UNIDAD 05

Amenazas de Malware

Introduccin
Los troyanos son piezas de cdigo malicioso que contienen

software tipo cracker dirigido a un sistema target.

Son usados para ganar y retener acceso en el sistema target.
A menudo residen en el fondo del sistema y hacen cambios del

registro del sistema target.

La concientizacin y la prevencin son las mejores defensas
contra los troyanos.

Objetivos
Reconocer un ataque de un troyano
Conocer cmo usar un troyano para infectar un sistema.

Reconocer los tipos de troyanos

Contramedidas
Conocer las herramientas anti-troyanos

Planificar un pentesting para troyanos y puertas traseras.

Agenda
Conceptos generales de troyanos
Proceso de infeccin y deteccin de un troyano

Tipos de troyanos
Contramedidas a los troyanos
Software anti-troyano

Conceptos generales
Qu es un Troyano?
Es un programa en el cual cdigo malicioso es introducido aparentemente
sin malas intenciones.
Su finalidad es tomar control y causar dao como arruinar la FAT del
filesystem de un disco duro.
Los troyanos se replican, se esparcen y se activan ante ciertas acciones
predefinidas de los usuarios
Con la ayuda de un troyano un atacante puede acceder a los passwords

almacenados en el target troyanizado y tendra la capacidad de leer

documentos personales, borrar archivos y/o mostrar imgenes

en la pantalla.

Rutas de comunicacin
Canal Overt
Ruta de comunicacin legtima dentro de un sistema o
red para transferir data.
Ejemplo: Juegos o cualquier programa legtimo.

Canal Covert
Canal no autorizado usado para transferir data dentro de
un sistema o red.
Se apoyan en la tcnica del tunneling la cual permite que
un protocolo pueda ser cargado sobre otro protocolo.
La forma ms simple es un Troyano.

Propsitos de un troyano
Borrar o reemplazar archivos crticos del OS.
Generar trfico falso para crear ataques DoS.
Bajar spyware, adware y archivos maliciosos.
Grabar screenshots, audio y video del target.
Borrar informacin : passwords, cdigo seguros, informacin de tarjetas de
crdito usando keylogger.
Deshabilitar firewall y antivirus.
Crear backdoors para ganar acceso remoto.
Infectar el target para convertirlo en un proxy server.
Hacer parte de una botnet al target para ataques DDoS.
Usar el target para enviar spam.
Convertir al target en un FTP Server de software pirata.

Indicios de un ataque por troyano

El cd-rom drive se abre y cierra sin intervencin.
El browser es redirigido a pginas desconocidas.
Ventanas de chat aparecen en la target.
Comportamiento extrao de los botones del mouse.
Actividad anormal del mdem, NIC o HD.
Los passwords de las cuentas son cambiados.

Compras no realizadas aparecen en las tarjetas de crdito.

Revisar :

El ISP se queja de que la vctima realiza escaneo de IPs.

El mouse se mueve solo.

Puertos usados por un

troyano

ctrl+alt+del deja de funcionar

Las configuraciones de wallpaper o de pantalla cambian.
La gente conoce demasiada informacin personal sobre la vctima.
Documentos o mensajes son impresos desde la impresora de ellos mismos.

Protectores de pantalla cambian automticamente.

La computadora se apaga o reinicia automticamente.

La barra de tareas desaparece.

Cmo infectar un sistema

usando un troyano?
El proceso es el siguiente :
1.Crear un paquete Troyano usando un kit de construccin de troyanos.
2.Crear un dropper, el cual es parte del paquete troyanizado que instala el cdigo malicioso en el
sistema target.
3.Crear un wrapper usando herramientas wrapper para instalar el troyano en la vctima (petite.exe,
Graffiti.exe, EliteWrap)
4.Propagar el troyano.
5.Ejecutar el dropper.
6.Ejecutar la rutina de dao (payload).

ATACANTE

SISTEMA VICTIMA

Cmo se despliega un troyano

en un sistema?

Evadiendo tcnicas de antivirus

Nunca usar Troyanos bajados de la web porque los antivirus los detectan

fcilmente.
Cambiar el contenido del Troyano usando un editor hexadecimal,
tambin cambiar el checksum y encriptar el archivo.
Separar el Troyano en varias piezas y zipearlas como si fuese un solo
archivo.
Siempre escribir tu propio Troyano y embeberlo en una aplicacin.
Convertir un EXE a VB script

Convertir un EXE a .DOC.EXE, .PPT.EXE o .PDF.EXE (Windows esconde

extensiones conocidas por default, as que slo mostrar .DOC,

.PPT y .PDF)

Tipos de Troyanos
Troyanos Command Shell
Entrega el control remoto de la shell de comandos de la vctima.
El troyano (server) se instala en el target y abre un puerto para
que el atacante se conecte. El cliente se instala en el atacante y lo
usa para lanzar comando shell en el target.

HERRAMIENTAS
Biodox
Jumper
MoSucker

Tipos de Troyanos (cont.)

Troyano de documentos
El atacante usualmente inserta
un Troyano en un documento y
lo transfiere como adjunto en
emails, documentos de Office,
pginas web, archivos Flash y
PDFs.

Cuando un usuario abre el

documento con el Troyano
embebido ste se instala en la
vctima.

Tipos de Troyanos (cont.)

Troyanos de emails
El atacante gana control remoto de una vctima enviando emails.
El atacante puede recibir archivos o carpetas enviando comandos a travs de un
email.
El atacante usa servidor SMTP relay y falsea el campo FROM del email para
esconder el origen del mismo.
HERRAMIENTAS
RemoteByMail

Tipos de Troyanos (cont.)

