Curiosioux

Blog Personal Dedicado a la Ciberseguridad

Blue

Mantén Tu Sistema Seguro: El Uso Malicioso de Comandos en Linux

ismael.snchz@gmail.com 0

La seguridad en sistemas Linux es crucial debido a la creciente cantidad de ataques y métodos utilizados por actores maliciosos para comprometer sistemas. Una de las finalidades más comunes de estos ataques es lograr persistencia, que permite a los atacantes mantener acceso continuo a un sistema comprometido. Para lograr esto, los atacantes a menudo utilizan una variedad de comandos y scripts que pueden pasar desapercibidos si no se implementan medidas de seguridad adecuadas. En este post, exploraremos cómo los atacantes buscan persistencia en sistemas Linux y algunos de los comandos que pueden ser utilizados de forma maliciosa.

Los atacantes buscan persistencia en un sistema Linux para asegurarse de que su acceso se mantenga incluso después de reinicios o cierres de sesión. Esto les permite continuar con sus actividades maliciosas sin necesidad de comprometer el sistema nuevamente. Para lograr esta persistencia, los atacantes pueden modificar scripts de inicio, crear tareas programadas o inyectar código en procesos legítimos.

Métodos Comunes para Lograr la Persistencia:

  1. Crontab: Creación de tareas programadas que se ejecutan a intervalos específicos para mantener la actividad maliciosa.
  2. Archivos de inicio del usuario: Modificación de archivos como .bashrc o .profile para ejecutar comandos maliciosos al iniciar sesión.
  3. Servicios del sistema: Creación o modificación de servicios para ejecutar código malicioso al iniciar el sistema.
  4. Módulos del kernel: Uso de insmod para cargar módulos maliciosos en el kernel.

Comandos Susceptibles de Uso Malicioso

Algunos comandos en Linux pueden ser utilizados tanto para fines legítimos como maliciosos. Algunos de los comandos más comunes que pueden ser explotados:

  1. arp: Puede ser usado para manipular tablas ARP y redirigir tráfico de red.
  2. base64: Utilizado para ocultar datos maliciosos mediante la codificación base64.
  3. crontab: Programación de tareas maliciosas para que se ejecuten periódicamente.
  4. curl: Descarga y ejecución de scripts maliciosos desde servidores remotos.
  5. groups: Identificación de grupos de usuarios para escalar privilegios.
  6. insmod: Carga de módulos maliciosos en el kernel.
  7. netstat: Monitoreo de conexiones de red para detectar actividad sospechosa.
  8. systemctl: Gestión de servicios del sistema, pudiendo crear o modificar servicios para ejecutar código malicioso.

La búsqueda de persistencia y el uso malicioso de comandos en sistemas Linux representan una amenaza significativa para la seguridad. Es fundamental implementar medidas de seguridad adecuadas, como la monitorización de actividades sospechosas, la configuración de políticas de seguridad estrictas y la educación continua del personal sobre las amenazas emergentes. Estar al tanto de las técnicas utilizadas por los atacantes y comprender cómo pueden explotar los comandos y herramientas del sistema es esencial para proteger los entornos Linux contra compromisos de seguridad. En este sentido,como forma de tanteo, puede resultar interesante este pequeño script en bash que recorre los lugares susceptibles de ser utilizados para lograr persiténcia en el sistema en busca de los comandos más utilizados en ataques. Esto lo hace de forma automática, pero también permite performar las búsquedas estableciendo nuestras propias rutas y cadenas a buscar.

https://github.com/ismael107/comandosMaliciosos/blob/main/SearchingTraces.sh

Related Story

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *