Академический Документы
Профессиональный Документы
Культура Документы
Malware
Agenda
Troyanos and Backdoors
Qu es un troyano? Canales overt y canales covert Diferentes tipos de Troyanos Comprendiendo como trabaja Netcat Indicadores de un ataque por troyanos Concepto de Wrapping Kits de construcciones de troyanos y generadores de troyanos Contramedidas para prevenir ataques por troyanos Verificacin del sistema de archivos como contramedida para el ataque por troyanos
Agenda (Cont.)
Virus y Gusanos
Qu es un virus? Diferencias entre Virus y Gusanos Distintos tipos de Virus Comprendiendo las tcnicas de evasin de Antivirus Comprendiendo los mtodos de deteccin de virus
Generalidades
Los troyanos y backdoors son dos formas por las cuales un atacante puede obtener acceso al sistema. La particularidad de ambos es que tienen que ser instalados por otro programa o bien el usuario debe ser engaado para instalar l mismo el troyano o backdoor. Los virus y gusanos pueden ser igual de destructivos en sistemas y redes.
Es comn que muchos virus contengan troyanos para infectar el sistema creando backdoors
Generalidades (Cont.)
Es importante conocer los distintos tipo de malware, ya que son herramientas muy utilizadas por atacantes para comprometer sistemas. Ataques a la privacidad, productividad, disponibilidad e integridad suelen ser tambin, producidos a partir de este tipo de amenazas. Como profesional se deber estar preparado para identificar los aspectos de las variantes conocidas de Cdigo Malicioso, as como su alcance y contramedidas asociadas.
Troyanos y Backdoors
Un backdoor (o puerta trasera) es un programa o set de ellos que los atacantes instalan en un sistema y cuyo objetivo es permitirles el acceso al sistema cuando lo deseen. Otro objetivo de los backdoors es limpiar la evidencia del primer ingreso al sistema del o los archivos de logs. Incluso si la instrusin es detectada y solucionada, el backdoor puede as y todo, permitirle volver a tomar control del equipo vctima. En los sistemas Windows, la tcnica ms comn para enmascarar un backdoor es agregando un nuevo servicio.
Ethical Hacker Security Training Malware Copyright 2008 SIClabs 6
El servicio backdoreado brinda al atacante elevados privilegios, en la mayora de los casos, de la cuenta System.
Qu es un Troyano?
Un troyano es un programa que se enmascara como benigno cuando en verdad posee fines maliciosos. Toma el nombre en relacin al relato de la mitologa griega del Caballo de Troya. Instalado en el sistema, puede causar robo, prdida de datos y cuelgues del sistema. Tambin pueden utilizarse como puntos de lanzamiento para otros tipos de ataques, como por ejemplo denegacin de servicio distribuida (DDoS). La mayora de los troyanos se utilizan para manipular archivos y procesos en los equipos vctima, ejecutar comandos remotamente, capturar secuencias ingresadas por teclado, tomar capturas de pantalla y reiniciar o apagar equipos infectados.
Qu es un Troyano? (Cont.)
Los troyanos suelen presentarse como un programa aparentemente inofensivo, pretendiendo ser algo que no son o hacer algo que no hacen. No necesariamente requieren intervencin del usuario. Se suelen enviar como adjuntos de correo, fingiendo ser una utilidad de sistema, otras veces como parte integral de una aplicacin lcita previamente troyanizada, aunque desde el punto de vista especfico de su difusin, son capaces de aprovechar cualquiera de los mtodos utilizados por los virus informticos. Ms especficamente, pueden tomar la forma de programas de distribucin freeware, herramientas de eliminacin de malware, optimizadores del sistema, protectores de pantalla, msica, juegos, videos y un largo etctera.
Ethical Hacker Security Training Malware Copyright 2008 SIClabs
10
Qu es un Troyano? (Cont.)
Ciertas herramientas disponibles en la actualidad, permiten ocultar un troyano, en casi cualquier tipo de archivo o aplicacin. A continuacin una lista de algunos troyanos famosos:
11
12
13
Data-Sending Trojans:
Se utilizan para encontrar determinados tipos de datos y enviarlos al atacante.
Destructive Trojans:
Se utilizan para borrar o corromper archivos en un sistema.
14
Proxy Trojans:
Utilizados para tunelizar trfico o lanzar ataques a travs de otros sistemas.
FTP Trojans:
Se utilizan para disponer de un servidor FTP y as poder copiar archivos a un sistema.
15
16
17
Concepto de Wrapping
Los wrappers son programas que pueden utilizarse para disfrazar troyanos. Combinan un archivo legtimo con un troyano y ambos pasan a formar parte de un nico archivo ejecutable. Usualmente algunos juegos y otras aplicaciones animadas son utilizadas como wrappers, ya que engaan y entretienen al usuario mientras el troyano se instala. Herramientas consideradas por CEH:
Graffiti Silk Rope 2000 EliTeWrap IconPlus
Ethical Hacker Security Training Malware Copyright 2008 SIClabs 18
20
21
22
23
Otra herramienta que analiza cuando un archivo fue reemplazado por un troyano es System File Checker. Si detecta que un archivo fue sobrescrito, lo reemplaza con una copia desde la carpeta Windows\system32\dllcache y sobrescribe el archivo sospechoso.
Ethical Hacker Security Training Malware Copyright 2008 SIClabs 24
Verificacin de Integridad de Archivos Como Contramedida Para el Ataque por Troyanos (Cont.)
En sistemas Linux una herramienta que se utiliza para chequeos de integridad es Tripwire. No est enfocada solo a la deteccin de archivos troyanizados, sino a la verificacin de integridad del sistema en trminos generales. Otra herramientas que realizan chequeos de integridad, deteccin de rootkits, etc, y pueden utilizarse para este tipo de deteccin son:
AIDE (Advanced Intrusion Detection Environment) AFICK (Another File Integrity Checker) FCheck Samhain Osiris
25
Verificacin de Integridad de Archivos Como Contramedida Para el Ataque por Troyanos (Cont.)
Salida de la Ayuda de FCheck
[Mordor]:~# fcheck Usage: fcheck [-acdfhilrsvx] [config filename] [directory] Used to validate creation dates of critical system files. Version: 1.1 2001/03/23 11 Options: -a Automatic mode, do all directories in configuration file. -c Create base-line database. -d Directory names are to be monitored for changes also. -f Use alternate 'config filename' to initiate from. -h Append the $HOSTNAME to the configuration filename. -i Ignore create dates, check permissions, additions, deletions. -l Log information to logger rather than stdout messages. -r Reporter mode that lists individual files too. -s Sign each file with a CRC/hash signature. -v Verbose mode. -x eXtended Unix checks - Nlinks, UID, GID, Major/Minor numbers.
26
Virus y Gusanos
Los virus y gusanos pueden utilizarse para infectar y modificar un sistema de forma tal que un atacante pueda obtener acceso. Uno de los problemas asociados a los virus es que suelen ser los portadores de otras amenazas, como por ejemplo troyanos y backoors, propagndose de sistema en sistema y distribuyndose entre los usuarios.
27
Qu es un virus?
Un virus es una pieza de software diseada para infectar un sistema informtico. En esencia no son ms que pequeos componentes de software, desarrollados en lenguajes de alto nivel, bajo nivel e hbridos (C, C++, Assembler, etc.). Traen aparejados problemas tales como:
La eliminacin de archivos claves del sistema operativo La destruccin de particiones de discos duros Y en algunos casos, pueden daar el firmware del equipo de la vctima.
28
Qu es un virus? (Cont.)
La mayora de ellos pueden atacar nuevos sistemas y distribuirse tanto como les sea posible, causando frecuentemente ataques de denegacin de servicio. Algunos virus menos dainos, suelen causar distintos tipos de inconvenientes, consumiendo espacio de almacenamiento, memoria y saturando recursos del equipo infectado. En funcin del comportamiento, surgieron variantes respecto a la clasificacin de los virus.
29
30
10
31
32
Tipos de Virus
Los virus se clasifican en funcin de dos factores:
Qu infectan? Cmo lo infectan?
33
11
34
35
36
12
37
38
39
13
40
41
42
14
43
44
15
46
Malware
48
16
Malware
Preguntas?
17