Trojans e Backdoors são tipos de Bad-wares em que o propósito principal é enviar e receber dados, e especialmente comandos através de uma porta para outro sistema. Essa porta pode ser uma porta conhecida como a 80 ou uma não muito regular como a 7777. Os Trojans são na maioria das vezes apresentados como programas legítimos e inofensivos para encorajar o usuário a executá-lo. A característica principal de um Trojan é que primeiro ele deve ser executado pelo usuário, e depois disso que ele envia ou recebe dados de outro sistema que é o atacante.

Algumas vezes o Trojan é combinado com outra aplicação. Essa aplicação pode ser um pen drive, um jogo, uma atualização para o sistema operacional, ou até mesmo um antivírus. Nestes casos o arquivo é feito de 2 aplicações onde uma delas é uma aplicação inofensiva, e a outra é o arquivo Trojan.

Figura 1. Cavalo de Tróia

Definindo tecnicamente, um Trojan Horse (Cavalo de Tróia) é “um programa malicioso de quebra de segurança que é apresentado como algo benigno”. Tal programa é projetado para causar dano, vazamento de dados, ou fazer a vitima um ponto médio para o ataque a outro sistema (máquina zumbi).

Um Trojan é executado com o mesmo nível de privilégio que o usuário que o executa; Entretanto o Trojan pode explorar vulnerabilidades e aumentar o privilégio.

Um ponto importante é que a conexão não precisa ser exclusivamente online (para que os comandos ou dados sejam transmitidos imediatamente entre o hacker e a vitima), mas a comunicação também pode ser offline utilizando emails, transmissões HTTP URL ou similares.

Métodos de Auto Inicialização

Uma das ações que normalmente os Trojans executam é fazer com que eles mesmos sejam auto-inicializados para que sejam executados toda vez que o sistema reinicia. Abaixo algumas das chaves de registros que os Trojans Horses modificam para este propósito:

HKLM\Software\Microsoft\Windows\Current Version\Run

HKLM\Software\Microsoft\Windows\Current Version\Runonce

HKLM\Software\Microsoft\Windows\Current Version\RunServices

HKLM\Software\Microsoft\Windows\Current Version\RunServicesOnce

HKLU\Software\Microsoft\Windows\Current Version\Run

HKLU\Software\Microsoft\Windows\Current Version\RunOnce

Tipos de Trojan

  • Trojans de Acesso Remoto

Esse tipo de Trojans provê acesso e controle total ou parcial sobre o sistema vitima. O aplicativo do servidor será enviado para a vitima e um cliente escuta no sistema do hacker. Após o servidor ser iniciado, ele estabiliza uma conexão com o aplicativo cliente através de uma porta pré definida. A maior parte dos Trojans são deste tipo.

  • Trojans de Envio de Dados

Usando email ou um backdoor, esse tipo de Trojans envia dados como senha, cookies, ou informações chave para o sistema do hacker.

  • Trojans Destrutivos

Esses Trojans são feitos para destruição, como deletar arquivos, corromper o sistema operacional, ou fazer o sistema cair. Se o Trojan não é por diversão, normalmente o propósito deste tipo de Trojan é inativar um sistema de segurança como um antivírus ou um firewall.

  • Trojans de Ataque DDoS

Esses Trojans fazem a vitima um zumbi que escuta comandos enviados de um servidor de DDoS na internet. Vão haver várias máquinas infectadas e aguardando comandos do servidor; e quando o servidor envia comandos para todas ou um grupo de máquinas infectadas, desde que todas as máquinas executem o comando simultaneamente, uma quantidade gigante de solicitações são enviadas para a o sistema alvo e fazem o serviço parar de responder.

  • Trojans de Proxy

Para evitar deixar rastros no alvo, o hacker pode enviar comandos ou acessar recursos através de outros sistemas para que todos os registros mostrem o outro sistema e não a identidade do hacker. Esse tipo de Trojan é para fazer um sistema agir como ponto médio para um ataque a outra sistema e portanto o Trojan transfere todos os comandos e os envia ao alvo primário e não prejudica o proxy vitima.

