Hola, después de 5 semanas sin postear, vuelvo a estar on-line de nuevo, y para ver que me acuerdo de vosotros he preparado un pequeño y simple manual dedicado a los mas nuevos. Con los típicos problemas que tienen todos al principio. En este documento se tratan asuntos como:
Configurar un router para abrir los puertos (mapear), abrir una cuenta no-ip, usar el Ip-Duc, permisos / denegación del firewall (conexiones entrantes o salientes), configurar un server con una dirección no-ip, como saber básicamente (hay servers que se ejecutan ocultos y no canta el firewall) si un cliente de un troyano esta “backdoorizado”, y algunas cositas mas... que siempre vienen bien a los mas nuevos.
QUE ES UN ROUTERUn router (enrutador o encaminador) es un dispositivo hardware o software de interconexión de redes de ordenadores / computadoras que opera en la capa 3 (nivel de red) del modelo OSI. Este dispositivo interconecta segmentos de red o redes enteras. Hacen pasar paquetes de datos entre redes tomando como base la información de la capa de red. (es.wikipedia.org/wiki/Router)
COMO CONFIGURAR MI ROUTERA continuación veremos como configurar nuestro router (Zyxel 6XX) supongo que para los demás será parecido, yo os explicare como hacerlo en los de esta familia, que suministra en España Timofonica.
Si queremos acceder a nuestro router vía navegador, primero deberemos saber cual es la puerta de enlace predeterminada. ¿Cómo hacemos esto y obtenemos este dato?
Bien sencillo, nos vamos a
INICIO-EJECUTAR y escribimos
cmd, y pulsamos
ENTER. Esto será así para los usuarios de W. XP y 2000, los que usen W.9X accederán mediante la consola de MS-DOS.
Como vemos en la fotografía es sencillo, bueno ahora tenemos la consola de MS-DOS disponible, salimos hasta
C:\> escribiendo cd.. (Enter), así sucesivamente hasta llegar a C:\>. Una vez estamos ahí, escribimos lo siguiente:
Ipconfig /all (enter)Automáticamente, nos aparecerá toda la información de nuestro router, entre ellos veremos el nombre de nuestro Host, el nombre de nuestra Tarjeta Ethernet, Dirección IP local, y Puerta de enlace predeterminada, entre otras cosas mas....
Bien ahora ya tenemos dos de los datos que más nos importan para configurar el router, que son la IP local, osea la del router y la Puerta de enlace.
Cerramos la consola de MS-Dos escribiendo
exit y (Enter).
Ya estamos fuera, ahora tenemos la ip de acceso mediante el navegador, así que escribimos la ip en la barra del navegador, en mi caso seria
192.168.1.1 y (Enter). Entonces nos mostrara una pantalla donde nos solicitara nuestro
usser y password. El usser es
admin.. Y el password si no lo hemos cambiado será el que trae por defecto, osea
1234.
Una vez introducidos los datos aceptamos, y veremos una pantalla como esta,
ahora pincharemos sobre la opción que pone
NAT, y nos mostrará otra ventana así,
Ahora con la opción de
SUA Only activada, pinchamos en
Edit Details, pero el que esta a su derecha y veremos algo así,
Bueno, arriba del todo dentro de un rectángulo rojo podemos observar las especificaciones de los puertos que deseamos abrir o cerrar, así como la IP para la que queremos habilitarlos.
Por ejemplo, queremos abrir un solo puerto, y que este sea el numero
2087, bien, en la primera celda que tiene aerógrafo rojo, pondremos el puerto que deseamos abrir, hemos dicho que el
2087, y si solo queremos abrir ese a la derecha donde esta el otro aerógrafo rojo, ponemos el mismo puerto. Así especificamos que puerto abrimos. Y para finalizar mas a la derecha pondremos la IP local, que ya comentamos anteriormente donde nos la mostraba.
Si por ejemplo, queremos abrir un rango de puertos, entre el
2000 y el
2030, pues haremos lo mismo que antes, pero en la primera celda pondremos
2000 y en la siguiente de la derecha el
2030 y la IP para la que deseemos abrir los puertos.
También tenemos la posibilidad de abrir todos los puertos, poniendo arriba, en la ultima celda rectangular azul nuestra IP local, pero entonces el router pierde toda su eficacia y pasa a funcionar como un
MODEM, con el consiguiente riesgo para nuestro equipo.
