Curso de Seguridad Informática - Módulo 5 - Ataques Informáticos

Curso de Pentesting, Seguridad Informática

curso-de-seguridad-informatica-modulo-5-ataques-informaticos

En los módulos anteriores vimos la teoría y práctica de como encontrar información vital sobre un objetivo, en el módulo 5 hablaremos sobre los ataques informáticos que se pueden realizar contra un sistema o red objetivo, este módulo es mas propio del hackeo de sistemas, pertenece a la fase del pentesting donde lanzamos nuestros ataques buscando romper la seguridad que tiene nuestro objetivo en busqueda de mejorar la seguridad del propio objetivo, también vamos a ver ataques simulados en un entorno controlado en la práctica de este módulo del curso de seguridad informática gratuito.

Curso completo: gburu.net/csi, aquí encontrarás todo el temario de este curso gratis de seguridad informática, en un solo lugar.

Responsabilidad:
Este curso de hacking ético esta orientado a fines educativos para mejorar tus habilidades en seguridad informática para planificar y diseñar redes mas seguras, no incita a cometer actividades ilegales en sistemas o redes de terceras personas, si cometes una actividad ilicita en un sistema o red lo haras bajo tu propia responsabilidad. Si quieres practicar y mejorar tus habilidades en ethical hacking hazlo bajo sistemas donde tengas un permiso legal o sean tuyos, te recomiendo utilizar ímagenes de sistemas operativos instalados en máquinas virtuales en un ambiente controlado.

Temario: Módulo 5 - Ataques Informáticos

Objetivos del Módulo 5

En módulos anteriores vimos como un ataque se acerca poco a poco hasta un sistema o red objetivo, primero reconoce su IP, luego sus puertos abiertos y servicios y después enumerar de forma activa que información extra se puede conseguir, pero esto no implica que ya realizo su ataque en este módulo del curso de seguridad informática vamos a ver lo siguiente:

  • Antes de un ataque informático
  • Objetivos de los ataques informáticos
  • Descifrado de contraseñas
  • Como defender nuestras contraseñas
  • Escalada de privilegios
  • Detectar Rootkits
  • Anti Rootkits
  • Ejecución de aplicaciones
  • Clasificación de esteganografía
  • Métodos de esteganálisis
  • Ataques con esteganografía
  • Tipos de Keyloggers y Spywares
  • Prevención contra Keyloggers y Spywares
  • Manipulación de la corriente (Stream) NTFS
  • Borrado de las huellas
  • El ataque de sistemas en el Pentesting

Antes de un Ataque Informático

Antes de que se realicé o realizamos un ataque informático el atacante o el pentester, tuvo que haber recopilado información, como lo vimos en las fases del pentesting. Antes de comenzar una auditoria del sistema para finalmente lanzar un ataque efectivo tenemos que realizar lo siguiente:

  • Reconocimiento
    El reconocimiento o también llamado la huella, es el proceso de acumulación de datos con respecto a un entorno de red específico. Por lo general, esta técnica se aplica con el fin de encontrar formas de inmiscuirse en el entorno de red. Dado que la huella se puede usar para atacar un sistema, también se puede usar para protegerlo. En la fase del reconocimiento, el atacante crea un perfil de la organización objetivo, con información como su rango de direcciones IP, espacio de nombres y uso de la web de los empleados.

La huella mejora la facilidad con la que se pueden explotar los sistemas al revelar las vulnerabilidades del sistema. La determinación del objetivo y la ubicación de una intrusión es el paso principal involucrado en la huella. Una vez que se conoce el objetivo y la ubicación de una intrusión, mediante el uso de métodos no intrusivos, se puede recopilar información específica sobre la organización.

Por ejemplo, la página web de la organización misma puede proporcionar biografías de los empleados o un directorio de personal, que el hacker puede usar para la ingeniería social para alcanzar el objetivo. La realización de una consulta de Whois en la web proporciona las redes asociadas y los nombres de dominio relacionados con una organización específica.

  • Escaneo
    El escaneo es un procedimiento para identificar hosts activos en una red, ya sea para evaluar la seguridad de la red o para atacarlos. En la fase de reconocimiento, el atacante encuentra información sobre la evaluación del objetivo a través de sus direcciones IP a las que se puede acceder a través de Internet. El escaneo se refiere principalmente a la identificación de sistemas en una red y la identificación de servicios que se ejecutan en cada computadora.

Algunos de los procedimientos de escaneo, como escaneos de puertos y barridos de ping, devuelven información sobre los servicios ofrecidos por los hosts activos que están activos en Internet y sus direcciones IP. El procedimiento de escaneo de mapeo inverso devuelve la información sobre las direcciones IP que no se asignan a los hosts en vivo, esto permite a un atacante hacer suposiciones sobre direcciones factibles.

  • Enumeración
    La enumeración es el método de indagación intrusiva en la evaluación del objetivo a través del cual los atacantes recopilan información de forma activa, como listas de usuarios de red, tablas de enrutamiento y datos del Protocolo simple de administración de redes (SNMP). Esto es significativo porque el atacante cruza el territorio objetivo para desenterrar información sobre la red y usuarios, grupos, aplicaciones y pancartas.

El objetivo del atacante es identificar cuentas de usuario válidas o grupos en los que pueda permanecer discreto una vez que el sistema se haya visto comprometido. La enumeración implica hacer conexiones activas al sistema objetivo o someterlo a consultas directas. Normalmente, un sistema de alerta y seguro registrará dichos intentos. A menudo, la información recopilada es lo que el objetivo podría haber hecho público, como una dirección DNS, sin embargo, es posible que el atacante se tropiece con un recurso compartido remoto de IPC, como IPC$ en Windows, que se puede probar con una sesión nula que permita enumerar acciones y cuentas.

Objetivos de un Ataque Informático

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-1

Todo delincuente comete un crimen para lograr un objetivo determinado. Del mismo modo, un atacante también puede tener ciertos objetivos detrás de realizar ataques en un sistema. Los siguientes pueden ser algunos de los objetivos de los atacantes al cometer ataques contra un sistema. La tabla muestra el objetivo de un atacante en diferentes etapas del hacking y la técnica utilizada para lograr ese objetivo.

  • Ganar acceso: para recopilar suficiente información para obtener acceso
  • Escalada de privilegios: para crear una cuenta de usuario con privilegios si se obtiene el nivel de usuario
  • Ejecución de aplicaciones: para crear y mantener acceso de puerta trasera
  • Ocultar archivos: para ocultar archivos maliciosos
  • Borrar huellas: para ocultar la presencia de compromiso

Descifrado de Contraseñas

El descifrado de contraseñas es el proceso de recuperación de contraseñas a partir de los datos que han sido transmitidos por un sistema informático o almacenados en él. El propósito del descifrado de contraseñas podría ser ayudar al usuario a recuperar una contraseña olvidada o perdida, como una medida preventiva por parte de los administradores del sistema para buscar contraseñas fáciles de descifrar o también puede usarse para obtener acceso no autorizado a un sistema.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-2

Muchos intentos de ataques informáticos comienzan con intentos de descifrado de contraseñas. Las contraseñas son la información clave necesaria para acceder a un sistema. En consecuencia, la mayoría de los atacantes usan técnicas de descifrado de contraseñas para obtener acceso no autorizado al sistema vulnerable. Las contraseñas se pueden descifrar manualmente o con herramientas automatizadas, como un diccionario o un método de fuerza bruta.

Los programas informáticos que están diseñados para descifrar contraseñas son las funciones de la cantidad de contraseñas posibles por segundo que pueden verificarse. A menudo, los usuarios, al crear contraseñas, seleccionan las contraseñas que están predispuestas a romperse, como usar el nombre de una mascota o elegir una que sea simple para que puedan recordarla. La mayoría de las técnicas de descifrado de contraseñas son exitosas debido a contraseñas débiles o de fácil acceso.


La complejidad de la contraseña

La complejidad de la contraseña juega un papel clave en la mejora de la seguridad contra los ataques de descifrado. Es el elemento importante que los usuarios deben garantizar al crear una contraseña. La contraseña no debe ser simple, ya que las contraseñas simples son propensas a los ataques. Las contraseñas que elija siempre deben ser complejas, largas y difíciles de recordar. La contraseña que está configurando para su cuenta debe cumplir con la configuración de la política de requisitos de complejidad.

Como crear una contraseña segura en el 2018

Los caracteres de contraseña deben ser una combinación de caracteres alfanuméricos. Los caracteres alfanuméricos consisten en letras, números, signos de puntuación y símbolos matemáticos y otros símbolos convencionales.


Técnicas de descifrado de contraseñas

El descifrado de contraseñas es la técnica utilizada para descubrir contraseñas. Es la manera clásica de obtener privilegios para un sistema o red informática. El enfoque común para descifrar una contraseña es intentar continuamente adivinar la contraseña con varias combinaciones hasta que obtenga la correcta. Existen cinco técnicas para descifrar contraseñas:

  1. Ataques de diccionarios: en un ataque de diccionario, se carga un archivo de diccionario en la aplicación de cracking que se ejecuta contra cuentas de usuario. Este diccionario es el archivo de texto que contiene varias palabras del diccionario. El programa usa cada palabra presente en el diccionario para encontrar la contraseña. Los ataques de diccionario son más útiles que los ataques de fuerza bruta. Pero este ataque no funciona con un sistema que usa frases de contraseña.

Este ataque se puede aplicar en 2 situaciones:

  • En criptoanálisis, se usa para descubrir la clave de descifrado para obtener texto sin formato del texto cifrado.
  • En seguridad informática, para evitar la autenticación y acceder a la computadora adivinando contraseñas.

