martes, 22 de diciembre de 2009

Windows y la UAC III

Bueno. Ya he hecho varias cosas con las máquinas virtuales.

Lo primero de todo es conseguir que se ejecute el troyano. Para eso se envía un ejecutable como el que se muestra en la captura:


El troyano que hay que ejecutar.


Este lo he compartido desde el Equipo01 para que lo pudiera pasar. Hay que tener en cuenta que esto no es un escenario ideal. Es un escenario montado para que el troyano sea muy facil de aplicar.

Ahora. Para manipular el troyano, que actúa de servidor, se necesita un cliente, que es la consola de administración.


Consola de administración sin conexiones

Esta es la consola de administración sin conexiones. Y esta es la consola cuando ya se ha ejecutado el troyano.


Consola de administración con una conexión


Una vez vemos que tenemos a alguien conectado, hacemos doble click sobre el equipo que queremos controlar. En nuestro caso, evidentemente, sólo habrá uno. Va a ser el Equipo02. Nos  va a aparecer un panel de control parecido al de la imagen. Yo he seleccionado la sección que permite ver la pantalla del equipo troyanizado.


Capturando la pantalla de la víctima.

A su vez, podemos manipular cosas. Por ejemplo. Podemos manipular el teclado. Así, podremos escribir en este fichero de texto que se puede ver en la siguiente captura. A tener en cuenta. El check que está en un círculo rojo tiene que estar seleccionado. No lo he mostrado así porque no me dejaba capturar la pantalla del administrador, el Equipo01. Al estar seleccionado, me capturaba la pantalla del Equipo02.


Manipulando el fichero.


Y aquí el fichero manipulado.


Fichero manipulado.


Vale. Una vez que hemos visto qué se puede hacer con este troyano, ejecutado con el usuario usua02, vamos a ver cómo hacer saltar la UAC. Para ello, vamos a tocar la shell que nos ofrece el panel el panel de control y ejecutamos en ella (una vez nos permita introducir comandos) firewallsettings. Como se puede apreciar, también he hecho más pruebas.


Solicitando administración del firewall.


En el Equipo02, nos saltará la UAC. Momento en el cual, tendremos que sospechar que algo no va bien. Sería lo mismo que cuando hemos manipulado el fichero de texto.


UAC que salta al "manipular" el firewall.

¿Qué hubiera pasado si no hubiéramos tenido la UAC activada? No hubieramos tenido permisos para tocar nada. ¿Y si huberamos sido administradores? Bueno. Ahora podemos ver que el admin02 ha ejecutado el mismo troyano que el usua02. A parte de que ahora en el panel de administración del troyano vemos que aparecen dos entradas...

Dos usuarios infectados.

Una vez tenemos control sobre el administrador, ya podríamos hacer de tó. Y mucho más si quitásemos la UAC. Ya vimos antes qué sucedía si la quitábamos. 

Vuelvo a recordar que esto es un escenario forzado para que saliera la UAC con el usuario mortal. Y he ido a por algo sencillo, como puede ser el firewall de windows. Que cantaría mucho si se manipulara. Pero también se ha visto que se puede manipular el teclado, el ratón... Si tuviera una webcam se podría ver lo que estuviera mirando... 

También hay qeu tener en cuenta que este troyano tiene una características. Lo hay con más y con menos. 

Soy consciente de que esto no supera las expectativas. Pero bueno. Creo que es mejor esto a nada. ¿No?
















No hay comentarios:

Publicar un comentario