Bueno esto parece estar claro, una vez tenemos claro los puertos que deseamos abrir, pulsamos en
Save y volveremos a la pantalla anterior, y pulsamos sobre
Apply, una vez pulsado, en el menú de la izquierda pulsamos sobre
Logout así saldremos del configurador.
Bueno, ya tenemos abiertos los puertos, ahora ¿qué deseamos hacer?
Como este manual esta preparado para el uso de troyanos, veremos las explicaciones de estos aplicadas a el temario....
Bueno ahora, vamos a usar un troyano con conexión inversa, así pues necesitaremos un servicio
no-ip para poder configurar el server, a no ser que tengamos IP estática....
Vamos allá.
ABRIR UNA CUENTA NO-IPPrimero que nada, escribimos esta dirección en el navegador,
http://www.no-ip.com/ y llegaremos a la pagina de entrada y configuración.
Si no estamos registrados, nos debemos registrar, para poder logearnos con nuestra cuenta de correo que usemos y el password que queramos.
Una vez registrados, nos vamos a la pantalla donde nos solicita nuestro correo y el pass,
Hacemos login, y entraremos dentro, para poder configurar nuestra cuenta. Una vez logeados, buscamos la opción que pone
Add 
Importante, la IP que aparece arriba donde pone
Current IP: XX.XX.XX.XXX debe ser la misma que la IP publica que teneis, osea no debe ser ni del estilo
192.168.X.X ni tampoco la
IP del proxi que asigna Timofonica, para comprobarlo podeis ir a esta pagina y ver que realmente es la misma IP publica,
http://www.andy21.com/ip/ 
Debéis comprobar que la IP que aparece como pública es la misma que os debe aparecer al logearos en la web de no-ip. Bueno seguimos con la construcción de nuestro host no-ip.
Una vez hemos pulsado en
Add, estaremos en disposición de configurar los datos necesarios.
Bueno como vemos he configurado un
Hostname llamado
kakadebaka.no-ip.infoLa extensión final de *.no-ip.info, puede variar, pulsando en la flechita que hay donde nos muestra la extensión final del archivo, si queréis no lo toquéis, lo dejamos como *.info.
Ahora el tipo de
Host lo dejamos como esta por defecto,
DNS Host (A). Seguramente la IP que nos muestra el dominio será la del proxi de timofonica, debemos cambiarla por la nuestra publica que vemos en la parte de arriba al logearnos.
Bueno pues el resto no hace falta tocarlo, así nos debe funcionar, por lo menos a mí me va.... ahorra pulsamos en la parte inferior donde pone
Create Host. Nos aparecerá un mensaje que más o menos nos dirá que el Host se ha creado satisfactoriamente, y que será operativo en unos 5 minutos.
CONFIGURAR IP-DUC Y SU USOAhora necesitamos el programita que nos permita estar en contacto con la web no-ip, y que nos permite tener una “IP estática” mediante un dominio.
El programa lo podéis descargar de aquí,
http://www.no-ip.com/client/ducsetup.exe ahora cerramos la pagina sin hacer
logout.
Ahora ejecutamos el instalador que nos acabamos de bajar, y configuramos donde lo vamos a instalar, etc....
Bien, ahora vamos a navegar un poco por las distintas opciones que tiene el programa, así que una vez instalado lo ejecutamos y veremos lo siguiente,
Bueno lo primero que veremos será esta pantalla, donde si tenéis una sola cuenta no.ip os aparecerá la que habéis creado, y si tenéis mas, pues como a mí. Vamos a ceñirnos con la que hemos creado; la llamada
kakadebaka.no-ip.info También tenemos que comprobar que donde pone
Updating to IP: NAT/Router/Proxy: XX.XX.XX.XX aparezca nuestra IP publica, no la del proxi.
Bueno, pasados unos minutos, tal y como leímos en la web de no-ip al configurar el dominio, debemos esperar un rato para que los datos actualicen y lo tengamos todo correcto y listo para usar.... entonces para actualizar el dominio, pinchamos en el cuadro que aparece a la izquierda de la cara con gafas de sol, y debe cambiar a color amarillo y estar sonriendo, además debajo, donde están los datos, nos aparecerá la información nuestra, veámoslo.
Como podemos comprobar, la cara ahora esta sonriente y el host actualizado, pero nos aseguraremos viendo que la IP que aparece en el programita es la valida, osea la pública.
Recalco tantas veces lo de la ip pública porque a mucha gente no le funciona por culpa de que le muestra la IP del proxi, por lo tanto nunca le funcionara....
Bueno, ya tenemos la cuenta no-ip y el programita, ahora ya podemos usarlo, pero si queremos ver algo mas pinchamos en la opción de
Options y veremos un poco alguna opción, aunque sin tocar nada mas funciona de igual manera.
OPCIONES:
Run on startup: Es para que se ejecute al iniciar...
Use alternate port: En caso de problemas de conexión por el puerto, seleccionándolo habilita la conexión por otro puerto. Si lo usáis, debéis abrir el puerto que indica el programa. Tal y como lo vimos anteriormente, en la configuración del router y puertos....
Run a system service: Que si queremos que se ejecute al inicio, que la activemos, pero no debemos tener activada la de
Run on startup y solo funciona en Windows NT/2000/XP.....
Require password to restore window from system tray: Pues eso, que le puedes poner un password para que cuando quieras modificar algo te pida que te identifiques….
En esta pantalla, simplemente modificar si lo deseáis el desplazador inferior, que sirve para decirle al programa cada cuanto tiempo debe hacer un
“update” para comprobar que nuestra Ip no cambia y seguimos conectados. Tal cual aparece en pantalla, lo hará cada 30 minutos.
El resto de opciones, no las veremos, ya que son superfluas para lo que nosotros usamos el programa.
Bueno ya tenemos el dominio no-ip, el IP-DUC actualizado con nuestra cara sonriente, así que ya estamos preparados para poder configurar nuestro server con los datos del host que hemos creado, así que vamos.
Bueno se me olvidaba que si usáis firewall, debéis darle autorización para que pueda acceder a internet el programita IP-DUC, por ejemplo en KASP Firewall seria algo así,
Al modificar la actividad por
Allow all le damos permiso siempre, pero hay que darle al OK para aceptar del todo, si elegimos la opción de
Block bloquearemos el servicio y no accederá a la red.... bueno esto es sencillo.
CONFIGURACIÓN DEL SERVER CON HOST NO-IPPara configurar el server voy a usar un troyano muy familiar para todos, el Bifrost ya que parece ser que todo el mundo lo usa.... vamos a por él.
En primer lugar, indicaros que el AV os detectara el troyano, aunque no tengáis creado el server el cliente es detectado igualmente por el AV, así que debéis desactivar al AV o de lo contrario no os dejara trabajar ni crearlo. Otra opción es que modifiques el cliente y lo hagas indetectable al AV, pero necesitarás mas nivel.
Bueno ejecutamos el Bifrost, y nos aparecerá la pantallita que aceptaremos y pasamos a la pantalla principal, ahora configuraremos nuestro server,
Pincharemos en la pestaña inferior que pone
Builder y accedemos a las opciones de configuración.
Aquí haremos poco hincapié, ya que hay muchos manuales de cómo configurar el Bifrost y mejores que este, así que comentamos un poco por encima....
DNS / IP 1: kakadebaka.no-ip.info (esta es la dirección no-ip que nos hemos creado)
Port: 2087 (en el ejemplo del principio seleccionamos este puerto para abrir, podéis usar el que os apetezca siempre que lo abras previamente en el router como ya indicamos.)
Password: 12345 (la contraseña que queramos poner, para conectar a la victima nos la pedirá).
Opciones de Startup:Registry Key: startkey (llave del registro)
El resto de opciones del registro, si queréis las dejáis así, son modos de ejecución.
Autopack Server: Si queremos que UPX nos comprima el server, deseleccionándolo, estará desempaquetado.
Luego en la parte superior derecha, vemos las opciones de instalación en el pc “victima”.
Nombre del archivo tras la instalación, y el directorio donde se instalará.....
Los plugins, el keylogger offline, y algo importante, el proceso de inyección con el cual el server abrirá el puerto y se pondrá a la escucha para conectar con nuestro cliente.
