Como hacerle contra a Shellter, la herramienta que camufla virus en los DLLs

Como amante de la seguridad informática, siempre estamos en constantes cambios y evolución, no con la finalidad de atacar a nadie, más bien de mostrarles como deben protegerse, para asegurar un mínimo de privacidad.

La hace algunas semanas, le compartimos una herramienta llamada Shellter, la cual se encarga de camuflar código maligno dentro de las librerías dinámicas del sistema operativo, pero, solo comentamos algo del tema, hoy veamos algo similar en acción, con este video que comparte cyberh99.

No, no vas a aprender todo lo que se necesita con solo ver videos en YouTube, necesitas más que eso, leer libros especializados en temas muy específicos, no basta con saber usar una herramienta determinada, desarrollada por otra persona, la cual en esencia no sabemos cómo funciona, se dan caso de herramientas creadas para atacar, pero el primer atacado es justamente el que la descarga para atacar a otros, se que sonó a trabalenguas, pero es una realidad.

Que aprendemos de este video:

ShellterLo primero que podemos apreciar en el video, es que se ejecuta en un ambiente local, para llevarlo al exterior de una red local, se deben traspasar varios equipos de seguridad y filtrados, entiendo que para evitar este tipo de ataques, como siempre lo primero es mantener el sistema actualizado, como bien se puede saber, el ataque mostrado se basa en una inyección de código en las DLL usadas en una versión de Internet Explorer (IE) vulnerable, esto tiene como requisito que el usuario o victima use la versión indicada.

Otro factor importante, son los puertos, a veces no podemos evitar la infección por algún usuario despistado, pero si que podemos bloquear puertos salientes de nuestra red local, como vemos en este caso, se trabaja sobre el puerto TCP 4444 y se conecta a una IP local, la cual perfectamente se puede sustituir por una pública y surtiría el mismo efecto si no hay filtro, pero ojo, una buena práctica es evitar que las PCs de nuestra red, se conecten directamente a IPs públicas, esto, según he probado, tiene gran efectividad a la hora de frenar ataques, ya que será mas fácil bloquear un dominio que una IP desconocida, pero, por defecto me gusta implementar que se impida la conexión a direcciones IPs públicas.

Algo más que podemos hacer contra Shellter

ShellterTrantandose de DLLs infectadas por este software que se ejecuta en el mitico Kali, se me ocurre las políticas restrictivas de DNS seguros, los cuales filtran los dominios y bloquean la petición en caso de tratarse de alguna url sospechosa, ya se que muchos usuarios “avanzados” intentarías burlar esta política, si es tu escenario, podrías impedir que los usuarios finales se salten la limitación, haciendo uso de tus propios DNS locales y solo ellos pueden realizar consultas o peticiones por el puerto TCP/UDP 53, esto limitará totalmente a esos usuarios que configuren DNS estaticos.

Algo mas que debes hacer, es tener un único equipo como gateway en la red, detrás de este, todas las conexiones a internet, podriamos llamar a este equipo un UTM, dependiendo que capacidades dispongas, podrías crear políticas muy eficaces contra los ataques actuales, partiendo de que todo virus, por lo general, consulta un dominio externo o intenta establecer una comunicación saliente, la cual, por lo general, los equipos de protección no bloquean a menos que se especifique los contrario a través de puertos.

Conclusión… Shellter

Hay muchas cosas que podemos hacer, contra Shellter y muchos otros ataques denominados Reverse DNS y justamente, la solución empieza por los DNS que usemos y/o configuremos, creo que sería genial, si en un próximo artículo, les comparto algo como; Que puertos debo permitir en una Red Local.

Esto no pretende ser una guía infalible, partiendo de que cada red es un mundo, donde convergen aplicaciones distintas, lo que trae a colación una receta única para el coctel llamado Tu Empresa.

Déjanos un comentario diciéndonos que te pareció este articulo, también dinos de que te gustaría leer en nuestro blog, tus dudas serán bien acogidas para futuros artículos, porque al final, nos interesa que aprendas y despejes tu dudas.

Te pareció interesante el tema? COMPARTELO!!


Suscríbete a mi canal de YouTube,  y nos leemos en el próximo!

0 Comments Unéte a los comentarios →