Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Amenazas y Mecanismos de Defensa
Amenazas y Mecanismos de Defensa
Las amenazas y los mecanismos de defensa incluyen la discusión de Troyanos, virus y gusanos,
sniffers (husmeadores), phishing (suplantación de identidad), ingeniería social, denegación de
servicio (DoS) y vulnerabilidades asociadas con buffer overflows (desbordamiento de búfer), así
como las herramientas de contramedidas o respuestas.
Objetivos
Al terminar esta práctica, Usted podrá:
Entender los troyanos
Distinguir entre canales abiertos y encubiertos
Identificar indicaciones de ataques de troyanos
Identificar los diferentes tipos de Troyanos y entender cómo trabajan
Entender el túnel ICMP
Llamar herramientas para enviar Troyanos
Entender los envoltorios (wrappers)
Construir un Troyano usando un Kit
Llamar diferentes Troyanos utilizados en el medio
Evitar infección de Troyanos
Seleccionar herramientas para detectar Troyanos
Llamar varios anti-Troyanos
Términos Clave
Backdoor entrada a una red que evita (bypasses) los procedimientos normales de
autenticación y seguridad.
Modelo de red Cliente-Servidor modelo que define la comunicación interactiva entre
las computadoras individuales y servidores.
Canal cubierto ruta oculta ilegal utilizada para transferir datos desde una red.
ICMP (Internet Control Message Protocol) un protocolo sin conexión que generalmente
se usa para proporcionar mensajes de error a direcciones de unidifusión.
Túnel ICMP uso de este protocolo para evitar (bypass) el filtrado por dispositivos de red.
IRC (Internet Relay Chat) una forma de comunicación instantánea basada en texto que
se realiza, a través de Internet.
Keylogger hardware o software que registra lo tecleado o los movimientos de mouse.
Canal abierto canal seguro legal, para transferir información y data en la red.
POP3 (Post Office Protocol vesrion 3) protocolo de transferencia de e-mail, para
descargar e-mail desde el servidor POP, usando el puerto 110.
TCP (Transmission Contol Protocol) protocolo que define y regula el método de
transmisión de data entre computadoras.
Troyano programa que contiene código malicioso o dañino aparentando ser un
programa inocente o data.
UDP (User Datagram Protocol) protocolo de transmisión de data, que no requiere que
se especifique una ruta de transmisión, antes que se transmita la data.
VNC (Virtual Network Computing) software software que permite a los usuarios control
remoto de un computador.
Wrapper programa usado para unir un Troyano ejecutable a un archivo.
Caso Ejemplo
Un desarrollador de sitios web en una compañía de seguros está descontento porque su
gerente no lo reconoce. El desarrollador es competente y se esfuerza por cumplir sus tareas. Él
tiene un alto desempeño en su sucursal, pero su gerente no reconoce su trabajo porque
favorece a cierto grupo de empleados. En el cumpleaños del gerente, todos los empleados lo
saludaron. El desarrollador personalmente fue a saludar al gerente y le pidió que revisara su
correo electrónico, ya que la sorpresa de cumpleaños lo estaba esperando. El desarrollador
había planeado algo para su gerente.
Sin darse cuenta de las intenciones del Desarrollador, el administrador abrió el archivo bday.zip.
Extrajo el contenido del archivo y ejecutó el bday.exe, añadiendo la tarjeta de felicitación Flash.
El gerente había infectado sin saberlo su computadora con un troyano de control remoto.
¿Qué daño puede hacer el desarrollador?
¿Están justificadas las acciones del desarrollador?
Acceso Físico
[autorun]
Open=setup.exe
Icon=setup.exe
El cajón del CD-ROM se abre y cierra automáticamente. Los troyanos que inhiben tales
actividades son Netbus y Subseven.
Los usuarios deben tener una comprensión básica del estado de una conexión activa y los
puertos comúnmente utilizados por los troyanos para determinar si el sistema se ha visto
comprometido.
Cuando un sistema escucha un número de puerto mientras espera hacer una conexión
con otro sistema, se dice que está "escuchando".
Los troyanos están en estado de escucha cuando se reinicia un sistema. Algunos
troyanos usan más de un puerto, ya que un puerto puede usarse para escuchar y el
otro(s) para la transferencia de datos.
Determine qué puertos están escuchando:
Vaya a la línea comando (cmd) y teclee netstat –an. También netstat –an|findstr <findstr <# de
Puerto>
Troyanos destructivos
El único propósito si se escribir este tipo de troyano es eliminar archivos en el sistema destino.
Estos troyanos son destructivos porque pueden eliminar archivos centrales del sistema, como
archivos .dell, .ini, .exe. El atacante puede activarlos o generarlos en función de una fecha y
hora fijas.
Troyanos Proxy
Estos troyanos convierten la computadora del usuario en un servidor proxy. Esto hace que la
computadora sea accesible para el atacante especificado. En general, se usa para Telnet
anónimo, ICQ para comprar alimentos con tarjetas de crédito robadas, así como para otras
actividades ilegales. El atacante tiene control total sobre el sistema de los usuarios y también
puede lanzar ataques a otros sistemas desde la red del usuario afectado.
Si las autoridades detectan actividad ilegal, las huellas llevan a usuarios inocentes y no al
atacante. Esto puede generar problemas legales para las víctimas, porque las víctimas son
responsables de su red o de cualquier ataque lanzado desde ella.
Troyanos FTP
Estos troyanos abren el puerto 21, que se utiliza para transferencias FTP, lo que permite al
atacante conectarse al sistema de la víctima a través de FTP.
Troyanos de desactivación de software de seguridad
Estos troyanos están diseñados para deshabilitar software antivirus o firewalls. Después de
deshabilitar estos programas, el atacante puede atacar fácilmente el sistema de la víctima.
Un ejemplo es el infame virus Bugbear que instaló un troyano en las máquinas de los usuarios
infectados y deshabilitó el popular software antivirus y firewall. Otro ejemplo es el gusano
Goner detectado en diciembre de 2001, que eliminó los archivos antivirus.
icmd funciona como Tini, pero acepta múltiples conexiones y se puede establecer una
contraseña
NetBus permite a un usuario manipular fácilmente otra computadora con una interfase
completa. NetBus consta de dos partes: un programa cliente (netbus.exe) y un programa de
servidor a menudo llamado parch.exe (o SysEdit.exe con la versión 1.5x), que es la puerta
trasera real. La versión 1.6 utiliza el puerto TCP / UDP 12345, que no puede modificarse. Desde
la versión 1.70 y superior, el por.exet es configurable. Si lo instala un juego llamado whack-a-
mole (el nombre del archivo es whackjob.zip), este archivo contiene el servidor NetBus 1.53
cuyo nombre de archivo es explore.exe. También hay un archivo llamado whackjob17.zip, que
instala el servidor de Netbus1.70 y usa el puerto 12631. Además, está protegido con contraseña
(PW: ecoli). Game.exe instala el servidor Netbus durante la rutina de configuración; el nombre
del servidor en realidad es explore.exe, ubicado en el directorio de Windows.
Para iniciar el servidor automáticamente, hay una entrada en el registro en
HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run que
normalmente se usa con la opción / nomsg. Si se elimina esta entrada, el servidor no se iniciará
con Windows.
El servidor NetBus puede tener prácticamente cualquier nombre de archivo. La forma habitual
en que se instala es mediante un simple engaño. El programa se envía a la víctima y se ofrece
en un sitio web y se representa falsamente como algo que no es. Ocasionalmente, puede
incluirse en un paquete de configuración para una aplicación legítima y ejecutarse en el proceso
de esa configuración. La víctima desprevenida elimina el programa directamente o mediante la
aplicación utilizada como camuflaje, e inmediatamente se instala y comienza a ofrecer acceso a
los intrusos.
NetBus siempre revela su presencia por medio de un puerto abierto, visible con netstat.exe.
Debido a esto, muchos intrusos eliminan netstat.exe del disco duro de la víctima
inmediatamente después de obtener el acceso. Se recomienda una comprobación periódica de
la presencia de netstat.exe, incluido el tamaño y la fecha del archivo, y es un medio para
detectar intrusiones.
Una vez que se obtiene acceso, el intruso a menudo instala otras puertas traseras, un daemos
FTP o HTTP que abren el disco de la víctima al acceso externo. El atacante también puede
habilitar el uso de recursos en la conexión de red. El servidor de la versión v1.70 abre dos
puertos TCP numerados 12345 y 12346. Escucha en 12345 un cliente remoto y aparentemente
responde a través de 12346. Responde a una conexión Telnet al puerto 12345 con su nombre y
número de versión.
Netcat
Usando Netcat, un atacante puede configurar un puerto o un backdoor que le permitirá
ingresar en un shell de DOS. Con un comando simple como nc -1. -p 5000 .t .e cmd.exe, el
atacante cn bind por 5000.
En el uso simple, el puerto de host nc crea una conexión TCP al puerto dado en el host de
destino dado. La entrada estándar se envía al host y todo lo que vuelve a través de la conexión
se envía a la salida estándar. Esto continúa indefinidamente, hasta que el lado de la red de la
conexión se apaga. Este comportamiento es diferente de la mayoría de las otras aplicaciones,
que cierran todo y salen después de un final de archivo en la entrada estándar.
Netcat también puede funcionar como servidor escuchando las conexiones de entrada en
puertos arbitrarios y después hacer la misma lectura y escritura. Con limitaciones menores, a
Netcat realmente no le importa si se ejecuta en modo cliente o servidor. Todavía mueve datos
de un lado a otro hasta que no quede ninguno. En cualquiera de los modos, se puede forzar
tumbar la conexión “shutdown”, después de un tiempo configurable de inactividad en el lado
de la red.
Herramientas de Ocultamiento
Las siguientes herramientas pueden usarse para esconder las intenciones maliciosas de
Troyanos.
Wrappers
Los Wrappers son programas que se utilizan para vincular Troyanos ejecutables a archivos
legítimos. El atacante puede comprimir cualquier binario (DOS/Window) con herramientas tal
como petite.exe. Esta herramienta descomprime un file EXE (una vez está comprimido) en
tiempo de ejecución. Esto le permite al troyano ingresar virtualmente indetectable, ya que la
mayoría de los Antivirus no son capaces de detectar la firma en el file.
El atacante también puede colocar varios ejecutables dentro de un ejecutable. Estos Wrappers
pueden también soportar funciones tales como correr un file en trasfondo, mientras corren uno
en el escritorio. Los Wrappers pueden considerarse un tipo de pegamento, usado para unir
otros componentes de software. EL Wrapper encapsula varios componentes en una sola fuente
de data para hacerla utilizable en forma más conveniente que la fuente original
Los usuarios pueden ser engañados para que instalen Caballos de Troya con el atractivo del
Software libre. Por ejemplo, un Caballo de Troya puede llegar en un e-mail como si fuera un
juego de computadoras. Cuando el usuario recibe el correo, la descripción lo atrae a intalarlo.
Aunque de hecho sea un juego, también puede hacer otras acciones que no son tan aparentes
al usuario, tal como borrar files o correos con información sensitiva, para el atacaEl lnte.
EXE Maker
Esta herramienta de Wrapping ayuda a combinar dos o más files en un solo file. Él compila los
files seleccionados en un host file. Un host file es un programa sencillo compilado. Él
descompresiona y ejecuta el programa fuente.
Pretator
Esta herramienta, envuelve muchos files en un solo ejecutable.
Restorator
Esta herramienta es un editor de piel para programas de Win32. Cambia imágenes, icons,
textos, sonidos, videos, diálogos, menús, y otras partes de la interfase del usuario.
Se pueden crear aplicaciones personalizadas diseñadas por el usuario utilizando este software
La relevancia de estas herramientas surge de su capacidad para modificar la interfaz de usuario
de cualquier programa de Windows de 32 bits y crear aplicaciones personalizadas. Restorator
permite al usuario editar recursos en muchos tipos de archivos, por ejemplo, .exe, .dll, .res,
.ocx, (Active X), .scr (protector de pantalla) y otros. Los protectores de pantalla han sido
populares como portadores de troyanos. Los atacantes pueden distribuir estas modificaciones
en un pequeño archivo de ejecución automática, el ResPatcher. Con Restorator, un atacante
puede crear un pequeño ejecutable que rehacerá los cambios y permitirá la personalización de
aplicaciones como Ingernet Explorer y AOL Instant Messenger. El atacante puede compartir las
modificaciones con otros.
Debido a que es pequeño, las personas que usan Restorator no tienen que instalarlo. No es
necesario, al compartir el archivo, regalar el archivo completo .exe o .dll. Es un programa
independiente que rehace las modificaciones realizadas a un programa. Las funciones de
búsqueda y captura del restaurador permiten al usuario recuperar recursos de archivos en el
disco de una víctima.
Restorator se puede utilizar para modificar un programa y luego enviarlo a la víctima deseada
en forma de protector de pantalla, una máscara para un reproductor multimedia o incluso un
archivo adjunto de aspecto inocente.
Tetris
Este programa a menudo recibe un nombre diferente. Tetris se puede usar como envoltorio
troyano. Los atacantes pueden codificar el troyano, vincularlo al juego Tetris y enviarlo por
correo electrónico para atacar la computadora del host. Cuando el usuario inicia el juego, el
troyano ataca y el atacante puede obtener acceso completo a los recursos en la computadora
del host.
RemoteByMail
Es una herramienta utilizada para controlar y acceder a una computadora, independientemente
de su ubicación, simplemente enviando un correo electrónico. Con un comando simple enviado
por correo electrónico a una computadora en el trabajo o en el hogar, RemoteByMail puede
realizar las siguientes tareas:
Los piratas informáticos de Perl-Reverse Shell pueden usar esta herramienta si tienen acceso de
carga a un servidor web que ejecuta Perl. Este script abre una conexión TCP saliente desde el
servidor web a la máquina del atacante. Un shell está vinculado a esta conexión TCP que
permite al atacante ejecutar programas interactivos como telnet, ssh y su.
Los pasos para llevar a cabo este programa son los siguientes:
1. Para evitar que otra persona abuse de la puerta trasera, el atacante debe modificar el código
de fuente para indicar si se debe devolver el shell inverso. Edite las siguientes líneas de perl-
reverse-shell.pl:
2. Inicie una escucha de tCP en un host y un puerto al que pueda acceder el servidor web: nc -v
-n -l -p 1234
3. Después de encontrar una vulnerabilidad en el sitio web, el atacante puede cargar perl-
reverse-shell-pl, colocándolo en un directorio donde se pueden ejecutar los scripts de Perl. El
script se puede ejecutar ingresando su ubicación en el navegador web del atacante, por
ejemplo, http: //somesite/cgi-bin/perl-reverse-shell.pl
4. El servidor web devolverá un shell al oyente Netcat del arracker. Los comandos como w,
uname -a, id y pwd son un automáticamente:
nc -v -n -l -p 1234
El lado del servidor de XSS Shell requiere un servidor web ASP y IIS, y funciona coordinando el
shell entre un atacante y la víctima. El lado del cliente se carga en el navegador de la víctima,
recibe y procesa comandos, y proporciona el canal entre la víctima y el atacante.
XSS Shell también tiene una interfaz de administración, que permite al atacante enviar nuevos
comandos y recibir respuestas del navegador de la víctima.
XSS Tunnel
Xss Tunnel le permite a los usuarios hacer túnel al tráfico HTTP a través de un canal XSS, para
usar virtualmente cualquier aplicación que soporte proxies HTTP. El túnel XSS es el standard
proxy HTTP que se ubica en el sistema del Atacante. EL túnel XSS convierte el pedido y
responde transparentemente, para validar la respuesta HTTP y el pedido del Shell XSS.
Servidor SHTTPD
SHTTPD es un pequeño servidor HTTP que puede integrarse fácilmente dentro de cualquier
programa.
Se proporciona el código fuente de C ++
A pesar de que SHTTPD no es un troyano, se puede envolver fácilmente con ajedrez. Para
truncar una computadora en un servidor web invisible.
Rapid Hacker
Rapid Hacker es una herramienta utilizada para evitar los tokens de tiempo de espera en sitios
como Rapidshare.com. Utiliza proxies para hacer que la IP del usuario parezca cambiar, de
modo que cada vez que el usuario se conecta a un sitio, le dice al sitio que el usuario es otra
persona.
T2W (TrojanToWorm)
Es una aplicación que permite al usuario transformar un Troyano en un Gusano. Este programa
tiene las siguientes características:
TROYANOS FAMOSOS
Loki
Este programa es una prueba de concepto funcional para demostrar que los datos
pueden transmitirse sigilosamente a través de una red ocultándolos en el tráfico que
normalmente no contiene cargas útiles. El código original puede tunelizar el equivalente
de una sesión Unix RCMD / RSH en paquetes de solicitud de eco ICMP (ping) o UDP
trffic al puerto DNS. Loki se utiliza como puerta trasera en un sistema UNIX después de
que el acceso a la raíz se ha visto comprometido. La presencia de Loki en un sistema es
una evidencia de que el sistema se ha visto comprometido en el pasado.
Aunque la carga útil de un paquete ICMP a menudo contiene solo información de
temporización, ningún dispositivo de firewall verifica el contenido de los datos. Por lo
tanto, esta cantidad de datos puede ser arbitraria en contentas, lo que lo convierte en
un canal encubierto potencial. Explota el canal secreto que existe dentro del tráfico
ICMP_ECHO. Este canal existe porque los dispositivos de red no filtran el contenido del
tráfico ICMP_ECHO. Los paquetes de troyanos se enmascaran como tráfico común ICMP
ECHO.
Loki se puede utilizar como puerta trasera en un sistema al proporcionar un método
secreto si se ejecutan comandos en una máquina de destino. Un paquete LOKI con una
dirección IP de origen falsificada llegará al destino y generará una ICMP_ECHOREPLY
legítima, la cual viajará al host falsificado y se dejará en silencio subsecuentemente. Este
paquete no puede contener la dirección IP de 4 bytes del destino deseado de los
paquetes de respuesta de Loki, así como 51 bytes de datos malévolos.
El aspecto importante de Loki es que los enrutadores, los cortafuegos, los filtros de
paquetes y los hosts con alojamiento doble pueden servir como conductos. Un exceso
de paquetes ICMP_ECHOREPLY con una carga útil confusa puede ser una indicación de
que el canal está en uso.
El programa independiente de servidor Loki se puede detectar fácilmente, sin embargo,
si el atacante puede mantener el tráfico en el canal al mínimo y ocultar el servidor Loki
dentro del núcleo, la detección es casi imposible.
Contramedidas de Loki
Los firewalls con estado son la versión mejorada de los filtros de paquetes. No solo
hacen la misma verificación contra una tabla de reglas y rutas, si están permitidas,
también realizan un seguimiento de la información de estado, como los números de
secuencia TCP.
Preste atención a los protocolos de aplicación para garantizar que solo pase el tráfico
legítimo. Estos filtros pueden obtener paquetes UDP (por ejemplo, para DNS y RPC) de
forma segura a través de firewalls porque UDP es un protocolo sin estado. Además, es
más difícil para los servicios RPC. Sin embargo, esto no resuelve el problema de los
canales encubiertos ICMP porque los ecos ICMP también están sujetos a las reglas del
firewall.
Si no hay una regla para permitir el ping, todos esos paquetes se vuelven droppe. Si el
ping llega a través de un túnel, y las interfaces no están configuradas para forzar el
tráfico del túnel hasta los servidores proxy, los paquetes de ping se envían sin
modificaciones.
Aquí hay algunas contramedidas que pueden ayudar a mantener a raya a los loki:
El tráfico externo ICMP_ECHO debe deshabilitarse por completo.
Esto tiene serias implicaciones para la administración de red normal, ya que afecta la
administración de la comunicación de red con el segmento local. Desactive el tráfico
ICMP_ECHO-REPLY en un enrutador Cisco. Las implicaciones de seguridad hacen de esta
una elección prudente
Asegúrese de que los enrutadores estén configurados para no enviar paquetes de error
ICMP_UNREACHABLE a los hosts que no responden a ARP´S.
Beast
MoSucher es un troyano de Visual Basic que crea una puerta trasera y permite el control
remoto de un sistema. MoSucher puede cargar automáticamente con system.ini y / o el
registro, y puede configurarse para elegir aleatoriamente con qué método cargar
automáticamente. Aquí hay una lista de nombres de archivos que MoSucker sugiere
nombrar al servidor: MSNETCFG.exe, unin0686.exe, Calc.exe, HTTP.exe, MSWINUPD.exe,
Ars.exe, NETUPDATE.exe y Register.exe.
activar el bloqueo de mayúsculas de la víctima
Permitir que el atacante chatee con la víctima
Cerrar / eliminar un servidor
Controlar el ratón de la víctima
Sistema de víctimas de accidentes
Ser utilizado como administrador de archivos
Voltear la pantalla de la víctima vertical u horizontalmente
Congelar la pantalla de la víctima
Obtener contraseñas
Establecer la resolución de pantalla de la víctima
Obtener información del sistema
Desconecta Internet
Ocultar / mostrar la barra de tareas de la víctima
Actuar como keylogger
Minimiza todas las ventanas
Abrir / cerrar unidad de CD-Rom
Servidor de ping
Imprimir texto
Actuar como gerente de procesos
buscar archivos
Enviar mensajes
Otros Troyanos
winarp_min
Backdoor.Theef (AVP)
DownTroj
Trojan.Satellite-Rat
ofrece a los atacantes los medios para manipular y controlar una máquina objetivo
desde una ubicación remota a través de Internet. El atacante puede realizar cambios no
deseados en el sistema de la víctima, instalar complementos relacionados con la
publicidad e insertar componentes relacionados con la publicidad en la cadena de
proveedores de servicios en capas de Winsock. el atacante también puede bloquear o
redirigir las conexiones de red preferidas de la víctima y recopilar datos potencialmente
confidenciales sin previo aviso y consentimiento.
Trojan.Hav-rat
es un troyano de administración reomte que contiene software malicioso que puede
comprometer un sistema informático individual o una red completa. Utilizo una
conexión inversa para que requiera abrir puertos en la máquina de destino.
Poison Ivy
Es un malware de conexión inversa escrito en masm (servidor) y Delphi (cliente).
Requiere actualizaciones del servidor para saber cuántas funciones nuevas se agregan al
servidor. Este troyano no requiere ningún complemento, DLL u otros archivos además
del servidor, y no suelta ningún archivo en el sistema de la víctima. Proporciona
comunicaciones cifradas ARC4 y permite la compresión transparente de comunicaciones
y transferencias. Funciona como keylogger, administrador de contraseñas, redirector de
puertos y sniffer de tráfico.
Shark
Es una pieza de malware escrita en Visual Basic. Utiliza un cifrado RC4 para el cifrado del
tráfico. También funciona como un keylogger. La lista negra de procesos interactivos
alerta a un instalador cuando el proceso de la lista negra se identifica en la máquina de
destino. Permite a un atacante tomar medidas contra el proceso en la lista negra.
También realiza inyecciones de código en ventanas ocultas de Internet Explorer para
evitar los firewalls. Este troyano utiliza un descargador web para descargar un archivo
.exe en la máquina de destino.
