¿Cuáles son las consecuencias de ser infectado por un virus troyano?
1. Primera introducción a los caballos de Troya
Los caballos de Troya son programas maliciosos que se ejecutan silenciosamente en la máquina host, lo que permite a los atacantes obtener acceso remoto y control del sistema. En términos generales, la mayoría de los caballos de Troya imitan las funciones de algún software de control remoto normal, como pcAnywhere de Symantec, pero los caballos de Troya también tienen algunas características obvias, como que su instalación y funcionamiento se realizan de forma encubierta. Los atacantes suelen ocultar caballos de Troya en algunos juegos o pequeños programas para engañar a usuarios desprevenidos para que los ejecuten en sus máquinas. La situación más común es que los usuarios engañados descarguen y ejecuten software con código malicioso desde sitios web informales o hagan clic accidentalmente en archivos adjuntos de correo electrónico con código malicioso.
La mayoría de los troyanos incluyen partes de cliente y servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes del servidor al software legítimo, engañando a los usuarios para que ejecuten software legítimo. Tan pronto como el usuario ejecuta el software, la parte del servidor del troyano completa el proceso de instalación sin que el usuario se dé cuenta. Por lo general, la parte del servidor del caballo de Troya se puede personalizar. Los elementos que el atacante puede personalizar generalmente incluyen: el número de puerto IP del servidor en ejecución, la hora a la que se inicia el programa, cómo realizar llamadas, cómo ser invisible y. si cifrar. Además, el atacante también puede establecer una contraseña para iniciar sesión en el servidor y determinar el método de comunicación.
El servidor puede notificar al atacante enviando un correo electrónico para anunciar que se ha apoderado exitosamente de la máquina; o puede contactar un canal de comunicación de Internet oculto y transmitir la dirección IP de la máquina comprometida; , cuando se inicia la parte del servidor del troyano, también puede comunicarse directamente con el programa cliente que se ejecuta en la máquina del atacante a través de un puerto predefinido. Independientemente de cómo el servidor troyano y los programas cliente establezcan contacto, una cosa sigue siendo la misma: los atacantes siempre utilizan el programa cliente para enviar comandos al programa servidor para lograr el propósito de controlar la máquina del usuario.
Un atacante de caballo de Troya puede ver las máquinas comprometidas como desee, o emitir comandos mediante transmisión, instruyendo a todos los caballos de Troya bajo su control para que actúen juntos, se propaguen a un rango más amplio o realicen otras cosas peligrosas. De hecho, siempre que se utilice una palabra clave predefinida, todas las máquinas comprometidas pueden formatear sus propios discos duros o lanzar ataques a otro host. Los atacantes suelen utilizar caballos de Troya para invadir una gran cantidad de máquinas y luego lanzar un ataque distribuido de denegación de servicio (DoS) en un host clave. Cuando la víctima se da cuenta de que la red está inundada con tráfico inusual, intenta encontrar el objetivo. Cuando se encuentra a un atacante, éste sólo puede localizar a un gran número de usuarios de módem de cable o DSL que no lo saben y que también son víctimas. El verdadero atacante hace tiempo que se escapó con programas maliciosos extremadamente peligrosos.
Para la mayoría de los programas maliciosos, siempre que se eliminen, el peligro desaparece y la amenaza ya no existe, pero los caballos de Troya tienen algo especial. Los caballos de Troya, al igual que los programas maliciosos como virus y gusanos, también pueden eliminar o modificar archivos, formatear discos duros, cargar y descargar archivos, acosar a los usuarios y expulsar otros programas maliciosos. Por ejemplo, a menudo se pueden ver atacantes tomando el control de la máquina comprometida. Al guardar juegos o herramientas de ataque, casi todo el espacio en disco del usuario está ocupado, pero además, los troyanos tienen características únicas (robo de contenido, control remoto) que los convierten en el malware más peligroso.
