Cómo un troyano permite que un atacante se conecte a una computadora remota detrás de un enrutador

Navega tus respuestas
1

Según este artículo en Wikipedia , un troyano puede permitir una conexión remota abriendo un puerto aleatorio si es capaz de pasar por alto el firewall. No soy un experto en enrutadores y traducción de direcciones de red, pero si un troyano abre una conexión a través del firewall, ¿cómo permite al propietario del troyano que está en otra red conectarse? la computadora víctima, ya que la IP de la computadora víctima es privada y no se puede conectar.

Escenario de ejemplo Un troyano abre un puerto aleatorio 1234 en la computadora víctima cuando se ejecuta y asume que pasa por alto el firewall. ¿Cómo puede el atacante conectarse a la computadora víctima de forma remota?

La computadora víctima tiene una IP privada 192.168.1.147 y una IP pública 10.1.1.44 y el atacante tiene una IP privada 192.168.0.119 y una IP pública 10.2.1.54, ¿cómo se comunican las dos computadoras entre sí?

Suponiendo que la computadora víctima tiene un receptor en el puerto 1234 y el atacante tiene un conector que se conecta al puerto 1234 y toma la IP de la víctima. ¿Qué IP usaría el atacante? ¿Sería la IP pública o la IP privada?

    
pregunta David 11.09.2014 - 11:08
fuente

3 respuestas

8

El atacante no se conecta a la computadora víctima, la computadora víctima se conecta al atacante. Los datos en una conexión pueden fluir en ambas direcciones, no importa quién inicie la conexión en primer lugar. Una vez que se establece una conexión, el atacante puede ejecutar comandos en la computadora víctima. Los atacantes usan protocolos web conocidos que normalmente están permitidos.

Así es como funciona:

  • El atacante compromete a un servidor de servidores para configurar un sistema de comando y control (C & C)
  • El troyano está personalizado para conectarse a los sistemas C & C
  • El troyano se distribuye (mediante correos electrónicos no deseados, unidades de descarga, etc.) y sistemas infectados infectados
  • Los sistemas infectados inician conexiones a los sistemas C & C
  • El atacante envía comandos, actualizaciones, etc. a las víctimas a través de la conexión víctima
  • Las computadoras víctimas luego activan los comandos de malware (enviar spam, buscar información de identidad o de tarjeta de crédito, buscar secretos de la compañía, etc.)
  • Las computadoras víctimas envían informes y datos al atacante
respondido por el GdD 11.09.2014 - 11:15
fuente
0

Un troyano que abre un puerto de servidor es uno, pero no es la única forma de permitir el acceso de un atacante remoto.

Otro método es hacer que el troyano inicie la conexión. Cuando esté activo, el troyano abrirá una conexión a un servidor de comando y control bajo el control del atacante, enviará información para identificarse a sí mismo y la máquina en la que se está ejecutando y solicitará comandos para ejecutar. Por lo general, un enrutador no bloqueará una conexión saliente, por lo que no evitará esto.

    
respondido por el Philipp 11.09.2014 - 11:22
fuente
0
  

La computadora víctima tiene una IP privada 192.168.1.147 y una pública 10.1.1.44   y el atacante tiene IP privada 192.168.0.119 y IP pública 10.2.1.54, cómo   ¿Las dos computadoras se comunican entre sí?

     

Suponiendo que la computadora víctima tiene un oyente en el puerto 1234 y el atacante   Tiene conector que se conecta al puerto 1234 y toma IP de la víctima. que   IP usaría el atacante ? ¿Sería la IP pública o la privada?   IP?

Esto se logra a través de la traducción de direcciones de red, también conocida como NAT.

Su enrutador realiza un seguimiento de qué IP se están comunicando en qué puertos y se traduce en consecuencia.

El atacante se conectará a su IP pública, la cual, a su vez, su enrutador "asignará" o NAT a su IP interna en el puerto correcto.

Lo siguiente ayudará a explicar NAT con más detalle: enlace

    
respondido por el k1DBLITZ 11.09.2014 - 17:12
fuente

Lea otras preguntas en las etiquetas

Encriptando un archivo codificado Huffman ¿Se puede suplantar a cualquier sitio web protegido con TLS mediante un certificado deshonesto emitido por una CA deshonesta?