Menú principal

lunes, 17 de enero de 2011

HellRaiser: Cómo se troyaniza un Mac OS X (I de IV)

========================================================================
- HellRaiser: Cómo se troyaniza un Mac OS X (I de IV)
- HellRaiser: Cómo se troyaniza un Mac OS X (II de IV)
- HellRaiser: Cómo se troyaniza un Mac OS X (III de IV)
- HellRaiser: Cómo se troyaniza un Mac OS X (IV de IV)
========================================================================

HellRaiser es una RAT [Remote Administration Tool], es decir, una Herramienta de Administración Remota para sistemas Mac OS X. Esta herramienta es uno de tantos programas maliciosos que pueden responder a los escépticos sobre la existencia de malware en este sistema operativo o no. Este troyano, porque esto es lo que es, ha pasado y evolucionado por una gran cantidad de versiones desde que comenzara su desarrollo en el  año 2002.

Introducción a Hellraiser

HellRaiser es un troyano NO reverso para sistemas operativos Mac OS X, es decir, es el atacante el que realiza la petición de conexión a la máquina de la víctima, que es la que abre un puerto para escuchar los comandos. Esta forma de gestionar la conexión entre el cliente - máquina que del atacante - y el servidor - el troyano instalado en la máquina de la víctima - ya no es muy común, ya que los firewalls personales bloquean la apertura de puertos, además de que si la víctima está detrás de un router es difícil conectarse a ella.

Dicho troyano se puede descargar desde la siguiente url: Descargar Hellraiser 4.2

Una vez descargado el contenedor dmg y descomprimido el contenido del fichero, podremos visualizar una serie de ficheros donde inicialmente se pueden destacar dos:

• HellRaiser Configurator: Es la aplicación encargada de configurar el binario que infectará a nuestras víctimas, es decir, el programa troyano que se convertirá en el servidor en la comunicación.

• HellRaiser Client: Es la aplicación encargada de administrar las víctimas infectadas, con la que el atacante se conecta a los equipos troyanizados.

Figura 1: Archivos de Hellraiser 4.2

Una vez obtenidos los ficheros de Hellraiser, el primer paso es configurar un servidor para troyanizar un sistema Mac OS X, para ello se utiliza el siguiente procedimiento.

Creando un servidor con HellRaiser Configurator

Con esta herramienta de configuración se va a generar un fichero servidor que deberá ser instalado en la máquina de la víctima. Como se puede ver en todas las imágenes, las opciones están distribuidas en 5 grupos. Una vez terminadas de configurar todas, basta con pulsar sobre el botón inferior de Configure Server, para tener listo el servidor. Vamos a a ver todas y cada una de las opciones.

Opciones de Server: En este grupo de opciones se puede configurar el nombre que tendrá el fichero de infección, que normalmente se buscará alguno que llame poco la atención. Como dice en este panel, no es aconsejable cambiar el nombre del fichero que se ha dado una vez generado el sistema, ya que puede dar problemas.

En este mismo grupo de opciones se configura el puerto por el que el servidor se quedará a la escucha. Este puerto debe ser escogido teniendo en cuenta los posibles problemas de conectividad de red que puedan existir. Además, se establece una contraseña para que solo el atacante que la conozca pueda conectarse a la víctima.

Por útltimo, hay un checkbox con el que, si está marcado, se configurará que el icono del servidor quede oculto y no aparezca en el dock de aplicaciones de Mac OS X.

Figura 2: Opciones de Server en Hellraiser Configurator

Opciones de SMTP phone home: Literalmente esta opción es para que el troyano avise al atacante "llame a casa" a través de un correo electrónico. Con esta opción se podrá saber que hay una nueva máquina infectada y que está disponible ya que el troyano enviará un mensaje de correo electrónico. Para ello hay que configurar dos partes:

1.- A qué dirección hay que enviar el mensaje de correo electrónico, es decir, la cuenta del atacante. Basta con poner una dirección, tal y como se ve en el figura 3: "destino@servidor.com"

2.- Qué servidor de correo saliente se va a utilizar y cuales son las opciones de ese servidor de correo electrónico. Como se puede ver permite utilizar SSL, servidores seguros SMTP que requieren autenticación (usuario y contraseña) y, para hacerle la vida más fácil al atacante, viene con un botón que autoconfigura la herramienta para utilizar los servidores de Gmail.

Figura 3: Configuración de opción de "llamada a casa por SMTP"

Opciones de FTP phone home: Es exactamente el mismo concepto que en el caso anterior. En esta ocasión, el aviso de que hay una nueva máquina infectada no se realizará vía e-mail, sino vía un fichero de texto con la información de la víctima, que se dejará en un servidor FTP configurado. Para ello hay que configurar la dirección IP del servidor FTP, el usuario, la contraseña, y el fichero donde anotar la información de la víctima.

Figura 4: Configuración de opción de "llamada a casa por FTP"

=======================================================================
========================================================================

2 comentarios:

  1. Alguien puede descargarlo? Me da error al montar la imagen

    ResponderEliminar
  2. yo lo descargué de mediafire... y sin problemas. Muy curioso este bicho, ahora que dirá Apple sobre malware?

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares