El acceso remoto es una herramienta común de cualquier profesional de TI. Si alguna vez has necesitado reparar tu ordenador, es probable que un técnico haya accedido a tu máquina desde una ubicación remota. Pueden tomar el control del PC utilizando un software creado para esta función específica. Desde descargar software, abrir documentos e incluso mover el cursor por la pantalla en tiempo real.
Tener acceso remoto a cualquier máquina es el sueño de un hacker. La capacidad de monitorizar y recopilar información de cualquier persona sin su conocimiento permite el robo de identidad, el acceso a cuentas bancarias, etc. Por desgracia, esto es muy posible usando un troyano de acceso remoto (RAT).
¿Qué es un troyano de acceso remoto?
Un troyano de acceso remoto, más conocido popularmente como RAT, es un tipo de malware que puede llevar a cabo una vigilancia encubierta en el ordenador de la víctima. Su comportamiento es muy similar al de los keyloggers . Sin embargo, las RAT pueden hacer mucho más que recopilar datos de pulsaciones de teclas, nombres de usuario y contraseñas.
Puede obtener acceso remoto al ordenador de la víctima a través de protocolos de comunicación especialmente configurados que permiten que el malware pase desapercibido. El acceso de puerta trasera proporciona acceso prácticamente completo a la máquina, permite cambiar la configuración, controlar el comportamiento del usuario, usar la conexión a Internet de la computadora, explorar y copiar archivos e incluso acceder a otros ordenadores en la red de la víctima.
Un troyano de acceso remoto es un tipo de malware muy parecido a los programas legales de acceso remoto. Se diferencian, principalmente, en que estos son instalados en un ordenador sin conocimiento del usuario. Este malware es creado para espiar, secuestrar o destruir ordenadores.
Como la mayoría de los programas maliciosos, las RAT están complementadas con archivos que parecen legales. Los hackers incluyen un troyano dentro de un documento en un correo electrónico o dentro de un paquete de software grande, como un videojuego. Los anuncios y las páginas web no seguras también pueden contener troyanos.
Saber cuándo hemos descargado un troyano es bastante difícil, a diferencia de otros tipos de malware. Este no afectará al funcionamiento del ordenador, y los piratas informáticos no siempre se delatarán al eliminar sus archivos o al mover el cursor por la pantalla. En algunos casos, pueden pasar años sin que los usuarios infectados noten nada.
Origen
Las RAT han existido en silencio durante más de una década. Se descubrió que la tecnología desempeñó un papel en el saqueo extenso de la tecnología estadounidense por parte de piratas informáticos chinos en 2003. El Pentágono lanzó una investigación, llamada Titan Rain , que descubrió el robo de datos de contratistas de defensa de EE.UU., con datos de desarrollo y pruebas clasificadas transferidos a ubicaciones en China.
En 2003 y 2008 se produjeron varios apagones de la red eléctrica de la costa este de los Estados Unidos. Estos también tuvieron su origen en China y también fueron facilitados por las RAT. En resumen, un pirata informático que puede obtener una RAT en un sistema puede activar todo el software que los usuarios de esas computadoras tienen a su disposición.
Los usuarios originales de las RAT para espionaje industrial y sabotaje eran hackers chinos. Con los años, Rusia ha llegado a apreciar el poder de las RAT y las ha integrado en su arsenal militar. Ahora son oficialmente parte de la estrategia ofensiva rusa que se conoce como «guerra híbrida».
Aunque los piratas informáticos de todo el mundo usan las RAT para espiar a las empresas y robar sus datos y dinero, el problema de las RAT ahora se ha convertido en un problema de seguridad nacional para muchos países.
Aunque gran parte de la actividad RAT parece estar dirigida por el gobierno, la existencia de kits de herramientas RAT hace que la intrusión en la red sea una tarea que cualquiera puede realizar. Por lo tanto, los ataques a través de troyanos de acceso remoto no serán únicamente contra las fuerzas armadas o las empresas de alta tecnología.
Las RAT se combinan con otros programas maliciosos para mantenerse ocultos, lo que significa que la instalación de software antivirus en los ordenadores no es suficiente para evitar que los hackers controlen nuestro sistema con estos métodos.
Funcionamiento
La mayoría de los virus informáticos están hechos para un propósito singular. Los registradores de teclas registran automáticamente todo lo que se escribe, el ransomware restringe el acceso al ordenador o sus archivos hasta que pague una tarifa, y el adware descarga anuncios dudosos en su ordenador para obtener ganancias.
Pero los troyanos son especiales. Le dan a los hackers un control completo y anónimo sobre los ordenadores infectados.
En la mayoría de los casos, los troyanos se usan como spyware. Un hacker que busca dinero puede usarlo para obtener pulsaciones de teclas y archivos de una computadora infectada. Estas pulsaciones de teclas y archivos pueden contener información bancaria, contraseñas, fotos confidenciales o conversaciones privadas.
Además, los piratas informáticos pueden usar los troyanos para activar discretamente la cámara web o el micrófono de un ordenador. La idea de ser espiado por un anónimo es bastante molesta, pero es un delito leve en comparación con lo que hacen algunos piratas informáticos con los troyanos.
Un hacker con una RAT puede borrar tu disco duro, descargar contenido ilegal de Internet a través de tu ordenador o introducir malware adicional en él. Los piratas informáticos también pueden controlar tu ordenador de forma remota para realizar acciones ilegales en línea en tu nombre o utilizar tu red doméstica como servidor proxy para cometer delitos de forma anónima.
Un hacker también puede usar un troyano para tomar el control de una red doméstica y crear una botnet. Esencialmente, una botnet permite a un hacker utilizar los recursos de un ordenador para tareas como ataques DDOS, minería de Bitcoin , alojamiento de archivos y torrents.
Tipos
Existen varios sistemas de acceso remoto que pueden tener aplicaciones legítimas, pero son conocidos como herramientas que los hackers utilizan principalmente como parte de un troyano; estos se clasifican como troyanos de acceso remoto.
Los principales son los siguientes:
Back Orifice
Back Orifice, que también se conoce como BO, es una RAT de fabricación estadounidense que existe desde 1998. Este es el abuelo de las RAT y ha sido refinado y adaptado por otros grupos de hackers para producir sistemas RAT más nuevos. El sistema original explotó una debilidad en Windows 98. Las versiones posteriores que se ejecutaron en los sistemas operativos más nuevos de Windows fueron Back Orifice 2000 y Deep Back Orifice .
Esta RAT puede ocultarse dentro del sistema operativo, lo que inicialmente hace que sea difícil de detectar. Sin embargo, hoy en día, la mayoría de los sistemas antivirus tienen los archivos ejecutables Back Orifice. Una buena característica de este software es que tiene una consola fácil de usar que permite al intruso navegar por el sistema infectado. Una vez instalado, este programa de servidor se comunica con la consola del cliente mediante procedimientos de red estándar. Se sabe que Back Orifice usa el número de puerto 21337.
Beast
Beast RAT ataca los sistemas Windows desde Windows 95 hasta Windows 10. Esto utiliza la misma arquitectura cliente-servidor usada por Back Orifice. Una vez que el elemento del servidor está operativo, el hacker puede acceder a la computadora de la víctima a voluntad a través del programa cliente. El cliente se conecta a la computadora de destino en el número de puerto 6666. El servidor también puede abrir conexiones de regreso al cliente y usa el número de puerto 9999. Beast se escribió en 2002 y todavía está en uso .
Bifrost
Este troyano comienza su infección con la instalación de un programa generador de servidores. Inicialmente, este programa solo se pone en contacto con un servidor de Comando y Control y espera instrucciones. El troyano infecta los sistemas Windows desde Windows 95 a Windows 10. Sin embargo, sus capacidades se reducen en las versiones de Windows XP y posteriores.