Troyano Defacement
HERRAMIENTAS
Restorator

Tipos de Troyanos (cont.)

Troyanos Botnet
Infectan varias computadoras en una rea geogrfica determinada
para crear una red de bots controladas por un centro de Comandos y
Control (C&C).
La botnet es usada para lanzar ataques incluyendo DoS, Spamming,
robo de informacin financiera, etc.
HERRAMIENTAS
Illusion Bot
NetBot Attacker

Tipos de Troyanos (cont.)

Troyanos Proxy-Server
Un Troyano Proxy es normalmente una aplicacin standalone
que permite al atacante usar una computadora vctima como un
proxy para conectarse a Internet.
HERRAMIENTAS
W3bPrOxy Tr0j4nCr34t0r

Tipos de Troyanos (cont.)

Troyano FTP
Instala un servidor FTP en la vctima el cual abre puertos
FTP.
El atacante se conecta a estos puertos para bajar cualquier
archivo que exista en la vctima.

ATACANTE

VICTIMA
HERRAMIENTAS
TinyFTPD

Tipos de Troyanos (cont.)

Troyano VNC
Permite a los atacantes usar la vctima como un servidor VNC.
Estos troyanos no sern detectados por los AV ya que un servidor
VNC es considerado un utilitario legtimo.

Herramientas
WinVNC
VNC Stealer

Tipos de Troyanos (cont.)

Troyano SHTTPD
SHTTPD es un servidor HTTP pequeo que puede ser embebido en
cualquier programa.
Puede ser empaquetado en un programa genuino, cuando este sea
ejecutado convertir a la vctima en un servidor web invisible corriendo
en background en el puerto 443 (SSL).

Tipos de Troyanos (cont.)

Troyano de acceso remoto
Trabaja como un acceso a escritorio remoto.
Hacker obtiene acceso completo por GUI al sistema remoto.

Herramientas : RAT DarkComet

Apocalypse

1.Se infecta la vctima con

server.exe y se implanta un
Troyano de Conexin Reverse.
2. El Troyano conecta al
puerto 80 al atacante
estableciendo una
conexin reversa.
3. El atacante tiene full
control sobre la vctima.

Tipos de Troyanos (cont.)

Troyanos de banca electrnica
Interceptan informacin de las cuentas de la vctima antes de ser
encriptada para ser enviada al centro de comandos y control del
atacante.
Mayor amenaza de las transacciones bancarias online.
HERRAMIENTAS
Zeus
SpyEye

Tipos de Troyanos (cont.)

Troyanos destructivos : M4sT3r
M4sT3r es un troyano del tipo destructivo.
Cuando es ejecutado destruye el OS.
Formatea todas las particiones locales y de la red.

Tipos de Troyanos (cont.)

Troyanos de notificacin
Enva la ubicacin de la IP de la vctima al atacante.
Cuando la vctima se conecta a Internet el atacante
recibe la notificacin.
Troyanos de tarjetas de crdito
Roban la data de la tarjeta de crdito : N de tarjeta,
CVV2, detalles de pago, etc.
La data obtenida se transmite a hackers remotos
usando email, FTP, IRC u otros mtodos.

Tipos de Troyanos (cont.)

Troyanos de encriptacin
Encriptan la data del sistema de la vctima y la convierten
en data no usable.

El atacante amenaza a la vctima para que page dinero

online a fin de que le diga cul es el password que
desbloquea la data encriptada.

Ransomware

Deteccin de Troyanos
Escanear puertos abiertos sospechosos (netstat -an)
Escanear procesos que estn ejecutndose sospechosos (Process Monitor,
Whats running)
Escanear entradas de registro sospechosas (jv6 PowerTools, Registry
Mechanic)
Escanear drivers de dispositivos instalados en la computadora (DriverView)
Escanear servicios Windows sospechosos (SrvMan)
Escanear programas Startup sospechosos (Starter, Security Autorun)
Escanear archivos y carpetas sospechosas(FCIV, Tripwire, SigVerif, FastSum,
WinMD5)
Escanear actividades de red sospechosas (Capsa Network Analyzer)
Escanear archivos del OS sospechosos de modificacin
Ejecutar un escaneador de Troyanos para detectarlos.

Contramedidas a los troyanos

Evitar abrir adjuntos de correos desconocidos.
Bloquear puertos innecesarios en los hosts y en los firewalls.
Deshabilitar funcionalidades sin uso en protocolos y servicios.
Evitar aceptar la transferencia de programas a travs de mensajera
instantnea.
Monitorear frecuentemente el trfico de la red interna.
Hardenizar las debilidades del OS y las configuraciones por default.
Evitar bajar y ejecutar aplicaciones de fuentes no confiables.
Instalar parches y actualizaciones de seguridad para aplicaciones y
Oss.
Escanear CDs y floppy disks con un software antivirus antes de
usarlos.
Administrar la integridad del filesystem a travs de checksums,
auditoras y escaneo de puertos.
Ejecutar antivirus basados en hosts, firewall e HIDS/NIDS.

Software anti-troyano
Hunter
Emsisoft anti-malware
Trojan remover
SpywareFighter

Preguntas
1.Qu es un troyano?
2.Qu tipos de troyanos se
conocen?
3.Mencione 5 indicios de la
presencia de un troyano en el
sistema.
4.Mencione 5 contramedidas a
los troyanos.

Enlaces de inters
Tipos de troyanos
http://www.viruslist.com/sp/virusesdescribed?chapter=152540521

ESET Security Report Latinoamrica 2015

http://www.welivesecurity.com/wp-content/uploads/2015/03/ESET_security_report_2015.pdf

Gracias por su
atencin!!!