Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El objetivo de este taller es realizar conexiones SSH en sistemas Linux, lograr detectar la instrucción por medio de SSH, o
si un intruso dejo algún rastro en el equipo que se logró conectar.
Introducción
Por años Linux se ha considerado como un sistema operativo casi seguro, por su código abierto, pero ahora hay
afirmaciones que indican que hay ciberdelincuentes le apuntan a atacar Linux ahora un blanco valioso, esto debido a que
muchas empresas poseen servidores Linux, parte de páginas web operan con sistemas Linux, por tal motivo es más
propenso cada día para ser atacados, para robar credenciales, redirigir trafico web a lugares donde le pueden robar
información o donde se logra descargar algún malware, también como son los ataques por medio de mensajes SPAM.
Desarrollo
Ilustración 2
Ilustración 1 Ilustración 3
Ilustración 4 Ilustración 5
Análisis
A continuación se procede a analizar cada una de las evidencias logradas en el montaje del taller simulado en VirtualBox,
para el proceso se utilizó el protocolo Secure Shell o como comúnmente se conoce SSH en sistemas Linux, se utilizó bajo
el sistema operativo Ubuntu, el proceso es un caso simulado entre 4 equipos en el cual 3 de ellos intentan acceder a un
cuarto equipo, este tipo de conexiones garantizan una conexión encriptado la seguridad de extremo a extremo, y que se
puede establecer conexión a equipos que no sea posible su acceso local, también garantiza que no se posible la filtración
de terceros a la red o al flujo de datos, para evitar que la información caiga en manos de ciberdelincuentes, a continuación
se verá el análisis de cada una de las evidencias captadas durante una posible filtración no autorizado a un equipo lo que
se quiere analizar es que día a día las tácticas de ataques han ido cambiando y ya no solo se hacen a sistemas Windows,
también a sistemas basados en Linux, en el que aprovechan una brecha con el protocolo SSH, a continuación veremos el
análisis del material contundente:
Ilustración 1
Se realiza conexión por medio del protocolo SSH a través del comando ssh <usuario>@<hostname>, veces se especifica
el puerto, ya que en ocasiones el puerto no será el 22 lo que sería ssh <usuario>@<hostname>[:<puerto>]
Ilustración 2
WHO
(pkill -9 –t pts/ (numero)) puede servir como herramienta si la victima logra evidenciar anormalidades en el equipo y así terminar las
conexiones por SSH, establecidas en el equipo, también se fue jugando con el comando WHO para verificar conexiones establecidas.
En esta ilustración también se verifica unos archivos .TXT, el cual se valida con el comando ls –c, Salió a partir de una
prueba de dejar algún archivo dentro del host, esta prueba se hace para verificar que si un intruso logra ingresar puede
dejar un archivo infectado y así contaminar una red.
Ilustración 3
Identificar IP fuente, puerto origen, IP destino, puerto destino. Utilizando el comando netstat
Para verificar la actividad en la red se utilizara el comando netstat con el indicador –rn el cual nos arroja la siguiente
información, que en detalle aseria:
En el escenario, se realiza una prueba de cambio de contraseña al usuario forense1 el cual hace de víctima, el proceso
se realiza sin que el usuario note del cambio, el proceso se realiza para ver lo vulnerable que logra ser un equipo cuando
el atacante logra ingresar, se ve la magnitud del riesgo que corre un usuario, las empresas o alguien en su equipo personal.
Verificar cómo el sistema detectó la conexión y cómo lo almacena en los logs del sistema.
En la Ilustración 4 y la Ilustración 5 se evidencia los resultados del comando cat auth.log, el cual se encuentra var/log
hay encontramos varios logs entre ellos auth.log que nos sirve para validar los acceso exitosos y fallidos
También se logra evidenciar el proceso que se realizó con el comando pkill, donde se desconecta algunos equipos, este
log, es muy importante estas evidencias para poder analizarlas y verificar la cantidad de conexiones que hizo un
atacante a un servidor o equipo personal con el fin de poder robar información.
Por último se hace una prueba de mandar pagar el equipo el cual se logró ingresar, y sale exitoso luego se cancela y se
hace la desconexión de la terminal, quedando cerrada la conexión.
Conclusiones
Como se evidencio también en sistemas Linux en los que muchos consideran casi seguros por ser de código abierto la
gran mayoría, pero como se evidencio ahora los ciberdelincuentes también dirigen sus ataques a este tipo de sistemas, y
se evidencio en uno de las investigaciones que realizo ESET, y para este año 2020 Ebury, y el Backdoor OpenSSH, han
sido más actualizados por lo que sigue creciendo los ataques, para ello es de vital importancia también conocer este tipo
de sistemas operativos para poder sacar evidencia, y lograr actuar ante esas situaciones, ya no es solo Windows, los
atacantes saben que gran parte de empresas tienen los servicios en sistemas basados en Linux, y que gran parte de
ataques son a través del protocolo SSH que se considera que es seguro por su encriptación de extremo a extremo, ya los
tiempos son diferentes y los ataques cada vez más sofisticados, por lo que toca estar alertas y preparados a todos esos
cambios que se dan día a día.
Referencias
Foltyn. T. (21 de Febrero de 2020) Una mirada de cerca al malware para Linux. Welivesecurity. Recuperado de
https://www.welivesecurity.com/la-es/2020/02/21/mirada-cerca-malware-linux/
Foltyn. T. (21 de Febrero de 2020) Malware en Linux: una preocupación que crece. Welivesecurity. Recuperado de
https://www.welivesecurity.com/la-es/2020/02/21/malware-linux-preocupacion-crece/
Leveille. M. E (5 de Diciembre de 2018) Descubren 21 Familias de malware para Linux basadas en OpenSSH.
Welivesecurity. Recuperado de https://www.welivesecurity.com/la-es/2018/12/05/descubren-familias-malware-linux-
basados-openshh/
Bureau. P. M (18 de Marzo de 2014) Operación Windigo – la vivisección de una gran campaña de malware de robo de
credenciales del lado de servidor Linux. Welivesecurity. Recuperado de
https://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection-of-a-large-linux-server-side-credential-
stealing-malware-campaign/
Gite. V. (13 de Marzo de 2008) Comprender la tabla de enrutamiento. Nix Arte Tutoriales de Linux y Unix para sysadmin
y experimentados. Recuperado de https://www.cyberciti.biz/faq/what-is-a-routing-table/
Sánchez. O. (18 de Mayo de 2012) TTY y PTS. Blog de Oscar Sánchez. Recuperado de
https://dtike.wordpress.com/2012/05/18/tty-y-pts/
Hidalgo. E. (19 de Noviembre de 2012) Comunicación entre terminales Linux. Linux Zone. Recuperado de
https://linuxzone.es/2012/11/19/comunicacion-entre-terminales-linux/
MdeMouch (26 de diciembre de 2013) Conexiones seguras con SSH. Ubuntu Fácil. Recuperado de
http://www.ubuntufacil.com/2013/12/conexiones-remotas-seguras-con-ssh/.
Serrano. R. (22 de Febrero de 2008) Que información guardan los ficheros log. Linux Zone. Recuperado de
https://linuxzone.es/2008/02/22/que-informacion-guardan-los-ficheros-log/