Este es un caballo de Troya especialmente marcado

El PC de un cliente mostró síntomas extraños, como velocidad lenta, entrada y salida irregular de la bandeja del disco, mensajes de error sin precedentes, volteo de la imagen de la pantalla, etc. Corté su conexión a Internet y seguí los procedimientos estándar para lidiar con el malware, identificando finalmente a los culpables: dos troyanos de acceso remoto, uno de ellos una notoria columna vertebral del culto a la Vaca Muerta y el otro algo menos común. En este incidente, el atacante parecía ser un niño. Solo quiere hacer algunas bromas para evitar que otros naveguen por Internet o intercambiar material pornográfico. No hay nada más peligroso. Si el atacante tuviera otros objetivos más peligrosos, podría haber robado una gran cantidad de información confidencial de las máquinas del cliente y de su red.

Los caballos de Troya son más peligrosos que cualquier otro código malicioso. La mejor manera de garantizar la seguridad es estar familiarizado con los tipos y principios de funcionamiento de los caballos de Troya y dominar cómo detectar y prevenir estos códigos maliciosos.

En primer lugar, la primera vez que vi un caballo de Troya

Un caballo de Troya es un programa malicioso que se ejecuta silenciosamente en un host, dándole al atacante el poder de operar sin la autorización del usuario. conocimiento del caso de acceso y control remoto del sistema. En términos generales, la mayoría de los troyanos imitan las funciones de algún software de control remoto normal, como pcAnywhere de Symantec, pero los troyanos también tienen algunas características obvias, como que su instalación y funcionamiento se realizan en la oscuridad. Los atacantes suelen ocultar caballos de Troya en algunos juegos o pequeños programas para inducir a usuarios descuidados a ejecutarlos en sus propias máquinas. La situación más común es que los usuarios engañados descarguen y ejecuten software con código malicioso desde sitios web informales o hagan clic accidentalmente en archivos adjuntos de correo electrónico con código malicioso.

La mayoría de los troyanos incluyen cliente y servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes del servidor a software legítimo, engañando a los usuarios para que ejecuten software legítimo. Una vez que el usuario ejecuta el software, la parte del servidor del troyano completa el proceso de instalación sin el conocimiento del usuario. Normalmente, la parte del servidor del troyano se puede personalizar. Los elementos que los atacantes pueden personalizar generalmente incluyen: el número de puerto IP del servidor, la hora de inicio del programa, cómo realizar llamadas, cómo ser invisible y si cifrar. Además, el atacante también puede establecer una contraseña para iniciar sesión en el servidor y determinar el modo de comunicación.

El servidor puede notificar al atacante enviando un correo electrónico anunciando que se ha apoderado exitosamente de la máquina; o puede contactar con un canal de comunicación de Internet oculto para transmitir además la dirección IP de la máquina ocupada; El servidor del troyano Cuando se inicia parcialmente, es posible comunicarse directamente con un programa cliente que se ejecuta en la máquina del atacante a través de un puerto predefinido. No importa cómo el servidor troyano establezca contacto con el programa cliente, una cosa permanece constante. Los atacantes siempre utilizan programas cliente para enviar comandos a programas de servidor para controlar la máquina del usuario.

Los atacantes troyanos pueden ver la máquina comprometida a voluntad o emitir comandos a través de transmisiones, indicando a todos los troyanos bajo su control que actúen juntos, se propaguen a un área más grande o realicen otras cosas peligrosas. De hecho, cualquier máquina comprometida puede formatear su disco duro o atacar a otro host utilizando palabras clave predefinidas. Los atacantes suelen utilizar caballos de Troya para invadir un gran número de máquinas y luego lanzar ataques de denegación de servicio (DoS) en hosts críticos. Cuando la víctima siente que la red se verá inundada con tráfico inusual e intenta identificar al atacante, sólo puede rastrear a un gran número de usuarios ignorantes de DSL o módem de cable que también son víctimas, y el verdadero atacante hace tiempo que escapó.

En segundo lugar, programas maliciosos extremadamente peligrosos

Para la mayoría de los programas maliciosos, siempre que se eliminen, la amenaza ya no existirá incluso si el peligro ha pasado, pero algunos caballos de Troya son especiales. . Los caballos de Troya, al igual que los virus, gusanos y otros programas maliciosos, también pueden eliminar o modificar archivos, formatear discos duros, cargar y descargar archivos, acosar a los usuarios y expulsar otros programas maliciosos.

Por ejemplo, es común ver a los atacantes ocupar máquinas comprometidas para guardar juegos o herramientas de ataque, y el espacio en disco del usuario está casi completamente ocupado, pero además, los caballos de Troya tienen sus propias características únicas (robo de contenido y control remoto). el malware más peligroso.

En primer lugar, los troyanos tienen la capacidad de capturar la pantalla de cada usuario y cada pulsación de tecla, lo que significa que un atacante puede robar fácilmente las contraseñas, rutas de directorio, asignaciones de unidades e incluso registros médicos y cuentas bancarias del usuario. e Información de tarjetas de crédito y comunicaciones personales. Si la PC tiene un micrófono, el troyano puede escuchar la conversación. Si la PC tiene una cámara, muchos troyanos pueden encender la cámara y capturar contenido de video. En el mundo del código malicioso, nada amenaza más la privacidad del usuario que los troyanos. Todo lo que dice y hace frente a la PC puede quedar grabado. .

Algunos troyanos tienen un rastreador de paquetes que puede capturar y analizar cada paquete que fluye a través de la tarjeta de red. Los atacantes pueden utilizar la información robada por los troyanos para configurar puertas traseras. Incluso si el troyano se elimina posteriormente, el atacante aún puede ingresar utilizando la puerta trasera que quedó atrás.

En segundo lugar, si un usuario no autorizado tiene la capacidad de controlar remotamente el host, el host se convierte en un arma de ataque poderosa. Los atacantes remotos no sólo tienen la capacidad de manipular los propios recursos de la PC a voluntad, sino que también pueden hacerse pasar por usuarios legítimos de la PC. Por ejemplo, pueden hacerse pasar por usuarios legítimos para enviar correos electrónicos y modificar documentos. atacar a otras máquinas. Hace dos años, un usuario doméstico me pidió que lo ayudara a demostrarle a una casa comercial que no había presentado una operación de acciones que parecía claramente estar perdiendo dinero. La institución comercial registró la dirección IP de su PC en la transacción y también encontré rastros de la transacción en disputa en el búfer de su navegador. Además, encontré señales del troyano SubSeven (es decir, Backdoor_G). Aunque no hay evidencia de que Trojan estuviera directamente relacionado con el comercio de acciones que le costó tanto, está claro que Trojan estaba activo en el momento del comercio.

En tercer lugar, los tipos de troyanos

Los troyanos comunes, como Back Orifice, SubSeven, etc., son kits de herramientas de ataque multipropósito con funciones integrales, que incluyen captura de pantalla, sonido y contenido de video. , etc. Estos troyanos se pueden utilizar como registradores de pulsaciones de teclas, controles remotos, servidores FTP, servidores HTTP, servidores Telnet y también pueden encontrar y robar contraseñas. Un atacante puede configurar el puerto en el que escucha el troyano, el modo de operación y si el troyano se comunica con el atacante por correo electrónico, IRC u otros métodos de comunicación. Algunos troyanos dañinos también tienen ciertas capacidades antidetección y pueden ocultarse de varias maneras, cifrar comunicaciones e incluso proporcionar API profesionales para que otros atacantes desarrollen funciones adicionales. Debido a su amplia funcionalidad, estos troyanos tienden a ser de gran tamaño, alcanzando a menudo entre 100 KB y 300 KB. Es relativamente difícil instalarlos en la máquina de un usuario sin llamar la atención de nadie.

En el caso de los troyanos de función única, los atacantes intentarán mantenerlos pequeños, normalmente entre 10 KB y 30 KB, para que puedan activarse rápidamente sin llamar la atención. Estos troyanos se utilizan a menudo como registradores críticos. Registran cada pulsación de tecla del usuario víctima y lo guardan en un archivo oculto para que el atacante pueda descargar el archivo para analizar las acciones del usuario. Algunos troyanos funcionan como servidores FTP, web o de chat. Por lo general, estos minitroyanos se utilizan simplemente para robar capacidades de control remoto iniciales difíciles de obtener para proteger la intrusión inicial, cargando e instalando un troyano a gran escala y completamente funcional en un momento oportuno que es poco probable que atraiga la atención.

Vaya a cualquier sitio de búsqueda de Internet y busque la palabra clave troyano de acceso remoto y rápidamente encontrará cientos de troyanos, tantos que la mayoría de los sitios dedicados a recopilar troyanos están ordenados alfabéticamente. Decenas o incluso más de 100 troyanos debajo de cada letra. Echemos un vistazo a dos de los troyanos más populares: Back Orifice y SubSeven.

■Postorificio

En 1998, el culto a la Vaca Muerta desarrolló el orificio dorsal. El espectáculo rápidamente se convirtió en una sensación en Trojan Horse Park.

