¿Cómo solucionar la confusión de los hackers y los programas?
Qué comprobar
Obviamente, sólo cuando se descubre un ataque de piratas informáticos se pueden tomar medidas para prevenirlo y recuperarse del mismo. Entonces, ¿por dónde deberíamos empezar? Cada ataque es único, pero siempre hay algo que debes comprobar primero. Este es el lugar clave para comenzar su búsqueda. Subclave del registro. Si sospecha que una máquina ha sido pirateada, primero verifique la subclave "Ejecutar" de su registro. Descubra si se carga algún programa desconocido en estas subclaves. Los atacantes pueden utilizar la subclave "Ejecutar" para iniciar programas maliciosos y los intrusos también pueden utilizar estas subclaves para iniciar virus. Estas subclaves se aplican a los siguientes sistemas operativos: Windows Server 2003, Windows XP, Windows 2000, Windows NT, Windows Me y Windows 9x. Estos elementos que deben verificarse incluyen:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows
\Current version\Running
HKEY _ LOCAL _ MAQUINA\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY_LOCAL_MAQUINA\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
p>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\versión actual\RunServicesOnce
HKEY_current_user\software\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY _Current_User\Software\Microsoft\Windows
\CurrentVersion\RunOnce
HKEY _Current_User\ Software\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_Current_User\Software\Microsoft\Windows
\currentversion\runservices Una vez si se ejecuta Si es Windows 2003, Windows XP, Windows 2000 o Windows NT, también necesita verificar la subclave "HKEY_Local_Machine\Software\Microsoft\Windows\current version\policies\explorer\run". Cualquier programa que no reconozca probablemente sea un programa de piratas informáticos. Puede utilizar Google o un motor de búsqueda similar para buscar el nombre del programa en línea y determinar si el programa es legítimo.
Debe prestar especial atención a los programas cargados desde "C:", "C:\Windows" y "C:\Windows\System32". Se recomienda encarecidamente que adquiera el hábito de revisar estas claves de registro con regularidad para familiarizarse con los programas que se cargan automáticamente en su computadora. Las siguientes subclaves rara vez se utilizan para iniciar programas de piratería, pero deberías comprobarlas de todos modos. Estas subclaves están disponibles para todos los sistemas operativos Windows. Si el valor de la clave de registro predeterminada no es "1"*, lo más probable es que el programa sea un programa pirata informático.
HKEY _class_root\batch file\shell\open\command
HKEY _class_ROOT\com file\shell\open\command
HKEY_class_ROOT\exefile\shell\open \command
HKEY_class_root\file\shell\open\command
HKEY_class_root\file\shell\ open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile
\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\com file
\Shell\Open\Command
HKEY _ LOCAL _ MACHINE\SOFTWARE\class\exefile
\Shell\Open\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTA fila
\Shell\Open \Command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile
\shell\open\command-service. Para todos los sistemas operativos Windows, verifique su subclave de registro "HKEY_Local_Machine\System\CurrentControlSet\Services". Los elementos de esta subclave especifican los servicios definidos en la computadora. Le recomiendo que vea los servicios directamente en el registro en lugar de utilizar la interfaz gráfica de Windows, porque algunos servicios (como los servicios de tipo 1) no se muestran en la interfaz gráfica del servicio. Además, consulte los programas que no reconoce. Si es posible, compare sus entradas y valores correspondientes con la subclave Servicios de una máquina que sepa que no ha sido pirateada para ver si hay alguna diferencia. Inicie la carpeta. Verifique las carpetas "c:\documents and settings\all users\start menu\programs\startup" y "c:\documents and settings\\start menu\programs\startup" para ver si hay programas desconocidos y archivos ocultos. Para mostrar todos los archivos ocultos en la carpeta actual y sus subcarpetas, ingrese: dir /ah h /s plan de tareas en el símbolo del sistema. Verifique la carpeta "C:\Windows\tasks" para ver si hay tareas no autorizadas. Investiga cualquier plan de misión que no reconozcas. Win.ini. Los usuarios malintencionados pueden cargar automáticamente programas de piratería a través de "C:\Windows\Win.ini". Consulte esta sección del archivo "Win.ini": [Windows] Run= Load=Cualquier programa listado después de "Run=" o "Load=" se cargará automáticamente cuando se inicie Windows.
System.ini Los intrusos pueden utilizar comandos de shell para cargar programas en "C:\Windows\System.ini". Busque en "System.ini": [boot] shell = explorer.exe Cualquier programa que aparezca después de "explorer.exe" se cargará automáticamente cuando se inicie Windows. Los piratas informáticos pueden cargar automáticamente programas en otros lugares cuando se inicia Windows. Las ejecuciones automáticas del software gratuito Sysinternals pueden mostrar qué programas están configurados para cargarse cuando se inicia Windows NT (y sistemas posteriores). Puede descargar la herramienta desde /ntw2k/ntw2k/freeware/autoruns.shtml.
Puertos abiertos y usuarios no autorizados
Después de realizar una verificación inicial de actividad de piratería en ubicaciones clave, por favor encontrar puertos abiertos inesperados o sospechosos. Root Kit. Root Kit es un programa secreto que se ejecuta a nivel del sistema operativo. Puede abrir puertos en máquinas peligrosas, que los intrusos pueden explotar para obtener acceso remoto. Los rootkits son comunes en el mundo UNIX, pero cada vez más piratas informáticos malintencionados los escriben y utilizan en Windows. Para determinar los puertos de conexión y escucha en su computadora con Windows, abra un símbolo del sistema y ejecute el siguiente comando: Netstat -a La Tabla 1 enumera los puertos comúnmente abiertos en computadoras con Windows XP. No se alarme si ve más puertos abiertos en su estación de trabajo o servidor. Los puertos se asignan dinámicamente según el tipo de servicio. Por ejemplo, las llamadas a procedimientos remotos (RPC) utilizan puertos dinámicos cuando administra DHCP y WINS de forma remota. Para obtener más información, consulte el artículo de Microsoft "Cómo configurar la asignación dinámica de puertos RPC para su uso con firewalls" (/?kbid=154596) Al ejecutar Netstat, tenga en cuenta lo siguiente: Una gran cantidad de conexiones establecidas (10 o más). dependiendo de su entorno), especialmente conexiones a direcciones IP corporativas externas. ? Puertos abiertos accidentalmente, especialmente puertos con números de secuencia más altos (por ejemplo, números de puerto mayores que 1024). Los piratas informáticos y los rootkits suelen utilizar puertos con números de secuencia altos para establecer conexiones remotas. ? Muchos intentos de conexión pendientes. Esto puede ser una señal de un ataque SYN Flood.
Archivo por lotes no reconocido. Algunos rootkits crean archivos por lotes en las siguientes carpetas: "C:\", "C:\winnt\", "C:\Windows\", "C:\winnt\System32" y "C:\Windows\ System32". Root Kit u otros programas no autorizados también pueden crear archivos y carpetas en la Papelera de reciclaje, así que busque carpetas ocultas o no autorizadas en la carpeta de la Papelera de reciclaje. De forma predeterminada, los archivos de la papelera de reciclaje se encuentran en la carpeta "C:\recycler". Después de vaciar la Papelera de reciclaje, tenga en cuenta que los archivos y carpetas permanecen en la Papelera de reciclaje. Algunas herramientas de piratería pueden evitar que Netstat muestre puertos abiertos en su computadora. Si Netstat no muestra puertos abiertos sospechosos pero aún sospecha que los hay, puede ejecutar una herramienta de escaneo de puertos desde otra computadora para ver qué puertos están abiertos en la computadora de destino. Por ejemplo, si ejecuta la utilidad de código abierto Network Mapper (nmap), puede encontrar cualquier AP malicioso en su área desde NetStumbler. Asegúrese de que el rastreador esté instalado en una tarjeta que admita todos los estándares inalámbricos actuales (es decir, 802.11a, 802.11b y 802.1g).
3. Encuentra otras máquinas atacadas. Utilice las técnicas descritas en este artículo para averiguar si tiene otras máquinas comprometidas.
4. Verifique la configuración del firewall. Descubra si existen reglas no autorizadas, puertos abiertos no autorizados y reglas de traducción de direcciones de red (NAT) no autorizadas. Verifique los registros del firewall para detectar actividades sospechosas.
Se recomienda restringir siempre la comunicación saliente a los puertos de salida necesarios y asegurarse de que sólo las computadoras autorizadas puedan enviar correo a través del firewall.
5. Ver anuncios. Encuentre cualquier cuenta de usuario no autorizada y desactívela.
6. Cambie las contraseñas de todas las cuentas de su red. Para cuentas con mayores privilegios, se recomienda establecer una contraseña (o frase de contraseña) de al menos 15 caracteres. Las contraseñas de esta longitud son difíciles de descifrar porque los hashes de contraseñas de LAN Manager (LM) no almacenarán contraseñas de más de 14 caracteres en el servidor.
7. Reemplace el disco duro de la computadora pirateada. Reemplazar el disco duro puede aislar y preservar los ataques de piratas informáticos. Puede ver los datos en el disco duro antiguo para obtener información útil sobre el ataque.
8. Encuentra las debilidades del ataque. Intente descubrir cómo el pirata informático obtuvo acceso a la red, pero esto suele ser difícil de hacer (y está fuera del alcance de este artículo). Si no puede encontrar la vulnerabilidad, considere contratar a un consultor de seguridad para que lo ayude.
9. Reinstale la máquina atacada. Es casi imposible limpiar por completo una computadora pirateada. Si se dejan una o más herramientas de piratería en la máquina, el intruso recuperará el acceso a la máquina. La única forma de garantizar que la máquina esté completamente limpia es formatear el disco duro y reinstalar toda la máquina. Esto garantiza que no se conserven las herramientas de piratería instaladas previamente. Debe reinstalar todos los programas desde el disco, instalar todos los parches manualmente y restaurar sólo los archivos de datos. Nunca restaure el registro, el sistema operativo ni ningún programa desde la cinta.
10. Realizar análisis antivirus completos en todas las máquinas. Es importante tener en cuenta que los programas antivirus a veces tratan las herramientas de piratería como programas legítimos. Si los resultados del análisis muestran que la máquina está limpia, pero aún sospecha que está siendo atacada, se recomienda reinstalar la máquina.
11. Vuelva a conectar la línea WAN. Vuelva a conectar las líneas WAN y monitoree cuidadosamente para asegurarse de haber tapado todos los agujeros en la red. Esté atento a las limitaciones de ancho de banda en su red, supervise de cerca los registros del firewall y habilite la auditoría de seguridad en todos los servidores.
12. Investiga cuidadosamente el disco duro pirateado. Monte el disco duro de la máquina pirateada en una computadora separada y examínelos para obtener más información sobre el ataque. Aunque los intrusos suelen utilizar direcciones IP falsas, la dirección IP sigue siendo una buena pista para rastrear el origen del ataque. Puede ver una serie de bases de datos de este tipo en el sitio web de la Autoridad de Números Asignados de Internet (iana) (usuarios/internet/abuso/spam/lista negra). Si su servidor de correo está en la lista negra, puede enviar una solicitud para eliminar el servidor de la lista negra o puede cambiar la dirección IP externa de su servidor de correo. Si cambia la dirección de su servidor de correo, también debe actualizar el registro Mail Exchanger (MX) de su servidor de correo; de lo contrario, se bloqueará el correo entrante.
Lecciones aprendidas. Para corregir ataques SMTP AUTH en su servidor Exchange y prevenir ataques futuros, le recomiendo que siga los pasos que tomé. Si un intruso obtiene una identificación de usuario y una contraseña válidas para una retransmisión de correo, su servidor de correo se colocará en muchas listas negras de correo electrónico. Prevenir estos ataques lleva mucho menos tiempo que solucionar problemas de entrega de correo, eliminar servidores de listas negras y corregir vulnerabilidades.
No entre en pánico; estar siempre preparado para un ataque y tener un plan de recuperación es una parte integral de cualquier estructura de TI sólida. Puede ayudarle a responder a los ciberataques de forma eficaz en lugar de entrar en pánico. Familiarícese con las herramientas y métodos utilizados por intrusos maliciosos y tome medidas con anticipación para evitar que ataquen su red. ,