Bundesamt für Sicherheit in der Informationstechnik

G 5.21 Trojanische Pferde

Ein Trojanisches Pferd, oft auch (eigentlich fälschlicherweise) kurz Trojaner genannt, ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Der Benutzer kann daher auf die Ausführung dieser Funktion keinen Einfluss nehmen - insoweit besteht eine gewisse Verwandtschaft mit Computer-Viren. Es ist jedoch keine Selbstreproduktion vorhanden. Als Träger für Trojanische Pferde lassen sich alle möglichen Anwenderprogramme benutzen. Aber auch Scriptsprachen, wie Batch-Dateien, ANSI -Steuersequenzen, REXX Execs und ISPF Command Tables bei z/OS-Betriebssystemen, Postscript und Ähnliches, die vom jeweiligen Betriebssystem oder Anwenderprogramm interpretiert werden, können für Trojanische Pferde missbraucht werden.

Die Schadwirkung eines Trojanischen Pferdes ist um so wirkungsvoller, je mehr Rechte sein Trägerprogramm besitzt.

Beispiele:

  • Ein geändertes Login-Programm kann ein Trojanisches Pferd enthalten, das Namen und Passwort des Benutzers über das Netz an den Angreifer übermittelt und dann an das eigentliche Login-Programm weitergibt. Solche Trojanischen Pferde sind z. B. bei Online-Diensten wie AOL oder T-Online aufgetreten.
  • Auch Bildschirmschoner, besonders solche, die aus dem Internet herunter geladen werden, können eine versteckte Funktion enthalten, mit der die eingegebenen Passwörter des angemeldeten Benutzers protokolliert und an einen Angreifer übermittelt.
  • Bei dem Programm Back Orifice handelt es sich um eine Client-Server-Anwendung, die es dem Client erlaubt, einen Windows-PC über das Netz fernzuwarten. Insbesondere können Daten gelesen und geschrieben sowie Programme ausgeführt werden. Eine Gefährdung entsteht dadurch, dass dieses Programm in ein anderes Anwendungsprogramm integriert und somit als Trojanisches Pferd verwendet werden kann. Wird das Trojanische Pferd gestartet und besteht eine Netzverbindung, so kann ein Angreifer die Fernwartungsfunktion von Back Orifice für den Benutzer unbemerkt benutzen. In diesem Zusammenhang ist auch das Programm NetBUS zu erwähnen, das ähnliche Funktionen bietet.
  • Mit Hilfe von Root-Kits für verschiedene Unix-Varianten, die manipulierte Versionen von Systemprogrammen wie ps, who, netstat etc. enthalten, ist es möglich, längere Zeit unbemerkt Hintertüren (so genannte Backdoors) offen zu halten, die einen unbemerkten Einbruch in das System ermöglichen und dabei die Angriffsspuren verstecken. Häufig werden u. a. die Dateien /sbin/in.telnetd, /bin/login, /bin/ps, /bin/who, /bin/netstat und die C-Libraries ausgetauscht.
  • Eine weitere Gefahrenquelle bei Unix-Systemen ist der "." in der Umgebungsvariable $PATH. Wenn das jeweils aktuelle Arbeitsverzeichnis (.) als Pfad in der Variable PATH enthalten ist, werden zunächst die dort befindlichen Programme ausgeführt. So könnte beim Auflisten des Inhaltes eines Verzeichnisses vom Superuser unbeabsichtigt ein darin enthaltenes modifiziertes "ls"-Programm mit root-Rechten ausgeführt werden.
  • Eine Möglichkeit, sich im z/OS-Betriebssystem höhere Rechte zu erschleichen, bietet sich dann, wenn für den Angreifer ein Update-Zugriff auf Dateien existiert, die entweder beim Logon-Vorgang durchlaufen (z. B. eine REXX EXEC) oder während der Verarbeitung allgemein benutzt werden (z. B. ISPF Command Tables). Der Angreifer kann dann den vorhandenen Code durch eigene Programmteile ersetzen.

Stand: 11. EL Stand 2009