Embed Size (px)
Citation preview
Manipulación TroyanosUNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESPECIALIZACION EN SEGURIDAD INFORMATICA
SEGURIDAD EN BASES DE DATOS
2013
IntegrantesALEXANDRA MILENA GONZALEZ
GUSTAVO ADOLFO RODRIGUEZ ALONSO
JOSE DANIEL GUERRA
ORLANDO GOMEZ
VIANNEY DARIO RODRIGUEZ TORRES
Ejecucion Builder
Luego de verificar el contenido del paquede OptixPro, se debe ingresar ejecutar el archivo “Builder”, allí aparece la explicación del autor del programa, y una confirmación de haber leído las condiciones de uso.
Configuración ServidorLa ejecución del constructor del servidor lo llevara a la pantalla principal, donde se encuentra el menú de opciones, de las cuales solo algunas se deberán configurar, las demás funcionan correctamente con los parámetros por defecto
Lo primero que se debe configurar es una contraseña para el servidor, así se garantiza que nadie mas se podrá conectar al servidor de OptixPro. Los demás parámetros de deben dejar por defecto, estos corresponden a la forma como el cliente recibirá las notificaciones y demás datos que se puedan capturar del host victima y el puerto de comunicación (3410). La opción esta en el menú “main Information”, “general Information
Para poder ocultar las intenciones de infección con este troyano, se puede generar el archivo del servidor con una variedad de iconos característicos del sistema operativo Windows, esto genera confianza en la victima y permite la ejecución sin mucho problema. Cabe resaltar que solamente se trata de un truco visual, los Antivirus actuales están en capacidad de detectar el código malicioso dentro del programa, por lo tanto se deberá integrar otras herramientas de ocultación ante el software de seguridad, aquí se limitara a utilizar un icono adecuado para la prueba. Opción “Server Icon”.
En el menú “StartUp & Instalation”, se encuentra una opción interesante y necesaria cuando se hacen pruebas de infección, aquí es posible seleccionar el Registro del sistema objetivo, en este caso se usara “Run All OS”, pero para que no se pierda el programa servidor en el registro de Windows, se le dará el nombre “UNAD2013”
Adicional se deberá ocultar el proceso activo en el sistema operativo, el cual es posible detectarlo en Administrador de Tareas si este no llevara un nombre algo convincente, en este caso se utilizara “msiexec32.exe”, igualmente si es con el objeto de una prueba, cualquier nombre que allí se indique funcionara. Las demás opciones como “Windows Directory” o “System Directory” y Melt Server After Instalation, esta por defecto de esta forma y así se conservaron para el caso de este ejercicio.
En el menú “Firewall& AVS Evasion”, esta la configuración de una de sus mejores cualidades, la ocultación, aquí se define que herramientas queremos evadir, por defecto el programa configura las tres opciones
Ya realizados los pasos de configuración del servidor, se debe construir el programa, usando la opción “Build/Create Server:”, allí el programa pedirá una ruta para guardar el archivo que quedara con extensión de ejecutable EXE. Seguido de esto el programa confirmara la construcción del archivo, solo es necesario salir con “OK All done!”. El archivo se llamara “campus_unad”.
Archivo Generado
Se debe contar con al menos un computador que haga las veces de servidor y otro que haga las veces de cliente, por lo tanto se debe copiar y ejecutar nuestro archivo “campus_unad.exe” en el host victima. En este ejemplo se conto con 2 maquinas virtuales Windows XP Profesional con conexión independiente a la red, y las siguientes IP: y El archivo ejecutable se pasara al servidor por medio de una carpeta compartida en la red, sin embargo para efectos reales del uso de este troyano, el atacante se vale de métodos muy eficientes e indetectables que no están en el detalle de uso del troyano.
Cliente: 192.168.2.50
Servidor: 192.168.2.40
Por medio de una herramienta como Nmap se puede confirmar que este conectados a la misma red para proseguir con la prueba
Copia Archivo “Campus_unad.exe”
Archivo “Campus_unad.exe” en servidor
USO DEL PROGRAMA CLIENTE En las carpetas que se descomprimieron del paquete inicial, esta el directorio del cliente el archivo “Optrix-Client”, se debe ejecutar para llegar al programa. Al inicio del programa también pide confirmación de un texto para garantizar que se leyeron las condiciones de uso del programa, y una elección del idioma a utilizar, el cual esta en un archivo incluido en la misma
En esta ventana principal del programa se encuentra el menú al margen izquierdo, y los campos para IP, puerto y password en la parte superior. Es aquí donde se deberá usar la contraseña parametrizada en la construcción del servidor.
Después de la confirmación de conexión satisfactoria, basta con explorar la gran cantidad de opciones para capturar información y monitorear, aquí se muestra la opción de administrador de archivos, donde con un escaneo en el botón “GetDrives”, muestra sin problemas todos los archivos del disco duro del host victima.
También es posible hacer copias de archivos de una carpeta a otra, ya que “OpticPro Client” cuenta con todas las opciones de manejo de archivos del Explorador de archivos de Windows, incluso transferirlos hacia el cliente.
Copiar archivo PDF Pegar archivo PDF en otra ruta
Carpeta Mis Imágenes en el Host Victima
Escritorio del Cliente
Es posible visualizar la información completa de la instalación de Windows y su principal hardware, desde el menú, “Information”, allí también se encuentran opciones para captura de contraseñas del sistema.
Otra de las opciones que permite realizar este cliente es el envío de mensajes en pantalla al host victima, con las propiedades graficas de Windows
Configuración Mensaje en OptixPro Client
Visualización en el servidor
Una de las propiedades mas utilizadas de este troyano es el KeyLogger, donde podemos capturar del teclado toda la información que ingrese la victima, como usuarios, contraseñas, o cualquier información privada. En este ejemplo se ingreso desde el navegador Google Chrome a la URL www.unad.edu.co, y se digito un usuario y una contraseña. En corchetes de notificación (parametrizados en el servidor) esta la acción de tabulación efectuada en el navegador.
La duplicación de pantalla en tiempo real es otra forma de espiar al servidor infectado. Estas opciones pueden funcionar al mismo tiempo, por lo tanto mientras el keyLogger esta capturando información en modo texto, el atacante podrá ver todo lo que la victima ve en su pantalla, incluso ver cuando se hace un Click desde el mouse. Dependiendo la velocidad de la red, se pueden hacer ajustes de velocidad, color y refresco.
En el menú “Humor/Fun Stuff”, es posible hacer bromas a la victima, como abrir y cerrar la bandeja de CD-ROM, invertir los botones del mouse, bloquear teclado y mouse, hacer parpadeo de las luces de teclado, etc, debido a la condición de maquina virtual no se recomienda usar estas opciones debido a que podrían ser transmitidas a la maquina host.
Creación de mensaje desde cliente.
Visualización de la broma en la pantalla del servidor.
