Métodos de ataque de piratas informáticos

(1) Métodos comunes utilizados por los piratas informáticos

1. Escaneo de red: realizar búsquedas exhaustivas en Internet para encontrar debilidades en computadoras o software específicos.

2. Programa de rastreo de redes: ve en secreto paquetes de datos que pasan por Internet para capturar contraseñas o contenidos completos. Supervise el flujo de datos de la red instalando un programa de escucha para obtener el nombre de usuario y la contraseña ingresados ​​por el usuario al conectarse al sistema de red.

3. Denegación de servicio: al enviar repetidamente demasiadas solicitudes de información al equipo de un sitio web, los piratas informáticos pueden obstruir eficazmente el sistema del sitio, haciendo imposible completar los servicios de red previstos (como el correo electrónico). sistema o funcionalidad en línea), conocido como problema de "denegación de servicio".

4. Engañar a los usuarios: falsificar direcciones de correo electrónico o direcciones de páginas web para obtener contraseñas, números de tarjetas de crédito, etc. de los usuarios. La suplantación de identidad es el proceso utilizado para engañar a un sistema objetivo haciéndole creer que la información proviene o se envía a alguien que cree que es. La suplantación de identidad puede ocurrir en la capa IP y superiores (suplantación de resolución de dirección, suplantación de dirección de origen IP, suplantación de correo electrónico, etc.). Cuando se supone que la dirección IP de un host es válida y confiable para los servicios Tcp y Udp. Al utilizar el enrutamiento de origen de las direcciones IP, el host de un atacante puede disfrazarse de host o cliente confiable.

5. Caballo de Troya: un programa que es invisible para el usuario y contiene instrucciones que pueden explotar las debilidades conocidas de algunos programas.

6. Puerta trasera: para evitar que se detecte el punto de entrada original, deje varias rutas ocultas para facilitar el reingreso.

7. Applets maliciosos: pequeños programas que modifican archivos en el disco duro, envían correos electrónicos falsos o roban contraseñas.

8. Marcador de competencia: puede marcar automáticamente miles de números de teléfono para encontrar una ruta hacia la conexión del módem. Una bomba lógica es una instrucción en un programa informático que desencadena una operación maliciosa.

9. Desbordamiento del búfer: enviar demasiados datos al búfer de la memoria de la computadora para destruir el sistema de control de la computadora o tomar el control de la computadora.

10. Descifrado de contraseñas: utilice software para adivinar contraseñas. Un enfoque común es descifrar la forma cifrada de la contraseña monitoreando los paquetes de contraseñas en el canal de comunicación.

11. Ingeniería social: hable con los empleados de la empresa para extraer información valiosa.

12. Buceo en contenedores: revise cuidadosamente la basura de la empresa para encontrar información que pueda ayudar a acceder a las computadoras de la empresa.

(2) Métodos de ataque de piratas informáticos:

1. Ocultar la ubicación del pirata informático

Los piratas informáticos típicos utilizarán las siguientes técnicas para ocultar sus direcciones IP reales:

Usar el host comprometido como trampolín;

Usar el software Wingate como trampolín en una computadora con Windows instalado; usar un Proxy configurado incorrectamente como trampolín.

Los piratas informáticos más sofisticados utilizan técnicas de redirección de llamadas para ocultarse. Sus métodos comunes incluyen: usar el servicio de transferencia privada del número 800 para conectarse al ISP y luego robar las cuentas de otras personas para acceder a Internet; conectarse a un host a través del teléfono y luego acceder a Internet a través del host.

El uso de este método de "triple salto" en la red telefónica para ingresar a Internet es particularmente difícil de rastrear. En teoría, los piratas informáticos podrían venir de cualquier parte del mundo. Si un pirata informático utiliza un número 800 para conectarse a Internet, no tiene que preocuparse por los cargos de acceso a Internet.

2. Detección de redes y recopilación de datos

Los piratas informáticos utilizan los siguientes métodos para conocer los nombres de host ubicados en las redes internas y externas.

Utilice el comando ls del programa nslookup;

Encuentre otros hosts visitando la página de inicio de la empresa;

Lea la documentación en el servidor FTP;

Conéctese al servidor de correo y envíe la solicitud de expn;

Ingrese el nombre de usuario en el host externo.

Antes de buscar vulnerabilidades, los piratas informáticos intentarán recopilar suficiente información para delinear el diseño de toda la red.

Utilizando la información obtenida de las operaciones anteriores, los piratas informáticos pueden enumerar fácilmente todos los hosts y adivinar la relación entre ellos.

3. Encuentra hosts confiables

Los piratas informáticos siempre buscan hosts confiables. Estos hosts pueden ser máquinas utilizadas por administradores o un servidor que se considera seguro.

En el primer paso, verifica la salida NFS de todos los hosts que ejecutan nfsd o mountd. A menudo, el host de confianza puede montar algunos directorios clave de estos hosts (como /usr/bin, /etc y /home).

El demonio Finger también se puede utilizar para encontrar hosts y usuarios confiables porque los usuarios a menudo inician sesión desde un host específico.

Los piratas informáticos también buscan otras formas de establecer relaciones de confianza. Por ejemplo, puede explotar las vulnerabilidades CGI, leer el archivo /etc/hosts.allow, etc.

Después de analizar los diversos resultados de las comprobaciones anteriores, puede comprender aproximadamente la relación de confianza entre los hosts. El siguiente paso es detectar cuáles de estos hosts confiables tienen vulnerabilidades y pueden ser invadidos remotamente.

4. Encuentre miembros vulnerables de la red

Cuando un hacker obtiene la lista de hosts dentro y fuera de la empresa, puede utilizar algunos programas de escaneo de Linux para encontrar vulnerabilidades en estos hosts. Los piratas informáticos generalmente buscan hosts Linux con velocidades de red rápidas para ejecutar estos escáneres.

Todos estos escáneres realizan las siguientes comprobaciones:

escaneo de puertos TCP;

lista de servicios RPC;

lista de salida NFS;

*** Lista de recursos compartidos (como samba, netbiox);

Verificación de cuenta predeterminada;

Sendmail, IMAP, POP3, estado de RPC y montaje de RPC están defectuosos. Detección de versión.

Después de realizar estos análisis, los piratas informáticos tendrán una buena idea de qué hosts son vulnerables.

Si el enrutador es compatible con el protocolo SNMP, los piratas informáticos experimentados también probarán escáneres SNMP agresivos o utilizarán programas de "fuerza bruta" para adivinar las cadenas de comunidad públicas y privadas de estos dispositivos.

5. Explotación de vulnerabilidades

Ahora, los piratas informáticos han encontrado todos los hosts externos confiables y también han encontrado todas las vulnerabilidades posibles en los hosts externos. El siguiente paso es empezar a hackear el host.

El hacker elegirá un host externo de confianza para probar. Una vez penetrado con éxito, el hacker comenzará desde aquí e intentará ingresar a la red interna de la empresa. Pero el éxito de este método depende de la estrategia de filtrado entre el host interno y el externo de la empresa. Al atacar un host externo, un hacker normalmente ejecuta un programa y utiliza un demonio vulnerable que se ejecuta en el host externo para robar el control. Los demonios vulnerables incluyen versiones vulnerables de Sendmail, IMAP y POP3, así como servicios RPC como statd, mountd, pcnfsd, etc. A veces, esos programas atacantes deben compilarse en la misma plataforma que el host atacado.

6. Obtenga control

Los piratas informáticos harán dos cosas después de utilizar la vulnerabilidad del demonio para ingresar al sistema: borrar registros y dejar una puerta trasera.

Instalará algunos programas de puerta trasera para poder volver a entrar al sistema sin ser detectado en el futuro. La mayoría de los programas de puerta trasera están precompilados y solo necesita encontrar una manera de modificar la hora y los permisos antes de poder usarlos. Incluso el tamaño del nuevo archivo es el mismo que el del archivo original. Los piratas informáticos generalmente utilizan rcp para transferir estos archivos y no dejar registros FTP.

Una vez seguros de que están a salvo, los hackers comienzan a invadir toda la intranet de la empresa

7. Robar recursos y privilegios de la red

Después de que el hacker encuentre el objetivo del ataque, continuará con el siguiente ataque. Los pasos son los siguientes:

(1) Descargar información confidencial

Si el objetivo del hacker es descargar información confidencial del servidor FTP o WWW interno de una organización, puede obtener fácilmente esta información utilizando un host externo que haya sido comprometido.

(2) Atacar a otros hosts y redes confiables

La mayoría de los piratas informáticos solo quieren detectar hosts en la red interna y obtener el control. Sólo aquellos piratas informáticos "ambiciosos" pueden instalar troyanos y puertas traseras. para tomar el control de toda la red y borrar registros. Los piratas informáticos que buscan descargar datos de servidores críticos a menudo no están satisfechos con una sola forma de acceder a ellos. Harán todo lo posible para encontrar hosts en los que los servidores clave confíen y organizarán varios canales de respaldo.

(3) Instalar rastreadores

En la intranet, la forma más eficaz para que los piratas informáticos obtengan rápidamente una gran cantidad de cuentas (incluidos nombres de usuario y contraseñas) es utilizar el "sniffer". "programa.

Los piratas informáticos utilizarán los métodos mencionados en las secciones anteriores para obtener el control del sistema y dejar una puerta trasera para volver a intrudir y garantizar que se pueda ejecutar el rastreador.

(4) Paralizar la red

Si un hacker ha invadido el servidor que ejecuta aplicaciones clave como bases de datos y sistemas operativos de red, es fácil paralizar la red por un período de tiempo. .

Si un hacker ha entrado en la intranet de la empresa, puede aprovechar las debilidades de muchos routers para reiniciarlos o incluso apagarlos. Si logran encontrar vulnerabilidades en los routers más críticos, pueden paralizar completamente la red de la empresa durante un periodo de tiempo