Sec-Track

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

En el anterior post, presentaba de manera muy general entorno de trabajo forense X-Ways Forensics. Ahora vamos a comenzar una serie de post dedicados al trabajo práctico con dicha herramienta.

En este post veremos algunos métodos para la creación de imágenes forenses con dicha herramienta. Veamos.

Lo primero será ejecutar la herramienta desde el acceso directo creado en el proceso de instalación.

Desde el Menu Tools, Open Disk.

Seleccionaremos el disco fuente a tomar como evidencia.

Deberiamos ver una imagen similar a la siguiente

Una vez seleccionado el disco (físico/lógico), pasamos al menu File, Create Disk Image

Ahora seleccionamos las opciones de creación de imágenes. Para nuestro caso optamos por una imagen del tipo Raw image (.dd) y cálculo de hash por medio de MD5 a 128 bits

Veremos una barra de progreso como la siguiente

Proceso finalizado

Hash de la evidencia

Verificamos la evidencia en la ruta que seleccionamos previamente

Desde el mismo X-Ways Forensics podríamos explorar el contenido de la evidencia sin alterarla

Archivos

Para comprobar esta información, podríamos “montar” la evidencia adquirida con el software Mount Image Pro.

Pronto seguiremos con otros temas relacionados al uso de esta completa herramienta.

X-Ways Forensics, es un avanzado entorno de trabajo para analistas forenses que funciona sobre plataformas Windows 2000 / XP / 2003 / Vista / Seven / 2008 con tecnologías de 32 y 64 Bits.

Algunas de las características de X-Ways Forensics son:

• Posibilidad de crear imágenes o copiados seguros de evidencias digitales.
• Recuperación de información eliminada.
• Visualizar estructuras de directorios sobre imágenes del tipo .dd.
• Acceder a discos, RAIDs, e imágenes de gran tamaño (2Tb).
• Soporte nativo para FAT12, FAT16, FAT32, TFAT, NTFS, Ext2, Ext3, Ext4, CDFS/ISO9660/Jolite, UDF.
• Visualización y volcado de memoria RAM y memoria virtual de procesos en ejecución.
• Creación de medios forenses estériles.
• Generación y cálculo de firmas criptográficas (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD.
• Capacidades de búsquedas en la evidencia recolectada.
• Bookmarks.
• Anotaciones y un largo etc.

Para más información sobre X-Ways Forensics visita su Web oficial >>

Manual oficial de usuario para X-Ways forensics (pdf) >>

QuickStart Guide (pdf) >>

GeoIPGen es una herramienta de red para la generación de IP’s Geo-Objetivos o de identificación de origen.

La herramienta funciona con base al hecho de que los ISP tienen determinadas IP’s a su control en cada país. La base de datos utilizada por la herramienta corresponde a la de Maxmind. La base de datos corresponde a un simple archivo CSV que es leído por la herramienta.

Veamos el proceso de configuración y uso:

root@bt:~/CHK/tools/geoipgen-0.4# ls
CHANGELOG  INSTALL  README  TODO  geoipgen  geoipgen.lsm
root@bt:~/CHK/tools/geoipgen-0.4# less INSTALL

root@bt:~/CHK/tools/geoipgen-0.4# wget http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
–2010-05-17 18:58:52–  http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
Resolving www.maxmind.com… 67.15.94.80
Connecting to www.maxmind.com|67.15.94.80|:80… connected.
HTTP request sent, awaiting response… 301 Moved Permanently
Location: http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip [following]
–2010-05-17 18:58:52–  http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
Resolving geolite.maxmind.com… 64.246.48.99
Connecting to geolite.maxmind.com|64.246.48.99|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1777882 (1.7M) [application/zip]
Saving to: `GeoIPCountryCSV.zip’

100%[======================================>] 1,777,882    310K/s   in 6.0s

2010-05-17 18:58:59 (289 KB/s) – `GeoIPCountryCSV.zip’ saved [1777882/1777882]

root@bt:~/CHK/tools/geoipgen-0.4# unzip GeoIPCountryCSV.zip
Archive:  GeoIPCountryCSV.zip
inflating: GeoIPCountryWhois.csv
root@bt:~/CHK/tools/geoipgen-0.4# mv GeoIPCountryWhois.csv /usr/local/share/ || ( mkdir $HOME/.geoipgen ; mv GeoIPCountryWhois.csv “$HOME/.geoipgen/”)

root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -l |grep Colombia
CO      Colombia
root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -n 10 CO
190.249.132.75
200.71.67.20
201.232.212.13
190.126.199.90
190.251.122.20
190.182.50.124
190.250.163.7
190.125.192.131
186.114.221.105
186.80.204.45

root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -n 10 ES
85.49.39.104
88.3.33.50
83.46.243.85
83.59.59.181
81.32.128.146
95.39.198.21
81.43.162.41
79.156.155.124
77.208.3.231
95.60.138.155

Bastante efectiva la información… Podríamos complementar el uso de esta herramienta con la resolución de nombres de dominios de la herramienta DNSRecon.

Más información (Web oficial del proyecto-MorningStartSecurity)

DNSRecon es una herramienta desarrollada en Ruby por Carlo Perez (DarkOperator) para la enumeración de DNS. La herramienta permite enumerar por medio de rango de IP’s, y consultas directas y de resolución para la identificación de host y subdominios, zonas de transferencia, reverse lookup, etc.

Veamos algunos ejemplos:

Enumeración por medio de rango de IP’s

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -r 72.232.197.100 72.232.197.130
Reverse Lookup for IP Renge from 72.232.197.100 to 72.232.197.200
100.197.232.72.static.reverse.ltdomains.com,72.232.197.100
101.197.232.72.static.reverse.ltdomains.com,72.232.197.101
102.197.232.72.static.reverse.ltdomains.com,72.232.197.102
103.197.232.72.static.reverse.ltdomains.com,72.232.197.103
104.197.232.72.static.reverse.ltdomains.com,72.232.197.104
105.197.232.72.static.reverse.ltdomains.com,72.232.197.105
dbservidores2.com,72.232.197.106
ns1.dbservidores2.com,72.232.197.107
ns2.dbservidores2.com,72.232.197.108
dimdim.dedicatedplace.com,72.232.197.109
111.197.232.72.static.reverse.ltdomains.com,72.232.197.111
112.197.232.72.static.reverse.ltdomains.com,72.232.197.112
113.197.232.72.static.reverse.ltdomains.com,72.232.197.113
server.suganoissei.info,72.232.197.114
ns1.suganoissei.info,72.232.197.115
ns2.suganoissei.info,72.232.197.116
ns3.suganoissei.info,72.232.197.117
ns4.suganoissei.info,72.232.197.118
119.197.232.72.static.reverse.ltdomains.com,72.232.197.119
120.197.232.72.static.reverse.ltdomains.com,72.232.197.120
ocean.roteador.info,72.232.197.122
ocean.roteador.info,72.232.197.123
ocean.roteador.info,72.232.197.124
ocean.roteador.info,72.232.197.125
ocean.roteador.info,72.232.197.126
127.197.232.72.static.reverse.ltdomains.com,72.232.197.127
128.197.232.72.static.reverse.ltdomains.com,72.232.197.128
129.197.232.72.static.reverse.ltdomains.com,72.232.197.129
us1.goobix.com,72.232.197.130

Enumeración por Top Level Domain Expanssion

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -tld informatica64
informatica64.com,80.81.106.148,A
informatica64.kr,222.231.8.226,A
informatica64.pw,70.87.29.179,A
informatica64.pw,70.87.29.150,A
informatica64.mp,75.101.130.205,A
informatica64.ph,203.119.6.249,A
informatica64.ws,64.70.19.33,A
informatica64.st,195.178.160.40,A
informatica64.tk,94.103.151.195,A
informatica64.tk,193.33.61.2,A
informatica64.tk,209.172.59.196,A
informatica64.tk,217.119.57.22,A
informatica64.vn,203.162.57.28,A

DNS Host y Fuerza Bruta a Dominios

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -b medellin.gov.co hosts.txt
av.medellin.gov.co,200.13.232.107
beta.medellin.gov.co,200.13.232.182
correo.medellin.gov.co,200.13.232.182
live.medellin.gov.co,200.13.232.100
mail.medellin.gov.co,200.13.232.115
omega.medellin.gov.co,200.13.232.101
portal.medellin.gov.co,200.13.232.182

