PDF de programación - BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMEN

<<>>
Imágen de pdf BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMEN

BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMENgráfica de visualizaciones

Actualizado el 21 de Marzo del 2018 (Publicado el 28 de Diciembre del 2017)
496 visualizaciones desde el 28 de Diciembre del 2017
1,8 MB
26 paginas
BOTNETS, ROOTKITS Y

BACKDOORS

SERVIDORES EN LA MIRA DEL

CIBERCRIMEN

Ataques DDoS en el mundo

Botnets

Red de equipos infectados (bots o zombies) controlada por el artífice de la botnet
(botmaster) de forma remota, por lo general a través de servidores de Comando y
Control (C&C).

Botnets (1)

Estadísticas C&C

¿Por qué servidores?

● Mayor ancho de banda
● Mayor capacidad de procesamiento
● Uptime 24x7x365
● Poca interacción con el usuario
● Mayor exposición desde Internet

¿Para qué servidores?

● DoS/DDoS
● Spam
● Distribución de malware
● Proxies maliciosos
● Click Fraud
● Phishing
● Hacktivismo

¿Cómo entran? ...

Webshell y
Backdoors

Webshells

Backdoor

Un “hueco” por donde un atacante puede tomar control de un sistema
sin necesidad de explotar vulnerabilidades, evitando las medidas de
seguridad implementadas.

● Invisibles para el usuario
● Se ejecutan en modo silencioso al iniciar el sistema.
● Pueden tener acceso total a las funciones del host-víctima.
● Son difíciles de eliminar ya que se instalan en carpetas de sistema,

registros o cualquier dirección.

● Usa un programa blinder para configurar y disfrazar al servidor

Backdoor (1)

Cuando la webshell no es suficiente..

Vulnerabilidades y exploits

Escalación de privilegios

Para realizar un daño real y persistente en un sistema, se requiere
privilegios de root

Explotación de vulnerabilidades

Escalación de privilegios

Rootkit

Herramienta cuya finalidad es esconderse a sí misma, esconder
otros programas, procesos, directorios, archivos y conexiones, que
permite a usuarios no autorizados mantener el acceso y comandar
remotamente nuestro equipo.

Detectando Rootkits

En servidores Linux:
● ClamAV
● unhide.rb / unhide
● Rkhunter
● Chkrootkit
● Volatility

REINSTALACIÓN DE S.O.

Cómo protegernos?

Actualización

● Sistema Operativo:

○ Linux, Windows Server

● Software:

○ MySQL, PHP, Apache, BIND
○ Zimbra
○ Librerías: OpenSSL, glibC, etc.
○ Paquetes adicionales

● Aplicaciones Web:

○ CMS, Plugins, Plantillas

Contraseña robustas y Buenas prácticas

● Longitud: mínimo 12 caracteres
● Combinación de caracteres
● Usar frases en vez de palabras
● No usar palabras comunes o de “diccionario”

DATO:
Contraseñas más comunes:

1)
2)
3)
4)
5)
6)

123456
password
12345678
qwerty
abc123
111111

Autenticación de doble factor

Medida de seguridad adicional al usuario y contraseña
Usuario + Contraseña + CÓDIGO DE SEGURIDAD

➢ Implementación de OTP con Google Authenticator para proteger SSH

Hardening de SO y aplicaciones

Haciéndole la vida difícil al atacante

● Desactivar y/o desinstalar servicios y software innecesarios
● Evitar usar usuario root – Usar sudo
● Implementar políticas de administración de usuarios y contraseñas
● Otorgar los mínimos privilegios necesarios
● Implementar límites de intentos fallidos de autenticación
● Desactivar SUID no deseado y SGID Binarios
● Activar y configurar logs de auditoría
● Utilizar SELinux
● Implementar mecanismos de backup
● …

Firewall de Aplicación Web (WAF)

● ModSecurity
● OpenWAF
● Ironbee
● ESAPI WAF

Seguridad Perimetral

Firewall + IDS/IPS + SIEM
● Iptables
● CSF
● Snort
● Suricata
● Pfsense
● OSSIM

Defensa en Profundidad

Muchas gracias!

www.cert.gov.py

denuncias: abuse@cert.gov.py
contactos: cert@cert.gov.py
  • Links de descarga
http://lwp-l.com/pdf8058

Comentarios de: BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMEN (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad