SlideShare ist ein Scribd-Unternehmen logo

Modulo 5

Cesar Zarate
Cesar Zarate
1 von 20
Downloaden Sie, um offline zu lesen
Hacking ético Módulo 5 Borrado de huellas
Objetivos ◼ Acciones que realiza un atacante para ocultar sus huellas ◼ Ocultar ficheros: ADS streams ◼ Navegación anónima: Proxies anónimos
Ocultar huellas ◼ El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier acción. ◼ Análisis forense.
Deshabilitar las auditorías  Lo primero que hace un intruso al acceder a un sistema una vez ha conseguido privilegios de administrador es deshabilitar las auditorías.  El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden.  Al finalizar su acceso, el atacente volverá a habilitar las auditorías
Borrar el Visor de Sucesos  Un intruso también borrará las alertas que muestra el visor de sucesos.  Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'
Herramientas  Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una máquina remota siempre y cuando se disponga de los privilegios necesarios.
Evidence Eliminator  Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.  Una de estas herramientas es Evidence Eliminator  Borra la papelera, ficheros temporales, cookies, caché del navegador, historial, directorios temporales, etc.
Ocultar ficheros ◼ Existen dos formas de oculatar ficehros en Windows XP/2000. • 1. Atributo oculto – fácil de descubrir, ¿no? – usar attrib +h [file/directory] • 2. NTFS Alternate Data Streaming (ADS) – Los ficheros en particiones NTFS (Windows NT, 2000 y XP) tienen una característica llamada Alternate Data Streams – permite enlazar un fichero oculto a un fichero normal visible. ◼ Los streams no están limitados en tamaño y puede haber más de un stream enlazado a un fichero normal.
NTFS Alternate Data Streaming ◼ Los introduce Microsoft en particiones NTFS para: –Compatibilidad con el sistema de ficheros HFS de Apple. –Anexar información a un fichero (autor, descripción, etc. )en forma de metadatos. –Identificar si un fichero descargado de internet es peligroso o no.
ADS (Alternate Data Streams) ◼ Primero se crea un fichero de texto: fichero.txt ◼ Escribir algo en él. ◼ Hacemos un dir y vemos el tamaño. ◼ Anexo un fichero diferente que he creado previamente: privado.txt ◼ Escribir en el cmd • type privado.txt > fichero.txt:oculto ◼ Hacer dir de nuevo: • ¿Aparece fichero.txt:hidden.txt? No. • ¿Cuánto ocupa fichero.txt? – lo mismo que antes. ◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?
ADS (Alternate Data Streams) ◼ La pregunta del millón: ¿Cómo se detectan? ◼ Sólo se pueden detectar con una herramienta externa como LADS.exe • http://www.heysoft.de/en/software/lads.php ◼ ¿Cómo se eliminan? ◼ Copiándolo a una partición FAT y devolviéndolo a la partición NTFS. ◼ ¿Quién nos asegura que nuestro sistema no está plagado de ADSs que roban nuestros datos? ◼ ¿Quién nos asegura que no vienen de serie con nuestro Windows 7?
Otras formas de ocultar ficheros ◼ Steganography – el proceso de ocultar ficheros en imágenes ◼ O en canciones ◼ O en películas ◼ O dentro de un mensaje electrónico, aprovechando un bug del Outlook, por ejemplo. ◼ O en el propio código de una página html: trojan downloaders. ◼ Tenéis que investigar cómo hacerlo.
Steganography Detection ◼ Stegdetect es una herramienta para detectar contenido oculto en imágenes. ◼ http://www.outguess.org/detection.php
Navegación anónima ◼ ¿Qué es un proxy? ◼ ¿Conoces alguno? ◼ ¿Qué es un proxy transparente? ◼ ¿Qué es un proxy anónimo?
Navegación anónima ◼ www.Anonymouse.org ◼ Lista de proxies anónimos y no anónimos: • Multiproxy: www.multiproxy.org
Navegación anónima ◼ Proxychains: programa en Linux para navegar por una lista de proxies anónimos encadenados (/etc/proxychain.conf) ◼ Ejemplo de uso: • proxychain telnet targethost.com • proxychain nmap -sT -P0 -P 80 • proxychain lynx www.google.com
Navegación anónima_ la red Tor ◼ Tor(www.torproject.org) ◼ Tor software: Tor+Privoxy+Vidalia • Tor: http://www.torproject.org/docs/debian.html.en • + Privoxy (127.0.0.1:8118) • + Vidalia (GUI) ◼ Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.
Navegación anónima ◼ Vidalia Ver la red→ ◼ Instalar el add-on de Firefox Tor button: permite habilitar o no la navegación por la red Tor cuando se usa Firefox. ◼ Probarlo e ir a www.whatismyip.com
Navegación anónima ◼ JAP Anonimity ◼ Bajarlo e instalarlo • Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pública • Anonimity off: lo mismo. ◼ Ojo: poner en el firefox la configuración del proxy a localhost: 4001
Navegación anónima ◼ Add-ons del firefox: ◼ Switchproxy ◼ Foxyproxy ◼ TOR button – configura automáticamente el proxy en el firefox (activándolo y desactivándolo)

Empfohlen

ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
Dani Adastra
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
Dani Adastra
 
Herramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones webHerramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones web
Egdares Futch H.
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
RootedCON
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
Marco Martínez
 

Empfohlen

ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
Dani Adastra
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
Dani Adastra
 
Herramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones webHerramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones web
Egdares Futch H.
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
RootedCON
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
Marco Martínez
 
Tu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridadTu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridad
Daniel Garcia (a.k.a cr0hn)
 
Cómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMPCómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMP
Javier Carranza
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
kelly
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
RootedCON
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Daniel Garcia (a.k.a cr0hn)
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
RootedCON
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-final
Jaime Restrepo
 
002
002002
002
Gonzalo Rooswelth Cano Velasquez
 
Introducción al hacking
Introducción al hackingIntroducción al hacking
Introducción al hacking
jeysonh
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
RootedCON
 
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
RootedCON
 
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
RootedCON
 
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
RootedCON
 
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
RootedCON
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
RootedCON
 
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
RootedCON
 
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
RootedCON
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
RootedCON
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
RootedCON
 

Weitere ähnliche Inhalte

Was ist angesagt?

Cómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMPCómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMP
Javier Carranza
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
RootedCON
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Daniel Garcia (a.k.a cr0hn)
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-final
Jaime Restrepo
 
Introducción al hacking
Introducción al hackingIntroducción al hacking
Introducción al hacking
jeysonh
 

Was ist angesagt? (12)

Tu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridadTu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridad
 
Cómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMPCómo diagnosticar problemas de rendimiento en entornos LAMP
Cómo diagnosticar problemas de rendimiento en entornos LAMP
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-final
 
002
002002
002
 
Introducción al hacking
Introducción al hackingIntroducción al hacking
Introducción al hacking
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 

Andere mochten auch

Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
RootedCON
 
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
RootedCON
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
RootedCON
 
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
RootedCON
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
RootedCON
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
RootedCON
 
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
RootedCON
 

Andere mochten auch (11)

Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
 
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
 
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
 
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
 
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
 
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
 
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
 

Ähnlich wie Modulo 5

Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 

Ähnlich wie Modulo 5 (20)

Test de intrusión
Test de intrusiónTest de intrusión
Test de intrusión
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spyware
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Seguridad de las_redes
Seguridad de las_redesSeguridad de las_redes
Seguridad de las_redes
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Top Bug
Top BugTop Bug
Top Bug
 
Present3
Present3Present3
Present3
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libre
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Siguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la redSiguiendo la pista a un pederasta en la red
Siguiendo la pista a un pederasta en la red
 

Modulo 5

  • 2. Objetivos ◼ Acciones que realiza un atacante para ocultar sus huellas ◼ Ocultar ficheros: ADS streams ◼ Navegación anónima: Proxies anónimos
  • 3. Ocultar huellas ◼ El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier acción. ◼ Análisis forense.
  • 4. Deshabilitar las auditorías  Lo primero que hace un intruso al acceder a un sistema una vez ha conseguido privilegios de administrador es deshabilitar las auditorías.  El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden.  Al finalizar su acceso, el atacente volverá a habilitar las auditorías
  • 5. Borrar el Visor de Sucesos  Un intruso también borrará las alertas que muestra el visor de sucesos.  Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'
  • 6. Herramientas  Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una máquina remota siempre y cuando se disponga de los privilegios necesarios.
  • 7. Evidence Eliminator  Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.  Una de estas herramientas es Evidence Eliminator  Borra la papelera, ficheros temporales, cookies, caché del navegador, historial, directorios temporales, etc.
  • 8. Ocultar ficheros ◼ Existen dos formas de oculatar ficehros en Windows XP/2000. • 1. Atributo oculto – fácil de descubrir, ¿no? – usar attrib +h [file/directory] • 2. NTFS Alternate Data Streaming (ADS) – Los ficheros en particiones NTFS (Windows NT, 2000 y XP) tienen una característica llamada Alternate Data Streams – permite enlazar un fichero oculto a un fichero normal visible. ◼ Los streams no están limitados en tamaño y puede haber más de un stream enlazado a un fichero normal.
  • 9. NTFS Alternate Data Streaming ◼ Los introduce Microsoft en particiones NTFS para: –Compatibilidad con el sistema de ficheros HFS de Apple. –Anexar información a un fichero (autor, descripción, etc. )en forma de metadatos. –Identificar si un fichero descargado de internet es peligroso o no.
  • 10. ADS (Alternate Data Streams) ◼ Primero se crea un fichero de texto: fichero.txt ◼ Escribir algo en él. ◼ Hacemos un dir y vemos el tamaño. ◼ Anexo un fichero diferente que he creado previamente: privado.txt ◼ Escribir en el cmd • type privado.txt > fichero.txt:oculto ◼ Hacer dir de nuevo: • ¿Aparece fichero.txt:hidden.txt? No. • ¿Cuánto ocupa fichero.txt? – lo mismo que antes. ◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?
  • 11. ADS (Alternate Data Streams) ◼ La pregunta del millón: ¿Cómo se detectan? ◼ Sólo se pueden detectar con una herramienta externa como LADS.exe • http://www.heysoft.de/en/software/lads.php ◼ ¿Cómo se eliminan? ◼ Copiándolo a una partición FAT y devolviéndolo a la partición NTFS. ◼ ¿Quién nos asegura que nuestro sistema no está plagado de ADSs que roban nuestros datos? ◼ ¿Quién nos asegura que no vienen de serie con nuestro Windows 7?
  • 12. Otras formas de ocultar ficheros ◼ Steganography – el proceso de ocultar ficheros en imágenes ◼ O en canciones ◼ O en películas ◼ O dentro de un mensaje electrónico, aprovechando un bug del Outlook, por ejemplo. ◼ O en el propio código de una página html: trojan downloaders. ◼ Tenéis que investigar cómo hacerlo.
  • 13. Steganography Detection ◼ Stegdetect es una herramienta para detectar contenido oculto en imágenes. ◼ http://www.outguess.org/detection.php
  • 14. Navegación anónima ◼ ¿Qué es un proxy? ◼ ¿Conoces alguno? ◼ ¿Qué es un proxy transparente? ◼ ¿Qué es un proxy anónimo?
  • 15. Navegación anónima ◼ www.Anonymouse.org ◼ Lista de proxies anónimos y no anónimos: • Multiproxy: www.multiproxy.org
  • 16. Navegación anónima ◼ Proxychains: programa en Linux para navegar por una lista de proxies anónimos encadenados (/etc/proxychain.conf) ◼ Ejemplo de uso: • proxychain telnet targethost.com • proxychain nmap -sT -P0 -P 80 • proxychain lynx www.google.com
  • 17. Navegación anónima_ la red Tor ◼ Tor(www.torproject.org) ◼ Tor software: Tor+Privoxy+Vidalia • Tor: http://www.torproject.org/docs/debian.html.en • + Privoxy (127.0.0.1:8118) • + Vidalia (GUI) ◼ Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.
  • 18. Navegación anónima ◼ Vidalia Ver la red→ ◼ Instalar el add-on de Firefox Tor button: permite habilitar o no la navegación por la red Tor cuando se usa Firefox. ◼ Probarlo e ir a www.whatismyip.com
  • 19. Navegación anónima ◼ JAP Anonimity ◼ Bajarlo e instalarlo • Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pública • Anonimity off: lo mismo. ◼ Ojo: poner en el firefox la configuración del proxy a localhost: 4001
  • 20. Navegación anónima ◼ Add-ons del firefox: ◼ Switchproxy ◼ Foxyproxy ◼ TOR button – configura automáticamente el proxy en el firefox (activándolo y desactivándolo)