Consulta general de DNS por NS, SOA y Registros MX

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -s telemedellin.tv
telemedellin.tv,67.43.6.235,A
dns1.nettica.com,64.94.136.11,SOA
dns1.nettica.com,64.94.136.11,NS
dns5.nettica.com,212.100.247.15,NS
dns4.nettica.com,69.41.170.223,NS
dns2.nettica.com,64.237.45.34,NS
dns3.nettica.com,64.94.136.13,NS
alt2.aspmx.l.google.com,74.125.113.27,MX,20
aspmx2.googlemail.com,209.85.135.27,MX,30
aspmx3.googlemail.com,72.14.213.27,MX,30
aspmx4.googlemail.com,209.85.229.27,MX,30
aspmx5.googlemail.com,74.125.157.27,MX,30
aspmx.l.google.com,74.125.67.27,MX,10
alt1.aspmx.l.google.com,209.85.211.91,MX,20

Zonas de transferencias

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -axfr elcolombiano.com
Zone transfer failed for redglobal.net
Zone transfer failed for server2i.elcolombiano.com.co
Zone transfer failed for dns1.redelectrica.com

Wfuzz es una herramienta destinada para la enumeración de archivos y directorios alojados en una aplicación Web.

Esta herramienta desarrollada por Edge-Security realiza ataques de fuerza bruta para la enumeración de directorios, servlets, scripts y archivos en el webserver.

Read the rest of this entry »

Anubis es una aplicación desarrollada por Juan Antonio Calles para anexionar todas las herramientas necesarias para los procesos de las Auditorías de Seguridad dedicados a la búsqueda de información, denominados Footprinting y Fingerprinting, en una única herramienta.

Read the rest of this entry »

theHarvester (Desarrollada por Edge-Security) es una herramienta que permite recolectar direcciones electrónicas (e-mails) y nombres de usuarios desde fuentes públicas.

Read the rest of this entry »

Subdomainer (desarrollada por edge-security)es una herramienta de recolección de información diseñada para obtener nombres de subdominios de un dominio objetivo, desde diferentes fuentes públicas como Google, Msn Search, Yahoo, Servidores PgP, etc.

Veamos la herramienta en ejecución:

Primero descargamos la herramienta Subdomainer desde la web oficial del proyecto.

La herramienta ha sido desarrollada en Python, por lo tanto necesitarás de este para ejecutarla. (Python ya viene incluído en BackTrack).

Una vez descargada, nos dirigimos al directorio, extraemos los archivos y ejecutamos la herramienta.

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# ls
COPYING  LICENSES  README  subdomainer.py

Veamos la opciones:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
usage: subdomainer.py  options
-d: domain to search
-l: limit of results to work with. (msn and yahoo goes in 10 to 10
google in 100′s, and pgp does not need this option)
-m: data source (msn, yahoo, google, pgp-veridis, all)
-o: output to html file. (optional, good for long lists.)
Example:
subdomainer.py -d microsoft.com -l 200 -m google

subdomainer.py -d microsoft.com -l 100 -m all -o microsoft.html

Ahora hagamos una búsqueda nosotros mismos:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py -d twitter.com -l 100 -m google
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
Searching for twitter.com in google
=======================================
Total results:  434000000
Limit:  100
Searching results: 0
Subdomains founded:
====================
search.twitter.com
blog.twitter.com
status.twitter.com
apiwiki.twitter.com
help.twitter.com
blog.es.twitter.com
chirp.twitter.com
engineering.twitter.com

Total results:  8
Going for extra check:

search.twitter.com ====> 128.121.146.107
blog.twitter.com ====> 74.125.47.121
status.twitter.com ====> 72.32.231.8
apiwiki.twitter.com ====> 208.96.32.3
help.twitter.com ====> 67.219.156.130
blog.es.twitter.com ====> 74.125.47.121
chirp.twitter.com ====> 209.207.239.72
engineering.twitter.com ====> 74.125.47.121

Como vemos, una vez identifica los posibles nombres de subdominios basados en consultas a los motores que hayamos seleccionado, procede a verficar la validez de estos.

Httprint, de Net-Square, es un programa gratuito (no GPL) que utiliza técnicas de fuzzing para dar una estimación de la versión de servidor web que se ejecuta en un puerto.

Read the rest of this entry »