Funcionamento e desmistificação dos cavalos de tróia

Parece que esse assunto é de interesse de muita gente pela Internet afora. Mesmo sem nenhuma divulgação, os leitores têm chegado até este blog em busca de artigos sobre conexão reversa, beast, delphi, administração remota, etc. E até agora eu só postei um texto relacionado a isso... Sendo assim, escrevi algo mais completo sobre o programa que, para muitos, é o melhor quando se trata de administração remota.

As informações contidas aqui são derivadas de experiências próprias, não de textos copiados da Internet. Quero deixar claro que não estou incentivando qualquer tipo de atividade ilegal contra informações e sistemas alheios. Cada um é responsável pelo que faz. Minha intenção é mostrar para usuários finais o funcionamento desse tipo de aplicação e auxiliar de certa forma aqueles que estão começando agora na área de segurança.

Infelizmente não garanto informações atualizadas sobre o assunto, visto que me ausentei dessa área há alguns meses (e - acredite - isso conta muito para quem trabalha com sistemas. As atualizações são diárias e quem passa um mês afastado já pode se considerar desatualizado).

Devo lembrar que para entender esse artigo é necessário que você saiba o básico sobre o modelo cliente-servidor, sob o qual são baseados os programas em rede e a Internet - a princípio.

Bom... Vamos ao que interessa...

É interessante como as pessoas se espantam quando ouvem falar de cavalos de tróia. Todos pensam que é um programa de difícil acesso e que poucas pessoas têm acesso a eles. Mas as coisas não são bem assim. Os RATs, como também são chamados, são programas uso fácil e podem ser operados por qualquer pessoa com o mínimo de conhecimento sobre computadores. Na maioria das vezes, seus layouts são bastante intuitivos e você não faz nenhum esforço para controlar o computador remoto. As opções que estão disponíveis para quem utiliza esse tipo de software são bem atraentes, o que os torna bastante disseminados: você pode esconder o menu iniciar e o relógio, controlar o mouse, inverter as funções dos botões do mouse, alterar papel de parede, abrir e fechar o drive de CD, baixar arquivos, desligar a máquina e muitas outras.

O Beast para mim foi como um ponta-pé-inicial para buscar aprender mais sobre o assunto. Quando comecei a usá-lo, pensei que já sabia tudo e podia fazer o que bem entendesse com qualquer máquina por aí. Mas não demorei a perceber que quem usa esse tipo de programa não é bem visto na comunidade e não são raras as vezes que são chamados de lammers ou, no máximo, script kiddies (é claro que quem escreveu o programa não se encaixa nessa categoria).

Dentre suas diversas características oferecidas pelo software, posso citar: injeção de DLL: o programa se instala dentro de outro aplicativo que pode ser o IE, Explorer ou Notepad; Conexão reversa, onde na verdade a vítima é quem vai se conectar, evitando dessa forma, a interferência do firewall; Senha para acesso; Notificações por e-mail, ICQ, SIN e CGI; injeção no Registro do Windows; Paralisação de Antivírus e Firewalls; Keylogger: captura tudo o que foi digitado pelo usuário; e Limpeza dos pontos de restauração. Há uma opção que exibe as estatísticas sobre a conexão.

O programa conta também com diversas opções de cores (skins) para atender ao gosto do usuário. Junto ao menu, há um manual (em inglês, francês, espanhol e italiano) que explica resumidamente o seu funcionamento. Há também um pequeno e funcional binder (programa que une dois ou mais arquivos executáveis) no painel principal do programa. Fora a agenda de endereços que ele disponibiliza. Tudo isso em menos de 1 megabyte (767 kilobytes para ser mais específico). Não é preciso falar mais nada sobre a utilidade desse “simples” programa.

Praticamente não há limites quanto ao que fazer quando se sabe usar bem o Beast...

O programa é altamente intuitivo. Mesmo assim existem “vídeo aulas” sobre ele no YouTube e diversas “receitas de bolo” ensinando passo-a-passo como utilizar a ferramenta. É claro que, se você não quer aprender dessa forma, tem que entender o básico do inglês para usá-lo.

Como disse no primeiro artigo, o programa foi escrito em Delphi, que é uma linguagem relativamente fácil. Até porque usa uma plataforma visual para a construção dos programas. Ou seja, o programador não precisa se preocupar tanto com o código nem com quantidades excessivas de erros como quando programa em C ou C++. Quem já esteve envolvido no mundo da programação sabe do que eu estou falando.

Eu não tenho dúvidas de que existem programas bem melhores que o Beast atualmente. Não sei dizer quais, pois parei de procurar esse tipo de material há algum tempo. Para quem quer se envolver na área de (in)segurança de redes/informação, não aconselho o uso dessas ferramentas, até porque elas oferecem tudo pronto. Sugiro que estude a fundo os sistemas Unix/Linux, BSD, Windows, etc. Se aprofunde em assuntos como TCP/IP, programação, orientação a objetos, sockets, etc. Enfim, é uma infinidade de informações que você vai encontrar pela frente caso queira seguir essa carreira, mas não tenha dúvidas de que é gratificante. É realmente muito interessante esse tipo de programa e as suas utilidades são inúmeras. Para quem busca uma opção mais segura para administração remota, sugiro o RealVNC, que por sinal é open-source.

Colabore com esse assunto. Comente sobre as suas experiências (boas ou ruins) com esse tipo de aplicativo. Se você conhece outro programa mais atual ou mais completo, compartilhe informações sobre ele com os outros leitores desse blog.

Leia também:

Nenhum comentário:

Postar um comentário