Professional Documents
Culture Documents
Denegacin de Servicio
Vulnerabilidades en apliaciones
Web
CAPITULO 01
TROYANOS Y PUERTAS TRASERAS
TERMINOS DE REFERENCIA
Un Troyano o Caballo de Troya es:
Un programa legtimo que contiene un programa no
autorizado. Este realiza funciones desconocidas
(probablemente no gratas) para el usuario
Un programa legitimo que ha sido alterado con cdigo no
autorizado. Este realiza funciones desconocidas
(probablemente no gratas) para el usuario
Cualquier programa que aparente realizar una funcin
necesaria pero que realiza funciones desconocidas (y
definitivamente no gratas) para el usuario
COMO TRABAJAN?
TIPOS DE TROYANOS
De acceso remoto
De envo de passwords
Keyloggers
Destructivos
De ataques de denegacin de servicio (DoS)
Proxy/Wingate
De FTP
Inhibidores de deteccin
MODOS DE TRANSMISION
ICQ
IRC
Archivos adjuntos por correo electrnico
Acceso fsico
Vulnerabilidades en software de navegadores y correo
electrnico
NetBIOS (Carpetas compartidas)
Programas falsos
Software libre y sitios no confiables
HERRAMIENTA: QAZ
Es un compendio de virus que se esparcen sobre la red
Es tambin una puerta trasera o backdoor que habilita a
un usuario remoto, conectarse y controlar el computador a
travs del puerto 7597
Puede ser enviado por correo.
Renombra el notepad a note.com
Modifica la llave de registro:
HKLM/software/Microsoft/Windows/CurrentVersion/Run
HERRAMIENTA: Tini
http://ntsecurity.nu/toolbox/tini
Es un troyano liviano que pesa solamente. Ocupa un
mnimo de ancho de banda para acceder al equipo vctima
y utiliza un pequeo espacio en disco duro.
Escucha en el puerto 7777 y corre una consola cuando
alguien se conecta a este puerto. El nmero del puerto es
fijo y no puede ser cambiado. Esto lo hace fcil de detectar.
Simplemente conectndonos con telnet al puerto 7777
tendremos la consola
WRAPPERS (Envoltorios)
Cmo puede un atacante instalar un troyano?
WRAPPERS
Un wrapper inserta un troyano en una aplicacin EXE
Ambos programas se mezclan entre si en un solo archivo.
Cuando el usuario ejecuta el exe, se instala el troyano.
El usuario slo ve la ltima aplicacin.
HERRAMIENTA: IconPlus
IconPlus puede ser usado para cambiar conos en archivos EXE.
HERRAMIENTA: Restorator
HERRAMIENTA: Whack-A-Mole
Es el vehculo de entrega ms comn
para troyanos del tipo Servidor; un
juego llamado Whack-a-mole, que es
un ejecutable nico llamado
whackamole.exe
Whack a mole instala el troyano y
ejecuta el programa en cada reinicio.
Tunneling ICMP
Los canales ocultos son mtodos en los que un atacante puede ocultar
la informacin en un protocolo que es indetectable.
Los canales ocultos se basan en tcnicas llamadas tunneling, las que
permiten que un protocolo se transfiera a otro protocolo.
Tunneling ICMP es un mtodo que utiliza el echo request y reply como
transmisin de cualquier carga til, un atacante lo puede utilizar para
intentar acceso furtivo o para controlar un sistema comprometido.
Herramienta: Loki
www.phrack.com
Loki fue escrito por daemon9 para proveer acceso a nivel de consola a
travs de ICMP, haciendo mucho ms difcil detectar si las puertas
traseras estn basados en TCP o en UDP.
Respecto a la red, una serie de paquetes ICMP son lanzados hacia
adelante y atrs: respuesta Ping-Pong. En lo que respecta al atacante,
los comandos se pueden tipear en el cliente loki y ejecutar en el
servidor.
Contramedidas Loki
Configure su firewall para bloquear paquetes eco de entrada y salida
ICMP
Al Bloquear ICMP se deshabilitar el ping y podra causar
inconvenientes.
Por lo tanto, se necesita decidir cuidadosamente entre seguridad v/s
conveniencia.
Loki tambin tiene la opcin de ejecutar sobre el puerto 53 UDP
(consultas DNS)
Herramienta: Tripwire
Tripwire calcular automticamente los hashes criptogrficos de todos
los archivos de sistema claves, o de cualquier otro archivo que se
desee monitorear ante modificaciones.
El software Tripwire trabaja creando una referencia instantnea
(snapshot) del sistema.
Peridicamente escanear dichos archivos, recalculando la informacin
y viendo si se ha cambiado algo de la informacin. Si existe algn
cambio se activa una alarma.
Resumen
Los troyanos son partes dainas de cdigo que transportan un software cracker al
sistema objetivo.
Los troyanos se usan principalmente para obtener y mantener acceso al sistema
objetivo.
Generalmente los troyanos residen profundo en el sistema y realizan cambios de
registro que les permiten cumplir su propsito como una herramienta de
administracin remota.
Entre los troyanos ms conocidos estn back orifice, netbus, subseven, beast, Dark
Comet RAT etc.
El conocimiento y las medidas de prevencin son la mejor defensa contra los
Troyanos.
CAPITULO 01
TROYANOS Y PUERTAS TRASERAS