Troyanos de conexin inversa

La intencin de este report es explicar la mecnica, posibilidades y manejo de uno de los troyanos (el Bifrost, actualmente por su versin 1.2.1) ms utilizados ahora mismo que usan la tcnica de conexin inversa para poder operar sobre cualquier vctima saltndose la mayora de cortafuegos de uso dmestico. Como troyano que es, los antivirus lo detectarn como programa malicioso as que o una de dos: o la vctima a infectar no dispone de uno de estos o bien se cifra o empaqueta el bicho con alguna aplicacin destinada a tal fin que lo haga indetectable para los antivirus, pero ese es un tema que aqu no trataremos ya que no es la finalidad del documento ;)

La conexin inversa qu es y cmo se configura?

Antiguamente los troyanos eran pequeos programas que abran un puerto en la victima sobre la que nosotros podamos realizar una conexin y tomar el control de la mquina. Este esquema tena sentido y funcionaba muy bien hasta que empezaron a ponerse de moda los routers con la llegada de las lneas xDSL y/o firewalls, y ahora mismo solo tendra viabilidad si el cliente se conecta a la red a travs de un modem, o justo el puerto en el que oye el troyano estuviese nateado hacia la maquina infectada (situacin muy improbable). Para solucionarlo los diseadores de cdigo malicioso lo que hicieron fue invertir el proceso, es decir, ahora lo que antes era el cliente (nosotros) pasamos a ser un servidor que omos en un/os puerto/s prefijados a nuestro antojo y seremos nosotros los que atenderemos a las peticiones de conexin de las mquinas infectadas y una vez establecida la conexin ganar el control de la mquina infectada. Lo nico que se necesita, pues, es tener bien configurada nuestra red para aceptar conexiones hacia nuestra maquina en el puerto (o rango) especificado y esperar a que nos lleguen las notificaciones de infeccin. La mayora de firewalls y routers no analizan el trafico saliente, suelen centrarse en el entrante, y esto posibilita que las conexiones del troyano hacia nuestro servidor sean prcticamente efectivas al 100% . La figura 1 muestra de forma resumida la direccin de cmo se establecan antes los ataques y cmo han evolucionado hasta la actualidad.

Configurando el Bifrost
Antes de infectar a alguien tenemos que preparar nuestro equipo y red para que acepten las conexiones de las vctimas. Si nuestra conexin a internet adquiere una ip de forma dinmica ser imprescindible configurar en nuestro router (si dispone de tal opcin) o en nuestra mquina de un servicio de gestin de DNS dinmico (por ejemplo como los que ofrecen no-ip.com o dyndns.com) para que las mquinas infectadas puedan establecer siempre la conexin hacia nuestro pc sin preocuparnos de qu ip nos da nuestro proveedor en cada momento. As pues, una vez realizado dicho proceso podemos abrir ya el troyano y empezar a configurarlo. Una vez iniciado hacemos click en el botn Settings situado a la izquierda en el men de abajo y especificamos en la pantalla que aparece el puerto (o puertos, hay 3 posibles) donde nuestra aplicacin atender a sus vctimas. A mayores, tal y como muestra la figura de abajo, tenemos numerosas opciones de configuracin como establecer un password para realizar la conexin y la forma en que nos notifique que alguna vctima esta operativa.

Configuracin del servidor Finalizado esto, ya tenemos nuestra aplicacin a la espera de conexiones de mquinas infectadas, pero y cmo se infecta a una mquina? La propia aplicacin dispone de una herramienta de creacin del cliente o virus con la que podemos personalizar de forma minuciosa el comportamiento y caractersticas del mismo. Para ello hacemos click en el botn Builder del men y nos encontramos con varias pestaas de configuracin. Sealaremos aqu las ms importantes o que merecen especial atencin ya que el resto pueden dejarse por defecto o no es necesaria su modificacin.
Marcar para activar opciones avanzadas como captura de pantalla o cmara web y keylogger

Lista de ips y puerto a los que intentar conectarse la mquina infectada

Nombre del proceso en memoria (cuanto ms comn ms difcil ser de detectar)

Una vez configuradas las opcines pertinentes de las diferentes pestaas, pulsando sobre el botn Build (abajoa la derecha) se crear un fichero server.exe en el directorio del programa que ser el que deben ejecutar por primera vez nuestras vctimas para infectarse. El virus cuenta con mecanismos de autoreproduccin (instalar una copia de s mismo donde se especifique en las dos primeras opciones de la pestaa Installation mostrada antes (nombre del fichero, directorio y path de instalacin)) y autoarranque (se oculta en registro de Windows) para iniciarse cada vez que inicia el sistema y nos notifique en cuanto est disponible su operatibilidad. Visto esto lista preparada ya nuestra aplicacin para controlar las mquinas infectadas y la herramienta con qu infectarlas. Veamos ahora qu podemos hacerle a nuestras vctimas.

Atacando a nuestras vctimas

Una vez se infecte una mquina, esta intentar conectarse cada poco tiempo a la lista de ips especificadas en la creacin del troyano y tendremos constancia de ello porque aparecer una nueva entrada en nuestra aplicacin indicndonos de forma resumida numerosa informacin de cada una de sus vctimas online. Con el botn derecho sobre una de ellas se desplegar un men con una lista de acciones que podremos realizar sobre el infectado.

Informacion resumida de la victima (ip, versin del virus, si tiene webcam,etc)

Acciones que podemos llevar a cabo sobre el infectado

Acceso al sistema de ficheros del infectado (File Manager)

Podremos crear, borrar, descargar ficheros de la maquina del infectado y algunas opciones ms como muestra la figura siguiente.

Informacin y administracin de los procesos de sistema (System Manager)

Podemos lanzar procesos en la vctima as como cerrarle los que consideremos oportunos. Desde esta pantalla se podrn llevar a cabo tambin tareas de administracin del virus como reiniciarlo, pararlo o incluso desinstalarlo.

En esta pestaa podremos acceder al administrador de tareas y lanzar o cerrar procesos activos.

Informacin ms detallada de la mquina infectada

Administracin del virus

Keylogger

Desde que inicia el virus, guardara la pulsacin de teclas de que se realicen en la mquina y as tener un registro que organiza por titulo de ventana sobre que se ha pulsado en cada una de ellas. A su vez dispone de modo online para ver qu es lo que esta tecleando en ese preciso momento.

Capturas de pantalla (Screen Capture)

Desde esta opcin se podrn sacar instantneas para ver qu es lo que est realizando en ese momento la vctima e incluso guardarlas una a una o en secuencia como si de un video se tratase.

Acceso a su webcam (Cam capture)

Podemos acceder a su cmara web y visualizar a travs de ella e incluso grabar en secuencia de imgenes lo que est ocurriendo en ese momento.

Interprete de comandos (Remote Shell)

Nos permite tambin la ejecucin de intrprete de comandos con los que operar sobre el infectado. En el ejemplo mostrado hemos accedido a la carpeta Windows del directorio de instalacin y hecho un dir sobre ella, vase el resultado:

Editor del registro de Windows (Registry Editor)

Y cmo no, por si todas las acciones de administracin que podemos realizar sobre nuestros infectados fuesen pocas, nos permite a su vez modificarle de forma remota el registro de su Windows.

Como hemos visto hasta ahora se trata pues de un programa con el que podemos administrar y tomar control absoluto de una lista de mquinas desde una sola aplicacin, y que como ya dijimos al principio, solventa los problemas de conectividad que sufren los antiguos troyanos en la actualidad al infectar equipos que estan detrs de routers y/o firewalls.