Malwares desde cero

Iniciado por ANTRAX, Marzo 21, 2012, 08:29:01 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Hola a todos.
Comenzaremos con este glosario de malwares. Lo iremos actualizando entre todos para que quede completo.
El objetivo de este glosario es que no tengan dudas con algunos conceptos a medida de que vallamos avanzando con los tutoriales.
Dudas que tengan las pueden postear en este mismo post. O si desean añadir mas palabras tambien pueden hacerlo.




A
Antivirus: Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informáticos.
AVs: Forma abreviada de AntiVirus.

B
Backdoor: Puerta trasera. Mecanismo que tiene o que se debe crear en un software para acceder de manera indebida.
Binders – Joiners: Programas que sirven para unir o camuflajear nuestros servidores para que pasen desapercibidos.
Bomba lógica: Código que ejecuta una particular manera de ataque cuando una determinada condición se produce. Por ejemplo una bomba lógica puede Formatear el disco duro un día determinado, pero a diferencia de un virus.
Botnet: Gusano que se propaga con la finalidad de ganar muchas PCs zombies que luego son utilizadas para atacar servidores webs.
Bug: agujero o falla de seguridad

C
Cam Capture: Captura de Webcam (permite ver la webcam de nuestro remoto en caso de que tenga).
Clicklogger: Programa diseñado para capturar Clicks del mouse.
Cliente: Es aquel que usaremos nosotros para podernos conectar al servidor enviado a nuestro objetivo para poderlo manipular.
ClipBoard: Portapapeles, Esta opción se activa cada vez que el remoto copia algún texto.
Codder: Persona que programa o crea sus propios Malwares o herramientas.
Crypter: Archivo ejecutable que se encarga de encriptar el contenido de nuestro servidor para evitar ser detectado por los AVs.

D
Debbuger: programa que permite la ejecución de otros programas
DNS: Alternativa a la IP, una de las más utilizadas son NO-IP y DNS de CDMON para la conexión de troyanos en caso de que no se tenga una IP estable.

E
Edición Hexadecimal: Se lo llama a la modificación hexadecimal de archivos ejecutables para evitar ser detectados.
Enrutador: (Router) Un Router es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. Lo usaremos en los troyanos para abrir puertos.
EOF Data: "End of file" o EOF (Final de código en español), es conocido como una herramienta vista en ejecutables como los Crypters, y q ayuda a los ejecutables que terminan con código a no deformarse cuando se encriptan.
Escritorio Remoto: Permite manipular el Teclado y Mouse de nuestro Remoto.

F
Filemanager: Opción que traen los troyanos que sirve para subir, bajar, borrar, modificar archivos de nuestro remoto
Firewall: Utilizado para bloquear conexiones no deseadas.
FTP: (File Transfer Protocol) Protocolo de transferencia de archivos. Se utiliza para subir y bajar archivos de un servidor de internet o viceversa.
FUD: Full UnDetected (indetectable al 100%)

G
Gusanos o Worms: Programas que se reproducen ellos mismos copiándose una y otra vez de sistema a sistema y que usa recursos de los sistemas atacados.

I
Ingeniería Social: Obtención de información por medios ajenos a la informática. En otras palabras la Ingeniería Social hace referencia a usar la cabeza.
IP: Conjunto de protocolos básico sobre los que se fundamenta Internet. Se sitúan en torno al nivel tres y cuatro del modelo OSI. En otras palabras es una serie de números que nos identifica en internet.
IRC: Chat antiguo, compuesto por servidores y canales. Utilizado para montar una Botnet.

K
Keylogger: Programa diseñado para capturar teclas pulsadas por un teclado.


L
LAN: Red de área local

M
Malware: Programa malicioso que puede o no dañar nuestro ordenador
Modder: Persona que modifica el Stub de algún Malware para volverlo indetectable.

P
Password: Contraseña
Proxy: Programa utilizado para escondernos en la red.
Puertos: Son abiertos en routers para poder establecer un puente de conexión y enviar paquetes de datos por el.

R
RAT: Remote Administration Tool (Herramienta de Administracion Remota)
Regedit: Registro del sistema, Es en donde se guarda todo lo que debe hacer el sistema. Los Malwares se añaden en el registro para iniciar junto con el sistema operativo. Esto ocurre en la plataforma Windows.
Remote Shell: Shell remota, nos deja ejecutar comandos de consola en nuestro remoto.
Remoto: Se denomina remoto al ordenador de la persona infectada con un troyano.
Rootkit: Son técnicas utilizadas para esconder un malware y evitar ser identificado.

S
ScreenCapture: Captura de pantalla.
Server: (Servidor) Ejecutable que se envía a nuestro objetivo con el fin de infectarlo y obtener información.
Sniffer: Programa encargado de interceptar paquetes de datos con el fin de obtener información.
Spread: Métodos o formas de propagación de los Malwares.
Stub: Corazón de un ejecutable, es en donde contiene toda la información que lo hace funcionar.
System Manager: Permite ver propiedades del equipo remoto.

T
Tracear: Seguir un rastro o pista para dar con una persona.
Troyano: El nombre proviene del caballo de Troya. Programa que se queda residente en un sistema informático y facilita información sobre los que ocurre en el mismo (passwords, logins, etc.). El troyano consta de dos partes, Cliente y Servidor.

U
UD: Undetected (Indetectable a ciertos antivirus)

V
VIRII: Programación de Virus
Virus: Código malicioso con la capacidad de dañar una PC.

Z
Zapper o Cloacker: Programa utilizado para borrar huellas.


Un poco de historia

La palabra troyano, viene de la historia del caballo de Troya...
Para los que no conozcan, el caballo de Troya era un enorme caballo de madera que fue construido por los griegos según cuenta la odisea de Homero. El caballo era un obsequio para los troyanos con los cuales estaban en guerra. Era un regalo de rendición.
Lo que los troyanos no sabían era que caballo tenía en su interior soldados griegos. Una vez que el caballo estuvo dentro de Troya, los soldados salieron y atacaron la ciudad. Así fue como lograron penetrar las enormes murallas troyanas y ganaron la guerra.
En el mundo informática, los troyanos cumplen una función muy similar. Nos permiten acceder a otros ordenadores sin levantar muchas sospechas.

Evolución de los troyanos

Antiguamente los troyanos eran de conexión directa, esto quiere decir que nosotros debíamos conectarnos con nuestro remoto. A continuación les mostrare un ejemplo con un troyano llamado Theef

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como pueden ver en la imagen, tuve que colocar la ip y puerto de conexión del remoto. En este caso es 127.0.0.1 ya que lo estoy testeando en mi PC como local.
Lo malo que tenían estos troyanos es que solo se podía conectar de a un remoto por vez y también debíamos saber su IP...
Por suerte en la actualidad hay troyanos de conexión inversa en donde podemos tener más de una conexión al mismo tiempo y no necesitamos saber su IP para conectarnos.
A continuación les mostrare una captura de un troyano muy conocido llamado Bifrost.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como pueden ver en la imagen, aparece una especie de grilla, en donde se irán listando los remotos cada vez que uno entre a internet y se conecte a nuestro troyano.

A diferencia del anterior, no tuvimos que poner ip del remoto ni nada de eso, ya que automáticamente al ser de conexión inversa, el remoto conecta a nosotros.

