BOTNETS, ROOTKITS Y
BACKDOORS
SERVIDORES EN LA MIRA DEL
CIBERCRIMEN
Ataques DDoS en el mundo
Botnets
Red de equipos infectados (bots o zombies) controlada por el artífice de la botnet
(botmaster) de forma remota, por lo general a través de servidores de Comando y
Control (C&C).
Botnets (1)
Estadísticas C&C
¿Por qué servidores?
● Mayor ancho de banda
● Mayor capacidad de procesamiento
● Uptime 24x7x365
● Poca interacción con el usuario
● Mayor exposición desde Internet
¿Para qué servidores?
● DoS/DDoS
● Spam
● Distribución de malware
● Proxies maliciosos
● Click Fraud
● Phishing
● Hacktivismo
¿Cómo entran? ...
Webshell y
Backdoors
Webshells
Backdoor
Un “hueco” por donde un atacante puede tomar control de un sistema
sin necesidad de explotar vulnerabilidades, evitando las medidas de
seguridad implementadas.
● Invisibles para el usuario
● Se ejecutan en modo silencioso al iniciar el sistema.
● Pueden tener acceso total a las funciones del host-víctima.
● Son difíciles de eliminar ya que se instalan en carpetas de sistema,
registros o cualquier dirección.
● Usa un programa blinder para configurar y disfrazar al servidor
Backdoor (1)
Cuando la webshell no es suficiente..
Vulnerabilidades y exploits
Escalación de privilegios
Para realizar un daño real y persistente en un sistema, se requiere
privilegios de root
Explotación de vulnerabilidades
Escalación de privilegios
Rootkit
Herramienta cuya finalidad es esconderse a sí misma, esconder
otros programas, procesos, directorios, archivos y conexiones, que
permite a usuarios no autorizados mantener el acceso y comandar
remotamente nuestro equipo.
Detectando Rootkits
En servidores Linux:
● ClamAV
● unhide.rb / unhide
● Rkhunter
● Chkrootkit
● Volatility
REINSTALACIÓN DE S.O.
Cómo protegernos?
Actualización
● Sistema Operativo:
○ Linux, Windows Server
● Software:
○ MySQL, PHP, Apache, BIND
○ Zimbra
○ Librerías: OpenSSL, glibC, etc.
○ Paquetes adicionales
● Aplicaciones Web:
○ CMS, Plugins, Plantillas
Contraseña robustas y Buenas prácticas
● Longitud: mínimo 12 caracteres
● Combinación de caracteres
● Usar frases en vez de palabras
● No usar palabras comunes o de “diccionario”
DATO:
Contraseñas más comunes:
1)
2)
3)
4)
5)
6)
123456
password
12345678
qwerty
abc123
111111
Autenticación de doble factor
Medida de seguridad adicional al usuario y contraseña
Usuario + Contraseña + CÓDIGO DE SEGURIDAD
➢ Implementación de OTP con Google Authenticator para proteger SSH
Hardening de SO y aplicaciones
Haciéndole la vida difícil al atacante
● Desactivar y/o desinstalar servicios y software innecesarios
● Evitar usar usuario root – Usar sudo
● Implementar políticas de administración de usuarios y contraseñas
● Otorgar los mínimos privilegios necesarios
● Implementar límites de intentos fallidos de autenticación
● Desactivar SUID no deseado y SGID Binarios
● Activar y configurar logs de auditoría
● Utilizar SELinux
● Implementar mecanismos de backup
● …
Firewall de Aplicación Web (WAF)
● ModSecurity
● OpenWAF
● Ironbee
● ESAPI WAF
Seguridad Perimetral
Firewall + IDS/IPS + SIEM
● Iptables
● CSF
● Snort
● Suricata
● Pfsense
● OSSIM
Defensa en Profundidad
Muchas gracias!
www.cert.gov.py
denuncias:
[email protected]
contactos:
[email protected]
Comentarios de: BOTNETS, ROOTKITS Y BACKDOORS - SERVIDORES EN LA MIRA DEL CIBERCRIMEN (0)
No hay comentarios