O que é esteganografia? Veja abaixo a definição que encontrei na Internet para o termo:
“é uma palavra que vem do grego e significa “escrita oculta”. Trata-se do estudo de técnicas que permitam esconder informações dentro de outros arquivos, sejam imagens, músicas, vídeos ou mesmo textos.”
Veja este vídeo que fala sobre esteganografia:
Para quem quiser aprofundar e realizar alguns testes recomendo 3 programas ótimos para esteganografia. Segue abaixo o link para os 3 programas:
Segundo o site da Wikipedia Camuflagem:
“é o conjunto de técnicas e métodos que permitem a um dado organismo ou objeto permanecer indistinto do ambiente que o cerca. Têm-se como exemplos desde as cores amadeiradas do bicho-pau até as manchas verdes-marrons nos uniformes dos soldados modernos”. Veja a figura abaixo:
Trazendo os dois termos para a Segurança da Informação, diríamos que a esteganografia permite com que você possa esconder uma informação dentro de uma foto e quando você abre a foto a única coisa que irar aparecer é a imagem, para que você possa ver o que foi escondido na foto será necessário abrir o arquivo usando o programa que utilizou para esconder aquela informação. Com a camuflagem assim que você executa o arquivo de imagem, tanto a imagem como o segundo arquivo, que pode ser outra imagem ou um aplicativo, são executados.
Neste post vou mostrar como usar a camuflagem para esconder uma backdoor dentro de um arquivo de imagem, quando a pessoa abrir a imagem a backdoor será rodado em background, permitindo nosso acesso remoto.
Você deve estar se perguntando e o AV? Pois é, ele vai detectar a nossa backdoor, por isso irei mostrar também como fazer para burlar o AV.
Vamos fazer uma pequena lista do que temos que realizar no nosso LAB:
1- escolher nosso backdoor – um que seja detectado pelo AV, assim possamos mostrar como burlar o AV
2- nossa backdoor deverá escutar em alguma porta acima de 1024, porque abaixo de 1024 só o administrador pode executar
3- “limpar” o nosso backdoor para que ele não seja detectado pelo AV
4- utilizar a técnica de camuflagem para esconder a nossa backdoor em uma imagem
5- TESTAR
Agora vamos escolher nossa backdoor. Existem várias maneiras de criar uma backdoor, uma ótima escolha seria utilizando o metasploit. Se você fizer uma busca pela Internet não vai faltar opção. Neste post vou utilizar o famoso NetBus, porém recomendo também o Back Orifice.
Não vou mostrar aqui como instalar e configurar o servidor do NetBus, faça uma busca pelo Google para isso. Já estou com o servidor configurado, agora vou fazer um teste online para ver se os AV´s irão detectar o meu trojan. O site http://www.virustotal.com/ permite com que possamos carregar um arquivo para que seja analisado comparando com a base de dados dos AV´s mais famosos.
De 43 AV´s checados, 42 detectaram o NetBus. Agora vamos usar um programa muito bom chamado Petite para “limpar” o servidor do NetBus e assim burlarmos o AV.
O Petite compacta o executável, fazendo com que o mesmo mude suas características com isso podendo burlar os AV´s. Na imagem abaixo veja em “Options” e em Level, é neste campo que você escolhe o nível de compressão. Dependendo do nível pode ser que você burle o AV porém deixe o servidor do trojan bugado, por isso você tem que testar.
Fiz alguns testes usando o Level 1 e 2, porém nos dois casos o executável não pode ser executado, já com o nível 0 não houve problemas, agora vou carregar o arquivo para ser checado junto com o site www.virustotal.com, se o mesmo tiver um bom resultado, que seria em não ser detectado pela maioria ou pelos principais AV´s, então podemos passar para a próxima fase do nosso LAB. Carreguei o arquivo e o resultado foi aceitável, 29 de 43. Agora vamos juntar nosso trojan com alguma imagem.
Primeiro carregue o arquivo da imagem e depois o trojan. Agora clique com o botão direito do mouse em cima dos arquivos (um de cada vez) e faça como mostra a figura abaixo:
Depois de fazer o mesmo procedimento para os dois arquivos clique em “Opciones Generales” e faça como esta mostrando a figura abaixo:
Habilite a opção “Habilitar Firewall Killer XP” e “Con Icono”, depois clique em “Cerrar Opciones Avanzadas”. Depois disso, abrir a imagem e em background nosso trojan foi executado permitido assim o acesso remoto.
Com isso temos nosso trojan camuflado em uma imagem e que pode facilmente burlar um antivírus e ser despercebido pelo usuário, nos dando acesso remoto à máquina infectada.
links interessantes sobre o assunto: Escondendo Backdoors e Rootkits no Windows, Windows 7 AV bypass e Make All Files Undetected.
by Osvaldo H Peixoto
links interessantes sobre o assunto: Escondendo Backdoors e Rootkits no Windows, Windows 7 AV bypass e Make All Files Undetected.
by Osvaldo H Peixoto
Nenhum comentário:
Postar um comentário