Practica LittleWitch Miguel Avila (UNAD) 2014
-
Upload
maag -
Category
Engineering
-
view
187 -
download
7
description
Transcript of Practica LittleWitch Miguel Avila (UNAD) 2014
![Page 1: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/1.jpg)
SEGURIDAD EN BASES DE DATOS
(233009_17)
Ataque Troyano LittleWitch
Presentado por: Miguel Avila Gualdron
Bogotá D.C. 23 Abril 2014
Especialización en Seguridad Informática
UNAD
![Page 2: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/2.jpg)
Descripción del virus
Littlewitch es un troyano que también posee características de backdoor, permite llevar a cabo intrusiones y ataques contra el ordenador afectado, como pueden ser: captura de pantallas, recogida de datos personales, etc. Además, por sus características de backdoor, permite a los piratas informáticos acceder demanera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
![Page 3: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/3.jpg)
Configurar VirtualBoxPrimero procederemos a virtualizar y ejecutar 2 máquinas con Windows XP.
![Page 4: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/4.jpg)
Descargar LittleWitchSe compone de dos archivos. "servidor" y "cliente".Servidor: este archivo se le enviara a la persona que se quiera infectar.Cliente: este archivo es con el que se trabajara, para manipular la maquina infectada.
![Page 5: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/5.jpg)
Ejecutar ClienteEn la casilla Setup, configuramos el Servidor, que será enviado a la persona que queramos infectar y lo guardamos.Password: Contraseña de acceso.Uin: Número de ICQ para alertarnos.Mensaje de error: Mensaje de confusión.LWserver: Dirección del archivo Servidor.
![Page 6: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/6.jpg)
Método de PropagaciónLittleWitch no utiliza ningún método específico para difundirse, puede utilizar cualquiera de los métodos de propagación (CD-ROM, mensajes de correo electrónico, descargas de Internet, transferencia de ficheros a través del FTP, etc.) Para este ejemplo utilizaremos la opción de documentos compartidos como si fuera un programa normal, (Skype).
![Page 7: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/7.jpg)
Infección por VirusUna vez que la persona a la que vamos a infectar lo ejecute, observamos que el mensaje de error que le configuramos sale a la luz con el fin de disimular nuestro ataque.
![Page 8: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/8.jpg)
Proceso OcultoSi observamos, el administrador de procesos ejecuta, Rundll.exe, nombre con el que nuestro virus se está ejecutando.
![Page 9: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/9.jpg)
Averiguando IPComo en este ejemplo no tenemos ICQ, pero sabemos que el equipo infectado se encuentra dentro de nuestra Red, procederemos a ejecutar en el cliente, el rango IP de nuestra red con el fin de encontrar la maquina infectada.Resultado: 192.168.42.75 (Estoy infectado, pero con Password).
![Page 10: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/10.jpg)
Conectar con el ServerColocamos la IP 192.168.42.75 y la contraseña en nuestro Cliente y le damos click en Conectar, ya podemos comenzar nuestro ataque, para esta práctica utilizamos algunas de las tantas opciones que nos ofrece este virus.
![Page 11: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/11.jpg)
Opción LWExplorerEscribimos Server: 192.168.42.75 y el Puerto: 31339, (También 31340 - 6711) y pulsamos conectar. Procedemos a crear una carpeta (Driver) y copiamos una foto (Imagen) con esto podemos: ingresar, sacar, borrar archivos y carpetas.
![Page 12: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/12.jpg)
Opción KeylogPodemos conectarnos con el PC infectado y observar lo que se esté digitando en el teclado.
![Page 13: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/13.jpg)
Opción LWChatIntroduciendo un nombre y escogiendo el servidor infectado, podremos chatear con la persona infectada.
![Page 14: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/14.jpg)
Opción DialogNos permitirá enviar un cuadro de dialogo en una ventana de alerta.
![Page 15: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/15.jpg)
Opción BromaTenemos una cantidad de juegos para enloquecer a la persona infectada, por ejemplo abrir páginas Web, enloquecer el mouse, cambiar la imagen del papel tapiz, etc…
![Page 16: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/16.jpg)
Opción OtrosEncontramos Matar Lw-Server, con el fin de borrar las huellas del programa.
![Page 17: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/17.jpg)
Infección y Efectos
Cuando LittleWitch se ejecuta, realiza las siguientes acciones:
Se copia a sí mismo como %system%\Rundll.exe Crea el fichero %windir%\Usr.dat. Este archivo almacena las
contraseñas cifradas. El troyano localiza el directorio de instalación de Windows
(por defecto C:\Windows o C:\Winnt ) y copia el fichero en esa ubicación.
El troyano localiza el directorio 'System' y se copia a sí mismo en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
![Page 18: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/18.jpg)
Infección y EfectosPara ejecutarse automáticamente cada vez que se reinicia el sistema, el virus crea el valor:
Rundll Rundll.exe en la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En caso de que el Sistema Operativo sea Windows 95/98/Me, LittleWitch intenta acceder a la caché de contraseñas almacenada en la máquina. Esta caché incluye contraseñas del moden y de marcación (dialup), de URL, compartidas, y otras.
El troyano notifica su instalación a la parte cliente mediante ICQ pager.
Una vez instalado, el troyano espera los comandos del cliente remoto.
![Page 19: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/19.jpg)
Infección y EfectosEstos comandos permiten al atacante realizar cualquiera de estas estas acciones:
Recopilar información del sistema y red, incluidos nombres de usuario y contraseñas de red almacenadas en caché.
Imprimir textos, ejecutar ficheros multimedia, abrir y cerrar la bandeja de la unidad de CD-ROM.
Ocultar iconos, botones y la barra de tareas. Encender y apagar el monitor. Interceptar información confidencial mediante las pulsaciones
del teclado. Conocer todos los procesos activos en el sistema. El dialogo entre LittleWitch y el cliente conectado utiliza
mensajes en lenguaje español.
![Page 20: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/20.jpg)
Contramedidas y Desinfección
Uso de antivirus actualizado. Eliminar el valor añadido a la entrada del registro indicada,
evitando así la ejecución automática del troyano cada vez que se reinicie el sistema.
No confiar de mensajes electrónicos sospechosos Siempre tener claro la información que se busca y los sitios
Web que se acceden. No confiar en programas que no cuenten con los certificados
mínimos de legitimidad.
![Page 21: Practica LittleWitch Miguel Avila (UNAD) 2014](https://reader038.fdocumento.com/reader038/viewer/2022110308/557ab95bd8b42a1e128b49d5/html5/thumbnails/21.jpg)
GRACIAS POR SU ATENCIÓN
SEGURIDAD EN BASES DE DATOS
(233009_17)