Amenazas y ataque comunes

 

Amenazas y ataque comunes 


Un malware es un software malicioso o código malicioso. Es código o software específicamente diseñado para dañar, interrumpir, robar o efectuar otras acciones malintencionadas o ilegítimas en datos, hosts o redes.

Tipos de Malware


Virus:

Un virus es un tipo de malware que se propaga al introducir una copia de si mismo dentro de otro programa. Luego de que el programa es ejecutado, los virus se propagan de una computadora a otra, infectándolas a todas. Luego, ese virus puede infectar a una nueva unidad USB y propagarse a otras computadoras. Los virus pueden permanecer
inactivos por un período prolongado y, luego, activarse en una fecha y hora determinada.

Los virus pueden ser inofensivos o destructivos . Los virus también pueden programarse para mutar a fin de evitar la detección. La mayoría de los virus se propaga mediante unidades de memoria USB, CD, DVD, recursos compartidos de red y correo electrónico. Los virus enviados por correo electrónico son un tipo común de virus.


Troyanos:

El término troyano proviene del Caballo de Troya, que deriva de la mitología griega. Un troyano es un software que parece ser legítimo, pero que contiene código malicioso que aprovecha los privilegios del usuario que lo ejecuta. Se suele engañar a los usuarios para que carguen y ejecuten el troyano en sus sistemas. El troyano se habrá instalado en segundo plano en el sistema del usuario. El código malicioso del troyano sigue funcionando incluso después de cerrar el juego. El concepto de troyano es flexible.


Tipos de Troyanos: 


  • Acceso remoto: Permite el acceso remoto no autorizado.
  • Envío de datos: Le permite al atacante obtener datos sensibles, por ejemplo, contraseñas.
  • Destructivo: Corrompe o elimina archivos.
  • Proxy: Utiliza el equipo de la víctima como la fuente para lanzar ataques y realizar otras actividades ilegales.
  • FTP: Permite servicios no autorizados de transferencia de archivos en terminales.
  • Desactivador de software de seguridad: Detiene el funcionamiento de programas de antivirus o firewalls.
  • Denegación de Servicios (DoS): Ralentiza o detiene la actividad de la red
  • Keylogger: Intenta robar información confidencial, registrando las pulsaciones de teclas efectuadas dentro de un formulario web, como por ejemplo, números de tarjetas de crédito.


Gusanos


Los gusanos de computadora son similares a los virus porque se replican y pueden causar el mismo tipo de daño. La diferencia es que se replican a sí mismos de manera independiente, aprovechando las vulnerabilidades en las redes. Los gusanos pueden ralentizar las redes mientras se propagan de un sistema a otro.

Una vez infectado el host, el gusano puede propagarse rápidamente por la red. En 2001, el gusano Código Rojo había infectado 658 servidores. Y en menos de 19 horas, el gusano había infectado cerca de 300,000 servidores. Un gusano funciona primeramente activando la vulnerabilidad y luego se propaga


Ransomware


Los atacantes han utilizado virus, gusanos y troyanos para transportar sus payloads y para otros motivos maliciosos. Sin embargo, el malware sigue evolucionando.

Actualmente, el malware dominante es el ransomware.Este deniega el acceso al sistema informático infectado o a sus datos. Después de atacar, los ciberdelincuentes exigen dinero para liberar el sistema informático. El ransomware ha evolucionado hasta convertirse en el tipo de malware más rentable de la historia. En la primera mitad de 2016, las campañas de ransomware dirigidas a personas y a usuarios empresariales se tornaron más amplias e intensas.

Hay docenas de variantes de ransomware. Normalmente, los pagos se realizan en Bitcoin porque los usuarios de Bitcoin pueden permanecer en el anonimato. El Bitcoin es una divisa de código abierto que no tiene dueño, ni nadie la controla.

La publicidad malintencionada y por correo electrónico, también conocida como «malvertising», constituyen vectores para las campañas de ransomware



Otros tipos de Malware:


  • Spyware: Utilizado para obtener información acerca de un usuario y enviar está información hacia otra entidad sin el consentimiento del usuario.
  • Adware: El malware puede analizar los intereses del usuario realizando el seguimiento de los sitios web visitados.
  • Scareware: Generalmente, está dirigido a un usuario desprevenido e intenta convencerlo para infectar su computadora adoptando medidas falsas que solucionan las supuestas amenazas.
  • Phishing: Intenta convencer a las personas de divulgar información sensible.




Con frecuencia, las computadoras infectadas con malware manifiestan uno o más de los siguientes síntomas:


  • Aparecen archivos, programas o iconos del escritorio extraños

  • Los programas antivirus y firewall se apagan o sus ajustes se reconfiguran

  • La pantalla de la computadora se detiene o el sistema deja de funcionar

  • Se envían mensajes de correo electrónico espontáneos a su lista de contactos sin su conocimiento

  • Se modifican o eliminan archivos

  • Se intensifica el uso de la CPU o de la memoria

  • Hay problemas para conectarse a redes

  • Se reduce la velocidad de la computadora o del web browser.

  • Se ejecutan procesos o servicios desconocidos

  • Puertos TCP o UDP desconocidos abiertos

  • Se efectúan conexiones a hosts en Internet sin que el usuario las realice

  • La computadora se comporta de manera extraña



Ataques de red


Ataques DoS y DDos:


Un ataque de Denegación de Servicios (DoS, siglas en inglés) crea algún tipo de interrupción de los servicios de red para usuarios, dispositivos o aplicaciones. Existen dos tipos principales de ataques
DoS:

  • Sobrecarga de tráfico: El atacante envía una inmensa cantidad de datos a una velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los tiempos de transmisión y respuesta disminuyan. También puede detener un dispositivo o servicio.

  • Paquetes Maliciosos Formateados: Esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

Componentes de Ataques DoS


  • Zombis: Hace referencia a un grupo de hosts que han sido comprometidos. Estos hosts ejecutan código malicioso llamado bots. El malware zombi intenta de manera constante autopropagarse como un gusano informático.
  • Bots: Los bots son un tipo de malware diseñado específicamente para infectar a un host y comunicarse con un sistema handler o controlador. Los bots también pueden registrar las pulsaciones de teclas, obtener contraseñas, capturar y analizar paquetes y mucho más.
  • Botnet: Se refiere a un grupo de "zombis" que han sido infectados utilizando malware de auto propagación, osea, los bots que son manipulados por handlers.
  • Handlers o Controladores: Se refiere a un servidor command-and-control (CnC o C2) maestro, el cual manipula a un grupo de "zombis". El creador de una botnet puede utilizar Internet Relay Chat (IRC) o un servidor web en el servidor C2 para controlar los zombis de manera remota.
  • Botmaster: Es el atacante que controla la Botnet y los handlers.



Ataque de desbordamiento de buffer:


El objetivo de un atacante cuando utiliza un ataque DoS de desbordamiento de búfer es encontrar una falla de sistema relacionada con la memoria en un servidor y aprovecharla. Por ejemplo, un atacante ingresa datos mayores que lo que soporta la aplicación que se ejecuta en un servidor. Uno de los primeros ejemplos del uso de paquetes mal formados fue el «Ping of Death» Durante este ataque , el atacante enviaba un ping de la muerte, que era una solicitud de eco en un paquete IP, la cual era superior al tamaño de paquete máximo de 65 535 bytes. Más específicamente, un atacante creó código malicioso para tener acceso a la memoria fuera del ámbito.



Métodos de evasión:


Los atacantes aprendieron ya hace mucho tiempo que “ocultarse equivale a prosperar”. Esto significa que los métodos de ataque y malware son más eficaces cuando nadie los detecta. 

Por esto, muchos de los ataques utilizan técnicas de evasión sigilosas para disfrazar una payload de ataque. Su objetivo es evitar su detección mediante la evasión de las defensas de red y de hosts. Algunos de los métodos de evasión más comunes son: 


  • Encriptación y tunelizado: El tunnelling puede significar ocultar datos robados dentro de paquetes legítimos, o métodos de encriptación para codificar, archivos de malware, Esto dificulta que muchas técnicas de detección de seguridad detecten e identifiquen el malware.

  • Fragmentación del tráfico: Después de que los paquetes fragmentados evaden el sistema de detección de seguridad, el malware vuelve a armarse y puede comenzar a enviar datos confidenciales fuera de la red.

  • Sustitución de tráfico: En está técnica de evasión, el atacante intenta engañar al IPS sobrecargando los datos en la payload. El IPS no reconoce el verdadero significado de los datos, pero el sistema objetivo puede leerlos.
  • Pivoting: Está técnica supone que el atacante ya se apoderó de un host interno y quiere ampliar todavía más su acceso a la red atacada.

  • Rootkits: Se integra en los niveles inferiores del sistema operativo. El rootkit pretende ocultar totalmente las actividades del atacante en el sistema local.









Comentarios

Publicar un comentario