Amenazas Ciberseguridad: Ataques Drive-by Download y Rootkits

Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 3,15 KB

Proceso de Ataque Drive-by Download

  1. Un usuario (víctima) realiza una consulta (visita la página) al sitio comprometido.
  2. El sitio web consultado (servidor o aplicación web vulnerable) devuelve la petición (visualización de la página) que contiene embebido en su código el script dañino previamente inyectado.
  3. Una vez descargado dicho script al sistema de la víctima, este realiza una nueva petición a otro servidor (Hop Point). Esta petición solicita diversos scripts que contienen exploits.
  4. Estos exploits tienen el objetivo de comprobar si en el equipo de la víctima existe alguna vulnerabilidad que pueda ser explotada. Se intentan explotar diversas vulnerabilidades, una tras otra, hasta que alguna tenga éxito.
  5. En caso de encontrarse alguna vulnerabilidad, se ejecutará un script que invoca la descarga de un archivo ejecutable (malware) desde otro servidor (o desde el anterior).

Rootkits: Malware Oculto y Control Encubierto

Un rootkit es una o más herramientas diseñadas para mantener de forma encubierta el control de una computadora. Estos pueden ser programas, archivos, procesos, puertos y cualquier componente lógico que permita al atacante mantener el acceso y el control del sistema.

El rootkit no es un software malicioso en sí mismo, sino que permite ocultar las acciones maliciosas que se desarrollen en el ordenador, tanto si provienen de un atacante como si ocultan otros códigos maliciosos que estén trabajando en el sistema, como gusanos o troyanos. Otras amenazas incorporan y se fusionan con técnicas de rootkit para disminuir la probabilidad de ser detectadas.

Los rootkits, por lo general, se encargan de ocultar los procesos del sistema que sean maliciosos. También intentan deshabilitar cualquier tipo de software de seguridad. Las actividades ocultadas no son siempre explícitamente maliciosas. Muchos rootkits ocultan inicios de sesión, información de procesos o registros.

Historia y Funcionamiento de los Rootkits

Inicialmente, los rootkits aparecieron en el sistema operativo UNIX y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso al usuario más privilegiado de la computadora (en los sistemas UNIX, este usuario se llama root y de ahí su nombre).

En los sistemas basados en Windows, los rootkits se han asociado, en general, con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit utiliza funciones del sistema operativo para ocultarse, de manera que no sea detectado, y es usado, en general, para ocultar otros programas dañinos.

Un rootkit ataca directamente el funcionamiento base de un sistema operativo. En Linux, modificando y trabajando directamente en el kernel del sistema. En Windows, interceptando las APIs (Interfaces de Programación de Aplicaciones) del sistema operativo. Estas interactúan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en él, como en el caso del software libre.

Tipos de Rootkits

Existen otros tipos de rootkit: los BootRootkits.

Karma: 0%
Visitas: 0

Entradas relacionadas:

Etiquetas:
ciberseguridad kernel API vulnerabilidad detección rootkit ataque web ocultar malware seguridad informática rootkit malware drive-by download exploit