Cómo defenderse de Back Orifice y de NetBus: Un curso acelerado sobre servidores

Durante los últimos meses han surgido importantes amenazas, en forma de caballo de Troya, que atentan gravemente la seguridad de todos los usuarios de Internet. Son ingeniosas, difíciles de descubrir y muy potentes. Y, lo que es peor, parece que pueden llegar a convertirse en el ejemplo a seguir de los underground.

La principal estrella en el recién inaugurado mundo de los servidorez ( palabra que utilizaremos en lo sucesivo, y que acabo de acuñar para referirnos a éstos programas) es el muy publicitado Back Orifice (BO), desarrollado por el archipopular grupo de hackers denominado cDc ( Cult of the Dead Cow) y que fue presentado en sociedad en el pasado DefCon 6 (una importante reunión de hackers). Desde entonces, y según refleja la homesite de cDc, más de 250.000 internautas han descargado Back Orifice. Si pensamos que cada uno de los navegantes que ha realizado esta descarga probablemente ha distribuido a su vez al menos 10 copias del BO entre sus víctimas/amigos (y estamos haciendo una estimación bastante conservadora), podemos darnos cuenta del potencial que esta amenaza supone. Además del núcleo del BO, en los meses transcurridos desde su lanzamiento, un par de hackers deslumbrados por su enorme potencial como arma ofensiva, han decidido crear y poner a disposición del público interesado varios plug-ins o herramientas para aumentar su funcionalidad o hacer más fácil su manejo, lo que lo pone al alcance de un mayor número de usuarios y aumenta de manera significativa y peligrosamente su difusión. Pero no es Back Orifice la única amenaza que planea sobre nuestros equipos. Mucho antes incluso de que BO fuese concebido ya se encontraba por Internet un antecesor de lujo llamado NetBus y que, a pesar de llevar más tiempo en la arena y de no tener nada que envidiar a su famoso hermano mayor, es mucho menos conocido, por no haber recibido tanto eco en los medios de comunicación. Una buena explicación para su escaso conocimiento puede ser que ha sido desarrollado en sueco y que se han tardado alrededor de tres meses en ofrecer una versión en inglés.

Comenzaremos hablando sobre estos programas, distribuidos frecuentemente en troyanos, atendiendo al orden cronológico de su creación.

NetBus

Se trata de un programa desarrollado y difundido por Carl-Fredrik Neikter a comienzos de marzo de 1.998, y es el primero de los troyanos (al menos entre los conocidos) que pueden ser utilizados como herramientas de administración remota y que están especialmente concebidos para funcionar de forma totalmente inadvertida para la víctima. Al igual que BO, puede ser utilizado a través de cualquier red que trabaje bajo el protocolo TCP/IP y, en particular, sobre Internet. Sin embargo, a diferencia de BO, NetBus se concibió con un propósito nada malvado y está más bien orientado para divertirse de/con los amigos.

NetBus, como todos los servidorez hasta el momento, incluyendo BO, dispone de dos partes bien diferenciadas: el cliente y el servidor. El servidor es la parte que debe ser subrepticiamente instalada en la máquina de la víctima y a la que luego nos conectaremos desde el cliente para administrar remotamente ésa máquina. El cliente controla y envía las órdenes al servidor, que las ejecuta directamente sobre la máquina de destino.

- Instalación
En la instalación estándar (hay distintas posibilidades, pero ésta es la más difundida) el programa que instala el servidor de NetBus en la máquina destino al ejecutarse suele llamarse Patch.exe (aunque puede ser renombrado). La ejecución de este Patch. añade una entrada al registro para que éste se ejecute cada vez que arranquemos la máquina, de manera completamente inadvertida para el usuario medio (esperamos que no sea ése el caso de nuestro sufrido lector tras ojear éste artículo), sin dejar ningún rastro entre las tareas del sistema.
El funcionamiento del instalador Patch.exe del servidor de NetBus se puede configurar, aunque no demasiado. A éste respecto, Back Orifice es mucho más flexible y configurable. Sin embargo, NetBus destaca al poseer una opción muy útil para situaciones comprometidas, que nos permite desinstalar remotamente el servidor (¡a través del mismo servidor!) sin dejar rastro alguno, borrando también cualquier entrada relacionada en el registry del sistema. Ésta opción resulta de gran utilidad para borrar todas las posibles huellas inculpatorias una vez que la víctima descubre el pastel. Por eso no es siempre fácil descubrir quién ha instalado NetBus en nuestro sistema, si el individuo se apresura a borrar todas sus huellas.

