johnny alexander salazar jhon fredy giraldo giraldo sebastián cardona
TRANSCRIPT
MetaexploitJohnny Alexander Salazar
Jhon Fredy Giraldo Giraldo Sebastián Cardona
¿Que es un Exploit?
Es un programa, sentencia o similar que aprovecha una vulnerabilidad para comprometer la confidencialidad, integridad y/o disponibilidad
Exploit
Exploit
Un ejemplo de Exploit Conficker
Beneficios:El malware abre un puerto arbitrario
entre los puertos 1024 y 10000 actuando como un servidor web.
Explota la vulnerabilidad MS08-067.
El gusano a menudo usa una extensión .JPG
Al momento de ser copiado y luego es salvado dentro de la carpeta de sistema local como una DLL.
Payload (Cargas útiles)
Es La parte del paquete, mensaje o código que lleva los datos es decir es el medio por el cual viaja el Exploit. En el paquete las cabeceras contienen el equipo destino que será atacado. Los Payload de un paquete que contiene un virus puede incluir la transferencia, modificación, sobre escritura y borrado de archivos, o alguna ejecución destructiva.
Dado que la información del encabezado, o los datos generales, sólo se utilizan en el proceso de extracción cuando llegan a su destino son solo los Payload los únicos datos recibidos por el sistema de destino.
PAYLOAD EN PAQUETES
Desde el punto de vista de seguridad de la información, se refiere generalmente a la parte de código malicioso que realiza la operación destructiva.
Los Payload son los datos reales que al referirse a una computadora atacada, es el efecto causado por un virus o código malicioso ejecutadas en el quipo destino.
PAYLOAD EN SEGURIDAD
ShellCode
Es una pequeña pieza de código que se usa como Payload en la explotación de una vulnerabilidad de software. Se llama "shellcode", ya que normalmente se inicia un Shell de comandos de la que el atacante puede controlar el equipo afectado.
Shellcode es comúnmente escrito en código máquina , pero cualquier pieza de código que realiza una tarea similar se puede llamar código Shell.
SHELL CODE
Shellcode local
Shellcode Remoto
TIPOS DE SHELL CODE
Es utilizado por un atacante que tiene acceso limitado a una máquina, pero puede explotar una vulnerabilidad de un proceso de mayor privilegio en esa máquina. Si se ejecuta satisfactoriamente, el código Shell proporcionará al atacante el acceso a la máquina con los mismos privilegios que un administrador.
SHELLCODE LOCAL
Se utiliza cuando un atacante quiere orientar un ataque que se ejecuta en otra máquina de una red local o Internet . Si ha ejecutado satisfactoriamente, el código Shell puede proporcionar al atacante el acceso al equipo destino a través de la red; este usa normalmente el estándar TCP / IP socket para permitir que el atacante acceda a la consola en la máquina objetivo.
SHELL CODE REMOTO
CONEXIÓN/TRASERA: Se le llama así porque después de haberse conectado por primera vez la shellcode se conecta de nuevo a la maquina atacada.
BINDSHELL: Si el atacante tiene que crear la conexión, debido a que el shellcode se une a un determinado puerto en el que el atacante puede conectarse y controlarlo.
SOCKET-REUSE: Este tipo de código Shell se utiliza a veces cuando un Exploit establece una conexión con una vulnerabilidad que no se cierra antes de la shellcode sea ejecutado. El código Shell puede volver a utilizar esta conexión para comunicarse con el atacante. El problema es que la reutilización de código Shell es más difícil de crear, porque el código Shell tiene que saber de todas la conexiones abiertas cual es la solicitada
TIPOS DE SHELLCODE REMOTO
Auxiliares
son scripts con diferentes funciones . Uno de los primeros pasos que se deben tomar para lograr una intrusión, es la recolección de información. Saber que SO y/o versión estamos analizando, que puertos están abiertos, que servicios, etc. Aquí entra a jugar los auxiliares que nos permiten obtener cierta información de nuestro objetivo. Se diferencian de los exploits por ser utilizados para la obtención de información, es decir, con los módulos auxiliares no obtendremos ninguna Shell, sin embargo nos servirán para llegar a lograrlo.
AUXILIARES
Bibliografíahttp://www.pcmag.comhttp://www.securityfocus.comhttp://www.techterms.comhttp://comunidad.dragonjar.org