Introducción:Los objetivos de Desarrollo Sostenible
Infome ataque troyano
1. EJECUCION RAT (REMOTE
ADMINISTRATION TOOL) Troyano
Presentado a: Ing. Jesús Emiro Vega
Presentado por:
Magda Lorena Zúñiga
Omaira Figueroa
Sonia Huérfano Duarte
Verónica Triviño Rodríguez
Grupo 233009_5
Seguridad en Bases de Datos
2. • Software Utilizado
• Para esta práctica se tienen dos maquinas virtuales ambas en
modo puente para la conexión entre ambas de igual forma se
pudo establecer como red interna, en este caso se uso una
maquina en VMWare y otra en VirtualBox que simulan dos
maquinas en dos segmentos de red diferentes.
• El RAT Utilizado se llama Poison Ivy del cual este es el
siguiente link en donde se encuentra su descarga y su
correspondiente documentación
• Link Poison Ivy: http://www.poisonivy-rat.com
4. • Para la configuración del server o archivo que será nuestro
malware y que ejecutara nuestra victima damos en la ruta:
• FILE => NEW SERVER
• Esta pantalla nos muestra los profiles o en otras palabras
todas los servers que hemos creado para los diferentes
clientes. Para crear una solo basta con darle en Create Profile
5. • Create Profile
• nos pide un nombre del profile en este caso se llama prueba y
nos pide en la primera pantalla la información de conexión
que nuestro malware debe utilizar para conectarse al
command control, dentro esta información tenemos
6. • Dirección IP del command control en este caso el command
control se encuentra en la dirección 192.168.64.135
7. • Como segundo dato de conexión nos pide un puerto en
donde se establecerá la conexión en nuestro ejemplo el
puerto utilizado es el 1337 el cual ingresamos junto con la
dirección IP en el botón Add
9. • Como se ve en la imagen anterior se indica que se auto-inicie
en el registro por una llave aleatoria y un nombre que le
demos a esta llave en este caso Prueba, también se le indica
en que directorio se debe instalar(sistema, Windows) y si está
escondido por Data Streams que es una vulnerabilidad de
sistema operativos Windows en donde se puede esconder
cualquier tipo de información en cualquier otro archivo
incluso con peso de 0 bytes .
• En la siguiente pantalla se configura el modo en que este
malware se debe instalar
11. • La siguiente pantalla muestra las configuraciones avanzadas
en donde se pone una cadena la cual va utilizar el malware
para cifrarse y de esta forma saltar los antivirus , también
están las opciones de inyección de procesos que es una de las
técnicas mas usadas en el malware en donde este se camufla
dentro de otro proceso válido. En este ejemplo se inyecta en
el explorer.exe , esta ventana también no indica que formato
de binario es, si es un PE o si va utilizar una shells para
interpretarse y ejecutarse.
12. • La pantalla siguiente es el Build en donde se genera el
ejecutable (exe) con todas nuestras configuraciones solo se le
da click en generate para que lo genere y luego en ok para
que guarde este perfil.
13. • Ya creado el ejecutable solo falta un paso para terminar la
configuración, este paso es poner el command control a la
escucha en el puerto en el que creamos el server que es el
1337 para realizar eso solo basta con ir al menú FILE => New
Client en lo que nos mostrara la asignación del puerto de
escucha de conexiones.
14. • Después de haber indicado esta información solo basta con
darle start para comenzar a esperar conexiones de clientes
(victimas) .
• Para confirmar esta configuración del puerto en escucha basta
con que en una consola de DOS se coloque el siguiente
comando netstat -an | find “1337” lo que significa que
muestre todas las conexiones abiertas o en escucha en el
protocolo TCP y en e l puerto 1337 , para lo cual el comando
nos muestra que se encuentra escuchando peticiones de
todas las direcciones en el puerto 1337 (0.0.0.0:1337) y se
encuentra actualmente en estado LISTENING (escuchando) ,
con esto estamos seguros de que quedo bien configurado el
puerto, ahora solo basta con enviar el malware y espera la
conexión, en nuestro ejemplo la ejecución es desde una
segunda maquina virtual es decir desde nuestro entorno
controlado.
15. • Después de haberlo ejecutado en nuestra maquina víctima no
observamos cambio alguno pero si vemos las conexiones
activas después de la ejecución observamos que se establece
una conexión a la ip y en el puerto de nuestro comand
control.
•
16. • Como se puede observar en la pantalla anterior se establece
la conexión desde la dirección 192.168.64.134 hacia la
192.168.64.135 en el puerto 1337 en estado ESTABLISHED y
observando el command control podemos ver la conexión que
se ha establecido
•
17. • A partir de este momento con los clientes conectados en este
caso la máquina de pruebas podemos administrar todo el
sistema con los permisos con los que fue ejecutado el
malware.
• Para administrar y ver todas las opciones de nuestro
command control y de la victima solo basta con dar doble
Click sobre la víctima y nos aparecerá la siguiente pantalla
18. • En la pantalla anterior vemos todas las opciones que podemos
tener con el command control hacia la maquina remota,
desde editar el registro, hasta ver su webcam y escritorio
remoto.
19. • A continuación solo dos de las opciones más importantes que
es ver archivos remotos y la pantalla remota
• Pantalla Remota
21. • MEDIDAS DE SEGURIDAD CONTRA ESTOS ATAQUES
• Factor humano: por esto se entiende el personal de una
empresa, nosotros mismos y cualquier persona que entre en
internet en sus diferentes redes (LAN , WAN , ETC), entonces
qué medidas tenemos que tener como mínimo para no ser
víctimas de un ciber delincuente?
• 1. Si somos y pertenecemos a una red empresarial, los
cuidados están en el administrador de la red en donde el
hardware y software perimetral que administre este bien
configurado (IDS, FIREWALLS, ETC) desde el filtrado correcto
de contenido de todo aquel que tenga acceso a internet hasta
la administración de las cuentas de correo que es el medio en
donde se llega directo a una persona.
•
22. • 2. Si hablamos de usuarios con conocimientos mínimos de
seguridad, los cuidados aparte de desconfiar de todo lo que
nos envían, es tener nuestro software antivirus actualizado
y/o utilizar un sistema operativo no tan propensos a estos
ataques (GNU/Linux) ya que por ejemplo en Linux, estos
ataques no son tan comunes pues aunque hay malware para
Linux , son ataques perfilados mientras que la propagación de
un malware por un delincuente informático el objetivo son
maquinas que utilizan Microsoft Windows.
• No importa cuáles sean nuestras medidas básicas de
seguridad (Antivirus o Firewall), siempre habrán formas de
evadir el antivirus u otras formas de protección , no obstante
es mejor hacer que el riesgo sea menor teniendo todo
nuestro software actualizado y bien configurado.