Manipulación Troyanos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESPECIALIZACION EN SEGURIDAD INFORMATICA
SEGURIDAD ...
Integrantes
ALEXANDRA MILENA GONZALEZ
GUSTAVO ADOLFO RODRIGUEZ ALONSO
JOSE DANIEL GUERRA
ORLANDO GOMEZ
VIANNEY DARIO RODRI...
Ejecucion Builder
Luego de verificar el contenido del paquede OptixPro, se debe
ingresar ejecutar el archivo “Builder”, al...
Configuración Servidor
La ejecución del constructor del servidor lo llevara a la pantalla
principal, donde se encuentra el...
Lo primero que se debe configurar es una contraseña para el
servidor, así se garantiza que nadie mas se podrá conectar al ...
Para poder ocultar las intenciones de infección con este troyano, se puede
generar el archivo del servidor con una varieda...
En el menú “StartUp & Instalation”, se encuentra una opción
interesante y necesaria cuando se hacen pruebas de infección, ...
Adicional se deberá ocultar el proceso activo en el sistema operativo, el cual es
posible detectarlo en Administrador de T...
En el menú “Firewall& AVS Evasion”, esta la configuración
de una de sus mejores cualidades, la ocultación, aquí se
define ...
Ya realizados los pasos de configuración del servidor, se debe construir
el programa, usando la opción “Build/Create Serve...
Archivo Generado
Se debe contar con al menos un computador que haga las veces de servidor y otro que haga las veces de
cliente, por lo tant...
Por medio de una herramienta como Nmap se puede
confirmar que este conectados a la misma red para
proseguir con la prueba
Archivo “Campus_unad.exe” en servidor

Copia Archivo “Campus_unad.exe”
USO DEL PROGRAMA CLIENTE
En las carpetas que se descomprimieron del paquete inicial, esta el
directorio del cliente el arc...
En esta ventana principal del programa se encuentra el
menú al margen izquierdo, y los campos para IP, puerto y
password e...
Después de la confirmación de conexión satisfactoria, basta con
explorar la gran cantidad de opciones para capturar inform...
También es posible hacer copias de archivos de una
carpeta a otra, ya que “OpticPro Client” cuenta con todas
las opciones ...
Carpeta Mis
Imágenes en el
Host Victima

Escritorio del Cliente
Es posible visualizar la información completa de la
instalación de Windows y su principal hardware, desde el
menú, “Inform...
Otra de las opciones que permite realizar este cliente es
el envío de mensajes en pantalla al host victima, con las
propie...
Una de las propiedades mas utilizadas de este troyano es el
KeyLogger, donde podemos capturar del teclado toda la informac...
La duplicación de pantalla en tiempo real es otra forma de espiar al
servidor infectado. Estas opciones pueden funcionar a...
En el menú “Humor/Fun Stuff”, es posible hacer bromas a la victima,
como abrir y cerrar la bandeja de CD-ROM, invertir los...
Creación de mensaje
desde cliente.
Visualización de la
broma en la pantalla
del servidor.
Nächste SlideShare
Wird geladen in …5
×

Manipulación Troyano Optix Pro

405 Aufrufe

Veröffentlicht am

Manipulación Troyano Optix Pro

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Manipulación Troyano Optix Pro

  1. 1. Manipulación Troyanos UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESPECIALIZACION EN SEGURIDAD INFORMATICA SEGURIDAD EN BASES DE DATOS 2013
  2. 2. Integrantes ALEXANDRA MILENA GONZALEZ GUSTAVO ADOLFO RODRIGUEZ ALONSO JOSE DANIEL GUERRA ORLANDO GOMEZ VIANNEY DARIO RODRIGUEZ TORRES
  3. 3. Ejecucion Builder Luego de verificar el contenido del paquede OptixPro, se debe ingresar ejecutar el archivo “Builder”, allí aparece la explicación del autor del programa, y una confirmación de haber leído las condiciones de uso.
  4. 4. Configuración Servidor La ejecución del constructor del servidor lo llevara a la pantalla principal, donde se encuentra el menú de opciones, de las cuales solo algunas se deberán configurar, las demás funcionan correctamente con los parámetros por defecto
  5. 5. Lo primero que se debe configurar es una contraseña para el servidor, así se garantiza que nadie mas se podrá conectar al servidor de OptixPro. Los demás parámetros de deben dejar por defecto, estos corresponden a la forma como el cliente recibirá las notificaciones y demás datos que se puedan capturar del host victima y el puerto de comunicación (3410). La opción esta en el menú “main Information”, “general Information
  6. 6. Para poder ocultar las intenciones de infección con este troyano, se puede generar el archivo del servidor con una variedad de iconos característicos del sistema operativo Windows, esto genera confianza en la victima y permite la ejecución sin mucho problema. Cabe resaltar que solamente se trata de un truco visual, los Antivirus actuales están en capacidad de detectar el código malicioso dentro del programa, por lo tanto se deberá integrar otras herramientas de ocultación ante el software de seguridad, aquí se limitara a utilizar un icono adecuado para la prueba. Opción “Server Icon”.
  7. 7. En el menú “StartUp & Instalation”, se encuentra una opción interesante y necesaria cuando se hacen pruebas de infección, aquí es posible seleccionar el Registro del sistema objetivo, en este caso se usara “Run All OS”, pero para que no se pierda el programa servidor en el registro de Windows, se le dará el nombre “UNAD2013”
  8. 8. Adicional se deberá ocultar el proceso activo en el sistema operativo, el cual es posible detectarlo en Administrador de Tareas si este no llevara un nombre algo convincente, en este caso se utilizara “msiexec32.exe”, igualmente si es con el objeto de una prueba, cualquier nombre que allí se indique funcionara. Las demás opciones como “Windows Directory” o “System Directory” y Melt Server After Instalation, esta por defecto de esta forma y así se conservaron para el caso de este ejercicio.
  9. 9. En el menú “Firewall& AVS Evasion”, esta la configuración de una de sus mejores cualidades, la ocultación, aquí se define que herramientas queremos evadir, por defecto el programa configura las tres opciones
  10. 10. Ya realizados los pasos de configuración del servidor, se debe construir el programa, usando la opción “Build/Create Server:”, allí el programa pedirá una ruta para guardar el archivo que quedara con extensión de ejecutable EXE. Seguido de esto el programa confirmara la construcción del archivo, solo es necesario salir con “OK All done!”. El archivo se llamara “campus_unad”.
  11. 11. Archivo Generado
  12. 12. Se debe contar con al menos un computador que haga las veces de servidor y otro que haga las veces de cliente, por lo tanto se debe copiar y ejecutar nuestro archivo “campus_unad.exe” en el host victima. En este ejemplo se conto con 2 maquinas virtuales Windows XP Profesional con conexión independiente a la red, y las siguientes IP: y El archivo ejecutable se pasara al servidor por medio de una carpeta compartida en la red, sin embargo para efectos reales del uso de este troyano, el atacante se vale de métodos muy eficientes e indetectables que no están en el detalle de uso del troyano. Cliente: 192.168.2.50 Servidor: 192.168.2.40
  13. 13. Por medio de una herramienta como Nmap se puede confirmar que este conectados a la misma red para proseguir con la prueba
  14. 14. Archivo “Campus_unad.exe” en servidor Copia Archivo “Campus_unad.exe”
  15. 15. USO DEL PROGRAMA CLIENTE En las carpetas que se descomprimieron del paquete inicial, esta el directorio del cliente el archivo “Optrix-Client”, se debe ejecutar para llegar al programa. Al inicio del programa también pide confirmación de un texto para garantizar que se leyeron las condiciones de uso del programa, y una elección del idioma a utilizar, el cual esta en un archivo incluido en la misma
  16. 16. En esta ventana principal del programa se encuentra el menú al margen izquierdo, y los campos para IP, puerto y password en la parte superior. Es aquí donde se deberá usar la contraseña parametrizada en la construcción del servidor.
  17. 17. Después de la confirmación de conexión satisfactoria, basta con explorar la gran cantidad de opciones para capturar información y monitorear, aquí se muestra la opción de administrador de archivos, donde con un escaneo en el botón “GetDrives”, muestra sin problemas todos los archivos del disco duro del host victima.
  18. 18. También es posible hacer copias de archivos de una carpeta a otra, ya que “OpticPro Client” cuenta con todas las opciones de manejo de archivos del Explorador de archivos de Windows, incluso transferirlos hacia el cliente. Copiar archivo PDF Pegar archivo PDF en otra ruta
  19. 19. Carpeta Mis Imágenes en el Host Victima Escritorio del Cliente
  20. 20. Es posible visualizar la información completa de la instalación de Windows y su principal hardware, desde el menú, “Information”, allí también se encuentran opciones para captura de contraseñas del sistema.
  21. 21. Otra de las opciones que permite realizar este cliente es el envío de mensajes en pantalla al host victima, con las propiedades graficas de Windows Configuración Mensaje en OptixPro Client Visualización en el servidor
  22. 22. Una de las propiedades mas utilizadas de este troyano es el KeyLogger, donde podemos capturar del teclado toda la información que ingrese la victima, como usuarios, contraseñas, o cualquier información privada. En este ejemplo se ingreso desde el navegador Google Chrome a la URL www.unad.edu.co, y se digito un usuario y una contraseña. En corchetes de notificación (parametrizados en el servidor) esta la acción de tabulación efectuada en el navegador.
  23. 23. La duplicación de pantalla en tiempo real es otra forma de espiar al servidor infectado. Estas opciones pueden funcionar al mismo tiempo, por lo tanto mientras el keyLogger esta capturando información en modo texto, el atacante podrá ver todo lo que la victima ve en su pantalla, incluso ver cuando se hace un Click desde el mouse. Dependiendo la velocidad de la red, se pueden hacer ajustes de velocidad, color y refresco.
  24. 24. En el menú “Humor/Fun Stuff”, es posible hacer bromas a la victima, como abrir y cerrar la bandeja de CD-ROM, invertir los botones del mouse, bloquear teclado y mouse, hacer parpadeo de las luces de teclado, etc, debido a la condición de maquina virtual no se recomienda usar estas opciones debido a que podrían ser transmitidas a la maquina host.
  25. 25. Creación de mensaje desde cliente. Visualización de la broma en la pantalla del servidor.

×