Otro aspecto importante al momento de desarrollar el malware, es establecer un canal, por medio del cual se pueda controlar el malware de manera remota. Una arquitectura utilizada para lograr esto, es cliente/servidor. Esto implica que nuestros clientes o dispositivos infectados se conectaran a nuestra IP publica, ya sea de forma directa o utilizando un DNS.
Imagen 1: Diagrama de red-comunicación dispositivos infectados con servidor.
El servidor mantiene una configuración en las reglas del corta fuegos, tanto del sistema operativo, como del dispositivo de red. Ademas de mapear los puertos a la ip local. Por su parte el malware, tratara de conectar con el servidor, si se ha establecido un IP fija, la conexión se realizara de forma directa. Aunque cabe aclarar que eso no es tan común, pues los ciberdelincuentes, prefieren utilizar DNS, principalmente porque muchos poseen IP dinámica y desde luego no menos importante, evitar que haya un enlace directo a ellos.
Algunos servicios muy conocidos y utilizados para resolver este problema, es no-ip y dyndns. En el diagrama de red, se puede comprender, que el dispositivo infectado, inicialmente se conecta a Internet, para luego, consultar la IP al servidor de nombres de domino, cual es la IP donde esta situado el servidor.
Hay diferentes variantes, con el cual se pueden lograr un control remoto del malware y por ende del dispositivo infectado, servicios web, peticiones a paginas web, aplicaciones de escritorio, bases de datos,IRC etc.
Cabe resaltar que el malware estará intentando conectarse al servidor, cada cierto tiempo, en el caso de que este no este disponible, esto ya genera un comportamiento, con el cual podemos analizar el malware, pero que veremos mas adelante.
El servidor del malware que estamos desarrollando, estará en una aplicación de escritorio, donde especificaremos un conjunto de comandos, que permitirán realizar acciones de manera remota, sobre el dispositivo infectado.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario