ataque troyano con litte witch
TRANSCRIPT
Ataque troyano con Litte Witch
Presentado por:
Sergio Peñaloza Rojas
Presentado a:
Mg. Jesús Emiro Vega
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SEGURIDAD EN BASE DE DATOS
ABRIL 2014
Litte Witch
Es un Caballo de Troya de acceso remoto que permite a un atacante acceder a una máquina víctima a través del puerto 31320. Cuando la victima ejecuta el servidor automaticamente se copia así mismo en el directorio c:\windows\system32\ con el nombre de rundll.exe
Herramientas
El troyano se compone de dos archivos: el servidor y el cliente
• El servidor es llamado LWSERVER Versión 5.7, es el archivo que se envía a la víctima, aunque también viene con el archivo miniserver con menos características que el anterior.
• El cliente es llamado LWCLIENT Versión 6.0, es el archivo con que el atacante tomará control de la máquina de la víctima.
Crear servidor
Se debe crear el aplicativo servidor, el cual infectará la máquina de la víctima, para ello se utiliza el aplicativo cliente a través de la opción SETUP: indicándole el password que debe ingresar el cliente al momento de acceder al servidor, el mensaje que le aparecerá a la víctima en el momento que ejecute el servidor y el archivo servidor a guardar.
Infectar la máquina de la victima
El archivo servidor es enviado por correo electrónico por lo general y espera a que la víctima lo ejecute, el cual debe tener un nombre llamativo de tal manera que invite a la víctima a abrirlo.
Infectar la máquina de la victima
Cuando la víctima abre el archivo se inicia un servicio permanente en la maquina víctima escuchando por el puerto TCP 31320
Usar el cliente para acceder a la máquina de la victima
Lugo de estar infectada la máquina de la víctima, se procede a acceder a ella a través del aplicativo cliente.
Conectarse a la máquina de la victima
Desde el cliente se solicita la conexión al servidor, para ello se debe agregar la IP del servidor, ingresar el password y solicitud la conexión.
Enviar un mensaje al servidor
Desde el cliente se envían mensajes al servidor mediante ventanas de dialogo.
Listar procesos del servidor
Desde el cliente se puede solicitar todos los procesos que está ejecutando el servidor en ese momento y se pueden matar o crear nuevos proceso en el.
Otras acciones
Se pueden dar otras órdenes de forma remota, las cuales estan clasificadas en:
• Bromas: Apagar monitor, activar o desactivar botón de inicio, congelar mouse, reiniciar Windows, entre otros.
• Configuración: Desactivar o activar apagar sistema, cambiar nombre del PC, la resolución, la fecha, color de ventanas, entre otros.
• Otros: Listar, crear o matar procesos, buscar archivos, formatear, borrar archivos y carpetas, borrar CMOS, entre otros.