Continuamos con la serie de análisis del comportamiento de Windows Vista con diferentes tipos de Malware, y en esta circunstancia analizaremos las acciones con un troyano de tipo reverso. Este tipo de troyanos al contrario que los convencionales no abren un puerto en nuestros sistemas, sino que lo que intentan es establecer una conexión contra la máquina del atacante, manteniendo esta conexión, el atacante puede pasar las órdenes al proceso que estará en la máquina víctima. Este tipo de aplicaciones plantea muchas problemáticas para el afectado, puesto que el Router de tipo ADSL (o arquitectura similar), Proxy o Firewall de entrada no proporciona la capacidad por ellos mismos de constituir un tipo de barrera contra la acción perniciosa de este tipo de herramientas.
Para el análisis de este escenario contaremos con la ayuda de Turkojan Version 4 como troyano reverso y Windows Vista como víctima.
El primer objetivo será evaluar el comportamiento que proporcionará la ejecución de la aplicación generada (cliente aunque lo definan servidor en todas las aplicaciones troyanos reversos), con el sistema de UAC activo. Ejecutamos la aplicación víctima y esta se ejecuta sin problemas, aunque notamos que no lanza el típico mensaje en pantalla indicando que la aplicación requiere la elevación de privilegios. Aún así comprobamos que la aplicación ha iniciado correctamente la conexión con el atacante, con lo cual ha realizado una de las características nativas de este tipo de Malware para la conexión reversa. Notamos además que el proceso encargado de iniciar la conexión con el atacante está iniciado con nuestra cuenta y a través del administrador de tareas nos muestra la ruta de ejecución del proceso.
Fig.- Proceso y aplicación víctima sin icono de UAC.
Puesto que determinadas acciones requiere privilegios administrativos y supuestamente Windows Vista no ha solicitado la elevación de privilegios, es posible que muchas de las funciones del troyano reverso puedan no ser funcionales. La mayor parte de las funcionalidades requieren interaccionar con el sistema, modificar su comportamiento o acceder a determinados drivers para los cuales se requieren esos privilegios efectivos. Para ello vamos a probar alguna de las características fundamentales como la ejecución de la Shell Remota. Con la ejecución de la Shell, intentaremos la ejecución de alguna acción que requiere ser administrador para su ejecución, para ello intentaremos crer un usuario local que requiere obviamente unos privilegios administrativos, que en principio si tiene la cuenta pero que no debiera haber proporcionado el control del UAC.
Cuando intentamos ejecutar el comando advertimos que no tenemos el derecho necesario para la acción implementada.
Fig.- Shell Turkojan
Bueno pues parece que el UAC está haciendo su papel, bien advertirnos o no permitir la ejecución de cualquier aplicación con privilegios independientemente de las cuenta con la que estemos trabajando. Eso sí cuidado con utilizar la cuenta predeterminada del Administrador que por defecto no implementa UAC.
Para el siguiente post evaluaremos que hubiera pasado si hubiéramos forzado la ejecución de la aplicación con privilegios administrativos.