- Otras posibilidades
Por supuesto que todos, enterados ahora de que el instalador del servidor de NetBus se suele llamar Patch.exe, evitaremos ejecutar cualquier programa que recibamos (sea cual sea su fuente) que tenga éste nombre. Pero ésta medida no sirve de gran cosa para protegernos contra la amenaza de NetBus, pues, como ya hemos comentado, Patch.exe puede ser renombrado.
El nombre explore.exe (observad la falta de la r final) es el más común y, lo que es peor, puede ser ejecutado subrepticiamente desde cualquier otro programa (juego, aplicación, etc) sin dejar ningún rastro. Para ello bastaría, por ejemplo, con modificar alguno de los ficheros .ini de la aplicación.
Pero hay muchas más opciones. Una de las más exitosas convierte cualquier aplicación de fácil difusión por Internet (un juego, un vídeo porno, etc.) en un auténtico caballo de Troya, que instala y ejecuta disimuladamente el servidor de NetBus antes de ejecutar la aplicación que lo encubre. Como ejemplo representativo de las posibilidades que ésta última opción presenta, podemos mencionar el caso del juego Whack-a-Mole, que es un troyano que instala el servidor de NetBus v1.6 al ejecutarse.
Aún existen más posibilidades para instalar remotamente el servidor de NetBus. Una de las más complejas y brillantes requiere mucha paciencia, conocimiento y un poquito de arte, pero resulta altamente efectiva. Se trata de explotar alguno de los múltiples bugs que pueblan los navegadores de Netscape o Microsoft para abusar de algún internauta que no haya instalado los parches correspondientes. La idea sería explotar alguno de los bugs de buffer overflow de los navegadores para ejecutar un código arbitrario en la máquina de la víctima. Ese código que se ejecuta se limitaría, obviamente, a instalar y ejecutar el servidor de NetBus.

- Administrar remotamente
Entre las posibilidades de administración remota que nos ofrece destacan:
*Abrir/Cerrar el la unidad lectora de CD de la víctima tantas veces como queramos o hacer que se abra/cierre cada X segundos. Ésta es una de las opciones más hilarantes y que más desconcierto causa en las víctimas. También es una de las opciones más inocentes y es un síntoma inequívoco de que estamos infectados. Ante un hecho como éste hay que actuar sin dilación.
*Puede mostrar cualquier imagen (.BMP o .JPG) o reproducir cualquier sonido (.WAV) en el ordenador remoto. También podemos hacer que se abra en el navegador cualquier página web a nuestro antojo. Imaginemos la cara de la víctima si justo cuando está hablando con el jefe sobre cualquier aspecto de un trabajo, y le muestra unos gráficos en los que lleva días trabajando, se abre el navegador mostrando los contenidos de, por ejemplo, www.sex.com.
*Otra de las más hilarantes posibilidades que ofrece NetBus es que puede cambiar las funciones del botón derecho y del izquierdo del ratón, además de inhabilitar tantas teclas como deseemos en el ordenador remoto. Sólo imaginar las consecuencias de éstas acciones ya resulta divertido.
*Pero no todas las posibilidades que ofrece NetBus son tan inocuas. También nos ofrece la posibilidad de obtener, enviar y borrar ficheros, además de cerrar la sesión correspondiente al usuario actual de la máquina y apagar el sistema o cualquier aplicación. Estas acciones son mucho más graves y generalmente provocan pérdidas irreparables de datos.
*NetBus ofrece buen número de posibilidades adicionales muy interesantes pero que, por falta de espacio debemos dejar que descubra nuestro intrépido lector por sí mismo. Para contactar con el "bueno" de Carl-Fredrik Neikter nada mejor que enviarle un mail a cf@bonsa.se

Back Orifice

Back Orifice comparte muchas de las características de NetBus, aunque no todas sus funcionalidades. Por ejemplo, no podremos abrir y cerrar la unidad lectora de CD-ROM de forma remota, ni grabar los sonidos que recoge el micrófono del equipo de la víctima. En cambio, BO presenta algunas ventajas sustanciales respecto a NetBus, que podrían resumirse en una palabra mágica: flexibilidad.

Back Orifice es, porque ha sido concebido desde el principio para ello, muy flexible, muy configurable. Desde el principio de la instalación disponemos del programa de configuración boconfig.exe, que permite elegir el nombre del servidor de BO (por defecto se llamará .exe), el puerto de comunicaciones que se utilizará (se usa el 31337 por defecto), si se desea o no utilizar un password para encriptar las comunicaciones entre el cliente o servidor, y algunos otros parámetros importantes. Entre estos, merece la pena destacar la posibilidad de incorporación de plug-ins, que sirven para asociar aplicaciones al servidor y dotarlo de nuevas y diversas capacidades o hacer más fácil su manejo.

-Plug-ins
Entre los plug-ins que se han ido desarrollando en éstos últimos tiempos se pueden destacar los siguientes:

- BUTT Sniffer 0.9b: Es un sniffer que funciona en W95/98, muy útil para monitorizar todo el tráfico de red. Es el último plug-in desarrollado para BO.

- BUTT Trumpet 1.1: Este plug-in trata de facilitar el uso de BO enviando un E-mail con la IP de la víctima (dato necesario para ejecutar el cliente) a la cuenta de correo deseada.

- Saran Wrap 1.1: Facilita la operación de disimular BO en una aplicación cualquiera, convirtiendo a la aplicación misma en un troyano.

- Silk Rope 1.1: Versión mejorada del anterior. Como se puede ver, hay un buen número de utilidades que aumentan, si cabe, el potencial de peligrosidad del BO. Además, todos estos plug-ins ofrecen su código fuente, lo que nos permite modificarlos a nuestro antojo para adecuarlos aún más a nuestras posibilidades.

Medidas de protección

Una vez presentadas las características básicas de nuestros enemigos, y convencidos finalmente de que suponen una seria amenaza para nuestra seguridad, pasaremos a ver cuáles son los mejores caminos para librarnos de ellos. Aunque más adelante mencionaremos algunas aplicaciones que pueden simplificarnos mucho ésta tarea, creo que es muy recomendable que seamos capaces de detectar y eliminar el peligro con nuestros propios medios.

Aparte de los síntomas más o menos inequívocos (apertura/cierre de la unidad lectora del CD, lanzamiento inesperado de algunas aplicaciones, cuelgues sistemáticos del sistema, etc.) puede haber muchas otras razones para sospechar que somos víctimas de un ataque de éste tipo.

Un indicio bastante explicativo es el que nuestra máquina tenga activados puertos de comunicaciones extraños. Por defecto, Back Orifice utiliza el puerto UDP 31337 y NetBus los puertos TCP 12345 ó 12346. Todas las versiones de NetBus utilizan alguno de los anteriores puertos, pero sin embargo, BO es mucho más configurable y puede utilizar cualquier puerto que escoja nuestro atacante. Para ver si nuestra máquina está utilizando o no estos puertos, nada mejor que hacer un telnet en ellos (p.e. telnet 127.0.0.1 12345 ) y ver si recibimos respuesta, o ejecutar desde una ventana DOS el comando "netstat -a" y comprobar cuáles están activos.

Una característica común de ambos servidorez es que una vez instalados crean una entrada en el registro del sistema, para asegurarse que van a volver a arrancarse cada vez que se inicie el sistema. Por tanto, nada mejor que echar un vistazo a la carpeta My Computer \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\RunServices del registro de nuestra máquina.

Cualquier entrada anómala, sospechosa o de dudosa utilidad debe ser eliminada sin demasiados remordimientos de conciencia, especialmente si se trata de programas llamados .exe, Patch.exe, Explore.exe, bo.exe, boserve.exe o cosas por el estilo. Pero no debemos contentarnos con ésto, sino que deberíamos examinar cuidadosamente cada una de las entradas de ésta carpeta del registro, porque cualquier atacante relativamente espabilado habrá cambiado los nombres anteriores por otros. También es común a ambos programas la instalación del servidor (el ejecutable) en la carpeta \WINDOWS\SYSTEM. Al eliminar éstas claves del registro, en el mejor de los casos, lo que conseguimos es impedir que tras reiniciar el equipo vuelva a ejecutarse el servidor. Por tanto, una buena idea tras eliminar las claves sospechosas o inútiles del registro sería apagar y encender.

- Defensas externas

Este es, por supuesto, el método de defensa más elemental. Existen muchos otros, desde luego, pero ya necesitaríamos utilizar programas de terceros, en los que no disponemos de su código fuente, y por tanto, no podemos fiarnos al 100%. Aunque éste último comentario pueda parecer un poco paranoico, se han dado casos de troyanos que aseguraban poder detectar/desinfectar el BO y/o el NetBus y que en realidad lo difundían. Además, no todos los programas que circulan por ahí tienen la misma valía, ni mucho menos.

Los hay que simplemente buscan ficheros concretos, con un tamaño determinado, en la carpeta \WINDOWS \SYSTEM pero que no detectarían una instalación más elaborada, en la que hubiésemos cambiado los nombres por defecto. Los hay un poco mejores, que comparan a bajo nivel los ficheros del BO y NetBus con los que se encuentran en \WINDOWS\SYSTEM sin importar cómo se llamen. Pero no detectarían nada si colocáramos los ficheros en un directorio diferente o si utilizáramos alguna de las múltiples herramientas de hacking que existen para modificar el tamaño de cualquier fichero, manteniéndolo operativo.

En definitiva, respecto a estos programas, tenemos un poco de todo. Desde los que merecen realmente la pena hasta los que son una verdadera chapuza, pero están aprovechando su oportunidad.

Mi recomendación final sería desestimar éstas utilidades específicas, cuyos autores desconocemos y que, en principio, no deberían merecernos demasiada confianza, y utilizar las últimas versiones de algunos antivirus de reconocido prestigio para detectar a estos dos troyanos.

Uno de los primeros antivirus que decidió incorporar la capacidad para detectar/borrar estos troyanos fue el AVP (AntiVirus Toolkit Pro) y es, hasta ahora, el producto más fiable y recomendable en su gama. En España, Panda Software también ha estado bastante atenta a estos programas underground y últimamente incluye posibilidades de detectarlos.

Conclusión

La amenaza que estos dos programas pueden suponer para nuestra seguridad es muy grande, y ninguno debemos permanecer impasibles ante ella si no queremos terminar convirtiéndonos en víctimas propiciatorias de sus abusos. Ante estas amenazas, y aunque no se trata en absoluto de virus, los mejores antivirus del mercado han reaccionado rápido y están incluyendo ciertos grados de protección contra ellas en sus productos, como hemos visto.

Es probable que en un futuro muy cercano se desarrollen y se difundan otros programas similares, aprovechando las múltiples carencias de la seguridad de Windows, pero parece que tener la última versión del mejor antivirus podrá protegernos contra ellos. A ésta medida de precaución habrá que sumar, además, un cuidado extremo a la hora de bajarnos programas o abrir nuestro correo electrónico.

Una última cuestión: que no se crean aquéllos que usan programas como el Back Orifice o el NetBus que sus acciones permanecerán en la impunidad más absoluta. Deben tener en cuenta que no disponen del fuente de estos programas y que, en realidad, no pueden estar absolutamente seguros de qué está ocurriendo cuando los ejecutan. Hay rumores de que el Back Orifice, cada vez que ejecuta alguna acción, envía un E-mail registrando todos nuestros pasos...¿quién lo sabe?