Hola a todos

     Voy a tratar de ser lo más conciso posible. Estoy por iniciar un proyecto y estoy realizando investigaciones sobre la forma más eficiente de hacerlo. Por eso recurro a ustedes para recolectar información que me pueda ser útil

Objetivo: administrar un grupo de máquinas con windows 7 de forma remota.

Recursos:

• Una máquina administradora con sistema operativo Linux
• Un grupo de máquinas (clientes) todas con windows 7
• Servidor Centos funcionando a parte de este proyecto
• Servicios dhcp, LDAP, DNS, samba

Por el momento sólo tengo acceso al sistema de archivos de cada máquina cliente pero lo que quiero lograr es tener privilegios administrativos sobre ellas. Básicamente la intención es  instalar/desinstalar programas, actualizaciones, monitorizar hardware y otros recursos, etc. Un colega del proyecto propone lograr esto utilizando Powershell a través de un servicio RESTfull implementado en JAX-RS/Jersey (JAVA), lo cual es un terreno casi desconocido para mi y por eso estoy investigando

Asi es por el momento, si necesitan más info me avisan, esucho opiniones/aportes 

Saludos

Hola a todos, para este pequeño aporte hice una traducción de un documento que referenció un colaborador de otro sitio en un interesante informe forense sobre un caso de posible robo de información y alteración de los registros de Windows. El documento trata sobre la identificación de anomalías en los procesos de un sistema Windows, para ello ofrece información básica y concisa sobre dichos procesos. No soy un experto en inglés pero haré mi mayor esfuerzo, cualquier corrección es bien recibida!

Al buscar procesos maliciosos, busque cualquiera de estas características anómalas:

• Comenzó con el proceso padre equivocado
• El ejecutable de la imagen se encuentra en el path incorrecto.
• Procesos mal escritos.
• Procesos que se ejecutan en la cuenta incorrecta (SID incorrecto).
• Procesos con tiempos de inicio inusuales (es decir, comienza minutos u horas después del arranque cuando debería ser a segundos del arranque).
• Argumentos de línea de comandos inusuales.
• Ejecutables empaquetados.

Procesos principales:

System:
Ruta de la imagen: N / D - No generada a partir de una imagen ejecutable
Proceso padre: Ninguno
Número de instancias: 1
Cuenta de usuario: Local System
Momento de inicio: En el momento del arranque
Descripción: El proceso del sistema es responsable de la mayoría de los subprocesos en modo kernel. Los módulos ejecutados bajo el proceso System son principalmente controladores (archivos .sys), pero también varios DLL importantes, así como el ejecutable del núcleo, ntoskrnl.exe.


smss.exe
Ruta de la imagen: %SystemRoot%\System32\smss.exe
Proceso padre: System
Número de instancias: 1 instancia maestra y 1 hija
Cuenta de usuario: Local System
Momento de inicio: Segundos luego del comienzo de la instancia maestra
Descripción: El Session Manager Subsystem es el responsable de crear nuevas sesiones. La primera instancia crea una instancia hija para cada nueva sesión. Una vez que la instancia hija inicializa la nueva sesión iniciando el subsistema de Windows (csrss.exe) y wininit.exe para la sesión 0 o winlogon.exe para la sesión 1 y versiones superiores, se cierra la instancia secundaria.


csrss.exe
Ruta de la imagen: %SystemRoot%\System32\csrss.exe
Proceso padre: Creado por una instancia de smss.exe que sale, por lo que las herramientas usualmente no proporcionan el nombre del proceso padre.
Número de instancias: 2 o más.
Cuenta de usuario: Local System
Momento de inicio: En segundos de tiempo de arranque para las primeras 2 instancias (para la sesión 0 y 1). Los tiempos de inicio de instancias adicionales se producen a medida que se crean nuevas sesiones, aunque a menudo sólo se crean las sesiones 0 y 1.
Descripción: El Client/Server Run-Time Subsystem (subsistema de tiempo de ejecución cliente/servidor) es el proceso de modo de usuario para el subsistema de Windows. Sus funciones incluyen la gestión de procesos e hilos, la importación de la mayoría de los DLL que proporcionan la API de Windows, y facilitar el cierre de la interfaz gráfica de usuario durante el apagado del sistema. Se ejecutará una instancia de csrss.exe para cada sesión.
La sesión 0 es para los servicios y la sesión 1 para la sesión de consola local. Se crean sesiones adicionales mediante el uso de Escritorio remoto y/o Cambio rápido de usuario. Cada nueva sesión da como resultado una nueva instancia de csrss.exe. Dependiendo de la versión del sistema operativo, csrss.exe (anterior a Win7 / 2008 R2) o su proceso secundario conhost.exe (Win7 / 2008 R2 y posteriores) contienen el historial de comandos para las instancias de cmd.exe. La búsqueda del espacio de direcciones para estos procesos es particularmente útil cuando se analiza la memoria de los hosts afectados.