Métodos para mejorar el éxito de un ataque de diccionario:

  • Utilice la cantidad de diccionarios como diccionarios técnicos y diccionarios extranjeros que ayudan a recuperar la contraseña correcta
  • Use la manipulación de cadenas en el diccionario, significa si el diccionario contiene la palabra "sistema", luego pruebe la manipulación de cadenas y use "metsys" y otros.


2. Ataques de Fuerza Bruta: los algoritmos criptográficos deben estar suficientemente endurecidos para evitar un ataque de fuerza bruta. La definición tal como lo establece RSA: "La búsqueda exhaustiva de claves o la búsqueda de fuerza bruta es la técnica básica para probar todas las claves posibles hasta que se identifique la clave correcta".

Cuando alguien intenta producir todas y cada una de las claves de encriptación para datos hasta que se detecta la información necesaria, esto se denomina ataque de fuerza bruta. Hasta esta fecha, este tipo de ataque fue realizado por aquellos que tenían suficiente poder de procesamiento.

El gobierno de los Estados Unidos una vez creyó (en 1977) que un Estándar de Encriptación de Datos (DES) de 56 bits era suficiente para disuadir todos los ataques de fuerza bruta, un reclamo que varios grupos en todo el mundo habían probado.

El criptoanálisis es un ataque de fuerza bruta contra una encriptación de una búsqueda de fuerza bruta en el espacio de claves. En otras palabras, la prueba de todas las claves posibles se realiza en un intento de recuperar el texto plano utilizado para producir un texto cifrado particular. La detección de texto clave o texto claro con un ritmo más rápido en comparación con el ataque de fuerza bruta puede considerarse una forma de descifrar el cifrado. Un cifrado es seguro si no existe un método para romper ese cifrado que no sea el ataque de fuerza bruta. En su mayoría, todas las cifras carecen de una prueba matemática de seguridad.

Si las claves se eligen originalmente de forma aleatoria o se buscan aleatoriamente, el texto plano, en promedio, estará disponible después de probar la mitad de todas las claves posibles.

Algunas de las consideraciones para los ataques de fuerza bruta son las siguientes:

  • Es un proceso lento
  • Todas las contraseñas eventualmente serán encontradas
  • Los ataques contra hashes NT son mucho más difíciles que los hash LM


3. Ataque híbrido: este tipo de ataque depende del ataque del diccionario. Hay posibilidades de que las personas cambien su contraseña simplemente agregando algunos números a su contraseña anterior. En este tipo de ataque, el programa agrega algunos números y símbolos a las palabras del diccionario e intenta descifrar la contraseña. Por ejemplo, si la contraseña anterior es "sistema", existe la posibilidad de que la persona la cambie a "systeml" o "system2".


4. Ataque de sílaba: un ataque de sílaba es la combinación de un ataque de fuerza bruta y un ataque de diccionario. Esta técnica de descifrado se usa cuando la contraseña no es una palabra existente. Los atacantes usan el diccionario y otros métodos para descifrarlo. También usa la combinación posible de cada palabra presente en el diccionario.


5. Ataque basado en reglas: este tipo de ataque se usa cuando el atacante obtiene información sobre la contraseña. Este es el ataque más poderoso porque el cracker sabe el tipo de contraseña. Por ejemplo, si el atacante sabe que la contraseña contiene un número de dos o tres dígitos, usará algunas técnicas específicas y extraerá la contraseña en menos tiempo.

Al obtener información útil, como el uso de números, la longitud de la contraseña y los caracteres especiales, el atacante puede ajustar fácilmente el tiempo de recuperación de la contraseña al mínimo y mejorar la herramienta de descifrado para recuperar contraseñas. Esta técnica implica ataques de fuerza bruta, diccionario y sílabas.

Tipos de ataques contra contraseñas

El descifrado de contraseñas es una de las etapas cruciales de hackear un sistema. El descifrado de contraseñas utilizado con fines legales recupera la contraseña olvidada de un usuario, si es utilizado por usuarios ilegítimos con fines ilegales, puede ocasionar que obtengan privilegios no autorizados en la red o el sistema. Los ataques de contraseñas se clasifican según las acciones del atacante para descifrar una contraseña. Por lo general, hay cuatro tipos:

  1. Ataque pasivo en línea: un ataque pasivo es un ataque a un sistema que no da como resultado un cambio en el sistema de ninguna manera. El ataque es simplemente monitorear o grabar datos. Un ataque pasivo en un criptosistema es aquel en el que el criptoanalista no puede interactuar con ninguna de las partes involucradas, intentando romper el sistema basándose únicamente en los datos observados. Hay tres tipos de ataques pasivos en línea:
  • Aspiración de alambre (Wire sniffing)
  • Hombre en el medio (Man-in-the-middle)
  • Repetición (Replay)


2. Ataque activo en línea: un ataque en línea activo es la forma más fácil de obtener acceso no autorizado al sistema de administrador. Hay tres tipos de ataques activos en línea:

  • Adivinar contraseña
  • Troyano, spyware o keylogger
  • Inyección de hash
  • Suplantación de identidad (Phishing)


3. Ataque fuera de línea (Offline): los ataques fuera de línea ocurren cuando el intruso verifica la validez de las contraseñas. Él o ella observa cómo se almacena la contraseña en el sistema de destino. Si los nombres de usuario y las contraseñas se almacenan en un archivo legible, es fácil para el intruso acceder al sistema. Para proteger su lista de contraseñas, siempre deben mantenerse en una forma ilegible, lo que significa que deben estar encriptados.

Los ataques sin conexión a menudo consumen mucho tiempo. Tienen éxito porque los hash LM son vulnerables debido a un espacio de teclado más pequeño y una longitud más corta.

Estos ataques se pueden preveenir de la siguiente manera:

  • Usando buenas contraseñas
  • Eliminar hash LM
  • Use métodos criptográficamente seguros mientras representa las contraseñas

Hay tres tipos de ataques fuera de línea:

  • Hashes pre-calculados
  • Red distribuida
  • Arco iris (Rainbow)


4. Ataques no electrónicos: los ataques no electrónicos también se conocen como ataques no técnicos. Este tipo de ataque no requiere ningún conocimiento técnico sobre los métodos de intrusión en el sistema de otro. Por lo tanto, se llama ataque no electrónico. Hay tres tipos de ataques no electrónicos:

  • Espiar a la víctima por encima de su hombro, mientras ingresa la contraseña: (Shoulder surfing)
  • Ingeniería social
  • Revisar la basura en busca de la contraseña escrita en algún lado (Dumpster diving)

Ataque pasivo en línea: Wire Sniffing

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-3

El Wire Sniffing es escuchar en la red para ver si se transmite una contraseña, una herramienta de olfateador de paquetes rara vez se usa para un ataque. Esto se debe a que un sniffer solo puede funcionar en un dominio de colisión común. Los dominios comunes de colisión no están conectados por un interruptor o puente. Todos los hosts en esa red tampoco están conmutados o puenteados en el segmento de red.

A medida que los rastreadores reúnen paquetes en la capa de enlace de datos, pueden atrapar todos los paquetes en la LAN de la máquina que ejecuta el programa sniffer. Este método es relativamente difícil de perpetrar y es computacionalmente complicado.

Esto se debe a que una red con un concentrador implementa un medio de difusión que todos los sistemas comparten en la LAN. Cualquier información enviada a través de la LAN se envía a todas y cada una de las máquinas conectadas a la LAN. Si un atacante ejecuta un sniffer en un sistema de la LAN, puede recopilar datos enviados a cualquier otro sistema en la LAN y desde este. La mayoría de las herramientas sniffer son ideales para oler datos en un entorno central. Estas herramientas se llaman rastreadores pasivos, ya que esperan pasivamente a que se envíen los datos, antes de capturar la información. Son eficientes en la recopilación imperceptible de datos desde la LAN. Los datos capturados pueden incluir contraseñas enviadas a sistemas remotos durante Telnet, FTP, sesiones de rlogin y correo electrónico enviado y recibido. Las credenciales olfateadas se usan para obtener acceso no autorizado al sistema de destino. Hay una variedad de herramientas disponibles en Internet para el rastreo pasivo de cables.

Ataque pasivo en línea: Man-in-the-Middle y ataques de Relay

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-3

Cuando dos partes se comunican, el ataque de hombre en el medio puede tener lugar. En este caso, un tercero intercepta la comunicación entre las dos partes, asegurando a las dos partes que se están comunicando entre sí. Mientras tanto, el tercero altera los datos o las escuchas y pasa los datos a lo largo. Para llevar a cabo esto, el hombre en el medio tiene que oler de ambos lados de la conexión simultáneamente. Este tipo de ataque a menudo se encuentra en las tecnologías de telnet e inalámbricas. No es fácil implementar tales ataques debido a los números y la velocidad de la secuencia TCP. Este método es relativamente difícil de perpetrar y puede romperse a veces al invalidar el tráfico.

En un ataque de repetición (Relay), los paquetes se capturan usando un sniffer. Después de extraer la información relevante, los paquetes se vuelven a colocar en la red. Este tipo de ataque se puede utilizar para reproducir transacciones bancarias u otros tipos similares de transferencia de datos con la esperanza de replicar o cambiar las actividades, como depósitos o transferencias.

Ataque activo en línea: adivinar contraseñas

Todos conocen su nombre de usuario, pero su contraseña es un secreto bien guardado para evitar que otras personas accedan a sus transacciones.

Con la ayuda de metodologías de ataque de diccionario, un intruso prueba muchos medios para adivinar su contraseña. En esta metodología, un atacante toma un conjunto de palabras y nombres de diccionario, y hace todas las combinaciones posibles para obtener su contraseña. El atacante realiza este método con programas que adivinan cientos o miles de palabras por segundo. Esto les permite probar muchas variaciones: palabras hacia atrás, mayúsculas diferentes, agregar un dígito al final, etc.

Para facilitar aún más esto, la comunidad de atacantes ha creado diccionarios grandes que incluyen palabras de idiomas extranjeros o nombres de cosas, lugares y ciudades modelados para descifrar contraseñas. Los atacantes también pueden escanear tus perfiles para buscar palabras que puedan romper tu contraseña. Una buena contraseña es fácil de recordar, pero difícil de adivinar, por lo que debe proteger su contraseña haciendo que parezca aleatoria al insertar elementos tales como dígitos y signos de puntuación. Cuanto más intrincada sea tu contraseña, más difícil será para el atacante romperla.

Algunas de las consideraciones para adivinar contraseñas son las siguientes:

  • Toma mucho tiempo dar con la contraseña correcta
  • Requiere grandes cantidades de ancho de banda de red
  • Se puede detectar fácilmente

Ataque activo en línea: troyanos, spywares y keyloggers


Un troyano es un programa destructivo que se esconde como una aplicación benigna. Antes de la instalación o ejecución, el software inicialmente parece realizar una función conveniente, pero en la práctica roba información o daña el sistema. Con un troyano, los atacantes pueden tener acceso remoto a la computadora de destino y realizar diversas operaciones que están limitadas por los privilegios del usuario en la computadora de destino, mediante la instalación del troyano.


El spyware es un tipo de malware que se puede instalar en una computadora para recopilar información sobre los usuarios de la computadora sin su conocimiento. Esto permite a los atacantes recopilar información sobre el usuario o la organización en secreto. La presencia de spyware generalmente está oculta para el usuario y puede ser difícil de detectar.


Un keylogger es un programa que registra todas las pulsaciones de teclas que se escriben en el teclado de la computadora sin el conocimiento del usuario. Una vez que se registran las pulsaciones de teclas, se envían al atacante o se ocultan en la máquina para su posterior recuperación. El atacante los examina cuidadosamente con el fin de encontrar contraseñas u otra información útil que pueda utilizarse para comprometer el sistema.

Por ejemplo, un keylogger es capaz de revelar el contenido de todos los correos electrónicos compuestos por el usuario del sistema informático en el que se ha instalado el keylogger.

Ataque activo en línea: ataque de inyección Hash

Un ataque de inyección de hash es el concepto de inyectar un hash comprometido en una sesión local y luego usar el hash para autenticarse en los recursos de la red. Este ataque se realiza con éxito en cuatro pasos:

  1. El hacker compromete una estación de trabajo/servidor utilizando un exploit local/remoto.
  2. El hacker extrae hashes registrados y encuentra un hash de cuenta de administrador de dominio conectado
  3. Los hackers usan el hash para iniciar sesión en el controlador de dominio
  4. El hacker extrae todos los hashes en la base de datos de Active Directory y ahora puede satirizar cualquier cuenta en el dominio.

Ataque activo en línea: tablas de arcoíris

Los ataques fuera de línea ocurren cuando el intruso verifica la validez de las contraseñas. Él o ella observa cómo se almacena la contraseña. Si los nombres de usuario y las contraseñas se almacenan en un archivo legible, le resultará fácil acceder al sistema. Por lo tanto, la lista de contraseñas debe estar protegida y guardada en una forma ilegible, como una forma encriptada.

Un ataque del arco iris (Rainbow) es la implementación de la técnica de intercambio de tiempo-memoria criptoanalítica. La compensación de tiempo y memoria criptoanalítica es el método que requiere menos tiempo para el criptoanálisis. Utiliza la información ya calculada almacenada en la memoria para descifrar la criptografía. En el ataque del arco iris, se usa la misma técnica, la tabla hash de contraseña se crea de antemano y se almacena en la memoria. Tal tabla se llama una "mesa de arcoiris".

  • Una tabla de arcoíris es una tabla de búsqueda especialmente utilizada para recuperar la contraseña de texto plano de un texto de cifrado. El atacante usa esta tabla para buscar la contraseña e intenta recuperar la contraseña de los valores hash de la contraseña.


Un atacante calcula el hash para obtener una lista de contraseñas posibles y lo compara con la tabla hash calculada previamente (tabla de arco iris). Si se encuentra una coincidencia, la contraseña está descifrada.


Es fácil recuperar las contraseñas comparando hashes de contraseñas capturadas con las tablas precalculadas.

Solo las contraseñas encriptadas deben almacenarse en un archivo que contenga un nombre de usuario/pares de contraseñas cifradas. La contraseña mecanografiada se cifra con la función hash de la criptografía durante el proceso de inicio de sesión, y luego se compara con la contraseña que está almacenada en el archivo.

Las contraseñas cifradas que se almacenan pueden resultar inútiles contra los ataques de diccionario. Si el archivo que contiene la contraseña cifrada está en un formato legible, el atacante puede detectar fácilmente la función hash. Él o ella puede descifrar cada palabra en el diccionario usando la función de hash, y luego compararla con la contraseña encriptada. Por lo tanto, el atacante obtiene todas las contraseñas que son palabras enumeradas en el diccionario.


Herramientas para crear tablas de arcoíris

  • Winrtgen: es un generador de tablas de arcoíris gráfico que ayuda a los atacantes a crear tablas de arcoíris de donde pueden descifrar la contraseña hash. Es compatible con: LM, FastLM, NTLM, LMCHALL, HalfLMCHALL, NTLMCHALL, MSCACHE, MD2, MD4, MD5, SHA1, RIPEMD160, MySQL323, MySQLSHAl, CiscoPIX, ORACLE, SHA-2 (256), SHA-2 (384) y SHA-2 (512) hash.
  • RainbowCrack es una implementación de propuesta general que aprovecha la técnica de intercambio de tiempo y memoria para descifrar hash. Este proyecto te permite descifrar una contraseña hash. La herramienta rtgen de este proyecto se usa para generar las tablas del arcoíris.

Ataque activo en línea: ataque de red distribuida

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-4

Un ataque de red distribuida (DNA) es la técnica utilizada para recuperar archivos protegidos con contraseña. Utiliza la potencia de procesamiento no utilizada de las máquinas en la red para descifrar las contraseñas. En este ataque, se instala un administrador de ADN en una ubicación central donde las máquinas que ejecutan clientes de ADN pueden acceder a él a través de la red. El administrador de ADN coordina el ataque y asigna pequeñas porciones de la búsqueda de claves a máquinas distribuidas por toda la red. El cliente de DNA se ejecuta en segundo plano, solo tomando el tiempo de procesador no utilizado. El programa combina las capacidades de procesamiento de todos los clientes conectados a la red y los utiliza para realizar una búsqueda de claves de archivos para descifrarlos.

Características de un ataque de red distribuida:

  • Lee estadísticas y gráficos fácilmente
  • Agrega diccionarios de usuario para descifrar la contraseña
  • Optimiza los ataques con contraseñas para idiomas específicos
  • Modifica los diccionarios del usuario
  • Incluye la funcionalidad de instalación de cliente sigilosa
  • Actualiza automáticamente al cliente mientras actualiza el servidor de ADN
  • Controla a los clientes e identifica el trabajo realizado por los clientes

DNA (Distributed Network Attack) esta dividido en 2 partes:

  1. La interfaz del servidor de DNA: permite a los usuarios administrar el DNA de un servidor. El módulo de servidor de DNA proporciona al usuario el estado de todos los trabajos que el servidor de DNA está ejecutando. Esta interfaz se divide en:
  • Trabajos actuales: la cola de trabajos actual tiene todos los trabajos que el controlador ha agregado a la lista. La lista de trabajos actual tiene muchas columnas, como el número de identificación que el DNA ha asignado al trabajo, el nombre del archivo cifrado, la contraseña que ha utilizado el usuario, la contraseña que coincide con una clave que puede desbloquearse. datos, el estado del trabajo y varias otras columnas.
  • Trabajos finalizados: la lista de trabajos completada proporciona información sobre los trabajos que pueden descifrarse incluyendo la contraseña. La lista de trabajos terminados también tiene muchas columnas que son similares a la lista de trabajos actual. Estas columnas incluyen el número de identificación asignado por el DNA al trabajo, el nombre del archivo encriptado, la ruta descifrada del archivo, la clave utilizada para cifrar y descifrar el archivo, la fecha y hora en que el servidor de DNA comenzó a trabajar en el trabajo, la fecha y la hora en que el servidor de DNA terminó de trabajar en el trabajo, el tiempo transcurrido, etc.


2. La interfaz del cliente de DNA: se puede usar desde muchas estaciones de trabajo. Las estadísticas del cliente se pueden coordinar fácilmente mediante el uso de la interfaz del cliente de DNA. Esta interfaz está disponible en máquinas donde se ha instalado la aplicación de cliente DNA. Hay muchos componentes, como el nombre del cliente de DNA, el nombre del grupo al que pertenece el cliente de DNA, las estadísticas sobre el trabajo actual y muchos otros componentes.

