Sitios web que se deforman, servidores
que se vuelven nodos de redes zombis, cuentas shell y backdoors a la
venta en el mercado negro… sucede a diario en Internet. Este artículo
analiza la forma en que operan los causantes de todo esto, y sugiere lo
que podemos hacer para evitar ser sus víctimas.
INTRODUCCIÓN
Mi colega investigador Tim Armstrong (Kaspersky Lab de EE.UU.) y yo
hace poco le echamos un vistazo a una herramienta que los deformadores
usan para registrar deformaciones masivas en un gran archivo comprimido
de deformación. El sitio web con la herramienta deformadora también
ofrecía un backdoor PHP. Movido por la curiosidad hice algunas
investigaciones en Google para ver qué tan común era el backdoor PHP y
si encontraría más de ellos y/o cientos de servidores comprometidos
ejecutándolos.
Después empecé a analizar cómo se instalaban estos backdoors en los
servidores y qué técnicas y métodos usaban los ciberdelincuentes.
En general, toda la configuración es bastante simple, pero antes de
entrar en detalles me gustaría aclarar la terminología usada en este
artículo en referencia a los ciberpiratas. Los términos “defacers”,
“crackers” y “hackers” se usan ampliamente en la comunidad, pero los
medios tienden a referirse a todos ellos simplemente como “hackers”. Sin
embargo, prefiero usar el término "defacers" o deformadores para
referirme a las personas que manipulan estas herramientas y juegos de
deformación.
Un “defacer” es alguien a quien no le importa en absoluto qué sitio
ataca; su principal objetivo es simplemente encontrar y explotar una
vulnerabilidad en un servidor y después reemplazar el contenido del
sitio web o subir un archivo como señal de su visita. Nadie sabe
realmente por qué los deformadores hacen esto ya que no hay lucro de por
medio. Sin embargo, si prestamos atención a algunos de los archivos
comprimidos de vulneración, veremos que hay distintos grupos de
deformadores compitiendo entre sí. Como mencioné anteriormente, aunque
los medios tienden a referirse a estas personas como hackers, diría yo
que los “verdaderos” hackers no atacan sitios web al azar, sino que usan
sus conocimientos para realizar ataques específicos. Los hackers toman
todas las precauciones para que los dueños de los sitios atacados no se
enteren de su presencia.
Los ataques de los deformadores o “defacers” se conocen como
"deformaciones"; existen grandes sitios web que actúan como archivos
comprimidos deformadores, y existen grupos que compiten entre sí para
ver quién puede deformar más sitios. Estos archivos comprimidos son de
público acceso, lo que significa que todos los grupos pueden ver los
triunfos de unos u otros.
Como dije líneas arriba, los deformadores no son selectivos en cuanto
a sus ataques, y en la mayoría de los casos se contentan con usar
herramientas automatizadas para localizar servidores vulnerables para
explotarlos de manera también automática. La vulneración instala
automáticamente un backdoor en el servidor comprometido con el fin de
proporcionarles, por ejemplo, acceso shell a dicho servidor. El
deformador puede lanzar más ataques a través de la puerta trasera, por
ejemplo, para intentar ampliar sus autorizaciones vulnerando el kernel
local, o registrar el servidor atacado en un archivo comprimido de
deformación. Estos backdoors también están a la venta en el mercado
negro; de esta manera, los compradores pueden, por ejemplo, convertir un
servidor en un nodo de una red DDoS, o usarlo como nodo para reenvío de
spam.
Contenido completo en
Viruslist
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!