Otro de los avances son las opciones que tienen cada uno. Cuando hablamos de opciones, hacemos referencia a lo que podemos hacer con los troyanos. Antiguamente se usaban para abrir y cerrar la puerta del CD-ROM, apagar la pantalla y otras tareas no muy útiles. En la actualidad los troyanos realizan varias funciones, como por ejemplo capturar teclas pulsadas, permiten manipularle el teclado y el mouse a nuestro remoto, nos muestran passwords almacenadas en el ordenador, traen opciones de rootkit integradas ya que podemos ocultar el proceso u ocultarlo en otro, cambia la fecha de creación para no levantar sospechas, etc. También podemos manipular sus ficheros, eliminar, modificar, crear... entre otras opciones que iremos viendo a lo largo de estas entregas.


Partes de un troyano

Un troyano consta de dos partes fundamentales. Un cliente y un servidor.

Cliente, es aquel que usaremos nosotros para conectarnos con nuestro remoto

Servidor, es el que debemos enviar para infectar a nuestro remoto.

A continuación les mostrare como se ve cada uno.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En este caso es el Bifrost versión 1.2d, el cliente de este troyano edita al servidor que viene afuera.

Existen troyanos que son server builder, esto quiere decir que el stub del servidor está adentro del cliente. Como por ejemplo el troyano Spy-Net.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como vemos en la imagen, solo está el cliente, ya que el mismo cliente se encarga de configurar y crear el servidor. En otras palabras podemos decir que el servidor está adentro del cliente.

Muy rara vez, algunos troyanos suelen venir con un Edit Server que es el que edita los datos de conexión del servidor.


Troyanos públicos y privados

Podemos clasificar los troyanos en dos grandes grupos, en los cuales tenemos los públicos y los privados.

Cuando decimos troyanos públicos, hacemos referencia a troyanos liberados por los programadores, para que cualquier usuario pueda tener acceso a él y lo pueda utilizar libremente.

Los troyanos privados son troyanos que están en venta y deberá pagarse una suma de dinero al programador para poder tener acceso a él. Estos troyanos suelen venir con algún tipo de protección como por ejemplo Hardware ID, acceso con usuario y contraseña entre otro tipo de protecciones para que no puedan ser liberados. También suelen tener opciones adicionales hechas a medida. A demás de esto suelen ser indetectables y vienen con garantía.

A la larga siempre hay alguien que libera los troyanos privados, esto suele ocurrir por que sale una nueva versión y el programador decide liberarlo y vender la nueva versión o también puede ser que algún usuario disconforme con el programador decide crackearlo y liberarlo para que todos tengan acceso a él.


Formas de infección

Existen muchas formas de infecciones que a lo largo de estas entregas iremos desarrollando con mayor claridad. Por ahora solo las nombraremos y detallaremos brevemente.

Infección por P2P: Se les dice P2P a los programas que utilizamos para descargar música, videos, programas, etc. Como lo son el Ares, Emule, Lime Wire, entre otros. La infección por P2P consiste en colocar un servidor de un troyano en la carpeta compartida para que otras personas lo descarguen y se infecten.

Infección por URL: Consiste en subir un server a un host, y por medio de un script hacer que se ejecute solo en el ordenador remoto cuando se visite ese link.

  Infección por MSN: La infección por MSN o también conocida como propagación por MSN, consiste en una infección en cadena, ya que se infecta a un contacto, este infecta a los suyos, a su vez esos a los suyos formando una cadena de infección.

Infección por IRC: La infección por IRC suele ser igual a la de MSN ya que infecta a la gente de diferentes canales.

Infección a través de Exploit: Esta otra infección aprovecha fallas de los navegadores para infectar, es algo similar a la infección por URL.

Infección por Cadenas de Mail: son los que suelen venir adjuntos junto con cadenas que recibimos por mail.

Infección por Warez: Esto suele verse en foros en donde usuarios postean programas, y estos suelen venir unidos con algún troyano.

Infección por Autorun: Cada vez que conectamos o insertamos un medio extraíble, ya sea USB, CD-ROM, Etc. Sale una reproducción automática, esta reproducción automática es debido a un Autorun que ejecuta un programa y muestra un icono, lo que se hace es editar ese Autorun para que cuando se conecte un medio extraíble se ejecute automáticamente el server.

Probablemente todos los que usan MSN, mas de una vez habrán visto algún contacto que envía "fotos" o direcciones web un poco inusuales... siempre que encontremos esto, es porque estamos frente a una propagación por MSN.

También es probable que hayamos entrado a una web y el antivirus nos haya dado una alerta, en este caso es porque estamos frente a una infección por URL... Y así encontraremos miles de ejemplos de formas de infección.


Camuflaje

En la actualidad la mayoría de los troyanos traen opciones para ocultar los servidores en ordenadores remotos.

Tenemos por ejemplo los rootkits que suelen venir con el troyano, cuya función es ocultar el servidor en algún proceso, o hacer este proceso invisible para que nuestro remoto se dé cuenta. También tenemos la opción muy usada de cambiar el icono y reemplazarlo por alguno de una imagen, programa, documento, etc. con el fin de que nuestro objetivo piense que es un archivo inofensivo. Otros también suelen unirlo con algún joiner entonces al abrir una imagen, archivo, documento o con lo que haya sido unido, este ejecute a su vez el servidor que viene adentro.

Cuando hablábamos de métodos de infección, es obvio que en todos los casos el servidor va con un camuflaje, ya que de lo contrario nadie lo abriría.


Indetectabilidad

A lo largo de estas entregas, iré mostrando distintos métodos de Indetectabilidad. Por ahora solo lo veremos muy por encima para que vean de qué se trata.

Seguramente pensaran, "Yo tengo antivirus, y no me voy a infectar..." Los que dicen o piensan eso, es porque seguramente no han leído nada al respecto.

A lo largo de estas revistas iremos viendo distintas formas de pasar las protecciones y a su vez iremos analizando de qué formas podemos protegernos para evitar que nos infecten a nosotros.

Por ahora lo que nos interesa sabes son las formas de Indetectabilidad que existen.

Como dijimos en la primera entrega, el Stub es el corazón de nuestro ejecutable. Es el que contiene toda la información que necesitamos que posea nuestro servidor, para que conecte con nosotros.

En todos los métodos de Indetectabilidad, se aplican a ese Stub...

No nombrare todos los métodos, pero si los más importantes:

Por Código Fuente: Consiste en editar el código fuente de algún malware para dejarlo indetectable

Edición Hexadecimal: Se edita el Stub modificando offsets detectados por los antivirus para que estos lo dejen de detectar.

Utilizando un Crypter: Al pasarle un crypter al servidor, este encripta la información del Stub del servidor y lo deja indetectable siempre y cuando el crypter sea FUD.

Ediciones de saltos: Usualmente se utiliza un debugger como por ejemplo el Olly, editando saltos, PUSH, etc.

Existen otros, pero no quiero complicarlos tanto con esto, es por eso que pararemos aquí, y más adelante iremos desarrollando y explicando con tranquilidad los métodos que hay.


¿Cómo selecciono un Troyano?

La mejor forma de seleccionar un troyano, es sabiendo que es lo que se desea hacer, ya que hay troyanos simples, y otros más completos que esta sobre entendido que contienen más opciones, pero tienen la desventajas de no ser muy estables.

Para saber si los troyanos son estables o no, es necesario saber en qué lenguaje fue programado.

Como ya sabrán los lenguajes más potentes son los de más bajo nivel (Binario, ASM), luego siguen los de medio nivel (C/C++), y finalmente los de alto nivel que son el resto (VB, Java, Delphi que son los más usados, entre otros).

Les enseñare rápidamente como identificar en que lenguaje están programados los troyanos.

Con un editor hexadecimal, abrimos el ejecutable y buscamos alguna línea del código que nos diga algo referido al lenguaje con el cual fue programado.


Por ejemplo el Spy-Net

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Delphi


Otro ejemplo con el IndSocket RAT


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Visual Basic

De esta manera podremos ir viendo con que lenguaje fue hecho y que estabilidad posee.

