Resumo de Informática Básica (41)

Vista previa del material en texto

Características  del  caballo  de  Troya
Conexión  directa
La  computadora  host  o  víctima  se  conecta  con  el  atacante  a  través  de  un  proceso  
automático  en  el  malware  instalado  en  su  computadora,  por  lo  que  no  es  necesario  que  
el  atacante  tenga  la  dirección  IP  de  la  víctima.  Para  proteger  la  conexión,  el  atacante  
puede  utilizar  una  IP  fija  o  un  nombre  de  dominio.
Los  troyanos  y  otros  tipos  de  malware,  así  como  muchas  utilidades  de  software,  han  
evolucionado  hacia  el  modelo  de  conexión  inversa  debido  a  la  proliferación  de  routers  
que  aplican  principalmente  por  defecto  una  capa  de  seguridad  en  la  red  inicial  (como  la  
propia  NAT)  actuando  como  un  firewall  que  Impide  las  condiciones  de  conexiones  
entrantes  a  clientes  de  la  red,  a  menos  que  este  mecanismo  esté  expresamente  
deshabilitado  o  configurado.
Generalmente,  los  troyanos  se  utilizan  para  robar  información,  en  casos  extremos  para  
obtener  control  remoto  de  la  computadora  para  que  el  atacante  obtenga  acceso  de  
lectura  y  escritura  a  archivos  y  datos  privados  almacenados,  abra  pantallas,  active  y  
desactive  procesos,  control  de  dispositivos  y  conexión  a  ciertos  Sitios  de  Internet  del  
ordenador  afectado,  como  páginas  pornográficas.
La  conexión  inversa  tiene  claras  ventajas  sobre  la  conexión  directa.  Pasa  por  algunos  
firewalls  (la  mayoría  de  firewalls  no  analizan  los  paquetes  que  salen  del  ordenador,  sino  
los  que  llegan),  se  puede  utilizar  en  redes  situadas  detrás  de  un  router  sin  problemas  
(no  es  necesario  redirigir  puertos)  y  no  es  necesario  para  conocer  la  dirección  IP  del  
servidor.
El  atacante  se  conecta  directamente  a  la  PC  infectada  utilizando  su  dirección  IP.  En  este  
caso,  el  ordenador  atacante  es  el  cliente  y  la  víctima  es  el  servidor.
,
Los  troyanos  se  componen  principalmente  de  dos  programas:  un  programa  de  
administración,  que  envía  los  comandos  que  se  ejecutarán  en  el  ordenador  infectado,  y  
el  programa  residente  ubicado  en  el  ordenador  infectado,  que  recibe  los  comandos  del  
administrador,  los  ejecuta  y  devuelve  un  resultado.
Conexión  indirecta  (o  inversa)
También  suele  haber  un  editor  de  programas  residente,  que  sirve  para  modificarlo,  
protegerlo  con  contraseñas,  agruparlo  con  otros  programas  para  disfrazarlo,  configurar  
en  qué  puerto  queremos  instalar  el  servidor,  etc.  Teniendo  en  cuenta  la  forma  en  que  se  
realiza  la  conexión  entre  el  programa  de  administración  y  el  residente,  estos  se  pueden  
clasificar  en:
Machine Translated by Google
Cabe  señalar  que  existen  otro  tipo  de  conexiones,  que  no  son  del  ordenador  
víctima  al  ordenador  atacante,  sino  que  utilizan  un  servidor  intermediario,  
generalmente  ajeno  a  ambos,  para  realizar  el  proceso  de  control.  Para  este  
fin  se  suelen  utilizar  los  protocolos  IRC  y  FTP,  HTTP,  aunque  también  se  
pueden  utilizar  otros.
Machine Translated by Google