jueves, 11 de junio de 2015

Dos de los troyanos más famosos: NetBus y Back Orifice 2000 (BO2K)

Aunque actualmente NetBus como software malicioso prácticamente no se usa, quiero mostrar el funcionamiento básico de un troyano, y que mejor que hacerlo con un clásico como NetBus.

Netbus es un software malicioso muy usado en el hacking. Es un famoso troyano del año 1998 que permitía controlar casi completamente un equipo en remoto. 

Este troyano afecta a los sistemas operativos Microsoft Windows (desde el sistema XP a anteriores).


Su interfaz es muy intuitiva facilitando su manipulación. Actualmente es detectado prácticamente por todos los antivirus.


NetBus

La prueba fue realizada con dos de mis ordenadores, uno sobremesa y otro portátil. 

El funcionamiento se basa en un modelo Cliente / Servidor. El servidor es lo que se instala en el equipo víctima, supongamos que mediante ingeniería social, descarga de un archivo de correo electrónico, mediante un enlace, etc.


El cliente somos nosotros o el auditor. Configuramos el servidor (Nbsvr.exe).


Debemos de configurar para que acepte las conexiones entrantes. En el campo Run On Port indicamos el puerto TCP que esperará conexiones Netbus (indistintamente del puerto que se indique, debe de estar completamente abierto entre el cliente y el servidor a través de la arquitectura de seguridad).

Si indicamos Full Access en el campo Access mode pondremos al equipo en peligro en la red, ya que tendremos acceso total.También podemos indicar si NetBus debe reiniciarse cada vez que lo haga el equipo. Una vez configurado, instalamos el servidor en el equipo víctima, y ejecutamos el cliente a la espera de que lleguen conexiones a NetBus.


Una vez inicializado NetBus, añadimos la IP, puerto y contraseña para que nos aparezca el menú principal.

Una vez establecida la conexión, se puede realizar distintas acciones como obtener toda la información del equipo víctima (password, hardware, apagar el equipo, formatear, reiniciar, abrir el cd-ROM...)

Back Orifice 

Pocos meses después de la liberación de NetBus, salió Back Orifice, un clásico entre los clásicos. Se considera la generación posterior de herramientas de acceso por puertas traseras que apareció tras el NetBus.

Muchas de las opciones que nos proporciona NetBus podemos encontrarlas en Bo2k. Para que un servidor Bo2k pueda utilizarse como puerta trasera para un servidor víctima, primero debemos configurarlo, usando la herramienta de configuración de servidores BO2k en el equipo atacante. 


BO2k ofrece la opción de trabajar bajo el protocolo para el control de transmisión (TCP) o el protocolo (UDP).


Se debe configurar una contraseña para acceder el servidor. Configuramos la carpeta Startup en el panel Option Variable en la esquina inferior izquierda para asegurar de que el servidor se cargue durante el inicio, para evitar que el servidor BO2k sufra caídas si el equipo infectado reinicia el sistema.  

Una vez configurado e instalado el servidor en el equipo infectado,  se abrirá el puerto que configuramos previamente. Si hacemos un netstat –an en el host, observamos que el puerto 80 está abierto.
Cuando se haya establecido la conexión, se pueden realizar numerosas funciones, por ejemplo, reiniciar el sistema, ping, etc.
La forma más sencilla de capturar una contraseña es registrando la actividad del teclado a través de BO2k. Su funcionamiento sería similar al sistema de los Keylogger.

En process control podemos mostrar, iniciar, o eliminar procesos a voluntad.  Para visualizar el escritorio de la víctima, se configura en la carpeta multimedia. Se pueden alterar archivos críticos del sistema buscando los archivos por *.mdb.

En la carpeta File/Directory se puede buscar, transmitir y crear archivos que necesitemos de la victima.


Más sobre NetBus y Back Orifice:
BO2K:
BO:

No hay comentarios: