¿Cómo detectar y eliminar los virus troyanos?
Análisis completo del caballo de Troya
El PC de un cliente presentaba síntomas extraños, se ralentizaba y la bandeja del CD-ROM entraba y salía de forma errática, algo que nunca había visto antes. Mensajes de error. , cambios de imagen en la pantalla, etc. Corté su conexión a Internet y seguí los procedimientos estándar para lidiar con el malware. Finalmente encontré a los culpables: dos troyanos de acceso remoto: uno era el infame Back Orifice de Cult of the Dead Cow, es el menos común The Thing. En este caso, el atacante parecía ser un niño que sólo quería hacer algunas bromas, impedir que otros pudieran acceder a Internet o intercambiar algún material pornográfico, pero nada más peligroso. Si el atacante tuviera otros objetivos más peligrosos, podría haber robado mucha información confidencial de las máquinas del cliente y de su red.
Los caballos de Troya son más peligrosos que cualquier otro código malicioso. La mejor manera de garantizar la seguridad es estar familiarizado con los tipos y principios de funcionamiento de los caballos de Troya y dominar cómo detectar y prevenir estos códigos maliciosos.
1. Primera introducción a los caballos de Troya
Los caballos de Troya son programas maliciosos que se ejecutan silenciosamente en la máquina host, lo que permite a los atacantes obtener acceso remoto y control del sistema. En términos generales, la mayoría de los caballos de Troya imitan las funciones de algún software de control remoto normal, como pcAnywhere de Symantec, pero los caballos de Troya también tienen algunas características obvias, como que su instalación y funcionamiento se realizan de forma encubierta. Los atacantes suelen ocultar caballos de Troya en algunos juegos o pequeños programas para engañar a usuarios desprevenidos para que los ejecuten en sus máquinas. La situación más común es que los usuarios engañados descarguen y ejecuten software con código malicioso de sitios web informales o hagan clic accidentalmente en archivos adjuntos de correo electrónico con código malicioso.
La mayoría de los troyanos incluyen partes de cliente y servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes del servidor a software legítimo, engañando a los usuarios para que ejecuten software legítimo. Tan pronto como el usuario ejecuta el software, la parte del servidor del troyano completa el proceso de instalación sin que el usuario se dé cuenta. Por lo general, la parte del servidor del caballo de Troya se puede personalizar. Los elementos que el atacante puede personalizar generalmente incluyen: el número de puerto IP del servidor en ejecución, la hora a la que se inicia el programa, cómo realizar llamadas, cómo ser invisible y. si cifrar. Además, el atacante también puede establecer una contraseña para iniciar sesión en el servidor y determinar el método de comunicación.
El servidor puede notificar al atacante enviando un correo electrónico anunciando que se ha apoderado exitosamente de la máquina; o puede contactar un canal de comunicación de Internet oculto y transmitir la dirección IP de la máquina comprometida; Cuando se inicia la parte del servidor del troyano, también puede comunicarse directamente con el programa cliente que se ejecuta en la máquina del atacante a través de un puerto predefinido. Independientemente de cómo el servidor troyano y los programas cliente establezcan contacto, una cosa sigue siendo la misma: los atacantes siempre utilizan el programa cliente para enviar comandos al programa servidor para lograr el propósito de controlar la máquina del usuario.
Un atacante de caballo de Troya puede ver las máquinas comprometidas como desee, o emitir comandos mediante transmisión, instruyendo a todos los caballos de Troya bajo su control para que actúen juntos, se propaguen a un rango más amplio o realicen otras cosas peligrosas. . De hecho, el simple hecho de utilizar una palabra clave predefinida puede permitir que todas las máquinas comprometidas formatee sus discos duros o lancen un ataque a otro host. Los atacantes suelen utilizar caballos de Troya para invadir una gran cantidad de máquinas y luego lanzar un ataque distribuido de denegación de servicio (DoS) en un host clave. Cuando la víctima se da cuenta de que la red está inundada con tráfico inusual, intenta encontrar el objetivo. Cuando se identifica a un atacante, sólo puede rastrear a un gran número de usuarios de módem de cable o DSL desprevenidos que también son víctimas, y el verdadero atacante hace tiempo que desapareció.
2. Programas maliciosos extremadamente peligrosos
Para la mayoría de los programas maliciosos, siempre que se eliminen, el peligro desaparecerá y la amenaza ya no existirá, pero los caballos de Troya son algo así. especial.
Los caballos de Troya, al igual que los programas maliciosos como virus y gusanos, también pueden eliminar o modificar archivos, formatear discos duros, cargar y descargar archivos, acosar a los usuarios y expulsar otros programas maliciosos. Por ejemplo, a menudo se pueden ver atacantes tomando el control de la máquina comprometida. Al guardar juegos o herramientas de ataque, casi todo el espacio en disco del usuario está ocupado, pero además, los troyanos tienen características únicas (robo de contenido, control remoto) que los convierten en el malware más peligroso.
En primer lugar, los troyanos tienen la capacidad de capturar cada pantalla de usuario y cada evento de pulsación de tecla, lo que significa que los atacantes pueden robar fácilmente las contraseñas de los usuarios, rutas de directorio, asignaciones de unidades e incluso registros médicos, cuentas bancarias y información de tarjetas de crédito y comunicaciones personales. Si el PC tiene un micrófono, el troyano puede espiar las conversaciones. Si su PC tiene una cámara, muchos troyanos pueden encenderla y capturar contenido de video; en el mundo de los códigos maliciosos, actualmente no existe mayor amenaza para la privacidad del usuario que los troyanos, todo lo que diga o haga frente a su PC, puede que todos ser grabado.
Algunos troyanos vienen con rastreadores de paquetes que capturan y analizan cada paquete que pasa a través de la tarjeta de red. Los atacantes pueden utilizar la información robada por los troyanos para configurar puertas traseras. Incluso si los troyanos se eliminan posteriormente, los atacantes aún pueden utilizar las puertas traseras que quedan para entrar fácilmente.
En segundo lugar, si un usuario no autorizado domina la capacidad de controlar remotamente la máquina host, la máquina host se convierte en una poderosa arma de ataque. Los atacantes remotos no sólo tienen la capacidad de manipular los propios recursos de la PC a voluntad, sino que también pueden hacerse pasar por usuarios legítimos de la PC, como enviar correos electrónicos y modificar documentos como usuarios legítimos. Por supuesto, también pueden usar la máquina comprometida para atacar a otros. máquinas. Hace dos años, un usuario doméstico me pidió que lo ayudara a demostrarle a una casa comercial que no había presentado una operación de acciones que parecía claramente estar perdiendo dinero. La institución comercial registró la dirección IP de su PC durante la transacción y también encontré rastros de la transacción en disputa en el búfer de su navegador. Además, encontré evidencia del troyano SubSeven (también conocido como Backdoor_G). Aunque no hay evidencia de que el caballo de Troya estuviera directamente relacionado con el comercio de acciones que le causó enormes pérdidas, se puede ver que el caballo de Troya estaba activo en el momento de la transacción.
3. Tipos de troyanos
Los troyanos comunes, como Back Orifice y SubSeven, son kits de herramientas de ataque multipropósito con funciones muy completas, que incluyen captura de pantalla, sonido y contenido de video. funciones. Estos troyanos pueden actuar como registradores de claves, controladores remotos, servidores FTP, servidores HTTP, servidores Telnet y también pueden encontrar y robar contraseñas. Un atacante puede configurar el puerto en el que escucha el troyano, cómo se ejecuta y si el troyano contacta a la persona que inició el ataque por correo electrónico, IRC u otros medios de comunicación. Algunos troyanos dañinos también tienen ciertas capacidades antidetección. Pueden ocultarse de varias maneras, cifrar las comunicaciones e incluso proporcionar API de nivel profesional para que otros atacantes desarrollen funciones adicionales. Debido a su amplia funcionalidad, estos troyanos tienden a ser de mayor tamaño, normalmente entre 100 KB y 300 KB. En términos relativos, es relativamente difícil instalarlos en la máquina del usuario sin llamar la atención de nadie.
