Post on 20-Dec-2015
description
Ataques de Canales Encubiertos
Alberto Chichizola GIAC Certified Intrusion Analyst (GCIA)
Consultor Asociado
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Agenda
Conceptos GeneralesAmenazas y PeligrosFormas de AtaqueTecnicas de Detección
Canales Encubiertos
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Cover Channel
Cualquier canal de comunicación que puede ser aprovechado por un proceso para transferir información en una manera que viola una politica de seguridad del sistema.
Es necesario de un programa cliente o servidor corriendo por fuera de la red y otro programa malicioso dentro de la red.
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Cover Channel
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Amenazas y Peligros
Numerosos Backdoor usan canales encubiertos que permiten control remoto de la maquinas
Un usuario podria utilizar software que normalmente esta filtrado por el firewall.
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
NetCat
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
NetCat
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
File Tunnel
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Http Tunnel
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Http Tunnel
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Permite a un usuario conectarse a un host remoto abrir un shell usando solo icmp para enviar y recibir data.
Una por defecto icmp type0 (ICMP_ECHO_REPLY)
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
ICMP SHELL
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Icmp Shell
JaCkCastOficiales de Seguridad
ICMP Shell
JaCkCastOficiales de Seguridad
Canales Encubiertos
JaCkCastOficiales de Seguridad
Detectando Tuneles Http
Tipicamente un web browser envia paquetes pequeños hacia el servidor web.
El cliente web no mantiene conexiones abiertas a un web site por horas.
# tcpdump -s 1514 -w log ip and src net 192.168 and 'dst port 80' and 'ip[2:2] > 200‘Verificar trafico en el puerto 80 que no cumple con trafico estandard HTTP.
JaCkCastOficiales de Seguridad
Detectando Tuneles Http
JaCkSecurity.com 2006 - con Alberto Chichizola
JaCkCastOficiales de Seguridad
Muchas gracias
Siéntase libre de contactarme a:achichizola@gmail.com