backdoors botnets, rootkits y
TRANSCRIPT
![Page 1: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/1.jpg)
BOTNETS, ROOTKITS Y BACKDOORS
SERVIDORES EN LA MIRA DEL CIBERCRIMEN
![Page 2: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/2.jpg)
Todo el contenido de esta presentación es únicamente con fines didácticos y educativos. El uso indebido de las técnicas y/o conocimientos utilizadas en esta presentación puede ir en contra de las leyes nacionales e internacionales. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentación. La información contenida debe ser utilizada únicamente para fines éticos y con la debida autorización.
Disclaimer
![Page 3: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/3.jpg)
Riesgos y Amenazas
![Page 4: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/4.jpg)
Ataques DDoS en el mundo
![Page 5: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/5.jpg)
Red de equipos infectados (bots o zombies) controlada por el artífice de la botnet (botmaster) de forma remota, por lo general a través de servidores de Comando y Control (C&C).
Botnets
![Page 6: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/6.jpg)
Botnets (1)
![Page 7: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/7.jpg)
Estadísticas C&C
![Page 8: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/8.jpg)
● Mayor ancho de banda● Mayor capacidad de procesamiento● Uptime 24x7x365● Poca interacción con el usuario● Mayor exposición desde Internet
¿Por qué servidores?
![Page 9: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/9.jpg)
● DoS/DDoS● Spam● Distribución de malware● Proxies maliciosos● Click Fraud● Phishing● Hacktivismo
¿Para qué servidores?
¿Cómo entran? ...
![Page 10: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/10.jpg)
Webshell yBackdoors
![Page 11: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/11.jpg)
Webshells
![Page 12: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/12.jpg)
BackdoorUn “hueco” por donde un atacante puede tomar control de un sistema sin necesidad de explotar vulnerabilidades, evitando las medidas de seguridad implementadas.
● Invisibles para el usuario● Se ejecutan en modo silencioso al iniciar el sistema.● Pueden tener acceso total a las funciones del host-víctima.● Son difíciles de eliminar ya que se instalan en carpetas de sistema,
registros o cualquier dirección.● Usa un programa blinder para configurar y disfrazar al servidor
![Page 13: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/13.jpg)
Backdoor (1)
![Page 14: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/14.jpg)
![Page 15: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/15.jpg)
Cómo detectarlos?Herramientas y técnicas:
● Findbot: http://cbl.abuseat.org/findbot.pl● Shelldetect: http://shelldetector.com/● img-analize.sh: script desarrollado por el CERT-PY● Comandos útiles: grep, find, locate, ps, netstat
Posibles indicadores:● Nombres de archivos extraños o desconocidos● Patrones atípicos● Permisos, dueños y grupos● Fechas de creación y modificación● Procesos extraños o desconocidos● Conexiones y puertos extraños o desconocidos
![Page 16: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/16.jpg)
Servidores como plataforma de distribución de Malware
![Page 17: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/17.jpg)
Drive by Download● Sólo se requiere que un usuario abra una página web en el
navegador para infectarlo.● El payload malicioso explota una vulnerabilidad y se ejecuta
![Page 18: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/18.jpg)
Drive by Download (1)
![Page 19: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/19.jpg)
Cuando la webshell no es suficiente..
![Page 20: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/20.jpg)
Vulnerabilidades y exploits
![Page 21: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/21.jpg)
Vulnerabilidades y exploits (1)
![Page 22: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/22.jpg)
![Page 23: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/23.jpg)
RootkitHerramienta cuya finalidad es esconderse a sí misma, esconder otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro equipo.
![Page 24: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/24.jpg)
Detectando RootkitsEn servidores Linux:● ClamAV● unhide.rb / unhide● Rkhunter● Chkrootkit
REINSTALACIÓN DE S.O.
![Page 25: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/25.jpg)
Cómo protegernos?
![Page 26: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/26.jpg)
● Sistema Operativo:○ Linux, Windows Server
● Software:○ MySQL○ PHP○ Apache○ Zimbra○ Librerias: OpenSSL, glibC, etc.○ BIND○ Paquetes adicionales
Actualización
![Page 27: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/27.jpg)
Aplicaciones Web:● CMS: Wordpress, Joomla, Concrete5, Alfresco, Liferay● Plugins y componentes● Temas y plantillas● Librerias: PHP, Java, ASP.NET, Ruby On Rails, Python, PERL● Servidor: Apache, IIS, nginx● Base de datos: MySQL, Oracle, MSSQL
Actualización (1)
![Page 28: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/28.jpg)
Contraseña robustas
● Longitud: mínimo 12 caracteres – no hay máximo● Combinación de caracteres● Usar frases en vez de palabras● No usar palabras comunes o de “diccionario”
DATO:Contraseñas más comunes:
1) 1234562) password3) 123456784) qwerty5) abc1236) 111111
![Page 29: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/29.jpg)
Buenas prácticas de contraseñas● No usar la misma contraseña para todo
● Cambiar contraseñas regularmente
● Cambiar las contraseñas por defecto
● No escribirlas en papeles o documentos accesibles
![Page 30: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/30.jpg)
Autenticación de doble factor�Medida de seguridad adicional al usuario y contraseña
Usuario + Contraseña + CÓDIGO DE SEGURIDAD
1) Algo que el usuario sabe → contraseña
2) Algo que el usuario tiene → teléfono
3) Algo que el usuario es → huella dactilar
![Page 31: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/31.jpg)
Autenticación de doble factor (1)● Implementacion de OTP con Google Authenticator para proteger SSH
![Page 32: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/32.jpg)
Hardening de SO y aplicacionesHaciéndole la vida difícil al atacante
● Desactivar y/o desinstalar servicios y software innecesarios● Evitar usar usuario root – Usar sudo● Implementar políticas de administración de usuarios y contraseñas● Otorgar los mínimos privilegios necesarios● Implementar límites de intentos fallidos de autenticación● Desactivar SUID no deseado y SGID Binarios● Activar y configurar logs de auditoría● Utilizar SELinux● Implementar mecanismos de backup● …
![Page 33: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/33.jpg)
Firewall de Aplicación Web (WAF)● ModSecurity● OpenWAF● Ironbee● ESAPI WAF
![Page 34: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/34.jpg)
Seguridad PerimetralFirewall + IDS/IPS + SIEM● Iptables● CSF● Snort● Suricata● Pfsense● OSSIM
![Page 35: BACKDOORS BOTNETS, ROOTKITS Y](https://reader034.vdocuments.co/reader034/viewer/2022050407/627075edfd59b8090e13a7e7/html5/thumbnails/35.jpg)
Defensa en Profundidad