Informe troyano
22
INFORME TROYANO GRUPO 233009_16 JESUS EMIRO VEGA TUTOR UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SEGURIDAD EN BASE DE DATOS DICIEMBRE DE 2013
-
Upload
andres-benavides-arias -
Category
Technology
-
view
108 -
download
1
Transcript of Informe troyano
INFORME TROYANO
GRUPO 233009_16
JESUS EMIRO VEGATUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIAESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E
INGENIERÍAESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SEGURIDAD EN BASE DE DATOS
DICIEMBRE DE 2013
TROYANO
Caballo de Troya (Virus Informático) “Programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los demás virus es uno de los tipos de programas dañinos más conocidos y utilizados”. EcuRed Enciclopedia Cubana en la Red.
Optix PRO v1.33
La arquitectura de este programa esta compuesto por:
Creador Cliente Troyano
Builder
El programa Builder Se utiliza para crear y configurar el troyano.
Build - Opciones
Una de las opciones que se puede configurar es el icono del archivo, para aparentar ser otro programa y engañar mas fácil a la victima, en un ataque de Ingeniería Social.
Build - Resultado
El Resultado es un archivo ejecutable con otra apariencia, el cual hay que enviárselo a la victima por cualquier medio: correo, FTP, USB, etc.
Ambiente de Prueba
Para realizar esta practica se virtualizó dos maquinas con Windows XP mediante VirtualBox.
La maquina del Atacante tiene la Dirección IP 192.168.1.11
La maquina victima tiene la Dirección IP 192.168.1.12
(EnVirtualBox se recomienda utilizar el tipo de Red como Red Local, para impedir cualquier propagación del Troyano )
Maquina del Atacante
Maquina de la Victima
Análisis del Troyano
Como se puede ver en la imagen anterior, la victima a recibido el archivo por algún medio, para analizar la actividad del Troyano se utilizaron los siguientes programas:
Process Explorer: Es un programa que permite ver en tiempo real todos los programas que se están ejecutando, los recursos de CPU, memoria, archivos, etc.
Process Monitor: Es un complemento del anterior, permite registrar todos las acciones o eventos generados por un proceso, como creación de hilos, acceso a archivos, bibliotecas, manipulación del registro, etc.
TCPView: Permite observar la actividad de la red.
Troyano - Ejecución
La imagen muestra el momento en el que se ejecuta el troyano.
Troyano –Creación de Archivos
El programa original Crea otro archivo llamado msiexec16.exe en C:\Windows\System32
Troyano –Ejecución Proceso
El programa Informe.exe inicia el proceso msiexec16.exe y ahora toma el protagonismo.
Troyano –Modificando Registro
Entre las principales acciones de msiexec16.exe es crear una entrada al registro de arranque, de tal manera que cuando se reinicie el PC se ejecute nuevamente.
Troyano – Puertos Abiertos
msiexec16.exe abre el puerto 3410 por el cual escucha las conexiones y recibe ordenes.
Cliente – Información del PC
El programa Cliente permite conectarse a una maquina infectada. Si el proceso es exitoso se puede obtener información del equipo, control total sobre archivos, procesos, inclusive capturar el teclado, la pantalla y la WebCam.
Cliente – Descarga de Archivos
Se tiene acceso total al sistema de archivos de la victima, permitiendo descargar y subir un archivo.
Resumen
Al lado izquierdo se puede observar el Atacante ejecutando el programa Cliente, al lado Derecho la victima, quien ha recibido y ejecutado el Troyano. En este slide se observa la capacidad de tomar una captura de la pantalla de la victima.
Recomendaciones 1
Tener un Antivirus Actualizado en todas las Maquinas.
Tener el Sistema Operativo Actualizado en Todas las maquinas.
Los usuarios deben ejecutar las aplicaciones con un perfil de mínimo privilegio.
Establecer Políticas de prohibición Envió y Recepción de archivos ejecutables mediante Correo, FTP, HTTP, etc.
Recomendaciones 2
En los servidores (p.ej. de Base de Datos) Instalar sensores ante cambios en los archivos, registro, ancho de banda, etc.
Revisar constantemente el log de eventos del Servidor para detectar comportamiento inusual.
Tener mucho cuidado con la manipulación de estos programas.
Referencias Bibliográficas 1 Process Explorer. Disponible en:
http://technet.microsoft.com/es-co/sysinternals/bb896653.aspx
Process Monitor, Disponible en: http://technet.microsoft.com/es-co/sysinternals/bb896645.aspx
TCPView, Disponible en: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Referencias Bibliográficas 2 Enciclopedia Cubana en Red.
Disponible en: http://www.ecured.cu/index.php/Caballo_de_Troya_(Inform%C3%A1tica)
Malware Analisys . Disponible en http://www.youtube.com/watch?v=fqf5LfPwmm4
