Troyano Backdoor

TROYANOS BACKDOOR LA NUEVA GENERACIÓN DE VANDALISMO CIBERNÉTICO

2 de Septiembre del 2002

Los Troyanos Backdoor, se han consolidado como la temible nueva generación de vandalismo cibernético, debido a su modalidad de incursión ilegal en servidores, estaciones de trabajo o PCs, pudiendo tomar el control de los sistemas comprometidos, con los consiguientes daños que ello implica, nada menos que a través de cualquiera de los 65535 puertos TCP/IP.

Los Troyanos Backdoor no son esencialmente virus, sino "Herramientas de Control Remoto".

Aunque su existencia no es nueva, ya que desde hace mucho tiempo se comercializan software legales para controlar redes LAN en forma remota, como PC-Anywhere o Remote-Anything entre muchísimos otros, también se distribuyen herramientas "Freeware" que cumplen similares cometidos.

A pesar que diariamente se propagan virus contenidos en archivos infectados dentro de mensajes de correo, no son pocos los usuarios que motivados por el desconocimiento, la curiosidad, o por no tener actualizados sus sistemas operativos, navegadores, software de correo o antivirus, permiten que esta modalidad todavía sea la más utilizada por los creadores de virus.

En el año 2002 se han reportado una alarmante cantidad de Troyanos/Backdoor y se estima que existen mas de 5,000 troyanos creados desde 1997, los cuales pueden ser monitoreados y controlados a través de un software Cliente asociado. En muchos portales de hackers se distribuyen estos ilegales sistemas, incluyendo las potentes herramientas de "barrido" de puertos TCP/IP que permiten detectar las "puertas traseras" abiertas, mediante las cuales pueden ingresar uno de sus componentes.

Troyanos/Backdoor de acceso remoto

Tienen dos componentes principales: el programa Servidor, que se instala en el sistema de la victima y el programa Cliente que actúa en la computadora del atacante. Ambos programas establecen una relación Cliente/Servidor entre la PC infectada y la del atacante. Por medio de estos troyanos el atacante puede ejecutar remotamente en los sistemas infectados las mismas acciones que el administrador de un Servidor o usuarios de las PC involucradas.

Troyano/Backdoor Cliente

El Cliente se encuentra en el equipo del atacante y generalmente tiene una interfaz con opciones y desde las cuales puede ejecutar las funciones que se hayan programado para que interactúen con los sistemas de las víctimas.

Troyano/Backdoor Servidor

El Servidor que se instala en el sistema de la victima, es un programa que ocupa muy poco espacio y está asociado al Cliente, para poder recibir las instrucciones o través del mismo, ejecutar las funciones que el intruso esté facultado.

Los troyanos/backdoor se pueden transmitir por diversos medios:

Mensajes de Correo

Son la forma más fácil de propagación por medio de un archivo anexado al mensaje y si el receptor comete el error de ejecutarlo, instalará el Servidor, permitiendo que el intruso pueda controlar el o los equipos infectados.

Telnet

Funcionan en modo Cliente/Servidor y permite ejecutar comandos en el equipo infectado.

Telnet es un programa de emulación de terminal para las redes TCP/IP. Opera en una computadora y la conecta con un servidor de la red. A partir de ese instante, un usuario puede ingresar comandos a través del programa Telnet y cada instrucción será ejecutada como si la hubiera ingresado directamente en la consola del servidor o el equipo asignado.

Redes Compartidas

Este medio de contagio lo hemos explicado ampliamente en Virus en Peer to Peer. Ejemplo típico de intrusión a la red Kazaa de archivos compartidos a través de Telnet:

telnet <dirección-IP-víctima> 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Tue, 08 Feb 2003 14:14:36 GMT
Server: KazaaClient Feb 08 2003 17:18:29
Connection: close
Last-Modified: Fri, 27 Dec 2002 14:14:36 GMT
X-Kazaa-Username: <Nonbre-usuario-víctima>
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Otros servicios de Internet (HTTP, FTP, ICQ, Chat, Mensajería Instantánea)

Es posible visitar una página web en Internet, la misma que descargue automáticamente un troyano Backdoor Servidor y el sistema quedará infectado, bajo control del troyano Cliente. Del mismo modo podrá ocurrir en servidores FTP. Por lo general estos servidores, al ser reportados, serán deshabilitados por su ISP, en caso contrario el Proveedor de Servicios de Internet será merecedor a una sanción.

La popularidad del uso del Chat o de los servicios de Mensajería Instantánea, como MSN Messenger, Yahoo Messenger, Netscape o AOL Messenger, entre otros, han hecho posible la transmisión de virus, macro virus, gusanos, troyanos y backdoors, entre los usuarios conectados en una misma sesión.

Usuarios de una misma red local o por medio de diskettes.

El sabotaje interno, obviamente no podría ser descartado.

Recomendaciones:

Algunos aspectos importantes para disminuir el riesgo de intrusiones:

Filtrado y protección de las comunicaciones (Firewall).
Actualización de software (parches de seguridad).
Monitoreo intensivo.
No usar Claves de Acceso con nombres obvios o asociados al de los usuarios, como fechas de nacimiento, apelativos, etc.
Una estricta política de manejo y control de los usuarios en carpetas compartidas.
Cualquier acción preventiva, jamás estará de más.

Tres Troyanos/Backdoor famosos:

NetBus

Desarrollado por el programador sueco Carl-Fredrik Neikter en Marzo de 1998, quien alguna vez dijo: "NetBus fue creado para que la gente tenga algo de diversión con sus amigos. Yo espero que NetBus y programas similares como Back Orifice harán que la gente sea más consciente de los riesgos de seguridad de sus sistemas".

Desafortunadamente, el uso de estos programas fueron más allá de ser aparentes simples travesuras:

Back Orifice

El 03 de Agosto de 1998 el grupo de hackers conocidos como the Cult of the Dead Cow (el Culto a la Vaca Muerta) sorprendió al mundo con el lanzamiento de su popular y temido Back Orifice, que incluso fue distribuido con su código fuente y plug-ins, además de sus componentes compilados.

SubSeven

Desarrollado en Alemania por el grupo de hackers S7G o Sub7Germany:

Algunas capacidades de los Troyanos/backdoor:

Extraer y enviar información del sistema al intruso.
Descargar o enviar archivos de la computadora.
Substraer o cambiar los password o archivos de passwords.
Anular procesos en ejecución.
Mostrar mensajes en la pantalla
Realizar acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, entre otras acciones.

El sustento de esta gravísima amenaza es la existencia de 65535 Puertos TCP/IP disponibles, a través de los cuales de encontrarse "abiertos", será posible ingresar un pequeño programa Servidor componente de cualquier sistema Troyano/Backdoor. Los puertos más empleados pueden verse en este URL:

http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html

Sin embargo, por cortesía de AuditMyPc puede Ud. auditar la Seguridad y Privacidad de sus sistemas visitando:

PER ANTIVIRUS® recomienda actualizar nuestro producto con la mayor frecuencia posible, de preferencia en forma diaria, ya que permanentemente estamos investigando y dando el tratamiento de detección y eliminación a los virus, gusanos, troyanos, backdoors, etc., reportados en todo el mundo.