El documento describe el proceso de configuración y uso de un troyano llamado Net-Devil con fines académicos. Se explica cómo configurar el servidor del troyano, enviarlo a una víctima usando ingeniería social, y luego controlar el equipo infectado accediendo a archivos, procesos, y otras funciones del sistema a través del cliente del troyano. Finalmente, se proporcionan recomendaciones para prevenir este tipo de ataques.
Los mejores simuladores de circuitos electrónicos.pdf
Como funciona un ataque efectuado por un troyano
1. Seguridad en Bases de datos
Ataque de un troyano
• Wilmer Hernán Gutiérrez Ramos
• Jesús Armando Coral Ojeda
• Pablo Aníbal Velásquez Rosales
• Juan Gabriel Rodríguez
• Raúl Carrera Valencia
Grupo 233009_12
2. Vamos a documentar el proceso de
configuración del troyano Net-Devil
haciendo uso de dos máquinas
virtuales con Windows XP.
Esta configuración se realiza con fines académicos
y con un troyano que es fácilmente detectable por
cualquier antivirus. El objetivo es establecer las
políticas necesarias para evitar este tipo de ataques..
3. Archivos que vienen con Net-Devil
Herramienta para editar
el servidor que se enviará
a la víctima.
Herramienta para
controlar el equipo donde
se ha instalado el servidor.
Archivo que se
personalizará y enviará
para tener control del
equipo de la víctima.
5. Ejecutamos Edit-server para
configurar el servidor
Hacemos clic en el ícono
de la carpeta.
Seleccionamos el archivo
Server y hacemos clic en
abrir.
Entiéndase servidor como
el archivo enviado a la
víctima y cliente como el
programa usado para
controlar el servidor.
Configurando el servidor
6. Leyendo la configuración del servidor
Hacemos clic en read
settings para cargar la
información almacenada
en el servidor.
Tener en cuenta los
puertos ya que por estos
se tendrá acceso al equipo
de la víctima.
Configurando el servidor
7. Configurando el arranque del
servidor
Se activa esta opción para
que el troyano arranque
al momento que se ingresa
al sistema operativo.
Estas tres opciones de notificación son para
establecer la forma como el troyano va a enviar
los datos de la víctima.
Ya que estamos haciendo una prueba con fines
académicos, estableceremos el acceso por red
local, por esta razón no configuraremos estos
tipos de notificación. Configurando el servidor
8. Configurando el comportamiento del
servidor
Aquí configuramos el servidor para que deshabilite
el antivirus, abra los puertos cuando esté
conectado, genere un registro de las pulsaciones de
teclado aún si no se está controlando el troyano y
finalmente asignarle una contraseña al servidor.
Configurando el servidor
9. Configurando el error que sale al
ejecutar el servidor
Configuramos un mensaje de
error falso que sale al
momento de ejecutar el
servidor para hacer creer que
el programa no funcionó y no
pasó nada más.
Podemos asignar un ícono,
título, texto y botones al
mensaje de error.
Configurando el servidor
10. Cambiando el ícono del servidor
Un elemento muy distintivo de un troyano es
la capacidad para engañar a la víctima, por
lo que en este caso se le ha asignado el ícono
de un juego.
Configurando el servidor
11. Guardando el servidor
Configurando el servidor
Hacemos clic en save as.. y asignamos un
nombre al servidor.
Por lo general un troyano lleva un nombre
atractivo para hacer que la víctima lo
ejecute.
14. Empleando Ingeniería Social
para enviar el servidor
Esta es la bandeja de entrada de la
víctima, a la cual se le ha enviado un
correo brindando una prueba gratis
de un supuesto juego.
Enviando el servidor a la víctima
15. Empleando Ingeniería Social
para enviar el servidor
Este es el correo enviado a la víctima
donde se ofrece la prueba gratuita de
un juego que en realidad es el
troyano.
16. Empleando Ingeniería Social
para enviar el servidor
La víctima descargó el supuesto juego
y se dispone a ejecutarlo.
Enviando el servidor a la víctima
17. Resultado de la ejecución del
servidor
Enviando el servidor a la víctima
Este es el mensaje de error que se había configurado
para que saliera al momento de ejecutar el servidor.
La víctima pensará que simplemente no funcionó el
juego, pero en realidad acaba de permitir la entrada
del troyano al sistema.
18. Determinando la IP de la
víctima
Enviando el servidor a la víctima
Esta es la dirección IP de la víctima. En este caso se está
averiguando desde el equipo infectado, sin embargo los
troyanos capturan estos datos y los hacen llegar al
atacante por medio de correo electrónico y otros medios
totalmente transparentes para la víctima.
20. Ejecutando el cliente de Net-Devil,
con el que se controlará el equipo
infectado
Controlando el servidor
Ejecutamos la aplicación Net-Devil, la
cual es el cliente desde donde se
controlará el servidor cargado en el
equipo de la víctima.
21. Ejecutando el cliente de Net-Devil,
con el que se controlará el equipo
infectado
Controlando el servidor
Se coloca la IP de la víctima y el
puerto asignado al servidor y se hace
clic en connect.
22. Estableciendo conexión con
el servidor
Aquí se observa que ya se ha
establecido la conexión con el
servidor.
Controlando el servidor
23. Opciones del servidor que se
pueden controlar desde el cliente
Aquí se observa que desde el cliente se
puede cerrar el servidor, desinstalarlo,
reiniciarlo, obtener información acerca
de este y guardar dicha información.
Controlando el servidor
24. Administrando archivos del
equipo de la víctima
En esta imagen se observa como es posible
visualizar todos los archivos del equipo de la
víctima, enviarle archivos, descargarlos, crear
directorios, borrar elementos, renombrarlos,
correr aplicaciones, reproducir sonidos,
mostrar imágenes y cambiar el fondo de la
pantalla.
Se realizó la prueba de
transferir archivos, en este caso
un archivo de texto llamado
INFO.txt.
Controlando el servidor
25. Enviando archivos a la
víctima
Se envió una imagen a la
víctima, situándola en su
escritorio.
Controlando el servidor
27. Cambiando el fondo de
pantallaSe dio la orden de cambiar el
fondo de pantalla, colocando
la imagen enviada
anteriormente.
Controlando el servidor
Equipo de la víctima
28. Controlando procesos
Se tiene la posibilidad de controlar los
procesos. Se pueden actualizar, terminar o
eliminar del disco. En este caso se realizó la
prueba de terminar el proceso Explorer.exe.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
29. Administrando ventanas
Se pueden controlar las ventanas abiertas.
Observamos que se tiene la posibilidad de
refrescar, cerrar, ocultar, mostrar, deshabilitar,
habilitar, establecer como ventana activa,
cambiar el título y enviarle texto.
Controlando el servidor
30. Enviando texto
Se realizó la prueba de enviar texto al archivo
INFO.txt, el cual se había transferido con
anterioridad a la víctima .
Se puede observar el
texto enviado .
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
31. Cambiando el título a la
ventana
Se colocó un nuevo titulo a la
ventana del archivo INFO.txt.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
32. Cambiando el título a la
ventana
Se observa como el título es
ahora Mi ventanita.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
33. Chateando con la víctima
Se puede establecer una conversación
con la víctima. Simplemente se abre el
chat, se activa, se asigna un nickname
para la víctima y para el cliente y se
inicia el intercambio de mensajes.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
34. Capturando la pantalla de la
víctima
Se observa como se ha realizado la
captura de la pantalla completa de la
víctima, sólo al hacer clic en full screen.
Controlando el servidor
35. Capturando pulsaciones de
teclado (Keylogger)
Se observa como todo lo que escribe la
víctima se va enviando hacia el cliente.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
36. Accediendo al registro
Se observa como se puede tener control total
del registro de Windows, con todo lo que eso
implica (cambio de políticas, modificación de
programas, administración de aplicaciones
ejecutadas al arranque, etc).
Controlando el servidor
37. Haciendo bromas a la víctima
Se observa como se ocultó el ícono de inicio
de Windows haciendo clic en este botón.
El cliente tiene la posibilidad de controlar diferentes
elementos como la barra de tareas, mouse, CD-ROM,
íconos del escritorio, monitor y la activación del
teclado numérico, desplazamiento y mayúsculas.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
38. Haciendo bromas a la víctima
Se observa como se ocultó la barra de
tareas haciendo clic en este botón.
Controlando el servidor
Equipo de la víctimaEquipo de la víctimaEquipo del atacanteEquipo del atacante
39. Opciones varias
Tiene otras opciones como por ejemplo
voltear la pantalla de la víctima, tener
acceso al portapapeles, ejecutar
aplicaciones, imprimir texto, cerrar
ventanas y modificar la resolución. Controlando el servidor
Equipo de la víctimaEquipo de la víctimaEquipo del atacanteEquipo del atacante
40. Enviando mensajes a la
víctima
Tiene la posibilidad de enviar mensajes
totalmente personalizables a la víctima.
Controlando el servidor
Equipo del atacanteEquipo del atacante Equipo de la víctimaEquipo de la víctima
41. Cómo prevenir este tipo de
ataques
• Tener un antivirus actualizado con las últimas
firmas de virus.
• Configurar adecuadamente el firewall para
controlar el acceso al equipo por cualquier puerto.
• Verificar las aplicaciones que se van a ejecutar en el
sistema operativo.
• No ejecutar aplicaciones enviadas por correo
electrónico.
42. Cómo prevenir este tipo de
ataques
• Verificar la procedencia de promociones o
aplicaciones.
• Mantener actualizado el sistema operativo con los
último parches de seguridad.
• Tener una política adecuada para el manejo de
dispositivos extraíbles.
• Restringir el acceso a la red y asignar políticas de
control de la misma.
43. Cómo prevenir este tipo de
ataques
• Tener un estricto control de apertura de puertos y
verificar que por los puertos abiertos se esté
generando el tráfico adecuado.
• Establecer el acceso a recursos y programas de
acuerdo al tipo de usuario.
• Evitar tener activados servicios del sistema que no se
utilicen y puedan representar vulnerabilidad ante
ataque de virus.
44. Cómo prevenir este tipo de
ataques
• De acuerdo al nivel de confidencialidad de la
información se deben manejar técnicas de
encriptación para garantizar que si un tercero tiene
acceso a esta no pueda llegar a desencriptarla.
• No subestimar ninguna amenaza, ya que aunque no
esté generando mayor daño, puede ser una puerta
trasera dando paso al ingreso de amenazas muchos
mas peligrosas.