wininit.exe
Ruta de la imagen: %SystemRoot%\System32\wininit.exe
Proceso padre: Creado por una instancia de smss.exe que sale, por lo que las herramientas usualmente no proporcionan el nombre del proceso padre.
Número de instancias: 1
Cuenta de usuario: Local System
Momento de inicio: Segundos luego del arranque del sistema
Descripción: Wininit inicia procesos de fondo (background) claves en la sesión 0. Inicia el Administrador de control de servicios (services.exe), el proceso de Autoridad de seguridad local (lsass.exe) y el Administrador de sesión local (lsm.exe).


services.exe
Ruta de la imagen: %SystemRoot%\System32\services.exe
Proceso padre: wininit.exe
Número de instancias: 1
Cuenta de usuario: Local System
Momento de inicio: Segundos después del arranque del sistema
Descripción: Implementa el Unified Background Process Manager (UBPM), que es responsable de las actividades de fondo, como servicios y tareas programadas.
Services.exe también implementa el Administrador de control de servicios (SCM), que controla específicamente la carga de servicios y controladores de dispositivos marcados para inicio automático. Además, una vez que un usuario ha iniciado sesión de forma interactiva, el SCM (services.exe) considera el que el arranque fue correcto y establece el conjunto de control Last Known Good (HKLM\SYSTEM\Select\LastKnownGood) al valor de CurrentControlSet.


svchost.exe
Ruta de la imagen: %SystemRoot%\System32\svchost.exe
Proceso padre: services.exe
Número de instancias: 5 o más
Cuenta de usuario: Varía dependiendo de la instancia de svchost, aunque normalmente será Local System, Servicio de Red o Servicio Local. Las instancias que se ejecuten bajo cualquier otra cuenta deben ser investigadas.
Momento de inicio: Por lo general, segundos después del arranque. Sin embargo, los servicios se pueden iniciar después del arranque, lo que podría dar lugar a nuevas instancias de svchost.exe bien después del arranque.
Descripción: Service Host. Proceso de host genérico para Servicios de Windows. Se utiliza para ejecutar DLL de servicio. Windows ejecutará varias instancias de svchost.exe, cada una utilizando un único parámetro "-k" para agrupar servicios similares. Los parámetros "-k" típicos incluyen BTsvcs, DcomLaunch, RPCSS, LocalServiceNetworkRestricted, netsvcs, LocalService, NetworkService, ocalServiceNoNetwork, secsvcs y LocalServiceAndNoImpersonation.
Los autores de malware a menudo aprovechan la naturaleza omnipresente de svchost.exe y la utilizan directa o indirectamente para ocultar su malware. Lo utilizan directamente instalando el malware como un servicio en una instancia legítima de svchost.exe. De forma alternativa, lo utilizan de forma indirecta al intentar combinarse con instancias legítimas de svchost.exe, ya sea por una ligera falta de ortografía del nombre (por ejemplo, scvhost.exe) o deletrearlo correctamente pero colocándolo en un directorio distinto de System32. Tenga en cuenta que un svchost.exe legítimo siempre debe ejecutarse desde% SystemRoot%\System32, debe tener services.exe como su padre y debe alojar al menos un servicio. Además, en las instalaciones predeterminadas de Windows 7, Microsoft ejecuta todos los ejecutables de servicio y todos los DLL de servicio.


taskhost.exe
Ruta de la imagen: %SystemRoot%\System32\taskhost.exe
Proceso padre: services.exe
Número de instancias: 1 o más
Cuenta de usuario: Varios procesos de taskhost.exe son normales. Uno o más pueden ser propiedad de usuarios conectados y / o cuentas de servicio local.
Momento de inicio: Los tiempos de inicio varían mucho
Descripción: Proceso de host genérico para tareas de Windows. Las tareas son similares en naturaleza a los servicios y, de hecho, a partir de Windows 7, se manejan a través de la misma instalación de Universal Background Process Manager (UBPM). Tras la inicialización, taskhost.exe ejecuta un bucle continuo para escuchar eventos de activación. Los eventos de disparo de ejemplo que pueden iniciar una tarea incluyen un horario definido, inicio de sesión de usuario, inicio del sistema, tiempo de CPU inactivo, un evento de registro de Windows, bloqueo o desbloqueo de estación de trabajo.


