Retomemos el estudio de la metodologÃa propuesta por EC-Council. En el anterior video, centramos nuestro estudio en el paso uno. Ahora exploraremos los pasos restantes : elevar los privilegios de acceso a un nivel administrativo, mantener altos niveles de acceso y limpiar el rastro. Avancemos ahora hacia el paso dos de la metodologÃa EC-Council y este se refiere a elevar los privilegios de acceso a un nivel administrativo. Los privilegios son un rol de seguridad que se asigna a los usuarios para limitar sus permisos para utilizar programas, caracterÃsticas del sistema operativo, acceso a archivos o códigos especÃficos, entre otros. Si a un usuario se le asignan más privilegios, puede modificar o interactuar con partes más restringidas del sistema o de la aplicación que los usuarios menos privilegiados. Una vez que un atacante ha obtenido acceso a un sistema remoto con un nombre de usuario y una contraseña válidos, intentará escalar la cuenta de un usuario a una con privilegios incrementados, como la de un administrador, para realizar operaciones restringidas. Los Pentesters emplean fallos de diseño, errores de programación, bugs y descuidos de configuración en el sistema operativo o en las aplicaciones para obtener un acceso con privilegios administrativos. El escalamiento de privilegios puede darse en dos formas. El escalamiento de privilegios horizontal : el Pentester intentará acceder a los recursos, funciones y otros privilegios que pertenecen a un usuario autorizado que tiene un permiso de acceso similar. Y el escalamiento de privilegios vertical : el Pentester intentará acceder a los recursos y funciones de un usuario con privilegios superiores. Algunas de las técnicas utilizadas para realizar el escalamiento de privilegios son: La explotación de vulnerabilidades, el cual es un ataque que ya revisamos, pero ahora el objetivo es obtener mayores privilegios. El secuestro de DLLs; en este ataque el Pentester puede reemplazar una DLL de una aplicación por una DLL maliciosa para que el sistema la ejecute. El Pentester puede utilizar herramientas como Robber o PowerSploit para detectar los DLL secuestrables y ejecutar el cambio en el sistema. Los ataques a vulnerabilidades spectre y meltdown se basan en las vulnerabilidades de diseño de los procesadores AMD, ARM e Intel y la explotación de servicios mal configurados, en la cual el Pentester intenta explotar las vulnerabilidades generadas por una configuración insegura o impropia de un servicio en el sistema objetivo. La herramienta PowerSploit puede ayudar a la identificación de servicios mal configurados. Veamos ahora el paso tres de la metodologÃa, que se refiere a mantener altos niveles de acceso. Después de obtener acceso y escalar privilegios en el sistema objetivo, ahora el Pentester intenta mantener su acceso para explotar aún más el sistema objetivo o hacer que el sistema comprometido sea una plataforma de lanzamiento desde la cual atacar otros sistemas en la red. Para mantener el acceso, el Pentester deberá ejecutar remotamente aplicaciones maliciosas, como keyloggers, spyware y otros programas maliciosos, con la finalidad de robar información crÃtica, como nombres de usuarios y contraseñas. Los Pentesters ejecutan aplicaciones maliciosas en esta etapa para lograr la posesión del sistema. Este procedimiento puede incluso intentarse de forma remota en la máquina de la vÃctima. Los programas maliciosos que los atacantes ejecutan en los sistemas objetivos pueden ser: Backdoors; estos son programas diseñados para denegar o interrumpir la operación, tomar información que conduzca a la pérdida de privacidad u obtener acceso no autorizado a los recursos del sistema. Crackers; componentes de software diseñados para descifrar un código o una contraseña. Keyloggers; puede ser de hardware o software, cuyo objetivo es grabar cada pulsación del teclado. Spyware; es una aplicación que permite tomar capturas de la pantalla y enviarlas a un destino definido por el Pentester. El Pentester debe evitar que el programa malicioso sea descubierto por las aplicaciones de protección, como antivirus, antimalware y antispyware instalados en el sistema objetivo. Esto le permitirá mantener su acceso directo al sistema, incluso en el futuro, sin el consentimiento de la vÃctima. Algunas de las técnicas que se pueden utilizar son: rootkits, streams de datos NTFS y esteganografÃa. Veamos de manera general cada una de estas técnicas. Los rootkits son programas diseñados para obtener acceso de administrador al sistema (root) y con estos privilegios puede atacar el sistema instalando aplicaciones o eliminando archivos. Una vez con los privilegios de root, el aplicativo intenta ocultar su rastro modificando los drivers o un modulo del kernel o descartando procesos activos. Un rootkit puede comprimir programas de backdoor, programas de denegación de servicios, escáner de paquetes, utilidades de limpieza de registros, ARCbots y otros. Algunos de los rootkits más utilizados son: Lojax, Scranos, Horse pill y Necurs. Stream de datos NTFS. NTFS es un sistema de archivos. Estos archivos se almacenan con la ayuda de dos stream de datos junto con los atributos de los archivos. El primer stream guarda la descripción de seguridad y el segundo los datos. Adicionalmente, NTFS permite agregar información adicional a estos archivos a través de los ADSs, los cuales no son visibles directamente. Esos archivos contienen metadatos del archivo, como atributos, número de palabras, autor y fechas de modificación o acceso. Esto le permite al atacante inyectar código malicioso en estos archivos y ejecutarlos sin ser detectados por los usuarios. La estenografÃa se refiere al arte ocultar información detrás de otros datos sin el conocimiento de la vÃctima. Esta técnica sustituye los bits de datos no utilizados por archivos ordinarios para ocultar datos. Estos datos pueden ser almacenados en forma de texto plano, de texto cifrado y a veces como una imagen. Por ejemplo, la misma imagen vista con luz blanca, azul, verde y roja revela diferentes números ocultos. Por último, veamos el paso cuatro de la metodologÃa y eso se refiere a borrar las entradas o limpiar el rastro. Limpiar el rastro es uno de los principales pasos durante el ataque a un sistema. El objetivo principal es esconderse y evitar ser detectado, cubriendo todas las pistas o registros generados al acceder al sistema objetivo. El Pentester puede utilizar algunas de las siguientes técnicas : desactivar las caracterÃsticas de auditorÃa del sistema objetivo; borrar los registros del sistema correspondientes a sus actividades; manipular los registros para que no se vea envuelto en una acción legal; cubrir las huellas en la red o en los sistemas operativos a través del uso de técnicas, como túneles ICMP, tunelamiento del DNS y ajustes de parámetros de TCP; borrar archivos utilizando herramientas de lÃnea de comando como Cipher.exe, la cual evita la recuperación de los archivos en un futuro. Algunas herramientas que pueden ser utilizadas para cubrir las huellas son: CCleaner, DBAN, Privacy Eraser, Wipe y ClearProg. En esta lección exploramos los pasos dos, tres y cuatro de la metodologÃa propuesta por EC-Council para atacar a un sistema, y con esto completamos el estudio de la fase cinco y seis de nuestra metodologÃa PITES. Ahora, te invitamos a continuar avanzando con las siguientes actividades, donde aprenderemos más sobre el ataque a los sistemas y a las personas.
