FAQS: Temas frecuentados en el blog

CONCEPTOS BÁSICO
{LECTURA OBLIGATORIA}





Estos son los conceptos y términos fundamentales que debe manejar antes de caer en el error de un capa 8. Te pido que por favor te tomes un tiempo para leer cada una de las preguntas y cuando no esté seguro de la respuesta leas la explicación.




FAQS: TEMAS FRECUENTES EN EL BLOG
* FAQ: Redes
* FAQ: Analisis de malware
* FAQ: Indetectar malware Nuevo FAQ!
* FAQ: Generalidades sobre Troyanos
* FAQ: Generalidades sobre cocteles
* FAQ: MS-DOS y remote shell
* FAQ: Embeber descargas en archivos
* FAQ: Traducciones y modificaciones
* FAQ: Autoinicios y persistencia de malware Nuevo FAQ!
* FAQ: Malware en Windows VISTA Nuevo FAQ!
* FAQ: Analisis de malware 



* FAQ: Redes

1) ¿Qué es una Dirección IP?
Es un número que identifica a un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (protocolo usado en Internet), de modo que las direcciones IP son para los dispositivos lo que la dirección postal es para una casa. Actualmente las direcciones IP están formadas por 4 números separados por un punto y que pueden ir del 0 al 255 (Ej. 164.12.123.65).

2) ¿Que son las IP Estáticas e IP Dinámicas?
Es habitual que un usuario que se conecta desde su hogar a Internet utilice una dirección IP que puede cambiar al reconectar; a esta forma de asignación de dirección IP se la denomina IP dinámica.
Los sitios de Internet, servidores de correo, FTP, etc. que por su naturaleza necesitan estar permanentemente conectados generalmente tienen una dirección IP fija; a esta forma de asignación de dirección IP se la denomina IP estática.

3) ¿Qué es una LAN (rede privada local)?
Local Area Network. Red de área local. Red de computadoras ubicadas dentro de un espacio limitado y que tiene un enlace encargado de distribuir las comunicaciones. Por ejemplo, computadoras conectadas en una oficina, en un edificio o en hogares.

4) ¿Qué son las IP Públicas e IP Privadas?
Dentro del rango de números IP se ha convenido reservar algunos para ser utilizados dentro de redes LAN, a estas IPs se las llama IP Privadas. Las IP privadas no son "alcanzables" desde Internet sino solo dentro de la propia LAN, pudiendo repetirse los números IP en distintas redes LAN. La IP pública es una IP de Internet y solo puede asignársele a un dispositivo por vez, ya que Internet hay una sola :). Usualmente las redes LAN tienen un router que les da salida a Internet al resto de las computadoras y que cuenta con una IP pública mientras que los demás dispositivos dentro de la red tienen IP privadas.

6) ¿Qué es un Puerto?
Es un número que va del 1 al 65536 y que designa un canal para el envío/recepción de datos desde una computadora u otro dispositivo conectado a Internet.
Si la IP es para la computadora lo que la dirección postal es para la "casa", el puerto sería la "puerta" de la casa y la casa tendría 65536 puertas. En la práctica lo que hacemos es asignarle un puerto distinto a cada programa (Ej. troyano) que tenemos en la computadora.

7) ¿Qué es un Nombre de Dominio?
Es un nombre que permite identificar a un dispositivo (generalmente una computadora) en Internet y que se asocia a un número IP siendo más fácil de recordar. Los Nombres de Dominios van separados por un punto y jerárquicamente están organizados de derecha a izquierda. (Ej. google.com, no-ip.com).
Un Subdominio es un dominio que está dentro de otro dominio principal (Ej. atacante.no-ip.com).

8) ¿Qué es un DNS?
El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena la asignación de Nombres de Dominio a direcciones IP. Cuando ponemos un nombre de dominio en nuestro navegador este consulta a un servidor DNS para que le diga la IP y poder mostrarnos la página.

9) ¿Qué es un DNS Dinámico?
Es un sistema que permite la actualización en tiempo real de la IP asignada a un nombre de dominio. El uso más común que se le da es permitir la asignación de un nombre de dominio de Internet a un ordenador con dirección IP variable (dinámica). Esto permite conectarse con la máquina en cuestión sin necesidad de tener que rastrear las direcciones IP. Hay varios proveedores gratuitos de este servicio, entre ellos no-ip.com, dyndns.com y freedns.afraid.org.

10) ¿Para que sirve la IP 127.0.0.1 y el dominio localhost?
127.0.0.1 es la IP de loopback, IP con la que todas las computadoras y routers usan para referirse a sí mismo. El nombre localhost es traducido como la dirección IP 127.0.0.1. En la práctica se puede utilizar para probar el cliente y el servidor de un troyano en la misma máquina.


FAQ: Analisis de malware

1) ¿Qué es un Malware?
Malware (del inglés malicious software) es un software que tiene como objetivo infiltrarse o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un virus.

2) ¿Qué es un Troyano?
Programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.

2.1)¿Cuál es la diferencia con un RAT?
Un RAT (Remote Administration Tool) realiza las mismas funciones que un troyano con la diferencia de que el RAT no está oculto en la computadora controlada. La diferencia es sutil pudiendose transformar fácilmente un RAT en un troyano. Además algunos programadores prefieren llamar RATs a sus creaciones para evitar problemas legales y para persuadir a las compañías antivirus de que sus programas no son maliciosos y por lo tanto no deben ser detectados.

a) ¿Qué significa Troyanos de conexión Directa e Inversa?
Los troyanos de conexión directa son aquellos que hacen que el cliente se conecte al servidor; a diferencia de éstos, los troyanos de conexión inversa son los que hacen que el servidor sea el que se conecte al cliente; las ventajas de éste son que traspasan muchos firewalls y pueden ser usados en redes situadas detrás de un router sin problemas. El motivo de por qué éste obtiene esas ventajas es que muchos firewalls no analizan los paquetes que salen de la computadora infectada (pero sí analizan los que entran) y se dice que traspasan redes porque no es necesario que se dirija la conexión hacia una computadora que se encuentre en la red.

b) ¿Qué significa Troyanos con Inyección o sin Inyección?.
Sin inyección: Se ejecutan como un programa común y corriente, siendo visibles como un proceso más.
Con inyección: Se infiltran en otro proceso para intentar camuflarse de los firewall por software.

c) ¿Qué significa FWB, FWB+, FWB++, FWB#?
Son términos que hacen referencia a la tecnología utilizada para traspasar los firewalls.
fwb: inyección de librerías en procesos confiables
fwb++: no se usa librería, se inyecta código
fwb#: lo mismo que el anterior, pero como los firewalls hacen hooks, quita los hooks a nivel de usuario.
fwb+++(fwb#+): igual pero este quita los hooks a nivel de kernel también.

3) ¿Qué es un Keylogger?
Herramienta que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un archivo y/o enviarlas a través de Internet. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software.

4) ¿Qué es un Crypter?
Software que encapsula un archivo ejecutable (ej. un troyano) dentro de otro archivo ejecutable ocultando su código y tornándolo irreconocible para los antivirus. Al momento de la ejecución el troyano es desencriptado en algún sector del disco rígido o de la memoria RAM y ejecutado.

Crypters Scan Time: El contenido del archivo, o sea el archivo original, es desencriptado y liberado en el disco cuando se ejecuta. Por lo tanto el archivo solo es indetectable a un scan con Anti-virus antes de ser ejecutado, perdiendo luego su indetectabilidad.

Crypters Run Time: El archivo original no es desencriptado en el disco, por lo tanto permanece indetectable a los Anti-Virus antes y luego de ser ejecutado.

5) ¿Qué es un PE Packer?
También conocido como Compresor PE. Las siglas PE significan Portable Executable. No es un malware propiamente dicho aunque muchas veces se usa para alivianar y camuflar troyanos. Es un software que encapsula un archivo ejecutable (ej. un troyano) dentro de otro archivo ejecutable teniendo como resultado un exe de menor tamaño. Como efecto secundario si el antivirus no posee la información para poder ver dentro del archivo empacado éste será indetectable. Al momento de la ejecución, el archivo externo descomprime el archivo interno en la memoria RAM y lo ejecuta. El funcionamiento es similar al de un Crypter Run Time con la diferencia de que en el Packer se prioriza la reducción de peso. El PE Packer mas conocido es UPX.

6) ¿Qué es un Binder?
Es un software que puede encapsular varios archivos dentro de uno, de modo que, por ej. al ejecutar el archivo resultante se instale un troyano, un keylogger y se abra una imagen para disimular. Es común que los Binders encripten los archivos que encapsulan teniendo también las cualidades de un Crypter Scan Time.

7) ¿Qué es un Rootkit?
Un rootkit es una herramienta, o un grupo de herramientas que tiene por finalidad esconderse a sí misma en el sistema operativo y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y/o puertos. Se usan habitualmente para asegurar a un intruso seguir accediendo a un sistema una vez que ha conseguido entrar por primera vez.








AUN EN CONSTRUCCIÓN




No hay comentarios.:

Con tecnología de Blogger.