Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - DUDA

#101
Welcome Luem but the color chosen is not very nice!

Thanks for reading!
DUDA
#102
Cita de: Mr.Trucorrijanme si estoy mal

Te tomo la palabra @Mr.Tru

profundizar*
aplicación*
informática*
innovar*
profundizas*
corríjanme*
ficción*
imagínate*

Gracias por leer!
DUDA

#103
Ojala y te hagas con la pelicula y nos mandes la url al grupo de whatsapp  ;D

Gracias por leer!
DUDA
#104

Hola secuaces:

Seguimos con la segunda parte de esta serie de entradas dedicada a mi primera vez, a la charla de este Rookie, (Espero que no sea la última), en #CONPilar17.
En la entrada anterior procedimos a identificar las evidencias del hipotético caso que monté.
Pues, una vez que han sido identificadas, es hora de buscar esos famosos dispositivos conectados al Sistema. Así que nos ponemos manos a la obra, que esto es pan comido, (¿O no tanto?).
Para identificar los dispositivos USB conectados a un Sistema Windows, usaremos la herramienta RegRipper, con su plugin 'usbstor', sobre el fichero del Registro de Windows que tenemos montado, 'System'. Así que pasamos esa línea...

Código: text
perl rip.pl -r /mnt/windows_mount/Windows/System32/config/SYSTEM -p usbstor usbstor2 usbstor3




Pues... va a ser que algo ha salido mal. Porque sólo se nos muestra un dispositivo conectado al Sistema, tratándose del disco duro externo, de nombre Intenso, que fue con el que se recogieron las evidencias oportunas.

Y ahora ¿Qué hacemos? ¿Decimos que no hay nada y nos quedamos tan anchos? Porque, a ver. No hay nada. O nos preguntamos ¿Qué ha pasado?

Seamos curiosos. Veamos qué ha pasado.

Y ¿Cómo determinamos qué ha pasado? Con una Linea Temporal, (Timeline). Y ¿Qué hacemos cuando establecemos una línea temporal? Creamos una lista de eventos, en orden cronológico, de todo el Sistema. Podéis encontrar información interesante al respecto en la ForensicsWiki.

Para este caso, voy a emplear una utilería de TSK, (The Sleuth Kit). Concretamente, voy a usar 'fls', que extrae un listado completo de archivos y directorios, (Incluídos accesos directos, ficheros eliminados, ...), para generar el cuerpo del Timeline, (body); y 'mactime' para hacerlo legible y ordenar los datos. Podríamos, a base de fórmulas, ordenarlos directamente en un fichero CSV, pero no es labor que lleve poco tiempo.

Y vamos a crear dos líneas temporales. Una que contenga los datos del día 16 de diciembre, (cuando se intervino en el Sistema), y otra general de todo el Sistema.

Código: text
fls -f ntfs -o 206848 -m / -rl IncidenteFuga.dd > body.txt

mactime -b body.txt 2016-12-16 > Timeline-16-12-2016.csv

mactime -b body.txt > Timeline.csv




Ahora tenemos dos ficheros, dos líneas temporales, que nos van a ayudar a esclarecer muchas cosas, y que guardaremos y tendremos como referencia. No sin antes, echarle un ojo a la del día 16 de diciembre, en hora anterior a la que se intervino en el Sistema. Recordad que tenemos esos datos a raiz de la identificación de la Evidencia.

Y ¿Qué es lo que nos encontramos cuando estudiamos ese Timeline? Un fichero 'Prefech', que indica la ejecución de una herramienta, de nombre 'USBOBLIVION64.EXE', a las 07:07:00 horas de ese día 16, (Minutos antes de la intervención).



Seamos algo más curiosos... a ver si se ha ejecutado más veces esa herramienta... La buscamos en esa línea temporal, a través de

Código: text
cat Timeline-16-12-2016.csv | grep USBOBLIVION




Sin más resultados que el obtenido anteriormente.

No lo he comentado aún, pero el factor tiempo, es crítico en todos los sentidos. Un segundo puede marcar la diferencia entre 'involucrar' a un usuario, (hablamos de usuarios en Forense, no de personas), o 'no involucrarlo'. No es lo mismo que se lleve a cabo una acción en un Sistema, un segundo antes de que se finalice la sesión en un equipo, o un segundo después, por ejemplo.

Por ello, hay que tener muy presente ese factor tiempo, (y los Husos horarios), por descontado.
Bueno. Ya tenemos algo.
Tenemos un Incidente de Seguridad, en el que se intervino un día 16 de diciembre, a las 06:09:25 horas, (UTC), cuando se conectó el disco duro Intenso.
Tenemos una ejecución de una herramienta con nombre 'USBOblivion', el día 16 de diciembre, a las 07:07:00 horas, (CET).
Con esta simple acción, hemos reducido considerablemente el espacio, (tiempo), de búsqueda, (a cuestión de minutos).
Pero... ¿Qué es USBOblivion?¿Qué hace? Para ello, lo primero que hacemos es visitar su página oficial, que nos dice que "Elimina todas las trazas de dispositivos USB conectados".



Vosotros, no sé. Pero en mi cabeza, si ya de por sí la palabra 'eliminar', me cuesta creérmela... 'Eliminar' y 'Todos', las dos juntitas... no me encajan en este mundo.

Para responder a ello, para saber realmente, tenemos que ser curiosos. Debemos preguntarnos ¿Qué dice que hace?¿Qué vemos que hace?¿Qué hace realmente? Porque, creedme, la respuesta rara vez será la misma.

Gracias por leer!
DUDA


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#105
Hola y bienvenido al foro!! algunas recomedaciones a seguir.

1. No mezclar los temas para poder brindar una mejor ayuda.
2. Usa el buscador del foro, quizá a alguien más le paso lo mismo, si no, postealo en una nueva entrada junto con los detalles (imagenes, error).

Ahora, te paso esta ISO de Windows 10 que no me ha dado problemas:
Código: text
https://mega.nz/#!dVYhEQSC!2Wq7SpNM7R-retzNXtLAz8LB2Xon2DcT_yxAGjld5ZE

SERIAL KEY: W269N-WFGWX-YVC9B-4J6C9-T83GX

Recuerda que es bueno darle un update ni bien instalarlo.

En cuanto a tu problema de Kali y tu Wifi, sigue mis recomendaciones superiores.

Gracias por leer!
DUDA
#106
Presentaciones y cumpleaños / Re:hola mundo
Mayo 16, 2017, 12:44:22 PM
Bienvenido!! esperamos tus aportes.

Gracias por leer!
DUDA
#107
Welcome to the jungle!

Gracias por leer!
DUDA
#108
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola, me gustaría saber como "captar" las sesiones de cookie ya hechas. Se puede hacer con alguna herramienta.
O sea, yo tengo ya en el Chrome iniciado el facebook, como hago para captar esa sesión ya iniciada o eliminar esos cookie para que lo vuelva a colocar.

No sé si me explico.

Saludos.

Pasate por aquí: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por leer!
DUDA
#109
Front-end / Re:Cambia el tema de Underc0de!
Mayo 15, 2017, 07:40:57 PM
¡¡Que genial!! aunque me gusta esperar los Viernes Negros :P

Gracias por leer!
DUDA
#110
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,
Quiero leer información sobre como descargar vídeos de paginas en stream como youtube y sitios así, se que hay programas para eso pero yo no quiero descargar nada, solo tengo curiosidad por entender como funciona.

¿Tiene algún nombre especifico este tipo de técnicas?

¿Algún post o libro donde se hable de ello?

Gracias.

Para youtube:
Código: text
 http://keepvid.com/

Para video web:
Código: text
 http://offliberty.com/

El como funciona, quizá debes estudiar el algoritmo de los sitios que mencioné.

Gracias por leer!
DUDA
#111
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola, me gustaría probar todos los proyectos con este fin el de sniffear las conexiones con https o htst. Cuantas hay y sus recomendaciones. Gracias.

Para https mira esta guía del buen @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por leer!
DUDA
#112
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Como va Underc0ders?
Tengo mucho tiempo desde q no publicaba algo..

Mi duda es la siguiente.. He perdido mi USB booteable con linux, a lo que se me ocurrió crear otro, pero en vez de un pen  drive, utilizar un disco duro externo de un terabyte.. Es posible esto? O solo aplica a los pen drives?

P.D: prometo volver a estar activo de nuevo en el foro en la medida en la que pueda..

Enviado desde mi 6039A mediante Tapatalk

Hola!! cualquier unidad de almacenamiento externa podrá ayudarte, yo uso No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por leer!
DUDA
#113
Ahi me tienes, de Windows no se mucho, lo lamento.
#114
Hola! yo recomiendo ocupar "weevely" es un backdoor hace lo mismo que una webshell pero son menos indetectable,

En underc0de puede encontrar hartos shell No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias por leer!
DUDA
#115

Hola a todos chicos! En la entrada de hoy vamos a configurar una VPN utilizando una Raspberry Pi.

No tienes permitido ver los links. Registrarse o Entrar a mi cuentade las ventajas que ofrece disponer de una conexión VPN en cuanto a la protección de nuestros datos, para lo cual os he enlazado la correspondiente entrada. ¡Recomiendo echarle un ojo!

La solución que utilizaremos ahora es la instalación de un servicio OpenVPN vía UDP dentro de una Raspberry Pi, fácilmente accesible desde cualquiera de nuestros dispositivos. Frente a las diversas soluciones automatizadas y en forma de script que sé que las hay, vamos a realizar el proceso de manera un poquito más manual. ¡Una VPiN!

Instalación de OpenVPN

Comenzaremos ahora a instalar la herramienta OpenVPN para ofrecer un servicio VPN al exterior. Podemos hacerlo desde los mismos repositorios de Raspbian.

Código: text
sudo apt install openvpn



Podemos comprobar el estado del servicio, y acto seguido iniciarlo y volver a comprobar el estado para ver si todo ha ido correctamente.

Código: text
sudo service openvpn status
sudo service openvpn start
sudo service openvpn status




Para seguir configurando el servicio, de momento lo desactivaremos.

Código: text
sudo service openvpn stop


Configuración de la PKI y la autoridad certificadora

Queremos ahora generar una infraestructura de clave pública o PKI para permitir la autenticación y la verificación de la identidad del servidor y de los clientes. Para ello, lo primero que tenemos que hacer es configurar OpenVPN para que sea capaz de generar los pares de claves pública y privada RSA necesarios para crear estos certificados y actuar como entidad certificadora (CA).

Para manejar las claves RSA OpenVPN se sirve de una utilidad llamada easy-rsa, que proporciona una interfaz fácil para generar claves. Copiamos la carpeta de dicha utilidad, que podemos instalar de repositorios de no tenerla, en el interior del directorio de OpenVPN.

Ejecutaremos ahora los siguientes comandos como administrador para generar nuestra entidad de certificación:

Código: text
source ./vars
./clean-all
./build-ca


Iremos rellenando uno a uno los campos que se nos piden aceptando el valor por defecto.

Código: text
https://www.fwhibbit.es/wp-content/uploads/2017/05/VPNraspberry-020.jpg


Una vez acabado el formulario tendremos nuestra CA. Podemos ahora construir nuestro servidor de claves con el nombre que queramos

Código: text
./build-key-server OpenVPNServer


Se nos pedirá de forma similar al paso anterior rellenar una serie de campos. Podemos dejar todo por defecto, ya que nos rellenará el nombre del servidor con el que hemos introducido. Además, debemos aceptar la firma del certificado. El resultado es un certificado para el servicio con validez de diez años.

Pasamos a generar ahora las claves de usuarios o clientes. Asignaremos un par de claves a cada uno de los dispositivos desde donde queramos acceder a la VPN, o bien podemos tener un solo par de claves repartido entre los que queramos. Sin embargo, esto impide la conexión concurrente de dispositivos.

Para crear nuestro par de claves, ejecutaremos:

Código: text
source ./vars
./build-key-pass hartek


Se nos mostrará de nuevo un formulario muy similar. Esta vez, además, debemos introducir una contraseña de acceso con la que proteger nuestra clave privada.



Accederemos ahora al directorio /etc/openvpn/easy-rsa/keys, en el cual encontramos todas las claves generadas hasta el momento. Protegeremos nuestra clave privada mediante TripleDES con el siguiente comando:

Código: text
openssl rsa -in hartek.key -des3 -out hartek.3des.key




Así queda nuestra clave privada mejor protegida si cabe. Volvemos al directorio /etc/openvpn/easy-rsa.

