Amenazas de seguridad y tipos de malware

¿Qué amenazas de seguridad preocupan más en la actualidad?

Las amenazas que más preocupan actualmente son los exploit kit, spam, malware, data breaches, cyber espionage, ransomware, information leakage (fuga de información), etc.

Actualmente en las empresas lo que más preocupa es la denegación de servicio y las brechas de datos.

Explica brevemente qué es el malware, qué tipos de malware hay y qué mecanismos distinguen a unos de otros.

El malware es un software o fragmento de código que se hace pasar por una aplicación normal o se incluye dentro de alguna de ellas.

Los tipos de malware que existen son:

• Virus: malware tradicional, fragmento de código que no es autónomo, necesita estar alojado en algún sitio. Necesita de intervención humana para propagarse.
• Worm/gusano: Software autónomo, no necesita alojarse en ningún sitio. Tiene la capacidad de propagarse a través de la red, sin necesidad de intervención humana. Se aprovechan de vulnerabilidades de las aplicaciones de S.O.
• Troyano: También es autónomo, pero suele camuflarse dentro de otro software o aplicación. La mayoría de ellos se propagan dentro de los gusanos. Su principal objetivo es ocultarse y proporcionar acceso no autorizado al sistema infectado. La mayoría de las veces incorporan spyware.
• Spyware: Su función es espiar al usuario. Incorporan keyloggers, grabadores de escritorio, etc.
• Ransomware: Encripta archivos del sistema infectado para chantajear a su propietario si los quiere recuperar.
• Adware: Su funcionalidad es mostrar publicidad.
• Rootkit: Es el malware más peligroso por su potencial impacto y su dificultad de ser detectado. Proporciona máximos privilegios a un usuario en un sistema, lo que le permite controlar el hardware y el SO.

¿Qué significa el acrónimo APT? ¿Qué tipo de amenaza es y qué la caracteriza?

APT (Advanced Persistent Threats), campañas de malware dirigido persistente (perdura en el tiempo hasta que tiene éxito) y Avanzada (existe un gobierno o una gran corporación aportando dinero). No es un malware puramente, pero a veces se usa.

*Atribución (quién está detrás)

¿A qué pilar de la seguridad amenaza una brecha de datos? ¿Y una denegación de servicio?

Una brecha de datos amenaza la confidencialidad de la información. Una denegación de servicio amenaza la disponibilidad de los servicios.

¿Qué es STRIDE y para qué sirve? Explica este modelo brevemente.

STRIDE es un modelo de amenazas propuesto por Microsoft que está muy extendido. Existen varios tipos:

• Spoofing: suplantación de identidad, afecta a todos los pilares de la seguridad.
• Tampering: manipulación, afecta a la integridad.
• Repudiation: repudio, afecta al no repudio.
• Information disclosure: filtración de información sensible, afecta a la confidencialidad.
• Denial of service: denegación de servicio, afecta a la disponibilidad.
• Elevation of privilege: escalado de privilegios, afecta al control de acceso.

¿Qué tipos de atacantes o adversarios se distinguen en la actualidad?

• Black Hat hacker/cibercriminales/delincuentes: atacantes que se aprovechan de las vulnerabilidades de los sistemas con diferentes objetivos, que normalmente vulneran la ley y que tienen en común sus altos conocimientos y que no revelan las vulnerabilidades descubiertas a los administradores dadas sus malas intenciones.
• White Hat Hacker (hackers éticos): atacante que informa siempre de las vulnerabilidades descubiertas e incluso puede colaborar en una subsanación.
• Script kiddies: atacantes aficionados, sin suficiente nivel de conocimientos técnicos que usan herramientas automáticas y recetas cuyo funcionamiento y consecuencias desconocen.
• Crackers: atacantes que se centran en romper sistemas criptográficos, con altos conocimientos matemáticos y algorítmicos.
• También distinguimos hacktivistas, ciber-terroristas, phreakers, scammers, militares, corporate-sponsored o state-sponsored.

¿Por qué fases atraviesa un ataque a la seguridad? Explica brevemente cada una de ellas.

Recogida de información: conocer al objetivo y hacer estudio en profundidad sobre la información en los medios públicos necesaria para diseñar el malware. Para ello se suele recurrir a consultar e investigar los metadatos de la documentación públicamente accesible.

Construcción: construyo el ataque porque ya sé qué vulnerabilidades puedo utilizar.

Repetición: no siempre es necesaria. Se busca la persistencia cuando se desea mantener el ataque en el tiempo, pero depende mucho del patrón empleado y de los objetivos del atacante.

Obtención de resultados: la finalidad es el robo de propiedad intelectual accediendo a las copias de seguridad de la competencia.

Anonimato:

Físico: ir a red pública para dificultar la identificación de IP.

Uso de bouncer: por uso de zombie o de boot. El atacante toma el control sobre un sistema para mandar spam y lo usa como 'puerta de entrada' para su conexión, para que se vea como el origen de los ataques. Para convertir una víctima en bouncer, se explota alguna de sus vulnerabilidades (troyano).

Uso de proxy: servidores que mediante NAT (Network Adress Translation) realizan funciones de intermediación, ocultando el origen de las comunicaciones. La víctima ve como origen de comunicaciones al proxy, no al atacante.

¿Qué diferencia hay entre el footprinting y el fingerprinting?

El footprinting pretende obtener legalmente la huella identificativa (footprint) de la red, sistema o usuario objetivo del ataque. Su primera etapa consiste en recuperar información del objetivo en los medios públicos (metadatos, redes sociales, prensa, BOE, Internet, OSINT).

El fingerprinting pretende obtener (alegal o ilegalmente) una recogida de datos más específicos que permiten recopilar información sobre toda la pila TCP/IP de una red o sistema concreto (topologías, direcciones y nombres a distintos niveles, estado de puertos, estado de actualización del software/parches del SO, listados de vulnerabilidades, contraseñas).

¿Cuáles son las principales técnicas de footprinting? ¿Y de fingerprinting?

Footprinting: buscadores (Google, Shodan), metadatos, redes sociales, ingeniería social.

Algunas herramientas son: netcraft, harverter, maltego, claves PGP y dorks de buscadores.

Fingerprinting: ingeniería social y phishing, sniffing, mapping, scanning.

Herramientas: nmap, nbtscan, módulos auxiliares con Metasploit.

¿Qué es Shodan y para qué se utiliza?

Shodan es un buscador para buscar dispositivos conectados a Internet.

Buscar por protocolo, por IP, por zona, por puertos, parches, nombre servidor del dispositivo.

¿Por qué los atacantes suelen buscar el anonimato? ¿Qué tipo de técnicas utilizan?

Los atacantes buscan el anonimato para evitar consecuencias legales, dificultar la atribución del delito y evitar que las víctimas aprendan de sus técnicas.

Anonimato físico: se protege la identidad al acceder a la red desde un lugar público (cibercafé).

Por uso de bouncer: al tener el control total del sistema, se pueden editar registros, borrar huellas y hacer rastreos imposibles.

Por uso de proxy.

¿Cómo se consigue el anonimato mediante el uso de un proxy?

El anonimato se consigue mediante el uso de un proxy al ocultar el origen de las comunicaciones. Los servidores proxy realizan funciones de intermediación, mostrando al destino como origen de las comunicaciones al proxy en lugar del atacante.

¿Qué son Tor, FreeNet y I2P?

Tor, FreeNet e I2P son redes anónimas que permiten a los usuarios navegar por Internet de forma segura y anónima, ocultando su identidad y ubicación.

¿Qué tipos de ataque puedes distinguir en función de su acción/objetivo?

Algunos tipos de ataques son: ataques de denegación de servicio (DoS), ataques de fuerza bruta, ataques de inyección, ataques de phishing, ataques de spoofing, ataques de malware, ataques de robo de información, ataques de escalado de privilegios, etc.

¿En qué base de datos puedes encontrar los patrones de ataque conocidos en la actualidad clasificados por mecanismo de ataque o por dominio?

Puedes encontrar los patrones de ataque conocidos en la actualidad clasificados por mecanismo de ataque o por dominio en la base de datos del MITRE ATT&CK.