detectar y eliminar keyloggers en windows
Post on 01-Mar-2018
226 Views
Preview:
TRANSCRIPT
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
1/11
Detectar y eliminar Keyloggers enWindows
Durante este post volveremos a hablar, como no, de algunas de las
herramientas de la suite de Sysinternals, aplicndolas a un caso prctico en
donde se analizar el comportamiento de aplicaciones tipo keylogger para
aprender a detectarlas y eliminarlas. Para ello utilizaremos tres aplicaciones
de Sysinternals, las cuales ya recomend anteriormente. stas aplicaciones
son Process!onitor"Proc!on.e#e$, Process#plorer"Proc#p.e#e$
y%utoruns"autoruns.e#e$ .
&odas estas aplicaciones y muchas ms estn contenidas en la suite de
Sysinternals, descargable
desdehttp'((do)nload.sysinternals.com(*iles(SysinternalsSuite.zip
Process!onitor es una herramienta permite monitorizar todas las llamadas
+ue realizan los procesos con respecto al sistema de archivos, registro de
indo)s, y creaci-n subprocesos o hilos. sto nos servir para mantener
nuestro e+uipo seguro en caso de tener sospechas o indicios de +uenuestras conversaciones estn siendo capturadas mediante un sot)are
+ue guarda en un ichero, o env/a a travs de una cone#i-n tp, email, etc
nuestras conversaciones.
Para iniciar el anlisis, e0ecutaremos la aplicaci-n Proc!on.e#e. 1ada ms
abrir esta aplicaci-n nos pedir +ue especii+uemos iltros en los eventos
capturados, para poder ainar la b2s+ueda.
http://www.windowstecnico.com/archive/2009/11/25/herramientas-gratuitas-indispensables-en-windows-para-los-profesionales-it.aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896645(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896653(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb963902(en-us).aspxhttp://download.sysinternals.com/Files/SysinternalsSuite.ziphttp://technet.microsoft.com/es-es/sysinternals/bb896645(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb896653(en-us).aspxhttp://technet.microsoft.com/es-es/sysinternals/bb963902(en-us).aspxhttp://download.sysinternals.com/Files/SysinternalsSuite.ziphttp://www.windowstecnico.com/archive/2009/11/25/herramientas-gratuitas-indispensables-en-windows-para-los-profesionales-it.aspx -
7/26/2019 Detectar y Eliminar Keyloggers en Windows
2/11
3ntroduciremos dos iltros, +ue capturarn los eventos de escritura de
archivos y envio de datos a travs de cone#iones &4P.
5 *ilerite
5 &4P Send
Para ello, desplegaremos el primer Listbox y seleccionaremos Operation,
en el segundo desplegable seleccionaremos la opci-n is, en el tercer
desplegable escribiremos WriteFile, y en el ultimo indicaremos Include.
6na vez hecho esto haremos clic en Add para agregar este iltro, y a
continuaci-n realizaremos los mismos pasos para agregar el iltro de TCP
Send en vez de WriteFile. De esta orma estaremos monitorizando todas
las escrituras en disco y env/o de datos a travs de cone#iones &4P de
cual+uier proceso del sistema.
1os deber/a +uedar un iltro como el siguiente'
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
3/11
%ntes de hacer clic en 78, deber/amos cerrar todas las aplicaciones
posibles +ue estemos usando, ya +ue si realizan escrituras en disco o
cone#iones &4P, sus eventos se vern rele0ados y podr/an intererir en
nuestro anlisis, siendo ms comple0o para nosotros la localizaci-n del
keylogger.
6na vez est todo cerrado e#cepto el Process!onitor "Proc!on$ ,
podremos hacer clic en 78.
%hora, si hacemos clic en la lupa +ue se ve en la captura de pantalla,
empezar a capturar eventos. Si sobre la lupa aparece una 9 ro0a es +ue la
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
4/11
captura de eventos est parada, y puede ser iniciada haciendo clic sobre
ella.
%hora, deber/amos orzar al keylogger a +ue guarde el buer de lo +ue
estamos escribiendo en un ichero, o lo env/e por &4P a alg2n e+uipo. Para
ello, abriremos la aplicaci-n 1otepad, y escribiremos en ella. 6tilizaremos
tambin combinaciones de teclas como copiar y pegar, ya +ue la mayor/a
de los keyloggers capturan esta combinaci-n y guardan su contenido
inmediatamente.
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
5/11
Se puede ver, +ue la aplicaci-n S:4;7S&.9 est realizando escrituras
en la ruta 4'
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
6/11
videntemente, tal y como se sospechaba, el ichero 31*7.D?@ contiene el
contenido capturado de las pulsaciones de mi teclado.
%hora e0ecutaremos la otra herramienta de Sysinternals' Process#plorer
"Proc#p.e#e$. s importante e0ecutar esta aplicaci-n con permisos de
administrador.
7rdenaremos la lista de aplicaciones por nombre de proceso, y buscaremos
el nombre del servicio para poder pararlo y eliminarlo.
%l analizar los procesos con Process #plorer, observamos varias cosas'
5 l keylogger se hace pasar por un servicio +ue e0ecutado a travs deS:4;7S&.e#e original "c'
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
7/11
5
6na vez matamos el proceso, vemos +ue vuelve a e0ecutarse. sto signiica
+ue hay otro proceso en memoria +ue se encarga de la e0ecuci-n dec'
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
8/11
%hora +ue estamos auditando los eventos de e0ecuci-n de procesos,
volveremos a utilizar Process #plorer para matar al proceso
S:4;7S&.9, y podremos ver +ue el proceso +ue lo vuelve a e0ecutar es
C:\WI!OWS\S"ST#$%&\!'L\S#()IC#S*#+#,.
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
9/11
&ras matar el proceso SA:34S.9, se detect- +ue S:;7S&.9 volv/aa llamarlo para asegurarse su e0ecuci-n.
%nte estos casos donde e#isten dos procesos +ue se e0ecutan el uno al
otro, es necesario matar al proceso padre y todo el rbol de subprocesos.
sto es posible en Process #plorer haciendo clic sobre 8ill Process &ree.
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
10/11
%hora +ue no tenemos el 8eylogger e0ecutado en memoria, deber/amos
asegurarnos de su deshabilitaci-n eliminando las entradas del registro, o los
mecanismos +ue utilize para su e0ecuci-n en el pro#imo arran+ue del
sistema. Para ello utilizaremos %utoruns "autoruns.e#e$ de Sysinternals.
Buscando la cadena \dgl\ "n *ile C *ind$ localizaremos las entradas +ue
contengan el directorio
-
7/26/2019 Detectar y Eliminar Keyloggers en Windows
11/11
si te ha gustado el art/culo puedes suscribirte al 4anal ASS de indo)s
&cnicopara estar al d/a de las novedades e inormaci-n tcnica de inters.
http://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnicohttp://feeds2.feedburner.com/WindowsTecnico
top related