🛡️
Hacking para Juniors - [CPPJ]
Comprar cursoYouTubeTwitterLinkedIn
  • La Biblia del Hacker
    • ADVERTENCIA
    • Aprende GRATIS con El Curso De Junior a Senior en Hacking
    • Conoce tu Academia
    • Aprende con nuestro curso
    • Conoce a tu instructor
  • Fundamentos de la ciberseguridad ofensiva
    • ¿Que es el Ethical Hacking?
      • Tipos de Hackers
        • APTs (Advanced Persistent Threats)
    • ¿Que es el pentesting?
      • Tipos de Caja en Pentesting
      • Tipos de tecnologia
      • Etapas de un pentest
        • Escalacion de privilegios
    • ¿Qué es un CVE?
    • ¿Que es un escaneo de vulnerabilidades?
    • ¿Que es un Red Team?
      • Command and Control
    • ¿Que es la ingenieria social?
      • Kevin Mitnick
      • Libros Recomendados
    • El papel de los Juniors y la IA
  • OSINT for Juniors
    • Open-source intelligence (OSINT)
    • Tipos de fuentes OSINT
    • Herramientas para OSINT
    • Dorks de Google
  • OS for Juniors
    • Introduccion a Sistemas Operativos
    • Archivo y extensiones
    • Windows
      • Estructura del SO
        • Kernel De Windows
        • Servicios Importantes
        • Procesos en Windows
        • Registros en Windows
        • Gestion de archivos en Windows
      • Versiones relevantes
      • La importancia de identificar la version de windows durante una auditoria
      • Tips
    • Linux
      • Tips
    • Android
      • Versiones relevantes
      • Tips
    • IOS
      • Versiones Relevantes
      • Tips
    • macOS
      • Versiones Relevantes
      • Tips
    • Sistemas operativos para Hackers
    • Instalacion de Kali Linux
  • Networking for Juniors
    • ¿Que es el Networking?
    • Fundamentos de Redes
    • Estructura de Redes
    • Topologías de Red
    • Modelo OSI (Open Systems Interconnection)
    • Modelo TCP/IP
    • IP (Internet Protocol)
    • TCP (Transmission Control Protocol)
    • UDP (User Datagram Protocol)
    • Protocolos de red
      • Protocolos de la capa de acceso al medio
      • Protocolos de la capa de red
      • Protocolos de la capa de transporte
      • Protocolos de la capa de aplicación
      • Protocolos de aplicación en correo electrónico
    • Puertos y servicios
      • Puerto 21: FTP
      • Puerto 22: SSH
      • Puerto 23: Telnet
      • Puerto 25: - SMTP
      • Puerto 53: DNS
      • Puerto 80: HTTP
      • Puerto 443: HTTPS
      • Puerto 139 y 445: SMB - CIFS
      • Puerto 3389: RDP
      • Puerto 389: LDAP
      • Puerto 5000: Docker
      • Puerto 5900: VNC
  • Nmap for Juniors
    • ¿Que es Nmap?
    • Tu Primer Nmap
    • Parametros de Nmap
    • Comandos utiles
    • Scripts de Nmap
  • Wi-Fi y Radiofrecuencias
    • Fundamentos de Wireless
    • Fundamentos del Hacking de Wi-Fi
    • Fundamentos en Radiofrecuencias
    • RFID (Radio Frequency Identification)
    • Infrarrojo (IR)
    • Bluetooth
    • NFC (Near Field Communication)
    • Herramientas de un hacker
    • Fundamentos en Hardware Hacking
  • AppWeb For Juniors
    • ¿Porque deberia aprender hacking web?
    • Fundamentos de Aplicaciones Web
      • Códigos de estado HTTP
    • Fundamentos de APIs
      • Métodos HTTP
      • Practica Gratis
    • Cabeceras de seguridad
    • Analisis de certificados SSL
    • Mecanismos de autenticacion y autorizacion en AppWeb
    • Atacando CMS
    • La Seguridad en el Desarrollo de Aplicativos: Frameworks vs. Desarrollo Manual
    • OWASP Top Ten
  • Databases for Juniors
    • ¿Base de Datos?
      • SQL
      • NoSQL
    • Puerto 6379: Redis
    • Puerto 27017: MongoDB
    • Puerto 5432: PostgreSQL
    • Puerto 3306: MySQL
    • Puerto 1433: Microsoft SQL Server
    • Puerto 1521: - Oracle Database
  • Transferencia de Archivos
    • Introduccion a la Transferencia de archivos
    • Descargando desde Windows
      • Utilizando LOLBAS
    • Descargando desde Linux
    • Despliegue de servicio HTTP
    • Despliegue de servicio SMB
    • Despligue de servicio FTP
    • Utilizando Base64
  • Fundamentos en Vulnerabilidades
    • ¿Qué es una Vulnerabilidad?
    • ¿Qué es un 0day?
    • Common Vulnerabilities and Exposures - [CVE]
    • RCE (Remote Code Execution)
    • Buffer Overflow
  • Malware For Junior
    • ¿Que es Malware?
    • ¿Que es un AntiVirus?
      • Microsoft Defender
    • ¿Que es un EDR?
      • Mejores EDRs actuales
    • Desarrollo de Malware
    • Malware for Windows
      • Golang
      • Nim
      • C#
    • Ofuscacion de Malware
  • Shell
    • ¿Shell?
      • CMD (Command Prompt) en Windows
      • PowerShell en Windows
      • Bash en Unix/Linux
    • ¿Reverse Shell?
    • ¿Web Shell?
    • ¿Bind Shell?
    • Enumeracion de Windows
    • Enumeracion de Linux
  • Privilege Escalation for Juniors
    • ¿Que es la escalacion de privilegios?
    • PrivEsc For Windows
      • WinPEAS
    • PrivEsc For Linux
      • LinPEAS
    • PrivEsc For Active Directory
    • PrivEsc For Cloud Computing
  • Tecnicas de persistencia
    • Fundamentos de Persistencia
    • Persistencia en Windows
    • Persistencia en Linux
    • Persistencia Avanzada
  • Pivoting for Juniors
    • ¿Que es pivoting?
    • ¿Que es Socks?
    • Doble Pivoting y Triple Pivoting
    • RPivot y Chisel
  • Active Directory For Juniors
    • Fundamentos de Active Directory
    • Utilizando ADPeas para el reconocimiento
  • Cloud Computing For Juniors
    • Fundamentos de cloud computing
    • Amazon Web Services
    • Microsoft Azure
    • Google Cloud Platform
  • Introduccion a Blue Team
    • ¿Blue Team?
    • ¿SOC?
    • ¿Threat Hunting?
    • SIEM (Security Information and Event Management)
    • La fatiga del SOC
    • ¿SOAR?
  • Defensas y herramientas de seguridad perimetral
    • Soluciones de Seguridad Perimetral Esenciales
    • Firewall
    • IDS (Intrusion Detection System)
    • IPS (Intrusion Prevention System)
    • WAF (Web Application Firewall)
    • Firewalls de Próxima Generación (NGFW)
    • Gateways de Seguridad Web (SWG)
    • Gateways de Seguridad de Correo Electrónico (SEG)
    • Sistemas de Prevención de Fugas de Datos (DLP)
    • Network Access Control (NAC)
  • Muchas gracias
    • 🛡️ ¡Muchísimas Gracias por Participar! 🛡️
    • Importante
Con tecnología de GitBook
En esta página
  • Rootkits
  • Tipos de Rootkits
  • Técnicas de Evasión
  • Detección y Remediación
  • Bootkits
  • Funcionamiento de los Bootkits
  • Técnicas de Evasión
  • Detección y Remediación
  • BIOS/UEFI Malware
  • Funcionamiento del Malware de BIOS/UEFI
  • Técnicas de Evasión
  • Detección y Remediación

