BORRADO DE HUELLAS

Csar Augusto Zrate ( c4m4l30n )

Cesar Augusto Zarate Camargo

Analista Seguridad Informtica Investigador Informtica Forense

SWAT SECURITY IT Asesor/ Consultor TICs

Nickname c4m4l30n http://www.swatsecurityit.com Cesaraugusto.zarate@swatsecurityit.com @c4m4l30n_caz

Csar Augusto Zrate ( c4m4l30n )

El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier accin. Anlisis forense.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Lo primero que hace un intruso al acceder a un sistema una vez conseguido privilegios de administrador es deshabilitar las auditoras. El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden. Al finalizar su acceso, el atacante volver a habilitar las auditoras
Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Un intruso tambin borrar las alertas que muestra el visor de sucesos. Ojo, porque este proceso borrar todos los registros del visor de sucesos pero dejar un registro de que el log de sucesos ha sido borrado.'

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una mquina remota siempre y cuando se disponga de los privilegios necesarios.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Existen otras herramientas ms potentes que permiten eliminar cualquier evidencia. Una de estas herramientas es Evidence Eliminator Borra la papelera, Archivos temporales, cookies, cach del navegador, historial, directorios temporales, etc.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Existen dos formas de ocultar archivos en Windows XP/2000. Atributo oculto fcil de descubrir, no? usar attrib +h [file/directory] NTFS Alternate Data Streaming (ADS) Los archivos en particiones NTFS (Windows NT, 2000 y XP) tienen una caracterstica llamada Alternate Data Streams permite enlazar un fichero oculto a un Archivo normal visible.
Los streams no estn limitados en tamao y puede haber ms de un stream enlazado a un Archivo normal.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Los introduce Microsoft en particiones NTFS para:

Compatibilidad con el sistema de ficheros HFS de Apple.

Anexar informacin a un fichero (autor, descripcin, etc. )en forma de metadatos. Identificar si un fichero descargado de internet es peligroso o no.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Primero se crea un archivo de texto: archivo.txt Escribir algo en l. Hacemos un dir y vemos el tamao. Anexo un archivo diferente que he creado previamente: privado.txt Escribir en el cmd Hacer dir de nuevo:
type privado.txt > archivo.txt:oculto
Aparece archivo.txt:hidden.txt? No. Cunto ocupa archivo.txt? lo mismo que antes.

Y un virus? Y una pelcula? Y unas fotos comprometidas?

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

La pregunta del milln: Cmo se detectan? Slo se pueden detectar con una herramienta externa como LADS.exe Cmo se eliminan? Copindolo a una particin FAT y devolvindolo a la particin NTFS. Quin nos asegura que nuestro sistema no est plagado de ADSs que roban nuestros datos? Quin nos asegura que no vienen de serie con nuestro Windows 7?
Csar Augusto Zrate ( c4m4l30n ) Modulo 5

http://www.heysoft.de/en/software/lads.php

Steganography el proceso de ocultar archivos en:

imgenes O en canciones O en pelculas O dentro de un mensaje electrnico,

aprovechando un bug del Outlook, por ejemplo.

O en el propio cdigo de una pgina html: trojan downloaders.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Stegdetect es una herramienta para detectar contenido oculto en imgenes. http://www.outguess.org/detection.php

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Qu es un proxy?

Qu es un proxy transparente?

programa o dispositivo que realiza una accin en representacin de otro; Su finalidad ms habitual es la de servidor proxy, que consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. combina un servidor proxy con un cortafuegos de manera que las conexiones son interceptadas y desviadas hacia el proxy sin necesidad de configuracin en el cliente, y habitualmente sin que el propio usuario conozca de su existencia. Este tipo de proxy es habitualmente utilizado por las empresas proveedoras de acceso de Internet.

Qu es un proxy annimo

tambin conocido como servidor de proxy annimo, permite a un usuario acceder a un archivo, pgina Web, o cualquier otro recurso a travs de un servidor que entrega los servicios requeridos del usuario por medio de otro servidor remoto.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

www.Anonymouse.org

Lista de proxies annimos y no annimos:

Multiproxy: www.multiproxy.org

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Proxychains: programa en Linux para navegar por una lista de proxies annimos encadenados
(/etc/proxychain.conf)

Ejemplo de uso:
proxychain telnet targethost.com proxychain nmap -sT -P0 -P 80 proxychain lynx www.google.com

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Tor(www.torproject.org)
Tor software: Tor+Privoxy+Vidalia
Tor: http://www.torproject.org/docs/debian.html.en +Privoxy (127.0.0.1:8118) + Vidalia (GUI)

Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Vidalia Ver la red

Instalar el add-on de Firefox Tor button:
permite habilitar o no la navegacin por la red Tor cuando se usa Firefox.

Probarlo e ir a www.whatismyip.com

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

JAP Anonimity
Bajarlo e instalarlo Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pblica Anonimity off: lo mismo.

Ojo: poner en el firefox la configuracin del proxy a localhost: 4001

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Add-ons del firefox: Switchproxy Foxyproxy TOR button configura automticamente el proxy en el firefox (activndolo y desactivndolo)

Csar Augusto Zrate ( c4m4l30n ) Modulo 5

Csar Augusto Zrate ( c4m4l30n ) Modulo 5