¿Qué tipo de virus es un caballo de Troya?
El ordenador de un cliente presenta algunos síntomas extraños: ralentización, discos CD-ROM entrando y saliendo del sistema de forma irregular, mensajes de error nunca antes vistos, imágenes de pantalla volteándose, etc. esperar. Lo desconecté de Internet y seguí los pasos estándar para lidiar con el malware, y finalmente identifiqué a los culpables: dos troyanos de acceso remoto, uno del infame Back Orifice de Cult of the Dead Cow y otro del menos que estelar Back Orifice. Común La Cosa. En este caso, el atacante parece ser un niño que simplemente intentaba hacer algunas bromas para evitar que la gente se conectara o intercambiara material pornográfico, pero nada más peligroso. Si el atacante tiene otros objetivos más peligrosos, es posible que pueda robar grandes cantidades de información confidencial de las máquinas y redes de los clientes.
Los troyanos son más peligrosos que cualquier otra forma de código malicioso y la mejor manera de mantenerse seguro es familiarizarse con los tipos de troyanos, cómo funcionan y cómo detectar y prevenir estos códigos maliciosos.
Primera introducción a los troyanos
Un troyano es un programa malicioso que se ejecuta silenciosamente en un host sin el conocimiento del usuario, lo que permite a un atacante obtener acceso remoto y permisos de control del sistema. En términos generales, la mayoría de los programas troyanos imitarán las funciones de algún software de control remoto común, como pcAnywhere de Symantec, pero los programas troyanos también tienen algunas características distintivas, como su instalación y operación de forma encubierta. Los atacantes suelen ocultar programas troyanos en juegos o pequeños programas para atraer a usuarios desprevenidos a ejecutarlos en sus máquinas. Lo más habitual es que los usuarios descarguen y ejecuten malware desde sitios web no autorizados o hagan clic accidentalmente en archivos adjuntos de correo electrónico que contienen código malicioso.
La mayoría de los troyanos incluyen componentes del lado del cliente y del lado del servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes del servidor con algún software legítimo y engañar a los usuarios para que ejecuten el software legítimo. Una vez que el usuario ejecuta el software, la parte del servidor del troyano completa el proceso de instalación sin que el usuario lo sepa. Por lo general, la parte del servidor del troyano se puede personalizar. Los elementos que el atacante puede personalizar generalmente incluyen: el número de puerto IP del servidor, la hora en que se inicia el programa, cómo enviar llamadas, cómo ser invisible y si cifrar. , etc. Además, un atacante puede establecer una contraseña para iniciar sesión en el servidor y determinar el método de comunicación.
El servidor puede notificar al atacante enviando un correo electrónico anunciando que se ha apoderado exitosamente de la máquina; también puede contactar un canal de comunicación de Internet oculto y transmitir la dirección IP de la máquina infectada. Cuando la parte del servidor del troyano está activada, puede comunicarse directamente con el programa cliente que se ejecuta en la máquina del atacante a través de un puerto predefinido. No importa cómo estén conectados el programa servidor y el programa cliente del troyano, una cosa sigue siendo la misma: los atacantes siempre utilizan el programa cliente para enviar comandos al programa servidor con el fin de manipular la máquina del usuario.
Los atacantes troyanos pueden ver las máquinas comprometidas como deseen o pueden transmitir comandos para indicar a todos los troyanos bajo su control que actúen juntos, se propaguen a un área más grande o realicen otras cosas peligrosas. De hecho, todo lo que se necesita es una palabra clave predefinida para hacer que cualquier máquina comprometida formatee su disco duro o lance un ataque a otro host. Los atacantes suelen utilizar virus troyanos para infectar una gran cantidad de máquinas y luego lanzar ataques distribuidos de denegación de servicio (DoS) en hosts clave. Cuando la víctima siente que la red está a punto de verse inundada con tráfico inusual y trata de encontrar al atacante, sólo puede rastrear a un gran número de usuarios despistados de DSL o módem de cable que también son víctimas, y el verdadero atacante hace tiempo que escapó. El verdadero atacante hace tiempo que escapó.
2. Programas maliciosos extremadamente peligrosos
Para la mayoría de los programas maliciosos, siempre que se eliminen, el peligro desaparecerá y la amenaza ya no existirá, pero los troyanos son algo especiales.