Estabilidad quiere decir que la conexión no se caiga, o sea que no se nos desconecte cuando la PC remota se reinicie, que no se bloquee el proceso, etc.

Los troyanos más estables son el Bifrost y Poison Ivy, ya que sus servidores están hechos en ASM, pero ya no son muy usados, ya que no son compatibles al 100% con Windows Vista, Seven y ocho. En cambio el Spy-Net que está hecho en Delphi si lo es.

Sigamos con más características...

Necesitamos saber qué Sistema Operativo es el que tiene nuestro objetivo.

En caso de que sea Windows XP, se puede usar el Bifrost, o Poison Ivy que son los más estables. Pero en caso de que sea Windows 7 o Vista, deberemos optar por otro que si sea compatible como lo es el Spy-Net, IndSocket RAT, SS-RAT, Entre otros que a demás tienen muchas más opciones que no trae ni el Bifrost y Poison Ivy, pero con menos estabilidad.

También podemos elegir el Troyano dependiendo de lo que queramos hacer, y dependiendo de las opciones que traiga.

Más adelante iremos analizando cada troyano (los más usados) con las opciones que trae cada uno con sus ventajas y desventajas.


EOF Data

Troyanos como el Bifrost, Turkojan, Biohazard, entre otros poseen algo llamado EOF Data (End Of File Data).

Para saber que es, lo mostrare en una imagen:


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como podemos ver, es el final del código mostrado con un editor hexadecimal, y claramente podemos ver la NO-IP No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que es a la DNS que conecta este servidor.

Quiere decir que en el final del código posee información de la conexión.

A la hora de utilizar este tipo de troyanos deberemos usar Crypters con soporte EOF para dejarlos indetectables. Esto se debe a que el crypter copia esa información del final, y la vuelve a dejar igual en el servidor final de forma intacta y sin romperlo para que vuelva a conectar.


¿Cómo configuro un troyano?

Una vez que tengamos seleccionado el troyano, lo que sigue es configurarlo para poder infectar a alguien.

En esta primera parte solamente nos basaremos en la autoinfección, mas adelante iremos viendo como indetectar nuestros servers, como ocultarlos y demás...

Usare el troyano Spy-Net 2.6 para esta entrega.

Una vez descargado, lo ejecutamos y veremos el siguiente cartel:


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le damos a Yes si queremos que muestre información de nuestro equipo, sino en NO.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Demos click en START. Seguido a esto, pasaremos el troyano en español.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Una vez en español, pasaremos a configurar el cliente

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En mi caso dejare los 3 que vienen por defecto, aunque solamente utilizare uno solo que será el 81.

También colocaremos una Contraseña de conexión.

Damos en Guardar y el cliente quedara finalizado.

Ahora pasaremos al Server.
Vamos a Archivo, Nuevo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Damos en el botón NUEVO y colocamos un usuario. Este usuario será el que contendrá nuestra configuración.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como esta vez solo veremos lo que es la autoinfección, dejaremos la IP local que es 127.0.0.1

En identificación ira el nombre para diferenciar al remoto de los demás infectados.

Y la contraseña será la misma que pusimos cuando configuramos el cliente.

Vamos a la siguiente pestaña (Instalación)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bajo mi punto de vista, es la parte más importante...

Aquí configuraremos la ubicación en donde se instalara el server en el ordenador remoto.

Seleccionamos un directorio de instalación, yo coloque el de Windows ya que dudo de que algún usuario revise ese lugar.

Luego en la parte de arranque, será la parte del registro en la cual estará nuestro server. Esto es para que el troyano inicie junto con el sistema operativo.

Coloque SoundRealtek para confundirlo con el sonido.

Luego colocamos un nombre al directorio y uno al fichero, recuerden siempre ser lo menos obvio posibles. De esto depende gran parte del camuflaje.

