5._troyanos_y_puertas_traseras

CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

5.- Troyanos y puertas traseras.

aula.badiatech.org 1


Contenido del Tema

5.1 Troyanos y Puertas traseras.5.1.1 ¿Qué es una puerta trasera?.5.1.2 ¿Qué es un troyano?.5.1.3 ¿Qué se entiende por canales abiertos y encubiertos?.

5.1.4 Lista los diferentes tipos de troyanos.5.1.5 ¿Cómo funciona la conexión inversa en los troyanos?.

5.1.6 Comprender como funciona un troyano basado en netcat.5.1.7 ¿Qué es el “Wrapping”?.5.1.8 Kits para la construcción de troyanos y fabricantes de troyanos.

¿Cuáles son las contramedidas utilizadas para la prevención de troyanos?.5.1.9 ¿Cuáles Son las Técnicas para la Prevención de Troyanos?.5.1.10 Comprender las técnicas evasivas de los troyanos.5.1.11 Subobjetivo de verificación de ficheros del Sistema frente las contramedidas de los troyanos. 5.2 Virus y Gusanos. 5.2.1 Entender las diferencias entre un Virus y un Gusano.

5.2.2 Conocer los tipos de virus.5.2.3 Comprender las técnicas de evasión del antivirus.5.2.4 Comprender como un Virus se extiende e Infecta un Sistema.5.2.5 Comprender las técnicas de evasión del antivirus.

5.2.6 Conocer métodos de descubrimiento de virus.

Objetivos del Tema.

Al terminar el tema el Alumno deberá ser capaz de:

– Conocer la definición de un troyano.– Conocer la definición de un canal encubierto.– Conocer los canales tunelizados ICMP más comunes.– Conocer la definición de puerta trasera.– Saber utilizar un troyano.– Conocer las diferencias entre virus y gusano.– Conocer las diferencias entre los diferentes virus.



5.1 Troyanos y Puertas traseras.

Los troyanos y las puertas traseras son dos modos que un hacker tiene para poder ganar el acceso a un sistema objetivo. Estos tienen muchas variedades diferentes, pero todos ellos tienen una cosa en común: Deben ser instalados por otro programa, o el usuario debe ser engañado e incitado a instalar el troyano en secreto dentro de su sistema. Los troyanos y las puertas traseras son herramientas potencialmente dañinas en el kit de herramientas del hacker ético y deberían ser usadas juiciosamente para probar la seguridad de un sistema o red.

Los virus y los gusanos pueden ser tan destructivos en sistemas y redes como los troyanos y las puertas traseras. De hecho, muchos virus llevan ejecutables que realmente son troyanos y pueden infectar un sistema donde crean una puerta trasera que posteriormente puede ser utilizada por hackers. En este temas hablaremos de las semejanzas y diferencias entre troyanos, puertas traseras, virus y gusanos. Todos estos tipos del código malicioso o malware son conocimientos importantes para los hackers éticos porque son comúnmente usados para comprometer sistemas. (reescribir desde el último punto, no se entiende)

5.1.1 ¿Qué es una puerta trasera?.

Una puerta trasera es un programa o un conjunto de programas relacionados que un hacker instala en un sistema objetivo para permitir el acceso al sistema en un momento posterior. El objetivo de una puerta trasera es quitar pruebas de la entrada inicial de los archivos históricos del sistema. Un hacker puede utilizar una puerta trasera para mantener el acceso a una máquina a la cual se haya conseguido acceso aun si la intrusión ha sido descubierta y remediada por el administrador de sistema posteriormente.

El agregar un nuevo servicio es la técnica más común para disfrazar puertas traseras en el sistema operativo de Windows. Antes de la instalación de una puerta trasera, un hacker debe investigar el sistema para encontrar los servicios que corren. El hacker podría añadir un nuevo servicio y darle un nombre discreto.

