Dudas Taller #1 [Troyanos]

Infectar una máquina virtual desde otra virtual no funcionará porque tendrias que abrir puertos con la dirección IP usada en la VM.

Tal vez podría crear conflictos, sería cuextión de probarlo. Realmente te recomiendo usarlo en tu PC cuando vayas a infectar remotamente.



Saludos

Stiuvert efectivmente se puede hacer la infeccion entre virtuales yo testee con el Virtual Box haciendo la configuracion respectiva..  solo que quisiera saber con que troyano hacen el curso asi les echo una mano.. con la configuracion de las virtuales.. si desean


Saludos

En mi caso me refiero no a dos virtuales, sino desde mi pc a una virtual. Eso si, la virtual, la tengo también en mi pc, no se si eso crearía conflictos.

He creado la virtual para precisamente poder experimentar.

Saludos

Hola

Sigo con problemas, esta vez empezaré con el poison ivi.

Quizás el problema pueda ser que uso el windows vista, no se. Me creo un nuevo cliente, poniendo el puerto 81 y una contraseña. Después creo un nuevo server, poniendo la IP local que es 127.0.0.1,  más el mismo puerto, el 81.
En Install, iniciar con sistema, le pongo a lo de HKLM/Run nombre por ejemplo windl32, active X... aleatorio, copiar a ctfmon.exe y Dir system32.
En advanced, el mutek lo dejo así )!VoqA.I4, lo pongo persistente y que inyecte en el proceso msnmsgr.exe. Lo demás lo dejo igual.
En crear le pongo un icono, por ejemplo el de paint, y le digo de generar server.
Lo guardo como serverpoison.exe, lo ejecuto y no pasa nada, no lo detecta.

¿Qué estoy haciendo mal? ¿Es por el sistema operativo?

Espero comentarios.

Gracias

Usa el SpyNet. Segui los pasos del tutorial.
La infeccion en local es lo mas facil. Si no puedes con esto, es dificil que luego puedas infectar a alguien...

Intenta también inyectarlo en un proceso por default (si es que tiene la opción el trojan) sino en el proceso "iexplore.exe" y hazlo en tu PC.

Bueno, entonces usare el spy net, que ese no  me dio ningun problema.

Por cierto, ¿para cuando una seguna entrega o leccion?

Saludos

Los 15 de cada mes.
Por mientras practica esto, que si no lo dominas a la perfeccion la segunda entrega te costara muchisimo mas.
Es mas compleja, y con eso daremos comienzo a la infeccion remota

hola q tal estoy con el poison ivy y tengo una preguntas;
¿que hace la opcion de persistance?
¿el hklm/run name es el nombre del proceso verdad? entonces si yo lo que quiero es inyectarlo en otro proceso no me deberia ser necesario poner esto no?
¿porque si pongo cualquier otro nombre aparte de windll32 me pide extension y si pongo ese no; es un archivo ya existente en el sistema?
"El troyano deberá instalarse en la carpeta system con el
nombre de directorio "Winrun"" esto significa que lo tengo que instalar en una carpeta dentro de la del sistema con el nombre de Winrun, no?, donde configuro esto?

grax y perdonad por mi estupidez =)

Persistence: hay que activarlo para que el Servidor no se conecte al reiniciar o al cerrar el proceso.

Respecto a tu segunda pregunta, es la entrada que se agregara al registro de Windows con el cual se tendrá que iniciar con el "Inicio" de Windows al arrancar el Sistema operativo.

Tu última duda me cuesta un poco de entender, tu cuando configuras el trojan escoges la carpeta y el  nombre del archivo infectado, por ejemplo "Win32" y "Win32.exe" pues creará una carpeta llamada "Win32" con el archivo "Win32.exe" en la carpeta que tu hayas escogido (System, Temp, C:\ etc).


Saludos

vale todo entendido gracias por la respuesta

Bueno, aqui te voy a poner algunas dudas tontas pero como esta este post para eso pues aprovecho y seguro que a mas de uno tambien le resuelven estas dudas.
1º Creando el servidor con el spynet, en la pestaña de configuracion ,en la parte de arranque, si yo pongo una entrada de clave ya existente en el regedit, ¿la pisotea o da error?
2º Policies/explorer/run ¿que es? yo siempre lo he dejado activo.
3º Active setup ¿que es?
4º Ramdom ¿que es?
5º Mutex ¿que es?
6º ¿Que pasa si no lo dejamos persistente? ¿que si termina el proceso donde esta inyectado deja de funcionar el servidor?
7º Si lo inyecto con el navegador ¿hasta que no inicie el navegador no funciona el server?