lsass.exe
Ruta de la imagen: %SystemRoot%\System32\lsass.exe
Proceso padre: wininit.exe
Número de instancias: 1
Cuenta de usuario: Local System
Momento de inicio: Segundos después del arranque.
Descripción: El proceso del Servidor de Subsistema de Autenticación de Seguridad Local es responsable de autenticar a los usuarios llamando a un paquete de autenticación de proveedor de seguridad (SSP) apropiado especificado en HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Normalmente, este será el SSP de Kerberos para cuentas de dominio o el MSV1_0 SSP para cuentas locales.
Una vez que un usuario es autenticado, lsass.exe genera un token de acceso para el usuario que especifica los derechos y restricciones de seguridad para el usuario y sus procesos. Sólo debe ocurrir una instancia de este proceso y nunca debería tener procesos secundarios.


lsm.exe
Ruta de la imagen: %SystemRoot%\System32\lsm.exe
Proceso padre: wininit.exe
Número de instancias: 1
Cuenta de usuario: Local System
Momento de inicio: Segundos después del arranque.
Descripción: El Administrador de sesión local (Local Session Manager) gestiona los servicios de terminal, incluidas las sesiones de Escritorio Remoto, así como las sesiones locales adicionales mediante la conmutación rápida de usuarios. Se comunica con smss.exe para iniciar nuevas sesiones. Smss.exe a su vez crea un adicional csrss.exe y winlogon.exe para dar soporte a la nueva sesión. Sólo debe ocurrir una instancia de este proceso y nunca debería tener procesos secundarios.


winlogon.exe
Ruta de la imagen: %SystemRoot%\System32\winlogon.exe
Proceso padre: Creado por una instancia de smss.exe que sale, por lo que las herramientas usualmente no proporcionan el nombre del proceso padre.
Número de instancias: Una o más.
Cuenta de usuario: Local System
Momento de inicio: Segundos después del arranque para la primera instancia, (Para la sesión 1). Los tiempos de inicio de instancias adicionales se producen a medida que se crean nuevas sesiones, normalmente a través de los inicios de sesión de Escritorio Remoto o Cambio Rápido de Usuario.
Descripción: Winlogon gestiona los inicios de sesión interactivos de usuario y las desconexiones. Se inicia LogonUI.exe, que acepta el nombre de usuario y la contraseña en la pantalla de inicio de sesión y pasa las credenciales a lsass.exe para validar las credenciales. Una vez que el usuario es autenticado, Winlogon carga NTUSER.DAT del usuario en HKCU y comienza la shell del usuario (explorer.exe) a través de userinit.exe.


explorer.exe
Ruta de la imagen: %SystemRoot%\explorer.exe
Proceso padre: Creado por una instancia de userinit.exe que sale, por lo que las herramientas de análisis normalmente no proporcionan el nombre del proceso padre.
Número de instancias: Una por cada usuario logueado.
Cuenta de usuario: <usuario(s) logueado(s)>
Momento de inicio: Comienza cuando empieza el inicio de sesión interactivo del usuario.
Descripción: En esencia, Explorer proporciona a los usuarios acceso a los archivos. Funcionalmente, es tanto un explorador de archivos a través de Windows Explorer (aunque todavía explorer.exe) como una interfaz de usuario que proporciona características como el Escritorio del usuario, el menú Inicio, la barra de tareas, el panel de control, Archivos de acceso directo. Tenga en cuenta que debería haber sólo una instancia de explorer.exe en ejecución por inicio de sesión interactivo, independientemente de las ventanas del Explorador de Windows múltiples abiertas por el usuario.
Observe también que el explorer.exe legítimo reside en el directorio %SystemRoot% en lugar de %SystemRoot%\System32. Los atacantes a menudo nombran su malware explorer.exe y lo colocan en System32 o escriben mal explorer.exe como explore.exe.


