Un ssh troyanizado

Noviembre 19th, 2007

Continuando con la estela del post anterior, en éste quiero hablaros de lo maravillosamente fácil que es ocultar un troyano en un sistema, si este no posee algún software de control de firmas tipo tripwire o similar. Lo único que hay que hacer en este caso es buscar algún programa legítimo que ofrezca servicios de red, descargar el código fuente, modificarlo para crear una bonita puerta trasera y tras compilarlo, poner el nuevo binario en lugar del original.

Como ya dije antes, este cambio es indetectable si el sistema no posee software de gestión de firmas (que por desgracia es la situación de la mayoría de los sistemas pequeños y medianos), por lo que la puerta trasera pasara oculta mucho tiempo antes de ser descubierta… si es que es decubierta. Desde mi punto de vista, uno de los mejores servicios para atacar por este sistema es el SSH ya que está pensado precisamente para controlar remotamente el equipo, por lo que es relativamente fácil de modificar para nuestros objetivos, y además nos ofrecerá una shell cifrada y cómoda de usar.

Modificar el SSH también nos ofrece otras ventajas, podemos modificarlo para obtener todas las contraseñas del sistema, lo que nos dará una importante base de datos de passwords, o podemos alterar el cliente SSH para que guarde toda la información de las conexiones hacia otros equipos (incluyendo contraseñas) con lo que conseguiremos comprometer múltiples equipos de una forma muy sencilla.

Todas estas modificaciones las realicé sobre el ssh-2.0.13, leed el TROJAN.txt que es donde he explicado todo lo necesario para manejar el troyano. El archivo trojan.h, se encuentra en apps/ssh/trojan.h, ahí es donde se configuran los parámetros que manejan la nueva ‘funcionalidad‘ del ssh .

Bueno, os resumo las características del troyano:

  • Contraseña maestra para acceder a todas las cuentas del sistema
  • Si se accede con la contraseña maestra, no se guardan registros en los logs UTMP/WTMP/Lastlog (el usuario es invisible)
  • Se almacenan todos los pares usuarios/contraseñas que accedan a este servidor SSH
  • Se almacenan las conexiones SSH hacia otros hosts, guardando el host de conexión, el usuario y la contraseña
  • Toda la información capturada por el troyano se guarda cifrada en Blowfish (también se puede seleccionar un cifrado XOR o ningún cifrado)


Descargar SSH 2.0.13 Troyanizado

Categorías: descargas, linux, seguridad |

2 comentarios

  1. solodebian

    Hola
    interesante post, solo que no consigo hacerme una idea de como realizar una practica real con mis maquinas para entender el funcionamiento.
    Que me aconsejas porque no se como empezar….

    un saludo

  2. licnobius

    Starting test ;-)

Deja un comentario