PDF de programación - Malware Magazine #1

Malware Magazine – Underc0de



1



Índice

Malware Magazine – Underc0de

A modo de prólogo………………………………………………………………………………………………………… Pág. 3

¿Qué significa la palabra Malware?.................................................................................... Pág. 5

Una mirada a la historia…………………………………………………………………………………………………. Pág. 5

Evolución de los troyanos………………………………………………………………………………………………. Pág. 6

Partes de un troyano……………………………………………………………………………………………………… Pág. 7

Troyanos públicos y privados…………………………………………………………………………………………. Pág. 8

Formas de infección………………………………………………………………………………………………………. Pág. 8

Camuflaje……………………………………………………………………………………………………………………… Pág. 9

Indetectabilidad……………………………………………………………………………………………………………. Pág. 9

¿Cómo selecciono un troyano?.......................................................................................... Pág. 10

EOF Data………………………………………………………………………………………………………………………. Pág. 11

¿Cómo configuro un troyano?........................................................................................... Pág. 12

Apertura de puertos…………………………………………………………………………………………………….. Pág. 21

Configuración del NO-IP………………………………………………………………………………………………. Pág. 22

¿Qué es y para qué sirve un crypter?................................................................................ Pág. 30

Tipos de Crypters…………………………………………………………………………………………………………. Pág. 30

¿Cómo funciona un crypter?............................................................................................. Pág. 30

¿Cómo funciona un AntiVirus?.......................................................................................... Pág. 31

Partes de un crypter…………………………………………………………………………………………………….. Pág. 31

Creando un crypter desde cero……………………………………………………………………………………. Pág. 32

Método Onírico…………………………………………………………………………………………………………… Pág. 48

Instalación de un SandBox…………………………………………………………………………………………… Pág. 58



2



A modo de prólogo...

Malware Magazine – Underc0de

Estimados lectores, hoy cumplimos un proyecto que surgió del vehemente deseo de multiplicar el
conocimiento. Malware-Magazine abre sus páginas por primera vez, iniciando una experiencia en
la que aspiramos dar un paso más en la construcción de los puentes que nos acercan a ustedes.

El Malware es una realidad incontestable. El reto de conocerlo no es menor al desafío de
manipularlo. En esta primera publicación, el elenco de temas es planteado desde un escenario que
habilita a sus protagonistas a enfrentarse a los tóxicos desde cero, con marcos teóricos mínimos
pero lo suficientemente claros para comprender los aspectos prácticos que se explican.

La información que encontraran proporciona instrucciones para sumergirse en el universo de
manzanas envenenadas; entenderlas va desde excluirlas a modificarlas, secuestrarlas o usarlas
para el mejor hacer conforme sus decisiones. Son éstas las razones por las cuales las guías aspiran
a que -cumplidas las instrucciones señaladas y agotadas las etapas- puedan comenzar a transitar
por con el mundo de troyanos, crypters, la indectabilidad y la sandbox.

La invisibilidad no es un mito, es una realidad que podemos manejar; el malware es cambiante e
inquieto y solo en función de conocerlo en sus propias entrañas, podremos saber a qué
pertrechos debemos enfrentarnos. Este panorama informático, velozmente mutable, es otro de
los motivos que nos impulsan a compartir con ustedes este ciclo de publicaciones.

Finalmente, queremos decirles que es nuestra intención mover la vocación por el saber, por el
aprender a hacer, investigar y descubrir, pues éstos son los atributos que constituyen el sendero a
la profesionalidad informática.

No se detengan, compartan sus prácticas y planteen sus dudas, la comunidad de Underc0de los
espera.



3





Malware Magazine – Underc0de

Introducción al malware



Infección, Camuflaje

Troyanos (Partes y configuración)

NO-IP y Puertos

Troyanos a fondo



4



Malware Magazine – Underc0de

¿Qué significa la palabra Malware?

La palabra Malware viene del inglés Malicious Software, hace referencia a programas o scripts que
afectan a nuestro ordenador y que puedan llegar a dañarlo.

Estos daños pueden afectar tanto al Software, como al Hardware. El nivel del daño lo determina el
lenguaje con el cual fue programado el Malware y el nivel del programador, y por supuesto la
finalidad con la cual fue creado.

Muchas veces decimos que un Malware es dañino, pero esto no siempre es así. Por ejemplo, los
Stealers, son Malwares diseñados únicamente para robar logs o passwords almacenadas en un
ordenador y tienen la capacidad de enviarnos esos logs por mail o a un FTP propio. No quiero
entrar en detalle con este punto, ya que en las próximas entregas haré una especial para
desarrollar esta clase de Malware. Lo que nos interesa ahora, es saber diferenciar los tipos y
finalidades de los Malwares.



Una mirada a la historia...

La palabra troyano, viene de la historia del caballo de Troya.

Para los que no conozcan, el caballo de Troya era un enorme caballo de madera que fue
construido por los griegos según cuenta la Odisea de Homero- para introducirse en la amurallada
ciudad de Troya. El caballo era un obsequio para los troyanos con los cuales estaban en guerra,
era una ofrenda de rendición.

Lo que los troyanos no sabían era que caballo tenía en su interior soldados griegos. Una vez que el
caballo estuvo dentro de Troya, los guerreros salieron y atacaron la ciudad. Así fue como lograron
penetrar las enormes murallas de la antigua Troya y ganaron la guerra.

En el mundo informática, los troyanos cumplen una función muy similar. Nos permiten acceder a
otros ordenadores sin levantar muchas sospechas.



5



Malware Magazine – Underc0de

Evolución de los troyanos

Antiguamente los troyanos eran de conexión directa, esto quiere decir que nosotros debíamos
conectarnos con nuestro remoto. A continuación les mostrare un ejemplo con un troyano llamado
Theef.



Como pueden ver en la imagen, tuve que colocar la ip y puerto de conexión del remoto. En este
caso es 127.0.0.1 ya que lo estoy testeando en mi PC como local.

Lo malo que tenían estos troyanos es que solo se podía conectar de a un remoto por vez y
también debíamos saber su IP…

Por suerte, en la actualidad hay troyanos de conexión inversa en donde podemos tener más de
una conexión al mismo tiempo y no necesitamos saber su IP para conectarnos.

Uno de los troyanos más utilizados en la actualidad es el CyberGate, el cual contiene muchas
funciones, nació en base al troyano SpyNet y es compatible con los sistemas operativos actuales
excepto al Windows 10 porque es muy reciente y aún no sacan versión que se adapte a este.



6





Malware Magazine – Underc0de



Si observan la imagen -aparece una especie de grilla- en donde se irán listando los remotos cada
vez que uno entre a internet y se conecte a nuestro troyano.

A diferencia del anterior, no tuvimos que poner ip del remoto ni nada de eso, ya que
automáticamente al ser de conexión inversa, el remoto conecta a nosotros.

Otro de los avances son las opciones que tienen cada uno. Cuando hablamos de opciones,
hacemos referencia a lo que podemos hacer con los troyanos. Antiguamente, se usaban para abrir
y cerrar la puerta del CD-ROM, apagar la pantalla y otras tareas no muy útiles. En la actualidad, los
troyanos realizan varias funciones, como por ejemplo: capturar teclas pulsadas, permiten
manipularle el teclado y el mouse a nuestro remoto, nos muestran passwords almacenadas en el
ordenador, traen opciones de rootkit integradas ya que podemos ocultar el proceso u ocultarlo en
otro, cambia la fecha de creación para no levantar sospechas, etc. También podemos manipular
sus ficheros, eliminar, modificar, crear, atacar a otras PCs, editar el registro, programas instalados,
entre otras funciones.



Partes de un troyano

Un troyano consta de dos partes fundamentales: un cliente y un servidor.

Cliente, es aquel que usaremos nosotros para conectarnos con nuestro remoto.

Servidor, es el que debemos enviar para infectar a nuestro remoto.

A continuación, les mostrare como se ve cada uno



7



Malware Magazine – Underc0de

Este troyano en particular crea al servidor con un icono de imagen como forma de camuflaje.



Troyanos públicos y privados

Podemos clasificar los troyanos en dos grandes grupos, en los cuales tenemos los públicos y los
privados.

Cuando decimos troyanos públicos, hacemos referencia a troyanos
los
programadores, para que cualquier usuario pueda tener acceso a él y lo pueda utilizar libremente.

liberados por

Los troyanos privados son troyanos que están en venta y deberá pagarse una suma de dinero al
programador para poder tener acceso a él. Estos troyanos suelen venir con algún tipo de
protección como por ejemplo Hardware ID, acceso con usuario y contraseña entre otro tipo de
protecciones para que no puedan ser liberados. También suelen tener opciones adicionales hechas
a medida. Además de las características señaladas, suelen ser indetectables y vienen con garantía.

A la larga siempre hay alguien que libera los troyanos privados, esto suele ocurrir porque sale una
nueva versión y el programador decide liberarlo y vender la nueva versión, o también puede ser
que algún usuario disconforme con el programador decide crackearlo y liberarlo para que todos
tengan acceso a él.



Formas de infección

Existen muchas formas de infecciones que a lo largo de estas entregas iremos desarrollando con
mayor profun