martes, 19 de enero de 2016

Desarrollando malware (conexión remota)

Continuando con el tema, después de tener una idea básica de algunas maneras en que se establece la comunicación con el malware, procederemos a desarrollar algunos procedimientos que permitan establecer una conexión remota. Definiendo un servidor que controle mediante comando el malware. 

Para lograr esto utilizaremos sockets. Para empezar, incorporamos un clientsocket y un timer en el malware.

   Imagen 1: Componentes timer y clientsocket en malware.

El timer, nos permitirá establecer la conexión, en este caso hay una cuestión a tomar en cuenta, la cual es que el servidor que controlara remotamente el malware puede no estar activo cuando el malware intente conectarse, para ello, el timer estará constantemente intentando conectarse con el servidor, dejara de intentarlo una vez que logre la conexión. Al desconectarse nuevamente, volverá a intentar conectarse.

Luego definimos las acciones, que realizara el socker, al conectarse, desconectarse o la ocurrencia de un error. Para la ocurrencia de errores, desactivamos los errores, para evitar interrupciones o generación de mensajes sospechosos al usuario. Al omitir la parte de los errores, si ocurre un error, dicho error se presentara en un mensaje al usuario, el usuario común, simplemente lo acepta, sin embargo un usuario algo de conocimientos, le dará seguimiento, dando origen a una exposición del malware. 


Imagen 2: Procedimientos de conexión en el socket.

Imagen 3: Conexión activa de malware.

Esto correspondiente al malware. Falta desarrollar el servidor. Para ello incorporamos un componente serversocket, con el cual recibiremos y enviaremos los comandos y data al malware.  

 Imagen 4: Código conexión servidor. 

Cabe mencionar que al activar el servidor, se requiere establecer las reglas en el corta fuego, para permitir el trafico, esto únicamente para el servidor.

Imagen 5: Alerta de seguridad firewall trafico.

Imagen 6: Conexión establecida con el malware.

Una vez establecida la conexión con el malware, habrá que definir mas funciones que permitan manipularlo mediante comandos, que se transmiten en el canal que ya hemos definido. 

Saludos.
Lexer Pars.   



No hay comentarios:

Publicar un comentario