Informe troyano
-
Upload
andres-benavides-arias -
Category
Technology
-
view
104 -
download
1
Transcript of Informe troyano
![Page 1: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/1.jpg)
INFORME TROYANO
GRUPO 233009_16
JESUS EMIRO VEGATUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIAESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E
INGENIERÍAESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SEGURIDAD EN BASE DE DATOS
DICIEMBRE DE 2013
![Page 2: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/2.jpg)
TROYANO
Caballo de Troya (Virus Informático) “Programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los demás virus es uno de los tipos de programas dañinos más conocidos y utilizados”. EcuRed Enciclopedia Cubana en la Red.
![Page 3: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/3.jpg)
Optix PRO v1.33
La arquitectura de este programa esta compuesto por:
Creador Cliente Troyano
![Page 4: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/4.jpg)
Builder
El programa Builder Se utiliza para crear y configurar el troyano.
![Page 5: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/5.jpg)
Build - Opciones
Una de las opciones que se puede configurar es el icono del archivo, para aparentar ser otro programa y engañar mas fácil a la victima, en un ataque de Ingeniería Social.
![Page 6: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/6.jpg)
Build - Resultado
El Resultado es un archivo ejecutable con otra apariencia, el cual hay que enviárselo a la victima por cualquier medio: correo, FTP, USB, etc.
![Page 7: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/7.jpg)
Ambiente de Prueba
Para realizar esta practica se virtualizó dos maquinas con Windows XP mediante VirtualBox.
La maquina del Atacante tiene la Dirección IP 192.168.1.11
La maquina victima tiene la Dirección IP 192.168.1.12
(EnVirtualBox se recomienda utilizar el tipo de Red como Red Local, para impedir cualquier propagación del Troyano )
![Page 8: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/8.jpg)
Maquina del Atacante
![Page 9: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/9.jpg)
Maquina de la Victima
![Page 10: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/10.jpg)
Análisis del Troyano
Como se puede ver en la imagen anterior, la victima a recibido el archivo por algún medio, para analizar la actividad del Troyano se utilizaron los siguientes programas:
Process Explorer: Es un programa que permite ver en tiempo real todos los programas que se están ejecutando, los recursos de CPU, memoria, archivos, etc.
Process Monitor: Es un complemento del anterior, permite registrar todos las acciones o eventos generados por un proceso, como creación de hilos, acceso a archivos, bibliotecas, manipulación del registro, etc.
TCPView: Permite observar la actividad de la red.
![Page 11: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/11.jpg)
Troyano - Ejecución
La imagen muestra el momento en el que se ejecuta el troyano.
![Page 12: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/12.jpg)
Troyano –Creación de Archivos
El programa original Crea otro archivo llamado msiexec16.exe en C:\Windows\System32
![Page 13: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/13.jpg)
Troyano –Ejecución Proceso
El programa Informe.exe inicia el proceso msiexec16.exe y ahora toma el protagonismo.
![Page 14: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/14.jpg)
Troyano –Modificando Registro
Entre las principales acciones de msiexec16.exe es crear una entrada al registro de arranque, de tal manera que cuando se reinicie el PC se ejecute nuevamente.
![Page 15: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/15.jpg)
Troyano – Puertos Abiertos
msiexec16.exe abre el puerto 3410 por el cual escucha las conexiones y recibe ordenes.
![Page 16: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/16.jpg)
Cliente – Información del PC
El programa Cliente permite conectarse a una maquina infectada. Si el proceso es exitoso se puede obtener información del equipo, control total sobre archivos, procesos, inclusive capturar el teclado, la pantalla y la WebCam.
![Page 17: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/17.jpg)
Cliente – Descarga de Archivos
Se tiene acceso total al sistema de archivos de la victima, permitiendo descargar y subir un archivo.
![Page 18: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/18.jpg)
Resumen
Al lado izquierdo se puede observar el Atacante ejecutando el programa Cliente, al lado Derecho la victima, quien ha recibido y ejecutado el Troyano. En este slide se observa la capacidad de tomar una captura de la pantalla de la victima.
![Page 19: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/19.jpg)
Recomendaciones 1
Tener un Antivirus Actualizado en todas las Maquinas.
Tener el Sistema Operativo Actualizado en Todas las maquinas.
Los usuarios deben ejecutar las aplicaciones con un perfil de mínimo privilegio.
Establecer Políticas de prohibición Envió y Recepción de archivos ejecutables mediante Correo, FTP, HTTP, etc.
![Page 20: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/20.jpg)
Recomendaciones 2
En los servidores (p.ej. de Base de Datos) Instalar sensores ante cambios en los archivos, registro, ancho de banda, etc.
Revisar constantemente el log de eventos del Servidor para detectar comportamiento inusual.
Tener mucho cuidado con la manipulación de estos programas.
![Page 21: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/21.jpg)
Referencias Bibliográficas 1 Process Explorer. Disponible en:
http://technet.microsoft.com/es-co/sysinternals/bb896653.aspx
Process Monitor, Disponible en: http://technet.microsoft.com/es-co/sysinternals/bb896645.aspx
TCPView, Disponible en: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
![Page 22: Informe troyano](https://reader036.fdocument.pub/reader036/viewer/2022081506/55c9e6d4bb61ebcd118b476d/html5/thumbnails/22.jpg)
Referencias Bibliográficas 2 Enciclopedia Cubana en Red.
Disponible en: http://www.ecured.cu/index.php/Caballo_de_Troya_(Inform%C3%A1tica)
Malware Analisys . Disponible en http://www.youtube.com/watch?v=fqf5LfPwmm4