Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Hacking » Malware (Troyanos, virus, keylogger, stealer, rootkit, worm...)
 » 

Manual Inicial Sobre Troyanos, Lectura Obligatoria!



Autor Tema: Manual Inicial Sobre Troyanos, Lectura Obligatoria!  (Leído 3034 veces)

Desconectado yerco

  • Asiduo
  • *
  • Mensajes: 92
Manual Inicial Sobre Troyanos, Lectura Obligatoria!
« en: Enero 29, 2009, 06:44:04 pm »
Hola:

bueno, el proposito de del tema es informar y sacar las dudas que hay sobre los troyanos, que son, algunas de las variables que hay de ellos y todo lo relacionado a las conexiones y los metodos de indetectabilizacion.

Origen del nombre:

Obviamente es una analogia del caballo de troya( el engaño mediante el cual los griegos lograron vencer a los troyanos) la aplicacion actual del "caballo" seria el echo de bindearlo a alguna archivos mediante el cual entrara "disfrazado" el troyano detrás de el. Obviamente el archivo estaria introducido en la pc de la victima o seria ejecutado por la victima mediante ingenieria social

Tipos de Troyanos:

como sabemos los troyanos se basan en una conexion cliente servidor, es decir una de las partes indica que precisa y la otra parte se la entrega.

esto genera una division entre los troyanos, los de conexion inversa y los de conexion directa. la escencia de la diferencia es:

Troyanos de conexion directa: oyen el puerto de la vitcima y es ahi donde la informacion es entregada, esto es util pero a la vez muy complicado de efectuar, ya que el firewall detecta rapidamente que hay "algo" escuchando en los puertos de la pc

Troyanos de conexion inversa: el cliente(el programa que nosotros poseemos)envia el pedido de informacion y el server.exe se coencta a Nuestra pc, lo que hace que no salte su av inmediatamente(lo que no kiere decir que obligatoriamente no lo haga)

Hey! me acabo de descargar el troyano y me salto el AV, no me quieres currar no?

no!, lo que ah pasado es que tu antivirus detecto al creador del troyanos como tal y los elimina debido a que estos solo ayudan a crear mas troyanos dando vueltas, por lo cual los avs los bloquean para tratar de impedir que aumente la cantidad... la solucion para esto? desactiva temporalmente el av hasta que termine la descarga y luego crea una carpeta excluida del scan del antivirus, es decir que no la revise y ahi es donde tendrás q instalarlo y trabajar con él.

¿Porqué son tan detectados los troyanos publicos?

es muy sencillo como no se pueden considerar ilegales a los troyanos como el bifrost o el poison ivy, debido a que estan caracterizados como herramientas de manejo remoto de pcs son todos muy utilizados con otros propositos(osea como troyanos para obtener informacion o simplemente divertirse), entonces al ser tan utilizados se tornan muy conocidos rapidamente, por lo cual las empresas de AVs se enteran rapidamente de su aparicion y los marcan como troyano y no como herramienta de manejo remoto y pasan a ser detectados y borrados...
una variante de estos troyano son los privados a los cuales se puede acceder pagando cierta suma de dinero, estos generalmente son menos conocidos por los avs y por lo tanto menos detectados.

¿Qué es lo que tengo ke enviar?
la forma de la que trabaja el troyano es enviando un primer archivo(.exe) desde el cual hace conexion hacia la pc ese archivo generalmente se denomina server.exe es altamente detectado por la mayoria de los avs(depende de ke troyano sea)todas las modificaciones que se deben hacer para que el troyano quede indetectado por cualquiera de los antivirus son echas al ser.exe, ya que este es el archivo que hay que enviar. Cabe aclarar que al enviar el archivo es conveniente enviarlo estando comprimido(ya que en el msn y en algunos emails no se pueden enviar .exes) y primero guardado en una carpeta uy luego comprimida la carpeta, xq sino la mayoria de los servers de "rompen" y dejan de ser funcionales

¿Como puedo hacer mis troyanos indetectables?
hay varias formas:
-crypters[/url](mas abajo estan explicados)
-You are not allowed to view links. Register or Login
-You are not allowed to view links. Register or Login(a falta de nombre original)
-You are not allowed to view links. Register or Login

¿Cómo se si mi troyano es indetectado?
muy facil una vez que tengas todo tu server preparado con los archivos unidos y todo te tenes ke dirigir a You are not allowed to view links. Register or Login y ahi subir tu servidor, ojo! SIEMPRE TENES QUE TILDAR LA OPCION DE DO NO DISTRIBUTE THIS SAMPLE, ya que si no lo haces y el server es detectado aunq sea por solo uno de los av tu archivo sera enviado a los otros av y será catalogado como troyano y ahi sonaste, sera altamente detectado en cuestion de dias.

¿Como añado a mis servers otros programas o archivos?
es muy facil en este mismo foro hay toda una seccion de Binders Blinders y Joiners, todos los cuales permiten introducir dentro de un mismo archivo, como minimo dos archivos, hay muchas variantes algunos permiten solo unir archivos exe(como por ejemplo el iexpress de windows) y otros permiten unir infinitos archvos de diferentes extensiones dentro uno mismo, pero con el pequeño "problema" de que la extension final será un exe, lo cual puede resultar sospechoso si por ejemplo le añadiste un video.
Cabe decir que tanto los Binders como los Blinders y los Joiners son detectados por los antivirus y considerados como malwares, ya que colaboran con la distribucion de troyanos.

¿Que son los crypters?
Los crypters son programas especializados en ocultar otros programas, con lo cual se burlan a los Antivirus y los troyanos se pueden ejecutar, logrando asi la infeccion :)

Quiero cargarme ese molesto AV de una vez por todas, asi puedo trabajar tranquilo,¿Como hago?

es muy facil, si queres que el av de tu victima no te moleste mas a la hora de trabajr con tu troyanos, podes Bindearle un avkiller, el cual se encarga de eliminar la mayoria de los av que pudiera llegar a tener instalado la pc. Estos son altamente detectados y no siempre funcionan, ya que por ejemplo con un cambio de version del av este puede estar instalado en otra carpeta totalmente diferente, sin contar que los procesos se pueden llamar de distinta manera, entonces no se pueden cerrar y al tratar de borrar los archivos los procesos lo impiden.

Muy bien y ahora ¿Qué hago con el firewall?
muy facil, si ya tenes acceso a la pc y tiene el firewall de windows podes desactivarlo cambiando la clave registro de un uno a un 0
sino lo que podes hacer es bindear al mismo troyano un firewall killer que cumple las mismas funciones que un avkiller nomas ke bloquea y elimina a los firewalls mas conocidos del mercado... Muchas veces vienen ambos programas en uno solo, ahorrando las molestias de tenes que unir muchos archivos.

La importancia de los puertos:

los puertos son la base de las conexiondes de pc, por lo tanto tambien para las conexiones de troyanos, la mayoria de los troyanos vienen con la opcion de configurar el puerto al cual conectan. Pero el asunto es, ¿Qué pasa si tengo los puertos cerrados?
pues la conexion no funcionará y por lo tanto el troyano quedará inutilizado hasta que los puertos no se abran...

la solucion de este problema para muchos es encuentra You are not allowed to view links. Register or Login

Los problemas de la ip:

ahora bien los troyanos se configuran para que conecten hacia algun destino(osea una ip) pero que sucede si yo tengo ip veriable(es decir que cambia cada vez que me conecto)?

hay una solucion para este problema que es más que sencilla, se denomina You are not allowed to view links. Register or Login y es un host en el cual vos te creas una cuenta y podes crear sevidores de forma gratuita, el requisito para poder utilizar los no-ip como direccion a la cual conectan las victimas es la instalcion de un programa (duc no-ip) en el cual se muestran todos los servers creados en tu cuenta y el estado de ellos...

un buen tutorial sobre como crear y configurar tu cuenta de no-ip You are not allowed to view links. Register or Login

Tengo mi Troyano indetectable, pero no funciona!!¿Qué paso?
lo que ah sucedido es que has "roto" el server, es decir que con tanta encriptacion o con alguna de las modificciones que le hiziste al server borraste o cambiaste alguna parte del source y esta no se puede ejecutar, de manera tal que no funciona. una de las mejores maneras de detectar cuando un troyano se "rompe" es autoinfectandote, es decir probando ejecutar el programa a ver si este conecta o no, debes acordarte de cerrar el antivirus, para eliminar la duda de si este lo bloqueo o no, tenes que tener cuidado si es que le bindeaste algun avkiller xq puede llegar a borrar el tuyo.

Tengo mi server Indetectable, Y ahora Si es Funcional ¿Qué Lo Hago?

Una vez que has conseguido que tu server sea indetectado, si bien no necesariamente 100% pero si a los avs mas utilizados (AVG, MCAfee, Nod, Norton, etc) lo que podes hacer es Propagarlo esto significa que deberás encontrar la forma de conseguir victimas.

ahora bien eso puede ser muy sencillo o muy complejo, todo depende de lo que en realidad quieras. Hay gente ke "trabaja" para conseguir victimas a tontas y a locas y finalmente se cansa de tenerlas y ni siquera las tiene en cuenta:

Formas de Propagar Masivamente Tu Troyano:

-Propagacion por p2p: consiste en publicar o introducir tu archivo con el nombre de algun programa u objeto buscado en internet, con la intencion de que miles de personas lo descarguen y lo ejecuten, una vez que lo hagan varios cientos de personas la cantidad de victima aumentrá considerablemente debido a que mientras mas "fuentes" de ese programa hay mas arriba se encontrara en la lista de descargas de esa búsqueda.
-Propagacion por USB: consiste en crear un archivo autorun.ini el cual ejecute el troyano inmediatamente despues que sea conectado el pendrive a la pc, de esta forma si nuestro pen drive "visita" varias pcs tendrás muchas y variadas victimas, con la contrariedad de que conocerás a la mayoria, a menos que lo hagas en un cyber o algo por el estilo.
-Propagacion Mediante Wormización: este metodo es MUY popular, consiste en utilizar una aplicacion para wormizar a tu server, es decir darle caracteristicas de un gusano(propagacion por red lan, p2p y autoinfeccion de memorias extraibles) con este tipo de servers se consiguen muchisimas victimas y generalmente estas van aumentando y solamente frenan una vez ke es detectado masivamente por varios avs, ya que sino se continúa propagando ilimitadamente. Puede parecer muy bueno, pero no es recomendable tener 3mil victimas tratando de conectarse a tu no-ip o a tu cliente de troyano, puede ser lageador y encima peligroso, ya que no sabes a quien infectas y por ahi te encontras algun ingeniero inverso y se puede hacer cargo de ti facilmente (^^)


por otro lado hay otro tipo de personas, que por ejemplo tienen un objetivo al cual infectar, de esta manera hasta puede ser que preparen el servidor tan solo para esa victima en particular, lo que es facilitado mediante investigacion:
-Investigacion Física: consiste en simplemente dirigirte a la pc y observar los datos de su conexion su antivirus la proteccion que tiene la pc y ese tipo de cosas... normalmente no es muy facil de utilizar, sobretodo si lo que buscas es infectar a alguien ke no está precisamente cerca (un objetivo Internacional por ejemplo), pero si lo que buscas es infectar a tu compañero de trabajo a algunos amigos tuyos no tiene ke ser tan complicado.
-Investigacion Mediante La Aplicación De Ingeniería Social: obviamente consiste en el arte de mentir ( =D ) es muy facil de utilizar, podes guiarte con la informacion que esta publicada en el link de mas arriba... consiste en hacer caer a la victima para que suelte informacion, por ejemplo podes decir que estas buscando un buen AV y preguntarle el suyo, con eso ya te bastaria para lograr un av idetectable al suyo y ya está asi te ahorras las molestias de hacerlo para 38 avs diferentes. Es muy util debido a que las distancias no influyen y ademas no esta acostumbrado a charlar por MSN con personas que no conoce fisicamente y si las considera lo suficientemente amigos pueden decirles ciertas cosas que le servirán mas adelante.
-Búsqueda de Ineficiencias: si posees la direccion ip actual de tu victima podes realizar un scann de sus puertos so su pc y ver si podes encontrar algún "agujero" por el cual se te hace mas sencillo colar el Troyano.

Formas de Propagación Personalizada de Troyanos:
-Archivos troyanizados: es un ejemplo clasico, en los foros cada cierto tiempo aparece un lammer que infecto alguna herramienta que alguin estaba buscando o lo que sea y le de un link, el cual posee la herramienta y detrás el server del troyano. si vos sabés que es lo que está buscando tu victima(una cancion, un programa, lo que sea) podes preparar tu server, bindearlo a lo que ella desee y subirlo a cualquier host o enviarselo directamente(si es por MSN claro) tanto rapidshare como megaupload son conocidos y por lo tanto la mayoria de los users saben como utilizarlo, asi no tendrán problemas a la hora de descargar.
-Introducción del Server en Su Pc: este método consiste en acceder a la Pc (ya sea de forma directa, o a través de un agujero en la seguridad de la pc (para eso pueden utilizar NetScan)) e introducir el server dentro de su pc, si poseen acceso fisico, ejecutarlo no les causará ningun problema, pero sino lo que pueden hacer es configurar una tarea programada para que ejecute el server la proxima vez que se inicie la PC.


Bueno esos son Basicamente los métodos de propagacion mas conocidos, si alguno conoce otro o sabe de alguno que me olvide de mencinar aviseme o cree su propia definicion de esa propagacion y quedará añadida al post.

by Y3Rc0



Recomendacion:

leer el curso posteado You are not allowed to view links. Register or Login
« Última modificación: Marzo 31, 2010, 02:06:59 pm por Fant4sma17 »


Tags:
Tags:

 


SMF 2.0.19 | SMF © 2016, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal