Vamos a explicar algunos modelos conceptuales y tecnicas que son usadas a dia de hoy por los hackers en la etapa de ataque a un sistema.
Todos conocemos los que estas mentes brillantes pueden llegar a hacer.. y no siempre un intruso que accede a un sistema tiene que definirse como ‘hacker’ eticamente, pero vamos a tratar de generalizar un poco sobre el comportamiento de un verdadero hacker, y a intentar explicar como es que estos personajes atipicos se comportan al superar su ego y conocimientos como tambien las barreras de seguridad de los sistemas. Una intrusion se divide en varias fases o etapas, en estas se intentan reconocer un escenario objetivo donde se realizara un analisis de recoleccion y evaluacion de este.
La 1 Etapa.
Podemos denominarla Reconocimiento, y es donde intentara el intruso recolectar y evaluar todo tipo de informacion para su objetivo.Esta informacion se puede dividir de dos formas, ACTIVA o PASIVA.La Activa puede ser de una forma directa al objetivo, analizando toda via posible para un acceso a la informacion, puede componerse desde servicios corriendo hasta monitoreo en llamadas telefonicas, o vias de informacion y datos.
puede ser mediante la Ingenieria Social hacia el personal, manipulando mediante conversaciones a empleados de la red, de manera que estos sin darse cuenta transmitan informacion sensible, o importante del objetivo, tambien puede ser buscando por internet, donde haya informacion publica del objetivo.
Los detalles recolectados en esta etapa podrian determinar que tipo de configuracion posee la infraestructura/red, sistemas operativos que estos corren en sus servidores y pcs de empleados, detectar sistemas de monitoreo y control. Entre otras cosas armar una topologia de la red vista desde el punto del atacante.
** Detalle Tecnico: En esta etapa influye los metodos de Reconocimiento ACTIVOS y PASIVOSActivo: Por ejemplo, NMAP.
Pasivo: Por ejemplo, Ingenieria Social.
La 2 Etapa.
Esta fase es la de vulneracion del sistema, cuando el intruso logra comprometer el sistema. En esta parte el intruso ya piensa en varias cosas, en caso de no haber accedido como admin/root, intentaria escalar privilegios hasta lo mas alto le sea posible, para tener un control estable del sistema y totalitario. Ademas de esto dependiendo cual sea el objetivo, intentara mantener el control del sistema atacado para posteriores conexiones.
** Detalle Tecnico: En esta etapa el hecho de ganar acceso va a depender de varios tipos de factores, se ganaria acceso mediante un ataque al sistema operativo, se ganaria acceso mediante ataques a Aplicaciones o Scripts mal programados, debilidades y fallas en Politicas y Configuraciones.
Esta es una de las etapas mas complicadas y sofisticadas para el intruso, es donde ademas de vulnerar debera mantener el acceso al sistema por un tiempo determinado, algunas tecnicas que implementara para esto el intruso sera mediante:
- - Troyanos
- - Backdoors / Puertas Traseras
- - Rootkits
La 3 Etapa.
Es la etapa donde el intruso ya posee un control total del sistema, donde sortio la seguridad y todo control de monitoreo, logrando mantener el acceso y tratando de pasar como invisible ante le mirada de los admins de sistemas.
En esta etapa el intruso con los privilegios obtenidos, y un total control podria apuntar su mirada a otros dominios, seria posible ver que maquinas o servicios tienen corriendo estos y asi lograr un nuevo escenario de ataque como al principio, pero con la ventaja de que ahora ya es parte de esa infraestructura. Y todo le resultara mas facil..
En esta etapa el intruso con los privilegios obtenidos, y un total control podria apuntar su mirada a otros dominios, seria posible ver que maquinas o servicios tienen corriendo estos y asi lograr un nuevo escenario de ataque como al principio, pero con la ventaja de que ahora ya es parte de esa infraestructura. Y todo le resultara mas facil..
** Detalle Tecnico: Esta es la etapa que el intruso debera superar sino quiere hechar a perder todo su plan, donde deberia pasar por alto la vista del administrador y donde ninguna auditoria de seguridad deberia detectar su intrusion.
Despues de mantener el acceso, esta es la etapa de borrar logs, y registros de su intrusion, donde dependiendo el nivel tecnico que tenga le proveera mayor o menor discrecion.
Despues de mantener el acceso, esta es la etapa de borrar logs, y registros de su intrusion, donde dependiendo el nivel tecnico que tenga le proveera mayor o menor discrecion.
En este punto el atacante como ya habia mencionado anteriormente, dependiendo el objetivo realizara diferentes tareas en la maquina controlada, una de ellas podria ser la carga de MALWARE, esto implicaria la instalacion de software encubierto para la generacion de rastros, o manipulacion de los sistemas de monitoreo y de esta forma evitar alguna anormalidad en el sistema.
El proceso de upload & download en el sistema atacado es esencial para el atacante ya que le aseguran la permanencia dentro de este y un mejor estudio del mismo.
Claro que estas descargas deben ser de una forma sigilosa, lo primero a analizar seria mediante que rangos de puertos deberia trabajar el atacante, que no genere algun tipo de alarma, ya que esa determinada pc tiene roles implementados para que simplemente realice una determinada tarea y un puerto por ejemplo el 4444 abierto puede resultar alarmante.
Claro que estas descargas deben ser de una forma sigilosa, lo primero a analizar seria mediante que rangos de puertos deberia trabajar el atacante, que no genere algun tipo de alarma, ya que esa determinada pc tiene roles implementados para que simplemente realice una determinada tarea y un puerto por ejemplo el 4444 abierto puede resultar alarmante.
0 comentarios:
Publicar un comentario