Tag Archive | security by default
2012/04/19  

Forensic en Windows – RadioGraPhy 1.0

A la hora de realizar un forense es de mucha utilidad el poder obtener una “foto” del sistema en la que podamos obtener información relacionada con servicios, procesos ocultos.. etc

Una herramienta que nos facilita esta foto es RadioGraPhy 1.0, esta herramienta desarrollada por Yago Jesús nos ayuda en esta tarea, podemos ver una foto del software aquí:

Que caraterísticas tiene el software:

  • Las claves del registro asociadas al auto-arranque de procesos
  • Las claves del registro asociadas a la configuración de IE
  • Las cuentas de usuario del sistema
  • Los ficheros en directorios ‘startup’
  • Los servicios del sistema
  • El contenido del fichero ‘hosts’
  • Los ‘task’ del scheduler de windows
  • Los drivers o módulos cargados en el Kernel de Windows
  • Carpetas compartidas por NetBios
  • Ventanas ocultas (cmd y IE)
  • La lista de procesos activos en el sistema y el path del ejecutable
  • Información relacionada con la red (puertos abiertos, conexiones, etc)

En mi caso, me he infectado con un malware que además se copia en la carpeta de Aplication Data quería ver si RadioGraphy es capaz de detectarlo, en mi caso:

Bingo, ha detectado el binario modificado!

Os animo a probar la herramienta ya que seguro que con un par de añadidos que podamos sugerirle a Yago se convierte en una herramienta que va a usar mucha gente.

Yago ya lleva en la comunidad aportando aparte de conocimiento herramientas, podéis consultarlas aquí

Para descargar la herramienta podemos descargarla de aquí, o del backup en code google

2011/11/15  

Seguridad en el robots.txt

Hola!

Muy buenas a todos/as!

Cuando se va ha hacer una auditoría de una página web, antes de empezar a lanzar ningún exploit, o extraer ninguna base de datos se busca información pública que pueda ser útil, por ejemplo directorios ocultos con información que nos pueda servir, carpetas que no quiera el administrador que se indexen…

En la web de Chema encontramos la definición.. El fichero robots.txt se usa para indicar a los bots que se dedican a hacer crawling qué deben y qué no deben indexar para evitar que información importante quede almacenada en un buscador al alcance de cualquiera. Bueno, no sólo para esto, también para conseguir un mejor rendimiento del servidor ya que, antes del estallido de las técnicas SEO muchos estaban preocupados por la carga de trabajo que generaban en los servidores web la llegada de los bots.

Del fichero de robots se puede extraer información muy jugosa y para automatizar esto, usaremos el script de CheckMyrobots de nuestro querido Security by default

Podemos ver un ejemplo del uso de la herramienta con el Hospital Clinic

:sbdtools seifreed$ python checkmyrobots.py hospitalclinic.org
robots.txt fetched, parsing …
/*/ctl/ [404 - Not Found]
/App_Data/ [404 - Not Found]
/Components/ [403 - Forbidden]
/DesktopModules/ [403 - Forbidden]
/HttpModules/ [403 - Forbidden]
/images/ [403 - Forbidden]
/js/ [403 - Forbidden]
/Providers/ [403 - Forbidden]
/App_Data/ [404 - Not Found]
/Components/ [403 - Forbidden]
/DesktopModules/ [403 - Forbidden]
/Documentation/ [403 - Forbidden]
/HttpModules/ [403 - Forbidden]
/images/ [403 - Forbidden]
/js/ [403 - Forbidden]
/Providers/ [403 - Forbidden]

Estos son los directorios que no quieren que queden indexados. En ocasiones un robots mal configurado nos puede dar información de las areas de administración de una web en concreto, por ejemplo el caso de la web de las naciones unidas:

User-agent: *
Disallow: /womenwatch/daw/conf/seforms/l123/d123
Disallow: /wcm/administration/
Disallow: /wcm/administrator/
Disallow: /wcm/ajaxaction/
Disallow: /russian/news/mobile/
Disallow: /common/
Disallow: /temp/
Disallow: /temp1/
Disallow: /temp2/
Disallow: /test/
Allow: /

Podemos obervar que hay un directorio de administración, al que podemos acceder:

-Primero nos encontramos con un directorio que nos devuelve un 404 con la versión del tomcat

https://un.org/wcm/administrator/

-Segundo nos encontramos con el panel de administración

https://www.un.org/wcm/administration/

Obtenemos información de que el software open source que usan es: Jahia 5.0.6 r25869

Si miramos la web oficial, la última versión es la 6.5. Habrá exploit para esta versión antigua? Quien sabe…

Un saludo a todos

 

2010/09/21  

Patriot-NG Host-IDS

Hola!

Muy buenas a todos/as!

Aunque no regente el blog tanto como antes, sigo por aquí.

Hoy vengo ha hablaros de la herramienta Patriot-NG desarrollada por Yago Jesus, seguramente le conoceréis de la página de Security by Default!

Esta herramienta está en la web de Security Projects!

Security Projects

Concretamente hablaremos sobre Patriot-NG, si miramos en la web de que se encarga esta herramienta podemos ver que,

Patriot NG es una herramienta de tipo ‘Host IDS’ que permite monitorizar en tiempo real cambios en sistemas Windows.

Patriot monitoriza:

  • Claves del registro: Indicando si alguna key sensible (autorun, configuración Internet Explorer …) es alterada
  • Ficheros en los directorios ‘Startup’
  • Nuevos usuarios creados en el sistema
  • Nuevos servicios
  • Cambios en el fichero Host
  • Nuevos trabajos en el ‘Task Scheduler’ de Windows
  • Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)
  • Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
  • Nuevos Drivers cargados en el sistema
  • Nuevos recursos compartidos NetBios
  • Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans …)
  • Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs …)

Es decir, puede ser un complemento perfecto a nuestro sistema de protección actual.

Para probarlo lo descargamos:

Descargar Patriot-NG

La instalación no tiene pérdida. Una vez Patriot-NG esté activo, miramos que opciones lleva:

Como veis podemos tener varios opciones, veamos como da los avisos!!

Vamos a suponer que no tenemos permisos para crear cuentas o que una aplicación nos crea una cuenat de usuario sin nuestro consentimiento

Como podéis ver Patriot-NG avisa de esta acción!

Ahora veremos que pasa cuando se inicia una conexión asociada a un puerto,

Nos da la posibilidad  de cerrar el proceso.

Pero también tenemos mas posibilidades, imaginemos que nos hacen un ataque man in the middle

Vemos que también nos avisa…

Ahora intentaremos escanear la máquina con nmap por ejemplo

Vaya, nos da el aviso.

Como podéis ver es uan herramienta muy útil en algunos casos!

Aunque por ejemplo en el caso de nmap, debería de mantener la conexión en espera hasta tomar uan decisión.

Os animo a probarlo.!!

Un saludo

2010/04/11  

Fblock, otra herramienta de Security by Default

Hola!

Muy buenas a todos/as!

Los chicos de Security by Default han desarrollado una herramienta para saber si alguien te puede tener bloqueado o no en Facebook. Su nombre Fblock

Yo he probado la herramienta y no se si me ha funcionado muy bien, ya que no me salen las mismas imágenes que Aramosf.

Nos descargamos Fblock

Para Windows o para Linux

En Linux la sintáxis es:

perl fblock.pl correo1 contraseña 1 correo2 contraseña2

Vamos a ver que me ha salido a mi.

Como he utilizado mi cuenta y la de un colega que a lomejor tiene privacidad activada no funciona :P

Veamos la imagen de Aramosf

Probadlo y vereis que tal

Seguramente cuando lo probeis con vuestra cuenta, a lo mejor os dice que comprobeis la cuenta.

Un saludo,

« Older Posts