Come un trojan consente a un utente malintenzionato di connettersi al computer remoto dietro un router

1

Secondo questo articolo su Wikipedia , un cavallo di Troia può consentire una connessione remota aprendo una porta casuale se è in grado di bypassare il firewall. Non sono un esperto di router e di Traduzione degli indirizzi di rete, ma se un cavallo di Troia apre una connessione attraverso il firewall, come fa questo a consentire al proprietario del trojan che è su un'altra rete di connettersi a il computer della vittima dal momento che l'IP del computer della vittima è privato e non può essere collegato a.

Esempio di scenario Un cavallo di troia apre una porta casuale 1234 sul computer della vittima quando viene eseguita e presuppone che ignori il firewall. In che modo l'attaccante può connettersi al computer della vittima da remoto.

Il computer vittima ha IP privato 192.168.1.147 e IP pubblico 10.1.1.44 e l'utente malintenzionato ha IP privato 192.168.0.119 e IP pubblico 10.2.1.54, in che modo i due computer comunicano tra loro?

Supponendo che il computer vittima abbia un listener sulla porta 1234 e che l'autore dell'attacco abbia un connettore che si connette alla porta 1234 e prenda l'IP della vittima. Quale IP verrà utilizzato dall'attaccante? Sarebbe l'IP pubblico o l'IP privato?

    
posta David 11.09.2014 - 11:08
fonte

3 risposte

8

L'attaccante non si connette al computer vittima, il computer vittima si connette all'attaccante. I dati in una connessione possono fluire in entrambe le direzioni, non importa chi inizia la connessione in primo luogo. Una volta stabilita una connessione, l'utente malintenzionato è in grado di eseguire comandi sul computer della vittima. Gli aggressori usano protocolli web ben noti che di solito sono consentiti.

Ecco come funziona:

  • L'attaccante compromette un server di server per configurare un sistema di comando e controllo (C & C)
  • Il trojan è personalizzato per connettersi ai sistemi C & C;
  • Il trojan viene distribuito (tramite e-mail di spam, unità tramite download, ecc.) e i sistemi delle vittime infetti
  • I sistemi infetti avviano le connessioni ai sistemi C & C
  • L'attaccante invia comandi, aggiornamenti, ecc. alle vittime attraverso la connessione della vittima
  • I computer della vittima eseguono quindi i comandi del malware (invia spam, ricerca identità o dati della carta di credito, ricerca di segreti aziendali, ecc.)
  • I computer della vittima inviano segnalazioni e dati all'autore dell'attacco
risposta data 11.09.2014 - 11:15
fonte
0

Un trojan che apre una porta del server è uno, ma non l'unico modo per consentire a un utente malintenzionato di accedere.

Un altro metodo consiste nel far avviare il trojan da solo. Quando è attivo, il trojan aprirà una connessione a un server command-and-control sotto il controllo dell'utente malintenzionato, invierà informazioni per identificare se stesso e il computer su cui è in esecuzione e chiederà l'esecuzione dei comandi. Solitamente un router non blocca una connessione in uscita, quindi non lo impedirà.

    
risposta data 11.09.2014 - 11:22
fonte
0

Victim computer has private IP 192.168.1.147 and public IP 10.1.1.44 and attacker has private IP 192.168.0.119 and public IP 10.2.1.54, how do the two computers communicate with each other?

Assuming that victim computer has a listener on port 1234 and attacker has connector that connects to port 1234 and takes IP of victim. What IP would the attacker use? Would it be the public IP or the private IP?

Ciò è ottenuto tramite la Traduzione degli indirizzi di rete, ovvero NAT.

Il router tiene traccia di quali IP stanno comunicando su quali porte e si traduce di conseguenza.

L'attaccante si collegherà al tuo IP pubblico che a sua volta il router eseguirà "map" o NAT sul tuo IP interno sulla porta corretta.

Quanto segue ti aiuterà a spiegare NAT in modo più dettagliato: link

    
risposta data 11.09.2014 - 17:12
fonte

Leggi altre domande sui tag