Esta técnica es eficaz porque cuando una tentativa de corte ocurre, el administrador de sistema por lo general se concentra en buscar algo extraño en el sistema, dejando todos los servicios existentes sin comprobar. La técnica es simple, pero eficiente: el hacker puede regresar en la máquina sin llamar mucho la atención. La puerta trasera corriendo como servicio puede dar privilegios de administrador al hacker.

La Administración Remota de Troyanos (RATs) son una clase de puerta trasera que solía permitir el control a distancia sobre una máquina comprometida. Estos programas, proporcionan, prometen o suelen ofrecer funciones útiles al usuario y, al mismo tiempo, abren una puerta trasera en el ordenador de la víctima. Una vez que el RATs es ejecutado, se comporta como un archivo ejecutable, que se relaciona con ciertas teclas de registro, responsables de comenzar procesos y a veces crear sus propios servicios de sistema. A diferencia de puertas traseras comunes, Los RATs y las Puertas traseras siempre vienen embalados con dos archivos: el archivo de cliente y el archivo de servidor. El servidor es instalado en la máquina infectada, y el cliente está usado por el intruso para controlar el sistema comprometido.



5.1.2 ¿Qué es un troyano?.

Un troyano es un programa malicioso camuflado como un programa benigno. Los troyanos suelen venir ocultos en otro programa o paquete de software. Una vez instalado en un sistema, no solo puede causar el robo de datos y la pérdida, fallos del sistema o desaceleración, sino que también se puede utilizar como puntos de lanzamiento de otros ataques, como ataques distribuidos de denegación de servicio (DDOS). Muchos de los troyanos son utilizados para manipular archivos en el ordenador de la víctima, gestionar los procesos, de forma remota dar órdenes al sistema, las pulsaciones de teclado interceptar, ver imágenes de la pantalla y reiniciar o apagar los sistemas infectados. Los troyanos sofisticados pueden conectarse directamente a su autor aunque normalmente se conectan a un canal del Internet Relay Chat (IRC).

Los troyanos cabalgan a lomos de otros programas y suelen instalarse en un sistema sin el conocimiento del usuario. Un troyano puede ser enviado a un sistema víctima de muchas maneras: como un Instant Messenger (IM), IRC, un archivo adjunto de correo electrónico, o utilizando NetBIOS para compartir archivos. Muchos programas falsos que hacen ver que son software legítimo como freeware, herramientas anti-spyware, optimizadores del sistema, protectores de pantalla, música, imágenes, juegos y vídeos se pueden utilizar para infectar un equipo víctima con tan sólo ser descargados.

Acciones tales como los programas de arranque y funcionamiento sin la iniciación del usuario, la apertura o cierre del CD-ROM, que los fondos de escritorio o la configuración del protector de pantalla cambien por sí mismos; el ratón moviéndose por la pantalla solo o ver como el navegador abre sitios web extraños o inesperados son todos indicios de una infección por un troyano.

Por lo que cualquier acción que sea sospechosa o no iniciada por el usuario puede ser un indicio de infección.

5.1.3 ¿Qué se entiende por canales abiertos y encubiertos?

Un canal abierto es la forma normal y legítima que tienen los programas de comunicación dentro de un sistema informático o red. Un canal encubierto, utiliza los programas o vías de comunicación de distintas formas a las que se esperan normalmente.

Los troyanos pueden utilizar la vía encubierta para comunicarse. Algunos troyanos cliente utilizan la vía encubierta para enviar instrucciones al servidor desde el sistema comprometido. Esto a veces hace que la comunicación de los troyanos sea difícil de descifrar y entender.

Los canales ocultos se basan en una técnica denominada tunelización, que permite a un protocolo hacerse pasar por otro protocolo. Por ejemplo el Internet Control Message Protocol (ICMP) es un método de utilización del eco ICMP de solicitud y del eco de respuesta que un atacante puede utilizar para camuflar el tráfico.



5.1.4 Lista los diferentes tipos de troyanos.

Los troyanos pueden ser creados y utilizados para realizar diferentes ataques. Algunos de los tipos más comunes de troyanos son los siguientes:

- Troyanos de acceso remoto (RAT) - utilizado para obtener acceso remoto a un sistema remoto.

- Troyanos para el envío de datos - se utilizan para buscar datos en un sistema para posteriormente entregarlos al hacker.

- Troyanos destructivos - se utilizan para borrar o corromper archivos en un sistema.

- Troyanos de denegación de servicio - se utilizan para lanzar un ataque de negación de servicios

- Troyanos Proxy - se utilizan para crear túneles por donde enviar el tráfico o lanzar ataques a través de otro sistema.

- Troyanos FTP – se utilizan para crear un servidor FTP para copiar archivos en un sistema.

- Troyano desactivador de la seguridad - se utilizan para evitar el antivirus.

5.1.5 ¿Cómo funciona la conexión inversa en los troyanos?.

Los troyanos que usan la conexión inversa permiten a un atacante acceder de una máquina en la red interna desde el exterior. El hacker puede instalar un troyano en un sistema simple de la red interna, como un servidor WWW de shell inversa. Sobre una base regular (generalmente cada 60 segundos), el servidor interno intenta obtener acceso al sistema principal externo para recoger órdenes. Si el atacante ha escrito algo en el sistema principal, este comando se recupera y se ejecuta en el sistema interno. El WWW de shell inversa utiliza HTTP estándar. Es peligroso porque es difícil de detectarse, ya que se ve como un cliente navegando por la Web desde la red interna.

Existen varios programas que utilizan este tipo de conexión, algunos son: TROJ_QAZ, Donald Dick, Back Orifice 2000,Tini, NetBus o Subseven.

5.1.6 Comprender como funciona un troyano basado en netcat.

Netcat es un troyano que usa una interfaz de línea de ordenes para abrir TCP o puertas UDP en un sistema objetivo. Un hacker puede entonces conectarse mediante telnet a aquellos puertos libre y ganar el acceso a la shell del sistema objetivo.



En linux por ejemplo esto se conseguiría con el siguiente comando:

$ nc -l -p 5600 |/bin/bash

Mientras que en windows sería así:

C:\nc 127.0.0.1 4444 -e cmd.exe

5.1.7 ¿Qué es el “Wrapping”?.

El Wrapping (o envoltura) son paquetes de software que son utilizados para esconder un troyano. Tanto el software legítimo y el troyano se combinan en un único archivo ejecutable e instalados cuando se ejecuta el programa.

En general, los juegos u otras instalaciones de animación se utilizan como wrapping. De esta manera, el usuario no se da cuenta de la transformación más lenta que ocurre mientras el troyano se instala en el sistema, el usuario sólo ve la aplicación legítima que esta instalando.

Algunas herramientas que utilizan esta técnica son: Graffiti, Silk Rope 2000, EliTeWrap o IconPlus.

5.1.8 Kits para la construcción de troyanos y fabricantes de troyanos.

Varias herramientas generadores de troyanos permiten a hackers crear su propio Troyanos. Tales juegos de herramientas ayudan a hackers a construir Troyanos que pueden ser personalizados. Estas herramientas pueden ser peligrosas y pueden salir el tiro por la culata si no sonejecutadas correctamente. Los nuevos troyanos creados por hackers por lo general tienen la ventaja añadida de ser pasados por alto por herramientas que escanean el virus y escanean del modo troyano porque ellos no hacen juego alguno sabe firmas. (reestructurar esta última parte) Algunos equipos troyanos disponibles en la red ??? son el Generador de Espía de Sena, el Equipo de Construcción de Caballo de Troya v2.0, Correo de Progenic Equipo de Construcción troyano, y caja de Pandora.

5.1.9 ¿Cuáles Son las Técnicas para la Prevención de Troyanos?

La mayor parte de programas antivirus tiene capacidades anti troyanos así como funcionalidad de retiro y descubrimiento de otros spyware. Estas herramientas



pueden escanear automáticamente discos duros en el arranque para descubrir programas ocultos y troyanos antes de que puedan causar daño. Una vez que un sistema es infectado, es difícil limpiarlo, pero existen varias herramientas para llevar a cabo tal propósito. Es importante usar aplicaciones comerciales para limpiar un sistema en vez de herramientas de programas de libre distribución o si son libres, que tengamos conciencia a ciencia cierta de que no es un software dañino. Además, estas herramientas pueden identificar puertas que han sido abiertas o archivos que han cambiado, información que puede ser muy útil.

5.1.10 Comprender las técnicas evasivas de los troyanos

La mejor técnica para la prevención de troyanos y puertas traseras es la de concienciar y educar a los usuarios para que no instalen herramientas o aplicaciones sin el consentimiento del administrador de sistemas o la persona responsable.

Muchos administradores por estos motivos no da privilegios a los usuarios para que efectúen dichas instalaciones.

También existen varias herramientas para el descubrimiento de puertos extraños, procesos corriendo en la máquina, etc. Varios programas que tienen este fin son: Fport, TCPView, PrcView, Inzider, Dsniff o Tripwire.

5.1.11 Subobjetivo de verificación de ficheros del Sistema frente las contramedidas de los troyanos.

Windows 2003 incluye un rasgo llamado Protección de Archivo de Windows (WFP) que previene el reemplazo de archivos protegidos. WFP comprueba la integridad del archivo cuando se intenta sobrescribir un SYS, DLL, OCX, TTF, o archivo EXE.

Otra herramienta existente llamada sigverif sirve para ver los ficheros firmados por Microsoft en el sistema. Para utilizar esta herramienta deberemos ejecutarla desde ejecutar en el menú inicio. (expresarlo de otra forma)

System File Checker es una herramienta basada en la línea de ordenes utilizada para comprobar si un troyano ha sustituido a otro archivo. Si el sistema detecta que un archivo ha sido sobrescrito, recupera un archivo bueno conocido de la carpeta Windows \ system32 \ dllcache y sobrescribe el archivo no verificado. El comando para ejecutar el sistema de archivos Checker es sfc / scannow.

5.2 Virus y Gusanos

Los virus y los gusanos pueden ser usados para infectar un sistema y modificarlo para permitir que un hacker gane el acceso.

Muchos virus y gusanos llevan troyanos y puertas traseras. De esta manera un virus



o gusano son “portadores” y permiten que código malicioso, como troyanos y puertas traseras sea transferido de sistema en sistema.

5.2.1 Entender las diferencias entre un Virus y un Gusano

Un virus y un gusano son similares ya que los 2 son software malicioso (malware). Un virus infecta a otro ejecutable y usa este programa de portador para poder extenderse. El código de un virus es inyectado en el programa que antes era benigno y es extendido cuando el programa es ejecutado.

Unos ejemplos de programas “portadores” de virus son macros, anexos de correo electrónico, juegos, y animaciones.

Un gusano es un tipo de virus, pero este se auto reproduce. Un gusano se extiende de sistema en sistema automáticamente, a diferencia de un virus que necesita de otro programa a fin de poder extenderse. Tanto los virus y los gusanos se ejecutan sin el conocimiento o el deseo del usuario final.

5.2.2 Conocer los tipos de virus

Los virus son clasificados según dos factores: según lo que infectan y como lo infectan. Un virus puede infectar los siguientes componentes de un sistema:

Sectores de sistema

Archivos

Macros (como macros de Microsoft Word)

Bibliotecas (archivos de sistema como DLL y archivos INI)

Clusters de disco

Archivos por lote (archivos BAT)

Código fuente

5.2.4 Comprender como un Virus se extiende e Infecta un Sistema

Un virus infecta por la interacción con un sistema exterior. Los virus son clasificados según su técnica de infección:



- Polymorphic viruses. Estos virus codifican el código de un modo diferente con cada infección y pueden cambiar a formas diferentes para tratar de evadir su descubrimiento.

- Stealth viruses. Estos esconden las características del virus real, como la modificación del tiempo y de la fecha del archivo para dificultar la detección del mismo.

- Fast and slow infectors. Estos pueden evadir el descubrimiento infectando muy rápidamente o muy despacio.

- Sparse infectors. Estos virus infectan sólo unos sistemas o aplicaciones.

- Armored viruses. Estos son codificados para prevenir su descubrimiento.

- Multipartite viruses. Estos virus ya son de un nivel mas avanzado, crean infecciones múltiples.

- Cavity (space-filler) viruses. Estos virus se agregan a áreas vacías de archivos.

- Tunneling viruses. Éstos son enviados vía un protocolo diferente o codificados para prevenir el descubrimiento o para permitir que pase por un cortafuegos.

- Camouflage viruses. Estos virus se hacen pasar por otro programa.

– NTFS and Active Directory viruses. Éstos expresamente atacan el sistema de archivo NT o al AD en sistemas Windows.

5.2.5 Comprender las técnicas de evasión del antivirus

Un atacante puede escribir un script o virus que no será descubierto por programas antivirus. El descubrimiento de los virus y su posterior eliminación están basados en una firma del programa. Hasta que el virus sea descubierto y las compañías de antivirus tengan la posibilidad de actualizar sus bases de datos, el virus no será detectado por el antivirus. Esto permite que un atacante evada el descubrimiento y la posterior eliminación del virus por parte del antivirus durante un periodo de tiempo

5.2.6 Conocer métodos de descubrimiento de virus.

Las siguientes técnicas son utilizadas para la detección de virus:

– Escaneo– Integridad usando los checksums.



– Buscando por la firma del virus.

El proceso para la detección y posterior eliminación del mismo es:

1. Detectar el ataque como un virus. No todo comportamiento extraño en un sistema debe ser atribuido a una infección por parte de un virus, ya que no siempre es así.

2. Trazar los procesos del programa usando utilidades como handle.exe, listdlls.exe, fport.exe, netstat.exe o pslist.exe y hacer un estudio sobre las coincidencias dadas entre los diferentes sistemas afectados.

3. Detectar el payload utilizado por el virus mirando los ficheros remplazados, creados o eliminados, cambios en atributos de ficheros existentes, etc.

4. Adquiera y aísle el vector de infección. Entonces, actualice sus definiciones de antivirus y escanee de nuevo todos los sistemas.

Conclusiones

El uso de virus y troyanos esta muy extendido y es una de las maneras más habituales para mantener la posición en un sistema (a parte del uso de rootkits).

Es por esto que estar familiarizado con este tipo de tecnología y saber mitigar su peligrosidad es algo obligatorio para el Hacker ético.

Práctica de Enumeración

Para una mejor comprensión de las diferentes herramientas se deberá realizar la práctica la cual estará colgada en el tema del curso.

Las prácticas se han hecho para que el mismo alumno pueda avanzar sin necesidad de un tutor, por lo que será el propio alumno quien evalúe el trabajo hecho.

En esta práctica en concreto se intentará familiarizar al alumno con las siguientes herramientas :

Loki/Lokid, TROJ_QAZ, Tini, Donald Dick, Netbus, SubSeven, BackOrifice 2000, BoSniffer, ComputerSpy Key Logger, Beast, CiberSpy, SubRoot, LetMeRule, Firekiller 2000, The Hard Drive Killer Pro, netcat, Graffiti, Silk Rope 2000, EliTeWrap, IconPlus, Fport, TCPView, PrcView, Inzider,

Tripwire, Dsniff, handle.exe, listdlls.exe, fport.exe, netstat.exe y pslist.exe


5._troyanos_y_puertas_traseras

Documents