Deformaciones masivas: herramientas y trucos
Sitios web que se deforman, servidores
que se vuelven nodos de redes zombis, cuentas shell y backdoors a la
venta en el mercado negro… sucede a diario en Internet. Este artículo
analiza la forma en que operan los causantes de todo esto, y sugiere lo
que podemos hacer para evitar ser sus víctimas.
INTRODUCCIÓN
Mi colega investigador Tim Armstrong (Kaspersky Lab de EE.UU.) y yo hace poco le echamos un vistazo a una herramienta que los deformadores usan para registrar deformaciones masivas en un gran archivo comprimido de deformación. El sitio web con la herramienta deformadora también ofrecía un backdoor PHP. Movido por la curiosidad hice algunas investigaciones en Google para ver qué tan común era el backdoor PHP y si encontraría más de ellos y/o cientos de servidores comprometidos ejecutándolos.
Después empecé a analizar cómo se instalaban estos backdoors en los servidores y qué técnicas y métodos usaban los ciberdelincuentes.
En general, toda la configuración es bastante simple, pero antes de entrar en detalles me gustaría aclarar la terminología usada en este artículo en referencia a los ciberpiratas. Los términos “defacers”, “crackers” y “hackers” se usan ampliamente en la comunidad, pero los medios tienden a referirse a todos ellos simplemente como “hackers”. Sin embargo, prefiero usar el término "defacers" o deformadores para referirme a las personas que manipulan estas herramientas y juegos de deformación.
Un “defacer” es alguien a quien no le importa en absoluto qué sitio ataca; su principal objetivo es simplemente encontrar y explotar una vulnerabilidad en un servidor y después reemplazar el contenido del sitio web o subir un archivo como señal de su visita. Nadie sabe realmente por qué los deformadores hacen esto ya que no hay lucro de por medio. Sin embargo, si prestamos atención a algunos de los archivos comprimidos de vulneración, veremos que hay distintos grupos de deformadores compitiendo entre sí. Como mencioné anteriormente, aunque los medios tienden a referirse a estas personas como hackers, diría yo que los “verdaderos” hackers no atacan sitios web al azar, sino que usan sus conocimientos para realizar ataques específicos. Los hackers toman todas las precauciones para que los dueños de los sitios atacados no se enteren de su presencia.
Los ataques de los deformadores o “defacers” se conocen como "deformaciones"; existen grandes sitios web que actúan como archivos comprimidos deformadores, y existen grupos que compiten entre sí para ver quién puede deformar más sitios. Estos archivos comprimidos son de público acceso, lo que significa que todos los grupos pueden ver los triunfos de unos u otros.
Como dije líneas arriba, los deformadores no son selectivos en cuanto a sus ataques, y en la mayoría de los casos se contentan con usar herramientas automatizadas para localizar servidores vulnerables para explotarlos de manera también automática. La vulneración instala automáticamente un backdoor en el servidor comprometido con el fin de proporcionarles, por ejemplo, acceso shell a dicho servidor. El deformador puede lanzar más ataques a través de la puerta trasera, por ejemplo, para intentar ampliar sus autorizaciones vulnerando el kernel local, o registrar el servidor atacado en un archivo comprimido de deformación. Estos backdoors también están a la venta en el mercado negro; de esta manera, los compradores pueden, por ejemplo, convertir un servidor en un nodo de una red DDoS, o usarlo como nodo para reenvío de spam.
Contenido completo en Viruslist
INTRODUCCIÓN
Mi colega investigador Tim Armstrong (Kaspersky Lab de EE.UU.) y yo hace poco le echamos un vistazo a una herramienta que los deformadores usan para registrar deformaciones masivas en un gran archivo comprimido de deformación. El sitio web con la herramienta deformadora también ofrecía un backdoor PHP. Movido por la curiosidad hice algunas investigaciones en Google para ver qué tan común era el backdoor PHP y si encontraría más de ellos y/o cientos de servidores comprometidos ejecutándolos.
Después empecé a analizar cómo se instalaban estos backdoors en los servidores y qué técnicas y métodos usaban los ciberdelincuentes.
En general, toda la configuración es bastante simple, pero antes de entrar en detalles me gustaría aclarar la terminología usada en este artículo en referencia a los ciberpiratas. Los términos “defacers”, “crackers” y “hackers” se usan ampliamente en la comunidad, pero los medios tienden a referirse a todos ellos simplemente como “hackers”. Sin embargo, prefiero usar el término "defacers" o deformadores para referirme a las personas que manipulan estas herramientas y juegos de deformación.
Un “defacer” es alguien a quien no le importa en absoluto qué sitio ataca; su principal objetivo es simplemente encontrar y explotar una vulnerabilidad en un servidor y después reemplazar el contenido del sitio web o subir un archivo como señal de su visita. Nadie sabe realmente por qué los deformadores hacen esto ya que no hay lucro de por medio. Sin embargo, si prestamos atención a algunos de los archivos comprimidos de vulneración, veremos que hay distintos grupos de deformadores compitiendo entre sí. Como mencioné anteriormente, aunque los medios tienden a referirse a estas personas como hackers, diría yo que los “verdaderos” hackers no atacan sitios web al azar, sino que usan sus conocimientos para realizar ataques específicos. Los hackers toman todas las precauciones para que los dueños de los sitios atacados no se enteren de su presencia.
Los ataques de los deformadores o “defacers” se conocen como "deformaciones"; existen grandes sitios web que actúan como archivos comprimidos deformadores, y existen grupos que compiten entre sí para ver quién puede deformar más sitios. Estos archivos comprimidos son de público acceso, lo que significa que todos los grupos pueden ver los triunfos de unos u otros.
Como dije líneas arriba, los deformadores no son selectivos en cuanto a sus ataques, y en la mayoría de los casos se contentan con usar herramientas automatizadas para localizar servidores vulnerables para explotarlos de manera también automática. La vulneración instala automáticamente un backdoor en el servidor comprometido con el fin de proporcionarles, por ejemplo, acceso shell a dicho servidor. El deformador puede lanzar más ataques a través de la puerta trasera, por ejemplo, para intentar ampliar sus autorizaciones vulnerando el kernel local, o registrar el servidor atacado en un archivo comprimido de deformación. Estos backdoors también están a la venta en el mercado negro; de esta manera, los compradores pueden, por ejemplo, convertir un servidor en un nodo de una red DDoS, o usarlo como nodo para reenvío de spam.
Contenido completo en Viruslist
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!