Ataque troyano con Litte Witch

Presentado por:

Sergio Peñaloza Rojas

Presentado a:

Mg. Jesús Emiro Vega

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

SEGURIDAD EN BASE DE DATOS

ABRIL 2014

Litte Witch

Es un Caballo de Troya de acceso remoto que permite a un atacante acceder a una máquina víctima a través del puerto 31320. Cuando la victima ejecuta el servidor automaticamente se copia así mismo en el directorio c:\windows\system32\ con el nombre de rundll.exe

Configurar la máquina cliente

Asignar la IP al cliente 192.168.100.50/24

Configurar la máquina servidor

Asignar la IP al servidor 192.168.100.100/24

Herramientas

El troyano se compone de dos archivos: el servidor y el cliente

• El servidor es llamado LWSERVER Versión 5.7, es el archivo que se envía a la víctima, aunque también viene con el archivo miniserver con menos características que el anterior.

• El cliente es llamado LWCLIENT Versión 6.0, es el archivo con que el atacante tomará control de la máquina de la víctima.

Crear servidor

Se debe crear el aplicativo servidor, el cual infectará la máquina de la víctima, para ello se utiliza el aplicativo cliente a través de la opción SETUP: indicándole el password que debe ingresar el cliente al momento de acceder al servidor, el mensaje que le aparecerá a la víctima en el momento que ejecute el servidor y el archivo servidor a guardar.

Infectar la máquina de la victima

El archivo servidor es enviado por correo electrónico por lo general y espera a que la víctima lo ejecute, el cual debe tener un nombre llamativo de tal manera que invite a la víctima a abrirlo.

Infectar la máquina de la victima

Cuando la víctima abre el archivo se inicia un servicio permanente en la maquina víctima escuchando por el puerto TCP 31320

Usar el cliente para acceder a la máquina de la victima

Lugo de estar infectada la máquina de la víctima, se procede a acceder a ella a través del aplicativo cliente.

Escanear las máquinas de la LAN

Se envía un broadcast a todas las máquinas de la LAN.

Escanear las máquinas de la LAN

Responden las máquinas de la LAN que están infectadas.

Conectarse a la máquina de la victima

Desde el cliente se solicita la conexión al servidor, para ello se debe agregar la IP del servidor, ingresar el password y solicitud la conexión.

Conectarse a la máquina de la victima

Conexión establecida con el servidor.

Conectarse a la máquina de la victima

Listar las conexión establecida con el servidor.

Enviar un mensaje al servidor

Desde el cliente se envían mensajes al servidor mediante ventanas de dialogo.

Enviar un mensaje al servidor

La víctima recibe el mensaje enviado por el cliente.

Información de la LAN

Desde el cliente se solicita al servidor información de la LAN.

Listar procesos del servidor

Desde el cliente se puede solicitar todos los procesos que está ejecutando el servidor en ese momento y se pueden matar o crear nuevos proceso en el.

Otras acciones

Se pueden dar otras órdenes de forma remota, las cuales estan clasificadas en:

• Bromas: Apagar monitor, activar o desactivar botón de inicio, congelar mouse, reiniciar Windows, entre otros.

• Configuración: Desactivar o activar apagar sistema, cambiar nombre del PC, la resolución, la fecha, color de ventanas, entre otros.

• Otros: Listar, crear o matar procesos, buscar archivos, formatear, borrar archivos y carpetas, borrar CMOS, entre otros.

Bibliografía

Manual del troyano Little Witch. Recuperado el 15 de abril de 2014 desde: http://www.elhacker.net/textos-manuales-tutoriales.html

Download Troyanos. Recupeardo el 15 de abril de 2014 desde : http://www.oocities.org/hackcrackl/troyanos.html