7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 1/8

Detectando y eliminando Keyloggers

Durante este post volveremos a hablar, como no, de algunas de las herramientas de la suite de Sysinternals, aplicándolas a un caso práctico endonde se analizará el comportamiento de aplicaciones tipo ‘keylogger’ para aprender a detectarlas y eliminarlas. Para ello utilizaremos tresaplicaciones de Sysinternals, las cuales ya recomendé anteriormente. stas aplicacionesson Process!onitor  "Proc!on.e#e$, Process#plorer  "Proc#p.e#e$ y  %utoruns "autoruns.e#e$ .

&odas estas aplicaciones y muchas más están contenidas en la suite de Sysinternals, descargabledesdehttp'((do)nload.sysinternals.com(*iles(SysinternalsSuite.zip

Process!onitor es una herramienta permite monitorizar todas las llamadas +ue realizan los procesos con respecto al sistema de archivos, registrode indo)s, y creaci-n subprocesos o hilos. sto nos servirá para mantener nuestro e+uipo seguro en caso de tener sospechas o indicios de +uenuestras conversaciones están siendo capturadas mediante un sot)are +ue guarda en un ichero, o env/a a través de una cone#i-n tp, email, etcnuestras conversaciones.

Para iniciar el análisis, e 0ecutaremos la aplicaci-n Proc!on.e#e. 1ada más abrir esta aplicaci-n nos pedirá +ue especii+uemos iltros en loseventos capturados, para poder ainar la b2s+ueda.

 

3ntroduciremos dos iltros, +ue capturarán los eventos de escritura de archivos y envio de datos a través de cone#iones &4P.

5 *ilerite

5 &4P Send

Para ello, desplegaremos el primer ‘Listbox ’ y seleccionaremos ‘Operation’, en el segundo desplegable seleccionaremos la opci-n ‘ is’, en el tercerdesplegable escribiremos ‘WriteFile’, y en el ultimo indicaremos ‘ Include’. 6na vez hecho esto haremos clic en ‘ Add ’ para agregar este iltro, y acontinuaci-n realizaremos los mismos pasos para agregar el iltro de ‘TCP Send ’ en vez de ‘WriteFile’. De esta orma estaremos monitorizandotodas las escrituras en disco y env/o de datos a través de cone#iones &4P de cual+uier proceso del sistema.

1os deber/a +uedar un iltro como el siguiente'

 

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 2/8

 

 %ntes de hacer clic en ‘78’, deber/amos cerrar todas las aplicaciones posibles +ue estemos usando, ya +ue si realizan escrituras en disco ocone#iones &4P, sus eventos se verán rele0ados y podr/an intererir en nuestro análisis, siendo más comple0o para nosotros la localizaci-n del‘keylogger ’.

6na vez esté todo cerrado e#cepto el Process!onitor "Proc!on$ , podremos hacer clic en ‘78’.

 %hora, si hacemos clic en la lupa +ue se ve en la captura de pantalla, empezará a capturar eventos. Si sobre la lupa aparece una ‘9’ ro0a es +ue lacaptura de eventos está parada, y puede ser iniciada haciendo clic sobre ella.

 

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 3/8

 

 %hora, deber/amos orzar al keylogger a +ue guarde el buer de lo +ue estamos escribiendo en un ichero, o lo env/e por &4P a alg2n e+uipo. Paraello, abriremos la aplicaci-n 1otepad, y escribiremos en ella. 6tilizaremos también combinaciones de teclas como ‘copiar y pegar’ , ya +ue lamayor/a de los keyloggers capturan esta combinaci-n y guardan su contenido inmediatamente.

 

Se puede ver, +ue la aplicaci-n ‘S:4;7S&.9’ está realizando escri turas en la ruta ‘4'<indo)s<System=><D?@<31*7.D?@’ a la par +ue mededicaba a escribir en el notepad.

@a aplicaci-n ‘S:4;7S&.9’ es la encargada de lanzar los servicios instalados en nuestro servicio, por lo +ue lo más probable es +ue el‘keylogger ’ se haya instalado como tal.

Para asegurarnos de +ue se trata de la aplicaci-n +ue estamos buscando, analizaremos el contenido del archivo sobre el cual se está escr ibiendo'

 

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 4/8

 

videntemente, tal y como se sospechaba, el ichero 31*7.D?@ contiene el contenido capturado de las pulsaciones de mi teclado.

 %hora e0ecutaremos la otra herramienta de Sysinternals' Process#plorer "Proc#p.e#e$. s importante e0ecutar esta aplicaci-n con permisos deadministrador.

7rdenaremos la lista de aplicaciones por nombre de proceso, y buscaremos el nombre del servicio para poder pararlo y eliminarlo.