ACCESO / DENEGACION FIREWALLEste proceso hará que en el momento de que se inicie el server, a nuestra victima le aparezca un mensaje en caso de que use firewall que le diga lo siguiente:
Pero en lugar del puerto 1863, le debe aparecer el puerto 2087 que es el que hemos configurado el server. Así pues cuando nuestra victima autorice al firewall, automáticamente el cliente conectará con el server y ya tendremos el dominio sobre la otra maquina....
Si en lugar de usar conexión inversa, usáramos la conexión directa, aparecería un mensaje del firewall solicitando permiso para que el server enviara la notificación de la IP y del puerto al cliente, algo así:
Para este ejemplo he tomado la conexión directa del server del NCR. Esto significa que cuando infectamos a alguien con conexión directa y tiene firewall, le da el aviso de que el proceso
Logon32.exe esta intentando acceder a internet por el puerto 80. Por lo tanto a poco que nuestra víctima sea inteligente le denegara el acceso y no enviara la información al correo, por lo tanto no tendrás los datos de tu victima. Aunque siempre los podrás obtener si lo tienes agregado al mesenger, le pasas un archivo y mientras te vas a la consola de MS-DOS, tal y como vimos al principio y en el momento que le estés pasando el archivo o él a ti, tecleas y ejecutas el siguiente comando:
C:\> netstat –an y (Enter) a continuación te mostrara todas las conexiones que tu pc tiene establecidas. Para esto es aconsejable que tengas cerradas todas las ventanas que puedas con acceso a la red y por supuesto el emule u otro programa P2P, ya que mostraría infinidad de conexiones.... simplemente localizas la conexión establecida por el puerto del mesenger y esa será la IP de tu victima.
Bueno, ya hemos visto las diferentes posibilidades que tenemos de notificación por parte de nuestras victimas, tanto por conexión directa como inversa. Aclarado esto, podemos deducir, que si nuestras victimas no autorizan los procesos salientes para que nos llegue la notificación por conexión directa,
NO PODREMOS CONECTAR a no ser que conozcamos su IP, ya que no nos llegara la notificación. Esto no es aplicable a la conexión inversa, ya que el server es el que esta a la escucha para conectar con el cliente y si la victima no autoriza la salida, el server no conectara con el cliente.
DETECCION DE UN CLIENTE TROYANIZADO O UN EDITOR (NOCIONES MUY BASICAS)Bueno ahora vamos a ver que pasa cuando el cliente de un troyano lleva un “backdoor” y al ejecutarse envía una notificación al su autor o a la persona que lo contamino....
Voy a juntar un server de NCR junto con el cliente de este, para que en el momento que ejecutemos el cliente, el server nos infecte. Así pues veremos que el firewall nos volverá a dar el aviso tal y como ya lo hizo anteriormente.
Como vemos al ejecutar el cliente nos aparece la ventana del firewall y seguido nos aparecerá el cliente que hemos ejecutado para conectar con nuestra victima,
Bueno pues con esto ya tenemos claro cuando el cliente de una aplicación esta “backdoorizado”, esto es aplicable a los editores y otros ejecutables que no sean el servidor.
¿Podemos saber quien ha sido el gracioso que nos quiere controlar? Pues si, solo tenemos que hacer lo siguiente:
Abrimos la consola de MS-DOS, y tecleamos el mismo comando que pusimos antes para ver la IP de nuestra victima a través del msn, osea
C:\>netstat –an y si cogemos como ejemplo el server del NCR que hemos configurado anteriormente, y cerramos todas las ventanas activas de internet y cualquier programa que este conectado a la red, el comando
netstat nos debe mostrar nuestra IP local, la IP de nuestro “amigo” que troyanizó el cliente / editor.... y el puerto de conexión. Así pues ya sabemos detrás de que IP se esconde la persona que “backdoorizó” el troyano.
Con esto, creo que queda bastante claro para los más nuevos como funciona sobre todo la conexión inversa, como abrir los puertos de nuestro router, como gestionarlo, crear una cuenta no-ip, usar el IP-DUC, configurar el server para la conexión inversa, porque no podemos conectar con las victimas si ellos han ejecutado el server, y algunas cosilla mas que siempre vienen bien para los mas nuevos....
PD. No hagas lo que no te gustaría que hicieran contigo.
Si copias este manual en otro lugar, rogaría que antes me lo hicieras saber, ya que hay lugares donde no quiero que esto se publique.
Dedicado a todos los amigos del foro.
Un saludo.
Autor
En línea
.jpg)