Para los troyanos con funciones relativamente únicas, los atacantes intentarán mantenerlos pequeños, normalmente entre 10 KB y 30 KB, para que puedan activarse rápidamente sin llamar la atención. Estos troyanos se utilizan generalmente como registradores de teclas. Registran cada pulsación de tecla del usuario víctima y lo guardan en un archivo oculto, para que el atacante pueda descargar el archivo y analizar las operaciones del usuario. También existen troyanos que funcionan como servidores FTP, Web o de chat. Normalmente, estos pequeños troyanos se utilizan sólo para robar capacidades de control remoto iniciales difíciles de obtener y proteger la intrusión inicial de modo que se pueda cargar e instalar un troyano grande y con todas las funciones en un momento oportuno que probablemente no llame la atención.
Simplemente busque un sitio web de búsqueda en Internet y busque la palabra clave Troyano de acceso remoto, y rápidamente obtendrá cientos de caballos de Troya, de tantos tipos que la mayoría de los sitios web que se especializan en recopilar caballos de Troya no pueden hacerlo. No ordenados alfabéticamente En orden, hay docenas o incluso más de cien troyanos debajo de cada letra. Echemos un vistazo a dos de los troyanos más populares: Back Orifice y SubSeven.
■ Back Orifice
En 1998, Cult of the Dead Cow desarrolló Back Orifice. Este programa rápidamente se hizo popular en el campo de los caballos de Troya. No sólo tiene una API programable, sino que también tiene muchas otras características nuevas que eclipsan a muchos programas de control remoto habituales. Back Orifice 2000 (BO2K) se lanza bajo la GNU GPL (Licencia Pública General), con la esperanza de atraer a un grupo de usuarios habituales para competir con el software de control remoto establecido como pcAnywhere.
Sin embargo, su modo de funcionamiento encubierto predeterminado y sus obvias intenciones ofensivas hacen poco probable que muchos usuarios lo acepten en el corto plazo. Un atacante puede utilizar la herramienta de configuración del servidor BO2K para configurar muchos parámetros del servidor, incluidos TCP o UDP, número de puerto, tipo de cifrado, activación secreta (funciona mejor en máquinas con Windows 9x, ligeramente peor en máquinas con Windows NT), contraseñas, complementos, etc. .
Back Orifice es impresionante por sus numerosas funciones, como registro de eventos de pulsación de teclas, exploración de archivos HTTP, edición de registro, captura de audio y vídeo, robo de contraseñas, redirección de puertos TCP/IP, envío de mensajes, reinicio remoto, control remoto. bloqueo, cifrado de paquetes, compresión de archivos y más. Back Orifice viene con un kit de desarrollo de software (SDK) que permite ampliar su funcionalidad mediante complementos.
El complemento bo_peep.dll predeterminado permite a un atacante controlar de forma remota el teclado y el mouse de la máquina. En términos de aplicación práctica, Back Orifice es muy sensible a los comandos de entrada incorrectos. Los principiantes sin experiencia pueden bloquearlo con frecuencia, pero para los veteranos experimentados, se volverá dócil y poderoso.
■ SubSeven
SubSeven puede ser incluso más popular que Back Orifice. Este troyano siempre ha estado en la cima de la lista de estadísticas de infección de los principales fabricantes de software antivirus. SubSeven se puede utilizar como registrador de claves, rastreador de paquetes, redirección de puertos, modificación de registro, grabación de micrófono y cámara. La Figura 2 muestra algunos de los comandos del cliente y las opciones de configuración del servidor de SubSeven.
SubSeven tiene muchas características que avergüenzan a la víctima: los atacantes pueden intercambiar remotamente las teclas del mouse, activar/desactivar el bloqueo de mayúsculas, el bloqueo numérico y el bloqueo de desplazamiento, desactivar las combinaciones de teclas Ctrl+Alt+Supr, cerrar la sesión del usuario, abrir y cerrar la unidad de CD-ROM, apagar y encender el monitor, voltear la pantalla, apagar y reiniciar la computadora, etc.
SubSeven utiliza ICQ, IRC, correo electrónico e incluso scripts CGI para contactar al atacante. Puede cambiar aleatoriamente el puerto del servidor y notificar al atacante sobre el cambio de puerto. Además, SubSeven proporciona código especializado para robar contraseñas de AOL Instant Messenger (AIM), ICQ, RAS y protectores de pantalla.
