Modulo 6 Borrado de Huellas
-
Upload
cesar-augusto-zarate -
Category
Documents
-
view
62 -
download
5
Transcript of Modulo 6 Borrado de Huellas
BORRADO DE HUELLAS
César Augusto Zárate ( c4m4l30n )
Cesar Augusto Zarate Camargo
Analista Seguridad InformáticaInvestigador Informática Forense
SWAT SECURITY – ITAsesor/ Consultor TICs
Nickname – c4m4l30n
http://www.swatsecurityit.com
@c4m4l30n_caz
César Augusto Zárate ( c4m4l30n )
César Augusto Zárate ( c4m4l30n ) Modulo 5
El objetivo de esta fasees ocultar las huellas quese suelen dejar al realizarcualquier acción.
Análisis forense.
Lo primero que hace unintruso al acceder a unsistema una vezconseguido privilegiosde administrador esdeshabilitar lasauditorías.
El programaauditpol.exe o la ordengpedit puede hacer estomediante una orden.
Al finalizar su acceso, elatacante volverá ahabilitar las auditorías
César Augusto Zárate ( c4m4l30n ) Modulo 5
Un intruso también borrará las alertas que muestra el visor de sucesos.
Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'
César Augusto Zárate ( c4m4l30n ) Modulo 5
Hay herramientas como elsave o winzaper quepermiten borrar el registro de sucesos de unamáquina remota siempre y cuando se disponga delos privilegios necesarios.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.
Una de estas herramientas es Evidence Eliminator
Borra la papelera, Archivos temporales, cookies, caché del navegador, historial, directorios temporales, etc.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Existen dos formas de ocultar archivos en Windows XP/2000.
Atributo oculto – fácil de descubrir, ¿no?
– usar attrib +h [file/directory]
NTFS Alternate Data Streaming (ADS) Los archivos en particiones NTFS (Windows NT, 2000 y XP) tienen una característica llamada Alternate Data Streams – permite enlazar un fichero oculto a un Archivo normal visible.
Los streams no están limitados en tamaño y puede haber más de un stream enlazado a un Archivo normal.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Los introduce Microsoft en particiones NTFS para:
Compatibilidad con el sistema de ficheros HFS de Apple.
Anexar información a un fichero (autor, descripción, etc. )en forma de metadatos.
Identificar si un fichero descargado de internet es peligroso o no.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Primero se crea un archivo de texto: archivo.txt Escribir algo en él. Hacemos un dir y vemos el tamaño. Anexo un archivo diferente que he creado
previamente: privado.txt Escribir en el cmd
◦ type privado.txt > archivo.txt:oculto Hacer dir de nuevo:
◦ ¿Aparece archivo.txt:hidden.txt? No.◦ ¿Cuánto ocupa archivo.txt? – lo mismo que antes.
¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?
César Augusto Zárate ( c4m4l30n ) Modulo 5
La pregunta del millón: ¿Cómo se detectan?
Sólo se pueden detectar con una herramienta externa como LADS.exe◦ http://www.heysoft.de/en/software/lads.php
¿Cómo se eliminan?
Copiándolo a una partición FAT y devolviéndolo a la partición NTFS.
¿Quién nos asegura que nuestro sistema no está plagado de ADSs que roban nuestros datos?
¿Quién nos asegura que no vienen de serie con nuestro Windows 7?
César Augusto Zárate ( c4m4l30n ) Modulo 5
Steganography – el proceso de ocultar archivosen: ◦ imágenes
◦ O en canciones
◦ O en películas
◦ O dentro de un mensaje electrónico,
aprovechando un bug del Outlook, por ejemplo.◦ O en el propio código de una página html: trojan
downloaders.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Stegdetect es una herramienta para detectar contenido oculto en imágenes.
http://www.outguess.org/detection.php
César Augusto Zárate ( c4m4l30n ) Modulo 5
¿Qué es un proxy?◦ programa o dispositivo que realiza una acción en representación
de otro; Su finalidad más habitual es la de servidor proxy, queconsiste en interceptar las conexiones de red que un cliente hace aun servidor de destino, por varios motivos posibles comoseguridad, rendimiento, anonimato, etc.
¿Qué es un proxy transparente?◦ combina un servidor proxy con un cortafuegos de manera que las
conexiones son interceptadas y desviadas hacia el proxy sinnecesidad de configuración en el cliente, y habitualmente sin queel propio usuario conozca de su existencia. Este tipo de proxy eshabitualmente utilizado por las empresas proveedoras de accesode Internet.
¿Qué es un proxy anónimo◦ también conocido como servidor de proxy anónimo, permite a un
usuario acceder a un archivo, página Web, o cualquier otro recurso a través de un servidor que entrega los servicios requeridos del usuario por medio de otro servidor remoto.
César Augusto Zárate ( c4m4l30n ) Modulo 5
www.Anonymouse.org
Lista de proxies anónimos y no anónimos:◦ Multiproxy: www.multiproxy.org
César Augusto Zárate ( c4m4l30n ) Modulo 5
Proxychains: programa en Linux para navegar por una lista de proxies anónimos encadenados◦ (/etc/proxychain.conf)
Ejemplo de uso:◦ proxychain telnet targethost.com
◦ proxychain nmap -sT -P0 -P 80
◦ proxychain lynx www.google.com
César Augusto Zárate ( c4m4l30n ) Modulo 5
Tor(www.torproject.org)
Tor software: Tor+Privoxy+Vidalia◦ Tor:
◦ http://www.torproject.org/docs/debian.html.en
◦ +Privoxy (127.0.0.1:8118)
◦ + Vidalia (GUI)
Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.
César Augusto Zárate ( c4m4l30n ) Modulo 5
Vidalia → Ver la red
Instalar el add-on de Firefox Tor button:◦ permite habilitar o no la navegación por la red Tor
cuando se usa Firefox.
Probarlo e ir a www.whatismyip.com
César Augusto Zárate ( c4m4l30n ) Modulo 5
JAP Anonimity◦ Bajarlo e instalarlo
◦ Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pública
◦ Anonimity off: lo mismo.
Ojo: poner en el firefox la configuración del proxy a localhost: 4001
César Augusto Zárate ( c4m4l30n ) Modulo 5
Add-ons del firefox:
Switchproxy
Foxyproxy
TOR button – configura automáticamente el proxy en el firefox (activándolo y desactivándolo)
César Augusto Zárate ( c4m4l30n ) Modulo 5
César Augusto Zárate ( c4m4l30n ) Modulo 5