La aplicación de tráfico de red en Windows se utiliza para fines de gestión de red. El cuadro de diálogo Tráfico de red se utiliza para conocer la velocidad de red que utiliza el DNA y la longitud de cada unidad de trabajo del cliente de DNA. Usando la longitud de la unidad de trabajo, un cliente de DNA puede trabajar sin contactar al servidor de DNA. La aplicación de cliente de DNA tiene la capacidad de contactar al servidor de DNA al principio y al final de la longitud de la unidad de trabajo

El usuario puede controlar la cola de estado del trabajo y el DNA. Cuando los datos se recopilan desde el cuadro de diálogo Tráfico de red, se puede realizar una modificación en la unidad de trabajo del cliente. Cuando aumenta el tamaño de la longitud de la unidad de trabajo, la velocidad del tráfico de la red disminuye. Si el tráfico se ha reducido, el trabajo del cliente en los trabajos requeriría una mayor cantidad de tiempo. Por lo tanto, se pueden realizar menos solicitudes al servidor debido a la reducción en el ancho de banda del tráfico de red.


Herramienta recomendada

Elcomsoft Distributed Password Recovery, le permite romper contraseñas complejas, recuperar claves de encriptación fuertes y desbloquear documentos en un entorno de producción. Permite la ejecución de código de recuperación de contraseña matemáticamente intensivo en los elementos computacionales enormemente paralelos encontrados en aceleradores gráficos modernos. Emplea una tecnología innovadora para acelerar la recuperación de contraseñas cuando hay presente una tarjeta gráfica ATI o NVIDIA compatible además del modo solo CPU. Cuando se compara con los métodos de recuperación de contraseñas que solo usan la CPU principal de la computadora, la aceleración de la GPU utilizada por esta tecnología hace que la recuperación de la contraseña sea más rápida. Esto admite la recuperación de contraseñas de una variedad de aplicaciones y formatos de archivos

Ataques no electrónicos

Los ataques no electrónicos también se denominan ataques no técnicos. Este tipo de ataque no requiere ningún conocimiento técnico sobre los métodos de intrusión en el sistema de otro. Por lo tanto, se denomina ataque no electrónico. Hay cuatro tipos de ataques no electrónicos, que son: ingeniería social, espiar sobre el hombro, olfateo de teclado y revisar la basura.


curso-de-seguridad-informatica-modulo-5-ataques-informaticos-5

Dumpster diving (revisar la basura) es un método de ataque clave que apunta a una falla sustancial en la seguridad informática: la misma información que las personas anhelan, protegen y devotamente seguras puede ser alcanzada por casi cualquier persona dispuesta a revisar la basura del objetivo. Le permite recopilar información sobre las contraseñas del objetivo mirando a través de la papelera. Este tipo de ataque de baja tecnología tiene muchas implicaciones.

Debido a la menor seguridad de la que hay hoy en día, revisar la basura fue bastante popular en la década de 1980. El término "buceo de contenedor" se refiere a cualquier información útil, general que se encuentra y se toma de las áreas donde se ha descartado. Estas áreas incluyen botes de basura, contenedores, contenedores de basura, y similares, de los cuales se puede obtener información de forma gratuita Los atacantes curiosos o maliciosos pueden encontrar archivos de contraseñas, manuales, documentos confidenciales, informes, recibos, números de tarjetas de crédito o disquetes que hayan sido desechados. La mejor manera de contrarrestar esto es destruir los archivos valiosos y desecharlos en un formato ilegible para humanos.

Simplemente, el examen de los productos de desecho que se han vertido en las áreas del contenedor de basura puede ser útil para los atacantes, y existe amplia información para respaldar este concepto. Dicha información útil fue arrojada sin pensar a qué manos podría llegar. Los atacantes pueden utilizar estos datos para obtener acceso no autorizado en los sistemas informáticos de los demás, o los objetos encontrados pueden provocar otros tipos de ataques como los basados en Ingeniería social.


curso-de-seguridad-informatica-modulo-5-ataques-informaticos-5

Shoulder surfing (Hombro en el hombro) es cuando un intruso está parado discretamente, pero cerca de un usuario legítimo, mirando como se ingresa la contraseña. El atacante simplemente mira el teclado o la pantalla del usuario mientras inicia sesión, y observa si el usuario está mirando al escritorio en busca de un recordatorio de contraseña o la contraseña real. Esto solo puede ser posible cuando el atacante está físicamente cerca del objetivo.

Este tipo de ataque también puede ocurrir en la línea de pago de una tienda de comestibles cuando una víctima potencial está pasando una tarjeta de débito e ingresando el PIN requerido. Muchos de estos números de identificación personal tienen solo cuatro dígitos.


curso-de-seguridad-informatica-modulo-5-ataques-informaticos-6

Eavesdropping (Escuchar de cerca) se refiere al acto de escuchar secretamente la conversación de alguien. Las contraseñas se pueden determinar escuchando secretamente los intercambios de contraseñas. Si el atacant informático no consigue su contraseña adivinando, hay otras maneras en que puede intentar obtenerla.


El "sniffing de contraseñas" es una alternativa utilizada por los piratas informáticos para obtener sus contraseñas de destino. La mayoría de las redes usan tecnología de transmisión, lo que significa que cada mensaje que transmite una computadora en la red puede leerse en todas las computadoras conectadas en esa red. En la práctica, excepto el destinatario del mensaje, todas las demás computadoras notarán que el mensaje no está destinado a ellos y lo ignorarán. Sin embargo, las computadoras se pueden configurar para mirar cada mensaje transmitido por una computadora específica en la red. De esta manera, uno puede mirar los mensajes que no están destinados para ellos. Los hackers tienen los programas para hacer esto, y luego escanean todos los mensajes atravesados en la red buscando la contraseña.

Puede terminar dando su contraseña al atacante si está iniciando sesión en una computadora a través de una red, y algunas computadoras en la red se han visto comprometidas de esta manera. Al utilizar esta técnica de detección de contraseñas, los hackers han recopilado miles de contraseñas introduciendo las computadoras conectadas en una red muy utilizada.

La Ingeniería Social en seguridad informática es el término que representa un tipo de intrusión no técnica. Por lo general, esto depende en gran medida de la interacción humana y, a menudo implica engañar a otras personas para que rompan los procedimientos normales de seguridad. Un ingeniero social ejecuta un "engaño" para romper los procedimientos de seguridad. Por ejemplo, un atacante que utilice la ingeniería social para entrar en una red informática intentará ganarse la confianza de alguien autorizado para acceder a la red y luego tratar de extraer la información que compromete la seguridad de la red.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-7

La ingeniería social es el objetivo de obtener información confidencial al engañar o influir en las personas. Un atacante puede tergiversar a sí mismo como un usuario o administrador del sistema para obtener la contraseña de un usuario. Es natural que las personas sean útiles y confiadas. Por lo general, cualquier persona se esfuerza por establecer relaciones amistosas con sus amigos y colegas. Los ingenieros sociales aprovechan esta tendencia.

Otro rasgo de la ingeniería social se basa en la incapacidad de las personas para mantenerse al día con una cultura que depende en gran medida de la tecnología de la información. La mayoría de las personas desconocen el valor de la información que poseen y pocas son descuidadas a la hora de protegerla. Los atacantes aprovechan este hecho para la intrusión. Habitualmente, los ingenieros sociales buscan contenedores de información valiosa. Un ingeniero social tendría más dificultades para obtener la combinación de una caja fuerte, o incluso la combinación de un casillero de gimnasio, que una contraseña. La mejor defensa es educar, entrenar y crear conciencia.


Las contraseñas por defecto, como vimos en módulos anteriores de este curso de seguridad informática las contraseñas por defecto suministradas por los fabricantes con equipos nuevos. Por lo general, siguen siendo un factor importante de riesgos.

Hay muchos sitios online con información sobre dispositivos y sus contraseñas por defecto:


El descifrado manual de contraseñas incluye el intento de iniciar sesión con diferentes contraseñas. Adivinar es el elemento clave del descifrado manual de contraseñas. La contraseña es el valor clave de los datos que se necesitan para acceder al sistema. La mayoría de las contraseñas se pueden descifrar utilizando diferentes privilegios de escalamiento, la ejecución de aplicaciones, la ocultación de archivos y la cobertura de pistas. Los atacantes intentan muchos intentos de descifrar contraseñas para acceder en el sistema de un objetivo. Las contraseñas se pueden descifrar manualmente o utilizando algunas herramientas, métodos y algoritmos automatizados.

Autenticación de Microsoft

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-8

  • SAM

La base de datos SAM de acrónimo es la base de datos del administrador de cuentas de seguridad. Esto es utilizado por Windows para administrar cuentas de usuario y contraseñas en el formato hash (hash unidireccional), las contraseñas nunca se almacenan en formato de texto simple. Se almacenan en formato hash para protegerlos de los ataques. La base de datos SAM se implementa como un archivo de registro y el kernel de Windows obtiene y mantiene un bloqueo exclusivo del sistema de archivos, esto proporciona cierta medida de seguridad para el almacenamiento de las contraseñas.

No es posible copiar el archivo SAM a otra ubicación en el caso de ataques en línea. Como el archivo SAM está bloqueado con un bloqueo exclusivo del sistema de archivos, no se puede copiar ni mover mientras se está ejecutando Windows. El bloqueo no se liberará hasta que se haya lanzado la excepción de pantalla azul o el sistema operativo se haya apagado. Sin embargo, al hacer que los hashes de contraseña estén disponibles para los ataques de fuerza bruta fuera de línea, la copia en el disco de los contenidos del archivo SAM se puede descargar utilizando varias técnicas.

Microsoft introdujo la función SYSKEY en Windows NT 4.0 en un intento de mejorar la seguridad de la base de datos SAM contra el descifrado del software sin conexión. La copia en disco del archivo SAM está parcialmente encriptada cuando SYSKEY está habilitado. De esta forma, los valores de hash de contraseña para todas las cuentas locales almacenadas en el SAM se encriptan con una clave.

Incluso si su contenido fue descubierto por algún subterfugio, las claves están encriptadas con un hash unidireccional, lo que dificulta su ruptura. Además, algunas versiones tienen una clave de seguridad, lo que hace que el cifrado sea específico para esa copia del sistema operativo.

  • NTLM

NTLM (NT LAN Manager), es un protocolo patentado empleado por muchos productos de Microsoft para realizar autenticación de desafío/respuesta, y es el esquema de autenticación predeterminado que utilizan los productos de firewall y servidor proxy de Microsoft. Este software fue desarrollado para abordar el problema de trabajar con tecnologías Java en un entorno orientado a Microsoft. Como no depende de ninguna especificación de protocolo oficial, no hay garantía de que funcione correctamente en todas las situaciones. Ha estado en alguna instalación de Windows, donde funcionó con éxito. La autenticación NTLM consta de dos protocolos: protocolo de autenticación NTLM y protocolo de autenticación LM. Estos protocolos utilizan una metodología hash diferente para almacenar las contraseñas de los usuarios en la base de datos SAM.

  • Kerberos

Kerberos es un protocolo de autenticación de red. Está diseñado para proporcionar autenticación fuerte para cliente/servidor y aplicaciones mediante el uso de criptografía de clave secreta. Esto proporciona autenticación mutua. Tanto el servidor como el usuario verifican la identidad del otro. Los mensajes enviados a través del protocolo kerberos están protegidos contra ataques de repetición y escuchas ilegales.

Kerberos hace uso de Key Distribution Center (KDC), un tercero de confianza. Esto consta de dos partes lógicamente distintas: servidor de autenticación (AS) y un servidor de concesión de tickets (TGS).

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-9

El mecanismo de autorización de Kerberos proporciona al usuario un Ticket Granting Ticket (TGT) que los servidores autentican posteriormente para acceder posteriormente a servicios específicos, inicio de sesión único por el cual no se requiere que el usuario vuelva a ingresar la contraseña para acceder a los servicios que el esta autorizado para utilizar. Es importante tener en cuenta que no habrá comunicación directa entre los servidores de aplicaciones y el centro de distribución de claves (kdc), los tickets de servicio, aunque estén empaquetados por tgs, solo llegarán al servicio a través del cliente que desee acceder a ellos.

  • Salting (Salar)

Salting (Salar) es una manera de hacer que las contraseñas sean más seguras al agregar cadenas aleatorias de caracteres a las contraseñas antes de que se calcule su MD5 HASH. Esto hace que descifrar las contraseñas sea más difícil. Cuanto más larga sea la cadena aleatoria, más difícil será romper o descifrar la contraseña.

La cadena aleatoria de caracteres debe ser una combinación de caracteres alfanuméricos. El nivel de seguridad o la fuerza de protección de sus contraseñas contra diversos ataques de contraseñas depende de la longitud de la cadena aleatoria de caracteres. Esto derrota los ataques hash pre calculados.

En la criptografía, una sal consiste en bits aleatorios que se utilizan como una de las entradas para una función de una sola vía y la otra entrada es una contraseña. En lugar de contraseñas, el resultado de la función unidireccional se puede almacenar y usar para autenticar usuarios. Una sal también se puede combinar con una contraseña mediante una función de derivación de clave para generar una clave para su uso con un cifrado u otro algoritmo criptográfico.

  • NTLM v1 vs SAM vs NTLM v2

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-10

Cómo proteger nuestra contraseña

El descifrado de contraseñas, también conocido como hacking de contraseñas, es el término utilizado para definir el proceso de obtener un uso no autorizado de la red, el sistema o los recursos que están protegidos con una contraseña. La forma básica de descifrar contraseñas es adivinarla. Otra forma es probar varias combinaciones repetidamente. Se realiza usando un algoritmo de computadora donde la computadora prueba varias combinaciones de caracteres hasta que ocurra una combinación exitosa. Si la contraseña es débil, se puede descifrar fácilmente. Para evitar el riesgo de descifrado de contraseñas.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-11

Existen algunas prácticas recomendadas para protegernos del descifrado de contraseñas:

  • No comparta su contraseña con nadie, ya que esto le permite a otra persona acceder a la información de su personal, como calificaciones y declaraciones de pago, información que normalmente está restringida a usted.
  • No use la misma contraseña durante un cambio de contraseña, una que sea sustancialmente similar a la usada previamente.
  • Habilite la auditoría de seguridad para ayudar a monitorear y rastrear los ataques de contraseñas
  • No use contraseñas que se pueden encontrar en un diccionario
  • No utilice protocolos de texto simple (sin encriptación), ni protocolos con encriptación débil.
  • Establezca la política de cambio de contraseña tan a menudo como sea posible, por cada 30 días.
  • Evite almacenar contraseñas en una ubicación no segura porque las contraseñas que se almacenan en lugares tales como en los archivos de una computadora son fácilmente sometidas a ataques.
  • No use las contraseñas predeterminadas de ningún sistema.


6 buenas prácticas, para protegernos del descifrado de contraseñas:

  1. Haga que las contraseñas sean difíciles de adivinar usando de ocho a doce caracteres alfanuméricos en una combinación de letras mayúsculas y minúsculas, números y símbolos. Las contraseñas seguras son difíciles de adivinar. Cuanto más compleja sea la contraseña, menos estará sujeta a ataques.
  2. Asegúrese de que las aplicaciones no almacenen contraseñas en la memoria ni las escriban en el disco. Si las contraseñas se almacenan en la memoria, las contraseñas pueden ser robadas. Una vez que se conoce la contraseña, es muy fácil para el atacante escalar su derecho en la aplicación.
  3. Use una cadena aleatoria (sal) como prefijo o sufijo con la contraseña antes de encriptar. Esto se usa para anular la precomputación y la memorización. Dado que la sal suele ser diferente para todas las personas, no resulta práctico para el atacante construir las tablas con una única versión encriptada de cada contraseña candidata. Los sistemas UNIX generalmente usan sal de 12 bits.
  4. Nunca use información personal para diseñar una contraseña, como datos de nacimiento, cónyuge, nombres de familiares o mascotas. Si usa esas contraseñas, es bastante fácil para las personas que están cerca de usted descifrar esas contraseñas.
  5. Controle los registros del servidor en busca de ataques de fuerza bruta en las cuentas de usuario. Aunque los ataques de fuerza bruta son difíciles de detener, se pueden detectar fácilmente mediante la supervisión del registro del servidor web.
  6. Por cada intento fallido de inicio de sesión, se registra un código de estado HTTP 401 en los registros de su servidor web. Bloquee una cuenta sujeta a demasiadas conjeturas incorrectas de contraseña.


Herramientas recomendadas, para descifrar contraseñas

  • pwdump7, es una aplicación que descarga los hash de contraseñas de la base de datos SAM de NT, pwdump7 extrae hashes de contraseñas LM y NTLM de cuentas de usuarios locales de la base de datos SAM. Esta herramienta se ejecuta extrayendo el archivo binario SAM y SYSTEM del sistema de archivos y se extraen los hashes. Una de las poderosas características de pwdump7 es que también es capaz de descargar archivos protegidos.

  • fgdump, es básicamente una herramienta para descargar contraseñas en máquinas con Windows NT/2000/XP/2003/Vista. Viene con funcionalidad incorporada que tiene todas las capacidades de PWdump y también puede hacer otras cosas cruciales como ejecutar un archivo ejecutable remoto y volcar el almacenamiento protegido en un host remoto o local, y capturar credenciales en caché.

  • L0phtCrack, es una herramienta diseñada para auditar contraseñas y recuperarlas. Se utiliza para recuperar contraseñas perdidas de Microsoft Windows con la ayuda de ataques de fuerza bruta, diccionario, híbrido y tabla arcoíris, y también se usa para verificar la fortaleza de la contraseña. Los defectos de seguridad que son inherentes al sistema de autenticación de contraseñas de Windows se pueden revelar fácilmente con la ayuda de L0phtCrack.

  • Ophcrack, es una herramienta de descifrado de contraseñas de Windows que utiliza tablas de arcoiris para descifrar contraseñas. Viene con una interfaz gráfica de usuario y se ejecuta en diferentes sistemas operativos, como Windows, Linux, Unix, etc.

caracteristicas:

  • Cracks de hash LM y NTLM.
  • Módulo de fuerza bruta para contraseñas simples
  • Gráficos en tiempo real para analizar las contraseñas.
  • Volúmenes de hash y cargas de SAM cifrado recuperado de una partición de Windows.

  • Cain & Abel, es una herramienta de recuperación de contraseña. Se ejecuta en el sistema operativo de Microsoft, le permite recuperar varios tipos de contraseñas olfateando la red, descifrando contraseñas encriptadas usando diccionario, fuerza bruta y ataques de criptoanálisis, grabando conversaciones VoIP, descodificando contraseñas codificadas y analizando protocolos de enrutamiento. Con la ayuda de esta herramienta, las contraseñas y credenciales de diversas fuentes se pueden recuperar fácilmente.

Consiste en APR (ARP Poison Routing) que permite rastrear LAN conmutada y ataques de hombre en el medio. El sniffer en esta herramienta también es capaz de analizar protocolos encriptados como HTTP y SSH-1, y contiene filtros para capturar credenciales de una amplia gama de mecanismos de autenticación.

Escalada de Privilegios

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-11

En un ataque de escalada de privilegios, el atacante obtiene acceso a las redes y sus datos y aplicaciones asociados aprovechando los defectos en el diseño, la aplicación de software, los sistemas operativos mal configurados, etc.

Una vez que un atacante ha obtenido acceso a un sistema remoto con un nombre de usuario y contraseña válidos, intentará aumentar sus privilegios, como el de un administrador. Se requiere un escalamiento de privilegios cuando desee obtener acceso no autorizado a sistemas específicos. Básicamente, la escalada de privilegios tiene lugar de dos formas, de forma horizontal y vertical.

  • Escalada horizontal de privilegios: en escalada horizontal de privilegios, el usuario no autorizado intenta acceder a los recursos, funciones y otros privilegios que pertenecen al usuario autorizado que tiene permisos de acceso similares. Por ejemplo, el usuario de banca en línea A puede acceder fácilmente a la cuenta bancaria del usuario B.

  • Escalada de privilegios vertical: en la escalada vertical de privilegios, el usuario no autorizado intenta obtener acceso a los recursos y funciones del usuario con privilegios más altos de los que posee, como la aplicación para administradores de sitios.

Por ejemplo, alguien que realiza banca en línea puede acceder al sitio con funciones administrativas. En resumen, la escalada horizontal busca acceder a funciones de usuarios parecidos a el, en la vertical busca acceder a funciones de administrador controlar todo el sistema.


Herramientas recomendadas

Las herramientas de escalamiento de privilegios le permiten eliminar, restablecer o eludir Windows de manera segura y eficiente, y no pueden iniciar sesión en su computadora. Con la ayuda de estas herramientas, puede obtener acceso fácilmente a la computadora bloqueada restableciendo la contraseña olvidada o desconocida en blanco. El atacante puede usar estas herramientas para recuperar las contraseñas originales de la víctima. Algunas herramientas de escalamiento de privilegios se enumeran de la siguiente manera:


Escalada de Privilegios: Contramedidas
La mejor medida contra la escalada de privilegios es garantizar que los usuarios tengan los menores privilegios posibles o los privilegios suficientes para utilizar su sistema de manera efectiva. A menudo, las fallas en el código de programación permiten tal escalada de privilegios. Es posible que un atacante obtenga acceso a la red usando una cuenta no administrativa. El atacante puede obtener el mayor privilegio de un administrador.

Las contramedidas generales de escalada de privilegios incluyen:

  • Restrinja los privilegios de inicio de sesión interactivo
  • Ejecute usuarios y aplicaciones con los menores privilegios
  • Implementar autenticación y autorización de múltiples factores
  • Ejecuta servicios como cuentas sin privilegios
  • Utiliza la técnica de cifrado para proteger los datos confidenciales
  • Implemente una metodología de separación de privilegios para limitar el alcance de los errores y errores de programación
  • Reduzca la cantidad de código que se ejecuta con privilegios particulares
  • Realice la depuración usando checkers de límites y pruebas de estrés
  • Pruebe el sistema operativo y los errores y errores de codificación de la aplicación a fondo
  • Actualizar los sistemas regularmente

Ejecución de Aplicaciones

Los atacantes ejecutan aplicaciones maliciosas en esta etapa. Esto se llama "poseer" el sistema, la ejecución de las aplicaciones se realiza después de que el atacante obtenga los privilegios administrativos. El atacante puede intentar ejecutar algunos de sus propios programas maliciosos de forma remota en la máquina de la víctima para recopilar información que conduzca a la explotación o pérdida de privacidad, obtener acceso no autorizado a los recursos del sistema, descifrar contraseñas, capturar capturas de pantalla e instalar una puerta trasera para mantenerse tranquilo acceso, etc.

Los programas maliciosos que el atacante ejecuta en la máquina de la víctima pueden ser:

  • Puertas traseras (backdoors): programación diseñada para denegar o interrumpir el funcionamiento, recopilar información que conduce a la explotación o pérdida de privacidad, un software que le permite tener acceso remoto a un atacante sin despertar alertas en el sistema de la víctima.
  • Crackers: pieza de software o programa diseñado con el propósito de descifrar el código o las contraseñas.
  • Keyloggers: esto puede ser hardware o un tipo de software. En cualquier caso, el objetivo es registrar todas y cada una de las teclas hechas en el teclado de la computadora.
  • Spyware: el software espía puede capturar las capturas de pantalla y enviarlas a una ubicación específica definida por el atacante informático. El atacante tiene que mantener el acceso a la computadora de la víctima hasta que se cumpla su propósito. Después de conducir toda la información requerida de la computadora de la víctima, el atacante instala varias puertas traseras para mantener el acceso fácil a la computadora de la víctima en el futuro.


Herramientas recomendadas

  • RemoteExec instala de forma remota aplicaciones, ejecuta programas, scripts y actualiza archivos y carpetas en sistemas Windows a través de la red. Permite al atacante modificar el registro, cambiar contraseñas de administrador locales, deshabilitar cuentas locales y copiar, actualizar, eliminar archivos y carpetas.

  • PDQ Deploy, es una herramienta de despliegue de software con la que puede instalar fácilmente casi cualquier aplicación o parche en su computadora. MSI, MSP, MSU, EXE y los instaladores por lotes se pueden implementar de forma remota en numerosas computadoras con Windows al mismo tiempo con esta herramienta. Fácil y rápidamente, las funciones de PDQ Deploy incluyen que se integra con Active Directory, Spiceworks, PDQ Inventory e instalaciones en múltiples computadoras simultáneamente, así como el estado en tiempo real, etc.

  • Spytech SpyAgent (Keylogger), es un registrador de teclas de software que le permite controlar las pulsaciones de teclas de la computadora del usuario en la que está instalado.

  • Sound Snooper (Audio Spyware), es un software de espionaje informático que le permite controlar el sonido y las grabadoras de voz en el sistema. De forma invisible comienza a grabar una vez que detecta el sonido y deja de grabar automáticamente cuando la voz desaparece. Puede usar esto en conferencias de grabación, monitoreo de llamadas telefónicas, radios de transmisión de registros, espionaje y supervisión de empleados, etc. Tiene grabación activada por voz, puede admitir múltiples tarjetas de sonido, almacena registros de cualquier formato de sonido, envía correos electrónicos con archivos adjuntos grabados, y es compatible con Windows.

  • Phone Spy, es un spyware móvil que le ayuda a monitorear y registrar las actividades de un teléfono móvil objetivo. Necesita instalar este software en el teléfono móvil, con la ayuda de este software puede registrar actividades, registros y ubicaciones GPS del objetivo. Para ver los resultados, solo necesita iniciar sesión en su cuenta segura usando cualquier computadora o navegador web móvil. Los registros se muestran por categorías y se ordenan para una fácil navegación.


Contramedidas contra la ejecución de Malware

  • Instalar software antivirus y antispyware, virus, troyanos y otro malware son los medios a través de los cuales los registradores de teclas del software invaden la computadora. Antivirus y antispyware son la primera línea de defensa contra keyloggers. Con las aplicaciones de limpieza de registrador de pulsaciones disponibles en línea, los registradores de pulsaciones detectados por el antivirus se pueden eliminar de la computadora.
  • Instala un IDS basado en host, que puede monitorear tu sistema y deshabilitar la instalación de keyloggers.
  • Habilitar firewalls en la computadora. Los cortafuegos evitan el acceso externo a la computadora. Los cortafuegos evitan la transmisión de información grabada al atacante.
  • Mantenga un registro de los programas que se ejecutan en la computadora. Use software que escanee y monitoree con frecuencia los cambios en el sistema o la red. Por lo general, los registradores de teclas tienden a ejecutarse en segundo plano de forma transparente.
  • Mantenga sus sistemas de hardware seguros en un entorno bloqueado y con frecuencia verifique los cables del teclado para los conectores conectados, el puerto USB.


Rootkits

Los rootkits son programas de software destinados a obtener acceso a una computadora sin ser detectados. Estos son programas maliciosos que se pueden usar para obtener acceso no autorizado a un sistema remoto y realizar actividades maliciosas. El objetivo del rootkit es obtener privilegios de root en un sistema. Al iniciar sesión como usuario root de un sistema, un atacante puede realizar cualquier tarea, como instalar software o eliminar archivos, etc. Funciona explotando las vulnerabilidades en el sistema operativo y las aplicaciones. Construye un proceso de inicio de sesión de puerta trasera para el sistema operativo por el cual el atacante puede evadir el proceso de inicio de sesión estándar. Una vez que se ha habilitado el acceso root, un rootkit puede intentar ocultar los rastros de acceso no autorizado modificando los controladores o los módulos del kernel y desertar procesos activos. Los rootkits reemplazan ciertas llamadas y utilidades del sistema operativo con sus propias versiones modificadas de esas rutinas que, a su vez, socavan la seguridad del sistema objetivo y ocasionan la ejecución de funciones maliciosas. Un rootkit típico se compone de programas de puerta trasera, programas DD0S, rastreadores de paquetes, utilidades de borrado de registros, bots de IRC, etc.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-12

Todos los archivos contienen un conjunto de atributos. Hay diferentes campos en los atributos de archivo. El primer campo se utiliza para determinar el formato del archivo, es decir, si se trata de un archivo oculto, de archivo o de solo lectura. El otro campo describe la hora a la que se creó el archivo, cuándo se accedió, así como su longitud original. Las funciones GetFileAttributesEx() y GetFilelnformationByHandle() lo habilitan. ATTRIB.exe se usa para mostrar o cambiar atributos de archivo. Un atacante puede ocultar, o incluso cambiar los atributos de los archivos de una víctima, para que el atacante pueda acceder a ellos.


¿Por que un Rootkit?