 

 %l analizar los procesos con Process #plorer, observamos varias cosas'

5 l ‘keylogger ’ se hace pasar por un servicio +ue e0ecutado a través de S:4;7S&.e#e original "c'<)indo)s<system=><svchost.e#e$, sin embargo ese0ecutado desde otra ruta "c'<)indo)s<system=><D?@<S:4;7S&.9$.

5 l proceso S:4;7S&.9 +ue corre el ‘keylogger ’ no está irmado por !icrosot, el cual si deber/a estarlo si uera un servicio.

5

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 5/8

 

6na vez matamos el proceso, vemos +ue vuelve a e0ecutarse. sto signiica +ue hay otro proceso en memoria +ue se encarga de la e0ecuci-n dec'<indo)s<D?@<S:4;7S&.9 cada vez +ue este no está en e0ecuci-n.

Para localizar +ue proceso se está encargando de la e0ecuci-n del ‘keylogger ’ volvemos a utilizar Process !onitor "Proc!on.e#e$, borraremos losiltros introducidos anteriormente y pondremos un iltro en la detecci-n del evento de operaci-n ‘Process Create’, +uedando como la siguientecaptura'

 

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 6/8

 

 %hora +ue estamos auditando los eventos de e0ecuci-n de procesos, volveremos a utilizar Process #plorer para matar al proceso‘S:4;7S&.9’, y podremos ver +ue el proceso +ue lo vuelve a e0ecutar es ‘C:\WI!OWS\S"ST#$%&\!'L\S#()IC#S*#+#, .

 

&ras matar el proceso SA:34S.9, se detect- +ue S:;7S&.9 volv/a a llamarlo para asegurarse su e0ecuci-n.

 %nte estos casos donde e#isten dos procesos +ue se e0ecutan el uno al otro, es necesario matar al proceso padre y todo el árbol de subprocesos.sto es posible en Process #plorer haciendo clic sobre ‘8ill Process &ree’.

 

 %hora +ue no tenemos el 8eylogger e0ecutado en memoria, deber/amos asegurarnos de su deshabilitaci-n eliminando las entradas del registro, olos mecanismos +ue utilize para su e0ecuci-n en el pro#imo arran+ue del sistema. Para ello utilizaremos %utoruns "autoruns.e#e$ de Sysinternals.

 

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 7/8

 

Buscando la cadena ‘\dgl\’ "n *ile C *ind$ localizaremos las entradas +ue contengan el directorio <D?@< en su ruta de e0ecuci-n, detectando unaentrada en ‘-.C/\So0t1are\$icroso0t\Windo1s\Current)ersion\(un’ con el nombre de ‘Syste2.bs’.

Basta con eliminar dicha entrada del registro para asegurarse de +ue esa aplicaci-n no se volverá a e0ecutar en el arran+ue del sistema. %horasolo +ueda eliminar los icheros de 4'<indo)s<System=><D?@< y el ‘keylogger ’ estará completamente borrado.

E;asta otraF

nviado eb G> >GHG, G>'>= por !anuel *ernandez

 %rchivado en' &rucos,Seguridad, %ntivirus

Comentarios

 jProgr  escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG HI'JH

3normaci-n siempre util '$

william escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG >>'H>

3normaci-n muy 2til y bien e#plicada. ?racias.

Tony escrito re: Detectando y eliminando Keyloggersen G>CG>C>GHG >='>=

!agniico post, de como deben usarse estas magniicas herramientas, +ue la mayoria de las veces no sa+bemos usar correctamente.

7/23/2019 Detectando y Eliminando Keyloggers

http://slidepdf.com/reader/full/detectando-y-eliminando-keyloggers 8/8

?racias, y seguir asi

uberVU - social comments escrito Social comments and analytics for this osten G>CG=C>GHG K'=G

&his post )as mentioned on &)itter by 3normaticaLM' indo)s&ecnico' Detectando y eliminando 8eyloggers. http'((tinyurl.com(yI0JlIh

Thor  escrito re: Detectando y eliminando Keyloggersen G>CGLC>GHG M'MJ

!uy buen uso de las herramientas de sysinternals.

?raciasF

cmansilla escrito re: Detectando y eliminando Keyloggersen G>CHGC>GHG H'G>

!uy buenoFF el proceso tambien es valido para eliminar antivirus.

?racias por compartirlo.

!n"nym"us escrito re: Detectando y eliminando Keyloggersen G=CHLC>GHG HM'G>

stá bien aun+ue, actualmente si son Aootkits o tras inyecciones harán callar a los ire)alls ni por muchos controles antiCleaks +ue este tenga, hiceun manual similar aun+ue en mi caso era un bot el +ue atacaba por Ssh por diccionario.

?racias por la ino estas herramientas dan mucho 0uegoF N