Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Bifrost
Bifrost
La intencin de este report es explicar la mecnica, posibilidades y manejo de uno de los troyanos (el Bifrost, actualmente por su versin 1.2.1) ms utilizados ahora mismo que usan la tcnica de conexin inversa para poder operar sobre cualquier vctima saltndose la mayora de cortafuegos de uso dmestico. Como troyano que es, los antivirus lo detectarn como programa malicioso as que o una de dos: o la vctima a infectar no dispone de uno de estos o bien se cifra o empaqueta el bicho con alguna aplicacin destinada a tal fin que lo haga indetectable para los antivirus, pero ese es un tema que aqu no trataremos ya que no es la finalidad del documento ;)
Configurando el Bifrost
Antes de infectar a alguien tenemos que preparar nuestro equipo y red para que acepten las conexiones de las vctimas. Si nuestra conexin a internet adquiere una ip de forma dinmica ser imprescindible configurar en nuestro router (si dispone de tal opcin) o en nuestra mquina de un servicio de gestin de DNS dinmico (por ejemplo como los que ofrecen no-ip.com o dyndns.com) para que las mquinas infectadas puedan establecer siempre la conexin hacia nuestro pc sin preocuparnos de qu ip nos da nuestro proveedor en cada momento. As pues, una vez realizado dicho proceso podemos abrir ya el troyano y empezar a configurarlo. Una vez iniciado hacemos click en el botn Settings situado a la izquierda en el men de abajo y especificamos en la pantalla que aparece el puerto (o puertos, hay 3 posibles) donde nuestra aplicacin atender a sus vctimas. A mayores, tal y como muestra la figura de abajo, tenemos numerosas opciones de configuracin como establecer un password para realizar la conexin y la forma en que nos notifique que alguna vctima esta operativa.
Configuracin del servidor Finalizado esto, ya tenemos nuestra aplicacin a la espera de conexiones de mquinas infectadas, pero y cmo se infecta a una mquina? La propia aplicacin dispone de una herramienta de creacin del cliente o virus con la que podemos personalizar de forma minuciosa el comportamiento y caractersticas del mismo. Para ello hacemos click en el botn Builder del men y nos encontramos con varias pestaas de configuracin. Sealaremos aqu las ms importantes o que merecen especial atencin ya que el resto pueden dejarse por defecto o no es necesaria su modificacin.
Marcar para activar opciones avanzadas como captura de pantalla o cmara web y keylogger
Una vez configuradas las opcines pertinentes de las diferentes pestaas, pulsando sobre el botn Build (abajoa la derecha) se crear un fichero server.exe en el directorio del programa que ser el que deben ejecutar por primera vez nuestras vctimas para infectarse. El virus cuenta con mecanismos de autoreproduccin (instalar una copia de s mismo donde se especifique en las dos primeras opciones de la pestaa Installation mostrada antes (nombre del fichero, directorio y path de instalacin)) y autoarranque (se oculta en registro de Windows) para iniciarse cada vez que inicia el sistema y nos notifique en cuanto est disponible su operatibilidad. Visto esto lista preparada ya nuestra aplicacin para controlar las mquinas infectadas y la herramienta con qu infectarlas. Veamos ahora qu podemos hacerle a nuestras vctimas.
Podremos crear, borrar, descargar ficheros de la maquina del infectado y algunas opciones ms como muestra la figura siguiente.
Podemos lanzar procesos en la vctima as como cerrarle los que consideremos oportunos. Desde esta pantalla se podrn llevar a cabo tambin tareas de administracin del virus como reiniciarlo, pararlo o incluso desinstalarlo.
En esta pestaa podremos acceder al administrador de tareas y lanzar o cerrar procesos activos.
Keylogger
Desde que inicia el virus, guardara la pulsacin de teclas de que se realicen en la mquina y as tener un registro que organiza por titulo de ventana sobre que se ha pulsado en cada una de ellas. A su vez dispone de modo online para ver qu es lo que esta tecleando en ese preciso momento.
Desde esta opcin se podrn sacar instantneas para ver qu es lo que est realizando en ese momento la vctima e incluso guardarlas una a una o en secuencia como si de un video se tratase.
Podemos acceder a su cmara web y visualizar a travs de ella e incluso grabar en secuencia de imgenes lo que est ocurriendo en ese momento.
Nos permite tambin la ejecucin de intrprete de comandos con los que operar sobre el infectado. En el ejemplo mostrado hemos accedido a la carpeta Windows del directorio de instalacin y hecho un dir sobre ella, vase el resultado:
Y cmo no, por si todas las acciones de administracin que podemos realizar sobre nuestros infectados fuesen pocas, nos permite a su vez modificarle de forma remota el registro de su Windows.
Como hemos visto hasta ahora se trata pues de un programa con el que podemos administrar y tomar control absoluto de una lista de mquinas desde una sola aplicacin, y que como ya dijimos al principio, solventa los problemas de conectividad que sufren los antiguos troyanos en la actualidad al infectar equipos que estan detrs de routers y/o firewalls.