Archivo | General RSS for this section
2012/01/15  

Recomendación de Domingo: Libro´”Máxima seguridad en Windows”

Hola!

Muy buenas a todos/as!

Intentaré los Domingos por cambiar un poco el asunto poner alguna recomendación de páginas/proyectos/libros que esté leyendo  actualmente o bien que sean de mi interés.

En el artículo de hoy tráigo uno de los libros que mas me ha gustado de carácter técnico. El libro es “Máxima Seguridad en Windows” el libro editado por Informática64 y escrito por el GRAN Sergio de los Santos cubre aquellas necesidades que la gente necesita sobre securizar su Windows.

Sergio tiene mucha experiencia con malware y con sistemas Windows, es un crack y lo puedes obervar en charlas a las que he podido verle como por ejemplo en el Asegura IT Camp 3 donde dió una charla en la que pude ver en directo el pedazo de profesional que es.

Y respecto al libro obervando el índice que ya vi en el Asegura IT Camp 3 me entraron muchas ganas de leerlo. El índice lo podemos ver aquí.

Cuando empecé la lectura del libro tenía muy claro que acabaría aplicando fuego purificador a mi instalación de Windows es decir, formateando la instalación actual y volver a instalar Windows 7 y configurarlo de manera seguro. Ya he retocado cosas del registro, cambiado el UAC configurado el firewall desde cero… he aprendido muchas cosas internas de Windows y que NO conocía, pero que de momento puedo ir tranquilo sion antivirus porque yo se que aplicaciones hacen cada cosa en mi sistema operativo.

Desde luego una lectura recomendada.

Podéis adiquirir el libro aquí

Así que ya sabéis haced vuestro pedido

Saludos

 

2012/01/12  

Resolviendo el problema de Firewall en Windows VISTA/7 con VMware

Hola!

Muy buenas a todos/as!

Cuando me encontraba leyendo el libro de Sergio de los Santos “Máxima Seguridad en Windows” sabría que acabaría formateando el ordenador para acabar de instalarlo totálmente seguro y a mi gusto, con las recomendaciones de lo que supone para mi ahora una guía de como configurar un Windows de manera segura y sin antivirus ;) .

Una de las muchas cosas que cambié es el tema del Firewall que viene integrado con Sistema en Windows 7, por defecto en los 3 perfiles, dominio, público y privado todo me basé en listas blancas para permitir la salida de programas hacia la red. Uno de los problemas que tuve es que, me quedé sin conexión a  Internet con VMWare. El problema de VMWare en Windows 7e s que las interfaces de red, vmnet, te las asigna como redes públicas y por lo tanto te quedas sin acceso a Internet.

Una solución para tener conexión a Internet es mediante un script en Power Shell que Windows no asigne las interfaces de red como públicas.

Podemos ver como Windows asigna las interfaces de red como públicas.

Te marca la red como red desconocida

El script en Power Shell es el siguiente:

# see <a href="http://msdn2.microsoft.com/en-us/library/bb201634.aspx">http://msdn2.microsoft.com/en-us/library/bb201634.aspx</a>
#
# *NdisDeviceType
#
# The type of the device. The default value is zero, which indicates a standard
# networking device that connects to a network.
#
# Set *NdisDeviceType to NDIS_DEVICE_TYPE_ENDPOINT (1) if this device is an
# endpoint device and is not a true network interface that connects to a network.
# For example, you must specify NDIS_DEVICE_TYPE_ENDPOINT for devices such as
# smart phones that use a networking infrastructure to communicate to the local
# computer system but do not provide connectivity to an external network.
#
# Usage: run in an elevated shell (vista/longhorn) or as adminstrator (xp/2003).
#
# PS&gt; .\fix-vmnet-adapters.ps1

# boilerplate elevation check

$identity = [Security.Principal.WindowsIdentity]::GetCurrent()
$principal = new-object Security.Principal.WindowsPrincipal $identity
$elevated = $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)  

if (-not $elevated) {
    $error = "Sorry, you need to run this script"
    if ([System.Environment]::OSVersion.Version.Major -gt 5) {
        $error += " in an elevated shell."
    } else {
        $error += " as Administrator."
    }
    throw $error
}

function confirm {
$host.ui.PromptForChoice("Continue", "Process adapter?",
[Management.Automation.Host.ChoiceDescription[]]@("&amp;No", "&amp;Yes"), 0) -eq $true
}

<!-- Adkit freestyle placement -->[adkit: zone="freestyle" limit="1" list="0"] <br><br><br> [netshelter]# adapters key
pushd 'hklm:\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}' 

# ignore and continue on error
dir -ea 0  | % {
    $node = $_.pspath
    $desc = gp $node -name driverdesc
    if ($desc -like "*vmware*") {
        write-host ("Found adapter: {0} " -f $desc.driverdesc)
        if (confirm) {
new-itemproperty $node -name '*NdisDeviceType' -propertytype dword -value 1
        }
    }
}
popd

# disable/enable network adapters
gwmi win32_networkadapter | ? {$_.name -like "*vmware*" } | % {

# disable
    write-host -nonew "Disabling $($_.name) ... "
    $result = $_.Disable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
    # enable
    write-host -nonew "Enabling $($_.name) ... "
    $result = $_.Enable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
}

Este script se ha power shell se ha de ejecutar con Power Shell.

Las redes VMNet se ha de marcar el Y para aplicar la configuración.

ya tenemos las redes como enabled

Y hasta aquí la solución al problema

Referencias

Saludos!

2012/01/01  

Los números de 2011

Los duendes de las estadísticas de WordPress.com prepararon un reporte para el año 2011 de este blog.

Aqui es un extracto

Madison Square Garden puede albergar 20.000 personas por concierto. Este blog fue visto cerca de 68.000 veces en 2011 .Si fuese un concierto en el Madison Square Garden, se precisarían alrededor de 3 actuaciones para que toda la gente lo viera.

Haz click para ver el reporte completo.

2011/09/06  

Análisis de comportamiento de un troyano I

Hola!

Muy buenas a todos/as!

Hoy publicaré algo distinto y será el análisis de comportamiento de un troyano. Será algo muy básico iré avanzando conforme me vaya informando del tema.

Este artículo lo que haré será poner wireshark y ver las conexiones que establece el troyano, además de luego con process explorer y installrite ver los cambios que han habido en el sistema después de la infección con el builder.

Lo primero antes de hacer ninguna infección es guardarme con installrite un snapshot del registro y archivos del sistema para luego poder comparar los cambios, además de hacer un snapshot de la máquina virtual claro.

Una vez que me he infectado por el troyano arranco Wireshark y veo que el troyano intenta conectarse al servidor “maligno”.

Podemos ver las peticiones que haría el troyano en caso de querer conectarse al servidor desde donde enviará los datos se descargará actualizaciones etc.. Como el servidor no existe no recibe respuesta alguna, en la próxima entrega veremos como envía los datos capturados y más cosas.

Ahora con process explorer vemos el proceso que ha abierto el troyano.

Podemos ver en esta imagen varia información. No tiene asociado ningún proceso padre, debería de ser explorer.exe.

Además el command line aparece una sorpresa server.exe. A simple vista con process explorer sin mirar los detalles parecería un proceso legítimo. Sólo que yo no tenía ningún Internet Explorer abierto, además de que revisando los detalles puedo ver perfectamente la infección.

Si lo comparamos con un proceso de Internet Explorer legítimo:

 

Podemos ver correctamente el proceso padre, además de que la ruta en el command line es el correcto. Y, si miráramos process explorer veríamos que crea un proceso en otro hilo, y no crea desde un proceso padre varios procesos hilos. :)

Y ya con Installrite vemos que han habido cambios y a destacar entre ellos vemos que se ha añadido el archivo server.exe.

Podemos ver el server.exe en Datos de Programa

 

Y hasta aquí un brevísimo análisis de comportamiento.

Un saludo

 

« Older Posts
Newer Posts »