Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 32 Anzeige

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019] (20)

Anzeige

Weitere von RootedCON (20)

Aktuellste (20)

Anzeige

Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]

  1. 1. Detección de Intrusos en UNIX David Reguera & Yago Jesus
  2. 2. Who are you ?? • Profesional seguridad informática • Editor Security By Default • Herramientas: Unhide, Anti Ransom, RadioGraphy, Patriot, etc etc etc • Actualmente en eGarante • Twitter: @YJesus
  3. 3. Who are you ?? • Profesional seguridad informática +10 years • Contributing to • x64dbg • Rootkit Unhooker • DbgChild • More: https://github.com/David-Reguera-Garcia-Dreg • Twitter: @fr33project
  4. 4. Los 3 Pilares P E R S I S T E N C I A A C T I V I D A D E S T R A Z A S
  5. 5. Persistencia • Mantener el acceso • Mantener el acceso ... Y que NO de el cante • Muchos sitios / tecnologías • Inteligencia + Talento = Gato no caza ratón
  6. 6. Persistencia Crypto HELPS Blue Team Crypto
  7. 7. Persistencia Crypto HELPS GPG KEYS SHARPMDB DEBSUM/DPKG
  8. 8. RClocals • Autoruns • Revisa sitios donde crear persistencia • Emplea la criptografía para analizar ficheros • 'Printa' ficheros de configuración • Mucha información
  9. 9. RClocals • GPG Keys
  10. 10. RClocals • Paquetes instalados
  11. 11. RClocals • Integridad de ficheros
  12. 12. RClocals • Integridad de procesos
  13. 13. RClocals • CRON
  14. 14. RClocals • RCFiles
  15. 15. RClocals • RCFiles
  16. 16. RClocals • SystemD Units
  17. 17. RClocals • SystemD Timers
  18. 18. RClocals • https://github.com/YJesus/RCLocals TODO • --Triage (menos info) • X --> Más opciones (sesiones, KDE, Gnome ...) • Integridad: Paquete VS Binario ?
  19. 19. RClocals • DEMO
  20. 20. Rootkits • Malware de servicio • NO es el fin, ES el medio • Múltiples técnicas + Múltiples vectores • En constante evolución • No solo Linux !! • Conservar los privilegios
  21. 21. Unhide
  22. 22. Unhide • Basada en 'Cross view' • ... O lo que es lo mismo: comparar datos de distintas fuentes • /bin/ps ¿Qué ves? • /bin/netstat ¿Qué ves? • ¿Se ve lo mismo si buscamos de otra forma? • A veces sí, a veces no
  23. 23. Unhide - principales técnicas v2019 • Rápido, necesita al menos un proceso/conexión ejecutándose: • ps VS /proc • ps VS syscalls • ps VS Fuerza Bruta • Netstat VS Bind() • new: ASM int0x80/syscall getdents vs readdir(/proc) • new: Lento, solo necesita el rootkit instalado: • Fuerza bruta de MAGIC GID en procesos y ficheros
  24. 24. Unhide - principales técnicas v2019 Demo detección de rootkit con: • unhide-gids • linuxreaddirvsgetdents • unhide-linux • unhide-tcp
  25. 25. Paranoid time!
  26. 26. Detección más cara
  27. 27. Demo: Ataque + Detección por consumo
  28. 28. Conclusiones • Anti-doping de equipos • Centralización de logs • Rutina integridad de sistemas con RCLOCALS • Rutina anti-rootkits con Unhide • Ojo con el hardware: USB-GUARD para RubberDucky, controlar redes WIFI, BLUETOOTH, consumo de dispositivos, precintar accesos...

×