HacherzRat
Es un troyano de administración remota. Cambia lo siguiente en el registro de inicio:
ProAgent
Es un keylogger que compromete el sistema de seguridad en una computadora. Se
puede usar para amenazar la seguridad de la información personal y financiera. El
troyano monitorea todas y cada una de las claves ingresadas por el usuario objetivo en
los sistemas y lo envía de regreso al atacante.
OD Client
Es un troyano de administración remota. Utiliza un descargador web para descargar
archivos ejecutables en el sistema de destino. Sus características incluyen lo siguiente:
Contiene un descargador web remoto
Descarga y ejecuta archivos de forma remota desde Internet
Admite Windows Xp y Windows Server Rooting
Agrega el usuario administrador al host y permite la conexión de escritorio
remoto
Desinstala el servidor del host
Apaga el servidor pero no lo desinstala
MHacker-PS
Es un troyano de administración remota. Cuando infecta un sistema, utiliza archivos
ejecutables como los siguientes:
RubyRAT Pro
Es un troyano de administración remota. Los atacantes utilizan este troyano para
acceder a información privada y confidencial en una computadora. Sus características
incluyen lo siguiente:
Puede acceder a la información básica de la computadora
Ejecuta comandos
Puede habilitar / deshabilitar el servidor terminal
Explorador de archivos con carga / descarga / ejecución de archivos / lista de
información de archivos / procesos de eliminación
ConsoleDevil
Es un pequeño troyano de administración remota que permite a un atacante tomar el
control de la consola de Windows de una computadora remota (símbolo del sistema).
Sus características incluyen lo siguiente:
Conexión inversa
Inyección de código para evitar el firewall
Tamaño de servidor pequeño: 13 KB desempaquetado
Consola remota
Descargador web
ZombieRat
Es un troyano de administración remota creado en Delphi 2005. Su función incluye lo
siguiente:
Abre programas de Windows, como msconfig, calc, paint, marrator, notpad, wordpard,
regedit y clock
Habilita / deshabilita el Administrador de tareas
Oculta el botón de apagado
Modifica los subtítulos y fondos de pantalla del botón de inicio
Funciona como un keylogger y bloquea la entrada.
Mata procesos
Webcam Trojan
Es un troyano de administración remota. Permite a un atacante controlar de forma
remota una máquina a través de un cliente en el sistema del atacante y un seridor en el
sistema de destino.
DjiRAT
Is a remote administration trojan. This Trojan is used by the attacker to gain
unauthorized access to a target system.
Troya
Es un troyano de administración remota WEB. Por lo tanto, no requiere un programa
cliente para conectarse a una PC remota. Este troyano utiliza Internet Explodrer para
conectarse a una PC remota para que pueda usarse como un sitio web. Se puede
conectar una PC remota escribiendo la dirección IP en el navegador web.
ProRat
ProRat es un troyano de administración remota basado en Internet que tiene
componentes de cliente y servidor. Abre un puerto en la máquina de destino que
permite que un atacante (cliente) realice varias operaciones en la máquina de la víctima
(servidor). No puede conectar usuarios a través de una red inalámbrica. Se conecta solo
mediante una LAN.
Dark Girl
Dark Girl es un troyano de a
dministración remota. Este troyano se usa como Keylogger. Utiliza un descargador web
para soltar los archivos ejecutables en la máquina de destino.
DaCryptic
DaCryptic
Es un troyano de administración remota. Funciona como un Keylogger al monitorear
cada clave escrita por el usuario y enviarla de regreso al atacante. También tiene la
capacidad de infectar computadoras por correo electrónico. Este troyano se copia de
una máquina a otra, pero no se copia en un archivo.
Poker Game.app
Es un troyano que depende en gran medida de la ingeniería social. Aparece con el
nombre de archivo Poker.app como un archivo zip de 65 KB. Descomprimido, es de 180
KB. IT comprueba la contraseña proporcionada por el usuario para ver si coincide con la
contraseña del sistema del usuario. Si las contraseñas no coinciden, volverá a preguntar.
Se requiere la contraseña del usuario para continuar.
Cuando se ejecuta este troyano, habilita SSH en el MAC en el que se está ejecutando,
luego transfiere la contraseña de nombre de usuario y la dirección IP de la máquina a un
servidor. Solicita la contraseña de administrador mostrando el siguiente mensaje: "Se ha
desviado un archivo de preferencias corrupto y debe repararse". Después de obtener la
contraseña de administrador, el programa realiza su tarea y envía esta contraseña a una
dirección de correo electrónico especificada con el asunto "Howdy". Este mensaje
contiene el nombre de usuario, la contraseña y la dirección IP. Después de obtener
acceso SSH a un MAC, el atacante puede tomar el control de la máquina infectada y
eliminar los archivos, dañar el sistema operativo, etc.
Contramedidas a los Troyanos
Detección de troyanos
Herramientas de detección
Netstat se usa para mostrar conexiones TCP activas, tablas de enrutamiento IP y puertos
en los que la computadora está escuchando. Su sintaxis es:
Opciones de NETSTAT -p intervalo de protocolo
Las opciones incluyen lo siguiente:
-a Muestra todas las conexiones y puertos de escucha
-e Displays estadísticas de Ethernet
-n Muestra direcciones y números de puerto en forma numérica.
-r Muestra la tabla de enrutamiento
-p <protocolo> Muestra solo las conexiones para el protocolo especificado. Puede ser
TCP o UDP
-s Muestra estadísticas por protocolo. Por defecto, las estadísticas se muestran para IP,
ICMP, TCP y UDP.
fPort admite varios sistemas operativos. Informa de puertos TCP / IP y UDP abiertos, y
puede asignarlos a la aplicación propietaria, o los procesos en ejecución con el PID, el
nombre del proceso y la ruta. fport puede identificar puertos abiertos desconocidos y
sus aplicaciones.
El programa contiene cinco interruptores. Estos pueden utilizarse ya sea “/” o el “-“
precediendo el Switch. Estos son:
/? Para ayuda
/p arreglo por puerto
/a arregle por aplicación
/i arregle por PID
/ap arregle por ruta
TCPView
Lista los endpoints TCP y UDP en un sistema, incluyendo las direcciones locales y
remotas y el estado de las conexiones TCP. Actualiza cada segundo. Los Endpoints que
cambian de estado de un segundo a otro son resaltados en amarillo, los que son
borrados se resaltan en rojo y los Endpoint nuevos se ponen en verde.
PreView
What´s on My Computer?
Esta herramienta ayuda a obtener información de cualquier file, folder, proceso, servicio,
conexión IP, módulos o controladores corriendo en la computadora. Protege contra
virus, troyanos, spywares y mal software o de baja calidad. Provee información adicional
sobre los programas que están corriendo sobre una interfase de acceso Web.
What´s on My Computer?
What´s Running
Es una herramienta que identifica qué está corriendo actualmente en el sistema. Provee
una mirada detallada en los procesos, servicio, controladores y conexiones IP para
sistemas Windows.
Encuentra información importante como qué módulos están involucrados con los
procesos específicos.
Controla el sistema arrancando y parando los servicios y procesos.
Configura fácilmente los programas de inicio.
Msconfig
Autoruns
Es una utilidad que muestra qué programas están configurados para ejecutarse durante
el arranque o inicio de sesión del sistema, y muestra las entradas en el orden en que
Windows las procesa. Estos programas incluyen los que se especifican en Run, RunOnce
y otras claves de registro.
Un usuario puede resaltar una entrada y hacer clic en el botón Saltar a para iniciar
Regedit con la entrada seleccionada. Además de los programas de inicio, las ejecuciones
automáticas también muestran una lista de servicios, tareas programadas, proveedores
de Winsock e Internet Explorer BHO. Cada uno de ellos también se puede habilitar o
deshabilitar.
HijackThis
Quizás el viejo adagio "una onza de prevención vale una libra de cura" es relevante
aquí. Las siguientes tres líneas de defensa contra puertas traseras ayudarán a prevenir
la instalación de una de estas:
1. La primera línea de defensa es tener cuidado al descargar archivos adjuntos de
correo electrónico e instalar aplicaciones descargadas de Internet
2. La segunda línea de defensa es utilizar productos antivirus que son capaces de
reconocer firmas de troyanos. Las actualizaciones deben aplicarse regularmente a través
de la red.
3. La tercera línea de defensa proviene de mantener las versiones de las aplicaciones
cargadas con los últimos parches de seguridad y anuncios de vulnerabilidad.
Tripwire
Es un verificador de integridad del sistema (SIV). Calcula hashes criptográficos de todos
los archivos clave del sistema que deben ser monitoreados para detectar
modificaciones. El software Tripwire funciona creando una instantánea de línea base del
sistema. Almacena la instantánea en una base de datos y luego verifica la integridad del
sistema verificando su estado actual contra la línea de base. Al comparar el sistema
actual con una instantánea de cómo debería verse el sistema. Trpwire identifica de
forma rápida y precisa cualquier archivo agregado, modificado o eliminado. El programa
supervisa los atributos clave de los archivos que no deben cambiar, incluida la firma
binaria, el tamaño y el cambio de tamaño esperado.
Para usar este utilitario debe tener privilegios de administrador y una consola activa.
Software anti-troyano
El software anti-troyano está específicamente diseñado para ayudar a detectar troyanos
(no necesariamente virus o gusanos). La mayoría se puede ejecutar junto con un
programa antivirus, sin embargo, el escáner de troyanos no es 100% efectivo ya que los
fabricantes no pueden mantenerse al día con la rápida evolución de los troyanos que
pueden cambiar a diario. Por lo tanto, la mejor práctica es actualizar el software anti-
troyano regularmente.
