SEGURIDAD EN BASES DE DATOS

(233009_17)

Ataque Troyano LittleWitch

Presentado por: Miguel Avila Gualdron

Bogotá D.C. 23 Abril 2014

Especialización en Seguridad Informática

UNAD

Descripción del virus

Littlewitch es un troyano que también posee características de backdoor, permite llevar a cabo intrusiones y ataques contra el ordenador afectado, como pueden ser: captura de pantallas, recogida de datos personales, etc. Además, por sus características de backdoor, permite a los piratas informáticos acceder demanera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Configurar VirtualBoxPrimero procederemos a virtualizar y ejecutar 2 máquinas con Windows XP.

Descargar LittleWitchSe compone de dos archivos. "servidor" y "cliente".Servidor: este archivo se le enviara a la persona que se quiera infectar.Cliente: este archivo es con el que se trabajara, para manipular la maquina infectada.

Ejecutar ClienteEn la casilla Setup, configuramos el Servidor, que será enviado a la persona que queramos infectar y lo guardamos.Password: Contraseña de acceso.Uin: Número de ICQ para alertarnos.Mensaje de error: Mensaje de confusión.LWserver: Dirección del archivo Servidor.

Método de PropagaciónLittleWitch no utiliza ningún método específico para difundirse, puede utilizar cualquiera de los métodos de propagación (CD-ROM, mensajes de correo electrónico, descargas de Internet, transferencia de ficheros a través del FTP, etc.) Para este ejemplo utilizaremos la opción de documentos compartidos como si fuera un programa normal, (Skype).

Infección por VirusUna vez que la persona a la que vamos a infectar lo ejecute, observamos que el mensaje de error que le configuramos sale a la luz con el fin de disimular nuestro ataque.

Proceso OcultoSi observamos, el administrador de procesos ejecuta, Rundll.exe, nombre con el que nuestro virus se está ejecutando.

Averiguando IPComo en este ejemplo no tenemos ICQ, pero sabemos que el equipo infectado se encuentra dentro de nuestra Red, procederemos a ejecutar en el cliente, el rango IP de nuestra red con el fin de encontrar la maquina infectada.Resultado: 192.168.42.75 (Estoy infectado, pero con Password).

Conectar con el ServerColocamos la IP 192.168.42.75 y la contraseña en nuestro Cliente y le damos click en Conectar, ya podemos comenzar nuestro ataque, para esta práctica utilizamos algunas de las tantas opciones que nos ofrece este virus.

Opción LWExplorerEscribimos Server: 192.168.42.75 y el Puerto: 31339, (También 31340 - 6711) y pulsamos conectar. Procedemos a crear una carpeta (Driver) y copiamos una foto (Imagen) con esto podemos: ingresar, sacar, borrar archivos y carpetas.

Opción KeylogPodemos conectarnos con el PC infectado y observar lo que se esté digitando en el teclado.

Opción LWChatIntroduciendo un nombre y escogiendo el servidor infectado, podremos chatear con la persona infectada.

Opción DialogNos permitirá enviar un cuadro de dialogo en una ventana de alerta.

Opción BromaTenemos una cantidad de juegos para enloquecer a la persona infectada, por ejemplo abrir páginas Web, enloquecer el mouse, cambiar la imagen del papel tapiz, etc…

Opción OtrosEncontramos Matar Lw-Server, con el fin de borrar las huellas del programa.

Infección y Efectos

Cuando LittleWitch se ejecuta, realiza las siguientes acciones:

Se copia a sí mismo como %system%\Rundll.exe Crea el fichero %windir%\Usr.dat. Este archivo almacena las

contraseñas cifradas. El troyano localiza el directorio de instalación de Windows

(por defecto C:\Windows o C:\Winnt ) y copia el fichero en esa ubicación.

El troyano localiza el directorio 'System' y se copia a sí mismo en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Infección y EfectosPara ejecutarse automáticamente cada vez que se reinicia el sistema, el virus crea el valor:

Rundll Rundll.exe en la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En caso de que el Sistema Operativo sea Windows 95/98/Me, LittleWitch intenta acceder a la caché de contraseñas almacenada en la máquina. Esta caché incluye contraseñas del moden y de marcación (dialup), de URL, compartidas, y otras.

El troyano notifica su instalación a la parte cliente mediante ICQ pager.

Una vez instalado, el troyano espera los comandos del cliente remoto.

Infección y EfectosEstos comandos permiten al atacante realizar cualquiera de estas estas acciones:

Recopilar información del sistema y red, incluidos nombres de usuario y contraseñas de red almacenadas en caché.

Imprimir textos, ejecutar ficheros multimedia, abrir y cerrar la bandeja de la unidad de CD-ROM.

Ocultar iconos, botones y la barra de tareas. Encender y apagar el monitor. Interceptar información confidencial mediante las pulsaciones

del teclado. Conocer todos los procesos activos en el sistema. El dialogo entre LittleWitch y el cliente conectado utiliza

mensajes en lenguaje español.

Contramedidas y Desinfección

Uso de antivirus actualizado. Eliminar el valor añadido a la entrada del registro indicada,

evitando así la ejecución automática del troyano cada vez que se reinicie el sistema.

No confiar de mensajes electrónicos sospechosos Siempre tener claro la información que se busca y los sitios

Web que se acceden. No confiar en programas que no cuenten con los certificados

mínimos de legitimidad.

GRACIAS POR SU ATENCIÓN

SEGURIDAD EN BASES DE DATOS

(233009_17)