El troyano **** ASSA*SIN*: **** ¿Nace una nueva generación de troyanos?


Por Marcos Rico (*)
marcos@videosoft.net.uy

Cada día es más fácil (si no tomamos precauciones) que los troyanos infecten ordenadores y permitan así el control remoto por parte de una persona no autorizada.





Siempre he pensado que los troyanos eran más apropiados en un principio para un uso lúdico que para un espionaje real.

Si nos paramos a observar las funciones de los primeros troyanos, contenían frivolidades como abrir y cerrar la unidad de CD-ROM, encender y apagar la pantalla, mover el ratón, bloquear teclas, inserción de mensajes en la pantalla, etc. Sin duda eran diseñados por adolescentes que buscaban un poco de diversión en ordenadores ajenos.

Pero los programadores de troyanos se hacen mayores y los objetivos cambian. Ahora el troyano está más "preparado" para espiar ordenadores y esto debería preocuparnos.

La transferencia de archivos se ha perfeccionado mucho, pueden loguear todas las pulsaciones de nuestras teclas en un archivo y luego volcarlo al cliente del troyano cuando esté online (keylogger), capturan pantallas en la máquina de la víctima, capturan la imagen de la Web-Cam, archivan todas las URLs que la víctima haya visitado, etc.

Podemos afirmar que hoy en día hay troyanos que gestionan profesionalmente otra máquina desde Internet. Son muy pocos los que realmente cumplen su función sin fallos, lo admito, pero ya existen y ello es preocupante.

El problema para adaptar los troyanos al espionaje más serio era lo que yo llamo "el conflicto de la doble IP".

Sabemos que los ordenadores de las empresas (a priori los más golosos para un espionaje serio) suelen estar parapetados en redes LAN bajo proxies o routers.

Esto hacía que el atacante se encontrara con dos IPs en la notificación del troyano. ¿Cuáles eran esas dos IPs?. Pues cabalmente la IP del ordenador infectado que solía tener una IP del tipo 192.168.x.x (donde x es cualquier valor desde 0 hasta 255), y de otra parte teníamos la IP del router o del proxy, que podía ser cualquiera.

Si analizamos el caso detenidamente, observamos que la primera IP (192.168.x.x) es ficticia; es decir, no existe más que en esa red LAN pero no es real en Internet. En cambio la segunda (la que se le asigna al proxy) sí que es real en Internet.

¿Por dónde entraba el atacante entonces: por la primera o por la segunda?. Por ninguna de las dos. Sencillamente no podía acceder y ahora les explico la razón.

La IP del proxy obviamente era accesible desde Internet pero el puerto que abría el troyano no lo abría en el proxy sino dentro de la red LAN. Quiere esto decir que si el troyano era el Sub 7 y abría el puerto 27374 en el ordenador, cuando el cliente de Sub 7 intentara acceder a ese puerto en el proxy, se encontraba que dicho puerto estaba cerrado.

Ante este imponderable aparentemente insoslayable, los troyanos sólo atacaban ordenadores personales de escasa importancia por lo general.

Algunos programadores ya empezaban a relacionar estos programas con herramientas de ociosos lammers(personas que no les interesa aprender sino que sólo buscan aprovecharse del trabajo de los que realmente saben para causar daño).

Inmediatamente se produjo una reacción en contra del carácter frívolo de los troyanos y algunos programadores empezaron a "profesionalizar" estos programas. Destaco por su profesionalidad el trabajo de los programadores del troyano Lithium.

Aunque no fue en Lithium donde se dio el paso más importante para la profesionalización de los troyanos. Han sido los programadores del grupo de hackers de Evil Eye Software quienes han solucionado el problema de los troyanos que afectan a redes LAN.

La idea es muy sencilla pero hasta ahora nadie la había llevado a la práctica.

Se basa en las llamadas "Outgoing Connections" (Conexiones Salientes).

¿Qué sucede cuando un ordenador de una red LAN quiere acceder a Internet?. Pues que la información sale a través del proxy hacia Internet. Nada detiene el proceso.

Y también sabemos que una vez que accedemos a Internet desde una LAN podemos descargar todo tipo de archivos en nuestro ordenador. ¿Y si el troyano simulara ese mismo proceso?.

Exactamente ésa es la idea. Para ello el único requisito que se le exige al atacante es que tenga una IP fija para que el troyano siempre conecte con esa IP y ponga en contacto el servidor con el cliente. En los demás troyanos la conexión era entrante, puesto que era el cliente el que acudía al servidor para manejarlo. Ahora es el servidor el que acude al cliente. Es la manera perfecta de esquivar Proxies y Routers.

El primer troyano de este tipo se llama Assa*Sin* (al menos eso aseguran sus programadores).

He de decir para la tranquilidad de los administradores de sistemas de redes LAN que Assa*Sin* ya es detectado por los principales antivirus del mercado, pero es obvio que este troyano ha abierto una nueva puerta para una nueva generación de troyanos que podemos ver a partir de ahora.

Aún tiene pocas funciones implementadas, pero si le suman algún día las funciones de su homólogo Optix Pro 1.1, podemos ver un troyano muy potente que puede hacer estragos. Entre las funciones que posee destaco las siguientes:

1. Información del sistema infectado (Sistema Operativo,
memoria, CPU, minutos en Windows, etc.).

2. Recaba información de las URLs visitadas.

3. Dirige a la víctima a la URL indicada por el atacante.

4. Puede deshabilitar múltiples antivirus (ver artículo
publicado en VSAntivirus: "Troj/Backdoor.Assasin. Acceso
remoto y borrado de AV"), aunque esta función es opcional
cuando el atacante edita el servidor del troyano.

5. Posee también notificaciones por ICQ y PHP (probablemente
sea el primer troyano en el mundo que use este método
novedoso, ya que otros utilizan normalmente el CGI).

6. Carga y descarga todo tipo de archivos en el ordenador de
la víctima, pudiendo servir para modificar o borrar archivos
fundamentales en la máquina de la víctima, o para inocular
otros virus o troyanos en el sistema que infecta.

7. Posee un Keylogger incorporado que loguea todas las
pulsaciones de la víctima.

8. Detalla todos los procesos en el ordenador infectado y
puede detenerlos a voluntad.

9. Puede editar el registro de Windows con suma facilidad.

10. Captura imágenes desde la Web-Cam de la víctima.

11. También puede capturar la pantalla en un momento
determinado por el atacante.

12. Permite chatear con la víctima.

13. Puede eliminar con el llamado "Exe Killer" los
ejecutables que le indique el atacante.

14. El puerto que utiliza es por defecto el 5695, aunque el
atacante puede cambiarlo a su antojo.

15. También puede elegir el atacante la entrada en el
registro que llevará el troyano, así como el nombre del
archivo. El mensaje de error que puede generar una vez
activado el servidor (a voluntad del atacante también) es
fácilmente editable y puede ser cualquiera.

16. Posee también funciones lúdicas de escasa importancia
como envío de mensajes en pantalla, abrir y cerrar el CD-ROM,
esconder el reloj, apagar y encender el monitor, mostrar o
esconder la barra de tareas, mostrar y esconder el menú de
Inicio, cambiar de mayúsculas a minúsculas (y viceversa) en
el teclado de la víctima, etc.

En definitiva, Assa*Sin* es un troyano que tiene las
funciones básicas de cualquier troyano actual, pero con una
peculiaridad que lo hace muy especial: puede atravesar
Proxies y Routers en redes LAN.

La mejor solución siempre pasa por actualizar nuestros antivirus y proveernos de un buen cortafuegos. Aunque en futuros artículos reflexionaremos sobre la seguridad (a veces insuficiente) que nos proporcionan tanto antivirus como cortafuegos ante las nuevas amenazas en materia de troyanos.


(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits

Otras noticias de interés:

INTECO-CERT publica curso: Formación online sobre Firma Electrónica
INTECO amplía su oferta de formación online con la publicación del Curso de Introducción a la firma electrónica, está enfocado a todo tipo de usuarios....
Wine HQ 1.0 RC1
La primera Release Candidate de la versión 1.0 del proyecto Wine ya está disponible tras 15 años de desarrollo....
DoS en Shockwave ActiveX Control (SWDIR.DLL)
Un control ActiveX de Macromedia Shockwave, es propenso a múltiples vulnerabilidades del tipo denegación de servicio (DoS), ocasionadas por una debilidad en la biblioteca SWDIR.DLL....
Cross site scripting a través de get_file_description en WordPress 2.0.5
Se ha anunciado una vulnerabilidad en WordPress, que podría emplearse para provocar ataques de cross site scripting....
Denegación de servicio en Samba
Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio....
Facebook oculta nuestros contenidos?
Resulta que en las redes sociales se está hablando de la posibilidad de que Facebook nos oculte contenidos. Y lo que es peor que oculte nuestro contenido a otros. Les cuento. No es que ahora Facebook quiera fastidiarnos a ninguno nuestra comunicaci...
Actualización de seguridad para Windows Media Player
Una actualización que soluciona un importante problema en Windows Media Player, acaba de ser publicada por Microsoft. La misma corrige una falla que permite que un atacante pueda ejecutar programas maliciosos en la zona de seguridad local, a ...
Cual es el lenguaje usado en Duqu?
Investigadores de Kaspersky han localizado partes de código de Duqu que estarían desarrolladas en un lenguaje de programación del que no se tenía constancia hasta el momento. Según los primeros análisis, se trata de un lenguaje extremadamente c...
algunos truquitos para cambiar tu MSN messenger
Estos son algunos truquitos para tener privacidad en tu messenger y darle mas presentación a tus mensajes enviados....
Apple actualiza su navegador Safari para MS-Windows
Apple recientemente lanzó una nueva versión de su popular navegador Safari, para Windows. Esta actualización incluye un parche para una vulnerabilidad de seguridad muy conocida que anteriormente fue desconocida por la compañía. Inicialmente se c...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • assa
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • generacion
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • nace
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra