Computing structure: Anatomía de un ataque (6)

<#“Recapitulando”…#>

(-[Artículos anteriores]-)

1, Vol.6
Captura: Computing structure: Sistemas GNU/Linux (3)
2, Vol.6
Captura: Computing structure: La importancia de un ataque (4)
3, Vol.6
Captura: Computing structure: Seguir el rastro (5)

<#Enumeración#>

La <enumeración> se utiliza paraobtenermás #información# sobre el <objetivo>. La <enumeración> –involucra conexiones activas al sistemaasí comopeticiones directas-, normalmente los #sistemas de seguridad# <alertarán y registrarán> dichos intentos.
El tipo de #información# que será ·enumerada· por los intrusos son losrecursos de red“, <recursos compartidos>, “usuarios“, <nombres de grupos>, “tablas de las rutas de red“, <aplicaciones>, “titulares“, <datos de protocolo simple de administración de red> (SNMP), etcétera.

<#Obtener acceso#>

<Obtener el acceso a un #sistema#> es laverdadera fase del <ataque>-, eldañoque puede ocasionar un #atacanteque haobtenido acceso-, es mucho mayor que de alguna otra forma. Tambiénen ocasionesel <ataque> no necesariamente depende deobtener el acceso-, puede ser que se realice alguna <denegación de servicio>. Obtener el acceso es uno de los pasosmás importantes en el proceso del <ataque>, significa el cambio de realizarpruebas en la red” (exploración y enumeración) a penetrar en la red, el acceso puede ser a nivel de #sistema#, <aplicación> o de #red#.

El ·medio· de <ataque> dependerá de lashabilidades del <atacante>·, puede conectarse por medio de una #red inalámbrica# –abierta o protegida débilmente-. Para <obtener el acceso> se utilizará algunavulnerabilidad– encontrada en la #fase anterior# mediante algunaligaque contenga un <XSS> (Crosssite scripting), un #ataque de <SQL Injection> (inyección de código)#, utilizando algún <exploit #público o privado#>, etcétera.

Laexplotaciónpuede ocurrir en <la red> (Internet), <LAN>, –de manera local o incluso mediante un #engaño o secuestro de sesión#. Una vez que el <atacante> “obtenga accesobuscará nuevos sitios para extender su daño.

Existendiversos factoresque puedenintervenirparaobtener el accesoa un <sistema>, algunos de ellos son; La #arquitectura y configuración del <sistema>#, las <habilidades del #atacante#>, #nivel de <acceso obtenidoinicialmente#.

<#Escalada de privilegios#>

Lo que el #atacante# “realizarádespués deobtener acceso a un <sistema>-, será buscar la forma de #elevar sus privilegios# en caso de que no sea <administrador o root>.

El <atacante> “posiblementetengalimitadas sus <actividades>- bajo la cuenta deJacinto” (ejemplo), es decir; teniendo <acceso> como unusuario promediono podrá #realizar# muchas cosas. Por esta razónbuscará tener <acceso>” como #administrador# o con <privilegios de #root#>.

El <proceso> deescalar privilegiosse puededefinircomo la #explotación# de alguna #vulnerabilidad# en la #aplicación o sistema operativo# que ·permita· sobrepasar lasrestriccionesimpuestas para los <usuarios promedio>, lo que da como resultado un #accesocompletoal <sistema>#.

<#Mantener el acceso#>

En esta #fase# elintruso– “intenta permanecer en el <sistema>”, el cual ha sido #comprometido#. Algunas de lasactividadesquerealizará son; <agregar usuarios conaltos privilegios“>, #robar <contraseñas> deotros usuarios o servicios“> (mediante #sniffers#, #keyloggers#) –incluso– “en algunas ocasiones” #instalaráherramientascomo <rootkits>, <troyanos>#. Un #rootkit# es unconjunto de <herramientas>- que lepermiteal #atacante# –ocultar sus actividades– (procesos, sesiones, conexiones) pueden ser a <nivel aplicación> o incluso a <nivel de núcleo>.

Al #intruso# le interesapermanecer en el <sistema>- por ·muchas razones·, algunas de ellas son; <acceder a otros #sistemas#> que tenganListas de <Control de Acceso>- (ACL), para usar el #CPU#, “utilizarelancho de banda-, #explorar o atacar# otros <sistemas>, #robar información# y muchas cosas más.

Algunos <atacantes> –corrigenlasvulnerabilidadesque ellosutilizaronpara #explotar el <sistema># de manera que nadie pueda volver a #explotarlo# (a esto en lajergase le llama #parchear# un sistema). Las <organizaciones> puedenimplementar” #Sistemas Detectores de Intrusos# (IDS) paradetectaralgunas de estas <actividades>.

<#Eliminación del rastro#>

Esta <fase> se refiere atodas las #acciones# querealizaráel <atacante>- paracubrir su rastroy poderincrementar el mal uso del #sistema# <sin serdetectado“>.

Normalmente el #atacante# –elimina laevidenciadel <ataque y de sus actividades>- (instalación de #programas#, #rootkits#) paraevitar” –acciones legales-, andar libremente en el <sistema comprometido>, <mantener elacceso“>, etcétera.

Las #técnicas# –más comunesson; <eliminar laevidenciade los #archivos de registro#> (logs). El #atacante# debe ser cuidadoso con losarchivos o programasque deja en el <sistema comprometido>. Usarátécnicasparaocultar archivos-, <directorios>, –atributos ocultos-.

<#Colocación de “puertas traseras”#>

Laspuertas traseras– (backdoor) son unmétodo <utilizado>” pararegresar al <sistema>- sin volverlo a #explotar#. Algunas otras <técnicas> son la #esteganografía# y lautilizaciónde #túneles en <TCP>#.

Aquípuede” –comenzar de nuevoel <ciclo del #ataque#>, pero ahorarealizandoelreconocimientosobre otro #objetivo#.

Cabedestacarque enalgunos casos“, teniendo una <máquina #comprometida#>, el #ataque# hacia otro <objetivo> “puede resultar mucho más sencillo. Esto se debe a que el <atacante> “podría no preocuparse ya de ser tan precavido“.

Salu2

4, Vol.6

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s