Informe troyano

Post on 11-Aug-2015

108 views 1 download

Transcript of Informe troyano

INFORME TROYANO

GRUPO 233009_16 

JESUS EMIRO VEGATUTOR

 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIAESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E

INGENIERÍAESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

SEGURIDAD EN BASE DE DATOS

DICIEMBRE DE 2013

TROYANO

Caballo de Troya (Virus Informático) “Programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los demás virus es uno de los tipos de programas dañinos más conocidos y utilizados”. EcuRed Enciclopedia Cubana en la Red.

Optix PRO v1.33

La arquitectura de este programa esta compuesto por:

Creador Cliente Troyano

Builder

El programa Builder Se utiliza para crear y configurar el troyano.

Build - Opciones

Una de las opciones que se puede configurar es el icono del archivo, para aparentar ser otro programa y engañar mas fácil a la victima, en un ataque de Ingeniería Social.

Build - Resultado

El Resultado es un archivo ejecutable con otra apariencia, el cual hay que enviárselo a la victima por cualquier medio: correo, FTP, USB, etc.

Ambiente de Prueba

Para realizar esta practica se virtualizó dos maquinas con Windows XP mediante VirtualBox.

La maquina del Atacante tiene la Dirección IP 192.168.1.11

La maquina victima tiene la Dirección IP 192.168.1.12

(EnVirtualBox se recomienda utilizar el tipo de Red como Red Local, para impedir cualquier propagación del Troyano )

Maquina del Atacante

Maquina de la Victima

Análisis del Troyano

Como se puede ver en la imagen anterior, la victima a recibido el archivo por algún medio, para analizar la actividad del Troyano se utilizaron los siguientes programas:

Process Explorer: Es un programa que permite ver en tiempo real todos los programas que se están ejecutando, los recursos de CPU, memoria, archivos, etc.

Process Monitor: Es un complemento del anterior, permite registrar todos las acciones o eventos generados por un proceso, como creación de hilos, acceso a archivos, bibliotecas, manipulación del registro, etc.

TCPView: Permite observar la actividad de la red.

Troyano - Ejecución

La imagen muestra el momento en el que se ejecuta el troyano.

Troyano –Creación de Archivos

El programa original Crea otro archivo llamado msiexec16.exe en C:\Windows\System32

Troyano –Ejecución Proceso

El programa Informe.exe inicia el proceso msiexec16.exe y ahora toma el protagonismo.

Troyano –Modificando Registro

Entre las principales acciones de msiexec16.exe es crear una entrada al registro de arranque, de tal manera que cuando se reinicie el PC se ejecute nuevamente.

Troyano – Puertos Abiertos

msiexec16.exe abre el puerto 3410 por el cual escucha las conexiones y recibe ordenes.

Cliente – Información del PC

El programa Cliente permite conectarse a una maquina infectada. Si el proceso es exitoso se puede obtener información del equipo, control total sobre archivos, procesos, inclusive capturar el teclado, la pantalla y la WebCam.

Cliente – Descarga de Archivos

Se tiene acceso total al sistema de archivos de la victima, permitiendo descargar y subir un archivo.

Resumen

Al lado izquierdo se puede observar el Atacante ejecutando el programa Cliente, al lado Derecho la victima, quien ha recibido y ejecutado el Troyano. En este slide se observa la capacidad de tomar una captura de la pantalla de la victima.

Recomendaciones 1

Tener un Antivirus Actualizado en todas las Maquinas.

Tener el Sistema Operativo Actualizado en Todas las maquinas.

Los usuarios deben ejecutar las aplicaciones con un perfil de mínimo privilegio.

Establecer Políticas de prohibición Envió y Recepción de archivos ejecutables mediante Correo, FTP, HTTP, etc.

Recomendaciones 2

En los servidores (p.ej. de Base de Datos) Instalar sensores ante cambios en los archivos, registro, ancho de banda, etc.

Revisar constantemente el log de eventos del Servidor para detectar comportamiento inusual.

Tener mucho cuidado con la manipulación de estos programas.

Referencias Bibliográficas 1 Process Explorer. Disponible en:

http://technet.microsoft.com/es-co/sysinternals/bb896653.aspx

Process Monitor, Disponible en: http://technet.microsoft.com/es-co/sysinternals/bb896645.aspx

TCPView, Disponible en: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Referencias Bibliográficas 2 Enciclopedia Cubana en Red.

Disponible en: http://www.ecured.cu/index.php/Caballo_de_Troya_(Inform%C3%A1tica)

Malware Analisys . Disponible en http://www.youtube.com/watch?v=fqf5LfPwmm4