PDF de programación - BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMEN

BOTNETS, ROOTKITS Y

BACKDOORS

SERVIDORES EN LA MIRA DEL

CIBERCRIMEN

Ataques DDoS en el mundo

Botnets

Red de equipos infectados (bots o zombies) controlada por el artífice de la botnet
(botmaster) de forma remota, por lo general a través de servidores de Comando y
Control (C&C).

Botnets (1)

Estadísticas C&C

¿Por qué servidores?

● Mayor ancho de banda
● Mayor capacidad de procesamiento
● Uptime 24x7x365
● Poca interacción con el usuario
● Mayor exposición desde Internet

¿Para qué servidores?

● DoS/DDoS
● Spam
● Distribución de malware
● Proxies maliciosos
● Click Fraud
● Phishing
● Hacktivismo

¿Cómo entran? ...

Webshell y
Backdoors

Webshells

Backdoor

Un “hueco” por donde un atacante puede tomar control de un sistema
sin necesidad de explotar vulnerabilidades, evitando las medidas de
seguridad implementadas.

● Invisibles para el usuario
● Se ejecutan en modo silencioso al iniciar el sistema.
● Pueden tener acceso total a las funciones del host-víctima.
● Son difíciles de eliminar ya que se instalan en carpetas de sistema,

registros o cualquier dirección.

● Usa un programa blinder para configurar y disfrazar al servidor

Backdoor (1)

Cuando la webshell no es suficiente..

Vulnerabilidades y exploits

Escalación de privilegios

Para realizar un daño real y persistente en un sistema, se requiere
privilegios de root

Explotación de vulnerabilidades

Escalación de privilegios

Rootkit

Herramienta cuya finalidad es esconderse a sí misma, esconder
otros programas, procesos, directorios, archivos y conexiones, que
permite a usuarios no autorizados mantener el acceso y comandar
remotamente nuestro equipo.

Detectando Rootkits

En servidores Linux:
● ClamAV
● unhide.rb / unhide
● Rkhunter
● Chkrootkit
● Volatility

REINSTALACIÓN DE S.O.

Cómo protegernos?

Actualización

● Sistema Operativo:

○ Linux, Windows Server

● Software:

○ MySQL, PHP, Apache, BIND
○ Zimbra
○ Librerías: OpenSSL, glibC, etc.
○ Paquetes adicionales

● Aplicaciones Web:

○ CMS, Plugins, Plantillas

Contraseña robustas y Buenas prácticas

● Longitud: mínimo 12 caracteres
● Combinación de caracteres
● Usar frases en vez de palabras
● No usar palabras comunes o de “diccionario”

DATO:
Contraseñas más comunes:

1)
2)
3)
4)
5)
6)

123456
password
12345678
qwerty
abc123
111111

Autenticación de doble factor

Medida de seguridad adicional al usuario y contraseña
Usuario + Contraseña + CÓDIGO DE SEGURIDAD

➢ Implementación de OTP con Google Authenticator para proteger SSH

Hardening de SO y aplicaciones

Haciéndole la vida difícil al atacante

● Desactivar y/o desinstalar servicios y software innecesarios
● Evitar usar usuario root – Usar sudo
● Implementar políticas de administración de usuarios y contraseñas
● Otorgar los mínimos privilegios necesarios
● Implementar límites de intentos fallidos de autenticación
● Desactivar SUID no deseado y SGID Binarios
● Activar y configurar logs de auditoría
● Utilizar SELinux
● Implementar mecanismos de backup
● …

Firewall de Aplicación Web (WAF)

● ModSecurity
● OpenWAF
● Ironbee
● ESAPI WAF

Seguridad Perimetral

Firewall + IDS/IPS + SIEM
● Iptables
● CSF
● Snort
● Suricata
● Pfsense
● OSSIM

Defensa en Profundidad

Muchas gracias!

www.cert.gov.py

denuncias: [email protected]
contactos: [email protected]