DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

lunes, 31 de agosto de 2009

Sparse - ¿Un nuevo método revolucionario de adquisición de datos?

Hola lectores,

En el pasada conferencia me llamo la atención un comentario que hicieron sobre la empresa ASR-DATA y un producto novedoso (SAW) que permite la adquisición de datos (discos, particiones, etc) para la obtención de pruebas sobre análisis forense. Por lo que se ve y así lo constato soluciona un viejo problema que se nos da a la hora de adquirir discos.

Para poder centrarnos voy a empezar con el problema:

Uno de los problemas más difíciles que nos encontramos a la hora de obtener una copia de un disco es su tamaño. Últimamente me he encontrado con discos para analizar de uno y dos terabytes y lógicamente al crear la clonación tarda horas y horas (1 TB=21 Horas, sobre todo utilizando el comando dd). Además si le añadimos que hay que disponer del mismo tamaño de origen y de destino la prueba supone un elevado costo económico.

La solución pasa por utilizar un nuevo método de obtención de imágenes utilizando la tecnología de los ficheros sparse (o ficheros dispersos).

Sparse o el método sparsing consiste en lo siguiente:

¿QUE ES?, ¿QUE SON LOS FICHEROS SPARSE?

Es un atributo que se aplica a ficheros, para el cual se asigna y reserva un espacio determinado a un archivo. Aunque el fichero no este lleno, el espacio queda reservado para el.

Este espacio asignado no se llena en su totalidad con ceros aún estando vacío, sino que se crea de una forma en la que las partes vacías no cuentan como espacio ocupado. De esta forma lo que quiero decir es que el tamaño de los archivos son siempre mayores que el espacio de disco consumido por ellos.

Aunque es un concepto algo complicado y poco conocido, es bastante útil para casos como el de la obtención de discos.

Otro ejemplo, imagine que nos solicitan la creación de una unidad de 10 Gb de tamaño. Tenemos dos opciones - Asignar con antelación 10 gigabytes de almacenamiento, o bien aplicar un complejo sistema de asignación de almacenamiento, permitiendo que el archivo pueda crecer y reducir de forma dinámica.

Las dos alternativas son lentas y consumen mucho I/O de disco, disminuyendo drásticamente el rendimiento.

Afortunadamente, en los sistemas Windows, *nix y Linux nos ofrecen una solución mejor: los archivos dispersos.(Sparse).

Cuando necesitamos liberar espacio en el almacenamiento de archivos, simplemente le decimos al sistema que parte del archivo no es más utilizado, y el sistema se encarga de liberar el correspondiente espacio de disco. De esta manera se puede asignar un archivo de cientos de gigabytes, pero sólo ocupan unos pocos kilobytes de almacenamiento físico.

En la captura de la pantalla siguiente se puede ver una zona cero (en gris). El panel de la parte inferior izquierda de la ventana del programa, muestra la configuración real de las áreas de datos, mostrando que un archivo de más de 250 megabytes ,requiere sólo 64 kilobytes de almacenamiento en disco.


La forma novedosa de está solución consiste en obtener lo mismo que haría un dd de una partición NTFS o Linux, pero con la ventaja adicional de que los sectores no utilizados por el sistema de ficheros (que el dd copiaría tal y como estén), no los devuelva y obtener solo aquellos datos que realmente existen en el disco, con lo cual se reduce mucho el tamaño de la obtención de resultados. Lógicamente esta obtención debería de hacerse utilizando integridad.

Veamos la siguiente imagen representativa:


¿COMO FUNCIONA?

Veamos un ejemplo ilustrativo con el que vemos que un fichero que aparentemente ocupa 5 Mg (por ejemplo, en la salida del ls), en realidad, no ocupa absolutamente nada en disco:

1.- Creamos un fichero con propiedad SPARSE

$ dd if=/dev/zero of=fichero_ejemplo_sparse bs=1 count=0 seek=5M
0+0 records in
0+0 records out
0 bytes (0 B) copied, 4.4798e-05 seconds, 0.0 kB/s

2.- Verificamos su tamaño con ls

$ ls -l fichero_ejemplo_sparse
-rw-r--r-- 1 user group 5242880 2008-09-22 19:41 fichero_ejemplo_sparse

