Categoría
Backdoor: es uno de los tipos más peligrosos de troyano y el más extendido. Estos troyanos funcionan como una utilidad de administración remota que abre la máquina infectada a un control externo a través de una LAN o de Internet. Funcionan de la misma manera que los programas de administración remota utilizada por los administradores del sistema, cosa que los hará difíciles de detectar.
Descripción
Este troyano se presenta como un servidor de Telnet, además permite informar a su creador sobre la presencia de redes, vía e-mail o ICQ. También tiene la posibilidad de realizar ajustes en su configuración.
Tras ejecutar el programa, el virus se copiará en el directorio de Windows y se registra a si mismo en el registro del sistema para iniciarse cada vez que el sistema infectado se reinicie. Cuando se haya hecho esto, se enviará un aviso por e-mail o por ICQ (dependiendo de la configuración), para luego comenzar a escuchar un puerto TCP/IP específico de forma clandestina.
Una vez que el atacante ha recibido información sobre las redes que ha transitado el virus, podrá controlar Backdoor.CyberSpy con la ayuda de cualquier cliente de Telnet y así conseguirá acceso a la línea de comandos del equipo de la víctima.
Referencia: http://www.viruslist.com/
jueves, 28 de enero de 2010
miércoles, 27 de enero de 2010
Vulnerabilidad 3: Apple Mac OS X Telnet Stack Overflow Vulnerability
Se ha detectado una vulnerabilidad (mayo 2009) en Apple Mac OS X que podría provocar el desbordamiento de la pila. Un atacante podría aprovecharse de esta vulnerabilidad engañando a una víctima para que se conecte a un servidor malicioso vía Telnet. Si el ataque tuvo éxito permitirá que el código suministrado por el atacante se ejecute en el contexto de la víctima.
Referencia: http://www.securityfocus.com/bid/34948/info
Referencia: http://www.securityfocus.com/bid/34948/info
Vulnerabilidad 2: Microsoft Windows Telnet NTLM Credential Reflection Authentication Bypass Vulnerability
Se ha detectado una vulnerabilidad en agosto del año pasado en los Microsoft Windows (XP,Vista,...) que permite saltarse la autenticación usando el protocolo Telnet. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado con los privilegios de la víctima. Los ataques que resulten satisfactorios podrían comprometer la información almacenada en el pc víctima de dicho ataque.
En la página de Microsoft podemos encontrár una actualización de seguridad para solucionar dicha vulnerabilidad:
- Windows XP Service Pack 2, Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?familyid=b3331388-1e52-4924-b512-23275a8fde84&displaylang=en
Rerferencias:
http://www.microsoft.com/technet/security/Bulletin/MS09-042.mspx
http://www.securityfocus.com/bid/35993/info
En la página de Microsoft podemos encontrár una actualización de seguridad para solucionar dicha vulnerabilidad:
- Windows XP Service Pack 2, Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?familyid=b3331388-1e52-4924-b512-23275a8fde84&displaylang=en
Rerferencias:
http://www.microsoft.com/technet/security/Bulletin/MS09-042.mspx
http://www.securityfocus.com/bid/35993/info
Correo electrónico con Telnet
Una manera muy sencilla de enviar correos electrónicos, sin necesidad de utilizar un cliente de correo, es conectarse a un servidor de SMTP a través de Internet, simplemente haciendo un TELNET al puerto 25. Una vez conectados al servidor se seguirían los distintos pasos del protocolo SMTP para enviar un correo electrónico.
En los siguientes videos se puede ver el proceso seguido:
En los siguientes videos se puede ver el proceso seguido:
domingo, 24 de enero de 2010
Vulnerabilidad 1
Se ha descubierto un error en la instalación por defecto de Sun Solaris que permite a un atacante externo que tenga acceso al servidor de telnet acceder con privilegios de root de forma trivial. El exploit es público y basta con acceder al sistema mediante el comando:
telnet -l "-froot" [nombre_de_host]
También permite sustituir a cualquier otro usuario mediante:
telnet -l "-fusuario" [hostname]
Se ha comprobado que afecta a Sun Solaris 10, pero otras versiones también podrían verse afectadas.
No existe parche oficial. Se recomienda deshabilitar inmediatamente el acceso por telnet, parando el servicio o limitando el acceso al puerto 23.
telnet -l "-froot" [nombre_de_host]
También permite sustituir a cualquier otro usuario mediante:
telnet -l "-fusuario" [hostname]
Se ha comprobado que afecta a Sun Solaris 10, pero otras versiones también podrían verse afectadas.
No existe parche oficial. Se recomienda deshabilitar inmediatamente el acceso por telnet, parando el servicio o limitando el acceso al puerto 23.
domingo, 10 de enero de 2010
Ejecución de Telnet y comandos
Telnet se proporciona con varias plataformas, incluidas UNIX, Windows 95, Windows NT, y Linux. Existen numerosos programas para ejecutar un cliente Telnet, en http://www.telnet.org/htm/applications.htm se puede ver una lista con algunos de estos programas para diferentes sistemas operativos. El comando para iniciar una sesión Telnet generalmente es:
telnet nombre_del_servidor
nombre_del_servidor representa el nombre o la dirección IP del equipo remoto al que se quiere conectar el usuario, por ejemplo:
telnet 125.64.124.77
También se puede especificar el puerto que se desea usar introduciendo el número de puerto después de la dirección IP o del nombre del servidor:
telnet 125.64.124.77 80
Una vez conectado al equipo remoto se solicitará la introducción de un nombre de usuario y una contraseña con el fin de permitir el acceso únicamente a los individuos autorizados. El administrador de red define los comandos que se pueden ejecutar en una sesión Telnet. Generalmente son comandos UNIX, ya que la mayoría de los servidores Telnet pueden ejecutar UNIX. Los comandos estándar son:
telnet nombre_del_servidor
nombre_del_servidor representa el nombre o la dirección IP del equipo remoto al que se quiere conectar el usuario, por ejemplo:
telnet 125.64.124.77
También se puede especificar el puerto que se desea usar introduciendo el número de puerto después de la dirección IP o del nombre del servidor:
telnet 125.64.124.77 80
Una vez conectado al equipo remoto se solicitará la introducción de un nombre de usuario y una contraseña con el fin de permitir el acceso únicamente a los individuos autorizados. El administrador de red define los comandos que se pueden ejecutar en una sesión Telnet. Generalmente son comandos UNIX, ya que la mayoría de los servidores Telnet pueden ejecutar UNIX. Los comandos estándar son:
jueves, 7 de enero de 2010
Introducción
El protocolo Telnet (Telecommunication Network) se trata de un protocolo del nivel de aplicación que nos va a permitir acceder, mediante una red, a una máquina y así poder manejarla de forma remota.
Constará de dos partes diferenciadas:
Constará de dos partes diferenciadas:
- Cliente: se conectará a la máquina remota para poder utilizar sus recursos
- Servidor: se instalará en la máquina que prestará sus recursos a las demás y a su vez se encargará de facilitar el acceso a los mismos.
Suscribirse a:
Entradas (Atom)