This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

[SOLUCIONADO] Localizar la conexión origen de troyano que me ha infectado

  • 5 Replies
  • 3218 Views

0 Members and 1 Guest are viewing this topic.

Online b3l3r0f0nt3

  • *
  • Underc0der
  • Posts: 87
  • Actividad:
    3.33%
  • Reputación 1
    • View Profile
Hola:

Quería preguntar que si en caso de que mi ordenador tuviese un troyano, llevándolo a la policía/informático sería posible saber desde que ordenador se originó la infección por medio de la MAC, dirección IP que tenía en ese momento, etc. o no es posible llevar a cabo este procedimiento?

La duda es sobre el ordenador en sí, no sobre localizar la red desde donde se mandó y donde tuvo origen toda la infección.

Un saludo!
« Last Edit: October 26, 2016, 04:12:36 am by Stiuvert »

Online rollth

  • *
  • Ex-Staff
  • *****
  • Posts: 889
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • View Profile
    • Whateversec
    • Email

Re:[DUDA] Localizar origen troyano

  • on: October 25, 2016, 11:14:00 am
La policia dudo que te haga mucho caso, y si lo llevas a un  informático lo más seguro es que te diga de formatear.
En principio si se puede, usando ingeniería inversa puedes ver a que IP te conectas en caso de que sea conexión inversa o en caso de que sea conexión directa puedes analizar el tráfico con wireshark y ver quién es el que está al otro lado del troyano.

Te dejo un post que hice relacionado con esto que puede que te sirva, en la prueba que yo hice el malware era un keylogger.
You are not allowed to view links. Register or Login

Saludos.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Offline xkeycode

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Reputación 0
    • View Profile
    • Email

Re:[DUDA] Localizar origen troyano

  • on: October 25, 2016, 11:14:52 am
Bueno, suponiendo que el  troyano se conecte a una ip privada(de tu propia red) si, seria posible saber la MAC del pc volcando la tabla arp y viendo cual es la MAC de la ip a la que se conecta, si no es imposible, solo tendrias una ip publica

Enviado desde mi Orange Hi 4G mediante Tapatalk

Be as good as you can.

Offline Hu3c0

  • *
  • Underc0der
  • Posts: 429
  • Actividad:
    0%
  • Reputación 0
  • In the middle Netbeans
    • View Profile

Re:[DUDA] Localizar origen troyano

  • on: October 25, 2016, 03:08:34 pm
Analizando se puede deshilar y llegar a saber, cómo y cuándo se produjo la infección. Con respecto a ver las conexiones con un simple netstat -ano se visualizarán las conexiones que están en el momento de tipear el comando.

Pero lamentablemente si es un usuario medio, habrá puesto el RAT detrás de un vpn de pago, porque si no es así tiene las posaderas vendidas,

Cuando tipeas netstat -ano puede ser el caso que vieras algo como no.ip, dns-dyn o algo parecido entonces realizando un ping resolverás la ip que puede ser real o falsa como anteriormente he indicado.

Y por supuesto si te han infectado con un Rat que es antiguo, existen exploits para atacar a tu atacante por ejemplo Darkcomet tiene vulnerabilidades explotables.

Saludos y suerte en tu aprendizaje.

You are not allowed to view links. Register or Login

Offline sadfud

  • *
  • Moderador
  • Posts: 214
  • Actividad:
    0%
  • Country: cl
  • Reputación 11
    • View Profile
    • Blog

Re:[DUDA] Localizar origen troyano

  • on: October 25, 2016, 03:24:55 pm
Como te han comentado arriba es algo relativamente facil de hacer, te vale con capturar el trafico de tu pc y analizarlo, si es conexion directa tendras su ip, si la conexion es inversa que es lo mas comun tendras que obtener la ip a la que apunta el DNS, haciendo ping mismamente, eso en el hipotetico caso de que el atacante no se este protegiendo con una VPN, en ese caso no tienes mucho quehacer. Otra opcion es es localizar el payload y hacerle ingenieria inversa para sacar la configuracion, aunque podrias acabar en la misma situacion.
Un saludo
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Offline Stiuvert

  • *
  • Ex-Staff
  • *****
  • Posts: 2660
  • Actividad:
    0%
  • Reputación 15
  • Twitter: @Stiuvert
    • View Profile

Re:[DUDA] Localizar origen troyano

  • on: October 26, 2016, 04:11:49 am
Dadas las buenas propuestas por los compañeros, doy el tema por solucionado.