A maior rede de estudos do Brasil

Grátis
136 pág.
guia_hacker_brasileiro

Pré-visualização | Página 13 de 33

muitos programas na Internet que escondem os servidores em arquivos 
executáveis. Um deles é o The Joiner, que possibilita você juntar o trojan com algum outro 
executável e criar um terceiro contendo os dois. Além de possibilitar que o coloque em fotos. 
Um método engraçado muito utilizado hoje pelos que se dizem “hackers”, é renomear algum 
executável para foto e deixar um largo espaço. Por exemplo: supondo que o nosso servidor é o 
arquivo server.exe. Então iríamos renomeá-lo para loira.jpg .exe. 
Assim muitos usuários inexperientes caem no truque. Todos os métodos citados 
anteriormente têm somente uma falha: se você criar um executável pelo The Joiner ou 
renomear o servidor, qualquer programa anti-vírus logo detectará o arquivo. Para que o anti-
vírus não o detecte, é só usar a imaginação. Crie um programa em alguma linguagem e 
coloque o servidor no meio dos arquivos. Faça com que o programa quando executado 
renomeie o servidor e o execute. Assim, se o servidor estiver como voodoo.dll passe-o para 
sysconf.exe e execute. Esse método não é infalível mas engana a grande maioria dos 
programas de detecção. Mas não todos. Anti-vírus geralmente o pega. 
The Joiner: esconda o servidor em outro arquivo 
Utilizando compressores de executáveis 
Como vimos no ítem anterior, vários métodos podem ser usados para esconder um cavalo 
de tróia. Depende mais da imaginação do invasor. Só que ainda assim podem ser facilmente 
detectados. Esse é o primeiro livro a citar o método do compressor de executáveis windows 
32 bits, apesar de essa técnica já vir sendo utilizada em larga escala. Consiste em usar um 
programa compressor de arquivos EXE, que apenas diminua o seu tamanho retirando espaços 
vazios desnecessários. Um programa comum é o Petite que diminui cerca de 30% ou mais do 
 
 by Wyllow 
 o0oÆ´-.-`o0o 
44
44
arquivo original. Um trojan (ou mesmo um vírus) comprimido é absolutamente indetectável 
por anti-vírus e scanners. Isso porquê esses programas se baseiam na estrutura do arquivo para 
identificá-lo. É como se tivesse fotos na memória e as comparasse. Como não encontrou 
nenhuma igual, não mostra nenhum tipo de aviso. Um operador de sistemas têm que conhecer 
muito bem seus arquivos e conferir sempre novas alterações (como datas e horas de novos 
arquivos) para evitar que um trojan comprimido seja instalado em seu sistema. Não dependa 
só de anti-vírus. Mas atenção: os compressores de executáveis não comprimem arquivos que 
já foram comprimidos (como o server do trojan subseven). 
 
Vamos realizar passo a passo o processo de esconder um trojan de um anti-vírus. 
 
1. Passaremos o Norton para que encontre o arquivo infectado: 
 
2. Agora, abriremos o programa PETITE para comprimir o arquivo EXE do 
servidor do Netbus. 
 
 by Wyllow 
 o0oÆ´-.-`o0o 
45
45
 
 
 3. Com o arquivo já comprimido, novamente testamos o anti-vírus: 
 
Spoofando uma porta 
É muito raro a utilização do spoof em trojans. Isso porquê se a pessoa envia um pedido de 
conexão a um servidor, ela precisa estar usando o seu endereço IP real para receber a resposta. 
Apenas com o protocolo UDP, que envia comandos sem estabelecimento de conexão, isso é 
possível. Em quase todos os casos, o endereço IP capturado por um programa anti-trojans é 
realmente o do invasor. A única exceção é quando se utiliza um trojan de ponte para se 
conectar a outro (geralmente TCP). Exemplo: 
 
 
 Máquina 
 A 
 
 Máquina 
 B 
 Máquina 
 C 
 
 by Wyllow 
 o0oÆ´-.-`o0o 
46
46
 
 
 