4. Detección y eliminación de caballos de Troya
Si una red corporativa ha sido devastada por virus y gusanos de correo electrónico, es probable que esta red sea el objetivo preferido de los caballos de Troya. Debido a que los troyanos están cifrados por programas vinculantes y atacantes, encontrar troyanos es mucho más difícil para el software antivirus convencional que encontrar gusanos y virus. Por otro lado, el daño causado por los caballos de Troya puede ser mucho mayor que el de los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.
Para luchar contra el código malicioso, su mejor arma es la herramienta de detección de virus más reciente y probada. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza tanto como sea posible. Muchos administradores confían demasiado en herramientas específicas de troyanos para detectar y eliminar troyanos, pero algunas herramientas son cuestionablemente efectivas, o al menos no merecen plena confianza. Sin embargo, Tauscan de Agnitum es de hecho un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.
Una evidencia obvia de intrusión de un caballo de Troya es que un determinado puerto se abre accidentalmente en la máquina víctima. Especialmente, si este puerto resulta ser un puerto comúnmente utilizado por los caballos de Troya, la evidencia de la intrusión de un caballo de Troya es. aún más seguro. Una vez que se encuentra evidencia de intrusión troyana, la conexión de red de la máquina debe cortarse lo antes posible para reducir las posibilidades de detección del atacante y futuros ataques. Abra el administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Iniciar en modo seguro generalmente evita que los troyanos se carguen en la memoria, lo que dificulta su detección.
La mayoría de los sistemas operativos, incluido Windows, por supuesto, vienen con la herramienta Netstat para detectar el estado de la red IP. Puede mostrar todos los puertos de escucha activos (incluidos UDP y TCP) en la máquina local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la máquina local. Preste atención a si hay puertos abiertos accidentalmente (por supuesto, esto requiere una comprensión del concepto de puertos y el. puertos utilizados por programas comunes.
Muestra un ejemplo de detección de Netstat. Los resultados de la detección muestran que se ha activado un puerto utilizado por Back Orifice (es decir, 31337) y el cliente troyano utiliza el puerto 1216 en la máquina remota (ROGERLAP). Además de los puertos comunes conocidos para los troyanos, se debe prestar especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.
Sin embargo, el comando Netstat tiene una deficiencia: puede mostrar qué puertos IP se han activado, pero no muestra qué programas o archivos han activado estos puertos. Para saber qué ejecutable crea qué conexión de red, debe utilizar una herramienta de enumeración de puertos. Por ejemplo, TCPView Professional Edition de Winternals Software es una excelente herramienta de enumeración de puertos. Además de identificar caballos de Troya, Tauscan también puede establecer la relación entre programas y puertos. Además, la herramienta Netstat de Windows XP proporciona una nueva opción -o, que puede mostrar el identificador de proceso (PID) del programa o servicio usando el puerto. Con el PID, puede encontrar fácilmente el PID correspondiente usando el Administrador de tareas. programa.
Si no tiene una herramienta de enumeración de puertos a mano y no puede descubrir rápidamente la verdadera identidad del perpetrador detrás de escena, siga los siguientes pasos: Busque programas desconocidos que se inicien automáticamente. incluya el registro, archivos .ini, carpetas de inicio, etc. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para confirmar que el troyano no se haya cargado en la memoria. A continuación, ejecute cada uno de los programas problemáticos encontrados anteriormente, uno a la vez, y use el comando Netstat para verificar los puertos recién abiertos. Tenga especial cuidado si un programa inicializa una conexión a Internet. Realice una investigación exhaustiva sobre cualquier programa sospechoso y elimine cualquier software en el que no se pueda confiar.
El comando Netstat y la herramienta de enumeración de puertos son muy adecuados para detectar una máquina, pero ¿qué sucede si desea detectar toda la red? La mayoría de los sistemas de detección de intrusos (IDS) tienen la capacidad de capturar paquetes troyanos comunes en las comunicaciones habituales. Los datos FTP y HTTP tienen estructuras de datos especiales que se reconocen, al igual que los paquetes troyanos. Siempre que el IDS esté configurado correctamente y se actualice periódicamente, puede incluso detectar de manera confiable el tráfico cifrado Back Orifice y SubSeven. Ver /downinfo/585.html