iexplore.exe
Ruta de la imagen: \Program Files\Internet Explorer\iexplore.exe [o \Program Files(x86)\Internet Explorer\iexplore.exe]
Proceso padre: explorer.exe
Número de instancias: Cero o más.
Cuenta de usuario: <usuario(s) logueado(s)>
Momento de inicio: Normalmente, cuando el usuario inicia Internet Explorer. Sin embargo, se puede iniciar sin interacción explícita del usuario a través del conmutador "-embedding" (en cuyo caso, el proceso padre no puede ser explorer.exe).
Descripción: Internet Explorer (IE) es una aplicación de escritorio típica lanzada por un usuario. Tales aplicaciones serán casi siempre un hijo de explorer.exe. Las versiones modernas de IE tendrán un subproceso para cada ficha abierta. Hace esto por varias razones, incluyendo una mayor seguridad. Al acceder a un sitio de Internet, IE ejecutará el proceso de pestañas con baja integridad, que limita el proceso, lo que hace más difícil para los atacantes modificar áreas sensibles del sistema de registro o de archivos si son capaces de comprometer el proceso de IE. Los atacantes a menudo nombran su malware iexplore.exe y lo colocan en un directorio alternativo o escriben iexplorer.exe en lugar de iexplore.exe.

---

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Welcome nftables!

Este mes de Mayo el proyecto Debian anuncio, que incluirá oficialmente el framework nftables en su próxima versión estable (Debian Strech), por lo que si todavía no has empezado a familiarizarte con nftables deberías ir haciéndolo ya.

Diferencias entre IPtables y nftables.

• La sintaxis elimina la utilización de guiones, y es mucho mejor que en IPtables.
• En nftables las tablas y cadenas son totalmente configurables.
• Ya no hay distinción entre "targets" y "matchs", en nftables son sustituidos por expresiones.
• Con nftables a diferencia de iptables, podemos definir varias acciones para una sola regla.
• Los contadores son opcionales y se pueden activar si lo creemos necesario.
• Nftables tiene un mejor soporte para hacer actualizaciones dinámicas de un conjunto de reglas.
• La administración de conjuntos de reglas en IPv4/IPv6 se ha simplificado a través de la familia inet.
• Clasificación más rápida de paquetes a través de una infraestructura mejorada de mapas y conjuntos genéricos.

Estas serian algunas de la mejoras/diferencias básicas que incluye nftables, además según nuestras necesidades, y según a que niveles, nftables es una herramienta mucho más útil que nuestro viejo conocido iptables, y esto es debido a que el nuevo código evita la duplicación de código existente en iptables y sus extensiones, que generalmente eran especificas para un protocolo, esto hinchaba la base de código con un código muy similar para realizar una tarea similar, coincidencia de carga.

Como podemos ver las mejoras internas son sustanciosas y extensas, y ahora nos toca a nosotros adaptarnos a estos cambios y sacarle todo el provecho que podamos a nftables, al igual que hacíamos con iptables.
Al final de este post dejare unos cuantos enlaces de interés, en el que se amplían todas estas diferencias y mejoras, mientras tanto nosotros veremos unas cuantas operaciones básicas con nftables, y en el siguiente post haremos una migración de iptables a nftables.

Operaciones básicas.

Tablas
Tenemos que ver las tablas como meros contenedores para las cadenas. En nftables no hay tablas predefinidas  (filter, raw, mangle...) y aunque podemos seguir recreando el estilo de iptables, somos libres de crearlas como queramos.
Otro punto a tener en cuenta son las familias de tablas:

• ip: Usado para cadenas IPv4.
• ip6: Usado para cadenas Ipv6.
• arp: Usado para cadenas ARP.
• bridge: Usado para cadenas Bridge.
• inet: Para cadenas mixtas con ipv4/ipv6 (Con kernel 3.14 y superio).

Agregar Tablas

# nft add table ip filter

Eliminar tablas

% nft delete table ip filter

Cadenas

Las cadenas se utilizan para agrupar reglas, y al igual que las tablas no hay ninguna predefinida y se diferencian entre Cadenas Base y Cadenas Non-Base, la diferencia entre ambas es la siguiente:

• Cadenas Base tienen  un "gancho" un tipo y una prioridad además de estar registrada a uno delos hooks de netfilter.
• Cadenas Non-Base no están conectadas a un hook, y no ven el trafico por defecto.

Disponemos de 3 tipos de cadenas filter, route y NAT, y 5 tipos de hooks, si conoces iptables ya los conocerás: prerouting, input, forward, output, postrouting.

