Herramientas de administración remota y cortafuegos

Navega tus respuestas
0

Hace unos días me enfrenté a una pregunta sobre cómo un servidor RAT puede llegar a través del firewall y conectarse al cliente. Esto era algo en lo que nunca antes había pensado, así que me sorprendió un poco la pregunta.

Entonces, la pregunta es, como se indicó anteriormente, cómo el servidor RAT puede conectarse al cliente RAT a través de un firewall. El cliente a menudo está configurado para escuchar un puerto, bastante arriba en el rango, y para que el cliente funcione correctamente, a menudo se necesita el reenvío de puertos. Esto tiene sentido; el alto número de puerto no interferirá con otras aplicaciones, por lo que su uso debería ser seguro y no están abiertos de forma predeterminada en la mayoría de los firewalls. No hay problemas aquí.

Ahora, para el servidor. Sabemos que solo infecta la computadora de la víctima y, por lo tanto, no puede realizar el reenvío de puertos. Supongo que tener el servidor de sondeo para una conexión podría ser una solución, pero sería feo, ineficiente y notable (al menos si está monitoreando su tráfico). Hacer que el cliente envíe una solicitud de conexión al servidor a través de otro puerto, que está abierto por defecto, podría ser otra solución, pero que podría interferir con otras aplicaciones, lo que sería muy malo desde el punto de vista de los atacantes.

Entonces, ¿cómo se hace? ¿Cómo llega el servidor RAT a través del firewall para conectarse al cliente y cómo recibe el servidor la solicitud de conexión del cliente sin la capacidad de reenviar los puertos utilizados?

    
pregunta Psyberion 01.08.2013 - 11:54
fuente

1 respuesta

1

Hay dos tipos de kits de herramientas de administración remota: aquellos que son utilizados con fines legítimos por los administradores del sistema y aquellos que son usados por el malware para controlar la PC desde un servidor de C & C. Ha utilizado la etiqueta de malware en su pregunta, por lo que supongo que desea conocer el funcionamiento del segundo tipo de RAT que mencioné.

Cuando el malware infecta la máquina, por lo general, un pequeño código de reserva entra en contacto con su servidor principal y descarga el resto del código. Tenga en cuenta que la conexión se inicia desde la PC de la víctima a la PC controlada por el atacante. Esto se llama conexión inversa que permiten la mayoría de los cortafuegos. La conexión se inicia en aquellos puertos que tienen una probabilidad muy alta de permitir la salida, como el puerto 80 (HTTP) y el puerto 443 (HTTPS). Además, incluso un proxy de la capa de aplicación que examina y bloquea el tráfico no estándar en puertos estándar no puede bloquear estas conexiones porque en la actualidad las RAT utilizan el flujo de conexión SSL estándar.

La única posibilidad de detectar estas conexiones TCP / HTTP / HTTPS inversas salientes es a través del bloqueo de las direcciones IP o DNS de los servidores C & C. Este método solo tiene una posibilidad razonable de bloquear la conexión y funcionará solo contra los ataques más básicos, ya que el malware puede usar una variedad de técnicas para ocultar sus servidores C & C. Flujo rápido y TOR oculta servicios se puede usar para ocultar la C & C de manera efectiva y no se puede bloquear fácilmente.

    
respondido por el void_in 01.08.2013 - 14:14
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los riesgos de cargar y descargar datos en formato binario (no codificado) a servidores y navegadores? Consejo de comunicación de Protected Client Server