Como se oculta un atacante

Iniciado por JIDCAV, 12 Marzo 2019, 02:50 AM

0 Miembros y 1 Visitante están viendo este tema.

JIDCAV

Buenas tardes amigos, acudo a ustedes con una duda; como un atacante se oculta para realizar sus actividades.

En concreto mi duda es la siguiente y voy a tomar una botnet como ejemplo:

Una botnet siempre dispone de un C&C quien los controla, por lo que los equipos infectados van a realizar conexiones contra este equipo directamente para luego recibir ordenes. Es aquí donde surge mi duda; como los atacantes ocultan sus direcciones IP de destino para no ser rastreados fácilmente y que los equipos infectados puedan seguir estableciendo la comunicación contra el C&C?

O lo pongo con otro ejemplo; si se ejecuta un payload en un equipo víctima, este debe conectar a un servidor con quien establece la conexión. Como se puede ocultar esa conexión para no ser rastreado fácilmente?

Espero haber sido claro con la pregunta y mil disculpas si este tema ya fue planteado anteriormente. Soy nuevo en este tema.

Quedo pendiente de sus respuestas.

Saludos

Aguijon_zerO

Pues estoy un poco oxidado en este tema pero si mal no recuerdo, existen protocolos para eso, asi que no se trata de ocultar sino de cifrar.

Por ejemplo usando metodos como Tunneling o protocolos como SSH.
HACKING / CiberSecurity:
https://seguridadaguijon.blogspot.com/

Guarrino


animanegra

Cita de: Pregunton7 en 12 Marzo 2019, 20:02 PM
Por ejemplo usando metodos como Tunneling o protocolos como SSH.

Si cifras como haces cuando haces ssh o tunelling en general, estas haciendo que si alguien intercepta la comunicación los datos que hay en esta séan un galimatias. Pero la IP origen y destino siguen siendo las  mismas porque los paquetes deben de llegar de ti al otro lado de la comunicación.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

@XSStringManolo

Conexion inversa de la vixtima a un servidor con mucho trafico al cual tengas acceso ilimitado
Al tener acceso al servidor puedes borrar tu rastro o dejarlo estar entre miles.

Al usar el servidor de intermediario la victima es totalmemte imposible que averigue quien es el atacante real. Ya que tpdas las ordenes son enviadas al servidor y el servidor envia sus propias ordenes sin contener datos del atacante real.

Se podrian cotejar horarios y revisar el servidor durante varios ataques para detectar la conexion del atacante real. Si esta conexion se hace mediante redes como tor, p2p y proxychains bien configurados es muy complicado llegar al atacante. Aunque hay metodos de cotejar conexiones si se tiene acceso a un nodo de salida y al servidor de una web qie se visite habitualmente.
Para mas seguridad se pueden utilizar equipos con piezas de "basurero" modificando los datos identificatorios unicos y amtenas wi-fi "basurero" para conectarse a redes como.un centro comercial sin ser grabado por camaras de seguridad. En ese punto se complica.

Segun lo que hagas los recursos y la respuesta empleada sera en consecuencia
Si haces algo muy grave lo mejor es una cabeza de turco ya que no pararan hasta encpntrar al responsable.

Cada uno usa sus conocimientos y metodos.  No hay una guia para ocultarse. Solo guias de conceptos basicos a aplicar.

Usa siempre opensource y no utilices software privativo, aunque de todas formas es imposible saber quien te obvserva a menos que hayas disenhado tu propio hardware. xD





sytem200

brother string Manolo a que te refieres con crear tu propio hardware

@XSStringManolo

Me refiero a que si usas una placa base de Asus, solo Asus sabe que chips tienen. Podrían ocultar algo. Esto sobretodo se hace en china, donde los individuos son más controlados y censurados que en democracias modernas. Lo mismo con los drivers. Cuando te bajas un driver para tu tarjeta de sonido, quien te asegura que yo no accedí 5 minutos antes que tú para cambiar el dirver por uno que es igual, pero solo le añadí algo al código.
Tu te lo bajas y tan contento. Y aunque la empresa se de cuenta, ya no tiene solución el problema, tu ya estás infectado.

Por eso digo, que nunca puedes estar seguro al 100% porque ningún individuo puede controlarlo absolutamente todo. Es más fácil controlar a los que te buscan que todo el hardware y software que usas para hacer click en una web por internet.

kub0x

#7
Las botnet no dejan de ser redes centralizadas, donde dependen como bien dices de un servidor C&C, por lo tanto ese es su punto débil y es donde los investigadores van a intentar llegar lo antes posible. Porque iba yo a introducir un server C&C ajeno a la botnet disponiendo de miles de máquinas a mi disposición. No soy un blackhat, pero de este tema he investigado bastante. Yo lo que haría sería nombrar a los zombies mas fieles como C&C, y que ellos mismos comandeen la campaña. Si necesitas de alguna forma extraer datos de las víctimas, puedes hacerlo introduciendo caos, no deja de ser una red p2p lee sobre bootstrapping, single-point failures y decentralized networks, así si yo quiero sustraer info de un pc, hago que pase por una estructura de árbol, donde cada nodo es un pc, asi poco a poco vas rebotando en nodos, y finalmente el último se ocupa del envío. Si a todo esto le juntas tor y un buen tcp-hole punch o un mapeo de puertos por NAT, tendrás una bonita red para lo que quieras (computo distribuido para cracking, o sci comp, o para robar carteras cosa innecesaria ya que esto es ciencia quien estudiaría tanto para hacer el mal).
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate