UserAssist es una herramienta que resulta muy útil en el momento de realizar un Análisis Forense Digital bajo sistemas windows, pues esta te permite generar una tabla/reporte con los programas que han sido ejecutados en el sistema, el número de veces y la fecha de última ejecución.
Veamos algunas capturas de pantalla que permitirán comprender mejor el funcionamiento del programa.
Netstat es un de las herramientas primordiales a la hora de realizar tareas relacionadas con el análisis forense digital, gracias a su amplio repertorio de instrucciones para generar información involucrada a las estadísticas de conexiones de red en un sistema.
Rapid7, la empresa que a finales de octubre de 2009 aquirió los derechos de Metasploit Framework ha publicado una versión “Comunidad” de su escáner de vulnerabilidades NeXpose.
Ya hemos realizado varios escaneos al sistema y hemos identificado los servicios que se ejecutan en este. Pasemos ahora a recolectar información sensible del sistema o de interés para posibles ataques.
Antes de comenzar con el desarrollo de este entorno virtualizado de intrusión creo que es necesario recordar sobre algunos de los objetivos generales en esta primera serie de entornos enfocados a los Test de Penetración.
Ahora bien, comencemos con el mapeo de red y el escanéo de puertos. Para ello nada mejor que el archiconocido Network Mapper (Nmap) (Incluída en BackTrack).
HackPlayers ha decido publicar un pequeño reto relacionado con la Esteganografía. Y pues la idea es realizarlo desde Sec-Track a través de los comentarios y de la lista de correo de los lectores.
Video tutorial demostrativo del modo de implementación/configuración del primer entorno publicado por Sec-Track: De-ICE PenTest LiveCDs (Nivel II).
Este entorno hace parte del proyecto de Thomas Wilhelm De-ICE PenTest LiveCds (www.heorot.net) y será utilizado continuar con la temática de Test de Penetración.
Herramientas / Recursos: Qemu, OpenVPN, .ISO De-Ice Nivel II
NOTA IMPORTANTE: El video corresponde al Entorno De-Ice I, pues la configuración es identica. Salvo que en este entorno la IP del sistema objetivo es diferente.
Más información:
Instalación De-Ice (Nivel II) en Qemu from Sec-Track on Vimeo.
Video tutorial demostrativo del modo de implementación/configuración del primer entorno publicado por Sec-Track: De-ICE PenTest LiveCDs (Nivel II).
Este entorno hace parte del proyecto de Thomas Wilhelm De-ICE PenTest LiveCds (www.heorot.net) y será utilizado para continuar con la temática de Test de Penetración.
Herramientas / Recursos: VMWare /Workstation /Server /Player, .ISO De-Ice Nivel II
NOTA IMPORTANTE: El video corresponde al Entorno De-Ice I, pues la configuración es identica. Salvo que en este entorno la IP del sistema objetivo es diferente.
Más información:
Instalación De-Ice (Nivel II) en VMWare Workstation /Server from Sec-Track on Vimeo.
A la hora de realizar un Análisis Forense Digital en entornos GNU/Linux aveces es necesario agilizar los procesos de búsqueda y recolección de datos. Por ello he decido crear un listado de comandos esenciales y de uso común en dichas actividades. Veamos:
which
which es utilizado para localizar un programa rápidamente devolviendo la ruta de este.
root@Sec-Track:~# which nmap
/usr/bin/nmap
——————————————————————————————————————————————————-
whereis
Similar a which pero adiciona páginas man y archivos de fuentes
root@Sec-Track:~# whereis nmap
nmap: /usr/bin/nmap /usr/X11R6/bin/nmap /usr/bin/X11/nmap /usr/X11/bin/nmap /usr/share/nmap /usr/man/man1/nmap.1.gz /usr/share/man/man1/nmap.1.gz /usr/X11/man/man1/nmap.1.gz
——————————————————————————————————————————————————-
find
Este comando permite realizar búsquedas en el sistema de archivos con múltiples opciones.
root@Sec-Track:~# find / -name HOSTNAME
/etc/HOSTNAME
——————————————————————————————————————————————————-
ls -lart
Listado de archivos. Según los parámetros que adicionemos podemos obtener diferentes datos de los archivos.
root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart
total 200
drwxr-xr-x 4 root root 4096 2010-01-04 21:36 ../
-rw-r–r– 1 root root 3929 2010-01-04 23:42 amap.tar.gz
-rw-r–r– 1 root root 197 2010-01-04 23:43 amap.tar.gz.asc
-rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz
drwxr-xr-x 3 root root 4096 2010-01-04 23:56 ./
drwxrwxr-x 6 root root 4096 2010-01-04 23:57 slapt-get-0.10.2b/
——————————————————————————————————————————————————-
pwd
Muestra el nombre del directorio actual
root@Sec-Track:~# pwd
/root
——————————————————————————————————————————————————-
touch
Permite crear un archivo vacio si este no existe, de lo contrario modificará en el archivo actual los datos de creación y modificación
root@Sec-Track:~/4v4t4r/slackbuilds# touch test
root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart
total 200
drwxr-xr-x 4 root root 4096 2010-01-04 21:36 ../
-rw-r–r– 1 root root 3929 2010-01-04 23:42 amap.tar.gz
-rw-r–r– 1 root root 197 2010-01-04 23:43 amap.tar.gz.asc
-rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz
drwxrwxr-x 6 root root 4096 2010-01-04 23:57 slapt-get-0.10.2b/
-rw-r–r– 1 root root 0 2010-01-05 00:21 test
drwxr-xr-x 3 root root 4096 2010-01-05 00:21 ./
root@Sec-Track:~/4v4t4r/slackbuilds# touch test
root@Sec-Track:~/4v4t4r/slackbuilds# ls -lart
total 200
drwxr-xr-x 4 root root 4096 2010-01-04 21:36 ../
-rw-r–r– 1 root root 3929 2010-01-04 23:42 amap.tar.gz
-rw-r–r– 1 root root 197 2010-01-04 23:43 amap.tar.gz.asc
-rw-r–r– 1 root root 181435 2010-01-04 23:48 slapt-get-0.10.2b.tar.gz
drwxrwxr-x 6 root root 4096 2010-01-04 23:57 slapt-get-0.10.2b/
drwxr-xr-x 3 root root 4096 2010-01-05 00:21 ./
-rw-r–r– 1 root root 0 2010-01-05 00:22 test
——————————————————————————————————————————————————-
rm
“Elimina/Remueve” un archivo
root@Sec-Track:~/4v4t4r/slackbuilds# rm test
——————————————————————————————————————————————————-
shred
Borrado/Sobre-escritura seguro de datos
root@Sec-Track:~/4v4t4r/slackbuilds# more test_borrado_seguro
Probando
root@Sec-Track:~/4v4t4r/slackbuilds# shred test_borrado_seguro
root@Sec-Track:~/4v4t4r/slackbuilds# more test_borrado_seguro
g^LÁß±égs;ßî)ïiðªýD´¡påø,IíáÛÈVÐÛ2ãZðìÕØ;÷ÀfÙ$L▒Ò¿^ÊÍÔ»’nýÆzRqºÈÌ8iS
ÄõØÍû –More–(2%)
Þð
–More–(7%)
——————————————————————————————————————————————————-
cd
Cambio de directorio
root@Sec-Track:~/4v4t4r/slackbuilds# pwd
/root/4v4t4r/slackbuilds
root@Sec-Track:~/4v4t4r/slackbuilds# cd /root/
root@Sec-Track:~# pwd
/root
——————————————————————————————————————————————————-
hostname
Muestra el nombre del host de la máquina
root@Sec-Track:~# hostname
Sec-Track
——————————————————————————————————————————————————-
ifconfig -a
Muestra todas las interfaces de red
——————————————————————————————————————————————————-
cat
Muestra el contenido de un archivo
root@Sec-Track:~/4v4t4r/slackbuilds# cat test.txt
Probando…
——————————————————————————————————————————————————-
less
Despliega el contenido de un archivo con la posibilidad de realizar scroll sobre el
——————————————————————————————————————————————————-
history | less
Muestra los comandos ejecutados previamente
——————————————————————————————————————————————————-
script
Crea un log de la actividad realizada con la linea de comandos a un archivo especificado
——————————————————————————————————————————————————-
strings
Muestra todas las cadenas de caracteres contenidas en un archivo
——————————————————————————————————————————————————-
date
Muestra la fecha actual del sistema
——————————————————————————————————————————————————-
grep
Busca determinada palabra o frase en un archivo
——————————————————————————————————————————————————-
df
Muestra el espacio utilizado y disponible en el sistema
root@Sec-Track:~/4v4t4r/slackbuilds# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/root 79815108 5379556 70381148 8% /
/dev/sda3 32796696 26135596 6661100 80% /fat-d
/dev/sda4 41270984 34999452 6271532 85% /fat-c
tmpfs 1521868 0 1521868 0% /dev/shm
/dev/sdb1 78129056 69997920 8131136 90% /media/4V4T4R
——————————————————————————————————————————————————-
mount
Muestras los dispositivos y pariticiones montadas en el sistema
——————————————————————————————————————————————————-
dd
Dumpear (volcar/dumplicar) Disco/particiones a archivos, particiones y/o discos
dd if=origen of=destino
——————————————————————————————————————————————————-
Existen muchos otros comandos y usos diferentes a los que he presentado… ¿Qué otros conoces?
La idea es que participen por medio de los comentarios y compartan otros comandos relacionados con el análisis forense digital.
Acá algunos enviados por CrkDown
tail -f archivo
Permite ver en tiempo real como se genera un log. También puedes filtrarlo con grep así: tail -f archivo |grep mi búsqueda
——————————————————————————————————————————————————-
df -h
Muestra el tamaño de discos y particiones en Kb, Megas o Gigas haciendolo más fácil de leer.
——————————————————————————————————————————————————-
whois dominio.com
Muestra un poco de información de algún dominio como fechas, dns, etc.
——————————————————————————————————————————————————-
dig MX dominio.com
Puedes encontrar aspectos de las zonas de un dominio cualquiera. Por ejemplo puedes usar MX, A, TXT etc.
[~]# dig mx ejemplo.com
;; QUESTION SECTION:
;industrialm.com. IN MX
;; ANSWER SECTION:
industrialm.com. 9781 IN MX 0 aspmx.l.google.com.
;; Query time: 0 msec
;; SERVER: 69.64.44.50#53(69.64.44.50)
;; WHEN: Sat Jan 9 19:06:18 2010
;; MSG SIZE rcvd: 64
——————————————————————————————————————————————————-
top
Mirar el consumo de recursos en tiempo real. El top es bueno aunque puedes presionar la letra u para poner los procesos de un usuario o presionando F para ver todas las demás opciones de filtrado.
——————————————————————————————————————————————————-
watch mysqladmin proc
Muestra las conexiones actuales de Mysql en tiempo real
——————————————————————————————————————————————————-
su – postgres luego psql y luego select * from pg_stat_activity;
Procesos en tiempo real en Postgres muy util. Debes tener activada la opción de logueo en el archivo postgresql.conf comunmente presente en /var/lib/pgsql/data
——————————————————————————————————————————————————-
du -sch *
Ver un listado de archivos, carpetas y sus tamaños. Muy útil.
root@host [/home/user]# du -sch *
0 access-logs
8.0K cpmove.psql
40K etc
59M mail
8.0K public_ftp
45M public_html
4.0M tmp
0 www
108M total
——————————————————————————————————————————————————-
ps -aux |grep filtro
Listado de todos los procesos del sistema que corren en ese momento. Como pueden ser muchos, la aplicación de un filtro es ideal
——————————————————————————————————————————————————-
vim o vi
Es el mejor editor de texto en consola, muy poderoso
vim archivo
Pulsar / y luego escribir el término de búsqueda para encontrar lo que sea
Pulsar la tecla insert para insertar un texto. Delete para borrar. Para salir de estos dos pulsar escape
Escribiendo :w escribes el archivo
Escribiendo :wq escribes y sales del archivo
Si quieres borrar una línea das dos veces sobre la tecla D.
Si quieres deshacer pulsas escape y luego la tecla U cuantas veces quieras devolverte
——————————————————————————————————————————————————-
hdparm -t /dev/hda
Hacer un test a la velocidad de escritura de un disco. Es bueno cuando sospechas que esta sacando la mano y debes hacer copias ASAP
tar tfz archivo.tar.gz |grep “termino.txt”
Busca un archivo llamado “termino.txt” dentro de un tar.gz para evitar descomprimir todo.
——————————————————————————————————————————————————-
gunzip -c archivo.tar.gz | tar xvf – carpeta/termino.txt
Extrae un archivo llamado termino.txt sin necesidad de descomprimir todo el tar.gz
——————————————————————————————————————————————————-
sar -B 1 1000
Verificar el consumo de escritura lectura del disco en tiempo real. Ideal para verificar cuando se tienen problemas de performance por i/o degradation.
——————————————————————————————————————————————————-
netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Detectar un posible DDos, aunque si es distribuído no sirve de mucho
——————————————————————————————————————————————————-
find . -type f -size +100000k -exec ls -lh {} \; | awk ‘{ print $9 “: ” $5 }’
Busca archivos grades recursivamente. Este busca archivos de más de 100 mil k
——————————————————————————————————————————————————-
Por ultimo hay herramientas muy interesantes para conocer aspectos más puntuales como el uso de disco pero sólo funcionan en Kernels más recientes.
pidstat -d 2
Permite conocer en tiempo real el proceso puntual PID que esta escribiendo o leyendo en ese momento. Muy útil ya que a veces es muy dificil saber que lo causa.
——————————————————————————————————————————————————-
Mostrar tarjeta/s (interfaz) de red usadas
# dmesg |grep -i eth (wlan)
——————————————————————————————————————————————————-
Mostrar las últimas líneas de un archivo (como por ejemplo un archivo de logs)
# tail -100 <nombre_archivo>
(Muestras las últimas 100 líneas de un archivo