No sólo tiene una API programable, sino que también tiene muchas otras características nuevas, que eclipsan a muchos programas de control remoto formales. Back Orifice 2000 (BO2K) se lanza de acuerdo con la GNU GPL (Licencia Pública General), con la esperanza de atraer a un grupo de usuarios fijos para competir con el software de control remoto establecido como pcAnywhere.

Sin embargo, es poco probable que muchos usuarios acepten su modo de operación encubierta predeterminado y sus obvias intenciones ofensivas en un corto período de tiempo. Un atacante puede utilizar la herramienta de configuración del servidor de BO2K para configurar muchos parámetros del servidor, incluidos TCP o UDP, número de puerto, tipo de cifrado, activación secreta (funciona mejor en máquinas con Windows 9x, pero peor en máquinas con Windows NT), contraseñas, complementos, etc. .

Back Orifice tiene muchas características impresionantes, como registro de pulsaciones de teclas, exploración de archivos HTTP, edición de registro, captura de audio y video, robo de contraseñas, redirección de puertos TCP/IP, envío de mensajes y reinicio remoto, bloqueo remoto. , cifrado de paquetes, compresión de archivos y más. Back Orifice viene con un kit de desarrollo de software (SDK) que permite ampliar su funcionalidad mediante complementos.

El complemento bo_peep.dll predeterminado permite a un atacante controlar de forma remota el teclado y el mouse de la máquina. En lo que respecta a las aplicaciones prácticas, los backholes son muy sensibles a comandos de entrada incorrectos. Los novatos sin experiencia pueden hacer que se bloquee con frecuencia, pero con los veteranos experimentados se volverá dócil y poderoso.

■ SubSeven

SubSeven puede ser más popular que Back Orifice. Este troyano siempre ha estado a la vanguardia de las estadísticas de infección de los principales fabricantes de software antivirus. SubSeven se puede utilizar como registrador de claves y rastreador de paquetes, y también cuenta con redirección de puertos, modificación de registro, grabación de micrófono y cámara. La Figura 2 muestra algunos comandos del cliente SubSeven y opciones de configuración del servidor.

SubSeven tiene muchas características que avergüenzan a la víctima: los atacantes pueden intercambiar de forma remota los botones del mouse, activar/desactivar Bloq Mayús, Bloq Num y Bloq Despl, desactivar Ctrl Alt Del, cerrar la sesión del usuario, abrir y cerrar el unidad óptica, apague y encienda su monitor, gire la pantalla, apague y reinicie su computadora, y más.

SubSeven utiliza ICQ, IRC, correo electrónico e incluso scripts CGI para contactar a los atacantes. Puede cambiar aleatoriamente el puerto del servidor y notificar al atacante sobre el cambio de puerto. Además, SubSeven también proporciona código especializado para robar contraseñas de AOL Instant Messenger (AIM), ICQ, RAS y salvapantallas.

4. Detección y eliminación de caballos de Troya

Si una red corporativa resulta dañada por virus y gusanos de correo electrónico, es probable que esta red sea el primer objetivo de los caballos de Troya. Dado que los troyanos están cifrados mediante programas vinculantes y atacantes, es mucho más difícil para el software antivirus convencional detectar troyanos que gusanos y virus. Por otro lado, el daño causado por los caballos de Troya puede ser mucho mayor que el causado por gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.

La mejor arma contra el código malicioso son las herramientas de detección de virus más recientes y maduras. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza cuando sea posible. Muchos administradores confían demasiado en herramientas especiales para detectar y eliminar troyanos, pero la eficacia de algunas herramientas es cuestionable, o al menos no digna de plena confianza. Sin embargo, Tauscan de Agnitum es de hecho un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.

Una evidencia obvia de una intrusión troyana es que un puerto en la máquina de la víctima se abre accidentalmente. En particular, si este puerto fuera un puerto común para los troyanos, las pruebas de una invasión troyana serían aún más seguras. Una vez que se descubre evidencia de intrusión troyana, la conexión de red de la máquina debe cortarse lo antes posible para reducir la oportunidad de que los atacantes detecten y sigan atacando.

Abra el Administrador de tareas, cierre todos los programas que estén conectados a Internet, como programas de correo electrónico y programas de mensajería instantánea, y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro generalmente evita que los troyanos se carguen en la memoria, lo que dificulta su detección.

Por supuesto, la mayoría de los sistemas operativos, incluido Windows, tienen una herramienta Netstat para detectar el estado de la red IP, que puede mostrar todos los puertos de escucha activos (incluidos UDP y TCP) en la máquina local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la máquina local. Preste atención a si hay algún puerto abierto accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puerto y el. puertos utilizados por programas comunes).

Muestra un ejemplo de detección de Netstat. Los resultados de la prueba muestran que se ha activado un puerto utilizado por Back Orifice (es decir, 31337) y que el cliente troyano utiliza el puerto 1216 (ROGERLAP) en la máquina remota. Además de los puertos utilizados habitualmente por los troyanos conocidos, preste especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.

Sin embargo, el comando Netstat tiene un inconveniente. Puede mostrar qué puertos IP se han activado, pero no qué programas o archivos han activado esos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos. Por ejemplo, TCPView Professional Edition del software Winternals es una excelente herramienta de enumeración de puertos. Tauscan no sólo identifica troyanos, sino que también establece conexiones entre programas y puertos. Además, la herramienta Netstat de Windows XP proporciona una nueva opción -o, que puede mostrar el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con el PID, el administrador de tareas puede encontrar fácilmente el programa correspondiente según el PID.

Si no tiene una herramienta de enumeración de puertos a mano y no puede descubrir rápidamente la verdadera identidad del perpetrador detrás de escena, siga los pasos a continuación: Busque programas desconocidos que se inicien automáticamente, incluido el registro. . archivos ini, carpetas de inicio, etc. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para confirmar que el troyano no se haya cargado en la memoria. A continuación, ejecute cada programa sospechoso previamente identificado, uno a la vez, y verifique si hay puertos recién abiertos usando el comando Netstat. Si un programa inicializa una conexión a Internet, debes tener mucho cuidado. Investigue minuciosamente todos los programas sospechosos y elimine cualquier software que no sea de confianza.

El comando Netstat y la herramienta de enumeración de puertos son excelentes para detectar una sola máquina, pero ¿qué sucede si desea detectar una red completa? La mayoría de los sistemas de detección de intrusiones son capaces de capturar paquetes de caballos de Troya que son comunes en las comunicaciones cotidianas. Los datos FTP y HTTP tienen estructuras de datos identificables especiales, al igual que los paquetes troyanos. Siempre que el IDS esté configurado correctamente y se actualice con frecuencia, puede incluso detectar de manera confiable comunicaciones cifradas entre Back Orifice y SubSeven. Consulte http://www.snort.org para obtener herramientas IDS públicas de código abierto.

Verb (abreviatura de verbo) se ocupa de los problemas restantes

Después de que el troyano ha sido detectado y eliminado, surge otra pregunta importante: ¿el atacante remoto robó alguna información confidencial? ¿Qué tan dañino es? Es difícil dar una respuesta exacta, pero puedes determinar el nivel de daño haciendo las siguientes preguntas. En primer lugar, ¿cuánto tiempo llevan existiendo los caballos de Troya? Es posible que la fecha de creación del archivo no sea completamente confiable, pero puede usarse como referencia. Utilice el Explorador de Windows para comprobar la fecha de creación y la fecha del último acceso del archivo ejecutable del troyano. Si la fecha de creación del archivo ejecutable es muy temprana, pero la fecha del último acceso está cerca, es posible que el atacante haya estado usando el troyano durante mucho tiempo. tiempo.

En segundo lugar, ¿qué acciones tomó el atacante después de invadir la máquina? ¿El atacante accedió a una base de datos confidencial, envió correos electrónicos, accedió a otras redes remotas u * * * obtuvo acceso a este directorio? ¿El atacante obtuvo derechos de administrador? Examine cuidadosamente las máquinas pirateadas en busca de pistas, como por ejemplo, ¿se accedió a los archivos y programas fuera del horario de oficina del usuario?

En entornos con menores requisitos de seguridad, la mayoría de los usuarios pueden volver a las operaciones normales después de eliminar el troyano, siempre que intenten evitar que atacantes remotos tengan éxito en el futuro. En cuanto a los requisitos de seguridad generales, es una buena idea cambiar todas las contraseñas y otra información confidencial (como números de tarjetas de crédito).

En situaciones con altos requisitos de seguridad, cualquier riesgo potencial desconocido es intolerable. Si es necesario, se debe ajustar el administrador o la persona a cargo de la seguridad de la red, se debe realizar una inspección exhaustiva de toda la red, se deben cambiar todas las contraseñas y se deben realizar análisis de riesgos posteriores. Para la máquina comprometida, reformatéela e instálela por completo.

El daño causado por los caballos de Troya puede ser asombroso. Debido a que tienen la capacidad de controlar máquinas de forma remota y capturar pantallas, claves, audio y video, su daño es mucho mayor que el de los virus y gusanos comunes. Comprender profundamente los principios operativos de los caballos de Troya y tomar medidas defensivas correctas en base a esto. Sólo así se podrá reducir eficazmente el daño causado por los caballos de Troya.