  • Trojans de Inativação de Software de Segurança

Esse tipo de Trojan desabilita os sistemas de segurança para ataques futuros. Eles podem inativar o antivírus, ou faze-lo funcionar de maneira incorreta, ou fazer o firewall parar de funcionar.

Como Achar a Atividade de um Trojan

O melhor método para encontrar um Trojan é monitorando as portas de transmissão de dado no adaptador de rede. Note que como mencionado acima existem Trojans que podem transmitir comandos e dados através de portas padrão como a 80 ou SMPT (email), logo esse metódo de inspeção não é efetivo para eles.

Figura 2. Inspeção

O comando netstat é uma ferramenta muito poderosa para checar quais portas são usadas para enviar e receber dados. Você pode usar esse comando com o parâmetro -an para um bom resultado.

netstat -an

Se você quer checar se uma porta em particular está sendo usada por alguma aplicação, você pode adicionar o comando findstr:

netstat -an | findstr 8080

Wireshark é uma outra aplicação que exibe todos os dados transferidos na placa de rede e usando ele você pode ver quais dados estão sendo transferidos para fora do sistema, e qual é a porta que está escutando.

Alguns Exemplos de Trojan

  • Tini

Esse Trojan escuta a porta 7777 e provê acesso shell ao hacker no sistema vitima.

  • ICMD

Essa aplicação provê acesso shell, mas pode aceitar senha e porta preferida.

  • NetBuss

Esse Trojan possuí uma GUI (Interface Gráfica) para controlar o sistema da vitima.
Diferente de um ataque série, geralmente é usado por diversão.

  • Netcat (Conhecido como NC)

Um Trojan muito famoso com varias opções para diferentes métodos de comandos e transferência de dados.

  • Proxy Server Trojan

Esse Trojan faz o proxy da vitima para atacar um outro sistema.

  • VNC

O VNC não é uma aplicação maliciosa em essência, entretanto se ele não for detectado por um sistema de antivírus ele pode ser usado para objetivos de ataque do tipo Trojan Horse.

  • Remote By Mail

Esse Trojan pode enviar e receber comandos e dados usando series de emails. Entretanto comparado com uma sessão com acesso shell os comandos são bem limitados, entretanto devido ao protocolo utilizado (SMTP) este tipo pode passar por praticamente todos os sistemas de firewall.

  • HTTP Rat

Esse comando envia e recebe comandos através da troca de séries de URL’s com um servidor. Desde que ele use o protocolo HTTP, é um Trojan muito perigoso e consegue passar despercebido pela maioria dos sistemas de firewall.

  • Shttp Trojan

O mesmo que o HTTP Rat.

Wrappers

Wrapper é uma aplicação que pode concatenar 2 arquivos executáveis e produzir uma aplicação contendo ambos. Na maioria das vezes, o Wrapper é usado para anexar um arquivo Trojan a uma aplicação pequena e inofensiva como um pen drive para enganar o usuário alvo e encorajar ele a executa-lo.

Alguns Wrappers são capazes de fazer modificações no Trojan Horse como comprimir ou adicionar brancos no fim dele para esconde-lo e não ser detectado por antivírus.

Alguns Exemplos de Wrappers

  • Wrapper Conver Program

  • One File EXE Maker

  • Yet Another Builder (Conhecido como YAB  e é uma aplicação muito poderosa e perigosa)

Desfigurar Aplicações

Desfigurar aplicações é algo muito simples e praticamente inofensivo, é uma aplicação usada para trocar o ícone de um executável por exemplo.

Considerando que o ícone do Trojan é geralmente o ícone padrão dos arquivos executáveis​​, o hacker pode talvez mudar o ícone do Trojan e colocar um falso, para que o usuário acredite que é um aplicativo inofensivo ou até mesmo outro aplicativo, como um documento do Microsoft Word ou um arquivo de texto.

via Symantec

Advertisements