Práctica 06. Keyloggers y Stealers en Ubuntu Server¶

Actividad Práctica sobre Programas para Robar Información Personal en Ubuntu Server¶

Objetivo:¶

Comprende los conceptos de keyloggers, stealers y otros programas maliciosos utilizados para robar información personal. Aprende cómo pueden implementarse en un entorno Linux (Ubuntu Server), y cómo detectarlos y prevenir estos ataques.

Requisitos Previos:¶

Asegúrate de tener conocimientos básicos de Linux y Ubuntu Server.
Accede a una máquina con Ubuntu Server instalado.
Obtén permisos de root o sudo para instalar software.

Video introductorio sobre logkeys¶

Para descargar las fuentes de logkeys puedes usar el siguiente comando:

git clone https://github.com/kernc/logkeys.git
cd logkeys
make
sudo make install

O bien descargar el archivo comprimido desde su página oficial en GitHub.

Parte 1: Instala un Keylogger¶

Define y explica qué es un keylogger: Un keylogger es un tipo de malware que registra las pulsaciones de teclas de un usuario sin su conocimiento. Puede usarse para robar contraseñas, mensajes privados y otra información sensible.
Instala un keylogger básico en Ubuntu Server:

Paso 1: Actualiza tu sistema:
```
sudo apt update && sudo apt upgrade -y
```
Paso 2: Instala logkeys, un keylogger de código abierto para Linux:
```
sudo apt install logkeys
```
Paso 3: Configura el keylogger para registrar las teclas presionadas:
```
sudo logkeys --start
```
Paso 4: Verifica que el keylogger está funcionando. Las pulsaciones de teclas se guardarán en el archivo de registro /tmp/logkeys.log. Visualiza el archivo con:
```
sudo cat /tmp/logkeys.log
```
Desactiva el keylogger:

Detén el keylogger con:
```
sudo logkeys --stop
```

Parte 2: Instala un Stealer¶

Define y explica qué es un stealer: Un stealer es un tipo de malware que roba información sensible de un sistema, como contraseñas y detalles de tarjetas de crédito. Suele distribuirse mediante correos electrónicos maliciosos o enlaces de phishing.
Simula la instalación de un stealer básico:

Paso 1: Crea un archivo de texto con contraseñas simuladas:
```
echo "usuario1:password123" > contraseñas.txt
echo "usuario2:password456" >> contraseñas.txt
```
Paso 2: Escribe un script para simular un stealer que copia este archivo:
```
nano stealer.sh
```
Dentro del script, agrega el siguiente código:
```
#!/bin/bash
cp /home/usuario/contraseñas.txt /home/usuario/stealed_data.txt
echo "Datos robados: /home/usuario/stealed_data.txt"
```
Paso 3: Haz el script ejecutable y ejecútalo:
```
chmod +x stealer.sh
./stealer.sh
```
Paso 4: Verifica que el archivo ha sido copiado como parte del robo de datos:
```
cat /home/usuario/stealed_data.txt
```
Desactiva el stealer:

Elimina el script para detener el stealer:
```
rm stealer.sh
```

Parte 3: Instala Otros Programas Maliciosos¶

Experimenta con varios tipos de malware adicionales para comprender una gama más amplia de amenazas.

1. Simula la Instalación de un Ransomware¶

El ransomware es un tipo de malware que encripta los archivos del usuario y exige un rescate para desbloquearlos.

Paso 1: Crea un script simple que simule un ataque de ransomware (sin realizar encriptación real). Este script renombrará los archivos de texto en el sistema:

nano ransomware.sh

Agrega el siguiente contenido:

#!/bin/bash
for file in $(find /home/usuario -type f -name "*.txt"); do
     mv "$file" "$file.encrypted"
done
echo "Tus archivos han sido encriptados. Paga el rescate."

Paso 2: Haz que el script sea ejecutable y ejecútalo:

chmod +x ransomware.sh
./ransomware.sh

Paso 3: Verifica que los archivos de texto en /home/usuario han sido renombrados.

Paso 4: Para “deshacer” el ataque, renombra los archivos nuevamente. Este paso es una simulación, ya que no se ha realizado un cifrado real.

for file in $(find /home/usuario -type f -name "*.txt.encrypted"); do
     mv "$file" "${file%.encrypted}"
done

2. Simula la Instalación de un Rootkit¶

Un rootkit es un tipo de malware diseñado para obtener acceso no autorizado a un sistema y ocultar su presencia. Simula un rootkit básico utilizando chkrootkit, una herramienta de detección de rootkits en Linux.

Paso 1: Instala chkrootkit para detectar rootkits en tu sistema:

sudo apt install chkrootkit

Paso 2: Ejecuta un escaneo básico en tu sistema:

sudo chkrootkit

Paso 3: Revisa los resultados del escaneo para identificar posibles rootkits.

Parte 3: Aplica Medidas de Defensa y Prevención¶

Instala un Antivirus en Ubuntu Server:

Defiéndete contra keyloggers, stealers y otros programas maliciosos utilizando herramientas de seguridad y antivirus. En Ubuntu Server, una opción popular es ClamAV.

Paso 1: Instala ClamAV:
```
sudo apt install clamav clamav-daemon
```
Paso 2: Actualiza las definiciones de virus:
```
sudo freshclam
```
Paso 3: Realiza un escaneo del sistema:
```
sudo clamscan -r /home
```
Analiza Registros y Detecta Malware:

Revisa los registros del sistema para detectar cualquier actividad sospechosa, como procesos maliciosos ejecutándose en segundo plano.
```
sudo cat /var/log/auth.log | grep logkeys
```
Aplica Prácticas de Seguridad:
- Actualiza el Software: Mantén el sistema actualizado con los últimos parches de seguridad:
```
sudo apt update && sudo apt upgrade -y
```
- Implementa Autenticación de Dos Factores (2FA): Añade 2FA en aplicaciones y servicios críticos.
- Revisa Periódicamente los Logs: Aprende a revisar regularmente los registros del sistema y de aplicaciones para detectar signos de actividad sospechosa.
Utiliza Contraseñas Fuertes: Practica la creación de contraseñas seguras utilizando generadores de contraseñas o herramientas como pwgen:
```
sudo apt install pwgen
pwgen 12 1
```

Entrega de la Práctica 06 en aules

Entrega un informe detallado sobre las medidas de defensa implementadas y cómo ayudan a proteger contra keyloggers, stealers y otros programas maliciosos.