¿Te fue útil?

  1. Tecnicas de persistencia

Persistencia Avanzada

Rootkits

Un rootkit es una forma sofisticada de malware que permite a los atacantes mantener acceso continuo a un sistema comprometido mientras ocultan su presencia de los administradores del sistema y las soluciones de seguridad. Los rootkits pueden ser extremadamente difíciles de detectar y remover debido a su capacidad para operar en un nivel profundo del sistema operativo.

Tipos de Rootkits

  1. Rootkits de Modo Usuario (User Mode): Estos rootkits operan en el mismo nivel que las aplicaciones normales del usuario. Interceptan y manipulan llamadas del sistema operativo para ocultar su presencia y las acciones de los atacantes. Los rootkits de modo usuario suelen ser más fáciles de desarrollar pero también más fáciles de detectar que los rootkits de modo kernel.

    Ejemplo: Un rootkit de modo usuario podría modificar herramientas de administración como ps y ls en Linux para que no muestren procesos o archivos maliciosos.

  2. Rootkits de Modo Kernel (Kernel Mode): Los rootkits de modo kernel operan a nivel del núcleo del sistema operativo, lo que les permite tener control total sobre el sistema. Estos rootkits pueden interceptar las llamadas al sistema, modificar estructuras de datos del núcleo y ocultar cualquier rastro de actividad maliciosa.

    Ejemplo: Un rootkit de modo kernel podría modificar la tabla de llamadas del sistema (System Call Table) para interceptar funciones críticas y ocultar archivos o procesos.

  3. Rootkits de Firmware: Estos rootkits se instalan en el firmware del hardware del sistema, como el BIOS o UEFI. Debido a que el firmware se ejecuta antes del sistema operativo, los rootkits de firmware pueden persistir incluso después de reinstalar el sistema operativo.

    Ejemplo: Un rootkit de firmware podría modificar el código del BIOS para que cargue el malware cada vez que se inicie el sistema.

Técnicas de Evasión

  • Hooking de Funciones del Sistema: Los rootkits interceptan y manipulan las funciones del sistema operativo para ocultar su presencia.

  • Modificación de Memoria: Alteran estructuras de datos críticas en la memoria para evitar la detección.

  • Ocultación de Procesos y Archivos: Manipulan herramientas y APIs del sistema para que no muestren procesos o archivos maliciosos.

Detección y Remediación

  • Análisis de Integridad: Utilizar herramientas que verifiquen la integridad de archivos críticos del sistema y comparen con valores conocidos.

  • Escaneo de Rootkits: Herramientas especializadas como chkrootkit y rkhunter pueden ayudar a detectar rootkits.

  • Monitoreo de Comportamiento: Analizar comportamientos inusuales del sistema que puedan indicar la presencia de un rootkit.

  • Reinstalación de Firmware: En el caso de rootkits de firmware, puede ser necesario reinstalar o actualizar el firmware del hardware.

Bootkits

Los bootkits son una forma avanzada de malware similar a los rootkits, pero que se cargan antes del sistema operativo durante el proceso de arranque. Esto les permite tomar el control del sistema en una etapa muy temprana y evadir la mayoría de las medidas de seguridad implementadas por el sistema operativo.

Funcionamiento de los Bootkits

  • Infección del Sector de Arranque: Los bootkits infectan el sector de arranque del disco duro (Master Boot Record - MBR) o el código de arranque del BIOS/UEFI.

  • Carga Antes del Sistema Operativo: Al estar ubicados en el sector de arranque, los bootkits se ejecutan antes de que el sistema operativo se cargue, lo que les permite controlar el proceso de arranque.

  • Manipulación del Proceso de Arranque: Modifican el proceso de arranque para cargar el malware en la memoria y asegurarse de que se ejecute cada vez que el sistema se inicie.

Técnicas de Evasión

  • Cifrado y Ofuscación: Utilizan técnicas de cifrado y ofuscación para ocultar su código y dificultar la detección.

  • Modificación del MBR/UEFI: Alteran el MBR o el código de arranque del UEFI para asegurarse de que el bootkit se cargue antes del sistema operativo.

  • Persistencia a Nivel de Firmware: Algunos bootkits pueden modificar el firmware para garantizar la persistencia incluso después de la reinstalación del sistema operativo.

Detección y Remediación

  • Herramientas de Análisis de Arranque: Utilizar herramientas especializadas para analizar el sector de arranque y detectar modificaciones maliciosas.

  • Actualización de Firmware: Reinstalar o actualizar el firmware del sistema para eliminar el bootkit.

  • Reparación del MBR: Utilizar herramientas de recuperación del sistema para reparar el MBR y eliminar el código malicioso.

BIOS/UEFI Malware

El malware que infecta el BIOS o UEFI es uno de los tipos de malware más persistentes y difíciles de detectar. Estos tipos de malware se instalan en el firmware del sistema, lo que les permite persistir a un nivel muy bajo, incluso después de formatear el disco duro o reinstalar el sistema operativo.

Funcionamiento del Malware de BIOS/UEFI

  • Infección del Firmware: El malware se instala en el firmware del BIOS o UEFI, que se ejecuta antes del sistema operativo.

  • Persistencia a Bajo Nivel: Debido a que el firmware se ejecuta antes que el sistema operativo, el malware puede controlar el proceso de arranque y garantizar su persistencia.

  • Modificación del Proceso de Arranque: El malware puede modificar el proceso de arranque para cargar código malicioso y mantener el control sobre el sistema.

Técnicas de Evasión

  • Modificación del Firmware: Alteran el firmware para ocultar su presencia y dificultar la detección.

  • Persistencia a Nivel de Hardware: Debido a que operan a nivel de firmware, pueden persistir incluso después de la reinstalación del sistema operativo.

  • Evasión de Medidas de Seguridad: Al operar antes del sistema operativo, pueden evadir la mayoría de las medidas de seguridad y soluciones antivirus.

Detección y Remediación

  • Análisis de Firmware: Utilizar herramientas especializadas para analizar el firmware del sistema y detectar modificaciones maliciosas.

  • Reinstalación o Actualización del Firmware: Reinstalar o actualizar el firmware para eliminar el malware.

  • Medidas de Seguridad del Firmware: Implementar medidas de seguridad como la protección de escritura del firmware y el arranque seguro (Secure Boot) para prevenir infecciones.

AnteriorPersistencia en LinuxSiguiente¿Que es pivoting?

Última actualización hace 11 meses

¿Te fue útil?