Sub7

Caballo de Troya y software de acceso remoto
Sub7
Autor(es) original(es)mafioso
Versión preliminar
2.3 / 2010
Escrito enDelfos
Sistema operativoMicrosoft Windows
TipoCaballo de Troya (informática)
Licenciasoftware gratuito
Sitio websub7crew.org

Sub7 , o SubSeven o Sub7Server , es un programa troyano (más específicamente, un troyano remoto ) lanzado originalmente en febrero de 1999. [1] [2] [3] Su nombre se derivó de escribir NetBus al revés ("suBteN") e intercambiar "diez" por "siete". A junio de 2021, el desarrollo de Sub7 continúa. [4]

Debido a que su uso típico es permitir el acceso no detectado y no autorizado, los expertos en seguridad suelen describir a Sub7 como un caballo de Troya . [5] [2] [6] [7] [8] [9] A partir de la versión 2.1 (1999), se podía controlar a través de IRC . Como lo expresó un libro de seguridad: "Esto preparó el terreno para todas las botnets maliciosas que vendrían". [7] Además, Sub7 tiene algunas características que se consideran de poca utilidad en la administración remota legítima, como el registro de pulsaciones de teclas . [7]

Sub7 funcionó en Windows 9x y en la familia de sistemas operativos Windows NT , hasta Windows 8.1 inclusive . [8]

Historia

SubSeven fue desarrollado por mobman, un programador informático originario de Craiova, Rumania. [10]

Mobman lanzó SubSeven el 28 de febrero de 1999. Su primera edición se tituló SubSeven v1.0 y contenía ecos de otro troyano de la época, Back Orifice (BO). Mobman describió a SubSeven como un clon de BO. La rama inaugural de las versiones v1.0 a v1.9 restringió la experiencia del usuario a una sola ventana, lo que las hizo sencillas y fáciles de usar. En una versión experimental de 1.9, SubSeven 1.9 Apocalypse , Mobman renovó el diseño azul/violeta anterior que se había utilizado desde v1.5.

En 2001, en un intento de reinventar el diseño, se creó la rama v2.2x. Resultó ser efímera, ya que su enfoque modular que permitía la creación de complementos y funciones personalizadas no tuvo eco entre los usuarios que carecían de las habilidades o la motivación para crear nuevas extensiones y complementos. Por lo tanto, Mobman decidió continuar con la rama 2.1.x. En 2003, la versión 2.1.5, conocida como "SubSeven Legends", marcó el final del desarrollo de SubSeven bajo la dirección de Mobman. [3]

En 2006 (sub7legends.net) volvió a abrirse con cientos de miles de usuarios y ha mantenido a Sub7 con vida gracias a descargas limpias, soporte y nuevos lanzamientos de software.

No se había producido ningún desarrollo durante varios años hasta la versión 2.3 en 2010. Esta versión se basó en el código fuente genuino de SubSeven 2.2 y 2.1.3, que el propio mobman compartió con sus amigos cercanos, "Read101" y "fc", y fueron los responsables de esta actualización. Desafortunadamente, el renacimiento no captó la atención del público como se esperaba. Esta falta de interés se debió principalmente a "fc", que estaba más interesado en monetizar la nueva versión que en mejorar su calidad. [11]

SubSeven 2.3, lanzado el 9 de marzo de 2010, fue renovado para funcionar en todas las versiones de 32 y 64 bits de Windows e incluye TCP Tunnel y Password Recovery para navegadores, mensajeros instantáneos y clientes de correo electrónico. Tenía muchos errores. El sitio web que afirmaba hacer esto ya no está activo.

En junio de 2021, Jean-Pierre Lesueur (DarkCoderSc) lanzó desde cero una nueva versión completa de SubSeven versión 2.2. Esta versión mantuvo un aspecto similar al original. Desde entonces, el desarrollo ha cesado y el código fuente se ha puesto a disposición del público. [12]

En octubre de 2023, "IllWill", un ex miembro del equipo Sub7 de los años 90 y principios de los 2000, dio una charla en BSides CT 2023. [13] Esta presentación profundizó en la historia detrás de mobman, revelando varios hechos desconocidos sobre el misterioso desarrollador. La charla concluyó con IllWill publicando el código fuente oficial y genuino de SubSeven 2.1.2/3 en su Gitlab. [14] Este lanzamiento fue posible gracias a la contribución directa de mobman y con su bendición.

Hasta el momento, no se han publicado oficialmente otras versiones de SubSeven, aparte de la versión 2.1.2/3 de IllWill. La versión 2.2 de SubSeven sigue en posesión exclusiva de mobman, Read101, fc y DarkCoderSc.

En un artículo de 2013 de Rolling Stone , se identificó que Mobman era un hombre estadounidense. [15] En un episodio de octubre de 2024 del podcast Darknet Diaries , un hombre que decía ser de Rumania y residir en Canadá y ser el verdadero Mobman confrontó al estadounidense, señalando inconsistencias en su historia como que la primera versión de Sub7 decía "De Windsor, Ontario ", a lo que el estadounidense dijo que nunca había estado. [16]

Arquitectura y características

Al igual que otros programas de administración remota, Sub7 se distribuye con un servidor y un cliente . El servidor es el programa que el host debe ejecutar para que sus máquinas sean controladas de forma remota, y el cliente es el programa con una interfaz gráfica de usuario que el usuario ejecuta en su propia máquina para controlar el servidor/PC host. El experto en seguridad informática Steve Gibson dijo una vez que con estas características, Sub7 permite a un hacker tomar "control prácticamente completo" sobre una computadora. Sub7 es tan invasivo, dijo, que cualquiera que lo tenga en su computadora "podría tener al hacker parado justo al lado" mientras usa su computadora. [17]

Sub7 tiene más funciones que Netbus (captura de cámara web, redirección de múltiples puertos, editor de registro fácil de usar, chat y más).

Según un análisis de seguridad, [18] las características del lado del servidor (computadora de destino) de Sub7 incluyen:

  • Grabación:
    • Archivos de sonido de un micrófono conectado a la máquina
    • Imágenes de una cámara de vídeo conectada
    • Capturas de pantalla de la computadora
  • Recuperar una lista de contraseñas registradas y almacenadas en caché
  • Toma de control de una cuenta ICQ utilizada en la máquina de destino (en aquel entonces, el servicio de mensajería más popular); añadido en la versión 2.1. Esto incluía la capacidad de desactivar el uso local de la cuenta y leer el historial de chat
  • Características que presumiblemente estaban destinadas a ser utilizadas con fines de broma o irritantes, entre ellas:
    • Cambiar los colores del escritorio
    • Apertura y cierre de la unidad óptica
    • Intercambiar los botones del ratón
    • Apagado y encendido del monitor
    • Sintetizador de voz "text2speech" que permitía al controlador remoto hacer que la computadora "hablara" con su usuario
  • Funciones de prueba de penetración , incluido un escáner de puertos y un redirector de puertos

En el lado del cliente, el software tenía una "libreta de direcciones" que permitía al controlador saber cuándo estaban en línea los ordenadores de destino. Además, el programa del servidor podía personalizarse antes de ser entregado por un denominado editor de servidores (una idea tomada de Back Orifice 2000 ). Las personalizaciones posibles con el editor de servidores Sub7 incluían cambiar las direcciones de los puertos, mostrar un mensaje personalizado tras la instalación que podía utilizarse, por ejemplo, "para engañar a la víctima y enmascarar la verdadera intención del programa". [18] El servidor Sub7 también podía configurarse para notificar al controlador los cambios de dirección IP de la máquina anfitriona por correo electrónico, ICQ o IRC. [19]

Las conexiones a los servidores Sub7 pueden protegerse con una contraseña elegida. [19] Sin embargo, un análisis de ingeniería inversa más profundo reveló que "el autor de SubSeven ha incluido en secreto una contraseña maestra codificada para todos sus troyanos. El propio troyano ha sido troyanizado". [9] Para la versión 1.9, la contraseña maestra es predatox y 14438136782715101980 para las versiones 2.1 a 2.2b. La contraseña maestra para la puerta trasera SubSeven DEFCON8 2.1 es acidphreak. [20]

Usos e incidencias

SubSeven se ha utilizado para obtener acceso no autorizado a ordenadores, ya que también funcionaba como keylogger. Si bien puede utilizarse para causar problemas (como hacer que se reproduzcan archivos de sonido de la nada, cambiar los colores de la pantalla, etc.), también puede leer las pulsaciones de teclas realizadas desde el último arranque, una capacidad que puede utilizarse para robar contraseñas, números de tarjetas de crédito y otros datos confidenciales. [21]

En 2003, un hacker comenzó a distribuir un correo electrónico en español que pretendía ser de la empresa de seguridad Symantec y que se utilizó para engañar a los destinatarios para que descargaran Sub7. [22]

Aunque Sub7 no es en sí un gusano (no tiene características de autopropagación incorporadas), algunos gusanos lo han aprovechado, como W32/Leaves (2001). [6] [23]

Algunas versiones de Sub7 incluyen código de Hard Drive Killer Pro para formatear el disco duro; este código solo se ejecutará si coincide con el número ICQ de "7889118" (autor del troyano rival de Mobman). [24]

Véase también

Referencias

  1. ^ "Sub7 Legacy". www.sub7crew.org . Consultado el 19 de junio de 2021 .
  2. ^ de John R. Vacca (2013). Seguridad de redes y sistemas (2.ª ed.). Elsevier. pág. 63. ISBN 978-0-12-416695-0.
  3. ^ ab Lesueur, Jean-Pierre (18 de julio de 2023). "Una retrospectiva del malware: SubSeven". Medio .
  4. ^ "Sub7 Legacy". www.sub7crew.org . Consultado el 19 de junio de 2021 .
  5. ^ Christopher A. Crayton (2003). Guía de exámenes Security+. Cengage Learning. pág. 340. ISBN 1-58450-251-7.
  6. ^ ab Mohssen Mohammed; Al-Sakib Khan Pathan (julio de 2013). Defensa automática contra gusanos polimórficos de día cero en redes de comunicación. CRC Press. p. 105. ISBN 978-1-4822-1905-0.
  7. ^ abc Craig Schiller; James R. Binkley (2011). Botnets: las aplicaciones web asesinas. Syngress. pág. 8. ISBN 978-0-08-050023-2.
  8. ^ de Diane Barrett; Todd King (2005). Redes informáticas iluminadas. Jones & Bartlett Learning. págs. 521–. ISBN 978-0-7637-2676-8.
  9. ^ ab Ciro Peikari; Antón Chuvakin (2004). Guerrero de seguridad . Medios O'Reilly. pag. 31.ISBN 978-0-596-55239-8.
  10. ^ "Una retrospectiva sobre malware: SubSeven". medium.com . Consultado el 5 de febrero de 2024 .
  11. ^ "Una retrospectiva sobre malware: SubSeven". medium.com . Consultado el 5 de febrero de 2024 .
  12. ^ "Sub7 Legacy". www.github.com . Consultado el 19 de junio de 2021 .
  13. ^ "BSides CT 2023 - illwill: EN BUSCA DE MOBMAN". www.youtube.com . Consultado el 7 de octubre de 2023 .
  14. ^ "Sub7". www.gitlab.com . Consultado el 7 de octubre de 2023 .
  15. ^ Kushner, David (septiembre de 2013). "Los geeks en primera línea". Rolling Stone . Consultado el 3 de octubre de 2024 .
  16. ^ Rhysider, Jack (1 de octubre de 2024). "EP 150: Mobman 2". Darknet Diaries . Consultado el 2 de octubre de 2024 .
  17. ^ Gibson, Steve . La extraña historia de los ataques de denegación de servicio en grc.com. 2002-03-05.
  18. ^ ab Crapanzano, Jamie (2003), "Deconstruyendo SubSeven, el caballo de Troya de la elección", SANS Institute Information Security Reading
  19. ^ de Eric Cole (2002). Hackers, cuidado. Sams Publishing. pág. 569. ISBN 978-0-7357-1009-2.
  20. ^ SANS, un riesgo para su seguridad en Internet Nombre del capítulo: "El funcionamiento interno de Sub7" en la página 14 se indican varias contraseñas maestras utilizadas.
  21. ^ Análisis de Sub7 de Sophos
  22. ^ "Informe de Symantec sobre Sub7". Symantec.com. Archivado desde el original el 10 de noviembre de 2006. Consultado el 28 de agosto de 2012 .
  23. ^ "La División CERT | Instituto de Ingeniería de Software".
  24. ^ admin (14 de diciembre de 2018). "¿Quién es el verdadero mafioso?". illmob . Consultado el 15 de julio de 2020 .
  • Sitio web
  • http://www.giac.org/paper/gcih/36/subseven-213-bonus/100239
  • Podcast Darknet Diaries, episodio 20: Mobman
  • Captura de pantalla del archivo README de Subseven V2.2
  • https://come.to/subseven/
  • Código fuente de Sub7 2.1.2/3
  • Retrospectiva del malware: SubSeven
  • Lados B CT 2023
  • Episodio 150 del podcast Darknet Diaries: Mobman 2
Obtenido de "https://es.wikipedia.org/w/index.php?title=Sub7&oldid=1260188975"