Los troyanos, al igual que los virus, gusanos y otros programas maliciosos, también pueden eliminar o modificar archivos, formatear discos duros, cargar y descargar archivos, acosar a los usuarios y expulsar otros programas maliciosos. Por ejemplo, a menudo se pueden ver atacantes secuestrando juegos o juegos guardados en. En las máquinas comprometidas, las herramientas de ataque ocupan casi todo el espacio en disco del usuario, pero además, los troyanos también tienen sus propias funciones únicas (robo de contenido, control remoto), lo que los convierte en el malware más peligroso.
En primer lugar, el troyano puede capturar cada pantalla y evento clave del usuario, lo que significa que los atacantes pueden robar fácilmente las contraseñas del usuario, rutas de directorio, asignaciones de unidades e incluso registros médicos, cuentas bancarias y Tarjetas de crédito y comunicaciones personales. Si la computadora tiene un micrófono, el troyano puede escuchar la conversación. Si su PC tiene una cámara web, muchos troyanos pueden encender la cámara y capturar contenido de vídeo; actualmente, en el mundo de los códigos maliciosos, la mayor amenaza para la privacidad del usuario son los troyanos, porque en los troyanos, todo lo que dice y hace frente a su PC Se puede grabar todo.
Algunos troyanos tienen rastreadores de paquetes que capturan y analizan cada paquete que fluye a través de la tarjeta de red. Un atacante puede utilizar la información robada por el troyano para configurar una puerta trasera. Incluso si el troyano se elimina posteriormente, el atacante aún puede invadir fácilmente utilizando la puerta trasera que queda.
En segundo lugar, si un usuario no autorizado domina la capacidad de controlar remotamente el host, el host se convertirá en una poderosa arma de ataque. Un atacante remoto no sólo puede manipular los recursos de la PC a voluntad, sino que también puede hacerse pasar por el usuario legítimo de la PC, por ejemplo enviando correos electrónicos, modificando documentos y, por supuesto, atacando a otras máquinas usando la máquina comprometida. Hace dos años, un usuario doméstico me pidió que le ayudara a demostrar ante una agencia comercial que no había presentado lo que parecía ser claramente una operación con acciones perdedoras. La casa comercial registró la dirección IP de su computadora en esa operación y encontré rastros de la operación en disputa en el búfer de su navegador. Además, encontré rastros del troyano SubSeven (también conocido como Backdoor_G). Si bien no hay evidencia de que el troyano estuviera directamente relacionado con las transacciones bursátiles que tanto le costaron, está claro que el troyano estaba activo en el momento de la transacción.
Tres tipos de troyanos
Los troyanos comunes, como Back Orifice y SubSeven, son kits de ataque multipropósito con una amplia gama de usos, incluida la capacidad de capturar contenido de pantalla, sonido y video. . Estos troyanos pueden actuar como registradores de claves, controladores remotos, servidores FTP, servidores HTTP, servidores Telnet y también pueden encontrar y robar contraseñas. Un atacante puede configurar los puertos en los que escucha el troyano, cómo opera y si el troyano contacta a la persona que lanza el ataque por correo electrónico, IRC u otros medios de comunicación. Algunos troyanos más dañinos también tienen ciertas capacidades antidetección. Pueden ocultarse de varias maneras, cifrar las comunicaciones e incluso proporcionar API de nivel profesional para que otros atacantes desarrollen funciones adicionales. Debido a su amplia funcionalidad, estos troyanos tienden a ser de gran tamaño, normalmente de 100 KB a 300 KB, lo que hace relativamente difícil instalarlos en la máquina de un usuario sin llamar la atención.
En el caso de los troyanos de función única, los atacantes intentarán mantenerlos pequeños (normalmente entre 10 KB y 30 KB) para que puedan activarse rápidamente y pasar desapercibidos. Estos troyanos se utilizan a menudo como registradores de teclas, registrando cada pulsación de tecla del usuario víctima y guardándola en un archivo oculto para que el atacante pueda descargar el archivo y analizar las acciones del usuario. También existen troyanos que actúan como servidores FTP, Web o de chat. Normalmente, estos microtroyanos se utilizan únicamente para robar capacidades de control remoto iniciales difíciles de obtener, asegurando la intrusión inicial de modo que se pueda cargar e instalar un troyano grande y completamente funcional en un momento oportuno que probablemente no llame la atención.
Busque la palabra clave "troyano de acceso remoto" en cualquier sitio de búsqueda de Internet y rápidamente obtendrá cientos de troyanos, tantos que la mayoría de los troyanos se especializan en troyanos. El sitio web tenía que estar ordenado alfabéticamente, con. decenas o incluso cientos de troyanos debajo de cada letra.
Echemos un vistazo a dos de los troyanos más populares:
■ Back Orifice
Back Orifice fue desarrollado por Cult of the Dead Cow en 1998 y el programa rápidamente se convirtió en uno de los troyanos más populares del mundo El reclamo de su fama es que no sólo posee Back Orifice 2000 (o BO2K), sino que también lo publica bajo la GNU GPL (Licencia Pública General) con la esperanza de atraer una base de usuarios integrada. competir con programas de control remoto más antiguos como pcAnywhere.
Pero este no es el caso.
Sin embargo, su modo operativo encubierto predeterminado y su obvia intención de ataque hacen que sea poco probable que muchos usuarios lo acepten en el corto plazo. Un atacante puede utilizar la herramienta de configuración del servidor de BO2K para configurar una gran cantidad de parámetros del servidor, incluidos TCP o UDP, número de puerto, tipo de cifrado, activación secreta (funciona mejor en máquinas con Windows 9x, menos efectiva en máquinas con Windows NT), contraseñas, complementos. ins, etc.
Back Orifice tiene muchas funciones impresionantes, como registro de eventos de pulsación de teclas, exploración de archivos HTTP, edición de registro, captura de audio y vídeo, robo de contraseñas, redirección de puertos TCP/IP, mensajería, reinicio remoto, bloqueo remoto y cifrado de paquetes. , compresión de archivos, etc.
El complemento bo_peep.dll predeterminado permite a un atacante controlar de forma remota el teclado y el mouse de la computadora. En términos de aplicación práctica, Back Orifice es muy sensible a los comandos mal escritos y los principiantes sin experiencia pueden provocar que se bloquee con frecuencia, pero cuando lo utilizan veteranos experimentados, se vuelve dócil y poderoso.
■SubSeven
SubSeven puede ser más popular que Back Orifice y siempre ha estado en la cima de las clasificaciones de estadísticas de infección de los principales proveedores de antivirus. SubSeven se puede utilizar como registrador de teclas, rastreador de paquetes, redirección de puertos, modificación de registro, grabación de micrófono y cámara, y más. La Figura 2 muestra algunos de los comandos del cliente y las opciones de configuración del servidor de SubSeven.
SubSeven tiene muchas características que avergonzarán a la víctima: el atacante puede intercambiar de forma remota los botones del mouse, activar/activar el bloqueo de mayúsculas, el bloqueo de minúsculas y el bloqueo de desplazamiento, desactivar la combinación de teclas Ctrl Alt Del, cerrar sesión en usuario, abrir y cerrar la unidad óptica, apagar y encender el monitor, voltear la pantalla, apagar y reiniciar la computadora, y más.
SubSeven utiliza ICQ, IRC, correo electrónico e incluso scripts CGI para comunicarse con el atacante. Puede cambiar aleatoriamente el puerto del servidor y notificar al atacante cuando el puerto cambia. Además, SubSeven proporciona código especializado para robar contraseñas de AOL Instant Messenger (AIM), ICQ, RAS y protectores de pantalla.
Cuatro: detectar y eliminar troyanos
Si la red corporativa es atacada por virus y gusanos de correo electrónico, es probable que la red sea el principal objetivo de los troyanos. Debido a que los troyanos están cifrados por programas incluidos y atacantes, encontrar troyanos es mucho más difícil para el software antivirus tradicional que encontrar gusanos y virus. Por otro lado, los troyanos también causan daños mucho mayores que los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.
La mejor arma para luchar contra el código malicioso son las últimas y avanzadas herramientas de detección de virus. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza siempre que sea posible. Muchos administradores dependen demasiado de ciertas herramientas específicas de troyanos para detectar y eliminar troyanos, pero la efectividad de algunas de estas herramientas es cuestionable, o al menos no completamente confiable. Sin embargo, Tauscan de Agnitum califica como un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.
Una evidencia obvia de intrusión de un caballo de Troya es la apertura accidental de un puerto en la computadora víctima. Especialmente si el puerto es un puerto comúnmente utilizado por los caballos de Troya, entonces la evidencia de la intrusión de un caballo de Troya será. aún más concluyente. Una vez que se descubre evidencia de un troyano, la máquina debe desconectarse de la red inmediatamente para minimizar la posibilidad de descubrimiento y futuros ataques. Abra el Administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro a menudo evita que los troyanos se carguen en la memoria, lo que dificulta su detección.
La mayoría de los sistemas operativos (incluido Windows, por supuesto) vienen con una utilidad Netstat que puede detectar el estado de una red IP y mostrar todos los puertos de escucha activos (UDP y TCP) en la computadora local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la computadora local y registrar cualquier puerto abierto accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puertos y los puertos utilizados por los usuarios comunes). programas) comprensión).
Tome la detección de Netstat como ejemplo, que muestra que el puerto utilizado por Back Orifice (es decir, 31337) se ha activado y el programa cliente troyano está utilizando el puerto 1216 en la computadora remota (ROGERLAP). Además de los puertos conocidos que suelen utilizar los troyanos, se debe prestar especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.
Sin embargo, el comando Netstat tiene una desventaja, es decir, sólo puede mostrar qué puertos IP están activados, pero no qué programas o archivos activan dichos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos, como TCPView Professional Edition de Winternals Software, una excelente herramienta de enumeración de puertos. Además, la herramienta Netstat para Windows XP proporciona una nueva opción -o que muestra el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con un PID, es fácil usar el Administrador de tareas para encontrar el programa correspondiente según el PID.
Si no tiene una herramienta de búsqueda de tablas de puertos a mano y no puede descubrir rápidamente la verdadera identidad del cerebro detrás de escena, siga los pasos a continuación: Busque en el registro, archivos .ini , carpetas de inicio, etc. para archivos extraños de inicio automático. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para asegurarse de que el troyano no se haya cargado en la memoria. A continuación, ejecute uno por uno los programas sospechosos descubiertos anteriormente y compruebe si hay puertos recién abiertos utilizando el comando Netstat. Tenga especial cuidado si el programa inicializa una conexión a Internet. Sumérgete en todos los programas problemáticos y elimina cualquier software que no sea de confianza.
El comando Netstat y la herramienta de enumeración de puertos son excelentes para inspeccionar una sola máquina, pero ¿qué sucede si desea inspeccionar una red completa? La mayoría de los sistemas de detección de intrusos (IDS) son capaces de capturar paquetes troyanos comunes en las comunicaciones habituales. Los datos FTP y HTTP tienen estructuras de datos especiales que son reconocibles, al igual que los paquetes troyanos. Si el IDS se configura correctamente y se actualiza con frecuencia, puede incluso detectar de manera confiable el tráfico cifrado Back Orifice y SubSeven. Para herramientas IDS de código abierto comunes, consulte http://www.snort.org.
V. Cómo lidiar con problemas heredados
Después de detectar y eliminar el troyano, surge otra pregunta importante: ¿un atacante remoto ha robado información confidencial? ¿Cuánto daño se causó? Es difícil dar una respuesta clara, pero puedes determinar el nivel de daño haciendo las siguientes preguntas. En primer lugar, ¿cuánto tiempo llevan existiendo los troyanos? La fecha en que se creó un documento no siempre es completamente confiable, pero puede proporcionar cierta información.
Utilice el Explorador de Windows para ver la fecha de creación y la fecha del último acceso del archivo ejecutable del troyano. Si la fecha de creación del ejecutable es muy temprana y la fecha del último acceso es muy reciente, es probable que el atacante haya estado utilizando el troyano durante bastante tiempo.
En segundo lugar, ¿qué acciones tomó el atacante después de invadir la máquina? ¿El atacante accedió a bases de datos confidenciales, envió correos electrónicos, accedió a otras redes remotas o directorios compartidos? ¿El atacante obtuvo derechos de administrador? Examine cuidadosamente las máquinas comprometidas en busca de pistas, como por ejemplo, ¿se accedió a los archivos y programas en fechas fuera del horario de oficina del usuario?
En entornos con menores requisitos de seguridad, la mayoría de los usuarios pueden volver a trabajar después de eliminar el troyano, siempre y cuando se hagan esfuerzos para evitar que atacantes remotos tengan éxito en el futuro. Para entornos con requisitos de seguridad moderados, es mejor poder cambiar todas las contraseñas y otra información más confidencial (como números de tarjetas de crédito, etc.).
Para situaciones con altos requisitos de seguridad, no se pueden tolerar riesgos potenciales desconocidos. Si es necesario, el administrador o líder de seguridad de la red debe ajustarse para probar minuciosamente toda la red y cambiar todas las contraseñas, y luego realizar los riesgos posteriores. análisis sobre esta base. Las máquinas dañadas se deben reformatear y reinstalar por completo.
El daño causado por un caballo de Troya puede ser asombroso. Debido a que puede controlar remotamente la máquina y capturar la pantalla, el teclado, el audio y el video, su poder destructivo es mucho mayor que el de los virus y gusanos comunes. Sólo comprendiendo los principios operativos de los troyanos y tomando las medidas defensivas correctas podremos reducir eficazmente el daño de los troyanos.