En el caso de detectar que un sistema está infectado con un root-kit, ¿qué sucede si se puede hacer algo para rastrear los orígenes de los paquetes remotos de salida para intentar averiguar desde dónde inició sesión el atacante? Hago esta pregunta como una curiosidad y me pregunto cómo en el mundo profesional un hacker sería atrapado. Veo muchos artículos que indican que el atacante ha sido capturado, pero ¿cuál es el procedimiento?
Como regla general, este es un esfuerzo infructuoso.
Es muy raro que un hacker inicie sesión desde la IP de su hogar o desde cualquier servidor directamente rastreable hasta él. Es mucho más común que los piratas informáticos utilicen objetivos previamente pirateados como puntos de arranque para futuros ataques. A menudo, los atacantes también usarán otros relés (como defensores de IRC o redes públicas de IRC) para transmitir comandos a servidores infectados.
A menudo, puede rastrear el ataque hasta el servidor desde el que se lanzó el ataque, pero eso casi con certeza no pertenecerá al perpetrador. Teóricamente, puede obtener los registros de ese servidor e intentar rastrear el ataque salto por salto. Pero en la práctica, esto nunca sucede. A menudo, los ataques cruzan las fronteras políticas haciendo que este tipo de cooperación sea efectivamente imposible. Además, incluso si puede rastrear su IP original, muchas veces pertenecerá a un lugar que no le sea directamente rastreable, como una cafetería o un cibercafé.
Pero si tiene los registros, puede ser útil obtener la dirección IP del último salto principalmente porque luego puede analizar todos los registros de tráfico relacionados con esa IP para ver cómo y cuándo ocurrió el ataque y para ayudarlo a identificar componentes de ataque adicionales que puede haber perdido.
En cuanto a cómo son atrapados estos hackers
Muy raramente, el ataque se remonta directamente al perpetrador, ya que cubrir sus huellas es bastante simple. En cambio, los atacantes se encuentran por otros medios. Por ejemplo: rastrear a alguien que se jactó del ataque a IRC, analizar el uso de información robada, identificar la cuenta de Twitter de alguien que se acreditó por el ataque, o simplemente hacer trampas por parte de ex amigos o informantes.
En general, esto no es posible sin la ayuda de ISP. IP traceback es un nombre que se le da a cualquier método para determinar de manera confiable el origen de un paquete en Internet. Dado que la dirección IP de origen de un paquete no está autenticada o lo más probable es que sea un proxy. El problema de encontrar la fuente de un paquete se denomina problema de rastreo de IP. IP Traceback es una capacidad crítica para identificar fuentes de ataques e instituir medidas de protección para Internet. Hay varias de las técnicas más populares que se proponen son
Marcación probabilística de paquetes:
marcando probabilísticamente los paquetes a medida que atraviesan los enrutadores La Internet. El enrutador marca el paquete con la IP del enrutador Dirección o los bordes de la ruta que el paquete atravesó para alcanzar el enrutador.
Marcado determinista de paquetes:
Esta técnica intenta poner una marca única en los paquetes entrantes en el Punto de ingreso a la red. Su idea es poner, al azar. probabilidad de .5, la mitad superior o inferior de la dirección IP de la ingrese a la interfaz en el campo de identificación del fragmento del paquete, y luego establecer un bit de reserva que indica qué parte de la dirección es Contenido en el campo del fragmento. Al utilizar este enfoque, afirman ser capaz de obtener 0 falsos positivos con .99 de probabilidad después de solo 7 paquetes.
El rastreo de IP, como han dicho otros, no será útil. Lo que puede ser útil es todos los demás datos que puede recopilar, como el código de los archivos cargados y otras acciones realizadas por el atacante.
Por ejemplo, ejecuté un honeypot que capturó todos los archivos descargados y las pulsaciones de tecla. Desde el código en la botnet que instaló, la ubicación de descarga del código y las contraseñas que usó, pude rastrear a la persona directamente. Tenía suficiente información para relacionar que descubrí su nombre , correo electrónico del trabajo y número de teléfono, y su cafetería favorita en su ciudad natal en Rumania (gracias, Facebook).
Tan inteligente como era, usó su nombre completo como contraseña cuando creó un nuevo usuario en mi sistema, usó una ubicación de descarga que él mismo configuró, y usó un seudónimo que también usó en una red social sitio que eliminó, pero Google lo había almacenado en caché.
Ese es el tipo de información que las autoridades policiales necesitan para atrapar a un atacante.
Lea otras preguntas en las etiquetas rootkits