El troyano **** ASSA*SIN*: **** ¿Nace una nueva generación de troyanos?


Por Marcos Rico (*)
marcos@videosoft.net.uy

Cada día es más fácil (si no tomamos precauciones) que los troyanos infecten ordenadores y permitan así el control remoto por parte de una persona no autorizada.





Siempre he pensado que los troyanos eran más apropiados en un principio para un uso lúdico que para un espionaje real.

Si nos paramos a observar las funciones de los primeros troyanos, contenían frivolidades como abrir y cerrar la unidad de CD-ROM, encender y apagar la pantalla, mover el ratón, bloquear teclas, inserción de mensajes en la pantalla, etc. Sin duda eran diseñados por adolescentes que buscaban un poco de diversión en ordenadores ajenos.

Pero los programadores de troyanos se hacen mayores y los objetivos cambian. Ahora el troyano está más "preparado" para espiar ordenadores y esto debería preocuparnos.

La transferencia de archivos se ha perfeccionado mucho, pueden loguear todas las pulsaciones de nuestras teclas en un archivo y luego volcarlo al cliente del troyano cuando esté online (keylogger), capturan pantallas en la máquina de la víctima, capturan la imagen de la Web-Cam, archivan todas las URLs que la víctima haya visitado, etc.

Podemos afirmar que hoy en día hay troyanos que gestionan profesionalmente otra máquina desde Internet. Son muy pocos los que realmente cumplen su función sin fallos, lo admito, pero ya existen y ello es preocupante.

El problema para adaptar los troyanos al espionaje más serio era lo que yo llamo "el conflicto de la doble IP".

Sabemos que los ordenadores de las empresas (a priori los más golosos para un espionaje serio) suelen estar parapetados en redes LAN bajo proxies o routers.

Esto hacía que el atacante se encontrara con dos IPs en la notificación del troyano. ¿Cuáles eran esas dos IPs?. Pues cabalmente la IP del ordenador infectado que solía tener una IP del tipo 192.168.x.x (donde x es cualquier valor desde 0 hasta 255), y de otra parte teníamos la IP del router o del proxy, que podía ser cualquiera.

Si analizamos el caso detenidamente, observamos que la primera IP (192.168.x.x) es ficticia; es decir, no existe más que en esa red LAN pero no es real en Internet. En cambio la segunda (la que se le asigna al proxy) sí que es real en Internet.

¿Por dónde entraba el atacante entonces: por la primera o por la segunda?. Por ninguna de las dos. Sencillamente no podía acceder y ahora les explico la razón.

La IP del proxy obviamente era accesible desde Internet pero el puerto que abría el troyano no lo abría en el proxy sino dentro de la red LAN. Quiere esto decir que si el troyano era el Sub 7 y abría el puerto 27374 en el ordenador, cuando el cliente de Sub 7 intentara acceder a ese puerto en el proxy, se encontraba que dicho puerto estaba cerrado.

Ante este imponderable aparentemente insoslayable, los troyanos sólo atacaban ordenadores personales de escasa importancia por lo general.

Algunos programadores ya empezaban a relacionar estos programas con herramientas de ociosos lammers(personas que no les interesa aprender sino que sólo buscan aprovecharse del trabajo de los que realmente saben para causar daño).

Inmediatamente se produjo una reacción en contra del carácter frívolo de los troyanos y algunos programadores empezaron a "profesionalizar" estos programas. Destaco por su profesionalidad el trabajo de los programadores del troyano Lithium.

Aunque no fue en Lithium donde se dio el paso más importante para la profesionalización de los troyanos. Han sido los programadores del grupo de hackers de Evil Eye Software quienes han solucionado el problema de los troyanos que afectan a redes LAN.

La idea es muy sencilla pero hasta ahora nadie la había llevado a la práctica.

Se basa en las llamadas "Outgoing Connections" (Conexiones Salientes).

¿Qué sucede cuando un ordenador de una red LAN quiere acceder a Internet?. Pues que la información sale a través del proxy hacia Internet. Nada detiene el proceso.

Y también sabemos que una vez que accedemos a Internet desde una LAN podemos descargar todo tipo de archivos en nuestro ordenador. ¿Y si el troyano simulara ese mismo proceso?.

Exactamente ésa es la idea. Para ello el único requisito que se le exige al atacante es que tenga una IP fija para que el troyano siempre conecte con esa IP y ponga en contacto el servidor con el cliente. En los demás troyanos la conexión era entrante, puesto que era el cliente el que acudía al servidor para manejarlo. Ahora es el servidor el que acude al cliente. Es la manera perfecta de esquivar Proxies y Routers.

El primer troyano de este tipo se llama Assa*Sin* (al menos eso aseguran sus programadores).

He de decir para la tranquilidad de los administradores de sistemas de redes LAN que Assa*Sin* ya es detectado por los principales antivirus del mercado, pero es obvio que este troyano ha abierto una nueva puerta para una nueva generación de troyanos que podemos ver a partir de ahora.

Aún tiene pocas funciones implementadas, pero si le suman algún día las funciones de su homólogo Optix Pro 1.1, podemos ver un troyano muy potente que puede hacer estragos. Entre las funciones que posee destaco las siguientes:

1. Información del sistema infectado (Sistema Operativo,
memoria, CPU, minutos en Windows, etc.).

2. Recaba información de las URLs visitadas.

3. Dirige a la víctima a la URL indicada por el atacante.

4. Puede deshabilitar múltiples antivirus (ver artículo
publicado en VSAntivirus: "Troj/Backdoor.Assasin. Acceso
remoto y borrado de AV"), aunque esta función es opcional
cuando el atacante edita el servidor del troyano.

5. Posee también notificaciones por ICQ y PHP (probablemente
sea el primer troyano en el mundo que use este método
novedoso, ya que otros utilizan normalmente el CGI).

6. Carga y descarga todo tipo de archivos en el ordenador de
la víctima, pudiendo servir para modificar o borrar archivos
fundamentales en la máquina de la víctima, o para inocular
otros virus o troyanos en el sistema que infecta.

7. Posee un Keylogger incorporado que loguea todas las
pulsaciones de la víctima.

8. Detalla todos los procesos en el ordenador infectado y
puede detenerlos a voluntad.

9. Puede editar el registro de Windows con suma facilidad.

10. Captura imágenes desde la Web-Cam de la víctima.

11. También puede capturar la pantalla en un momento
determinado por el atacante.

12. Permite chatear con la víctima.

13. Puede eliminar con el llamado "Exe Killer" los
ejecutables que le indique el atacante.

14. El puerto que utiliza es por defecto el 5695, aunque el
atacante puede cambiarlo a su antojo.

15. También puede elegir el atacante la entrada en el
registro que llevará el troyano, así como el nombre del
archivo. El mensaje de error que puede generar una vez
activado el servidor (a voluntad del atacante también) es
fácilmente editable y puede ser cualquiera.

16. Posee también funciones lúdicas de escasa importancia
como envío de mensajes en pantalla, abrir y cerrar el CD-ROM,
esconder el reloj, apagar y encender el monitor, mostrar o
esconder la barra de tareas, mostrar y esconder el menú de
Inicio, cambiar de mayúsculas a minúsculas (y viceversa) en
el teclado de la víctima, etc.

En definitiva, Assa*Sin* es un troyano que tiene las
funciones básicas de cualquier troyano actual, pero con una
peculiaridad que lo hace muy especial: puede atravesar
Proxies y Routers en redes LAN.

La mejor solución siempre pasa por actualizar nuestros antivirus y proveernos de un buen cortafuegos. Aunque en futuros artículos reflexionaremos sobre la seguridad (a veces insuficiente) que nos proporcionan tanto antivirus como cortafuegos ante las nuevas amenazas en materia de troyanos.


(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits

Otras noticias de interés:

Inician en Venezuela la formación de programadores de software
El curso piloto comenzará en aulas de la Universidad Marítima del Caribe en Catia La Mar, Estado Vargas y en el Colegio de Ingeniero de Caracas, allí estará un primer grupo de 96 alumnos, quienes salieron exitosos de la prueba de admisión e inic...
Denegación de servicio en Monkey HTTP Server
Monkey HTTP Server se ve afectado por una vulnerabilidad de denegación de servicio. Monkey es un servidor Web escrito en C para trabajar bajo sistemas Linux. Se trata de un proyecto OpenSource basado en el protocolo HTTP/1.1. Recientemente se ha dad...
El Internet Explorer 9
Desde idg.es hacen una reseña acerca de IE9 bastante loable el trabajo que han hecho los desarrolladores, empero desde genbeta.com hacen un estudio a mi parecer mucho más ligado a la realidad. Colocaré ambas notas....
Firesheep portado a webOS
Hace unas cuantas semanas, la llegada de Firesheep estremeció un poco a la blogósfera y a los usuarios en general ya que quedó demostrado lo sencillo que puede ser capturar paquetes de datos en una red pública, de esas que mucha gente suele utili...
El Protocolo LBS, Una Nueva Tecnología Inalámbrica Para Internet
Un equipo de académicos ha desarrollado un protocolo que abre toda una gama de nuevas aplicaciones inalámbricas. Para algunos, poder rastrear los movimientos de los miembros de la familia utilizando teléfonos móviles es equiparable a una violaci...
Estudio acerca de la seguridad en la autenticación de clientes Twitter
INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los cli...
Ejecución de código en Macromedia Flash Player
eEye Digital Security ha reportado una vulnerabilidad crítica en Macromedia Flash Player, la cuál puede ser explotada por usuarios maliciosos para comprometer el equipo del usuario....
PEST Remote Keylogger: nuestros datos al descubierto
Un keylogger es un programa que permite recoger toda la actividad de un teclado en un determinado momento. Es una herramienta de espionaje muy potente porque puede rebelar las contraseñas más prolijas en sólo unos segundos. Lo único necesario es ...
Aplicaciones que soportan FLAC, factor de riesgo
Según reporta eEye Digital Security, se han detectado 14 vulnerabilidades en el procesamiento de los archivos FLAC (Free Lossless Audio Codec), que afectan a varias aplicaciones. Si se procesa un archivo FLAC malicioso con una aplicación vulnerable...
Operación Medre
Integrantes del Laboratorio de Análisis de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco fre...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • assa
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • generacion
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • nace
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra