Trojanische Pferde und Hintertüren (Backdoors)

Neben den bekannten Backdoor-Programmen NetBus und Back Orifice gibt es noch eine ganze Reihe anderer, weniger bekannter Malware in dieser Kategorie.
Die Backdoor-Programme wurden anfangs noch zu den Trojanischen Pferden gerechnet, die man unter Ignorieren der historischen Begebenheiten auch als Trojaner bezeichnet. Dieses Wort ist einfach kürzer und hat sich wohl hauptsächlich deshalb durchgesetzt.

Heute unterscheidet man zwischen den Trojanern und den Backdoors nach folgenden Kriterien:

Trojanische Pferde (Trojaner)

Als Trojaner bezeichnet man diejenigen Programme, die (als Nutzprogramm getarnt) im Verborgenen Daten ausspähen und diese an einen Angreifer übermitteln, z.B. per E-Mail, FTP, ICQ, IRC, NNTP (Newsgroups). Genau genommen sind auch die Programme, die Backdoors einschleusen, als Trojanische Pferde anzusehen.

Hintertüren (Backdoors)

Im Unterschied zu den Trojanern eröffnen Backdoors dem Angreifer den direkten Zugriff auf den angegriffenen Rechner, d.h. er kann Daten 'live' ausspionieren oder manipulieren. Meist sind eher als Spielerei anzusehende Zusatz-'Features' wie Öffnen/Schließen des CD-ROM-Laufwerks vorhanden. Die 'interessanteren' Fähigkeiten sind:

• Tastatureingaben protokollieren
• Tastatureingaben ausführen
• Bildschirmfotos übertragen (Screen-Shots) oder gar eine 'Live-Übertragung' des Bildschirminhalts
• Dateien übertragen
• Dateien erstellen, bearbeiten, löschen
• Netzwerkverbindungen herstellen, beenden
• Programme starten, beenden
• Dienste starten, beenden
• Rechner/Betriebssystem zum Absturz bringen

Backdoors warten typischerweise auf eine Kontaktaufnahme von außen, in dem sie an bestimmten IP-Ports lauschen, teils TCP-, teils UDP-Ports. Eine Übersicht über die von Trojanern und Backdoors genutzten Ports finden Sie hier

Viele, aber längst nicht alle Trojaner und Backdoors werden inzwischen von guten Antivirus-Programmen erkannt, meist schon, bevor sie sich installieren können oder kurz darauf. Programme zum Netzwerk-Monitoring leisten dem Kundigen ebenfalls gute Dienste beim Aufspüren verdächtiger Aktivitäten, in dem sie alle Ports überwachen und deren Status anzeigen.

Der beste (aber leider auch aufwendigste und/oder teuerste) Schutz vor solcher Malware ist eine gut konfigurierte Firewall, die es erlaubt, jeden dieser Ports zu sperren und nur diejenigen freizugeben, die für legitime Dienste benötigt werden. Da Backdoors z.T. auch Ports benutzen, die eigentlich von normalen IP-Diensten verwendet werden, sollte die Freigabe dieser Ports auf der Basis von Regeln erfolgen, die den Mißbrauch unterbinden, ohne die Gebrauchsfähigkeit des Netzwerks einzuschränken.

Weitere Infos findet Ihr unter Links.