Ahora podemos configurar el algoritmo de intercambio de claves Diffie-Hellman, necesario para realizar el intercambio de claves de la PKI de forma segura. Podemos hacerlo con el siguiente comando, que tardará un rato en terminar de ejecutarse:

Código: text
./build-dh




Para prevenir los ataques de denegación de servicio, incorporaremos una protección de acceso por HMAC. De esta forma el servidor solamente trata de autenticar a los usuarios que posean esta clave HMAC precompartida.

Generaremos la clave HMAC:

Código: text
sudo openvpn --genkey --secret keys/ta.key


Tenemos ya todas las claves necesarias para poner en marcha el servicio.

Configuración del servicio OpenVPN

Lo siguiente será crear y modificar los ficheros que utilizará OpenVPN para configurar el servicio. Primeramente creamos y abrimos con el editor vim un fichero de configuración en /etc/openvpn llamado server.conf.

Nota: Tenemos un ejemplo del mismo con explicaciones de cada campo en el directorio /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz comprimido en gzip.



Modificaremos ahora el fichero /etc/sysctl.conf del sistema Raspbian de manera que activaremos al inicio el reenvío de paquetes IPv4, que por defecto está desactivado. Esto es necesario para poder encaminar las comunicaciones a través del tunelado VPN.

Descomentamos la segunda de la imagen línea borrando el símbolo # que tiene originalmente:



Guardamos los cambios en el fichero y ejecutamos el siguiente comando para aplicar los cambios inmediatamente:

Código: text
sudo sysctl -p


Ahora configuraremos un script con una regla de encaminamiento con iptables, que nos permitirá redirigir el tráfico de la subred de la VPN a la red local. Creamos y editamos con vim un fichero /etc/firewall-openvpn-rules.sh con el siguiente contenido:



Creado el fichero, lo protegeremos impidiendo el acceso al margen del creador del mismo (el administrador):

Código: text
sudo chmod 700 /etc/firewall-openvpn-rules.sh


Una vez hecho esto, lo agregaremos al fichero /etc/network/interfaces junto al resto de la configuración de la interfaz de forma que el script se ejecute al arranque de la interfaz de red:



Hecho esto ya tendremos el encaminamiento definido desde el arranque. En este punto ejecutamos un reinicio de la máquina y tendremos listo nuestro servidor. Comprobamos que está activado el direccionamiento IPv4 con el comando:

Código: text
cat /proc/sys/net/ipv4/ip_forward


Si el valor devuelto es un 1, está activado.



Configuración de la DNS dinámica

Para permitir el acceso desde el exterior sin tener que depender de la variabilidad de la IP pública de nuestro ADSL, es conveniente configurar un servicio DDNS o DNS dinámico, como puede ser no-ip. De esta forma, se nos asignará un subdominio que apuntará a nuestra IP pública de forma dinámica y eliminaremos este problema.
Crearemos una cuenta en el servicio no-ip (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) y configuraremos un nuevo hostname. Podemos ponerle el nombre y dominio padre que queramos siempre que esté disponible.



Para que este subdominio se reasigne al cambiar la IP pública, debemos instalar el cliente noip en nuestra Raspberry Pi. Para ello, ejecutamos los siguientes comandos para descargar e instalar dicho cliente:

Código: text
mkdir /home/pi/noip
cd /home/pi/noip
wget http://www.no-ip.com/client/linux/noip-duc-linux.tar.gz
tar vzxf noip-duc-linux.tar.gz
cd noip-2.1.9-1
sudo make
sudo make install


En la instalación se nos pedirán los datos de acceso a la cuenta de noip. El resto de campos podemos dejarlos predeterminados, dado que solamente tenemos un subdominio. Si no, tendríamos que seleccionarlo de una lista.



Una vez instalado el cliente no-ip, querremos que este se inicie cada vez que arranque la Raspberry Pi. La mejor manera de hacer esto es configurar un script de inicio en init.d. Podemos hacerlo creando un nuevo fichero /etc/init.d/noip2 y copiando el contenido del script encontrado en este manual.





Acto seguido, le damos permisos de ejecución y actualizamos la lista de scripts de inicio. Además, lo arrancamos de forma manual.

Código: text
sudo chmod +x /etc/init.d/noip2
sudo update-rc.d noip2 defaults
sudo /usr/local/bin/noip2




Ya tenemos configurado nuestro servicio DDNS para poder comunicarnos con él desde el exterior de forma fácil y más directa.

Creación del perfil cliente VPN

Para crear los perfiles de configuración que cada cliente deberá utilizar para realizar la conexión al servidor, haremos uso del script creado por Eric Jodoin. Podemos descargarlo de su repositorio (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) con el siguiente comando:

Código: text
sudo git clone https://gist.github.com/laurenorsini/10013430\ /etc/openvpn/easy-rsa/keys


Crearemos ahora un fichero de configuración que servirá de entrada para el script como base para crear el perfil de acceso de cliente. Crearemos y editaremos un nuevo fichero localizado en /etc/openvpn/easy-rsa/keys/Default.txt, que contendrá algunos parámetros que nos sonarán de la configuración del servidor, y otros específicos del cliente.



Ahora podemos dar permisos de ejecución al script de creación de perfiles que hemos descargado, y ejecutarlo.

Código: text
sudo chmod +x /etc/openvpn/easy-rsa/keys/MakeOpenVPN.sh
cd /etc/openvpn/easy-rsa/keys
sudo ./MakeOpenVPN.sh


Se nos pedirán datos acerca de la localización de los ficheros de claves de la CA. Si todo va bien, recibiremos un mensaje de éxito y tendremos creado nuestro perfil de cliente.



Hecho esto ya tenemos nuestro perfil creado. Procedemos a copiarlo al directorio home de la Raspberry Pi, hacernos con su propiedad, y copiarla en otro dispositivo mediante herramientas como scp (en sistemas Linux) o Bitvise (en sistemas Windows).






NOTA IMPORTANTE: Antes de probar que todo marcha, ¡recuerda configurar el Port Forwarding de tu Router! Deberás hacer que el puerto UDP 1194 se redirija a la interfaz de red de la Raspberry que esté conectada al Router. Además, podría ser conveniente configurar un DHCP Lease para que siempre se asigne la misma dirección IP a nuestro servidor VPN.

NOTA IMPORTANTE 2: En ocasiones, el autoarranque del servicio de OpenVPN en la Rasberry Pi intentará ejecutarse antes de que se haya establecido la dirección IP de la interfaz. El servicio fallará al intentar asociarse a una IP que no tiene.

Esto puede verse en el fichero de log /var/log/openvpn.log:



Una solución es comentar la siguiente línea del fichero de configuración /etc/openvpn/server.conf, de manera que el servicio no intente asociarse de forma concreta a la IP especificada:



Esto es todo por hoy, chicos. Con todo esto, deberíais tener un servidor OpenVPN por UDP totalmente funcional.

Gracias por leer!
DUDA


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#116
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Estimados,

Me dirijo a ustedes para que me ayuden con este tema.

Necesito añadir una lista de 100 correos(blacklist) para el "spamassassin" de hecho se puede hacer modo grafico pero alguien que sepa como añadir esa lista en modo consola centos 6 .. alguien conoce la ruta ?

s4lud0s

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta !! Se pueden agregar al archivo user_prefs que se encuentra en:
Código: text
/home/user/.spamassassin


Gracias por leer!
DUDA
#117
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola, ya actualice el link :D

Espero q te sirva :D

Saludos

Gracias y happy day!!
DUDA
#118
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola chicos, les quería consultar si al sniffar una red es posible obtener una cuenta de Netflix. Obviamente siempre y cuando el otro la este usando.

Saludos

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta !! Netflix usa la tecnología HSTS, la guía de ANTRAX no será de ayuda para esto, sin embargo puedes probar esto y nos cuentas:

Cita de: Nobody¡Hola!

¿Alguna vez probaron "Delorean" para hacer ataques a NTP? Tal vez funcionaría.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos.

Gracias por leer y happy hacking!
DUDA
#119

Hola secuaces:

Comenzamos con la serie de entradas dedicada a mi primera vez, a la charla de este Rookie, (Espero que no sea la última), en #CONPilar17.

¿Por qué una serie de entradas? ¿Por qué no compartir directamente la presentación? Porque considero que es mejor así, donde puedo explicar todo, con todo lujo de detalles, y responder dudas de una forma más cómoda, en el supuesto caso en que las hubiera. Sin más.

Y ¿De qué hablé? Pues de lo único que tengo: la curiosidad. Del hecho de que ser curioso NO es una opción; De que la curiosidad NO es una opción.

El ser humano es curioso por naturaleza, aunque no todos lleven esa curiosidad a la práctica, o no siempre la llevemos a cabo. Porque seamos sinceros: muchas veces se nos olvida.

En el campo Forense por el que me muevo, cabe, más aún, demostrar ser más curiosos. Porque la curiosidad es una premisa fundamental: es una necesidad. El Forense, cuando ve algo que no conoce, (Un proceso, un fichero prefetch, una extensión, una cabecera, ...), debe investigar y saber su procedencia, y debe saber cómo funciona el software que ha sido ejecutado en una máquina.

Seamos sinceros, nuevamente ¿Cuántas veces hemos ejecutado una herramienta sin saber qué hace realmente?¿Cuántas veces hemos actuado por pura inercia? Por ejemplo, Se ha perdido 'X' información. Nos limitamos a recuperarla por inercia, y punto. ¿Y la curiosidad? ¿Por qué pasan las cosas? ¿Cómo funciona esto o aquello? ¿A qué huelen las nubes? Muchas veces, la curiosidad nos puede allanar el camino. Y sobre todo, aprenderemos de ella, y con ella.

La exposición trataba sobre la realización de un análisis forense de un hipotético caso en el que se empleaba una herramienta antiforense muy específica, (USBOblivion), en su versión 1.11.2.0. Y el caso que expuse fue, que un Administrador de Sistemas, llegó a su puesto de trabajo antes de su jornada laboral, (Muy habitual esto, ¿A que sí?), y observó cómo otro empleado de la empresa estaba haciendo un uso indebido del equipo de su encargado: Una estación de trabajo que corría sobre un Sistema Windows 7, con un usuario con privilegios de administración, y sin contraseña, (porque claro, es Jefe). ¿Os suena? Por ese motivo, el Administrador de Sistemas, que es un tío muy curioso, y que se preocupa por saber y por el buen hacer, procedió a adquirir las evidencias oportunas, dado que sospechaba que hubiera extraído algún tipo de información.

Para ello, primero adquirió la memoria RAM del Sistema, usando la herramienta DumpIt.



Una vez se aseguró de que la imagen del volcado de memoria se generó de manera satisfactoria, desconectó el Sistema directamente del cable de alimentación y procedió a la adquisición en bruto del disco duro, usando para ello la herramienta Guymager.



Una vez hubo completado este proceso de adquisición del disco duro, se aseguró de que las dos imágenes generadas, (Volcado de memoria y Disco Duro), estuvieran correctas.



El objetivo, el alcance del análisis nos lo dejaron claro: Averiguar todos los dispositivos conectados al sistema, descubriendo cuál fue el último en hacerlo, justo antes de la intervención de este Administrador de Sistemas.

Os adelantaré que, para simular este caso, conecté estos ocho dispositivos de la imagen de abajo. Primero conecté los seis Pendrives. Antes de la intervención, que se hizo con el disco duro blanco Intenso, procedí a conectar el disco duro negro Toshiba, (Con el que me llevé del sistema un fichero de imagen), por lo que va a ser ese el que nos interese identificar.



Y una vez que tenemos las imágenes en nuestro poder, (además de hacer un par de copias de más), ¿Qué tenemos que hacer? Siempre hay que comenzar identificando y comprobando las evidencias.

Para ello, usamos 'file' con ellas. Simplemente porque las apariencias engañan, (Pueden estar los datos corruptos, no ser lo que dicen que son, ...). Este comando 'file' detecta el tipo y formato del fichero, analizando su encabezado. Calculamos su huella digital, su firma hash, que debemos cotejar con la que nos entreguen.
Código: text

file IncidenteFuga.dd

sha1sum IncidenteFuga.dd

cat IncidenteFuga.info | grep 6b492eecb4d007e5bde7884f8f58736c10503b3e




Con el volcado de memoria, hacemos lo mismo. Primero le pasamos el comando 'file' al fichero de imagen. Después, usamos Volatility, (Existen varias opciones para instalar este Framework),  e identificamos tanto su sistema, a través de 'imageinfo', como su fecha de adquisición.

Código: text
sudo apt-get install volatility

file VIRTUALBOX-20161216-060955.raw

vol.py -f VIRTUALBOX-20161216-060955.raw imageinfo


Las fechas son un factor crítico, bajo mi punto de vista. Y siempre, también bajo mi punto de vista, tiene que ser la fecha del volcado de memoria, anterior al de la adquisición del disco duro.



Podríamos decir que ya tenemos identificadas las evidencias pero, para mí, aún no lo están como debieran. Para seguir con este paso de identificación, se hace necesario montar el fichero de imagen del Disco Duro en el laboratorio forense, usando el comando 'mount'.

Para ello, usamos el comando 'fdisk', que nos mostrará toda la información relativa al disco duro, (Tamaño del disco, tamaño de los sectores, número de sectores, particiones, ...). De estos resultados, nos queramos con el tipo de partición que presenta el disco, el tamaño del sector y el comienzo de la partición que vayamos a montar.

Código: text
fdisk -l IncidenteFuga.dd




¿Por qué? Porque a la hora de montar el fichero de imagen, debemos especificar, entre otros parámetros, la dirección exacta del punto de montaje, que se calcula multiplicando el sector de inicio de la partición por el tamaño del sector.

Código: text
sudo mount -t ntfs-3g -o ro,offset=105906176 IncidenteFuga.dd /mnt/windows_mount


También podemos emplear esta otra línea, en lugar de calcular antes el punto de montaje

Código: text
sudo mount -t ntfs-3g -o ro,offset=$((512 * 206848)) IncidenteFuga.dd /mnt/windows_mount


En cualquier caso, tened muy en cuenta que, siempre se deberá montar la imagen en modo de sólo lectura.

Código: text
ls /mnt/windows_mount




Y una vez que tenemos montada la imagen del disco duro, y como soy muy desconfiado, quiero terminar la identificación de los ficheros como se merecen, para comprobar que realmente ese volcado se corresponde al Sistema que contiene la imagen del disco duro, tomando un valor que considero único: La fecha de instalación.

Podréis decir... ¿Y si la empresa usa sistemas clonados?¿Si usa maquetas, por ejemplo? Pues tomaríamos otros datos como referencia. Por ejemplo, la fecha de creación de un usuario, la fecha de último login de un usuario, ... Fechas.

Para ello, vamos a hacer uso de RegRipper.

Código: text
git clone https://github.com/keydet89/RegRipper2.8.git




Vamos a usar el plugin 'winver', sobre el fichero del Registro de Windows 'Software', de la máquina que hemos montado. De esta forma obtenemos la fecha de instalación del Sistema.

Código: text
perl rip.pl -r /mnt/windows_mount/Windows/System32/config/SOFTWARE -p winver




Para el volcado de memoria, usamos Volatility, primeramente con su plugin 'hivelist', que nos lista los Registros disponibles en el volcado, y usamos después 'printkey' junto con el 'offset', (La dirección), de la clave que queremos que nos muestre.

La fecha que nos aparece está en formato Unix, pero la convertimos con el comando 'date'.

Código: text
vol.py -f VIRTUALBOX-20161216-060955.raw –profile=Win7SP0x64 hivelist

vol.py -f VIRTUALBOX-20161216-060955.raw –profile=Win7SP0x64 printkey -o xfffff8a000206010 -K "Microsoft\Windows NT\CurrentVersion" | grep InstallDate




Las fechas de un sitio y de otro, deben de ser las mismas. En caso contrario... ya sabéis.

También podemos otras herramientas, o servicios online para realizar la conversión, como este: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Gracias por leer!
DUDA

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#120
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
que chistoso ese precio JAJAJJAAJA de la tecsup todavia con sus vulnerabilidades you have an error in your SQL syntax 1 xd, en el extrangero te cobran en dolares y mas barato con certificación CIP (CODIGO INTERNACIONAL).

Algo me late que tienes un puesto en Wilson  :P