¿El shell inverso expondría al atacante?

0

¿Podrían ustedes ayudarme a entender mejor las carcasas inversas?

¿Se expondría a un atacante cuando se usa un shell inverso en un ataque real?

Por ejemplo, si tengo un shell inverso en una máquina virtual de Linux que se conecta de nuevo a mi máquina de Linux. La puerta trasera contiene mi IP, por lo que si el Administrador del servidor la identifica, sabe a dónde se dirigirá la conexión, ¿no?

El problema es que, para lograr esto en el mundo real, la puerta trasera usaría la IP real del atacante. Esto llevaría a que el atacante sea fácilmente localizado?

¿Me estoy perdiendo algo? ¿Cómo usan las personas una cáscara inversa y no quedan atrapadas?

    
pregunta zzred 14.03.2017 - 07:48
fuente

3 respuestas

2

Estás en lo correcto. De hecho, muchos sistemas de defensa están diseñados para buscar el tráfico que se dirige a un servidor C & C, y los detalles del tráfico identificarían el destino (el servidor C y amp; C del atacante).

Por lo tanto, el atacante debe tener esto en cuenta y diseñar este problema.

La solución obvia es no convertir su PC personal en el servidor de C & C. En su lugar, use otra máquina comprometida (los servidores web no protegidos son excelentes para C y amp; C).

Si el atacante necesita conectarse directamente, entonces las opciones más simples son usar wifi pública gratuita, descifrar la wifi de un vecino, las VPN, proxies, TOR o usar una tarjeta SIM con grabadora. Algo para ofuscar el IP del atacante o pedir prestado otro.

    
respondido por el schroeder 14.03.2017 - 08:36
fuente
0

Lo que te falta:

La mayoría de los atacantes son lo suficientemente inteligentes para nunca piratear directamente desde su casilla de inicio sin usar un VPN , proxy o enrutar a través de Red de cebolla .

En teoría, si abres una shell inversa sin ninguna precaución, estás expuesto, sí.

    
respondido por el Gewure 14.03.2017 - 10:01
fuente
0

Sí, y es prácticamente fácil hacerlo, si el atacante no ha tomado ninguna medida para ocultar su identidad. En ese caso, incluso un wirehark sería suficiente para encontrar la IP a la que el malware está "hablando". La ingeniería inversa también es fácil. Es por eso que en un ataque serio en tiempo real, una shell inversa se codificaría o empaquetaría, por lo que la inversión sería difícil y su proceso se migraría en otro proceso del sistema, por lo que su tráfico de red sería más difícil de detectar. También podría personalizarse para abrir un shell para una ventana de tiempo específica y no constantemente, para evitar las detecciones de IDS. Por último, pero no menos importante, como mencionó @Gewure, su tráfico se enviará a través de vpn, proxy (s) o a través de la red de cebolla.

    
respondido por el Chris Tsiakoulas 14.03.2017 - 11:04
fuente

Lea otras preguntas en las etiquetas