Esta seria la sintaxis habitual:

% nft add chain [<family>] <table-name> <chain-name> { type <type> hook <hook> priority <value> \; }

Agregar cadenas

% nft add chain ip filter input { type filter hook input priority 0 \; }

Eliminar cadenas

# nft delete chain ip filter input

Reglas

Las reglas especifican qué acción se debe tomar para los paquetes, y dichas reglas pueden tener una expresión para hacer coincidir paquetes y una o más acciones a realizar cuando se emparejan. Esta es una de las diferencias principales respecto a iptables,  es posible especificar varias acciones y por defecto los contadores están desactivados, además se debe especificar explícitamente en las reglas, si desea habilitar los contadores de paquetes y bytes para una regla. Cada regla tiene un número de identificador diferente y único para poder diferenciarlas.
Los siguientes partidos están disponibles:

• ip: Protocolo IP
• ip6: Protocolo IPv6
• tcp: Protocolo TCP
• udp: Protocolo UDP
• udplite: Protocolo UDP-lite
• sctp: Protocolo SCTP
• dccp: Protocolo DCCP
• ah: Authentication headers
• esp: Encrypted security payload headers
• ipcomp: IPcomp headers
• icmp: Protocolo icmp
• icmpv6: Protocolo icmpv6
• ct: Connection tracking
• meta: meta properties such as interfaces

Agregar regla

# nft add rule ip filter input tcp dport 80 drop

Eliminar regla, es necesario obtener el "handle" de la regla.

# nft rule ip filter input tcp dport 80 drop
table ip filter {
        chain input {
                 type filter hook input priority 0;
                 tcp dport http drop # handle 2
        }
}

En nuestro caso sería el número 2.

# nft delete rule ip filter input handle 2

Como se puede ver, con un conocimiento previo de iptables y un mínimo de ingles, la creación de tablas, cadenas y reglas es un tarea sencilla, y en nuestro primer acercamiento no queremos "liaros" mas de lo necesario.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según han comentado sus propios responsbales en un comunicado, los ingenieros Steve McIntyre y Jonathan Wiltshire acaban de informar a la comunidad de algunos de los aspectos importantes de Debian 9 Stretch, cuyo lanzamiento está muy próximo.

El primero de ellos es que es probable que la versión final del sistema operativo no incluya soporte para Secure Boot, algo que no impedirá que se lance esta nueva versión. Sin embargo, el soporte para esta característica se podría implementar a lo largo de la vida útil de Debian 9.

En palabras de Jonathan Wiltshire:

"Entendemos que esto será una pequeña decepción para muchos usuarios y desarrolladores. Sin embargo, necesitábamos equilibrar eso con el tiempo disponible limitado para que los equipos de voluntarios trabajasen en esta característica, y el riesgo de que se introduzcan bugs por culpa de un desarrollo acelerado."

El otro anuncio importante tiene que ver con las versiones "live", que a partir de ahora soportarán UEFI según informan en SoftPedia. Estarán disponibles para arquitecturas de 32 y 64 bits, una para cada una de los escritorios soportados por el proyecto Debian.

Además, también coincidiendo con la llegada de Debian 9, las imágenes de instalación estarán disponibles en tamaños de Blu-Ray y DVD para todas las arquitecturas, dado que ya no se liberarán más imágenes de instalación pensando en CDs.

Y por si fuera poco, casi todas las imágenes específicas de un entorno gráfico con KDE, XFCE, LXDE, GNOME y demás se liberarán simultáneamente con la salida de Debian 9 a la calle. La única que no se liberará al mismo tiempo que las demás será la versión "netinst".

También habrá imágenes de Debian 9 pensadas para la nube, con OpenStack en ARM64, junto con algunas imágenes "live" y "netinst" no oficiales que ofrecerán firmware no libre para aquellos que no puedan instalar el sistema operativo en su hardware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buenas a todos. Quiero decir que es un honor pertenecer a una comunidad hispana (principalmente) tan completa y organizada en la materia informática, mis felicitaciones a los desarrolladores del sitio. Estuve navegando un poco y me encantó la página principal, el foro, los servicios y todo lo que dejan a nuestra disposición, se nota el esfuerzo y los conocimientos aplicados. Gracias por eso!

Un poco de mi, brevemente, soy estudiante universitario de sistemas y autodidacta en seguridad informática y otras áreas de las ciencias de la computación. Dia a dia alimento mi pasión por la seguridad, vista desde un punto neutral y ético. Me registré en el foro hace varios meses pero por cuestiones de tiempo y dedicación nunca pude presentarme ni hacer aportes. En estos tiempos voy a andar más por acá, para seguir aprendiendo de ustedes y aportar lo que pueda! 

Saludos a todos los underc0ders!