detectando y eliminando keyloggers
Post on 18-Feb-2018
246 Views
Preview:
TRANSCRIPT
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 1/8
Detectando y eliminando Keyloggers
Durante este post volveremos a hablar, como no, de algunas de las herramientas de la suite de Sysinternals, aplicándolas a un caso práctico endonde se analizará el comportamiento de aplicaciones tipo ‘keylogger’ para aprender a detectarlas y eliminarlas. Para ello utilizaremos tresaplicaciones de Sysinternals, las cuales ya recomendé anteriormente. stas aplicacionesson Process!onitor "Proc!on.e#e$, Process#plorer "Proc#p.e#e$ y %utoruns "autoruns.e#e$ .
&odas estas aplicaciones y muchas más están contenidas en la suite de Sysinternals, descargabledesdehttp'((do)nload.sysinternals.com(*iles(SysinternalsSuite.zip
Process!onitor es una herramienta permite monitorizar todas las llamadas +ue realizan los procesos con respecto al sistema de archivos, registrode indo)s, y creaci-n subprocesos o hilos. sto nos servirá para mantener nuestro e+uipo seguro en caso de tener sospechas o indicios de +uenuestras conversaciones están siendo capturadas mediante un sot)are +ue guarda en un ichero, o env/a a través de una cone#i-n tp, email, etcnuestras conversaciones.
Para iniciar el análisis, e 0ecutaremos la aplicaci-n Proc!on.e#e. 1ada más abrir esta aplicaci-n nos pedirá +ue especii+uemos iltros en loseventos capturados, para poder ainar la b2s+ueda.
3ntroduciremos dos iltros, +ue capturarán los eventos de escritura de archivos y envio de datos a través de cone#iones &4P.
5 *ilerite
5 &4P Send
Para ello, desplegaremos el primer ‘Listbox ’ y seleccionaremos ‘Operation’, en el segundo desplegable seleccionaremos la opci-n ‘ is’, en el tercerdesplegable escribiremos ‘WriteFile’, y en el ultimo indicaremos ‘ Include’. 6na vez hecho esto haremos clic en ‘ Add ’ para agregar este iltro, y acontinuaci-n realizaremos los mismos pasos para agregar el iltro de ‘TCP Send ’ en vez de ‘WriteFile’. De esta orma estaremos monitorizandotodas las escrituras en disco y env/o de datos a través de cone#iones &4P de cual+uier proceso del sistema.
1os deber/a +uedar un iltro como el siguiente'
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 2/8
%ntes de hacer clic en ‘78’, deber/amos cerrar todas las aplicaciones posibles +ue estemos usando, ya +ue si realizan escrituras en disco ocone#iones &4P, sus eventos se verán rele0ados y podr/an intererir en nuestro análisis, siendo más comple0o para nosotros la localizaci-n del‘keylogger ’.
6na vez esté todo cerrado e#cepto el Process!onitor "Proc!on$ , podremos hacer clic en ‘78’.
%hora, si hacemos clic en la lupa +ue se ve en la captura de pantalla, empezará a capturar eventos. Si sobre la lupa aparece una ‘9’ ro0a es +ue lacaptura de eventos está parada, y puede ser iniciada haciendo clic sobre ella.
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 3/8
%hora, deber/amos orzar al keylogger a +ue guarde el buer de lo +ue estamos escribiendo en un ichero, o lo env/e por &4P a alg2n e+uipo. Paraello, abriremos la aplicaci-n 1otepad, y escribiremos en ella. 6tilizaremos también combinaciones de teclas como ‘copiar y pegar’ , ya +ue lamayor/a de los keyloggers capturan esta combinaci-n y guardan su contenido inmediatamente.
Se puede ver, +ue la aplicaci-n ‘S:4;7S&.9’ está realizando escri turas en la ruta ‘4'<indo)s<System=><D?@<31*7.D?@’ a la par +ue mededicaba a escribir en el notepad.
@a aplicaci-n ‘S:4;7S&.9’ es la encargada de lanzar los servicios instalados en nuestro servicio, por lo +ue lo más probable es +ue el‘keylogger ’ se haya instalado como tal.
Para asegurarnos de +ue se trata de la aplicaci-n +ue estamos buscando, analizaremos el contenido del archivo sobre el cual se está escr ibiendo'
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 4/8
videntemente, tal y como se sospechaba, el ichero 31*7.D?@ contiene el contenido capturado de las pulsaciones de mi teclado.
%hora e0ecutaremos la otra herramienta de Sysinternals' Process#plorer "Proc#p.e#e$. s importante e0ecutar esta aplicaci-n con permisos deadministrador.
7rdenaremos la lista de aplicaciones por nombre de proceso, y buscaremos el nombre del servicio para poder pararlo y eliminarlo.
%l analizar los procesos con Process #plorer, observamos varias cosas'
5 l ‘keylogger ’ se hace pasar por un servicio +ue e0ecutado a través de S:4;7S&.e#e original "c'<)indo)s<system=><svchost.e#e$, sin embargo ese0ecutado desde otra ruta "c'<)indo)s<system=><D?@<S:4;7S&.9$.
5 l proceso S:4;7S&.9 +ue corre el ‘keylogger ’ no está irmado por !icrosot, el cual si deber/a estarlo si uera un servicio.
5
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 5/8
6na vez matamos el proceso, vemos +ue vuelve a e0ecutarse. sto signiica +ue hay otro proceso en memoria +ue se encarga de la e0ecuci-n dec'<indo)s<D?@<S:4;7S&.9 cada vez +ue este no está en e0ecuci-n.
Para localizar +ue proceso se está encargando de la e0ecuci-n del ‘keylogger ’ volvemos a utilizar Process !onitor "Proc!on.e#e$, borraremos losiltros introducidos anteriormente y pondremos un iltro en la detecci-n del evento de operaci-n ‘Process Create’, +uedando como la siguientecaptura'
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 6/8
%hora +ue estamos auditando los eventos de e0ecuci-n de procesos, volveremos a utilizar Process #plorer para matar al proceso‘S:4;7S&.9’, y podremos ver +ue el proceso +ue lo vuelve a e0ecutar es ‘C:\WI!OWS\S"ST#$%&\!'L\S#()IC#S*#+#, .
&ras matar el proceso SA:34S.9, se detect- +ue S:;7S&.9 volv/a a llamarlo para asegurarse su e0ecuci-n.
%nte estos casos donde e#isten dos procesos +ue se e0ecutan el uno al otro, es necesario matar al proceso padre y todo el árbol de subprocesos.sto es posible en Process #plorer haciendo clic sobre ‘8ill Process &ree’.
%hora +ue no tenemos el 8eylogger e0ecutado en memoria, deber/amos asegurarnos de su deshabilitaci-n eliminando las entradas del registro, olos mecanismos +ue utilize para su e0ecuci-n en el pro#imo arran+ue del sistema. Para ello utilizaremos %utoruns "autoruns.e#e$ de Sysinternals.
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 7/8
Buscando la cadena ‘\dgl\’ "n *ile C *ind$ localizaremos las entradas +ue contengan el directorio <D?@< en su ruta de e0ecuci-n, detectando unaentrada en ‘-.C/\So0t1are\$icroso0t\Windo1s\Current)ersion\(un’ con el nombre de ‘Syste2.bs’.
Basta con eliminar dicha entrada del registro para asegurarse de +ue esa aplicaci-n no se volverá a e0ecutar en el arran+ue del sistema. %horasolo +ueda eliminar los icheros de 4'<indo)s<System=><D?@< y el ‘keylogger ’ estará completamente borrado.
E;asta otraF
nviado eb G> >GHG, G>'>= por !anuel *ernandez
%rchivado en' &rucos,Seguridad, %ntivirus
Comentarios
jProgr escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG HI'JH
3normaci-n siempre util '$
william escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG >>'H>
3normaci-n muy 2til y bien e#plicada. ?racias.
Tony escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG >='>=
!agniico post, de como deben usarse estas magniicas herramientas, +ue la mayoria de las veces no sa+bemos usar correctamente.
7/23/2019 Detectando y Eliminando Keyloggers
http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 8/8
?racias, y seguir asi
uberVU - social comments escrito Social comments and analytics for this osten G>CG=C>GHG K'=G
&his post )as mentioned on &)itter by 3normaticaLM' indo)s&ecnico' Detectando y eliminando 8eyloggers. http'((tinyurl.com(yI0JlIh
Thor escrito re: Detectando y eliminando Keyloggersen G>CGLC>GHG M'MJ
!uy buen uso de las herramientas de sysinternals.
?raciasF
cmansilla escrito re: Detectando y eliminando Keyloggersen G>CHGC>GHG H'G>
!uy buenoFF el proceso tambien es valido para eliminar antivirus.
?racias por compartirlo.
!n"nym"us escrito re: Detectando y eliminando Keyloggersen G=CHLC>GHG HM'G>
stá bien aun+ue, actualmente si son Aootkits o tras inyecciones harán callar a los ire)alls ni por muchos controles antiCleaks +ue este tenga, hiceun manual similar aun+ue en mi caso era un bot el +ue atacaba por Ssh por diccionario.
?racias por la ino estas herramientas dan mucho 0uegoF N
top related