Técnicas de hacking utilizando rootkits y otro tipo de malware y tips de como llevar la seguridad de tu empresa.

1.
Organización Mexicana de Hackers Éticos
Troyanos, backdoors, virus y
gusanos.

2.
2Los trojanos y los backdoors son caminos del hacker
,para ganar acceso al sistema contando con la
caracteristica de ser instalados en el sistema por otro
.programa o por usuarios
Los virus y gusanos son codigos maliciosos destructivos
.para sistemas y redes Los trojanos y los backdoors
. ,son un tipo de virus Por definicion los virus
transportan trojanos ejecutables que infectan a un
.sistema creando un backdoors para los hackers
Definiciones

3.
4 .Esquema general de estos terminos
 VIRUS
➢ Worm
➢ Troyano
✔ Backdoor
Virus

4.
.Backdoors Esunprogramaqueel hacker instalaenunsistemapara
.permitirel acceso
:Ventajas
 .Removerlaevidenciadelaentradainicial deloslogsdel sistema
 .Retener el accesoalamaquina
 Paraocultarloseañadeunnuevoservicioyselepuededarun
,nombredel cual nosesospecheomejoraun utilizar unservicio
,quenucaseuse queesteactivadomanualmenteototalmente
.deshabilitado
Backdoors.

5.
' ( )LosRAT s RemoteAdministrationTrojans sonunaclasede
.backdoorsusadosparahabilitar el accesoremoto Estosproveen
,aparentementeunafuncionusual enel sistema peroal mismo
, .tiempo abrenunpuertodelavictima Unavezqueel RATes
, ,activado sehacepasar por unexecuable interactuandoconlas
llavesderegistroresponsablesdeiniciar losprocesosyalgunas
.vecescreansusupropiosservicios
' .AlgunosRAT sconstandeunclienteyunservidor El servidorse
instalaenlamaquinainfectadayel clienteesusadopor el intruso
.del sistema
Backdoors.

6.
Es un programa malicioso que pasa por un programa inofensivo y se
.encuentran anexos a otros programas o paquetes de software
:Estos pueden causar
 robo o perdida de información
 colapso del sistema
 lentitud de sistemas
 ( )ataques DDOS Distributed Denial of service
 manipular archivos
 controlar procesos
 correr comandos remotos
 actuar como keyloggers
 ver pantallas
 .reiniciar o apagar el sistema victima
Troyanos

7.
Son usualmente instalados en un sistema sin el conocimiento de los
.usuarios
:El trojano puede ser mandado a una victima de diferentes maneras
 Como archivo adjunto en el mensajero
 Adjunto en un correo
 Compartiendo archivos por NetBIOS
 Varios programas como el freeware
 Herramientas para remover spyware
 Optimizadores de sistemas
 Salva pantallas
 musica
 , .fotos juegos y videos
Troyanos

8.
( )Uncanal abierto overt channel es unnormal y legitimo
caminoquelos programas usanpara comunicarse dentro
. (de una computadora ounared Uncanal secreto covert
)channel usacaminos paracomunicarse de una manera
.ilicitadentro del sistema
Los trojanos usanel covert channel paramandar
instrucciones aloscomponentes del servidor para
.comprometer un sistema
Una técnica de covert channel es la llamada tunnelingque
.consta demandar unprotocolosobre otro
Overt and Covert Channels

9.
1. 'RAT s( )-Remote AccessTrojans usado paraobtener acceso al
.sistema
2. -Data Sending Trojans-usadoparaencontrar información y
.mandarlaal hacker
3. Destructive Trojans-usado paraborrar ocorromper archivos enel
.sistema
4. Denial of services Trojans- usado pararealizar unataque de
.denegacion de servicio
5. Proxy Trojans-usadopararealizar tunelesy situar ataques enel
.sistema
6. FTP Trojans. .usado paracrear un FTPserver paracopiar archivos
7. Security Software Disabler Trojans- usado paradetener un
.antivirus
Tipos de Troyanos

10.
Permiten al atacante accesar a una maquina de la red
.interna desde afuera
,En un intervalo de tiempo el servidor trata de
conectarse a un servidor externo para recoger
.comandos a ejecutar
.Conexiones en reversa como ataques

11.
- _TROJ QAZ
-Tini
-ComputerSpy Key Logger
-Beast
-CyberSpy
-SubRoot
-LetMeRule
- 2000Firekiller
-The Hard Drive Killer Pro
- . ,Netcat Usa linea de comandos para abrir puertos TCP y UDP
.regresando una shell remota del sistema
Ejemplos de Troyanos
-DonaldDick
-Netbus
-SubSeven
- 2000BackOrifice
-BoSniffer

12.
-Los programas arrancan sin ninguna intervención del
.usuario
- .El CDROM se abre o cierra
- ,Cambian los wallpapers fondo de pantalla o screen
.saver por si solos
- .Se abre el navegador con sitios que no se le indicaron
- ,En resumen cualquier acción que el usuario no le
.indico realizar
Indicios de ataques

13.
.Es el softwareque sonusados paraentregar untrojano Este
.programa es legitimopero contieneel codigo malicioso
Usualmente son programas comojuegosque sepueden
.instalar facilmente
:Ejemplos
- Graffiti
- 2000Silk Rope
- EliTeWrap
-IconPlus
Wrapping

14.
Sonherramientas generadorasde trojanos que permiteal
.hacker crear supropiotroyano Estas herramientas son
,muy peligrosasporque puedes crear undaño ati mismo si
.notienes los conocimientos de lo que se estahaciendo
:Algunas herramientas son
- SennaSpyGenerator
- . 2.0TrojanHorse ConstructionKit v
- Progenic Mail Trojan Construction Kit
- 'Pandora s Box
Kits para Construcción de Troyanos

15.
Tener un antivirus en modo de monitoreo y no instalar
.software free Se pueden utilizar herramientas de
monitoreo de puertos para vigilar la actividad de los
.mismos
Medidas de prevención contra troyanos

16.
,Unvirus yungusanos sonsimilares ambos sonmalwarey su
.diferenciaradica ensuformade propagacion
Unvirus infecta unarchivo ejecutable ylo usapara
.reproducirse por este medio El código del virus es
inyectadoenunprogramabenignoy esperaaquese
, ,ejecute el programa esto funciona por ejemploenmacros
, , ,juegos adjuntos encorreos script de visual basic
, .animaciones etc
,El gusanoes untipo devirus perosereplica
, .automaticamente nonecesitade unprogramaasociado
Virus y Gusanos

17.
:Se clasificanacorde ados factores que infectay comolo
.hace El virus puede infectar los siguientescomponentes
:del sistema
- .Sectores del sistema
- Archivos
- Macros
- ArchivosDLL eINI
- Clustersde discos
- ArchivosBatch
- Códigofuente
Tipos de virus

18.
.La infección del virus es a traves de la interaccion con el sistema Los
:virus son categorizados conforme a su técnica de infección
 .Polymorphic viruses Encripta el código de varias maneras en cada
infección y puede cargar los diferentes formas para evadir su
.detección
 .Stealth viruses ,Esconde las caracteristicas normales del virus tal
como el tiempo y la fecha del archivo infectado para prevenir que se
.detecte un nuevo archivo y sea escaneado
 Fast and slow infectors. Evade la detección por una infección muy
.rapida o lenta
 .Sparse infectors .Infectan solo a pequeños sistemas y aplicaciones
Como se extiende e infecta un virus

19.
 .Armored viruses .Estan encriptados para prevenir la deteccion
 Multipartite viruses. Son virus avanzados creado para realizar
- .multi infecciones
 ( - )Cavity Space filler viruses. Atacan áreas vacias o archivos
.vacios
 .Tunneling viruses Son eviados vía diferentes protocolos o
.encriptados para evitar una detección
 .Camouflage viruses .Aparecen como otro programa
 NTFS and Active Directory viruses. Atacan especificamente
.archivos NT o archivos de active directory en sistemas windows
Como se extiende e infecta un virus

20.
Intercepción: monitorea constantemente la actividad del disco o peticiones y
esta formado por un driver virtual dependiendo del S.O.
Los motores de busqueda puede ser:

Comparación de firma de virus: Comparar trozos de código malicioso.

Método heurístico: Analiza procedimientos buscando acciones que puedan
dañar al sistema.
Los antivirus deben ser residentes o sea que estan constantemente vigilando la
actividad y sobre demanda, los cuales realizan escaneos cuando se le indica.
Que hace un antivirus?

21.
// Melissa Virus Source Code
_ ()Private Sub Document Open
On Error Resume Next
. ("",If System PrivateProfileString
" _ _ 9.0 ", " ") <> ""HKEY CURRENT USER Software Microsoft Office Word Security Level
Then
(" "). (" ..."). =CommandBars Macro Controls Security Enabled False
. ("",System PrivateProfileString
" _ _ 9.0 ", " ") = 1&HKEY CURRENT USER Software Microsoft Office Word Security Level
Else
(" "). (" "). =CommandBars Tools Controls Macro Enabled False
. = (1 - 1): . = (1 - 1):Options ConfirmConversions Options VirusProtection
. = (1 - 1)Options SaveNormalPrompt
End If
, ,Dim UngaDasOutlook DasMapiName BreakUmOffASlice
= (" . ")Set UngaDasOutlook CreateObject Outlook Application
= . (" ")Set DasMapiName UngaDasOutlook GetNameSpace MAPI
. ("",If System PrivateProfileString
" _ _ ", " ?") <> "... "HKEY CURRENT USER Software Microsoft Office Melissa by Kwyjibo
Then
= " "If UngaDasOutlook Outlook Then
. " ", " "DasMapiName Logon profile password
..........
:codigo completo en
:// .62 . . /62 / / .http www nds co nz nds documents melissa txt
Ejemplo: Trozo de Código virus Melissa.

22.
Final
Preguntas??
GRACIAS
Javier–-demos
fj@omhe.org