Este documento describe las funciones y configuración del troyano OptixPro. Explica cómo configurar un servidor para ocultar su presencia, generar un archivo ejecutable con un icono engañoso, y ocultar su proceso. También cubre el uso del cliente para conectarse al servidor, robar y transferir archivos, capturar información del sistema, keylogger y duplicación de pantalla para espiar al usuario. El objetivo final es probar las capacidades de este troyano de forma encubierta en máquinas virtuales.

1. Manipulación Troyanos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESPECIALIZACION EN SEGURIDAD INFORMATICA
SEGURIDAD EN BASES DE DATOS
2013

2. Integrantes
ALEXANDRA MILENA GONZALEZ
GUSTAVO ADOLFO RODRIGUEZ ALONSO
JOSE DANIEL GUERRA
ORLANDO GOMEZ
VIANNEY DARIO RODRIGUEZ TORRES

3. Ejecucion Builder
Luego de verificar el contenido del paquede OptixPro, se debe
ingresar ejecutar el archivo “Builder”, allí aparece la
explicación del autor del programa, y una confirmación de
haber leído las condiciones de uso.

4. Configuración Servidor
La ejecución del constructor del servidor lo llevara a la pantalla
principal, donde se encuentra el menú de opciones, de las cuales solo
algunas se deberán configurar, las demás funcionan correctamente con
los parámetros por defecto

5. Lo primero que se debe configurar es una contraseña para el
servidor, así se garantiza que nadie mas se podrá conectar al servidor
de OptixPro. Los demás parámetros de deben dejar por defecto, estos
corresponden a la forma como el cliente recibirá las notificaciones y
demás datos que se puedan capturar del host victima y el puerto de
comunicación (3410). La opción esta en el menú “main
Information”, “general Information

6. Para poder ocultar las intenciones de infección con este troyano, se puede
generar el archivo del servidor con una variedad de iconos característicos del
sistema operativo Windows, esto genera confianza en la victima y permite la
ejecución sin mucho problema. Cabe resaltar que solamente se trata de un
truco visual, los Antivirus actuales están en capacidad de detectar el código
malicioso dentro del programa, por lo tanto se deberá integrar otras
herramientas de ocultación ante el software de seguridad, aquí se limitara a
utilizar un icono adecuado para la prueba. Opción “Server Icon”.

7. En el menú “StartUp & Instalation”, se encuentra una opción
interesante y necesaria cuando se hacen pruebas de infección, aquí es
posible seleccionar el Registro del sistema objetivo, en este caso se
usara “Run All OS”, pero para que no se pierda el programa servidor en
el registro de Windows, se le dará el nombre “UNAD2013”

8. Adicional se deberá ocultar el proceso activo en el sistema operativo, el cual es
posible detectarlo en Administrador de Tareas si este no llevara un nombre algo
convincente, en este caso se utilizara “msiexec32.exe”, igualmente si es con el
objeto de una prueba, cualquier nombre que allí se indique funcionara. Las
demás opciones como “Windows Directory” o “System Directory” y Melt Server
After Instalation, esta por defecto de esta forma y así se conservaron para el
caso de este ejercicio.

9. En el menú “Firewall& AVS Evasion”, esta la configuración
de una de sus mejores cualidades, la ocultación, aquí se
define que herramientas queremos evadir, por defecto el
programa configura las tres opciones

10. Ya realizados los pasos de configuración del servidor, se debe construir
el programa, usando la opción “Build/Create Server:”, allí el programa
pedirá una ruta para guardar el archivo que quedara con extensión de
ejecutable EXE. Seguido de esto el programa confirmara la
construcción del archivo, solo es necesario salir con “OK All done!”. El
archivo se llamara “campus_unad”.

11. Archivo Generado

12. Se debe contar con al menos un computador que haga las veces de servidor y otro que haga las veces de
cliente, por lo tanto se debe copiar y ejecutar nuestro archivo “campus_unad.exe” en el host victima. En
este ejemplo se conto con 2 maquinas virtuales Windows XP Profesional con conexión independiente a la
red, y las siguientes IP: y El archivo ejecutable se pasara al servidor por medio de una carpeta compartida
en la red, sin embargo para efectos reales del uso de este troyano, el atacante se vale de métodos muy
eficientes e indetectables que no están en el detalle de uso del troyano.
Cliente: 192.168.2.50
Servidor: 192.168.2.40

13. Por medio de una herramienta como Nmap se puede
confirmar que este conectados a la misma red para
proseguir con la prueba

14. Archivo “Campus_unad.exe” en servidor
Copia Archivo “Campus_unad.exe”

15. USO DEL PROGRAMA CLIENTE
En las carpetas que se descomprimieron del paquete inicial, esta el
directorio del cliente el archivo “Optrix-Client”, se debe ejecutar para
llegar al programa. Al inicio del programa también pide confirmación
de un texto para garantizar que se leyeron las condiciones de uso del
programa, y una elección del idioma a utilizar, el cual esta en un
archivo incluido en la misma

16. En esta ventana principal del programa se encuentra el
menú al margen izquierdo, y los campos para IP, puerto y
password en la parte superior. Es aquí donde se deberá
usar la contraseña parametrizada en la construcción del
servidor.

17. Después de la confirmación de conexión satisfactoria, basta con
explorar la gran cantidad de opciones para capturar información
y monitorear, aquí se muestra la opción de administrador de
archivos, donde con un escaneo en el botón
“GetDrives”, muestra sin problemas todos los archivos del disco
duro del host victima.

18. También es posible hacer copias de archivos de una
carpeta a otra, ya que “OpticPro Client” cuenta con todas
las opciones de manejo de archivos del Explorador de
archivos de Windows, incluso transferirlos hacia el cliente.
Copiar archivo PDF
Pegar archivo PDF en otra ruta

19. Carpeta Mis
Imágenes en el
Host Victima
Escritorio del Cliente

20. Es posible visualizar la información completa de la
instalación de Windows y su principal hardware, desde el
menú, “Information”, allí también se encuentran opciones
para captura de contraseñas del sistema.

21. Otra de las opciones que permite realizar este cliente es
el envío de mensajes en pantalla al host victima, con las
propiedades graficas de Windows
Configuración Mensaje
en OptixPro Client
Visualización en el servidor

22. Una de las propiedades mas utilizadas de este troyano es el
KeyLogger, donde podemos capturar del teclado toda la información
que ingrese la victima, como usuarios, contraseñas, o cualquier
información privada. En este ejemplo se ingreso desde el navegador
Google Chrome a la URL www.unad.edu.co, y se digito un usuario y una
contraseña. En corchetes de notificación (parametrizados en el
servidor) esta la acción de tabulación efectuada en el navegador.

23. La duplicación de pantalla en tiempo real es otra forma de espiar al
servidor infectado. Estas opciones pueden funcionar al mismo tiempo,
por lo tanto mientras el keyLogger esta capturando información en
modo texto, el atacante podrá ver todo lo que la victima ve en su
pantalla, incluso ver cuando se hace un Click desde el mouse.
Dependiendo la velocidad de la red, se pueden hacer ajustes de
velocidad, color y refresco.

24. En el menú “Humor/Fun Stuff”, es posible hacer bromas a la victima,
como abrir y cerrar la bandeja de CD-ROM, invertir los botones del
mouse, bloquear teclado y mouse, hacer parpadeo de las luces de
teclado, etc, debido a la condición de maquina virtual no se
recomienda usar estas opciones debido a que podrían ser transmitidas a
la maquina host.

25. Creación de mensaje
desde cliente.
Visualización de la
broma en la pantalla
del servidor.