[Tutorial] Bifrost 1.2.1
By $ad
Este tutorial, sobre el troyano Bifrost 1.2.1 lo voy a realizar en Ubuntu 9.10, pero no se preocupen, en Windows es exactamente igual, simplemente tambque tambien conoceremos la forma de hacerlo en Linux, concretamente en Ubuntu 9.10.. Paara ello, utilizaremos el software Wine, el cual se encuentra en los repositorios, cuya instalción la podemos realizar desde el gestor de paquetes >Synaptic<>wine> o desde la shell, para ello:
sudo apt-get install wine
Bien, pues ahora descargamos el Bifrost 1.2.1 [Versión especial en Español]:
Pass = Level-23
Comencemos. Hacemos clic en el ejecutable (.exe) del propio troyano, y se mostrará la siguiente ventana, en la cual la dejamos tal cual se muestra en la imagen y clic en >Acepto<.
1º Pues bien, demos paso a la configuración del futuro server (Actua como servidor en el equipo remoto, asi permitiendo el control de este). Hacemos clic en >Crear<
Consfiguración del Server
2ºAhora podemos observar la siguiente pantalla, en la cual aparecen los siguientes campos:
DNS/IP dinámica: En este campo, se asigna la dirección de la cuenta NO-IP creada.
Clave: En relación con la del cliente, punto a configurar a la hora de establecer la conexión.
Puerto: Similar a la descripción anterior.
Nota: Deben abrir varios puertos, y no utlizar a los que posiblemente se encuentren en uso por otro software, como por ejemplo el puerto 80, por ello en esta config, asginan un puerto pero luego en la config del cliente los puertos de escucha, seran varios, por ejemplo el 2000, 3900, 3999.
3º Ahora nos dirijimos a la pestaña Installation, en la cual se muestra los siguientes campos:
#Instalación de Archivo:
-Nombre de archivo: Nombre que recibe el server.
-Directorio a instalar: eligen la opción que deseen.
*Dir. Archivos de Programa
*Directorio del Sistema
*Directorio de Windows
#Inicio Automáticamente:
-Iniciar con el Sistema: El server se ejecutará con cada inicio del sistema de la PC remota
-[Cualquier llave] Genera una llave al azar, que posteriormente es creada en el registro.
-Mutex name
-Llave de Registro
#Extensión
-Incluir extensión pack: Es aconsejable activarlo, ya que así se dotará de mas funcionalidad al server.
#Registrador de teclas
-Offline keylogger: Permite que el uso del keylogger propio del software.
-Excluir Shift y Ctrl: Omite la ambas teclas, en lo que a la activación del Keylogger se refiere.
-Excluir Retroceso: Omite esta tecla en los log creados por el Keylogger.
#Inyección
-Inyectar a un determinado proceso antes de la inyección para el navegador: Útil para camuflar el proceso que inicia el server con otro residente en el sistema infectado.
*Proceso: Nombre del proceso.
*Nombre asignado: Nmbre que recibe el remoto en el cliente.
*Servidor Persistente: Hace que este despues de abortar su proceso, se ejecute automaticamente, por lo cual asegura mas duración, ya que será algo mas costosa su eliminación.
4º Nos dirigimos a la pestaña >Stealth<>
#Modo cautela
-Modo visible: El server es mostrado.
-Modo cauteloso: El server se ejecuta de forma oculta.
-Modo agresivo: Ele server se ejecuta de forma oculta y en caso de que falle su proceso será lanzado nuevamente.
#Cautela del servidor
-Atributo Oculto: El server se mantiene oculto.
-Derretir servidor: Al ejecutarse, este desaparece.
-Datos antiguos: Utiliza datos falsos o antiguos.
-Kernel level unhooking
#Retraso de conexión
-No retrasar: Se ejecuta instantaneamente.
-Retrasar hasta el próximo reinicio: Comenzará el proceso de este, con el siguiente reinicio del sistema remoto.
-Retr / Días / Horas / Min: Se ejecutará en una fecha determinada.
#Rootkit
-Esconder Proceso: Intenta esconder el proceso del server, no valido en todo los sistemas MS Windows, por lo general no se aconseja.
5º En Miscellaneous se tratan aspectos tales como utilizar un Proxy relacionado con una red TOR.
Configuración del cliente
Como indique anteriormente, indicar los puerto abiertos para introducirlos en la config del cliente, bien pues este es el momento, ademas de introducir la contraseña aplicada en la config del server.
