Asumiré que esta pregunta se refiere a patrones de ataque comunes del sombrero negro o la tripulación común y corriente, no a los de atacantes altamente sofisticados y bien dotados patrocinados por el estado.
En el mundo del pirateo ético, las empresas emplearán personas para simular un hackeo en su empresa, hasta el momento comprometer las máquinas y el acceso privilegiado (por ejemplo, cuenta de administrador local, cuentas de administrador de dominio, cuentas raíz) pero no para robar ningún dato o causar algún tiempo de inactividad para la empresa. Este trabajo se llama prueba de penetración.
Las pruebas de penetración se componen de 5 fases, y reflejan con precisión gran parte de lo que harán los hackers de blackhat.
- Cómo proteger mi computadora usando software libre
- ¿Cómo ha evolucionado la industria antivirus desde los días del mercado predominantemente de PC? ¿Seguirán desempeñando un papel vital en la era de IoT?
- ¿Cómo es la Universidad GFSU en Gujarat para M.Tech en Seguridad Cibernética y Respuesta a Incidentes?
- ¿Cuáles son las características que concluyen si un NetFlow es anormal? Además, ¿cuáles son los valores de umbral para las características anteriores?
- ¿Cómo podría eliminar el virus big farm y big bang de mi computadora?
- Reuniendo información
- Evaluación de vulnerabilidad
- Explotación
- Mantener acceso persistente
- Escalada de privilegios
Los piratas informáticos de Blackhat tendrán un paso final para modificar o extraer datos con éxito (registros financieros, información de pago, PII, etc.), abusando de las interfaces con dispositivos físicos (reactores nucleares, cámaras de seguridad, cajeros automáticos, etc.).
Algunos de los indicadores comunes para cada paso del ciclo de pentesting de 5 etapas (que muchos atacantes seguirán de cerca) son los siguientes:
- Reuniendo información
- Incrementar el tráfico de servidores proxy anónimos o redes oscuras como I2P / Tor
- Top 1000 o completos (1-65535) escaneo de puertos TCP
- Aumento del tráfico de FTP, SMB, SNMP, SMTP no autenticado no iniciado por usted o los miembros de su empresa.
- Evaluación de vulnerabilidad
- En casos de herramientas automatizadas como SQLMap, Nessus, OpenVAS y Acutenix, una afluencia masiva de tráfico aparentemente repetitivo se llenó hasta el borde con solicitudes largas, inusuales y aparentemente inválidas (por ejemplo, miles de intentos de inicio de sesión en un formulario de inicio de sesión web con un nombre de usuario como ‘SELECCIONAR * DE usuarios DONDE Nombre de usuario =’ 1 ‘O’ 1 ‘=’ 1 ‘Y Contraseña =’ 1 ‘O’ 1 ‘=’ 1 ‘
- En casos de pruebas manuales, varias instancias de entrada del usuario similarmente larga e inusual, pero muchos menos intentos totales.
- Explotación
- Los sistemas antivirus, IDS e IPS pueden experimentar un aumento en las detecciones heurísticas.
- Mantener acceso persistente
- Nuevos usuarios agregados al sistema
- Nuevos servicios agregados al sistema
- Nuevos procesos o scripts que comienzan en tiempo de ejecución
- Se agregaron excepciones de firewall nuevas e inusuales
- Se agregaron claves de registro nuevas e inusuales
- Incapacidad para ejecutar herramientas de administración comunes, como el Administrador de tareas
- Escalada de privilegios
- Dichos nuevos usuarios tienen privilegios administrativos recién descubiertos.
- Los archivos protegidos de su cuenta pueden haber sido accedidos o modificados
Con esto en mente, es importante recordar que no todos los ataques causarán ninguno de estos, y no todos indican un ataque. La conclusión es que la mayoría de los atacantes utilizará las herramientas y técnicas que causarán la mayoría de estas “huellas”.
