¿Cuáles son las tres principales técnicas de intrusión de red utilizados por los hackers para ocultar sus huellas?

Las tres principales técnicas utilizadas por los HACKERS para cubrir sus huellas después de una intrucion a una red son el borrado de Logs, usar metodos de encriptacion para datos robados de la organización e instalación de rootkits. Todo esto para no llamar la atencion sobre ellos. Muchos de los ataques conocidos en las noticias recientemente se han identificados por el uso de dichas tecnologías por los atacantes.

El borrado de los logs ayuda a los atacantes cubrir sus huellas y haces mas difícil la investigación forense para identificar por donde y que han accesado los atacantes.El uso de tenicas de encriptamiento de datos para enviar datos fuera de la organización por ejemplo usar conexiones SSL sobre el puerto 443 permite a los atacantes ocultar sus actividades incluso de los detectores de intrusos, el trafico saliente de la red se disimula y pasa desapercibido para la mayoría de las protecciones instaladas haciendo que el robo de los datos probablemente pase sin ser detectada y sea desconocido los datos robados. La instalación de Rootkits ayuda a los hakers evitar ser detectados cuando estan realizando actividades ilícitas o a evitar que sean detectado la forma que ingresaron al equipo local. Los rootkits son dicenados para ser indetectables, permiten al atacante inspeccionar tranquilamente el sistema y explotar alguna vunerabilidad en el.


Los expertos en seguridad pueden combatir este tipo de técnicas usando logs review, centralizando el sistema de logs, usando patrones de comportamiento en las redes para detectar comportamientos anormales, y utilizar software para monitorear al integridad de nuestros archivos importantes. Estas son algunas de las tecnicas usadas para detectar actividad no deseada en nuestros sistemas pero regularmente no siempre es correctamente administrada. Desarrollar una adecuada estrategia de revicion de logs, puede ayudarnos a prevenir y detectas cuando nuestro equipo este siendo comprometido por un agente atacante. El centralizado de los logs o mecanismos que prevengan la manipulacion de los logs evita que que un atacante borre su actividad dentro de nuestro sistema. Mantener los horarios de nuestros equipos sincronizados puede ayudarnos a manter un track de las actividades realizadas en caso de que se comprometieron diversos dispositivos en nuestra red.

Network-based anomaly detection (NBAD), identifica cuando un sistema comprometido se comunica con otro sistema no autorizado o desconocido ( patrones de trafico ). Esta tecnología puede identificar una intrucion incluso en tiempo real , por ejemplo si en nuestro patrón detectamos que nuestro sistema se esta comunicando con otro equipo a travez de internet por un medio encriptado SSL, nuestro sistema estara informando que se esta realizando una actividad que no es normal en nuestro sistema, El uso de monitores de integridad de archivos pueden ayudarnos a detectar cuando un archivo ha sido comprometido y detectar si puede estar siendo parte del rootkit y enviar información privilegiada a nuestro atacante, un ejemplo de esto puede ser cuando un atacante obtuvo acceso a nuestro sistema y realizo un alias del comando su -, al ser utilizado el sistema envia el mensaje al atacante con las credenciales de root y asi ganara privilegios en nuestro sistema . lo mismo puede ocurrir con bases de datos o aplicaciones criticas de nuestra empresa .