3.- Comprobamos en realidad cuanto ocupa

$ du -s -B1 --apparent-size fichero_ejemplo_sparse
5242880 fichero_ejemplo_sparse

$ du -s -B1 fichero_ejemplo_sparse
0 fichero_ejemplo_sparse

Otra forma de verlo es utilizando Windows, veamos este ejemplo utilizando el comando fstuil y el parámetro sparse:


Con el siguiente comando podemos establecer un fichero con el atributo sparse

c:\>fsutil sparse setflag fichero.txt

Y en la siguiente pantalla podemos comparar los tamaños


Aunque todo lo dicho hasta ahora nos parezca desconocido, realmente no es así ya que hay muchos productos que utilizan esta propiedad, por ejemplo la utilidad NTFSCLONE.

Por otro lado, en Windows se soporta desde NTFS v.5, (prácticamente desde Windows XP hasta sus otras versiones de servidor) y para casi todos los sistemas de ficheros tradicionales del mundo *nix y Linux.

Hace unos dos años, los desarrolladores de Solaris ZFS sacaron una versión de la función lseek() que permite a una aplicación encontrar los espacios reservados y no utilizados en los archivos dispersos de manera más eficiente.

También hoy en día nos podemos utilizar está herramienta para copiar ficheros utilizando el método sparse, es decir solo copiamos lo que realmente ocupa.

¿COMO ES LA NOVEDAD?

ASR-DATA ha creado un producto orientado al análisis forense llamado SAW que permite realizar de forma integra la obtención de datos relevantes de discos de gran capacidad, disminuyendo el tiempo de obtención.

El ejemplo es que un disco de 2 Terabytes se ha 'clonado' utilizando sparser y obteniendo como resultado un fichero de 234 Gbytes. el tiempo de adquisición se ha reducido prácticamente en un 95%.

Lamentablemente SAW solo se proporciona si asistes a un curso que realiza ASR-DATA, por lo que hace imposible que os pueda proporcionar el link de acceso al software.

No obstante su versión de producto SMART 2.0 llevará incluida la capacidad de obtener imágenes utilizando está técnica.

CONCLUSIONES

En las conferencias nos fuimos con la idea de que aunque este método está poco documentado y probado, todo hace pensar a que si las grandes empresas orientadas a productos de análisis forense invierten en esta tecnología y los productos empiezan a liberarse o son asequibles económicamente, podremos reducir el tiempo de adquisición de discos de alta capacidad.

Por otro lado hay que pensar que el soporte sparse viene de 'serie' en los sistemas de ficheros de la mayoría de sistemas operativos, siendo transparente para las aplicaciones, con lo que no hay que instalar ningún programa para convertir las unidades de disco, ni nada parecido.

El tiempo dirá si se especializa está técnica que a buen seguro revolucionará la obtención de datos de discos. De momento nos conformaremos con lo que tenemos.










jueves, 27 de agosto de 2009

Procedimiento Preventivo-Forense: Mesas limpias

Hola lectores,

He desarrollado un procedimiento (no técnico) que es muy útil para regular la información sensible que pueda haber en una empresa.


Cuando realizo alguna auditoría, se me ponen los pelos de punta cuando en la revisión visual, veo mesas llenas de montones de papeles, libros, CD's-DVD's y pendrives. Alguien puede pensar que esto no es malo y así es, siempre y cuando nada de esa mesa desaparezca sin conocimiento del propietario. Mas cuando esta información contiene listados de personas, código fuente, etc.

Las fugas de información son algo que están a la orden del día y no siempre es un experimentado hacker confabulado con las misteriosas hordas del infierno que ha venido a robar la información de la empresa. Es mucho más sencillo, ha sido el pobre 'manolo' que bien ha tirado algún papel importante a la basura o que ha perdido el pendrive con los datos de clientes.

Si manolo es un poco más avispado y preocupado por la seguridad (creedme cosa rara a día de hoy) como mucho romperá las hojas y las tirará a la papelera para a continuación guardar en su bolsillo el pendrive. (que sabe que es muy útil porque puede copiar cosas de casa a la oficina y de la oficina a casa).

Digamos que como siempre, dependemos en gran manera del buen uso del usuario con los sistemas de información y del trabajo de concienciación que la empresa realiza con los trabajadores en cuestiones de seguridad. Si el usuario no la percibe o no existe, la fuga de información está garantizada y además no podremos reclamar nada, dado que no tenemos las herramientas jurídicas suficientes para que la empresa este cubierta legalmente.

Por ejemplo si la empresa no dispone de ningún documento en la que indique que el uso de los pendrives está prohibido, no podrá evitar ante una perdida de información la reclamación de daños al usuario que presumiblemente perdió el dispositivo, dado que tecnológicamente tampoco podrá evitar que un usuario haga uso (legalmente o ilegalmente) de este elemento.

En estos casos la solución pasa por ser lo que llamamos preventivo-forense, que consiste en la creación de normas que regulen esta falta de desamparo en una empresa. Para ello las normas o procedimientos dentro de la compañía nos permitirán regular de forma legal estas cuestiones.

Seguro que este procedimiento que pongo a vuestra disposición no es ninguna 'panacea' universal, pero como mínimo nos permitirá regular la información móvil en horas de trabajo.

También si observais hago enfasis en la destrucción de documentos en papel. Comentaros que hoy en día existen soluciones económicas en cuanto a destructoras de papel, que alguna ronda el precio de 22 Euros (las más baratas)

Este procedimiento lo tenéis disponible desde aquí.

martes, 25 de agosto de 2009

Forensics en P2P ( Bittorrent-Bitcomet ) - Parte I


Hola lectores,

De todos es conocido la utilización de las redes P2P con objeto de compartir o descargarse alguna 'copia de seguridad' de algún programa 'necesario' o visualizar algún vídeo de las fiestas del pueblo. ;-)

Por otro lado el mal uso de este tipo de programas puede provocar fugas de información o accesos no deseados a nuestra máquina. También en España hay casos sonados sobre la mala utilización de las redes P2P, como el caso de CCOO

Hoy vamos a ver como analizar algunos de los productos más utilizados en las redes P2P basándonos en un caso real.

Hace poco nos ha llegado el caso de analizar una máquina de un cibercafé que supuestamente ha realizado descargas de ficheros con pornografía infantil. En un principio todo apunta a la utilización de redes 'peer to peer' y se sospecha del uso de Bittorrent dado que está instalado en la máquina.

La recopilación de pruebas se ha realizado obteniendo una copia integra del disco con 'dd' y en un entorno de explotación (vmware) para el posterior análisis en linea.

El objetivo de este tipo de pruebas es obtener direcciones IP, ficheros descargados, carpetas compartidas, usuarios, etc.

Con el conjunto de evidencias recogidas le tocará al fiscal presentar las pruebas pertinentes y a partir de ese punto, quedará pendiente del juicio.

Bittorrent


BitTorrent es un protocolo pensado para el intercambio de ficheros entre iguales (peer to peer o P2P). El protocolo Bit Torrent está basado en software libre.

A diferencia de los sistemas de intercambio de ficheros tradicionales, su principal objetivo es el distribuir un mismo archivo a un grupo de personas, forzando a todos los que descargan un fichero a compartirlo también con otros. La distribución se realiza por medios convencionales como un pequeño fichero con extensión .torrent. Este fichero es estático, por lo que a menudo se encuentra en sitios web.

Un fichero 'torrent' contiene la dirección de un servidor de búsqueda, el cual se encarga de localizar posibles fuentes con el fichero o parte de él.

Normalmente, el nombre de un archivo torrent, tiene el sufijo “.torrent”. Los archivos torrent tiene una parte llamada “mostrado o anuncio”, la cual especifica la dirección o URL del tracker, y una sección “información”, la cual contiene los nombres de los archivos, sus tamaños, longitud de piezas utilizadas, y la huella SHA1; toda esta información es usada por los clientes para verificar la integridad de los datos recibidos.

Cuando un usuario comienza la descarga de un fichero, BitTorrent no comienza por el principio del fichero, sino que se baja por partes de forma aleatoria. Luego los usuarios se conectan entre sí para bajar el fichero.

Algunos de los clientes basados en Software que utilizan este protocolo son: Ares, Azureus, Ktorrent, Bitcomet, utorrent.

Introducción a los Ficheros .torrent

Si abrimos con un editor de texto un archivo .torrent nos encontramos con un diccionario que contiene las siguientes claves:




  • announce: cadena que representaLa URL del tracker
  • created by: (cadena opcional) Nombre y versión del programa usado para crear el archivo torrent.
  • creation date: (entero opcional) La fecha de creación del torrent en formato de época UNIX.
  • encoding: Formato de codificación del fichero
  • files: Sólo aparecerá en el caso de que sea un torrent multi archivo. Es una lista de diccionarios (uno para cada archivo, pero con una estructura diferente a info). Cada uno de estos diccionarios contendrá a su vez información sobre la longitud del archivo, la suma MD5 y una ruta (path) en donde debe ubicarse el archivo en la jerarquía de directorios.
  • length: (entero) Longitud del archivo en bytes.
  • path: (cadena o entero) El nombre del archivo o directorio donde se almacenarán los archivos
  • name: El nombre del archivo
  • piece length: Este parámetro es un entero que representa el número de bytes de cada pieza. Piezas demasiado grandes causan ineficiencia y piezas demasiado pequeñas forman un archivo .torrent más pesado. Actualmente se aconseja fijar el tamaño de cada pieza en 512 KB o menos para archivos de varios GBs.
  • pieces: Cadena que representa la concatenación de la lista de claves hash de cada parte del fichero compartido. Las claves hash son generadas utilizando SHA-1 con un resumen de 160 bits y un tamaño máximo por parte de 2^64 bits. Este conjunto de claves se utiliza como mecanismo para asegurar la integridad y consistencia de una parte, una vez ha sido completada la descarga de dicha parte.
Bien, con esta introducción empezamos a realizar nuestro análisis.

¡¡EMPEZAMOS!!

Como disponemos de la copia en formato dd, vamos a utilizar Mount Image pro (también empleamos FTK Imager) para montar el disco virtual y acceder al fichero NTUSER.DAT

Lo que vamos hacer es revisar el software instalado, para ello importaremos este fichero a la utilidad WRR (Windows Registry Recovery) de MITEC, siendo este el resultado:



En la anterior pantalla vemos la ruta donde se ha instalado un cliente. En este caso es Bitcomet.

Siguiendo con la revisión, en la siguiente pantalla vemos dos claves muy reveladoras.

IERefUrl: Que contiene el sitio desde donde se ha conectado para obtener el fichero .torrent
IEWbPageTitle: Que contiene el titulo de la ventana del torrent a descargar.

Ambos contenidos de estos valores están codificados en Hexadecimal



Para obtener el resultado del sitio web donde se conecto vamos a convertir de Hexadecimal a Ascii.

El valor truncado en la imágen de la clave IERefUrl es :

68:74:74:70:3a:2f:2f:6c:69:73:74:73:72:76:38:38:2e:70:6c:61:79:2e:63:6f:6d:2f:74:6f:72:72:65:6e:74:73:2d:64:65:74:61:69:6c:73:2e:70:68:70:3f:69:64:3d:34:31:34:39

Para convertirla utilizamos cualquier conversor que dispongamos. Si no tenemos ninguno podemos utilizar de forma 'on-line' este que acabo de utilizar y disponible desde aquí.



Como veis el sitio web 'listsrv88.play.com', es una evidencia muy concreta que nos servirá para su posterior análisis.

NOTA: ¡¡Ojo!! Si instalamos la versión sobre Windows Vista o Windows 7 la clave del registro donde se encuentran estas dos subclaves están en:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-2693945775-50245416-85377012-1000\Software\BitComet\BitComet

Si seguimos analizando con la utilidad WRR nos encontramos que la aplicación que por defecto abre los ficheros .torrent es Bitcomet. De esta forma descartamos que otro programa este interactuando con nuestro entorno.



En la siguiente pantalla, comprobaremos en la clave del registro 'RecentDocs' (Documentos recientes), si últimamente ha sido utilizado algún fichero .torrent.
Como vemos la cadena 0 (cero) contiene en hexadecimal el último fichero accedido.



El valor truncado en la imágen anterior del valor 0 (cero) es:

66:6f:72:65:67:69:72:6c:73:2d:66:72:69:65:6e:64:73:2d:6f:6e:6c:79:31:35:2e:64:76:64:31:2e:69:73:6f:2e:74:6f:72:72:65:6e:74

y que una vez convertida por el método anterior nos da el último fichero accedido, es decir este:



Recordamos que en Windows 7 se haya en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\torrent

Evidencias en ficheros

Otra forma de obtener evidencias son editando y comprobando los siguientes ficheros:

  • downloads.xml
  • bitcomet.xml
  • my_shares.xml

downloads.xml:

Contiene las descargas actuales en que se encontraba el sistema en ese momento. Una vez más en Windows 7 se encuentra en:
C:\Users\pedro\AppData\Local\VirtualStore\Program Files\BitComet.

El contenido del fichero downloads.xml incorpora lo siguiente:



Como podemos ver en la imagen anterior nos da información del tipo de fichero descargado, fecha, hora y tamaño. Como podemos apreciar no muestra los ficheros ya descargados o eliminados, cuestión importante en este análisis.

Bitcomet.xml:

Contiene la configuración del programa. Se haya la información importante como las carpetas que se comparten, usuario y contraseña (en caso de estar activo), configuración del proxy y servidores a donde se conectaba.





my_shares.xml

Contiene los ficheros compartidos y lo que es más importante, mantiene un histórico de aquellos ficheros que se han descargado, aunque se hayan eliminado.


Conclusiones

Partiendo de que el usuario que se descargó los ficheros con ponográfia infantil habia dejado la máquina tal cual y no había desinstalado ni borrado ningún fichero, fue sencillo obtener la información. Por otro lado deciros que la mayoria de esta gente no se preocupa o desconoce formulas anti-forensics que por supuesto para nosotros es muy obvio, no obstante he aquí algunos de los resultados, otros han sido omitidos por motivos de confidencialidad.

Hemos obtenido la siguiente información:

Usuario: Antoine
Password: p4p3
Servidores a donde estaba conectado (ver imagenes)
Ficheros torrent (compartidos actualmente y borrados)

Haciendo un análisis más profundo y que exceden de este post, sacaremos más información de la máquina como ultimos accesos a páginas web, vídeos e imágenes visualizadas, memoria, paginación . etc, etc...

En próximos post, comentaremos más sobre este tipo de programas haciendo especial incapie en Azureus tema muy discutido por las fuerzas de seguridad, dado que es complicado el análisis forense sobre este producto.

miércoles, 19 de agosto de 2009

DFRWS 2009

Hola lectores,

Aprovechando las vacaciones, me he ido de viaje a Canadá y me he pasado por el encuentro anual del DFRWS 2009.

DFRWS se dedica a la puesta en común de conocimientos e ideas acerca de la investigación forense digital. Sus andaduras comenzaron en el 2001 y hoy en día sigue siendo un evento interesante que reúne a académicos y profesionales en un ambiente informal. Es una organización sin ánimos de lucro, organizada por voluntarios, patrocinadores que dan conferencias, grupos de trabajo técnicos que exponen sus resultados, y como no retos online sobre análisis de pruebas y resultados.

Las conferencias me han costado unos 575 dolares y la verdad que es poco dinero en comparación con otros eventos que he ido y que en alguna ocasión han sido de muy bajo nivel.

Hasta ahora las conferencias son increíblemente buenas, y quiero destacar la gran afluencia de representantes del gobierno americano y fuerzas policiales, expertas en la materia forense.

DFRWS 2009 se celebra en Montreal, Quebec, Canadá en el Hotel Delta Centre-Ville. . El Hotel está situado a poca distancia del casco antiguo de Montreal hay numerosos restaurantes y lugares de interés turístico (el Puerto, Pointe-à-Callieres Museo Arqueológico, etc.).

En este evento tendré el honor de conocer a personalidades tan importantes como el genio Wietse Venema, el figura Daniel Ayers, el creativo y genial Andreas Schuster, el maestro Vassil Roussev y muchos más que espero que estén en este evento.

La agenda del evento se encuentra aquí.

Mas adelante escribiré sobre las anotaciones que he tomado, pruebas de concepto y como no las iré reproduciendo en el blog para todos los lectores.

domingo, 2 de agosto de 2009

Alta interacción - Redes Trampa

Hola lectores,

Hoy vamos a ver algún diseño de Honeynet de alta interacción.

Para ello vamos a utilizar lo siguiente:

  • Una máquina con Windows XP sin Service Pack ninguno y sin actualizar, si lo que queremos es que entren al sistema, en caso contrario un Windows XP totalmente securizado y con una aplicación web vulnerable, en mi caso suelo utilizar DotNEtNUKe en sus primeras versiones.
  • Un detector de intrusos en la máquina victima (Snort) que recolectará los eventos de los ataques
  • Un gestor de logs que recupere esos eventos y los mánde a un sistema centralizado, para ello empleamos OSSEC y un servidor Linux que los almacene.

Quiero reseñar que Yago Jesús de SecurityBydefault utilizo en la Campus Party el programa 'obfuscator' no os perdaís esa entrada en el blog, ya que es muy interesante, al igual que Eduardo que en su blog nos habla en estas entradas sobre honeynets.

¡¡EMPEZAMOS!!

Lo principal es tener configurada en la máquina victima la detección y envío.

1.- SNORT (DETECCION DE INTRUSOS)

En la máquina victima descargamos e instalamos SNORT (hay que descargarse también Winpcap).

Snort es un sniffer de paquetes y un detector de intrusos basado en red. Es un software muy flexible que ofrece capacidades de almacenamiento de sus logs tanto en archivos de texto como en bases de datos como lo es Microsoft SQL y MYSQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.

Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para puertas traseras, denegación de servicios, etc...

Una vez instalado el programa podemos dejarlo 'correr' en modo 'servicio' (demonio en Linux), de esta forma:

c:\>snort.exe /INSTALL /SERVICE
Los parámetros que voy a emplear son:

c.\>snort.exe -v -i2 -l c:\snort\log\ -c c:\snort\etc\snort.conf

Que viene a decir:

Se lanza snort en modo de muestra por pantalla (-v) , que escucha por la tarjeta de red 1 (-i1), que guarda los logs que se generan (-l) y que lee el fichero de configuración snort.conf (-c)

En pantalla ilustrativa vemos como se lanza snort y como detecta un escaneo de NMAP.



2.- OSSEC (GESTOR DE EVENTOS)

Ossec es un proyecto 'open source' de gestión de Logs, que monitoriza una máquina, y que detecta las anomalías que puedan producirse en el sistema. Para hacer esto usa sobre todo una herramienta para la detección de rootkits, otra para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar logs.

En cuanto a la arquitectura del sistema, usa básicamente un modelo de cliente-servidor, con lo que tendremos una servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes.

Su instalación es sobre Linux, siendo muy sencilla (utiliza asistentes basado en preguntas y respuestas), quizás el principal requisito es la necesidad de un compilador como GCC

Una vez instalado el servidor, necesitamos instalar el Agente

La instalación cliente es un ejecutable Windows que vamos a instalar en la máquina victima, es tan sencillo que no requiere explicación, tan solo poner la IP del servidor de Logs, puerto y eso si, clave privada que identifica al agente con el servidor. Para ello vamos a emplear el comando que nos proporciona el servidor para la creación de agentes. Entre las diversas opciones vemos que es capaz de crear la clave que posteriormente podremos copiar en el agente.

Una vez este configurada estas opciones, tan solo nos queda reiniciar el servidor OSSEC y ya estamos dispuestos a recibir los logs de los ataques que se produzcan

3.- SISTEMA VULNERABLE

Como indicaba anteriormente, voy a poner un sistema que realmente atraiga a los malos, para ello empleo DotNetNuke en sus primeras versiones, que contienen XSS y SQL Injection, es decir un entorno preparado y 'precocinado'. Esta versión con un poco de habilidad permite el acceso por SQL Inyection al sistema.

En el caso de que consigan una Shell (cmd.exe) también se llevarán una sorpresa, dado que instalaremos un programa 'espía' que monitorize todas las acciones llevadas a cabo, desde consola o con entorno gráfico, para ello hemos selecionado 'Golden eye' que ya hable en anteriores post y que me lo encontre en el análisis de una máquina.

Este programa funciona en modo silencioso, es trasparente a los antivirus y perfecto para nuestra trampa.





Ahora con todo esto, solo queda esperar y aprender...

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...