2. INDICE
¿ QUE SON ?
TIPOS
FUNCIONAMIENTO
CAPACIDADES DE CONTROL
USOS DE LOS TROYANOS
FORMAS DE CONTAGIO
FORMAS DE COMUNICACIÓN
DETECCIÓN
SOFTWARE DISPONIBLE
ELIMINACIÓN
CONSEJOS DE SEGURIDAD
3. ¿QUE SON?
Código ‘maligno’ dentro de código que se supone bueno.
Aplicaciones que realizan tareas para las cuales no se
suponen programadas (crear ficheros, borrar
ficheros...etc).
Herramientas de administración remota (RAT)
Conexión directa con el PC infectado.
Características :
Aprovechan bugs y puertas traseras.
Sólo el cliente es consciente de la comunicación
Sólo el cliente tiene capacidad de control.
4. TIPOS
Según sus formas de actuación :
Troyanos de acceso remoto.
Troyanos de correo.
Keyloggers.
Fake Trojans ( Falso troyano).
Troyanos de FTP.
Troyanos de telnet.
Troyanos de forma.
5. FUNCIONAMIENTO
Instalación :
Configuración TSR .- Terminate and Stay resident program
Atributos invisibles
Actuación :
El troyano trabaja en puertos predeterminados, aunque
pueden ser modificados en los troyanos más avanzados.
A través del editor de servidores, se puede configurar la
actuación del troyano. (dependiendo del SO, de los
motivos del ataque...etc).
Mediante el editor de clientes, el troyano se puede
actualizar on-line (mediante parches o similares).
6. CAPACIDADES DE CONTROL I
Manejo del ratón , teclado, escritorio.. Etc
Acceso al registro de windows.
Listar/Búsqueda archivos (DIR)
Capturar pantallas.
Abrir ventanas con textos personalizados.
Cambiar su identificación (para que en caso de que lo
detectemos lo confundamos con otro programa).
Elegir la ejecución o no del troyano en cada inicio de
windows.
7. CAPACIDADES DE CONTROL II
Borrado del ejecutable original del troyano (el del
programa de instalación, vamos).
Ejecutar sonidos.
Comprimir/descomprimir archivos.
Desconectar el troyano cuando el usuario infectado
termine la comunicación.
Colgar el PC.
Captación de contraseñas (DNS, correo, salvapantallas,
usuarios,..).
Guardar las teclas pulsadas en el teclado en un LOG
(capturar el teclado).
8. CAPACIDADES DE CONTROL III
Crear/borrar carpetas.
Enviar/recibir archivos.
Copiar/borrar/renombrar/ejecutar/modificar archivos.
Iniciar/detener procesos.
Mostrar la lista de programas en ejecución.
Acceder a los recursos de red del PC.
Navegar por internet desde el PC infectado usando la IP
del mismo.
9. CAPACIDADES DE CONTROL IV
Activación de comunicación encriptada con el cliente.
Capacidad de actualización on-line del troyano con
nuevos plugins.
Compartir unidades.
Acceso total al navegador de Internet y en buena parte al
correo electrónico.
Acceder a sistemas de captura de video
(videoconferencia,webcam) ,lo que podría permitir un
espionaje visual.
10. USOS DE LOS TROYANOS
A expensas del atacante :
Utilizarlo como herramienta de acceso remoto.
Acceso no permitido a datos (cualquier tipo de
archivo) .
Molestar.
Por afán de superación.
Para mantener el contacto con el PC infectado.
• De pasarela para atacar otros sistemas
11. FORMAS DE CONTAGIO
Contagio .- ¿ Como hacer que el servidor llegue a un PC ?
Vía e-mail.
Intercambio de fichero (IRC, ICQ, FTP....).
Hackeando el PC :
• Insertar el troyano en un fichero.
• Instalar el troyano directamente.
Engaños .- ¿ Cómo hacer que se instale ?
Fichero renombrado y con doble extensión.
Adhesión del troyano a un fichero real.
12. COMUNICACIÓN
El atacante necesita dir IP de la víctima que puede ser:
Estática (modem de 56kbs)
Dinámica y cambiar en cada conexión (ADSL)
En caso de ser estática el atacante podrá volver a
conectarse a la misma dirección sin ningún problema
En caso de ser dinámica el servidor del troyano quien la
proporciona de diversas maneras
13. COMUNICACIÓN II
Métodos de Notificación de la dirección IP
Notificación automática:
• Vía e-mail, a una dirección predeterminada
• A una dirección IP
Búsqueda manual :
• Escaneo puertos
14. DETECCIÓN I
Antes de la instalación :
Comprobación :
• ¿Posee extensión doble?
• Tamaño del archivo con respecto al tipo.
Recomendable : Escaneo de todos los archivos
recibidos con un antivirus/antitroyanos.
15. DETECCIÓN II
Después de la instalación :
Atacante indiscreto:
• Aparición y/o desaparición de archivos
• Ralentización del sistema
• Inicialización/Finalización de programas sin
justificación.
• La bandeja del CD se abre/cierra sin motivo
• El teclado deja de funcionar.
• Actividad en el modem cuando no se está realizando
ningún tipo de comunicación vía red
16. DETECCIÓN III
Después de la instalación :
Visualizar tareas desde Firewall o MSDOS con
comando netstat –an (muestra conexiones de red).
Creación de nuevas librerías DLL.
Nuevas entradas en el registro windows.
o HKEY_LOCAL_MACHINESOFTWARE....
Nuevas líneas de comando en archivos :
o WIN.INI “run = ”,“load=”
o SYSTEM.INI “shell=”
17. SOFTWARE
Más de 5000 troyanos codificados desde 1997.
Lenguaje : VB, Delphi, C++
Sistema Operativo : Windows, Mac, Linux
Compuesto por :
Cliente Instalado en el PC atacante.
Servidor Instalado en el PC atacado.
Ejemplos
* BioNet * Buschtrommel
* BladeRunner 0.80 alpha * NetBus 2.0 pro
* BackOriffice2000 * SubSeven (Sub7)
18. CLIENTE - BioNet
• Gran capacidad defensiva
frente antivirus, antitroyanos y
firewall
•Aprovecha el fallo "Terminate
Process" de Windows
termina cualquier
aplicación que se esté
ejecutando sin siquiera
avisar al programa
afectado.
26. ELIMINACIÓN
Mediante el uso de un antitroyano.
De forma manual :
1. Eliminación de las entradas de registro y líneas de
comando en los ficheros del sistema.
2. Reinicialización del sistema.
3. Eliminación de ejecutables y librerías
Mediante el uso del propio cliente (ej. Sub7)
27. Consejos de Seguridad I
El SO debe estar configurado para mostrar las
extensiones de todos los archivos
Rechazaremos los archivos cuya extensión
permanezca visible, y no lo sea para otros
archivos que se suponen del mismo tipo.
Visualizar el estado del sistema con un antivirus
/antitroyanos puntualmente actualizado.
Escanear el sistema periódicamente.
Tener activo un firewall
Comprobar todo fichero que entre en nuestro sistema
28. Consejos de Seguridad II
Escanear, en caso de tener instalado el win98, el
sistema bajo DOS, por problemas con algunos
caracteres ASCII (como el ALT+255 ‘ ‘).
Instalar las aplicaciones en carpetas que empiecen por
el carácter ASCII Alt+255 (win98)
Configurar el antivirus o antitroyanos para que
escanee todos los ficheros y no sólo los de extensiones
predefinidas.