Paredes– Paul
Troyanos
Seguridad en Redes
INDICE
 ¿ QUE SON ?
 TIPOS
 FUNCIONAMIENTO
 CAPACIDADES DE CONTROL
 USOS DE LOS TROYANOS
 FORMAS DE CONTAGIO
 FORMA...
¿QUE SON?
 Código ‘maligno’ dentro de código que se supone bueno.
 Aplicaciones que realizan tareas para las cuales no s...
TIPOS
 Según sus formas de actuación :
 Troyanos de acceso remoto.
 Troyanos de correo.
 Keyloggers.
 Fake Trojans ( ...
FUNCIONAMIENTO
 Instalación :
 Configuración TSR .- Terminate and Stay resident program
 Atributos invisibles
 Actuaci...
CAPACIDADES DE CONTROL I
 Manejo del ratón , teclado, escritorio.. Etc
 Acceso al registro de windows.
 Listar/Búsqueda...
CAPACIDADES DE CONTROL II
 Borrado del ejecutable original del troyano (el del
programa de instalación, vamos).
 Ejecuta...
CAPACIDADES DE CONTROL III
 Crear/borrar carpetas.
 Enviar/recibir archivos.
 Copiar/borrar/renombrar/ejecutar/modifica...
CAPACIDADES DE CONTROL IV
 Activación de comunicación encriptada con el cliente.
 Capacidad de actualización on-line del...
USOS DE LOS TROYANOS
 A expensas del atacante :
 Utilizarlo como herramienta de acceso remoto.
 Acceso no permitido a d...
FORMAS DE CONTAGIO
 Contagio .- ¿ Como hacer que el servidor llegue a un PC ?
 Vía e-mail.
 Intercambio de fichero (IRC...
COMUNICACIÓN
 El atacante necesita dir IP de la víctima que puede ser:
 Estática (modem de 56kbs)
 Dinámica y cambiar e...
COMUNICACIÓN II
Métodos de Notificación de la dirección IP
 Notificación automática:
• Vía e-mail, a una dirección prede...
DETECCIÓN I
 Antes de la instalación :
 Comprobación :
• ¿Posee extensión doble?
• Tamaño del archivo con respecto al ti...
DETECCIÓN II
Después de la instalación :
 Atacante indiscreto:
• Aparición y/o desaparición de archivos
• Ralentización ...
DETECCIÓN III
 Después de la instalación :
 Visualizar tareas desde Firewall o MSDOS con
comando netstat –an (muestra co...
SOFTWARE
 Más de 5000 troyanos codificados desde 1997.
 Lenguaje : VB, Delphi, C++
 Sistema Operativo : Windows, Mac, L...
CLIENTE - BioNet
• Gran capacidad defensiva
frente antivirus, antitroyanos y
firewall
•Aprovecha el fallo "Terminate
Proce...
CLIENTE - Buschtrommel
 Capacidad de
detección de Antivirus
y Firewalls
CLIENTE –Buschtrommel II
 Capacidad de
manipulación de
Antivirus
CLIENTE –Buschtrommel III
 Capacidad de
manipulación de
Firewalls
CLIENTE - BLADERUNNER
 Servidor :
 server.exe
 blade.exe
Entradas de registro:
 HKEY_……Run
 Puertos :
 21-5400-5401...
CLIENTE - NetBUS
 Instalación:
 Ïî ìåñòó çàïóñêà
 Servidor :
 NBSvr.exe
 NB20pro.exe
 Registro:
 HKEY_…Run
 HKEY_C...
CLIENTE - SubSeven
 Servidor:
• v1.3 a v1.5: server.exe
nodll.exe
• v1.6: server.exe
systray.exe traysys.exe …
 Registro...
CLIENTE - BackOrifice
 Servidor:
 boserve.exe, bo120.exe,
melt.exe, freeze.exe, systray.exe
 Registro:
 HKEY_….RunServ...
ELIMINACIÓN
 Mediante el uso de un antitroyano.
 De forma manual :
1. Eliminación de las entradas de registro y líneas d...
Consejos de Seguridad I
 El SO debe estar configurado para mostrar las
extensiones de todos los archivos
 Rechazaremos l...
Consejos de Seguridad II
 Escanear, en caso de tener instalado el win98, el
sistema bajo DOS, por problemas con algunos
c...
Próxima SlideShare
Cargando en…5
×

Troyanos

780 visualizaciones

Publicado el

troyanos

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
780
En SlideShare
0
De insertados
0
Número de insertados
20
Acciones
Compartido
0
Descargas
10
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Troyanos

  1. 1. Paredes– Paul Troyanos Seguridad en Redes
  2. 2. INDICE  ¿ QUE SON ?  TIPOS  FUNCIONAMIENTO  CAPACIDADES DE CONTROL  USOS DE LOS TROYANOS  FORMAS DE CONTAGIO  FORMAS DE COMUNICACIÓN  DETECCIÓN  SOFTWARE DISPONIBLE  ELIMINACIÓN  CONSEJOS DE SEGURIDAD
  3. 3. ¿QUE SON?  Código ‘maligno’ dentro de código que se supone bueno.  Aplicaciones que realizan tareas para las cuales no se suponen programadas (crear ficheros, borrar ficheros...etc).  Herramientas de administración remota (RAT)  Conexión directa con el PC infectado.  Características :  Aprovechan bugs y puertas traseras.  Sólo el cliente es consciente de la comunicación  Sólo el cliente tiene capacidad de control.
  4. 4. TIPOS  Según sus formas de actuación :  Troyanos de acceso remoto.  Troyanos de correo.  Keyloggers.  Fake Trojans ( Falso troyano).  Troyanos de FTP.  Troyanos de telnet.  Troyanos de forma.
  5. 5. FUNCIONAMIENTO  Instalación :  Configuración TSR .- Terminate and Stay resident program  Atributos invisibles  Actuación :  El troyano trabaja en puertos predeterminados, aunque pueden ser modificados en los troyanos más avanzados.  A través del editor de servidores, se puede configurar la actuación del troyano. (dependiendo del SO, de los motivos del ataque...etc).  Mediante el editor de clientes, el troyano se puede actualizar on-line (mediante parches o similares).
  6. 6. CAPACIDADES DE CONTROL I  Manejo del ratón , teclado, escritorio.. Etc  Acceso al registro de windows.  Listar/Búsqueda archivos (DIR)  Capturar pantallas.  Abrir ventanas con textos personalizados. Cambiar su identificación (para que en caso de que lo detectemos lo confundamos con otro programa).  Elegir la ejecución o no del troyano en cada inicio de windows.
  7. 7. CAPACIDADES DE CONTROL II  Borrado del ejecutable original del troyano (el del programa de instalación, vamos).  Ejecutar sonidos.  Comprimir/descomprimir archivos.  Desconectar el troyano cuando el usuario infectado termine la comunicación.  Colgar el PC.  Captación de contraseñas (DNS, correo, salvapantallas, usuarios,..).  Guardar las teclas pulsadas en el teclado en un LOG (capturar el teclado).
  8. 8. CAPACIDADES DE CONTROL III  Crear/borrar carpetas.  Enviar/recibir archivos.  Copiar/borrar/renombrar/ejecutar/modificar archivos.  Iniciar/detener procesos.  Mostrar la lista de programas en ejecución.  Acceder a los recursos de red del PC.  Navegar por internet desde el PC infectado usando la IP del mismo.
  9. 9. CAPACIDADES DE CONTROL IV  Activación de comunicación encriptada con el cliente.  Capacidad de actualización on-line del troyano con nuevos plugins.  Compartir unidades.  Acceso total al navegador de Internet y en buena parte al correo electrónico.  Acceder a sistemas de captura de video (videoconferencia,webcam) ,lo que podría permitir un espionaje visual.
  10. 10. USOS DE LOS TROYANOS  A expensas del atacante :  Utilizarlo como herramienta de acceso remoto.  Acceso no permitido a datos (cualquier tipo de archivo) .  Molestar.  Por afán de superación.  Para mantener el contacto con el PC infectado. • De pasarela para atacar otros sistemas
  11. 11. FORMAS DE CONTAGIO  Contagio .- ¿ Como hacer que el servidor llegue a un PC ?  Vía e-mail.  Intercambio de fichero (IRC, ICQ, FTP....).  Hackeando el PC : • Insertar el troyano en un fichero. • Instalar el troyano directamente.  Engaños .- ¿ Cómo hacer que se instale ?  Fichero renombrado y con doble extensión.  Adhesión del troyano a un fichero real.
  12. 12. COMUNICACIÓN  El atacante necesita dir IP de la víctima que puede ser:  Estática (modem de 56kbs)  Dinámica y cambiar en cada conexión (ADSL)  En caso de ser estática el atacante podrá volver a conectarse a la misma dirección sin ningún problema  En caso de ser dinámica el servidor del troyano quien la proporciona de diversas maneras
  13. 13. COMUNICACIÓN II Métodos de Notificación de la dirección IP  Notificación automática: • Vía e-mail, a una dirección predeterminada • A una dirección IP  Búsqueda manual : • Escaneo puertos
  14. 14. DETECCIÓN I  Antes de la instalación :  Comprobación : • ¿Posee extensión doble? • Tamaño del archivo con respecto al tipo.  Recomendable : Escaneo de todos los archivos recibidos con un antivirus/antitroyanos.
  15. 15. DETECCIÓN II Después de la instalación :  Atacante indiscreto: • Aparición y/o desaparición de archivos • Ralentización del sistema • Inicialización/Finalización de programas sin justificación. • La bandeja del CD se abre/cierra sin motivo • El teclado deja de funcionar. • Actividad en el modem cuando no se está realizando ningún tipo de comunicación vía red
  16. 16. DETECCIÓN III  Después de la instalación :  Visualizar tareas desde Firewall o MSDOS con comando netstat –an (muestra conexiones de red).  Creación de nuevas librerías DLL.  Nuevas entradas en el registro windows. o HKEY_LOCAL_MACHINESOFTWARE....  Nuevas líneas de comando en archivos : o WIN.INI  “run = ”,“load=” o SYSTEM.INI  “shell=”
  17. 17. SOFTWARE  Más de 5000 troyanos codificados desde 1997.  Lenguaje : VB, Delphi, C++  Sistema Operativo : Windows, Mac, Linux  Compuesto por :  Cliente  Instalado en el PC atacante.  Servidor  Instalado en el PC atacado.  Ejemplos * BioNet * Buschtrommel * BladeRunner 0.80 alpha * NetBus 2.0 pro * BackOriffice2000 * SubSeven (Sub7)
  18. 18. CLIENTE - BioNet • Gran capacidad defensiva frente antivirus, antitroyanos y firewall •Aprovecha el fallo "Terminate Process" de Windows  termina cualquier aplicación que se esté ejecutando sin siquiera avisar al programa afectado.
  19. 19. CLIENTE - Buschtrommel  Capacidad de detección de Antivirus y Firewalls
  20. 20. CLIENTE –Buschtrommel II  Capacidad de manipulación de Antivirus
  21. 21. CLIENTE –Buschtrommel III  Capacidad de manipulación de Firewalls
  22. 22. CLIENTE - BLADERUNNER  Servidor :  server.exe  blade.exe Entradas de registro:  HKEY_……Run  Puertos :  21-5400-5401- 5402
  23. 23. CLIENTE - NetBUS  Instalación:  Ïî ìåñòó çàïóñêà  Servidor :  NBSvr.exe  NB20pro.exe  Registro:  HKEY_…Run  HKEY_CURRENT_U SERNetBus Server  Puerto :  20034 (Puede ser cambiado)
  24. 24. CLIENTE - SubSeven  Servidor: • v1.3 a v1.5: server.exe nodll.exe • v1.6: server.exe systray.exe traysys.exe …  Registro : • v1.3 a v1.5: Run del win.ini • v1.6:HKLM…Run  Puerto : • 1243-6711-6776
  25. 25. CLIENTE - BackOrifice  Servidor:  boserve.exe, bo120.exe, melt.exe, freeze.exe, systray.exe  Registro:  HKEY_….RunServices  Puerto :  31337-31338-54320
  26. 26. ELIMINACIÓN  Mediante el uso de un antitroyano.  De forma manual : 1. Eliminación de las entradas de registro y líneas de comando en los ficheros del sistema. 2. Reinicialización del sistema. 3. Eliminación de ejecutables y librerías  Mediante el uso del propio cliente (ej. Sub7)
  27. 27. Consejos de Seguridad I  El SO debe estar configurado para mostrar las extensiones de todos los archivos  Rechazaremos los archivos cuya extensión permanezca visible, y no lo sea para otros archivos que se suponen del mismo tipo.  Visualizar el estado del sistema con un antivirus /antitroyanos puntualmente actualizado.  Escanear el sistema periódicamente.  Tener activo un firewall  Comprobar todo fichero que entre en nuestro sistema
  28. 28. Consejos de Seguridad II  Escanear, en caso de tener instalado el win98, el sistema bajo DOS, por problemas con algunos caracteres ASCII (como el ALT+255  ‘ ‘).  Instalar las aplicaciones en carpetas que empiecen por el carácter ASCII Alt+255 (win98)  Configurar el antivirus o antitroyanos para que escanee todos los ficheros y no sólo los de extensiones predefinidas.

×