateli (aby je nebylo možné
filtrovat) na danou schránku.
Další kategorií jsou trojské koně coby proxy. V takovém případě škodlivý kód
mění počítač oběti na proxy server. Počítače jsou pak následně zneužívané ke
zprostředkování nákupů pomocí zcizených čísel kreditních karet a k dalším
nelegálním aktivitám. Útočník tak získává anonymitu. Pokud zanechá při svých
nekalých rejdech stopu, pak ta vede k infikovanému počítači. Tím mohou v
případě nelegálních aktivit vznikat právní problémy a dokazování je často velmi
nepříjemné.
Trojské koně mohou fungovat také jako FTP servery. V takovém případě otevírají
port 21 (port pro FTP přenosy) a umožňují útočníkovi používat infikovaný
počítač pro FTP přenosy (zpravidla větších objemů nelegálních dat).
Poslední kategorií jsou trojské koně, které jsou schopny vypínat bezpečnostní
prvky. Jejich úkolem je po vstupu do počítače zastavit nebo ukončit běh
antivirových programů, firewallů apod. Pokud se to podaří, útočník může ve
druhém sledu dotyčnou stanici snáze napadnout.

Obrana
Jak se před infiltrací trojského koně bránit? Typická infekce v sítích, které
jsou chráněné firewallem a jejichž uživatelé nepoužívají ICQ a IRC, přichází
prostřednictvím elektronické pošty nebo po návštěvě infikované webové stránky.
Mnoho uživatelů sice posléze tvrdí, že nikdy nic podobného neudělalo, ale
zpravidla to není pravda. Ne že by dotyční byli lháři, ale často díky obratně
využitému sociálnímu inženýrství ani netuší, co vlastně udělali.
Základem ochrany počítače i celé sítě je samozřejmě antivirový program, ale
pozor na jeho přeceňování. Především je třeba si uvědomit, že pro výrobce
antivirových řešení je z pochopitelných důvodů (rychlost) prioritou zařadit do
detekčních databází viry a červy. Takže i proti známým kódům můžete zůstat
několik dní bez ochrany. Krom toho trojské koně žádný výrobce aktivně
nevyhledává, což je další důvod ne zcela stoprocentní detekce. Antivirový
program tedy obvykle detekuje jen některé známé trojany a zpravidla není
schopen detekovat ty neznámé (nebo jen jejich zanedbatelné procento).
Pokud si vás někdo zvolí za terč cíleného útoku, tak je velmi pravděpodobné, že
se na něj dobře připraví. Tedy že si zjistí, jaký antivirový program používáte
(třeba z podpisu v odchozích e-mailech). Následně si útočník vezme zdrojový kód
nějakého trojského koně, z internetu si stáhne příslušný antivirový program a
pak kód upravuje tak dlouho, až přes kontrolu projde.
Proto je vhodné používat vícemotorové skenery. O firewallech a personálních
firewallech (samozřejmě správně nastavených) je asi zbytečné psát. Stejně tak
je žádoucí nasadit kontrolu obsahu e-mailu, HTTP a FTP provozu (zachytávat
spustitelné kódy). Ideální je využití skeneru spustitelných souborů, který
automaticky kontroluje nalezené soubory a hodnotí jejich obsah (při vhodně
zvolených parametrech může detekovat i neznámé kódy). Pomoci může také detekce
projevů trojských koní.
Trojské koně jsou mimořádně nebezpečnou záležitostí. V roce 2003 se o tom
přesvědčila společnost Valve Software, jíž byl s pomocí trojského koně ukraden
zdrojový kód hry Half-Life 2. O rok později pak byla stejnou metodou ukradena
část zdrojového kódu operačních systémů Windows NT a 2000 přímo ze serverů
společnosti Microsoft.


Typické cíle trojských koní
n Získávání informací o kreditních kartách (expirace, čísla, použitelnost aj.).
n Data pro přístup k různým účtům (loginy, e-mailová hesla, hesla k webovým
službám aj.).
n Dokumenty tajné, citlivé či přinejmenším neveřejné.
n E-mailové adresy (třeba seznamy zákazníků).
n Kalendář kdy, kde a proč se bude kdo vyskytovat.
n Získání základny k dalším nelegálním aktivitám (spam, hacking, DDoS útoky
apod.).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.