Troyanos

Los troyanos son el subtipo de malware más frecuente y, debido a su complejidad, uno de los más peligrosos. En primer lugar el troyano intentará infiltrarse en un equipo aparentando ser un software inofensivo, al ejecutarse llevará a cabo acciones maliciosas sobre el sistema operativo de la forma más desapercibida posible. ¿Acciones maliciosas? ¿Cómo cuáles? El objetivo de este subtipo de malware es darle al atacante el control total sobre un equipo de forma remota (por eso también se los conoce como RAT – Remote Administration Tool). Los troyanos más modernos cumplen este objetivo a tal punto de que el control sobre el equipo sea igual a estar sentado frente al mismo.

Con esto en mente podemos imaginar que las funciones básicas de un troyano consistirán en permitirle al atacante obtener toda la información alojada en el equipo, administrar dispositivos, servicios y aplicaciones instaladas, bajar y subir archivos, así como borrar o editar los existentes. También grabar las teclas pulsadas, obtener capturas de pantallas o visualizar el escritorio de la máquina infectada en tiempo real, pudiendo controlar el mouse y el teclado. Ejecutar comandos mediante una shell, activar el micrófono y la webcam, entre muchas otras acciones que, por supuesto, no ocurrirán a la vista del usuario.

Ahora bien, para que un atacante pueda tomar el control de un equipo de esta manera, necesita crear una conexión entre su máquina y la que desee controlar. Los troyanos funcionan de esa manera, por eso constan básicamente de dos partes: cliente y servidor. El cliente estará en manos del atacante y será quien envíe las órdenes y peticiones de información al servidor, este último es el ejecutable que infecta al equipo (víctima) y responderá todas las solicitudes maliciosas del cliente (atacante).

La conexión entre el atacante y la víctima puede ser directa o inversa. En las conexiones directas el atacante se conectará al equipo víctima una vez que ha sido infectado. Por el contrario, en las conexiones inversas, será el equipo infectado el que se conecte al atacante. Los troyanos actuales utilizan conexiones inversas ya que permiten evadir a los firewalls con más facilidad, debido a que un cortafuegos tradicional generalmente es más restrictivo con el tráfico entrante que el saliente.

Desde el punto de vista práctico, el atacante crea el servidor del troyano configurando una serie de parámetros, por ejemplo: dirección IP y puerto donde recibirá las conexiones de los equipos infectados, ruta de instalación y proceso donde se inyectará el troyano, ruta de auto-inicio, mutex, nombre del ejecutable, icono, entre otros ajustes.

Publicar un comentario

0 Comentarios