Troyanos y Puertas Traseras

TALLER DE HACKING ETICO
Universidad de Santiago de Chile
CURSO HACKING ETICO II WALDO GOMEZ

waldogomez@redinfo.cl
Septiembre 2016
TEMARIO HACKING ETICO II
Denegacin de Servicio
Troyanos y puertas traseras
Vulnerabilidades en apliaciones
Web
Evadiendo IDS y Firewalls
Crackeo de contraseas Web

Septiembre 2016
CAPITULO 01
TROYANOS Y PUERTAS TRASERAS
Diplomado Peritaje Informtico

Septiembre 2016
TERMINOS DE REFERENCIA
Un Troyano o Caballo de Troya es:
Un programa legtimo que contiene un programa no
autorizado. Este realiza funciones desconocidas
(probablemente no gratas) para el usuario
Un programa legitimo que ha sido alterado con cdigo no
autorizado. Este realiza funciones desconocidas
(probablemente no gratas) para el usuario
Cualquier programa que aparente realizar una funcin
necesaria pero que realiza funciones desconocidas (y
definitivamente no gratas) para el usuario

Septiembre 2016
COMO TRABAJAN?
El atacante obtiene acceso una vez que el sistema est en

linea.
Una vez dentro del sistema troyanado, el atacante puede
realizar ataques de diferentes tipos.

Septiembre 2016
TIPOS DE TROYANOS
De acceso remoto
De envo de passwords
Keyloggers
Destructivos
De ataques de denegacin de servicio (DoS)
Proxy/Wingate
De FTP
Inhibidores de deteccin

Septiembre 2016
MODOS DE TRANSMISION
ICQ
IRC
Archivos adjuntos por correo electrnico
Acceso fsico
Vulnerabilidades en software de navegadores y correo
electrnico
NetBIOS (Carpetas compartidas)
Programas falsos
Software libre y sitios no confiables

Septiembre 2016
HERRAMIENTA: QAZ
Es un compendio de virus que se esparcen sobre la red
Es tambin una puerta trasera o backdoor que habilita a
un usuario remoto, conectarse y controlar el computador a
travs del puerto 7597
Puede ser enviado por correo.
Renombra el notepad a note.com
Modifica la llave de registro:
HKLM/software/Microsoft/Windows/CurrentVersion/Run

Septiembre 2016
HERRAMIENTA: Tini
http://ntsecurity.nu/toolbox/tini
Es un troyano liviano que pesa solamente. Ocupa un
mnimo de ancho de banda para acceder al equipo vctima
y utiliza un pequeo espacio en disco duro.
Escucha en el puerto 7777 y corre una consola cuando
alguien se conecta a este puerto. El nmero del puerto es
fijo y no puede ser cambiado. Esto lo hace fcil de detectar.
Simplemente conectndonos con telnet al puerto 7777
tendremos la consola

Septiembre 2016
HERRAMIENTA: Donald Dick

Es una herramienta que habilita al usuario controlar un
computador a travs de la red.
Usa una arquitectura cliente-servidor que reside en el
computador de la vctima.
El atacante utiliza el cliente para enviar comando a travs
de TCP hacia la vctima, que escucha el puerto 23476 o el
23477

Septiembre 2016
WRAPPERS (Envoltorios)
Cmo puede un atacante instalar un troyano?
WRAPPERS
Un wrapper inserta un troyano en una aplicacin EXE
Ambos programas se mezclan entre si en un solo archivo.
Cuando el usuario ejecuta el exe, se instala el troyano.
El usuario slo ve la ltima aplicacin.

Septiembre 2016
HERRAMIENTA: Silk Rope

http://www.h20hackerz.co.uk/index2.htm
Silk Rope es un programa wrapper y tiene una interface de usuario
fcil de usar.
Silk rope une el instalador de troyano con un programa que puedes
elegir, guardando el resultado como un archivo nico.
El cono es el cono genrico de instalar un programa.

Septiembre 2016
HERRAMIENTA: IconPlus
IconPlus puede ser usado para cambiar conos en archivos EXE.

Septiembre 2016
HERRAMIENTA: Restorator

Septiembre 2016
HERRAMIENTA: Empaquetamiento WordPad

Septiembre 2016
Infectando a travs del CD-ROM

Cuando instala un CD en el dispositivo de CD-ROM, se ejecuta
automticamente con algunas interfaces establecidas. Un archivo
Autorun.inf en dicho CD es responsable de esta accin, la que se
vera as:
[autorun]
open=setup.exe
icon=setup.exe
Por lo tanto, es totalmente posible que mientras se ejecuta el
programa real establecido, se ejecute un troyano con mucha facilidad.
SUPRIMIR la funcin de Auto-Inicio, haciendo lo siguiente:
Start button-> Settings-> Control Panel-> System-> Device Manager->
CDROM-> Properties-> Settings
Septiembre 2016
HERRAMIENTA: Whack-A-Mole
Es el vehculo de entrega ms comn
para troyanos del tipo Servidor; un
juego llamado Whack-a-mole, que es
un ejecutable nico llamado
whackamole.exe
Whack a mole instala el troyano y
ejecuta el programa en cada reinicio.

Septiembre 2016
Herramienta: Firekiller 2000

FireKiller 2000 eliminar (si se ejecuta) cualquier software resistente de
proteccin.
Por ejemplo, si tienes el antivirus de auto escaneo Norton en la barra de
herramientas, y ATGuard Firewall activado, este programa ELIMINAR
ambos programas en ejecucin y ambas instalaciones sern
INUTILIZABLES en el disco duro; lo que requerir una reinstalacin
para restaurar.
Trabaja con los principales software de proteccin como AtGuard,
Conseal, Antivirus Norton, Antivirus McAfee, etc.
Dato: salo con un archivo exe para unirlo a un troyano antes de unir
este archivo (troyano y firekiller 2000) a algn otro ejecutable.

Septiembre 2016
Tunneling ICMP
Los canales ocultos son mtodos en los que un atacante puede ocultar
la informacin en un protocolo que es indetectable.
Los canales ocultos se basan en tcnicas llamadas tunneling, las que
permiten que un protocolo se transfiera a otro protocolo.
Tunneling ICMP es un mtodo que utiliza el echo request y reply como
transmisin de cualquier carga til, un atacante lo puede utilizar para
intentar acceso furtivo o para controlar un sistema comprometido.

Septiembre 2016
Herramienta: Loki
www.phrack.com
Loki fue escrito por daemon9 para proveer acceso a nivel de consola a
travs de ICMP, haciendo mucho ms difcil detectar si las puertas
traseras estn basados en TCP o en UDP.
Respecto a la red, una serie de paquetes ICMP son lanzados hacia
adelante y atrs: respuesta Ping-Pong. En lo que respecta al atacante,
los comandos se pueden tipear en el cliente loki y ejecutar en el
servidor.

Septiembre 2016
Contramedidas Loki
Configure su firewall para bloquear paquetes eco de entrada y salida
ICMP
Al Bloquear ICMP se deshabilitar el ping y podra causar
inconvenientes.
Por lo tanto, se necesita decidir cuidadosamente entre seguridad v/s
conveniencia.
Loki tambin tiene la opcin de ejecutar sobre el puerto 53 UDP
(consultas DNS)

Septiembre 2016
Contramedidas para puertas traseras

La mayora de los productos antivirus comercializados pueden escanear
y detectar automticamente programas de puertas traseras antes de
que puedan causar dao (por ejemplo, antes de accesar un disco,
ejecutar un exe o descargar correo).
Una herramienta econmica llamada Cleanet (
http://www.moosoft.com/) puede identificar y erradicar 1000 tipos de
programas de puertas traseras y troyanos.
Eduque a sus usuarios para que no instalen aplicaciones descargadas
desde internet ni adjuntos de correo electrnico.

Septiembre 2016
Herramienta: TCP View

Septiembre 2016
Herramienta: Process Viewer

Septiembre 2016
Inzider Rastrea procesos y puertos

http://ntsecurity.nu/
Es una herramienta muy til que registra los procesos en Windows y los
puertos en que escucha.
Por ejemplo, BO2K se inyecta dentro de otros procesos, de modo de
no ser visible en el Administrador de Tareas como un proceso separado.
Cuando se ejecute Inzider, veremos que el puerto BO2K se ha adherido
al proceso.

Septiembre 2016
Herramienta: Kill Disk

http://www.killdisk.com/downloadfree.htm
La serie de programas Kill Disk ofrece la capacidad de destruir completa y
permanentemente toda la informacin de cualquier sistema basado en
Windows. En otras palabras el 90% de los PC del mundo.
Una vez ejecutado el programa, comenzar a comerse el disco duro y/o
infectar y reiniciar el disco duro en pocos segundos.
Despus de reiniciar todos los discos duros vinculados al sistema, estos
seran formateados (de manera recuperable) dentro de slo 1 a 2 segundos,
dependiendo del tamao del disco duro.

Septiembre 2016
Verificacin de archivos de sistema

En Windows 2000 se present Windows File Protection (WFP) que
protege a los archivos del sistema que fueron instalados, de la
sobreescritura.
Los hashes en los archivos se pueden comparar con los hashes SHA-1
para verificar su integridad en comparacin con los originales de
fabricacin
sigVerif.exe puede realizar este proceso de verificacin.

Septiembre 2016
Herramienta: Tripwire
Tripwire calcular automticamente los hashes criptogrficos de todos
los archivos de sistema claves, o de cualquier otro archivo que se
desee monitorear ante modificaciones.
El software Tripwire trabaja creando una referencia instantnea
(snapshot) del sistema.
Peridicamente escanear dichos archivos, recalculando la informacin
y viendo si se ha cambiado algo de la informacin. Si existe algn
cambio se activa una alarma.

Septiembre 2016
Resumen
Los troyanos son partes dainas de cdigo que transportan un software cracker al
sistema objetivo.
Los troyanos se usan principalmente para obtener y mantener acceso al sistema
objetivo.
Generalmente los troyanos residen profundo en el sistema y realizan cambios de
registro que les permiten cumplir su propsito como una herramienta de
administracin remota.
Entre los troyanos ms conocidos estn back orifice, netbus, subseven, beast, Dark
Comet RAT etc.
El conocimiento y las medidas de prevencin son la mejor defensa contra los
Troyanos.

Septiembre 2016
CAPITULO 01
TROYANOS Y PUERTAS TRASERAS
Diplomado Peritaje Informtico

Septiembre 2016

Troyanos y Puertas Traseras

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Troyanos y Puertas Traseras

Uploaded by

Copyright:

Available Formats

TALLER DE HACKING ETICO

Universidad de Santiago de Chile

CURSO HACKING ETICO II WALDO GOMEZ

TEMARIO HACKING ETICO II