Detectando Conexiones SSH en Linux

Actividad: Taller Eje 4

Alumnos: Cristhian Julián Ruiz Diaz
Andres Gustavo Martinez Beltrán
Wilder Stiven Camargo Segura
Alfredo Andrés García Becerra

Tutor: Camilo Augusto Cardona

Fundación Universitaria Del Área Andina

Ingeniería de Sistemas
 Detectando Conexiones SSH en Linux
Objetivo de aprendizaje:

El objetivo de este taller es realizar conexiones SSH en sistemas Linux, lograr detectar la instrucción por medio de SSH, o
si un intruso dejo algún rastro en el equipo que se logró conectar.
Introducción
Por años Linux se ha considerado como un sistema operativo casi seguro, por su código abierto, pero ahora hay
afirmaciones que indican que hay ciberdelincuentes le apuntan a atacar Linux ahora un blanco valioso, esto debido a que
muchas empresas poseen servidores Linux, parte de páginas web operan con sistemas Linux, por tal motivo es más
propenso cada día para ser atacados, para robar credenciales, redirigir trafico web a lugares donde le pueden robar
información o donde se logra descargar algún malware, también como son los ataques por medio de mensajes SPAM.

Desarrollo

Ilustración 2

Ilustración 1 Ilustración 3
Ilustración 4 Ilustración 5

Análisis
A continuación se procede a analizar cada una de las evidencias logradas en el montaje del taller simulado en VirtualBox,
para el proceso se utilizó el protocolo Secure Shell o como comúnmente se conoce SSH en sistemas Linux, se utilizó bajo
el sistema operativo Ubuntu, el proceso es un caso simulado entre 4 equipos en el cual 3 de ellos intentan acceder a un
cuarto equipo, este tipo de conexiones garantizan una conexión encriptado la seguridad de extremo a extremo, y que se
puede establecer conexión a equipos que no sea posible su acceso local, también garantiza que no se posible la filtración
de terceros a la red o al flujo de datos, para evitar que la información caiga en manos de ciberdelincuentes, a continuación
se verá el análisis de cada una de las evidencias captadas durante una posible filtración no autorizado a un equipo lo que
se quiere analizar es que día a día las tácticas de ataques han ido cambiando y ya no solo se hacen a sistemas Windows,
también a sistemas basados en Linux, en el que aprovechan una brecha con el protocolo SSH, a continuación veremos el
análisis del material contundente:

Ilustración 1

¿Qué proceso identifica la conexión establecida usando el servicio ssh?

Se realiza conexión por medio del protocolo SSH a través del comando ssh <usuario>@<hostname>, veces se especifica
el puerto, ya que en ocasiones el puerto no será el 22 lo que sería ssh <usuario>@<hostname>[:<puerto>]

Para este caso fue:

ssh forense1@ 52.247.65.37

Se utilizó la IP pública para poder hacer la conexión, luego solicita credenciales y se obtiene el acceso, en la ilustración
1 se evidencia el acceso exitoso desde una terminal, este acceso es muy utilizado para controlar servidores a través de
Internet, y ahora uno de los protocolos utilizados por los ciberdelincuentes, con una técnica que aprovechaban los atacantes
gracias a una versión OpenSSH para mantener conexiones con servidores, según un análisis de ESET en el que lograron
rastrear un inteligente OpenSSH, en el que aprovechan una puerta trasera, la brecha se utilizaba para robar credenciales,
a lo que se le llamo Linux/Ebury venia de dos formas, en la primera se encontró que era una biblioteca maliciosa y la otra
un parche a los principales binarios de OpenSSH, en el análisis de ESET también se encontró que más de 25.000
servidores fueron afectados y más de 10.000 siguen afectados y que todos fueron comprometidos con la puerta trasera
Linux/Ebury OpenSSH, Ebury es un troyano SSH rootkit/Backdoor para sistemas operativos Linux y Unix con el fin de robar
credenciales de inicio de sesión SSH tanto de conexiones entrantes como salientes, toda esa información que se recopila
es enviada a otros servidores o equipos controlados por los ciberdelincuentes. Este poderoso troyano proporciona una
puerta trasera para que los atacantes puedan mantener conexiones a los equipos infectados, sin importar que los usuarios
mantengan actualizando la contraseña.

Ilustración 2

Con el comando w determinar ¿qué equipos están conectados?

WHO

Con este comando logramos verificar cuantas conexiones

están establecidas en la terminal de un equipo, lo
interesante de este comando nos da unos datos que se
pueden utilizar para establecer conexión con uno de esos
otros host conectados, se evidencian porque aparecen en
la terminal como pts/(0,3,4,5), pts se refiere a pseudo terminal existentes dentro de otra terminal, al igual que también muestra
la IP publica de cada equipo conectado en la Ilustración 2, vamos a ver como se aprovecha el resultado del comando who, con el
comando pkill -9 –t pts/ (0,3,4,5) depende de la cantidad de
pseudo terminales que hayan, con ese comando se puede ir
terminando la conexión de cada host conectado por SSH, en la
ilustración se evidencia como se fue sacando equipo por equipo
eso se evidencia con el comando who hasta que al final solo nos
muestra un solo equipo conectado a la terminal, ese comando

(pkill -9 –t pts/ (numero)) puede servir como herramienta si la victima logra evidenciar anormalidades en el equipo y así terminar las
conexiones por SSH, establecidas en el equipo, también se fue jugando con el comando WHO para verificar conexiones establecidas.

En esta ilustración también se verifica unos archivos .TXT, el cual se valida con el comando ls –c, Salió a partir de una
prueba de dejar algún archivo dentro del host, esta prueba se hace para verificar que si un intruso logra ingresar puede
dejar un archivo infectado y así contaminar una red.

Ilustración 3

Identificar IP fuente, puerto origen, IP destino, puerto destino. Utilizando el comando netstat
Para verificar la actividad en la red se utilizara el comando netstat con el indicador –rn el cual nos arroja la siguiente
información, que en detalle aseria:

Destination: Nos da resultado de las IP`s

existentes en la red.
Gateway: Las direcciones de las puertas
de enlace de cada una de las IP`s
Genmask: Las máscaras de red.
Flags: en este se evidencian algunas
letras tales como, U (ruta activa), G(Utiliza puerta
enlace) y H(El objetivo es un Host),
MSS: Indica el tamaño predeterminado
para las conexiones TCP a través de la ruta
 Window: Indica el tamaño predeterminado para las conexiones TCP a través de esa ruta.
Irtt: Indica el tiempo de ida y vuelta, el kernel lo utiliza para validar los mejores parámetros del protocolo TCP.
Iface: Interfaz por la que se enviaran paquetes para la ruta conectada, se evidencia que todas están por la eth0.

En el escenario, se realiza una prueba de cambio de contraseña al usuario forense1 el cual hace de víctima, el proceso
se realiza sin que el usuario note del cambio, el proceso se realiza para ver lo vulnerable que logra ser un equipo cuando
el atacante logra ingresar, se ve la magnitud del riesgo que corre un usuario, las empresas o alguien en su equipo personal.

Verificar cómo el sistema detectó la conexión y cómo lo almacena en los logs del sistema.
En la Ilustración 4 y la Ilustración 5 se evidencia los resultados del comando cat auth.log, el cual se encuentra var/log
hay encontramos varios logs entre ellos auth.log que nos sirve para validar los acceso exitosos y fallidos

Como se logra evidenciar fue aceptada una conexión de la IP 181.50.255.9.

También se logra evidenciar el proceso que se realizó con el comando pkill, donde se desconecta algunos equipos, este
log, es muy importante estas evidencias para poder analizarlas y verificar la cantidad de conexiones que hizo un
atacante a un servidor o equipo personal con el fin de poder robar información.

Por último se hace una prueba de mandar pagar el equipo el cual se logró ingresar, y sale exitoso luego se cancela y se
hace la desconexión de la terminal, quedando cerrada la conexión.

Conclusiones
Como se evidencio también en sistemas Linux en los que muchos consideran casi seguros por ser de código abierto la
gran mayoría, pero como se evidencio ahora los ciberdelincuentes también dirigen sus ataques a este tipo de sistemas, y
se evidencio en uno de las investigaciones que realizo ESET, y para este año 2020 Ebury, y el Backdoor OpenSSH, han
sido más actualizados por lo que sigue creciendo los ataques, para ello es de vital importancia también conocer este tipo
de sistemas operativos para poder sacar evidencia, y lograr actuar ante esas situaciones, ya no es solo Windows, los
atacantes saben que gran parte de empresas tienen los servicios en sistemas basados en Linux, y que gran parte de
ataques son a través del protocolo SSH que se considera que es seguro por su encriptación de extremo a extremo, ya los
tiempos son diferentes y los ataques cada vez más sofisticados, por lo que toca estar alertas y preparados a todos esos
cambios que se dan día a día.
Referencias
Foltyn. T. (21 de Febrero de 2020) Una mirada de cerca al malware para Linux. Welivesecurity. Recuperado de
https://www.welivesecurity.com/la-es/2020/02/21/mirada-cerca-malware-linux/

Foltyn. T. (21 de Febrero de 2020) Malware en Linux: una preocupación que crece. Welivesecurity. Recuperado de
https://www.welivesecurity.com/la-es/2020/02/21/malware-linux-preocupacion-crece/

Leveille. M. E (5 de Diciembre de 2018) Descubren 21 Familias de malware para Linux basadas en OpenSSH.
Welivesecurity. Recuperado de https://www.welivesecurity.com/la-es/2018/12/05/descubren-familias-malware-linux-
basados-openshh/

Bureau. P. M (18 de Marzo de 2014) Operación Windigo – la vivisección de una gran campaña de malware de robo de
credenciales del lado de servidor Linux. Welivesecurity. Recuperado de
https://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection-of-a-large-linux-server-side-credential-
stealing-malware-campaign/

Gite. V. (13 de Marzo de 2008) Comprender la tabla de enrutamiento. Nix Arte Tutoriales de Linux y Unix para sysadmin
y experimentados. Recuperado de https://www.cyberciti.biz/faq/what-is-a-routing-table/

Sánchez. O. (18 de Mayo de 2012) TTY y PTS. Blog de Oscar Sánchez. Recuperado de
https://dtike.wordpress.com/2012/05/18/tty-y-pts/

Hidalgo. E. (19 de Noviembre de 2012) Comunicación entre terminales Linux. Linux Zone. Recuperado de
https://linuxzone.es/2012/11/19/comunicacion-entre-terminales-linux/

MdeMouch (26 de diciembre de 2013) Conexiones seguras con SSH. Ubuntu Fácil. Recuperado de
http://www.ubuntufacil.com/2013/12/conexiones-remotas-seguras-con-ssh/.

Serrano. R. (22 de Febrero de 2008) Que información guardan los ficheros log. Linux Zone. Recuperado de
https://linuxzone.es/2008/02/22/que-informacion-guardan-los-ficheros-log/

El único Sistema totalmente seguro es aquel que está apagado, desconectado,

guardado en una caja fuerte de Titanio, encerrado en un Bunker de concreto,
rodeado por gas venenoso y cuidado por guardias muy armados y muy bien
pagados. Aun así, no apostaría mi vida por él.
Eugene Spafford