La siguiente es una lista de algunos software anti-troyanos conocidos que están
disponibles en la versión de prueba a:
Trojan Guard
TrojanHunter
ZoneAlarm
WinPatrol
LeakTest
Kerio Personal Firewall
Sub-Net
TAVScan
SpyBot Search & Destroy
Anti Trojan
Cleaner
TrojanHunter
Comodo BOClean
Protege las computadoras contra Troyanos, Malware, y otras amenazas. Trabaja
constantemente en Background e intercepta cualquier actividad troyana reconocida.
XoftspySE
Es un software anti-troyanoque detecta y remueve spyware. Escanea para más de 42,000
spywares diferentes y adware aprasitos.
Spyware Doctor
Es una utilidad que detecta y remueve malwares y spywares, adwares, troyanos, spybots,
y rastrea amenazas. Brinda protección contra spywares de 3 formas: bloquea en tiempo
real, escanea, inmuniza. Verifica por Rootkits, amenaza muy usada en estos tiempos.
Código Java de Ejemplo para Troyanos en Cliente/Servidor
1) Trojanclient.java
/**
*trojanClient executes remote commands on server
*Requieres trojanServer to be running
*/
import java.io.*;
import java.net.*;
import javax.swing.*;
Why Tini?
Using Tini has several benefits:
It protects you from software that accidentally creates zombie processes, which
can (over time!) starve your entire system for PIDs (and make it unusable).
It ensures that the default signal handlers work for the software you run in your
Docker image. For example, with Tini, SIGTERM properly terminates your process
even if you didn't explicitly install a signal handler for it.
It does so completely transparently! Docker images that work without Tini will
work with Tini without any changes.
If you'd like more detail on why this is useful, review this issue discussion: What is
advantage of Tini?.
Using Tini
NOTE: If you are using Docker 1.13 or greater, Tini is included in Docker itself. This
includes all versions of Docker CE. To enable Tini, just pass the --init flag to docker run.
NOTE: There are pre-built Docker images available for Tini. If you're currently using an
Ubuntu or CentOS image as your base, you can use one of those as a drop-in
replacement.
NOTE: There are Tini packages for Alpine Linux and NixOS. See below for installation
instructions.
Add Tini to your container, and make it executable. Then, just invoke Tini and pass your
program and its arguments as arguments to Tini.
In Docker, you will want to use an entrypoint so you don't have to remember to
manually invoke Tini:
# Add Tini
ENV TINI_VERSION v0.19.0
ADD https://github.com/krallin/tini/releases/download/${TINI_VERSION}/tini /tini
RUN chmod +x /tini
ENTRYPOINT ["/tini", "--"]
NixOS
Using Nix, you can use the following command to install Tini:
Other Platforms
ARM and 32-bit binaries are available! You can find the complete list of available
binaries under the releases tab.
Options
Verbosity
The -v argument can be used for extra verbose output (you can pass it up to 3 times,
e.g. -vvv).
Subreaping
By default, Tini needs to run as PID 1 so that it can reap zombies (by running as PID 1,
zombies get re-parented to Tini).
If for some reason, you cannot run Tini as PID 1, you should register Tini as a process
subreaper instead (only in Linux >= 3.4), by either:
This will ensure that zombies get re-parented to Tini despite Tini not running as PID 1.
NOTE: Tini will issue a warning if it detects that it isn't running as PID 1 and isn't
registered as a subreaper. If you don't see a warning, you're fine.
In this case, you can use the -e flag to remap an arbitrary exit code to 0. You can pass
the flag multiple times if needed.
For example:
With the -g option, Tini kills the child process group , so that every process in the group
gets the signal. This corresponds more closely to what happens when you do ctrl-C etc.
in a terminal: The signal is sent to the foreground process group.
More
Existing Entrypoint
Tini can also be used with an existing entrypoint in your container!
Statically-Linked Version
Tini has very few dependencies (it only depends on libc), but if your container fails to
start, you might want to consider using the statically-built version instead:
ADD https://github.com/krallin/tini/releases/download/${TINI_VERSION}/tini-static
/tini
Size Considerations
Tini is a very small file (in the 10KB range), so it doesn't add much weight to your
container.
Building Tini
If you'd rather not download the binary, you can build Tini by running cmake . && make.
Before building, you probably also want to run:
When the "first" child process exits (/your/program in the examples above), Tini exits as
well, with the exit code of the child process (so you can check your container's exit code
to know whether the child exited successfully).
Debugging
If something isn't working just like you expect, consider increasing the verbosity level
(up to 3):
Authors
Maintainer:
Thomas Orozco
Contributors:
Tianon Gravi
David Wragg
Michael Crosby
Wyatt Preul
Patrick Steinhardt