PONTIFICIA UNIVERSIDAD

CATÓLICA DEL ECUADOR

FACULTAD DE INGENIERÍA
FUNDAMENTOS DE CIBERSEGURIDAD

Nombres: Jhosua Fuertes Fecha: 18 de abril de 2021.

Joel Fuertes
Carlos Aguaiza
Josue Sangucho

Tarea: Ataques en los puertos

Objetivo general:

• Realizar un análisis estadístico de los ataques cibernéticos que se presentan en dos

países de diferentes continentes.

Objetivos específicos:

• Determinar los efectos que pueden causar los ataques en los puertos.
• Usar una herramienta que proporcione la información estadística de los ataques.
Temas de análisis:
1. On-Access Scan.
2. On-Demand Scan.
3. Mail Anti-virus.
4. Web Anti-virus.
5. Intrusion Detection Scan
6. Vulnerability Scan
7. Kaspersky Anti-spam.
8. Botnet Activity Detection.
9. Ransorware.
Japón
Asia
On-Access Scan:
• Hoax.MSIL.Optimizer.a. -Es un tipo de advertencia falsa sobre un virus o código
malicioso. Por lo general este se presenta en forma de un mensaje de correo
electrónico que advierte al usuario de un nuevo virus peligroso y hace que este mismo
transmita el mensaje. Este tipo de engaños no causan ningún daño de por sí, pero su
distribución por usuarios bien intencionados a menudo genera miedo e incertidumbre.

La mayoría de los proveedores de antivirus incluyen información falsa en sus sitios

web y siempre es recomendable verificar antes de reenviar mensajes de advertencia.

Este es un ejemplo de como se presenta este Hoax es el siguiente:

On-Demand Scan:
• Trojan.Bat.Miner. – Es un troyano que consiste en archivos BAT que instalan en
secreto aplicaciones de minería de criptomonedas en la computadora de la víctima.
Para las aplicaciones de minería de criptomonedas, estos instaladores suplantan el
nombre de los archivos ejecutables estándar en Windows. Además, este tipo de
malware también incorpora scripts que crean programas para ejecutar las aplicaciones
de minería.
Este es un ejemplo de como se presenta este tipo de troyano:
Mail Anti-virus:
• Trojan-PSW.MSIL.Coins.gen.- Este tipo de programas Trojan-PSW de clase
TrojWare están diseñados para información de cuentas de usuario, estas pueden ser
los inicios de sesión que por lo general son el correo y la contraseña de equipos
infectados. PSW es un acrónimo que significa Password Stealing Ware.

Cuando se ejecuta un troyano del tipo PSW este busca archivos del sistema que
almacenan una variedad de datos confidenciales o del registro. En el caso de que se
llegaran a encontrar esos datos, el troyano los envía a su “maestro”.
Los métodos que usa para transmitir los datos robados van desde FTP hasta web y
correos electrónicos. Tambien este tipo de troyanos pueden llegara utilizarse para
robar información de registro de algunos programas de software.
Web Anti-virus:
• Trojan.Win32.Scarsi.wnd. - Es un programa malicioso de clase TrojWarre diseñado
específicamente para espiar las actividades de un usuario (interceptar la entrada del
teclado, tomar capturas de pantalla, capturar una lista de aplicaciones activas, etc.).

Toda la información que se recopila es enviada al ciberdelincuente por varios medios

que puede incluir correos electrónicos, FTP y HTTP (mediante el envío de datos en
una solicitud).

Este es un ejemplo de cómo puede llegar a presentarse este tipo de troyano:

Intrusion Detection Scan:
• BruteForce.generic.rdp.d.– Es un ataque de clase de fuerza bruta que utiliza
métodos para adivinar la contraseña o clave de cifrado que implica probar
sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la
correcta. Un ataque de fuerza bruta exitoso permite a un atacante obtener credenciales
de usuario válidas

Aunque también hay que tener en consideración las contraseñas largas y para esto se
utiliza una alternativa, llamada ataque de diccionario que consiste en el uso de una
larga lista de contraseñas populares o filtradas en lugar de generar una combinación
de letras y números.

Este tipo de ataque intenta encontrar un par de nombre de usuario / contraseña de

RDP válido y si lo encuentra pues el atacante obtendrá acceso remoto a la
computadora.

Este es un software diseñado para descifrar los pares de inicio de sesión y contraseña
de RDP.
Vulnerability Scan
• Exploit.MSOffice.CVE-2017-11882.gen

Esta vulnerabilidad permite a un atacante, ejecutar código arbitrario en la sesión del

usuario logueado, ya que no gestiona adecuadamente los objetos en la memoria,
también conocido como “Vulnerabilidad de daños en la memoria de Microsoft
Office”.

El escenario de ataque se produce de 2 formas: – El atacante envía correos con

archivo(s) adjunto(s) maliciosos – El atacante envía correos con links que descargan
un archivo malicioso.

Los archivos enviados por el atacante son diferentes exploits que son utilizados en
campañas para aprovechar este tipo de vulnerabilidades.

Una vez que el usuario abre el archivo del correo o el descargado, aparece un mensaje
para editar el mismo, al dar click se ejecuta el exploit, que descarga un malware,
permitiendo acceso completo al sistema.
Kaspersky Anti-spam

Muestra los métodos de detección más utilizados.

Botnet Activity Detection
• Botnet

Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y

controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de
ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas.

Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un
número mínimo de equipos para crear un botnet. Los botnets pequeños pueden incluir
cientos de PCs infectados, mientras que los mayores utilizan millones de equipos.

Algunos ejemplos de botnets recientes son Conficker, Zeus, Waledac, Mariposa y

Kelihos. A menudo, se entiende el botnet como una entidad única, sin embargo, los
creadores de este malware lo venden a cualquiera que pague por él. Por este motivo,
existen docenas de botnets separados usando el mismo malware y operando a la vez.

El uso más común de los botnets son lo ataques DDoS. Estos ataques utilizan la
potencia del ordenador y el ancho de banda de cientos o miles de equipos para enviar
gran cantidad de tráfico a una página web específica y sobrecargar dicho site.

Existen diferentes tipos de ataques DDoS, pero el objetivo siempre es el mismo:

colapsar una web. Los atacantes usaban esta táctica para derribar las páginas de sus
enemigos. No obstante, empezaron a utilizar este método para atacar portales como
Yahoo, MSN, tiendas online, bancos o web gubernamentales.
Herramientas utilizadas:

https://cybermap.kaspersky.com/
Ransorware
• Trojan-Ransom.Win32.Onion.gen

Es una nueva versión del programa maligno internacional conocido como CBT-
Locker.

Este troyano es del tipo “ransomware” que encripta ficheros en la PC infestada y en

los recursos compartidos donde se tenga acceso de escritura y para desencriptar
dichos ficheros pide un rescate al usuario afectado.

La vía de infección primaria es a través de mensajes de correos spam con un adjunto

que dice ser un fax o un formulario con extensión .scr Los adjuntos pueden tener
como nombre palabras de diccionario aleatorias y para evitar los filtros de los
servidores de mensajería es un archivo compactado zip dentro de otro con un fichero
.scr dentro.

En el momento de la infección el programa escanea la computadora en busca de

ficheros de datos y los encripta con una clave, haciéndolos inaccesibles para el
usuario. Entre los ficheros encriptados están los de office, bases de datos, imágenes,
certificados digitales, ficheros comprimidos, etc.
Panamá
América central

On-Access Scan
• Hacktool.win32.kmsauto: Esta herramienta genera claves y licencias falsas para
activar productos de software no registrados. Es recomendable no utilizar estas
herramientas porque están asociadas con software no deseado que afectan la
integridad de nuestros ordenadores.

Kaspersky nos indica que la semana pasada se registró un 10,44% de usuarios que han sido
afectados por utilizar esta herramienta de hackeo.
On-Demand Scan
• Trohan.Multi.BroSubsc.gen: Es un malware troyano peligroso que se instala en los
navegadores de forma engañosa para recopila información del ordenador del usuario.
Por lo general se distribuye por torrents infectados, descargas falsas y anuncios
contaminados.

Kaspersky nos indica que la semana pasada se registró un 13,34% de usuarios que han sido
afectados por Trohan.Multi.BroSubsc.gen y otros virus.
Mail AntiVirus
• Hoax.script.scaremail: Incluye mensajes de correo electrónico para amenazar y
obligar a los usuarios a pagar dinero para no difundir información personal.

Kaspersky nos indica que la semana pasada se registró un 46,53% de usuarios que han sido
afectados por Hoax.script.scaremail en sus correos electrónicos.

Web Anti Virus

• Trojan.script.generic: Es un troyano que se dedica a realizar cambios en el
ordenador sin la autorización del usuario, el virus suele instalarse de forma oculta sin
que el usuario pueda detectarlo.

Kaspersky nos indica que la semana pasada se registró un 68,84% de usuarios que han sido
afectados por Trojan.script.generic y otros troyanos.
Intrusion Detection Scan
• Bruteforce.generic.rdp: Es un ataque de fuerza bruta para obtener contraseñas
cifradas que implica probar sistemáticamente todas las combinaciones posibles hasta
encontrar la correcta. Cuando se aplica este tipo de ataques al protocolo de escritorio
remoto (RDP), se intenta encontrar el usuario, la contraseña correctos y luego el
atacante accederá remotamente al ordenador del usuario objetivo.
Kaspersky nos indica que la semana pasada se registró un 59,56% de usuarios que han sido
afectados por Bruteforce.generic.rdp.
Vulnerability Scan
En la última semana en Panamá el malware Exploit.Win32.ShellCode.gen es el que
más afecta a los usuarios en dicho país.
En esta familia de malware encontramos programas maliciosos diseñados para crear
automáticamente virus, gusanos o troyanos, realizar ataques DoS en servidores
remotos, piratear otras computadoras, etc.
A diferencia de los virus, gusanos y troyanos, el malware de esta subclase no
representa una amenaza directa para la computadora se ejecuta y la carga útil
maliciosa del programa solo se entrega por orden directa del usuario.
En específico este malware es de tipo EXPLOIT, dichos exploits son programas que
contienen datos o código ejecutable que se aprovechan de una o más vulnerabilidades
en el software que se ejecuta en una computadora local o remota con fines claramente
maliciosos.
A menudo, los usuarios malintencionados emplean un exploit para penetrar en el
equipo de la víctima con el fin de instalar posteriormente un código malintencionado
(por ejemplo, para infectar a todos los visitantes de un sitio web comprometido con
un programa malintencionado). Además, los Net-Worms suelen utilizar exploits para
piratear la computadora de una víctima sin que el usuario deba realizar ninguna
acción.
Kaspersky Anti-spam
En la ultima semana el sistema de antivirus Kaspersky ah detectado un total de
507000 correos no deseados en Panamá, con un 61,26% detectado en análisis
automatizados, un 33,89% en análisis de atributos del remitente, un 3,8% en análisis
de atributos formales, un escaso 0,76% en análisis lingüísticos y finalmente un 0.29%
en análisis de firmas.
Correo no deseado o SPAM:
El correo no deseado es cualquier comunicación que nos llega por cualquier medio
no habiendo sido solicitada y que no era esperada por el usuario que la recibe.
Los “spammers” pueden obtener nuestras direcciones de correo electrónico a través
de las páginas web, como chats, foros, blogs, etc. con un “robot” que explora las
páginas.
Los correos se envían desde una dirección de correo que se parece muchísimo a otra
que nos puede ser conocida o de confianza. Suelen incluir enlaces donde clicar donde
usualmente nos lleva a paginas donde nos piden información personal o nos llevan a
instalar otro programa cayendo así en otro tipo de vulnerabilidad.
Botnet Activity Detection
• Botnet. - Una botnet, o mejor dicho, una red de bots (también conocida como ejército
zombi) es una red constituida por un gran número de equipos informáticos que han
sido "secuestrados" por malware, de forma que quedan a disposición de un hacker.
Al tomar el control de cientos o miles de equipos, las botnets se suelen utilizar para
enviar spam o virus, para robar información personal o para realizar ataques de
denegación de servicio distribuido (DDoS). A día de hoy, se consideran una de las
mayores amenazas en Internet.
En la última semana solo se detectó 1 actividad de botnet en todo Panamá la cual fue
erradicada con el sistema de antivirus Kaspersky.

Ransomware
• Trojan-ransom.win32.bitman.rvc. - Este ramsomware es de tipo TROJWARE el
cual es un troyano que se hace pasar por programas legítimos que resultan maliciosos
que realizan acciones no autorizadas por el usuario: eliminan, bloquean, modifican o
copian datos y alteran el rendimiento de los ordenadores o redes informáticas. A
diferencia de los virus y gusanos, las amenazas que entran en esta categoría no pueden
hacer copias de sí mismas ni auto-replicarse.
Los troyanos se clasifican según el tipo de acción que realizan en un equipo infectado.
En este caso el ramsomware actual modifica los datos en la computadora de la víctima
para que la víctima ya no pueda usar los datos, o impide que la computadora funcione
correctamente. Una vez que los datos han sido "tomados como rehenes" (bloqueados
o encriptados), el usuario recibirá una demanda de rescate.
La demanda de rescate le dice a la víctima que envíe dinero al usuario
malintencionado; al recibir esto, el ciberdelincuente enviará un programa a la víctima
para restaurar los datos o restaurar el rendimiento de la computadora.
En la última semana en Panamá la vulnerabilidad por excelencia tratándose de Ransomware
ha sido el TROJAN-RANSOM.WIN32.BITMAN.RVC

Conclusiones
• Estos ataques suceden por que el usuario se registra en páginas desconocidas,
descargan software ilegal, comparte su dirección de correo o información personal en
internet.
Recomendaciones
• Los usuarios deben evitar descargar programas no oficiales o desconocidos porque
afectan la integridad de la información que se encuentra en los ordenadores.
Herramienta utilizada:
https://cybermap.kaspersky.com/