Este pequeño manual tiene como fin dar una luz al user que recién inician en el mundo de los troyanos.
Además es un manual interactivo que debe crecer con la ayuda de todos nosotros, para evitar dar las mismas respuestas a aquellas preguntas que para muchos de nosotros son totas menos para el que recién comienza a empaparse sobre lo que rodea un troyano.
Espero que este pequeño impulso tome fuerza con la colaboracion de todos ustedes, cualquier modificación o anexo es bienvenido y lo agregaré con todo gusto. (para agregar info por favor enviarla por IM para no duplicar la informacion)
1. Deben leer y comprender:- que es un Troyano?
- que hace un Troyano?
- que Tipo de Troyanos Existe?
Toda esta info la encuentran en:
-
Tutoriales By DarknessFeatSunny "Troyanos desde 0" Capitulos 1 al 5 -
Conceptos Basicos de Troyanos (NewBye)2. Preparar área de Trabajo. Una ves leido y comprendido el punto 1, lo que debes hacer es acondicionar tu área de trabajo para poder ejecutar el troyano que hayas elegido.
Si no tienes uno........ en este lugar encontraras varios
INDICE Troyanos - TODO LO NECESARIO, TODO!!!Primero debes crear una carpeta en la cual se alojará el troyano y de mas herramientas que sean necesarias.
El siguiente paso es ubicar en la configuración del antivirus, el modulo de exclusión (varia según el antivirus). Una ves ubicado dicho modulo, procedes a incluir o agregar la carpeta que creaste anteriormente para evitar que el antivirus la escanee y borre el server del troyano o incluso el mismo client del troyano.
Recomiendo ésta opción ya que algunos procesos de algunos antivirus como el Nod32 quedan activos al momento de cerrarlo o desactivarlo, dándote problemas al descargar el troyano.
Visita este link para ver como excluir las carpetas en algunos antivirus
Excluir carpetas en los Anti Virus 3. Descargar TroyanoPrimero que todo, lo mas aconsejable es descargar el troyano directamente de su pagina oficial.
No olvidar que debes descargarlo en la carpeta que tienes excluida, y para ello debes configurar tu navegador para que realice la descarga en dicha carpeta, de lo contrario tu antivirus eliminará el archivo o parte de los archivos que lo componen.
4. Determinar Tipo de Conexión a InternetEs muy importante conocer el tipo de conexión que tenemos a internet, para conocer los posibles inconvenientes que se pueden presentar al momento de entablar la conexión servidor - clinete.
Algunos tipos de conexión que se encuentran comúnmente son:
- Analógico (hasta 56k) el típico telefónico.
- ADSL
- Cable,
- Conexiones inalámbricas entre otras.
En el caso de tener Routers o Modems ADSL, se requiere abrir los puertos en dichos elementos para poder permitir la conexión. Existe gran variedad de modelos y marcas de Routers, así que cada uno tiene diferentes formas de configurarse aunque la ciencia es la misma, un ejemplo sería
-
http://www.ayuda-internet.net/tutoriales/abrir-puertos-router/abrir-puertos-router.html -
http://www.adslayuda.com/xavi7768-abrir_puertos.html y en esta otra donde tal ves encuentres tu router
-
http://bandaancha.eu/tema/1064609/abrir-puertos-routers-mas-utilizadossi desconoces el pass`que trae por defecto tu router, tal ves lo puedas encontrar en
-
http://www.routerpasswords.com/index.asp.
Debes tener ern cuenta:
A. Si persiste el problema en los puertos despues de abrirlos, prueba desactivando la opción DHCP (Dynamic Host Configuration Protocol), que es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente, por esta razón, en caso de que tengas una pequeña red doméstica no será necesario tener activa esta opción ya que te puede generar problemas en la apertura de los puertos, es de aclarar de que una vez desacticado el DHCP debes asignar una direccion ip de manera manual ejemplo:
http://www.adslzone.net/tutorial-65.2.htmlB. Dado el caso, en el firewall del router, debes excluir tu troyano para que permita la apertura de los puertos que se requieran, todo depende del tipo de router
C. en google ubica una página que te pueda escanear los puertos del router para confirmar de que realmente se encuentren abiertos. (aveces te dicen que estan cerrados cuando realmente estan abiertos)
D. verificar que el firewall de Windows en la pestaña de exclusión, también se encuentre seleccionado el troyano. Normalmente poison ivy y bifrost al momento de abrirlo por primera vez, te solicita la opción de desbloquear o bloquear puertos........... no esta de más verificarlo.
También es importante conocer si se cuenta con una ip dinámica, factor determinante para el uso de troyanos de conexión inversa, ya que afectaría la conexión servidor - cliente, por ésta razón debemos hacernos de una cuenta no-ip y configurarla correctamente.
Para más información pueden consultar la revista
CUH E-ZINE #1ª EDICIÓNOtro aspecto que debes tener en cuenta es el lugar donde vas a realizar la conexión, ya que muchos desearían enviar su troyano y conectar con hosts de empresas de gran envergadura, acción que es "imposible" de lograr por lo menos con un troyano, todo debido a las restricciones y reglas de filtrado que conforman una red configurada con DMZ (zona desmilitarizada), a no ser que tanto el client como el sever se encuentren en la misma LAN interna.
Es una configuración que protege la red interna de una empresa del exterior (internet).
Si el host no esta tan "protegido", como lo vimos anteriormente que es lo más común, la conexión con el host victima será en un gran porcentaje efectiva
5. Creación del serverEn este punto es importante seguir adecuadamente los pasos expuestos en el manual de configuración del troyano que hayas elegido, manuales que puedes encontrar en el foro.
Lo único que resaltaré son dos puntos importantes tanto para el poison ivy como para bifrost:
- utilizar el mismo password (donde te lo pida en la configuración)
- utilizar tu cuenta no-ip en el DNS (el test debe dar positivo)
6. Comprobar indetectabilidad y Funcionalidad del serverEs muy importante indetectar nuestro server, para ello utilizamos una variedad de técnicas tales como:
-
Encryptadores / Compresores, que son lo mas utilizados
-
Agregar Bytess, agregamos unos cuantos bytes extras a nuestro troyano para distraer la atención del AV
-
Edición Hexadecimal, consiste en encontrar la firma que un Antivirus ha marcado y la cambiamos por la adición de otra en bytes, o cambiamos el Offset a uno de sus otros equivalentes.
para mayor información:
-
Video_mosificar_stub_con__ResHacker_.rar -
Indetectar (Método Hexa) Poison Ivy -
Metodo Indetectar server -
como hace tu server indectetable -
como modificar un offset de una firma detectada -
avfucker-
Código Fuente, consiste en modificar una parte del código fuente del troyano para que al momento de compilarlo nuevamente, cambie la firma.
una ves indetectado por lo menos a nuestro antivirus, procedemos a verificar su funcionalidad.
Para comprobar que nuestro server quedó bien configurado y que no sufrió daños al momento de indetectarlo, procedemos a realizar una autoinfección.
Antes de auto infectarte debes tener tu Duc no-ip activo y obviamente el client del troyano abierto.
Si logramos visualizarnos en el modulo de conexiones de nuestro troyano, quiere decir que vamos por buen camino, de lo contrario tendremos que cambiar la herramienta o el método para indetectar nuestro server
Cada ves que usemos una herramienta o método aplicado a nuestro server, es importante no solo comprobar su funcionalidad sino también su indetectabilidad, ya que este tipo de herramientas es usada por miles de users, terminando en pocos meses detectado por los AV.
Pero el problema no es solo los miles de users......... También tenemos el uso de la famosa página web Virus Total, que se encarga de reportar las nuevas técnicas y herramientas utilizadas para distribuir dicha información a las empresas de antivirus.
7. Utilización de herramientas AdicionalesHay programas que nos sirven para darle un buen toque a nuestros servers y pasen un poco más desapercibidos.
-
Binders / joiners, programas utilizados para juntar dos o mas archivos con diferentes extensiones (.exe, .jpg, .mp3....etc) en un solo archivo de extensión .exe, con el fin de distraer la atención de la victima de nuestras reales intensiones, pero como sucede con los encryptadores, suelen ser detectados rápidamente por los av.
Para ello recomiendo, el que a la fecha es indetectable para todos los antivirus.........el IExpress, programa incluido en Windows que tiene como desventaja el uso exclusivo de archivos con extensiones .exe, que a la hora de la verdad no es ni tan problema ya que existen software para convertir archivos como .pps en .exe.
-
Icon factory, herramienta utlizada para capturar el icono de cualquier programa
-
El Reshacker, que nos sirve para cambiar el icono y realizar modificaciones en algunas descripciones de las propiedades del server.
-
ExeScope, para modificar características en las propiedades del server
y otras mas que son utilizadas para disfrazar nuestros servers o para buscar su indetectabilidad.
algunos ejemplos de "maquillaje":
-
CUH E-ZINE #3ª EDICIÓN-
TU SERVER UNA MARAVILLA (HASLO PERFECTO ) 8. Preparar el server para el envío.Antes de enviar nuestro server, se debe crear una carpeta y guardarlo en dicha carpeta, luego comprimimos la carpeta creada con winrrar o winzip (recomiendo winzip por ser general) y listo, ya tenemos nuestro server en condiciones de ser enviado.
Las técnicas de envío son variadas y lo dejo a criterio e investigación de cada uno.
9. DudasComo bien saben las dudas son inevitables, asi que antes de preguntar debemos leer ya que muy seguramente la solucion nos esta esperando
un sitio para realizar dischas consultas ademas de las que exisen en el foro, como es el caso de routers, puertos, no-ip y otras mas la puedes encontrar en
-
Consultorio TROYANOS: Todos tus problemas aquí (routers,puertos,No-ips...) -
Mini FAQ Troyanos [En construccion] Actualizado 10/09/07 saludos
Autor