Uff muchas preguntas pero creo que no esta bien explicado en el paper y surgiran a los demas si no se responde bien a fondo.
Gracias, continuar asi de bien

1. No, no sustituye solo que tendrás dos entradas con nombres iguales pero de diferentes aplicaciones.
2. Es una entrada en el registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run).
3. Microsoft utiliza esta clave para configurar los componentes instalados de Windows.
4. "Al azar" tiene que ver con en punto 3 es para generar una clave aleatoria mente.
5. Mutex es un objeto de programa que permite que partes de este usen el mismo recurso, como el acceso a un archivo, pero no simultaneamente. Cuando un programa se inicia, un mutex es creado con un nombre unico.Despues de esta etapa, cualquier parte del programa que necesite un recurso debe cerrar el mutex que usen otras partes mientras siga usando el recurso.
6. Es importante activar esa opción para que si se cierra el Server pueda volver a conectarse.
8. Lo puedes inyectar dónde quieras, no quiere decir que si lo inicias en una aplicación hasta que no se inicie dicha aplicación tampoco lo haría el Server así que por eso no te preocupes.

Gracias, rapidisimo en contestar y muy bien hecho

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
1. No, no sustituye solo que tendrás dos entradas con nombres iguales pero de diferentes aplicaciones.
2. Es una entrada en el registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run).
3. Microsoft utiliza esta clave para configurar los componentes instalados de Windows.
4. "Al azar" tiene que ver con en punto 3 es para generar una clave aleatoria mente.
5. Mutex es un objeto de programa que permite que partes de este usen el mismo recurso, como el acceso a un archivo, pero no simultaneamente. Cuando un programa se inicia, un mutex es creado con un nombre unico.Despues de esta etapa, cualquier parte del programa que necesite un recurso debe cerrar el mutex que usen otras partes mientras siga usando el recurso.
6. Es importante activar esa opción para que si se cierra el Server pueda volver a conectarse.
8. Lo puedes inyectar dónde quieras, no quiere decir que si lo inicias en una aplicación hasta que no se inicie dicha aplicación tampoco lo haría el Server así que por eso no te preocupes.

una cosa, si lo inyectas, por ejemplo en internet explorer, el proceso toma el nombre del programa en el que se ha inyectado no? (en este caso IEXPLORER.exe)

y luego, no se puede hacer que se conecte el server de una maquina virtual al cliente en el mismo ordenador pero fuera de la maquina virtual??

grax

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
una cosa, si lo inyectas, por ejemplo en internet explorer, el proceso toma el nombre del programa en el que se ha inyectado no? (en este caso IEXPLORER.exe)

y luego, no se puede hacer que se conecte el server de una maquina virtual al cliente en el mismo ordenador pero fuera de la maquina virtual??

El proceso no lo verás en el "Administrador de tareas" ya que se oculta, y puedes tener aplicaciones con el mismo nombre por lo tanto pueden a ver diferentes "iexplore.exe" ejecutados a la vez.

Sobre tu segunda duda, a veces se complica. Por intentarlo no pierdes nada pero lo mejor es usar tu PC real para infectar otras máquinas conectadas a la misma red. Si infectas tu misma red si funciona bien, lo digo porque crea conflictos entre puertos ya que la red no es la misma en tu máquina virtual que en tu red local.



Saludos

buf pues en la maquina virtual me aparece el proceso iexplorer sin tener abierto el internet explorer y cuando lo elimino me reaparece 0.0"

Eso es por el "Persistence" que tiene el trojan, así que no podrás desinfectarte de ese modo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Eso es por el "Persistence" que tiene el trojan, así que no podrás desinfectarte de ese modo.

Eso quise explicarles a todos que si se van a auto-infectar le sacan el process injection,persistance,etc... porque asi va a ser mas complicado desinfectarse.

Se tendría que sacar también una revista sobre Seguridad y como poder desinfectarse de un troyano.

Si me animo tal vez haga alguna revista o tutorial.



Saludos