En primer lugar, los troyanos tienen la capacidad de capturar cada pantalla de usuario y cada evento de pulsación de tecla, lo que significa que los atacantes pueden robar fácilmente las contraseñas de los usuarios, rutas de directorio, asignaciones de unidades e incluso registros médicos, cuentas bancarias y información de tarjetas de crédito y comunicaciones personales. Si el PC tiene un micrófono, el troyano puede espiar las conversaciones.
Si su PC tiene una cámara, muchos troyanos pueden encenderla y capturar contenido de video; en el mundo de los códigos maliciosos, actualmente no existe mayor amenaza para la privacidad del usuario que los troyanos, todo lo que diga o haga frente a su PC, puede que todos ser grabado.
Algunos troyanos vienen con rastreadores de paquetes que capturan y analizan cada paquete que pasa a través de la tarjeta de red. Los atacantes pueden utilizar la información robada por los troyanos para configurar puertas traseras. Incluso si los troyanos se eliminan posteriormente, los atacantes aún pueden utilizar las puertas traseras que quedan para entrar fácilmente.
En segundo lugar, si un usuario no autorizado domina la capacidad de controlar remotamente la máquina host, la máquina host se convierte en una poderosa arma de ataque. Los atacantes remotos no sólo tienen la capacidad de manipular los propios recursos de la PC a voluntad, sino que también pueden hacerse pasar por usuarios legítimos de la PC, como enviar correos electrónicos y modificar documentos como usuarios legítimos. Por supuesto, también pueden usar la máquina comprometida para atacar a otros. máquinas. Hace dos años, un usuario doméstico me pidió que lo ayudara a demostrarle a una casa comercial que no había presentado una operación de acciones que parecía claramente estar perdiendo dinero. La institución comercial registró la dirección IP de su PC durante la transacción y también encontré rastros de la transacción en disputa en el búfer de su navegador. Además, encontré evidencia del troyano SubSeven (también conocido como Backdoor_G). Aunque no hay evidencia de que el caballo de Troya estuviera directamente relacionado con el comercio de acciones que le causó enormes pérdidas, se puede ver que el caballo de Troya estaba activo en el momento de la transacción.
3. Tipos de troyanos
Los troyanos comunes, como Back Orifice y SubSeven, son kits de herramientas de ataque multipropósito con funciones muy completas, que incluyen captura de pantalla y sonido, funciones de contenido de video. . Estos troyanos pueden actuar como registradores de claves, controladores remotos, servidores FTP, servidores HTTP, servidores Telnet y también pueden encontrar y robar contraseñas. Un atacante puede configurar el puerto en el que escucha el troyano, cómo se ejecuta y si el troyano contacta a la persona que inició el ataque por correo electrónico, IRC u otros medios de comunicación. Algunos troyanos dañinos también tienen ciertas capacidades antidetección. Pueden ocultarse de varias maneras, cifrar las comunicaciones e incluso proporcionar API de nivel profesional para que otros atacantes desarrollen funciones adicionales. Debido a su amplia funcionalidad, estos troyanos tienden a ser de mayor tamaño, normalmente entre 100 KB y 300 KB. En términos relativos, es relativamente difícil instalarlos en la máquina del usuario sin llamar la atención de nadie.
Para los troyanos con funciones relativamente únicas, los atacantes intentarán mantenerlos pequeños, normalmente entre 10 KB y 30 KB, para que puedan activarse rápidamente sin llamar la atención. Estos troyanos se utilizan generalmente como registradores de teclas. Registran cada pulsación de tecla del usuario víctima y lo guardan en un archivo oculto, para que el atacante pueda descargar el archivo y analizar las operaciones del usuario. También existen troyanos que funcionan como servidores FTP, Web o de chat. Normalmente, estos pequeños troyanos se utilizan sólo para robar capacidades de control remoto iniciales difíciles de obtener y proteger la intrusión inicial de modo que se pueda cargar e instalar un troyano grande y con todas las funciones en un momento oportuno que probablemente no llame la atención.
Simplemente busque un sitio web de búsqueda en Internet y busque la palabra clave Troyano de acceso remoto y rápidamente obtendrá cientos de caballos de Troya, de tantos tipos que la mayoría de los sitios web que se especializan en recopilar caballos de Troya no pueden hacerlo. No ordenados alfabéticamente En orden, hay docenas o incluso más de cien troyanos debajo de cada letra. Echemos un vistazo a dos de los troyanos más populares: Back Orifice y SubSeven.
■ Back Orifice
En 1998, Cult of the Dead Cow desarrolló Back Orifice.
Este programa rápidamente se hizo popular en el campo de los caballos de Troya. No sólo tiene una API programable, sino que también tiene muchas otras características nuevas que eclipsan a muchos programas de control remoto habituales. Back Orifice 2000 (BO2K) se lanza bajo la GNU GPL (Licencia Pública General), con la esperanza de atraer a un grupo de usuarios habituales para competir con el software de control remoto establecido como pcAnywhere.
Sin embargo, su modo de funcionamiento encubierto predeterminado y sus obvias intenciones ofensivas hacen poco probable que muchos usuarios lo acepten en el corto plazo. Un atacante puede utilizar la herramienta de configuración del servidor de BO2K para configurar muchos parámetros del servidor, incluidos TCP o UDP, número de puerto, tipo de cifrado, activación secreta (funciona mejor en máquinas con Windows 9x, ligeramente peor en máquinas con Windows NT), contraseñas, complementos, etc. .
Back Orifice es impresionante por sus numerosas funciones, como registro de eventos de pulsación de teclas, exploración de archivos HTTP, edición de registro, captura de audio y vídeo, robo de contraseñas, redirección de puertos TCP/IP, envío de mensajes, reinicio remoto, control remoto. bloqueo, cifrado de paquetes, compresión de archivos y más. Back Orifice viene con un kit de desarrollo de software (SDK) que permite ampliar su funcionalidad mediante complementos.
El complemento bo_peep.dll predeterminado permite a un atacante controlar de forma remota el teclado y el mouse de la máquina. En términos de aplicaciones prácticas, Back Orifice es muy sensible a los comandos de entrada incorrectos. Los principiantes sin experiencia pueden bloquearlo con frecuencia, pero para los veteranos experimentados, se volverá dócil y poderoso.
■ SubSeven
SubSeven puede ser incluso más popular que Back Orifice. Este troyano siempre ha estado en la cima de la lista de estadísticas de infección de los principales fabricantes de software antivirus. SubSeven se puede utilizar como registrador de claves, rastreador de paquetes, redirección de puertos, modificación de registro, grabación de micrófono y cámara. La Figura 2 muestra algunos de los comandos del cliente y las opciones de configuración del servidor de SubSeven.
SubSeven tiene muchas características que avergüenzan a la víctima: los atacantes pueden intercambiar de forma remota las teclas del mouse, activar/desactivar Bloq Mayús, Bloq Num y Bloq Despl, desactivar la combinación de teclas Ctrl Alt Del, cerrar la sesión del usuario, desactivar encender y apagar unidades de CD-ROM, apagar y encender el monitor, voltear la pantalla, apagar y reiniciar la computadora, y más.
SubSeven utiliza ICQ, IRC, correo electrónico e incluso scripts CGI para contactar al atacante. Puede cambiar aleatoriamente el puerto del servidor y notificar al atacante sobre el cambio de puerto. Además, SubSeven proporciona código especializado para robar contraseñas de AOL Instant Messenger (AIM), ICQ, RAS y protectores de pantalla.
4. Detección y eliminación de caballos de Troya
Si una red corporativa ha sido devastada por virus y gusanos de correo electrónico, es probable que esta red sea el objetivo preferido de los caballos de Troya. Debido a que los troyanos están cifrados por programas vinculantes y atacantes, encontrar troyanos es mucho más difícil para el software antivirus convencional que encontrar gusanos y virus. Por otro lado, el daño causado por los caballos de Troya puede ser mucho mayor que el de los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.
Para luchar contra el código malicioso, su mejor arma es la herramienta de detección de virus más reciente y probada. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza tanto como sea posible. Muchos administradores confían demasiado en herramientas específicas de troyanos para detectar y eliminar troyanos, pero algunas herramientas son cuestionablemente efectivas, o al menos no merecen plena confianza.
Sin embargo, Tauscan de Agnitum es de hecho un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.
Una evidencia obvia de intrusión de un caballo de Troya es que un determinado puerto se abre accidentalmente en la máquina víctima. Especialmente, si este puerto resulta ser un puerto comúnmente utilizado por los caballos de Troya, la evidencia de la intrusión de un caballo de Troya es. aún más seguro. Una vez que se encuentra evidencia de intrusión troyana, la conexión de red de la máquina debe cortarse lo antes posible para reducir las posibilidades de detección del atacante y futuros ataques. Abra el administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. El inicio en modo seguro generalmente evita que los troyanos se carguen en la memoria, lo que dificulta su detección.
La mayoría de los sistemas operativos, incluido Windows, por supuesto, vienen con la herramienta Netstat para detectar el estado de la red IP. Puede mostrar todos los puertos de escucha activos (incluidos UDP y TCP) en la máquina local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la máquina local. Preste atención a si hay puertos abiertos accidentalmente (por supuesto, esto requiere una comprensión del concepto de puertos y el. puertos utilizados por programas comunes.
5. Abordar los problemas pendientes
Después de detectar y eliminar troyanos, surge otra pregunta importante: ¿un atacante remoto ha robado información confidencial? ¿Qué tan dañino es? Es difícil dar una respuesta exacta, pero puedes determinar el nivel de daño haciendo las siguientes preguntas. En primer lugar, ¿cuánto tiempo llevan existiendo los troyanos? La fecha en que se creó un documento puede no ser necesariamente completamente confiable, pero puede usarse como referencia. Utilice el Explorador de Windows para ver la fecha de creación y la fecha de último acceso del archivo ejecutable del caballo de Troya. Si la fecha de creación del archivo ejecutable es muy temprana pero la fecha de acceso más reciente es muy reciente, es posible que el atacante haya estado usando el caballo de Troya. por mucho tiempo.
En segundo lugar, ¿qué acciones tomó el atacante después de invadir la máquina? ¿El atacante accedió a bases de datos confidenciales, envió correos electrónicos, accedió a otras redes remotas o directorios compartidos? ¿El atacante obtuvo derechos de administrador? Examine cuidadosamente las máquinas comprometidas en busca de pistas, como por ejemplo, ¿se accedió a los archivos y programas fuera del horario de oficina del usuario?
En entornos con menores requisitos de seguridad, la mayoría de los usuarios pueden volver al trabajo normal después de eliminar el troyano, siempre y cuando se hagan esfuerzos futuros para evitar que atacantes remotos vuelvan a tener éxito. En cuanto a situaciones con requisitos de seguridad generales, lo mejor es cambiar todas las contraseñas y otra información confidencial (como números de tarjetas de crédito, etc.).
En situaciones con altos requisitos de seguridad, cualquier riesgo potencial desconocido es intolerable. Si es necesario, se debe ajustar el administrador o la persona a cargo de la seguridad de la red, se debe probar exhaustivamente toda la red y se deben verificar todas las contraseñas. Sobre esta base se realizarán análisis de riesgos posteriores. Para la máquina comprometida, reformatéela completamente e instálela nuevamente.
El daño causado por los caballos de Troya puede ser muy alarmante. Debido a que tienen la capacidad de controlar máquinas de forma remota y capturar pantallas, pulsaciones de teclas, audio y video, su daño es mucho mayor que el de los virus y gusanos comunes. Una comprensión profunda de los principios operativos de los caballos de Troya y la adopción de medidas defensivas correctas sobre esta base pueden reducir eficazmente el daño causado por los caballos de Troya.