Modulo 6 Borrado de Huellas

BORRADO DE HUELLAS

César Augusto Zárate ( c4m4l30n )

Cesar Augusto Zarate Camargo

Analista Seguridad InformáticaInvestigador Informática Forense

SWAT SECURITY – ITAsesor/ Consultor TICs

Nickname – c4m4l30n

http://www.swatsecurityit.com

[email protected]

@c4m4l30n_caz

César Augusto Zárate ( c4m4l30n )

César Augusto Zárate ( c4m4l30n ) Modulo 5

El objetivo de esta fasees ocultar las huellas quese suelen dejar al realizarcualquier acción.

Análisis forense.

Lo primero que hace unintruso al acceder a unsistema una vezconseguido privilegiosde administrador esdeshabilitar lasauditorías.

El programaauditpol.exe o la ordengpedit puede hacer estomediante una orden.

Al finalizar su acceso, elatacante volverá ahabilitar las auditorías


Un intruso también borrará las alertas que muestra el visor de sucesos.

Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'


Hay herramientas como elsave o winzaper quepermiten borrar el registro de sucesos de unamáquina remota siempre y cuando se disponga delos privilegios necesarios.


Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.

Una de estas herramientas es Evidence Eliminator

Borra la papelera, Archivos temporales, cookies, caché del navegador, historial, directorios temporales, etc.


Existen dos formas de ocultar archivos en Windows XP/2000.

Atributo oculto – fácil de descubrir, ¿no?

– usar attrib +h [file/directory]

NTFS Alternate Data Streaming (ADS) Los archivos en particiones NTFS (Windows NT, 2000 y XP) tienen una característica llamada Alternate Data Streams – permite enlazar un fichero oculto a un Archivo normal visible.

Los streams no están limitados en tamaño y puede haber más de un stream enlazado a un Archivo normal.


Los introduce Microsoft en particiones NTFS para:

Compatibilidad con el sistema de ficheros HFS de Apple.

Anexar información a un fichero (autor, descripción, etc. )en forma de metadatos.

Identificar si un fichero descargado de internet es peligroso o no.


Primero se crea un archivo de texto: archivo.txt Escribir algo en él. Hacemos un dir y vemos el tamaño. Anexo un archivo diferente que he creado

previamente: privado.txt Escribir en el cmd

◦ type privado.txt > archivo.txt:oculto Hacer dir de nuevo:

◦ ¿Aparece archivo.txt:hidden.txt? No.◦ ¿Cuánto ocupa archivo.txt? – lo mismo que antes.

¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?


La pregunta del millón: ¿Cómo se detectan?

Sólo se pueden detectar con una herramienta externa como LADS.exe◦ http://www.heysoft.de/en/software/lads.php

¿Cómo se eliminan?

Copiándolo a una partición FAT y devolviéndolo a la partición NTFS.

¿Quién nos asegura que nuestro sistema no está plagado de ADSs que roban nuestros datos?

¿Quién nos asegura que no vienen de serie con nuestro Windows 7?


Steganography – el proceso de ocultar archivosen: ◦ imágenes

◦ O en canciones

◦ O en películas

◦ O dentro de un mensaje electrónico,

aprovechando un bug del Outlook, por ejemplo.◦ O en el propio código de una página html: trojan

downloaders.


Stegdetect es una herramienta para detectar contenido oculto en imágenes.

http://www.outguess.org/detection.php


¿Qué es un proxy?◦ programa o dispositivo que realiza una acción en representación

de otro; Su finalidad más habitual es la de servidor proxy, queconsiste en interceptar las conexiones de red que un cliente hace aun servidor de destino, por varios motivos posibles comoseguridad, rendimiento, anonimato, etc.

¿Qué es un proxy transparente?◦ combina un servidor proxy con un cortafuegos de manera que las

conexiones son interceptadas y desviadas hacia el proxy sinnecesidad de configuración en el cliente, y habitualmente sin queel propio usuario conozca de su existencia. Este tipo de proxy eshabitualmente utilizado por las empresas proveedoras de accesode Internet.

¿Qué es un proxy anónimo◦ también conocido como servidor de proxy anónimo, permite a un

usuario acceder a un archivo, página Web, o cualquier otro recurso a través de un servidor que entrega los servicios requeridos del usuario por medio de otro servidor remoto.


http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)

www.Anonymouse.org

Lista de proxies anónimos y no anónimos:◦ Multiproxy: www.multiproxy.org


http://www.anonymouse.org/

Proxychains: programa en Linux para navegar por una lista de proxies anónimos encadenados◦ (/etc/proxychain.conf)

Ejemplo de uso:◦ proxychain telnet targethost.com

◦ proxychain nmap -sT -P0 -P 80

◦ proxychain lynx www.google.com


Tor(www.torproject.org)

Tor software: Tor+Privoxy+Vidalia◦ Tor:

◦ http://www.torproject.org/docs/debian.html.en

◦ +Privoxy (127.0.0.1:8118)

◦ + Vidalia (GUI)

Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.


http://www.torproject.org/

Vidalia → Ver la red

Instalar el add-on de Firefox Tor button:◦ permite habilitar o no la navegación por la red Tor

cuando se usa Firefox.

Probarlo e ir a www.whatismyip.com


JAP Anonimity◦ Bajarlo e instalarlo

◦ Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pública

◦ Anonimity off: lo mismo.

Ojo: poner en el firefox la configuración del proxy a localhost: 4001


Add-ons del firefox:

Switchproxy

Foxyproxy

TOR button – configura automáticamente el proxy en el firefox (activándolo y desactivándolo)


Modulo 6 Borrado de Huellas

Documents

Transcript of Modulo 6 Borrado de Huellas