Una vez que se activa, el generador de servidores configurará un programa de servidor en la computadora de destino. Esto permite al pirata informático, utilizando un programa cliente correspondiente, obtener acceso a la computadora infectada y ejecutar comandos a voluntad. Este directorio y archivo están ocultos, por lo que algunos sistemas antivirus no pueden detectar Bifrost .
Desde Windows Vista, todas las capacidades destructivas de Bifrost se han ralentizado porque muchos de los servicios que utiliza el malware requieren privilegios del sistema. Sin embargo, si se engaña a un usuario para que instale el generador de servidores disfrazado con privilegios de sistema, el sistema Bifrost puede volverse completamente operativo y será muy difícil de eliminar.
Blackshades
Blackshades se dirige a Microsoft Windows desde Windows 95 a Windows 10.
El kit de herramientas incluye métodos de infección, como código malicioso para incrustar en sitios web que desencadenan rutinas de instalación. Otros elementos propagan la RAT enviando enlaces a páginas web infectadas. Estos se envían a los contactos de redes sociales de un usuario infectado.
El malware permite a un hacker obtener acceso al sistema de archivos del ordenador de destino y descargar y ejecutar archivos. Los usos del programa incluyen funciones de botnet que hacen que el ordenador objetivo inicie ataques de denegación de servicio.
El kit de herramientas Blackshades es muy fácil de usar y permite que aquellos que carecen de habilidades técnicas se conviertan en piratas informáticos. El sistema también se puede utilizar para crear ataques de ransomware. Un segundo programa de ofuscación que se vende junto con Blackshades mantiene el programa oculto, le permite relanzar cuando se mata y evade la detección por software antivirus.
DarkComet
Este es otro sistema de hackers que apunta al sistema operativo Windows desde Windows 95 hasta Windows 10. Tiene una interfaz muy fácil de usar y permite a aquellos sin habilidades técnicas realizar ataques de piratas informáticos.
El software permite espiar mediante el registro de teclas, la captura de pantalla y la recolección de contraseñas. El hacker que controla también puede operar las funciones de alimentación de un ordenador remoto, permitiendo que este se encienda o apague de forma remota.
DarkComet llamó la atención de la comunidad de ciberseguridad en 2012 cuando se descubrió que una unidad de hackers africanos estaba usando el sistema para atacar al gobierno y al ejército de los EE.UU. Al mismo tiempo, se lanzaron ataques DarkComet originarios de África contra jugadores en línea.
Mirage
Mirage es la RAT clave utilizada por el grupo de hackers chinos patrocinado por el estado conocido como APT15. Después de una campaña de espionaje muy activa entre 2009 y 2015, APT15 de repente se quedó en silencio. Mirage se utilizaba por el grupo desde 2012. La detección de una variante de Mirage en 2018 señaló que el grupo había vuelto a la acción. Esta nueva RAT, conocida como MirageFox, se usó para espiar a los contratistas del gobierno del Reino Unido y se descubrió en marzo de 2018.
Mirage y MirageFox acceden a los sistemas objetivo a través de campañas de spear phishing. Estas generalmente están dirigidas a los ejecutivos de una empresa víctima. El troyano se entrega incrustado en un PDF. Al abrir el PDF, los scripts se ejecutan e instalan el troyano. La primera acción de este es informar al sistema de Comando y Control con una auditoría de las capacidades del sistema infectado. Esta información incluye la velocidad de la CPU, la capacidad y la utilización de la memoria, el nombre del sistema y el nombre de usuario.
No hay un ataque típico de Mirage porque parece que cada intrusión se adapta a objetivos específicos. La instalación del troyano puede descubrirse mediante una campaña de investigación y verificaciones del sistema.
El hecho de que cada ataque sea altamente dirigido significa que una infección de Mirage conlleva muchos gastos. Este alto coste muestra que los ataques Mirage generalmente solo apuntan a objetivos de alto valor que el gobierno chino desea debilitar o de los cuales robar tecnología.
¿Cómo evitar los troyanos de acceso remoto?
Los sistemas antivirus no funcionan muy bien contra los troyanos. A veces, la infección de un ordenador o red no se detecta durante años. Los métodos de ofuscación utilizados por los programas paralelos para ocultar los procedimientos RAT los hacen muy difíciles de detectar.
A veces, la única solución para eliminar un troyano del ordenador es eliminar todo el software y reinstalar el sistema operativo.
Los sistemas de prevención RAT son raros porque el software de los troyanos solo se puede identificar una vez que está funcionando en el sistema. La mejor manera de manejar el problema es usar un sistema de detección de intrusos.
Herramientas de detección
A continuación vamos a mostrar las principales herramientas para detectar software troyano.
1. SolarWinds Security Event Manager
Los sistemas de detección de intrusos son herramientas importantes para bloquear la intrusión de software que pueden evadir la detección por parte de las utilidades de antivirus y firewall. Este software de seguridad es un sistema de detección de intrusiones basado en host. Sin embargo, hay una sección de la herramienta que funciona como un sistema de detección de intrusiones basado en la red. Este es el Snort Log Analyzer.
Esta capacidad dual ofrece un servicio completo de información de seguridad y gestión de eventos. Esto significa que se pueden ver los eventos capturados por Snort en vivo y también examinar las firmas de intrusión de paquetes cruzados identificadas a través de registros de archivos de registro.
Security Event Manager va más allá de la detección de RAT porque incluye tareas de reparación automatizadas que ayudan a bloquear las actividades de RAT. La herramienta cumple con una gama de estándares de seguridad de datos.
2. Snort
Snort es de uso gratuito y es el líder de la industria como sistema de detección de intrusiones en red. Este sistema fue creado por Cisco Systems y se puede instalar en Windows, Linux y Unix.
Snort puede implementar estrategias de defensa, lo que lo convierte en un sistema de prevención de intrusiones.
Tiene tres opciones de modos:
- Modo sniffer: un sniffer de paquetes en vivo
- Registrador de paquetes: registra paquetes en un archivo
- Detección de intrusiones: incluye un módulo de análisis
Aplica políticas básicas a los datos. Estas son reglas de alerta que proporcionan la detección de intrusos. Las políticas se pueden adquirir de forma gratuita desde el sitio web de Snort o puede escribir la suya propia.
Dentro de los eventos sospechosos que Snort puede destacar se incluyen:
- escaneo de puertos furtivos,
- ataques de desbordamiento de búfer,
- ataques CGI,
- sondas SMB y
- huellas digitales del sistema operativo.
Snort es capaz tanto de métodos de detección basados en firmas como de sistemas basados en anomalías.
3. OSSEC
OSSEC son las siglas de Open Source HIDS Security. Un HIDS es un sistema de detección de intrusiones de host, que examina los eventos en los ordenadores en una red en lugar de tratar de detectar anomalías en el tráfico de la red, que es lo que hacen los sistemas de detección de intrusiones en la red.
OSSEC es el líder actual de HIDS y se puede instalar en los sistemas operativos Unix, Linux y Mac OS. Examina los registros de eventos para buscar actividades RAT. Este software es un proyecto de código abierto propiedad de la empresa de seguridad cibernética, Trend Micro .
Esta es una herramienta de recopilación de datos, que no tiene un front-end muy fácil de usar. El motor de detección de OSSEC se basa en políticas, que son condiciones de alerta que pueden surgir en los datos. Pueden adquirirse paquetes de políticas previamente escritos de otros usuarios de OSSEC que ponen sus paquetes a disposición de forma gratuita en el foro de la comunidad de usuarios de OSSEC. También se pueden escribir las propias políticas.
4. Bro
Bro es un NIDS gratuito que se puede instalar en Unix, Linux y Mac OS. Este es un sistema de monitoreo de red que incluye métodos de detección de intrusos. Las capas de aplicación NIDS, como Bro, tienen mejores capacidades de detección porque aplican análisis a través de paquetes. Bro utiliza análisis basados en firmas y detección basada en anomalías.
Los scripts de política buscan en esos registros patrones de comportamiento, como actividad anómala e ilógica realizada por una cuenta de usuario.
5. Suricata
Suricata es un NIDS que se puede instalar en Windows, Linux, Mac OS y Unix. Este es un sistema basado en tarifas que aplica el análisis de la capa de aplicación, por lo que detectará las firmas que se distribuyen entre los paquetes. Suricata monitorea la actividad de los protocolos IP , TLS, TCP y UDP y se enfoca en aplicaciones clave de red, tales como FTP , HTTP , ICMP y SMB. También hay una instalación de extracción de archivos que permite el análisis de archivos infectados con virus.
Suricata tiene un módulo de secuencias de comandos incorporado que le permite combinar reglas y obtener un perfil de detección más preciso. Este IDS utiliza métodos de detección basados en firmas y en anomalías.
6. Sagan
Sagan es un sistema de detección de intrusos basado en host gratuito que se puede instalar en Unix, Linux y Mac OS. No puede ejecutarse Sagan en Windows, pero puede alimentar registros de eventos de Windows en él.
Sagan es una herramienta de análisis de registros y debe usarse junto con otros sistemas de recopilación de datos para crear un sistema completo de detección de intrusos. La utilidad incluye un localizador de IP, por lo que puede rastrear las fuentes de actividades sospechosas hasta una ubicación. También puede agrupar las actividades de direcciones IP sospechosas para identificar ataques en equipo o distribuidos. El módulo de análisis funciona con metodologías de detección de firma y anomalía.
Sagan puede ejecutar automáticamente scripts para bloquear la red cuando detecta eventos específicos.
7. Security Onion
Security Onion se desarrolló uniendo el código para Snort, Suricata, OSSEC y Bro, que son proyectos de código abierto.
El análisis basado en el host verifica los cambios de archivo y el análisis de red se realiza mediante un rastreador de paquetes, que puede mostrar los datos de paso en una pantalla y también escribir en un archivo.
El motor de análisis de Security Onion es complicado porque combina los procedimientos de varias herramientas diferentes. Incluye monitoreo del estado del dispositivo, así como análisis de tráfico.
8. AIDE
AIDE significa «Entorno avanzado de detección de intrusiones». Este es un HIDS gratuito que se ejecuta en Mac OS, Unix y Linux . Se centra en la detección de rootkits y las comparaciones de firmas de archivos . El módulo de recopilación de datos llena una base de datos de características que se obtienen de los archivos de registro. Esta base de datos es una instantánea del estado del sistema y cualquier cambio en la configuración del dispositivo activa alertas.
Las verificaciones del sistema se realizan bajo demanda y no de forma continua, pero se pueden programar como trabajos cronológicos. La base de reglas de AIDE utiliza métodos de monitoreo basados en firmas y en anomalías.
9. OpenWIPS-NG
WIPS significa «Sistema inalámbrico de prevención de intrusiones» y se ejecuta en Linux. Esta es una utilidad gratuita que incluye tres elementos:
- Sensor: el rastreador de paquetes
- Servidor: base de datos de análisis y almacenamiento de datos
- Interfaz: interfaz frontal orientada al usuario.
El sensor también es un transmisor, por lo que puede implementar acciones de prevención de intrusiones y paralizar transmisiones no deseadas. El servidor realiza análisis y también lanza políticas de intervención para bloquear las intrusiones detectadas. El módulo de interfaz muestra eventos y alertas al administrador del sistema. Aquí también es donde los ajustes pueden modificarse y las acciones defensivas pueden ajustarse o anularse.