Modificamos el mutex, y colocamos persistencia en el server.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos aseguramos de que este activado el Keylogger. Si desean pueden hacer que envíe los logs por FTP.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como punto final, creamos el server. Revisen las opciones marcadas, cada uno las coloca a gusto.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Guardamos la configuración nuestra

Y finalmente ejecutaremos el server para ver si conecta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si damos click secundario al remoto, podremos ver las opciones disponibles


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


NO-IP

Lo primero que haremos, será crearnos una DNS en NO-IP. No se si recordaran que en la entrega anterior cuando hablamos de autoinfección colocamos 127.0.0.1... en este caso lo que haremos será reemplazar esa IP, por una NO-IP.

Primero explicare un poco lo que hace y que es lo que es la NO-IP...
Vamos a empezar desde el principio para que todos tengan en claro y que no hayan dudas.
IP Local: 127.0.0.1 (Es la IP que tiene la PC como local).
IP Privada: Es la IP que se le asigna a la PC dentro de una RED LOCAL o RED LAN.
IP Publica: Es la IP que se le asigna a una PC cada vez que entra a Internet.
NO-IP: Es una suplantación a la IP Publica.

¿Por que usamos NO-IP?

Bueno, es una pregunta muy sencilla de responder. Como bien dijimos antes, la IP Publica es una IP que se le da a una PC cada vez que entra a internet. Lo malo de esto, es que cada vez que entramos a internet tenemos una distinta. Entonces si configuramos nuestro server con la IP Publica que tenemos, a la próxima vez que entremos a internet, nuestra IP cambiara y perderemos a todos nuestros remotos infectados.

Con la NO-IP, tendremos algo fijo y no perderemos los remotos.
Para entenderlo mejor, lo pondremos en práctica.
Comenzaremos creando una NO-IP. Entramos a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y nos registramos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Llenamos todos los campos y nos registramos.
Luego nos llegara un mail para verificar la cuenta, la activamos y entramos con nuestra cuenta. Una vez que estemos dentro de nuestro panel damos en Add a Host

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ahora colocamos un nombre en Hostname, el resto lo dejamos igual. Pueden cambiarle el complemento al dominio, en mi caso puse No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, pero hay muchos más.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Presionamos el botón Create Host que está debajo del cuadro y listo!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como pueden ver ya tengo mi NO-IP. Y esta es la que usare a la hora de configurar mi troyano.
Ahora debemos descargar un programa llamado DUC. Es el que actualizara nuestra NO-IP con la IP Publica que tengamos.
Lo podemos descargar desde la misma página del no-ip.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Seleccionamos nuestro sistema operativo y descargamos. Seguido a esto lo instalamos y nos logueamos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Seleccionamos nuestra NO-IP

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y deberíamos tener algo como en la imagen. (Los tres tildes en verde)
Si han llegado hasta acá, y tienen los tres tildes en verde, es porque han hecho todo a la perfección, de lo contrario, deben haber hecho algún paso mal.
Para verificar si funciona correctamente, le pedimos a algún amigo que le haga ping a nuestra NO-IP y ver si responde tirando nuestra IP.
Recuerden que el amigo, debe estar fuera de nuestra red.
Debe entrar a la consola y teclear: "ping No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" (Recuerden pasarle su NO-IP, este es un ejemplo de cómo sería con la mía)

PUERTOS

Lo otro que nos queda para que nuestro troyano conecte de forma remota, es abrir un puerto en nuestro router (si es que tenemos router) para lo que tienen modem, no hace falta que hagan este paso.
Voy a explicar porque motivo debe abrirse un puerto.
La mayoría de nosotros tenemos algo como la siguiente imagen:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De la línea telefónica o desde el modem, va al router, el cual se encarga de distribuirlo a la PC, ya sea por Wireless o cableado.
El router bloquea varios puertos, y es por eso que necesitan ser abiertos para poder salir a internet.
Lo que haremos será entrar a la configuración del router y abrir el puerto.
Para saber la IP del router, debemos ir a INICIO > EJECUTAR > CMD
Se nos abrirá la consola de comandos y escribimos: ipconfig

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno, acá debemos tener en cuenta dos cosas importantes, La Dirección IP y la Puerta de enlace predeterminada.
La Dirección IP es nuestra IP Privada que como vimos más arriba, es la IP que tenemos en la RED LAN.
Y la puerta de enlace predeterminada es la IP del Router. Teniendo estos datos, ya podemos seguir abriendo los puertos.
Abrimos el navegador de internet y escribimos la IP del router.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Una vez dentro, lo más probable es que nos pida user y pass...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Todos los routers tienen distintos datos. Pero los default son:
admin – admin
admin – 1234
1234 – 1234
1234 – admin
Cuando ingresemos los datos, podremos entrar al panel de configuración del router.
Recuerden una cosa...
TODOS LOS ROUTERS SON DISTINTOS
Por lo tanto no piensen que será igual que el mío.
En mi caso debo ir a Basic > NAT > Virtual Server



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez dentro de Virtual Server, llenamos los campos con nuestra IP Privada y el puerto que deseamos abrir:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Damos en Submit y el puerto se agregara a la lista

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

INFECCION REMOTA

Bueno, aquí solo aplicaremos un pequeño cambio en la configuración de nuestro troyano.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A diferencia de la entrega anterior, lo único que modifique fue la DNS en este caso la NO-IP en lugar de la IP Local.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El resto de la configuración, pueden guiarse por la primer entrega porque no cambia en nada.
Una vez creado el server, ya podremos infectar de forma remota a alguna persona.
Recuerden que para que sea más creíble, el server debe ir indetectado para que no lo detecten los antivirus y camuflajeado. Pero eso lo veremos más adelante. De todas formas en el foro encontraran material sobre el tema.
Acá les muestro una captura de cómo se irá viendo nuestro troyano a medida de que infectemos.



¿Qué es y para qué sirve un Stealer?
  Un stealer es un malware encargado de capturar y mostrar todos los logins almacenados en una PC.
  La mayoría de los troyanos, tienen la opción de mostrar las contraseñas almacenadas, pero a lo largo de este tutorial, les mostrare las diferencias que hay entre capturarlas con un troyano y un stealer.
  En la siguiente imagen les mostrare una captura de este excelente troyano que es el IndSocket RAT que trae incorporado la opción de mostrar los logins almacenados.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Como se puede ver, aparece el user y pass de un mail.
Entonces... Para que están los stealers, si con un troyano también podemos ver los logins...
La respuesta es simple, un troyano solo muestra las Pass de un solo remoto que nosotros seleccionemos, en cambio el stealer a demás de capturar logins de todo tipo, son mas ordenados. A demás de esto, los Stealers son mucho más completos, ya que capturan distintos tipos de pass de varias aplicaciones. El que les enseñare hoy día, captura una gran cantidad de pass. Los troyanos por lo general capturan pass de MSN, IE, Firefox entre otros. En cambio el que utilizaremos captura cantidad más notable que los troyanos:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto se debe a que los stealers solo están diseñados para sacar logins.
En esta entrega, les enseñare a montar un stealer que trabaja con base de datos SQL y que almacena, guarda y muestra de forma ordenada todos los logins capturados.
Antes de comenzar, quiero aclarar que no me hago responsable por el mal uso que se le pueda dar a esto.
Este material es expuesto para aprender el funcionamiento de un stealer. Lo que ustedes hagan con él, ya será bajo su responsabilidad.



PARTE I
Lo que necesitaremos será un hosting con Cpanel y el Stealer. En esta entrega utilizare el iStealer.
Si el hosting es gratuito corremos el riesgo de que lo den de baja y perder todo.
Yo utilizare uno prestado, que será solo para testear el stealer y mostrarles su funcionamiento.
Vamos a nuestro Cpanel y crearemos una base de datos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bueno, ahí ya quedo nuestra base de datos creada.
Ahora lo que debemos hacer es crear un usuario para añadirlo a la base de datos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bien, lo que sigue es vincular a ese usuario con la base de datos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora le aplicamos los permisos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y listo!
Debemos recordar los datos de la base de datos, el usuario y la contraseña para poder configurar el Stealer.
Aca vemos como quedo finalizado:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como se puede ver, ahí esta la bd con el usuario vinculado


PARTE II
Lo que sigue es configurar el Stealer. Para ello vamos al directorio PHP Logger

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con algun editor de textos editamos el Index.php

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora podremos ver el código

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Reemplazamos por los datos nuestros
Comenzaremos desde la línea 4:

$dbHost     = "127.0.0.1";                            // MySQL host

Modificamos y debe quedar asi: 

Código: php
$dbHost     = "localhost";                            // MySQL host


Sigamos ahora a la siguiente línea, la 5 en donde deberemos colocar el usuario que creamos: 

Código: php
$dbUser     = "";              // MySQL username


Modificamos y debe quedar asi:

Código: php
$dbUser     = "h4x0r_stealer";  // MySQL username


Pasamos a la línea 6, que debemos colocar la Contraseña que le asignamos a dicho usuario: 

Código: php
$dbUser     = "";              // MySQL username


Modificamos y ponemos la pass 

Código: php
$dbPass     = "ANTRAX-LABS.NET";        // MySQL password


Vamos a la línea 7, en donde colocaremos el nombre de la base de datos que creamos:

Código: php
$dbDatabase = "";        // MySQL database name


Debe quedar asi:

Código: php
$dbDatabase = "h4x0r_testst";               // MySQL database name


Pasamos a la Linea 9, ya que la 8 esta vacia:

Código: php
$username   = "admin";                             // Login Username


La modificamos, por el usuario que nosotros queramos:

Código: php
$username   = "ANTRAX";                         // Login Username


Lo mismo hacemos en la línea 10, modificamos por una pass que queramos:

Código: php
$password   = "root";                  // Login Password


Aca les muestro una Captura de cómo quedo el mio terminado:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Guardamos y listo!


PARTE III
Lo que sigue es subir el index.php y la hoja de estilo por FTP a nuestro hosting.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que subió todo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para evitar futuros inconvenientes, le daremos permisos 777 al index.php

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora Entramos por la URL vía web y debería verse así:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ingresamos al panel:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si dice "No logs found!" quiere decir que hasta acá venimos todo perfecto.
De lo contrario mostrara errores en las tablas de base de datos o algún error de tipeo y deberemos revisar todos los datos que introducimos en el index.php



PARTE IV
Bueno, casi llegando al final, lo que nos queda es crear el Server del Stealer.
Abrimos el Builder del iStealer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Colocamos la URL de donde tenemos el index.php y presionamos en el botón Test URL
Si es correcto, nos devolverá el siguiente mensaje:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Finalmente, creamos el Server dando click en Build.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Guardamos...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hemos terminado!
Ahora solo queda encriptar nuestro server y pasarlo a algún remoto, o en donde lo deseen ejecutar.
Les enseñare una captura de cómo se ve un panel que ya ha capturado passwords:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Espero que en esta entrega hayan aprendido lo que es un Stealer y su funcionamiento.
Este material no es expuesto para que todos roben pass, sino para que lo tengan en cuenta por si ven alguno de estos Stealers sueltos por ahí, y ser precavido para no ejecutarlo y caer en ellos.
Bueno, Como siempre agradezco a todos los lectores. También les agradezco enormemente a los que visitan mi blog, ya que me motivan a seguir escribiendo para ustedes.


Exelente amigo y hermano antrax me encanto :D
Underc0de Manager!