troyanos

1. Paredes– Paul
Troyanos
Seguridad en Redes

2. INDICE
 ¿ QUE SON ?
 TIPOS
 FUNCIONAMIENTO
 CAPACIDADES DE CONTROL
 USOS DE LOS TROYANOS
 FORMAS DE CONTAGIO
 FORMAS DE COMUNICACIÓN
 DETECCIÓN
 SOFTWARE DISPONIBLE
 ELIMINACIÓN
 CONSEJOS DE SEGURIDAD

3. ¿QUE SON?
 Código ‘maligno’ dentro de código que se supone bueno.
 Aplicaciones que realizan tareas para las cuales no se
suponen programadas (crear ficheros, borrar
ficheros...etc).
 Herramientas de administración remota (RAT)
 Conexión directa con el PC infectado.
 Características :
 Aprovechan bugs y puertas traseras.
 Sólo el cliente es consciente de la comunicación
 Sólo el cliente tiene capacidad de control.

4. TIPOS
 Según sus formas de actuación :
 Troyanos de acceso remoto.
 Troyanos de correo.
 Keyloggers.
 Fake Trojans ( Falso troyano).
 Troyanos de FTP.
 Troyanos de telnet.
 Troyanos de forma.

5. FUNCIONAMIENTO
 Instalación :
 Configuración TSR .- Terminate and Stay resident program
 Atributos invisibles
 Actuación :
 El troyano trabaja en puertos predeterminados, aunque
pueden ser modificados en los troyanos más avanzados.
 A través del editor de servidores, se puede configurar la
actuación del troyano. (dependiendo del SO, de los
motivos del ataque...etc).
 Mediante el editor de clientes, el troyano se puede
actualizar on-line (mediante parches o similares).

6. CAPACIDADES DE CONTROL I
 Manejo del ratón , teclado, escritorio.. Etc
 Acceso al registro de windows.
 Listar/Búsqueda archivos (DIR)
 Capturar pantallas.
 Abrir ventanas con textos personalizados.
Cambiar su identificación (para que en caso de que lo
detectemos lo confundamos con otro programa).
 Elegir la ejecución o no del troyano en cada inicio de
windows.

7. CAPACIDADES DE CONTROL II
 Borrado del ejecutable original del troyano (el del
programa de instalación, vamos).
 Ejecutar sonidos.
 Comprimir/descomprimir archivos.
 Desconectar el troyano cuando el usuario infectado
termine la comunicación.
 Colgar el PC.
 Captación de contraseñas (DNS, correo, salvapantallas,
usuarios,..).
 Guardar las teclas pulsadas en el teclado en un LOG
(capturar el teclado).

8. CAPACIDADES DE CONTROL III
 Crear/borrar carpetas.
 Enviar/recibir archivos.
 Copiar/borrar/renombrar/ejecutar/modificar archivos.
 Iniciar/detener procesos.
 Mostrar la lista de programas en ejecución.
 Acceder a los recursos de red del PC.
 Navegar por internet desde el PC infectado usando la IP
del mismo.

9. CAPACIDADES DE CONTROL IV
 Activación de comunicación encriptada con el cliente.
 Capacidad de actualización on-line del troyano con
nuevos plugins.
 Compartir unidades.
 Acceso total al navegador de Internet y en buena parte al
correo electrónico.
 Acceder a sistemas de captura de video
(videoconferencia,webcam) ,lo que podría permitir un
espionaje visual.

10. USOS DE LOS TROYANOS
 A expensas del atacante :
 Utilizarlo como herramienta de acceso remoto.
 Acceso no permitido a datos (cualquier tipo de
archivo) .
 Molestar.
 Por afán de superación.
 Para mantener el contacto con el PC infectado.
• De pasarela para atacar otros sistemas

11. FORMAS DE CONTAGIO
 Contagio .- ¿ Como hacer que el servidor llegue a un PC ?
 Vía e-mail.
 Intercambio de fichero (IRC, ICQ, FTP....).
 Hackeando el PC :
• Insertar el troyano en un fichero.
• Instalar el troyano directamente.
 Engaños .- ¿ Cómo hacer que se instale ?
 Fichero renombrado y con doble extensión.
 Adhesión del troyano a un fichero real.

12. COMUNICACIÓN
 El atacante necesita dir IP de la víctima que puede ser:
 Estática (modem de 56kbs)
 Dinámica y cambiar en cada conexión (ADSL)
 En caso de ser estática el atacante podrá volver a
conectarse a la misma dirección sin ningún problema
 En caso de ser dinámica el servidor del troyano quien la
proporciona de diversas maneras

13. COMUNICACIÓN II
Métodos de Notificación de la dirección IP
 Notificación automática:
• Vía e-mail, a una dirección predeterminada
• A una dirección IP
 Búsqueda manual :
• Escaneo puertos

14. DETECCIÓN I
 Antes de la instalación :
 Comprobación :
• ¿Posee extensión doble?
• Tamaño del archivo con respecto al tipo.
 Recomendable : Escaneo de todos los archivos
recibidos con un antivirus/antitroyanos.

15. DETECCIÓN II
Después de la instalación :
 Atacante indiscreto:
• Aparición y/o desaparición de archivos
• Ralentización del sistema
• Inicialización/Finalización de programas sin
justificación.
• La bandeja del CD se abre/cierra sin motivo
• El teclado deja de funcionar.
• Actividad en el modem cuando no se está realizando
ningún tipo de comunicación vía red

16. DETECCIÓN III
 Después de la instalación :
 Visualizar tareas desde Firewall o MSDOS con
comando netstat –an (muestra conexiones de red).
 Creación de nuevas librerías DLL.
 Nuevas entradas en el registro windows.
o HKEY_LOCAL_MACHINESOFTWARE....
 Nuevas líneas de comando en archivos :
o WIN.INI  “run = ”,“load=”
o SYSTEM.INI  “shell=”

17. SOFTWARE
 Más de 5000 troyanos codificados desde 1997.
 Lenguaje : VB, Delphi, C++
 Sistema Operativo : Windows, Mac, Linux
 Compuesto por :
 Cliente  Instalado en el PC atacante.
 Servidor  Instalado en el PC atacado.
 Ejemplos
* BioNet * Buschtrommel
* BladeRunner 0.80 alpha * NetBus 2.0 pro
* BackOriffice2000 * SubSeven (Sub7)

18. CLIENTE - BioNet
• Gran capacidad defensiva
frente antivirus, antitroyanos y
firewall
•Aprovecha el fallo "Terminate
Process" de Windows
 termina cualquier
aplicación que se esté
ejecutando sin siquiera
avisar al programa
afectado.

19. CLIENTE - Buschtrommel
 Capacidad de
detección de Antivirus
y Firewalls

20. CLIENTE –Buschtrommel II
 Capacidad de
manipulación de
Antivirus

21. CLIENTE –Buschtrommel III
 Capacidad de
manipulación de
Firewalls

22. CLIENTE - BLADERUNNER
 Servidor :
 server.exe
 blade.exe
Entradas de registro:
 HKEY_……Run
 Puertos :
 21-5400-5401-
5402

23. CLIENTE - NetBUS
 Instalación:
 Ïî ìåñòó çàïóñêà
 Servidor :
 NBSvr.exe
 NB20pro.exe
 Registro:
 HKEY_…Run
 HKEY_CURRENT_U
SERNetBus Server
 Puerto :
 20034 (Puede ser
cambiado)

24. CLIENTE - SubSeven
 Servidor:
• v1.3 a v1.5: server.exe
nodll.exe
• v1.6: server.exe
systray.exe traysys.exe …
 Registro :
• v1.3 a v1.5: Run del
win.ini
• v1.6:HKLM…Run
 Puerto :
• 1243-6711-6776

25. CLIENTE - BackOrifice
 Servidor:
 boserve.exe, bo120.exe,
melt.exe, freeze.exe, systray.exe
 Registro:
 HKEY_….RunServices
 Puerto :
 31337-31338-54320

26. ELIMINACIÓN
 Mediante el uso de un antitroyano.
 De forma manual :
1. Eliminación de las entradas de registro y líneas de
comando en los ficheros del sistema.
2. Reinicialización del sistema.
3. Eliminación de ejecutables y librerías
 Mediante el uso del propio cliente (ej. Sub7)

27. Consejos de Seguridad I
 El SO debe estar configurado para mostrar las
extensiones de todos los archivos
 Rechazaremos los archivos cuya extensión
permanezca visible, y no lo sea para otros
archivos que se suponen del mismo tipo.
 Visualizar el estado del sistema con un antivirus
/antitroyanos puntualmente actualizado.
 Escanear el sistema periódicamente.
 Tener activo un firewall
 Comprobar todo fichero que entre en nuestro sistema

28. Consejos de Seguridad II
 Escanear, en caso de tener instalado el win98, el
sistema bajo DOS, por problemas con algunos
caracteres ASCII (como el ALT+255  ‘ ‘).
 Instalar las aplicaciones en carpetas que empiecen por
el carácter ASCII Alt+255 (win98)
 Configurar el antivirus o antitroyanos para que
escanee todos los ficheros y no sólo los de extensiones
predefinidas.