El objetivo principal de un rootkit es permitir que un atacante repita el acceso no regulado y no detectado a un sistema comprometido. Instalar un proceso de puerta trasera o reemplazar uno o más de los archivos que ejecutan los procesos de conexión normales puede ayudar a cumplir este objetivo.

Los atacantes usan rootkits para:

  • Rootee el sistema host y obtenga acceso remoto de puerta trasera
  • Ocultar pistas de un ataque y presencia de aplicaciones o procesos maliciosos en el sistema objetivo
  • Reúna datos confidenciales, tráfico de red, etc. del sistema al que los atacantes podrían estar restringidos o no tener acceso.
  • Almacene otras aplicaciones maliciosas y actúe como un recurso de servidor para actualizaciones de bots, etc.


Tipos de Rootkits

Un rootkit es un tipo de malware que puede ocultarse del sistema operativo y
aplicaciones antivirus en la computadora. Este programa proporciona a los atacantes acceso de nivel raíz a la computadora a través de las puertas traseras. Estos rootkits emplean una variedad de técnicas para obtener el control de un sistema. El tipo de rootkit influye en la elección del vector de ataque. Básicamente, hay 6 tipos de rootkits disponibles.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-13

  1. Los rootkits de nivel de hipervisor generalmente se crean explotando características de hardware como Intel VT y AMD-V. Estos rootkits alojan el sistema operativo objetivo como una máquina virtual e interceptan todas las llamadas de hardware realizadas por el sistema operativo de destino. Este tipo de rootkit funciona modificando la secuencia de inicio del sistema y se carga en lugar del monitor de la máquina virtual original.
  2. El kernel es el núcleo del sistema operativo. Estos cubren puertas traseras en la computadora y se crean al escribir código adicional o al sustituir partes del código del kernel con código modificado a través de los controladores del dispositivo en Windows o el módulo del kernel cargable en Linux. Si el código del kit contiene errores, la estabilidad del sistema se ve muy afectada por los rootkits de nivel kernel. Estos tienen los mismos privilegios del sistema operativo, por lo tanto, son difíciles de detectar e interceptar o subvertir las operaciones de los sistemas operativos.
  3. El rootkit de nivel de aplicación opera dentro de la computadora de la víctima reemplazando los archivos de la aplicación estándar con rootkits o modificando las aplicaciones actuales con parches, código inyectado, etc.
  4. Los rootkits de hardware/firmware usan dispositivos o firmware de plataforma para crear una imagen persistente de malware en el hardware, como un disco duro, el BIOS del sistema o una tarjeta de red. El rootkit se esconde en el firmware porque el firmware generalmente no se inspecciona para la integridad del código. Un rootkit de firmware implica el uso de la creación de un delirio permanente de malware de rootkit.
  5. Los rootkits de boot-loader-level (bootkit) funcionan ya sea reemplazando o modificando el gestor de arranque legítimo con otro. El boot-loader-level (bootkit) se puede activar incluso antes de que se inicie el sistema operativo. Por lo tanto, los rootkits de boot-loader-level (bootkit) son amenazas graves para la seguridad, ya que se pueden usar para robar claves de cifrado y contraseñas.
  6. Los rootkits de nivel de biblioteca (library) funcionan más arriba en el sistema operativo y generalmente parchan, enganchan o suplantan llamadas del sistema con versiones de puerta trasera para mantener al atacante desconocido. Reemplazan las llamadas originales del sistema por falsas para ocultar información sobre el atacante.


¿Como detectar un Rootkit?

Las técnicas de detección de rootkits se clasifican como firma, heurística, integridad, basada en la vista cruzada y perfiles de la ruta de ejecución en tiempo de ejecución.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-14

  1. Los métodos de detección basados en firmas funcionan como huellas dactilares de rootkits. Puede comparar la secuencia de bytes de un archivo en comparación con otra secuencia de bytes que pertenecen a un programa malicioso. Esta técnica se utiliza principalmente en archivos de sistema. Los rootkits que son invisibles se pueden detectar fácilmente escaneando la memoria del kernel. El éxito de la detección basada en firmas es menor debido a la tendencia del rootkit de ocultar archivos al interrumpir la ruta de ejecución del software de detección.
  2. La detección heurística funciona identificando las desviaciones en los patrones o comportamientos normales del sistema operativo. Este tipo de detección también se conoce como detección de comportamiento. La detección heurística es capaz de identificar nuevos rootkits previamente no identificados. Esta capacidad radica en poder reconocer a los desviados en patrones o comportamientos del sistema "normal". El enganche de ruta de ejecución es uno de esos desvíos que causa que los detectores basados en heurística identifiquen rootkits.
  3. Funciones de detección basadas en la integridad mediante la comparación de un sistema de archivos actual, registros de arranque o instantáneas de memoria con una línea de base confiable conocida. La evidencia o la presencia de actividad maliciosa se puede notar por las diferencias entre las instantáneas actual y de referencia.
  4. Las técnicas de detección basadas en vistas cruzadas (Cross-view-based), funcionan asumiendo que el sistema operativo ha sido subvertido de alguna manera. Esto enumera los archivos del sistema, los procesos y las claves de registro llamando a las API comunes. La información recopilada se compara luego con el conjunto de datos obtenido mediante el uso de un algoritmo que atraviesa los mismos datos. Esta técnica de detección se basa en el hecho de que el enganche API o la manipulación de la estructura de datos del núcleo contamina los datos devueltos por las API del sistema operativo, con los mecanismos de bajo nivel utilizados para generar la misma información libre de DKOM o la manipulación de ganchos.
  5. La técnica de generación de perfiles de ruta de ejecución de tiempo de ejecución compara el perfil de la ruta de ejecución de todos los procesos del sistema y los archivos ejecutables. El rootkit agrega un nuevo código cerca de la ruta de ejecución de una rutina, para desestabilizarlo. El número de instrucciones ejecutadas antes y después de una determinada rutina está enganchado y puede ser significativamente diferente.


Contramedidas contra los Rootkits

Una característica común de estos rootkits es que el atacante requiere acceso de administrador al sistema de destino. El ataque inicial que lleva a este acceso suele ser ruidoso. El exceso de tráfico de red que surge frente a un nuevo exploit debe ser monitoreado. No hace falta decir que el análisis de registros forma parte de la gestión de riesgos. El atacante puede tener scripts de caparazón o herramientas que pueden ayudarlo a cubrir sus huellas, pero seguramente habrá otros signos reveladores que pueden conducir a contramedidas proactivas, no solo reactivas.

Una contramedida reactiva es hacer una copia de seguridad de todos los datos críticos, excluyendo los binarios, y optar por una instalación nueva y limpia desde una fuente confiable. Uno puede hacer la verificación de código como una buena defensa contra herramientas como rootkits. MD5sum.exe puede tomar huellas dactilares de archivos y observar violaciones de integridad cuando se producen cambios. Para defenderse contra los rootkits, se pueden usar programas de comprobación de integridad para archivos críticos del sistema. Numerosas herramientas, programas, software y técnicas están disponibles para buscar rootkits.

Algunas técnicas que se adoptan para defenderse contra los rootkits se enumeran de la siguiente manera:

  • Reinstale OS o aplicaciones de una fuente confiable después de realizar una copia de seguridad de los datos críticos
  • Los procedimientos de instalación automatizados bien documentados deben mantenerse
  • Instale firewalls basados en host y red
  • Use autenticación fuerte
  • Almacenar la disponibilidad de medios de restauración de confianza
  • Endurezca la estación de trabajo o el servidor contra el ataque
  • Actualice los parches para sistemas operativos y aplicaciones


Contramedidas contra los Rootkits: programas recomendados


McAfee Stinger lo ayuda a detectar y eliminar el malware, los virus y las amenazas frecuentes de Fake Alert identificados en su sistema. Stinger escanea los rootkits, los procesos en ejecución, los módulos cargados, el registro y las ubicaciones de directorio que el malware utiliza en la máquina para minimizar los tiempos de escaneo. También puede reparar los archivos infectados encontrados en su sistema. Detecta y desactiva todos los virus de su sistema.


UnHackMe es básicamente un software anti-rootkit que te ayuda a identificar y eliminar todo tipo de software malicioso como rootkits, troyanos, gusanos, virus, etc. El objetivo principal de UnHackMe es evitar que los rootkits dañen su computadora, ayudando a los usuarios a protegerse contra la intrusión enmascarada y el robo de datos. UnHackMe también incluye la función Reanimator, que puede usar para realizar una comprobación completa de spyware.

Manipulación de la corriente (Stream) NTFS

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-15

Además de los atributos del archivo, cada archivo almacenado en un volumen NTFS generalmente contiene dos flujos de datos. La primera secuencia de datos almacena el descriptor de seguridad y la segunda almacena los datos dentro de un archivo. Las secuencias de datos alternativas son otro tipo de flujo de datos con nombre que puede estar presente dentro de cada archivo.

Alternate Data Stream (ADS) es cualquier tipo de datos que se pueden adjuntar a un archivo pero no en el archivo en un sistema NTFS. La tabla principal de archivos de la partición contendrá una lista de todas las secuencias de datos que contiene un archivo y su ubicación física en el disco. Por lo tanto, las secuencias de datos alternativas no están presentes en el archivo, sino que están asociadas a él a través de la tabla de archivos. NTFS Alternate Data Stream (ADS) es una secuencia oculta de Windows que contiene metadatos para el archivo como atributos, conteo de palabras, nombre del autor y tiempo de acceso y modificación de los archivos.

ADS es la capacidad de bifurcar datos en archivos existentes sin cambiar ni alterar su funcionalidad, tamaño o visualización a las utilidades de exploración de archivos. Los ADS proporcionan a los atacantes un método para ocultar los rootkits o las herramientas de hackers en un sistema vulnerado y permiten que se ejecuten sin que el administrador del sistema los detecte. Los archivos con ADS son imposibles de detectar usando técnicas nativas de exploración de archivos como la línea de comando o Windows Wxplorer. Después de adjuntar un archivo ADS al archivo original, el tamaño del archivo se mostrará como el tamaño original del archivo, independientemente del tamaño de ADS anyfile.exe. La única indicación de que el archivo fue cambiado es la modificación marca de tiempo, que puede ser relativamente inocua.


Cómo defenderse contra las transmisiones NTFS

Debería usar el software Lads.exe como contramedida para NTFS. La última versión de lads.exe le brinda un informe del estado de disponibilidad de los ADS. lad.exe es útil para los administradores que trabajan con gráficos ya que esta herramienta proporciona los resultados en la pantalla. Esta herramienta busca secuencias únicas o múltiples. Proporciona un informe de la presencia de los ADS, así como también proporciona la ruta completa y la longitud de cada ADS que se encuentra.

Otros medios incluyen copiar el archivo de portada en una partición FAT y luego moverlo de regreso a NTFS. Esto corrompe y pierde las transmisiones.


Herramientas recomendadas

  1. lns.exe es una herramienta utilizada para detectar secuencias NTFS. Esta herramienta es útil en una investigación forense.
  2. Stream Armor, esta herramienta te ayuda a detectar la corriente de datos alternativa (ADS) oculta y eliminarla por completo de tu sistema. Su escáner ADS multiproceso le ayuda a escanear recursivamente en todo el sistema y descubre todas las secuencias ocultas de su sistema. Puede detectar fácilmente la secuencia de datos sospechosa de una secuencia de datos normal, ya que muestra la secuencia específica descubierta con un patrón de color específico. También es capaz de detectar el tipo de archivo mediante el uso del mecanismo de detección de tipo de Archivo Avanzado.

Esteganografía

Se ha argumentado que una de las deficiencias de varios programas de detección es su enfoque principal en la transmisión de datos de texto. ¿Qué sucede si un atacante elude las técnicas de vigilancia normales y aún roba o transmite datos confidenciales? Una situación típica sería cuando un atacante logra ingresar a una empresa como empleado temporal o contratado y subrepticiamente busca información confidencial. Si bien la organización puede tener una política de no permitir que se eliminen equipos electrónicos de una instalación, un atacante determinado aún puede encontrar la manera de utilizar técnicas como la esteganografía.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-16

La esteganografía se define como el arte de ocultar datos detrás de otros datos sin el conocimiento del enemigo. Sustituye los bits de datos no utilizados en los archivos habituales (gráficos, sonido, texto, audio, video) con algunos otros bits que se han obtenido subrepticiamente. Los datos ocultos pueden ser texto plano o texto cifrado, o puede ser una imagen.

El atractivo de la técnica de esteganografía es que, a diferencia del cifrado, la esteganografía no se puede detectar. Cuando se transmite un mensaje cifrado, es evidente que se ha producido una comunicación, incluso si el mensaje no se puede leer. La esteganografía se usa para ocultar la existencia del mensaje. Un atacante puede usarlo para ocultar información incluso cuando el cifrado no sea una opción factible. Desde el punto de vista de la seguridad, la esteganografía se usa para ocultar el archivo en un formato encriptado. Esto se hace para que, incluso si el archivo que se descifra se descifra, el mensaje permanecerá oculto.

Los atacantes pueden insertar información como:

  • Código fuente para la herramienta de hacking
  • Lista de servidores comprometidos
  • Planes para futuros ataques
  • Canal de comunicación y coordinación

Veremos mas sobre la esteganografía, en la práctica de este módulo del cursod de seguridad informática.

Cubrir pistas

El trabajo completo de un atacante implica no solo comprometer el sistema con éxito sino también deshabilitar el registro, borrar archivos de registro, eliminar evidencia, planificar herramientas adicionales y cubrir sus pistas. El atacante debe borrar la evidencia de "haber estado allí y haber hecho el daño". Borrar los registros de intrusión, los archivos de seguimiento y los procesos de ataque es muy importante para un atacante, ya que los mensajes pueden alertar al propietario real del sistema para cambiar la configuración de seguridad y así evitar ataques en el futuro. Si esto sucede, entonces el atacante no tendrá más posibilidades de reincorporarse al sistema para lanzar el ataque. Por lo tanto, un atacante necesita destruir la evidencia de intrusión para mantener el acceso y la evasión. Si el atacante cubre o elimina sus pistas, entonces él o ella puede volver a iniciar sesión en el sistema e instalar puertas traseras. Por lo tanto, el atacante puede obtener información sensible de los usuarios, como nombre de usuario y contraseñas de cuentas bancarias, ID de correo electrónico, etc.

Es posible que el atacante no desee eliminar un registro completo para cubrir sus pistas, ya que puede requerir privilegios de administrador. Si el atacante puede eliminar solo los registros de eventos de ataque, incluso entonces el atacante se esconde de ser detectado.

curso-de-seguridad-informatica-modulo-5-ataques-informaticos-17

La eliminación de pruebas o pistas es un requisito para cualquier atacante que desee permanecer oculto. Este es un método para evadir el rastreo. Esto comienza con el borrado de los inicios de sesión contaminados y los posibles mensajes de error que pueden haberse generado a partir del proceso de ataque. A continuación, se prestará atención a los cambios para que los inicios de sesión futuros no estén permitidos. Al manipular y modificar los registros de eventos, el administrador del sistema puede convencerse de que la salida de su sistema es correcta y que no ha ocurrido intrusión o compromiso.

Dado que lo primero que hace un administrador del sistema para controlar la actividad inusual es verificar los archivos de registro del sistema, es común que los intrusos usen una utilidad para modificar los registros del sistema. En algunos casos, los rootkits pueden deshabilitar y descartar todos los registros existentes. Esto sucede si los intrusos tienen la intención de utilizar el sistema durante un período de tiempo más prolongado como base de lanzamiento para futuras intrusiones, si eliminan solo aquellas partes de registros que pueden revelar su presencia con el ataque.

Es imprescindible que los atacantes hagan que el sistema se vea como lo hacía antes de que obtuvieran acceso y establecieran puertas traseras para su uso. Todos los archivos que se han modificado deben cambiarse a sus atributos originales. Hay herramientas para cubrir las pistas con respecto al sistema operativo NT. La información enlistada, como el tamaño y la fecha del archivo, es solo información de atributos incluida en el archivo. Protegerse contra un atacante que está tratando de cubrir sus huellas cambiando la información del archivo puede ser difícil. Sin embargo, es posible detectar si un atacante ha cambiado la información del archivo calculando un hash criptográfico en el archivo. Este tipo de hash es un cálculo que se realiza contra el archivo completo y luego se cifra.


Herramientas: Auditpol

Uno de los primeros pasos para un atacante con capacidad de línea de comandos es determinar el estado de auditoría del sistema de destino, localizar archivos confidenciales (como archivos de contraseñas) e implantar herramientas automáticas de recopilación de información (como un registrador de pulsaciones de teclado o un rastreador de red).

La auditoría de Windows registra ciertos eventos en el Registro de eventos (o syslog asociado). El registro se puede configurar para enviar alertas (correo electrónico, buscapersonas, etc.) al administrador del sistema. Por lo tanto, el atacante querrá saber el estado de auditoría del sistema que está tratando de comprometer antes de continuar con sus planes. La herramienta Auditpol.exe forma parte del kit de recursos de NT y se puede utilizar como una sencilla herramienta de línea de comandos para averiguar el estado de auditoría del sistema de destino y también para realizar cambios en él.

El ataque a sistemas en el Pentesting

En un intento de hackear un sistema, el atacante inicialmente intenta descifrar la contraseña del sistema, si corresponde. Por lo tanto, como un pentester, también debe intentar descifrar la contraseña del sistema.

  1. Identifique los sistemas protegidos con contraseña: identifique el sistema objetivo cuya seguridad necesita ser evaluada. Una vez que identifique el sistema, verifique si tiene acceso a la contraseña, es decir, una contraseña almacenada. Si la contraseña no se almacena, intente realizar varios ataques de descifrado de contraseñas uno tras otro en el sistema de destino.

  2. Una vez que el atacante obtiene la contraseña del sistema, él o ella trata de escalar sus privilegios al nivel de administrador para que puedan instalar programas maliciosos o malware en el sistema de destino y así recuperar información confidencial del sistema. Como pentester, debe hackear el sistema como un usuario normal y luego tratar de escalar sus privilegios.

  3. Los pentesters deben verificar los sistemas de destino ejecutando algunas aplicaciones para descubrir las huecos en el sistema objetivo.

  4. Un atacante instala los rootkits para mantener el acceso oculto al sistema. Debe seguir los pasos del pentesting para detectar archivos ocultos en el sistema de destino

  5. El pentester debe saber si él o ella puede cubrir las pistas que él o ella ha realizado durante la simulación del ataque para realizar pruebas de penetración.

Este módulo terminá aqui, espero que hayas podido aprender los objetivos de este módulo. Este curso tiene un esfuerzo y es gratis, me gustaría que lo compartas en tus redes sociales o foros de hacking para que mas personas lo vean, este curso avanzará hasta alcanzar varios módulos, podes suscribirte si quieres saber el avanzé del curso, podes dejar tus comentarios, nos vemos!

Tenemos más cursos para vos en: gburu.net/cursos

¡Dejá tu Comentario!