Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Modulo 5

    Cargado por

    pip0n
    9 vistas20 páginas

    Título original

    Modulo_5

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    9 vistas20 páginas

    Modulo 5

    Cargado por

    pip0n

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 20

    Hacking ético

    Módulo 5
    Borrado de huellas
    Objetivos

    ◼ Acciones que realiza un atacante para ocultar sus


    huellas
    ◼ Ocultar ficheros: ADS streams
    ◼ Navegación anónima: Proxies anónimos
    Ocultar huellas

    ◼ El objetivo de esta fase es


    ocultar las huellas que se
    suelen dejar al realizar
    cualquier acción.
    ◼ Análisis forense.
    Deshabilitar las auditorías

     Lo primero que hace un


    intruso al acceder a un
    sistema una vez ha
    conseguido privilegios de
    administrador es
    deshabilitar las
    auditorías.
     El programa
    auditpol.exe o la orden
    gpedit puede hacer esto
    mediante una orden.
     Al finalizar su acceso, el
    atacente volverá a
    habilitar las auditorías
    Borrar el Visor de Sucesos

     Un intruso también
    borrará las alertas que
    muestra el visor de
    sucesos.
     Ojo, porque este proceso
    borrará todos los
    registros del visor de
    sucesos pero dejará un
    registro de que el log de
    sucesos ha sido borrado.'
    Herramientas

     Hay herramientas como elsave o winzaper que permiten


    borrar el registro de sucesos de una máquina remota
    siempre y cuando se disponga de los privilegios
    necesarios.
    Evidence Eliminator

     Existen otras
    herramientas más
    potentes que permiten
    eliminar cualquier
    evidencia.
     Una de estas
    herramientas es
    Evidence Eliminator
     Borra la papelera,
    ficheros temporales,
    cookies, caché del
    navegador, historial,
    directorios temporales,
    etc.
    Ocultar ficheros
    ◼ Existen dos formas de oculatar ficehros en Windows
    XP/2000.
    • 1. Atributo oculto – fácil de descubrir, ¿no?
    – usar attrib +h [file/directory]

    • 2. NTFS Alternate Data Streaming (ADS)


    – Los ficheros en particiones NTFS (Windows NT, 2000 y
    XP) tienen una característica llamada Alternate Data
    Streams – permite enlazar un fichero oculto a un fichero
    normal visible.

    ◼ Los streams no están limitados en tamaño y puede


    haber más de un stream enlazado a un fichero normal.
    NTFS Alternate Data Streaming

    ◼ Los introduce Microsoft en particiones NTFS


    para:
    – Compatibilidad con el sistema de ficheros HFS de
    Apple.
    – Anexar información a un fichero (autor,
    descripción, etc. )en forma de metadatos.
    – Identificar si un fichero descargado de internet es
    peligroso o no.
    ADS (Alternate Data Streams)

    ◼ Primero se crea un fichero de texto: fichero.txt


    ◼ Escribir algo en él.
    ◼ Hacemos un dir y vemos el tamaño.
    ◼ Anexo un fichero diferente que he creado previamente:
    privado.txt
    ◼ Escribir en el cmd
    • type privado.txt > fichero.txt:oculto
    ◼ Hacer dir de nuevo:
    • ¿Aparece fichero.txt:hidden.txt? No.
    • ¿Cuánto ocupa fichero.txt? – lo mismo que antes.
    ◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos
    comprometidas?
    ADS (Alternate Data Streams)

    ◼ La pregunta del millón: ¿Cómo se detectan?


    ◼ Sólo se pueden detectar con una herramienta
    externa como LADS.exe
    • http://www.heysoft.de/en/software/lads.php
    ◼ ¿Cómo se eliminan?
    ◼ Copiándolo a una partición FAT y devolviéndolo
    a la partición NTFS.
    ◼ ¿Quién nos asegura que nuestro sistema no está
    plagado de ADSs que roban nuestros datos?
    ◼ ¿Quién nos asegura que no vienen de serie con
    nuestro Windows 7?
    Otras formas de ocultar ficheros

    ◼ Steganography – el proceso de ocultar ficheros


    en imágenes
    ◼ O en canciones
    ◼ O en películas
    ◼ O dentro de un mensaje electrónico,
    aprovechando un bug del Outlook, por ejemplo.
    ◼ O en el propio código de una página html: trojan
    downloaders.
    ◼ Tenéis que investigar cómo hacerlo.
    Steganography Detection

    ◼ Stegdetect es una herramienta para detectar

    contenido oculto en imágenes.

    ◼ http://www.outguess.org/detection.php
    Navegación anónima

    ◼ ¿Qué es un proxy?
    ◼ ¿Conoces alguno?
    ◼ ¿Qué es un proxy transparente?
    ◼ ¿Qué es un proxy anónimo?
    Navegación anónima

    ◼ www.Anonymouse.org

    ◼ Lista de proxies anónimos y no anónimos:


    • Multiproxy: www.multiproxy.org
    Navegación anónima

    ◼ Proxychains: programa en Linux para navegar


    por una lista de proxies anónimos encadenados
    (/etc/proxychain.conf)
    ◼ Ejemplo de uso:
    • proxychain telnet targethost.com
    • proxychain nmap -sT -P0 -P 80
    • proxychain lynx www.google.com
    Navegación anónima_ la red Tor

    ◼ Tor(www.torproject.org)
    ◼ Tor software: Tor+Privoxy+Vidalia
    • Tor:
    http://www.torproject.org/docs/debian.html.en
    • + Privoxy (127.0.0.1:8118)
    • + Vidalia (GUI)
    ◼ Puedes ejecutarlo como cliente o formar parte
    de la red TOR como proxy.
    Navegación anónima

    ◼ Vidalia → Ver la red


    ◼ Instalar el add-on de Firefox Tor button:
    permite habilitar o no la navegación por la red
    Tor cuando se usa Firefox.
    ◼ Probarlo e ir a www.whatismyip.com
    Navegación anónima

    ◼ JAP Anonimity

    ◼ Bajarlo e instalarlo
    • Anonimity on: ir a adsl4ever o a showip.com
    y ver mi IP pública
    • Anonimity off: lo mismo.
    ◼ Ojo: poner en el firefox la configuración del
    proxy a localhost: 4001
    Navegación anónima

    ◼ Add-ons del firefox:

    ◼ Switchproxy

    ◼ Foxyproxy

    ◼ TOR button – configura automáticamente el


    proxy en el firefox (activándolo y
    desactivándolo)

    También podría gustarte