A máquina A têm duas opções. Pode se conectar ao trojan existente na máquina C. Mas o 
invasor não quer correr nenhum risco pois não está usando nenhum tipo de recursos de 
anonimidade. Então ele se conecta à máquina B que está na mesma rede que a máquina C 
mas não possui nenhum tipo de segurança. Se utilizando da confiança entre as duas máquinas, 
ele se conecta à máquina C que vai responder tudo o que invasor quiser, pois pensa que é a 
máquina B. Essa técnica, chamada de IP Spoof, foi utilizado pelo hacker Kevin Mitnick para 
conseguir acesso ao computador do analista de sistemas Shimomura. O processo será descrito 
em detalhes na seção anonimidade. 
Métodos eficazes e os não tão eficazes de se retirar o programa 
Basicamente existem quatro métodos de se retirar um cavalo de tróia. Cada um possui suas 
vantagens e falhas. O ideal seria usar um pouco de todos. 
Detecção por portas 
Esse é um método utilizado por programas como o Xôbobus, o meu Anti-Trojans e 
muitos outros. Funciona do seguinte modo: os programadores estudam as portas TCP e UDP 
utilizadas pelos trojans e criam um programa que abre essas portas. Assim, quando um 
invasor vir a porta aberta e pensar que é um cavalo de tróia que está instalado ali, cairá em 
uma armadilha tendo o seu endereço IP detectado. Esse método não é muito eficiente pois 
facilmente podemos mudar as portas que os trojans utilizam. Mas ainda é um método muito 
usado pois muitas pessoas não se lembrar de trocar as portas. 
Detecção pelo arquivo 
Esse é o método usado pelos anti-vírus e o programa The Cleaner. Ele detecta o trojan 
checando a sua estrutura. Se o arquivo estiver renomeado (sem ser para executável) ou estiver 
comprimido, esse método se torna inútil. Para ser realmente eficaz, deve ser usado junto à 
detecção de portas. Assim, mesmo que seu anti-vírus não encontrou um trojan, o Anti-Trojans 
pode encontrar. 
Detecção por string 
Na minha opinião, o melhor método de todos. Pouco divulgado publicamente, se torna a 
melhor garantia para se detectar um trojan sem falhas. Isso porquê mesmo que o programa for 
comprimido ou mude suas portas, ele ainda estará usando uma das 65535 portas do sistema e 
se comunicará com o cliente. A comunicação entre cliente e servidor se dá por uma string 
(texto) enviada. Por exemplo: O Netbus 1.7 envia uma string assim “Netbus 1.7x” quando 
alguma conexão é estabelecida. Se for o cliente, ele responderá com outra string. Então para 
analisar todas as portas do seu sistema e saber quais estão abertas e possuem strings, utilize 
um programa como o Chaoscan ou algum outro scanner de porta que lhe dê essas 
informações. 
Detecção manual 
 
 by Wyllow 
 o0oÆ´-.-`o0o 
47
47
Muito eficaz também, a checagem manual do sistema pelo operador pode facilitar muito 
a vida. Olhando registro, arquivos de inicialização, conferindo os programas carregados na 
memória, o tamanho dos arquivos, etc... Todas essas precauções evitam dores de cabeça. Essa 
política adotada junto aos outros tipos de detecção faz com que você exclua em 100% a 
chance de uma invasão por cavalos de tróia. 
 
Passo-a-passo: cavalos de tróia 
Utilizando um trojan 
Vamos utilizar um trojan para nos conectarmos a algum computador infectado. Antes de 
tudo, verifique se o computador alvo está com o servidor instalado (o arquivo que 
comprimimos anteriormente). Agora seguiremos os seguintes passos com o trojan Netbus: 
1. Abra o programa Netbus (se o anti-vírus acusar vírus, passe o petite nele também) 
2. Em hostname / IP , coloque o IP da máquina a ser invadida (se for seu próprio 
computador, utilize 127.0.0.1). Se a porta no servidor for diferente de 12345 (o padrão 
do Netbus), coloque-a em port. 
3. Clique em connect! 
Ao aparecer a mensagem “Connected” na barra de status, significa que a invasão foi bem 
sucedida. Vamos agora realizar algumas ações: 
1. Clique em Open CD-ROM para abrir o drive de cd da vítima. 
2. Vá em Start Program e coloque c:\windows\calc.exe para abrir a calculadora. 
3. Clique em Go to URL e mande a pessoa para algum site. 
4. Use Listen para pegar os caracteres digitados pela pessoa e intervir no meio (como se 
você estivesse escrevendo no Word e de repente as palavras se formam sozinhas). 
 
 by Wyllow