Trojansk hest (computer)

En trojansk hest ( trojansk hest på engelsk) er en type malware, som ikke bør forveksles med vira eller andre parasitter. Den trojanske hest er tilsyneladende legitim software , men den indeholder ondsindet funktionalitet. Dens formål er at bringe denne ondsindede funktion ind i computeren og installere den uden brugerens viden.

Historie

Konceptets oprindelse

Udtrykket "trojansk hest" blev opfundet i 1970 af NSA- forsker Daniel J. Edwards . I 1971 antager UNIX-manualen det velkendte koncept, da det er skrevet der:

”Du kan ikke ændre ejeren af ​​en fil ved at ændre brugerbiten, for på den måde kan du oprette trojanere, der er i stand til bedragerisk at bruge andres filer. "

Terminologien blev efterfølgende brugt i 1974 i en rapport fra det amerikanske luftvåben om analysen af ​​computersystemers sårbarhed, der derefter blev præsenteret i 1981 af David Jordan og endelig virkelig populær af Ken Thompson i Turing-konferencen, som 'han gav ved modtagelsen af Turing Pris i 1983 , en pris, han havde modtaget for oprettelsen af UNIX . Hans tale er billedtekst:

”  I hvilket omfang skal man stole på en erklæring om, at et program er fri for trojanske heste? Måske er det mere vigtigt at stole på: de mennesker, der skrev softwaren.  "

Hvilket betyder :

"Hvor meget stoler du på en erklæring om, at et program er fri for trojanske heste?" Måske er det vigtigere at stole på de mennesker, der skrev softwaren. "

Han rapporterer, at han blev opmærksom på den mulige eksistens af trojanere (som dem, de præsenterer) i en multics- sikkerhedsrapport , som han desværre ikke kan finde en reference til, men Paul Karger og Roger Schell er i stand til at sige, at dette er rapporten citeret ovenfor.

Legenden om den trojanske hest i Odyssey

Computertrojanere (eller trojanske heste på engelsk) tager deres navn fra en berømt legende om det antikke Grækenland , fortalt af Homer i Odyssey og taget op af Virgil i Aeneiden . Den trojanske hest er den metode, som grækerne bruger til at erobre byen Troja  : helten Ulysses byggede en enorm træhingst, som han placerede foran Trojas porte, og i hvis sider han gemte sig med sine ledsagere. Da trojanerne opdagede denne hest, førte de den selv ind i deres by. De sov intetanende, mens hesten var inden for deres mure. Om aftenen kom Ulysses og hans ledsagere ud af deres skjulested og åbnede byens porte for resten af ​​hæren, der ødelagde den og massakrer dens indbyggere.

Trojanske heste i dag

En computertrojan er et tilsyneladende harmløst program, der indeholder ondsindet software installeret af brugeren selv, uvidende om at de bringer en ondsindet ubuden gæst ind i deres computer. Det er analogt, at denne type program blev døbt "trojansk hest" under henvisning til den list, som Ulysses brugte til at omgå det modsatte forsvar.

I 2014 afslørede en undersøgelse fra Association of Internet Security Professionals, der fokuserede på farerne ved ulovlig live streaming , at en ud af tre computere er inficeret med malware, og at 73% af disse infektioner kommer fra en trojansk hest.

Nogle terminologiske detaljer

Programmet, der er indeholdt (eller efterfølgende downloades automatisk) kaldes nyttelasten . Det kan være enhver form for malware: virus , keylogger , spyware eller adware ... Det er denne malware, der udfører handlinger på offerets computer. Den trojanske hest er intet andet end køretøjet, det der "bringer ulven i folden". Det er ikke skadeligt i sig selv, fordi det ikke foretager sig noget andet end at tillade installation af ægte malware.

I almindeligt sprog kaldes metonymet ofte for "trojansk hest" for at henvise til malware indeholdt i. Denne forvirring er delvist drevet af de redaktører af antivirus , ved hjælp af "trojan" som et generisk navn for forskellige former for skadelige programmer, der intet har at gøre med trojanske heste.

Infektionsvektorer

Den trojanske hest ser ud som eksisterende, legitim og undertiden endda velrenommeret software, men som er blevet ændret for at skjule en parasit. Den finesse, hvormed installationen foretages, forklares af Ken Thompson i hans Turing-foredrag. Brugeren downloader og installerer programmet og tænker, at de har at gøre med en sund version. I virkeligheden bærer softwaren ondsindet software, der kan køre på hans computer. Den knækkede software kan også være trojanske heste, der vil narre den bruger, der ønsker at få en gratis software, der normalt betales, som Adobe Acrobat Pro, Photoshop, Microsoft Office ...

Almindelig oprindelse af trojanske heste

Introduktionen af ​​en trojansk hest i et computersystem kan ske på forskellige måder. Her er de mest almindelige:

• Download af ændrede versioner fra uofficielle websteder eller usikre platforme ( P2P ). Download af software fra forfatterens eller distributørens officielle hjemmeside undgår normalt at beskæftige sig med en version inficeret med en trojansk hest.
• Download af programmer via P2P- protokol .
• Besøg på websteder, der indeholder en eksekverbar (f.eks. ActiveX- kontroller eller Java-applikationer).
• Udnyttelse af fejl i forældede applikationer (browsere, multimedie-afspillere, instant messaging-klienter osv.) Og især Web Exploit .
• Social engineering (for eksempel sender en hacker trojanen direkte til offeret via instant messaging).
• Vedhæftede filer og filer sendt via instant messaging.
• Software opdatering.
• Manglende beskyttelsessoftware.
• Læsning af en USB-stick af ukendt oprindelse.

Lignende forestillinger om den trojanske hest

Den trojanske hest skal ikke forveksles med andre relaterede forestillinger:

• Den injektor (eller dråbetæller , på engelsk) er næsten identisk med den trojanske fordi den også virker som en bærer for malware. Injektoren er dog et program, der er specielt oprettet til at sprede malware, mens en Trojan er en modificeret version af et eksisterende og legitimt program.
• Den bagdør ( bagdør ) er et program, der vil køre lydløst på computeren, hvor det er installeret for at kunne bruge et sikkerhedshul. Bagdøren åbner en eller flere porte på maskinen, så den frit kan få adgang til Internettet og downloade ondsindet software uden brugerens viden. Bagdøren er derfor ikke en trojansk hest, fordi den ikke overfører den ondsindede software i sig selv: den åbner simpelthen en adgang og henter via Internettet det ondsindede program, der findes på en ekstern server.
• Den RAT (Remote administration værktøj) er software til at tage fjernstyring af en computer. En RAT kan være et legitimt værktøj (for eksempel til fjernfejlfinding), men det kan også bruges af en hacker til at overtage en maskine. I dette tilfælde udføres introduktionen af ​​RAT på maskinen, der skal kontrolleres uden brugerens viden. I modsætning til hvad vi nogle gange læser, står T i RAT ikke for Trojan, men Tool .
• De dekompression bomber ikke indeholder malware, men kan forveksles med trojanerne fordi begrebet beholder også kommer i spil. Dette er en komprimeret fil (en zip-fil , for eksempel) størrelse rimeligt, så længe det ikke er åbnet. Men når brugeren forsøger at dekomprimere den, genererer den en fil med gigantisk størrelse. Denne "eksplosion" får computeren til at bremse eller gå ned og mætte harddisken med unødvendige data. Selv om dette er ondsindede containere, har dekompressionsbomber ikke noget at gøre med trojanske heste. Faktisk bærer de ikke nogen uafhængig parasit, de mætter maskinen med tilfældige data.
• Trojan Stealer, mere specialiseret i datatyveri og især onlinekonti (e-mail, sociale netværk eller endda bankkonti). Præfikset, der bruges af antivirus, kan derefter være Trojan.PWD, hvilket betyder PWD- adgangskode til adgangskode.

Mulige symptomer på en infektion

• Unormal aktivitet på netværkskortet eller harddisken (data indlæses, når der ikke er nogen brugeraktivitet).
• Nysgerrige bevægelser af musen.
• Uventede åbninger af programmer eller CD / DVD-afspiller .
• Gentagne systemnedbrud.
• Uventet nedlukning eller genstart af computeren.
• Usædvanlig beskedadfærd på skærm eller vinduer
• Usædvanlig adfærd i betjeningen af ​​computeren, såsom at ændre museknappernes rolle eller ændre lydafspillerens lydstyrke.
• Utilsigtet åbning eller lukning af vinduer eller software.
• Programmer starter eller afslutter deres udførelse uventet.
• Browseren har adgang til bestemte websteder alene.
• Tilstedeværelsen af ​​andre programmer, der ikke med vilje blev installeret (inklusive malware).
• Tyveri af personlige oplysninger: personlige eller bankoplysninger, adgangskoder ...
• Sletning, ændring eller overførsel af filer (download eller upload).
• Kørsel eller stop af en proces.
• Keylogging (se Keylogger )
• Usædvanlige skærmbilleder .
• Ledig plads på harddisken optaget af unødvendige filer.

Eksempler

• Stik23
• Vundo (også kaldet Virtumonde)
• LANfiltrator
• Tilbageblik
• Y3k RAT (inaktiv)
• Hades-RAT
• Tilbage åbning
• Dyr
• Netbus
• ZeroAccess
• Koobface

En liste over de mest aktive Trojan Bankers i 2016, der specialiserer sig i bankkontotyveri:

• Zeus
• Spyeye
• Dyre
• Ursnif aka (Papras, ouVoslik)
• Dridex.
• Vawtrak

Noter og referencer

• Denne artikel er hovedsageligt taget fra artiklen viruslist.com

1. "  Interview med mundtlig historie med Daniel J. Edwards  " , Charles Babbage Institute,2. juli 2013
2. Ken Thompsom , "  UNIX PROGRAMMER'S MANUAL,  " ,3. november 1971(adgang til 28. marts 2020 )
3. (in) Paul A. Karger og Roger R. Schell, "  Multics Security Evaluation: Vulnerability Analysis, ESD-TR-74-193  " , HQ Electronic Systems Division: Hanscom AFB, MA , Vol.  II ,Juni 1974( læs online )
4. (i) David M. Jordan, "  Multics Data Security  " , Scientific Honeyweller , vol.  2 n o  2Juni 1981( læs online )
5. (i) Ken Thompson, "  Refleksion over Trusting Trust  " , Common. ACM , bind.  27, nr .  8,1984, s.  761-763 ( læs online ).
6. (i) Paul A. Karger og Roger R. Schell, "  Tredive år senere: Erfaringer fra Multics Security Evaluation  " , CRGBA ,2002, s.  119-126 ( læs online )
7. Karger og Schell skriver endda, at Thompson tilføjede denne reference i en senere version af Turing-konferencen (i) Ken Thompson, "  It Trusting Trust  " , Unix Review , bind.  7, nr .  11,November 1989, s.  70-74
8. (in) "  Ulovlig streaming og cybersikkerhedsrisici: en farlig status quo?  » , På documentcloud ,efteråret 2014
9. "  Nyttelast  " på Assiste.com ,10. januar 2019
10. (i) "  Trojan Horse  " på Webopedia
11. (in) "  Hvad er forskellen mellem vira, orme og trojanske heste?  » , På Symantec ,12. januar 1999
12. Faktisk bør brugeren huske sætningen fra Laokoon citeret af Virgil om den trojanske hest: "Jeg er bange for grækerne, selv når de giver mig gaver" .
13. "  Backdoor.Lanfiltrator  " , Symantec-dato ikke offentliggjort (adgang til 5. februar 2011 )
14. "  BD Y3K RAT 1.1  " , datoen for Symantec ikke offentliggjort (adgang til 5. februar 2011 )

Se også

Relaterede artikler

• Malware
• Social engineering (informationssikkerhed)
• Injektor

eksterne links

• Liste over havne, der bruges mod trojanske heste
• Sådan fungerer en trojan