backdoors botnets, rootkits y · otros programas, procesos, directorios, archivos y conexiones, que...
TRANSCRIPT
![Page 1: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/1.jpg)
BOTNETS, ROOTKITS Y BACKDOORS
SERVIDORES EN LA MIRA DEL CIBERCRIMEN
![Page 2: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/2.jpg)
Ataques DDoS en el mundo
![Page 3: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/3.jpg)
Red de equipos infectados (bots o zombies) controlada por el artífice de la botnet (botmaster) de forma remota, por lo general a través de servidores de Comando y Control (C&C).
Botnets
![Page 4: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/4.jpg)
Botnets (1)
![Page 5: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/5.jpg)
Estadísticas C&C
![Page 6: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/6.jpg)
● Mayor ancho de banda● Mayor capacidad de procesamiento● Uptime 24x7x365● Poca interacción con el usuario● Mayor exposición desde Internet
¿Por qué servidores?
![Page 7: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/7.jpg)
● DoS/DDoS● Spam● Distribución de malware● Proxies maliciosos● Click Fraud● Phishing● Hacktivismo
¿Para qué servidores?
¿Cómo entran? ...
![Page 8: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/8.jpg)
Webshell yBackdoors
![Page 9: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/9.jpg)
Webshells
![Page 10: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/10.jpg)
BackdoorUn “hueco” por donde un atacante puede tomar control de un sistema sin necesidad de explotar vulnerabilidades, evitando las medidas de seguridad implementadas.
● Invisibles para el usuario● Se ejecutan en modo silencioso al iniciar el sistema.● Pueden tener acceso total a las funciones del host-víctima.● Son difíciles de eliminar ya que se instalan en carpetas de sistema,
registros o cualquier dirección.● Usa un programa blinder para configurar y disfrazar al servidor
![Page 11: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/11.jpg)
Backdoor (1)
![Page 12: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/12.jpg)
Cuando la webshell no es suficiente..
![Page 13: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/13.jpg)
Vulnerabilidades y exploits
![Page 14: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/14.jpg)
Escalación de privilegiosPara realizar un daño real y persistente en un sistema, se requiere privilegios de root
Explotación de vulnerabilidades Escalación de privilegios
![Page 15: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/15.jpg)
![Page 16: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/16.jpg)
RootkitHerramienta cuya finalidad es esconderse a sí misma, esconder otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro equipo.
![Page 17: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/17.jpg)
Detectando RootkitsEn servidores Linux:● ClamAV● unhide.rb / unhide● Rkhunter● Chkrootkit● Volatility
REINSTALACIÓN DE S.O.
![Page 18: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/18.jpg)
Cómo protegernos?
![Page 19: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/19.jpg)
● Sistema Operativo:○ Linux, Windows Server
● Software:○ MySQL, PHP, Apache, BIND○ Zimbra○ Librerías: OpenSSL, glibC, etc.○ Paquetes adicionales
● Aplicaciones Web:○ CMS, Plugins, Plantillas
Actualización
![Page 20: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/20.jpg)
Contraseña robustas y Buenas prácticas
● Longitud: mínimo 12 caracteres● Combinación de caracteres● Usar frases en vez de palabras● No usar palabras comunes o de “diccionario”
DATO:Contraseñas más comunes:
1) 1234562) password3) 123456784) qwerty5) abc1236) 111111
![Page 21: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/21.jpg)
Autenticación de doble factorMedida de seguridad adicional al usuario y contraseñaUsuario + Contraseña + CÓDIGO DE SEGURIDAD
➢ Implementación de OTP con Google Authenticator para proteger SSH
![Page 22: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/22.jpg)
Hardening de SO y aplicacionesHaciéndole la vida difícil al atacante
● Desactivar y/o desinstalar servicios y software innecesarios● Evitar usar usuario root – Usar sudo● Implementar políticas de administración de usuarios y contraseñas● Otorgar los mínimos privilegios necesarios● Implementar límites de intentos fallidos de autenticación● Desactivar SUID no deseado y SGID Binarios● Activar y configurar logs de auditoría● Utilizar SELinux● Implementar mecanismos de backup● …
![Page 23: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/23.jpg)
Firewall de Aplicación Web (WAF)● ModSecurity● OpenWAF● Ironbee● ESAPI WAF
![Page 24: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/24.jpg)
Seguridad PerimetralFirewall + IDS/IPS + SIEM● Iptables● CSF● Snort● Suricata● Pfsense● OSSIM
![Page 25: BACKDOORS BOTNETS, ROOTKITS Y · otros programas, procesos, directorios, archivos y conexiones, que permite a usuarios no autorizados mantener el acceso y comandar remotamente nuestro](https://reader036.vdocumento.com/reader036/viewer/2022062415/5fc248930b445328f907e861/html5/thumbnails/25.jpg)
Defensa en Profundidad