Hacking ético

Módulo 5

Borrado de huellas

Objetivos

◼ Acciones que realiza un atacante para ocultar sus huellas

◼ Ocultar ficheros: ADS streams◼ Navegación anónima: Proxies anónimos

Ocultar huellas

◼ El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier acción.

◼ Análisis forense.

Deshabilitar las auditorías

Lo primero que hace un intruso al acceder a un sistema una vez ha conseguido privilegios de administrador es deshabilitar las auditorías.

El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden.

Al finalizar su acceso, el atacente volverá a habilitar las auditorías

Borrar el Visor de Sucesos

Un intruso también borrará las alertas que muestra el visor de sucesos.

Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'

Herramientas

Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una máquina remota siempre y cuando se disponga de los privilegios necesarios.

Evidence Eliminator

Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.

Una de estas herramientas es Evidence Eliminator

Borra la papelera, ficheros temporales, cookies, caché del navegador, historial, directorios temporales, etc.

Ocultar ficheros

◼ Existen dos formas de oculatar ficehros en Windows

XP/2000.

• 1. Atributo oculto – fácil de descubrir, ¿no?– usar attrib +h [file/directory]

• 2. NTFS Alternate Data Streaming (ADS)

– Los ficheros en particiones NTFS (Windows NT, 2000 y

XP) tienen una característica llamada Alternate Data

Streams – permite enlazar un fichero oculto a un fichero

normal visible.

◼ Los streams no están limitados en tamaño y puede

haber más de un stream enlazado a un fichero normal.

NTFS Alternate Data Streaming

◼ Los introduce Microsoft en particiones NTFS

para:

–Compatibilidad con el sistema de ficheros HFS de

Apple.

–Anexar información a un fichero (autor,

descripción, etc. )en forma de metadatos.

–Identificar si un fichero descargado de internet es

peligroso o no.

ADS (Alternate Data Streams)

◼ Primero se crea un fichero de texto: fichero.txt

◼ Escribir algo en él.

◼ Hacemos un dir y vemos el tamaño.

◼ Anexo un fichero diferente que he creado previamente: privado.txt

◼ Escribir en el cmd

• type privado.txt > fichero.txt:oculto

◼ Hacer dir de nuevo:

• ¿Aparece fichero.txt:hidden.txt? No.

• ¿Cuánto ocupa fichero.txt? – lo mismo que antes.

◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?

ADS (Alternate Data Streams)

◼ La pregunta del millón: ¿Cómo se detectan? ◼ Sólo se pueden detectar con una herramienta

externa como LADS.exe• http://www.heysoft.de/en/software/lads.php

◼ ¿Cómo se eliminan? ◼ Copiándolo a una partición FAT y devolviéndolo

a la partición NTFS.◼ ¿Quién nos asegura que nuestro sistema no está

plagado de ADSs que roban nuestros datos?◼ ¿Quién nos asegura que no vienen de serie con

nuestro Windows 7?

Otras formas de ocultar ficheros

◼ Steganography – el proceso de ocultar ficheros en imágenes

◼ O en canciones◼ O en películas◼ O dentro de un mensaje electrónico,

aprovechando un bug del Outlook, por ejemplo.◼ O en el propio código de una página html: trojan

downloaders.◼ Tenéis que investigar cómo hacerlo.

Steganography Detection

◼ Stegdetect es una herramienta para detectar

contenido oculto en imágenes.

◼ http://www.outguess.org/detection.php

Navegación anónima

◼ ¿Qué es un proxy?

◼ ¿Conoces alguno?

◼ ¿Qué es un proxy transparente?

◼ ¿Qué es un proxy anónimo?

Navegación anónima

◼ www.Anonymouse.org

◼ Lista de proxies anónimos y no anónimos:• Multiproxy: www.multiproxy.org

Navegación anónima

◼ Proxychains: programa en Linux para navegar

por una lista de proxies anónimos encadenados

(/etc/proxychain.conf)

◼ Ejemplo de uso: • proxychain telnet targethost.com• proxychain nmap -sT -P0 -P 80 • proxychain lynx www.google.com

Navegación anónima_ la red Tor

◼ Tor(www.torproject.org)

◼ Tor software: Tor+Privoxy+Vidalia• Tor:

http://www.torproject.org/docs/debian.html.en• + Privoxy (127.0.0.1:8118)• + Vidalia (GUI)

◼ Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.

Navegación anónima

◼ Vidalia Ver la red→

◼ Instalar el add-on de Firefox Tor button:

permite habilitar o no la navegación por la red

Tor cuando se usa Firefox.

◼ Probarlo e ir a www.whatismyip.com

Navegación anónima

◼ JAP Anonimity

◼ Bajarlo e instalarlo• Anonimity on: ir a adsl4ever o a showip.com

y ver mi IP pública• Anonimity off: lo mismo.

◼ Ojo: poner en el firefox la configuración del

proxy a localhost: 4001

Navegación anónima

◼ Add-ons del firefox:

◼ Switchproxy

◼ Foxyproxy

◼ TOR button – configura automáticamente el

proxy en el firefox (activándolo y

desactivándolo)