SlideShare una empresa de Scribd logo
Hacking ético
Módulo 5
Borrado de huellas
Objetivos
◼ Acciones que realiza un atacante para ocultar sus
huellas
◼ Ocultar ficheros: ADS streams
◼ Navegación anónima: Proxies anónimos
Ocultar huellas
◼ El objetivo de esta fase es
ocultar las huellas que se
suelen dejar al realizar
cualquier acción.
◼ Análisis forense.
Deshabilitar las auditorías
 Lo primero que hace un
intruso al acceder a un
sistema una vez ha
conseguido privilegios de
administrador es
deshabilitar las
auditorías.
 El programa
auditpol.exe o la orden
gpedit puede hacer esto
mediante una orden.
 Al finalizar su acceso, el
atacente volverá a
habilitar las auditorías
Borrar el Visor de Sucesos
 Un intruso también
borrará las alertas que
muestra el visor de
sucesos.
 Ojo, porque este proceso
borrará todos los
registros del visor de
sucesos pero dejará un
registro de que el log de
sucesos ha sido borrado.'
Herramientas
 Hay herramientas como elsave o winzaper que permiten
borrar el registro de sucesos de una máquina remota
siempre y cuando se disponga de los privilegios
necesarios.
Evidence Eliminator
 Existen otras
herramientas más
potentes que permiten
eliminar cualquier
evidencia.
 Una de estas
herramientas es
Evidence Eliminator
 Borra la papelera,
ficheros temporales,
cookies, caché del
navegador, historial,
directorios temporales,
etc.
Ocultar ficheros
◼ Existen dos formas de oculatar ficehros en Windows
XP/2000.
• 1. Atributo oculto – fácil de descubrir, ¿no?
– usar attrib +h [file/directory]
• 2. NTFS Alternate Data Streaming (ADS)
– Los ficheros en particiones NTFS (Windows NT, 2000 y
XP) tienen una característica llamada Alternate Data
Streams – permite enlazar un fichero oculto a un fichero
normal visible.
◼ Los streams no están limitados en tamaño y puede
haber más de un stream enlazado a un fichero normal.
NTFS Alternate Data Streaming
◼ Los introduce Microsoft en particiones NTFS
para:
–Compatibilidad con el sistema de ficheros HFS de
Apple.
–Anexar información a un fichero (autor,
descripción, etc. )en forma de metadatos.
–Identificar si un fichero descargado de internet es
peligroso o no.
ADS (Alternate Data Streams)
◼ Primero se crea un fichero de texto: fichero.txt
◼ Escribir algo en él.
◼ Hacemos un dir y vemos el tamaño.
◼ Anexo un fichero diferente que he creado previamente:
privado.txt
◼ Escribir en el cmd
• type privado.txt > fichero.txt:oculto
◼ Hacer dir de nuevo:
• ¿Aparece fichero.txt:hidden.txt? No.
• ¿Cuánto ocupa fichero.txt? – lo mismo que antes.
◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos
comprometidas?
ADS (Alternate Data Streams)
◼ La pregunta del millón: ¿Cómo se detectan?
◼ Sólo se pueden detectar con una herramienta
externa como LADS.exe
• http://www.heysoft.de/en/software/lads.php
◼ ¿Cómo se eliminan?
◼ Copiándolo a una partición FAT y devolviéndolo
a la partición NTFS.
◼ ¿Quién nos asegura que nuestro sistema no está
plagado de ADSs que roban nuestros datos?
◼ ¿Quién nos asegura que no vienen de serie con
nuestro Windows 7?
Otras formas de ocultar ficheros
◼ Steganography – el proceso de ocultar ficheros
en imágenes
◼ O en canciones
◼ O en películas
◼ O dentro de un mensaje electrónico,
aprovechando un bug del Outlook, por ejemplo.
◼ O en el propio código de una página html: trojan
downloaders.
◼ Tenéis que investigar cómo hacerlo.
Steganography Detection
◼ Stegdetect es una herramienta para detectar
contenido oculto en imágenes.
◼ http://www.outguess.org/detection.php
Navegación anónima
◼ ¿Qué es un proxy?
◼ ¿Conoces alguno?
◼ ¿Qué es un proxy transparente?
◼ ¿Qué es un proxy anónimo?
Navegación anónima
◼ www.Anonymouse.org
◼ Lista de proxies anónimos y no anónimos:
• Multiproxy: www.multiproxy.org
Navegación anónima
◼ Proxychains: programa en Linux para navegar
por una lista de proxies anónimos encadenados
(/etc/proxychain.conf)
◼ Ejemplo de uso:
• proxychain telnet targethost.com
• proxychain nmap -sT -P0 -P 80
• proxychain lynx www.google.com
Navegación anónima_ la red Tor
◼ Tor(www.torproject.org)
◼ Tor software: Tor+Privoxy+Vidalia
• Tor:
http://www.torproject.org/docs/debian.html.en
• + Privoxy (127.0.0.1:8118)
• + Vidalia (GUI)
◼ Puedes ejecutarlo como cliente o formar parte
de la red TOR como proxy.
Navegación anónima
◼ Vidalia Ver la red→
◼ Instalar el add-on de Firefox Tor button:
permite habilitar o no la navegación por la red
Tor cuando se usa Firefox.
◼ Probarlo e ir a www.whatismyip.com
Navegación anónima
◼ JAP Anonimity
◼ Bajarlo e instalarlo
• Anonimity on: ir a adsl4ever o a showip.com
y ver mi IP pública
• Anonimity off: lo mismo.
◼ Ojo: poner en el firefox la configuración del
proxy a localhost: 4001
Navegación anónima
◼ Add-ons del firefox:
◼ Switchproxy
◼ Foxyproxy
◼ TOR button – configura automáticamente el
proxy en el firefox (activándolo y
desactivándolo)

Más contenido relacionado

PDF
ShellCon 2018: Hacking con Python
PDF
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
PPTX
Introducción al pentesting free security
PDF
8dot8 SUR 2020: Introducción práctica al RedTeam
PPT
Herramientas de Pen Testing de redes y aplicaciones web
PDF
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
PPTX
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
PDF
Concientización de Riesgos de Ciberseguridad En Wordpress.
ShellCon 2018: Hacking con Python
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Introducción al pentesting free security
8dot8 SUR 2020: Introducción práctica al RedTeam
Herramientas de Pen Testing de redes y aplicaciones web
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Concientización de Riesgos de Ciberseguridad En Wordpress.

La actualidad más candente (12)

PDF
Tu DevOp me da trabajo: Soy auditor de seguridad
PDF
Cómo diagnosticar problemas de rendimiento en entornos LAMP
PDF
Hackingcon Google
PPTX
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
PPTX
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
PPTX
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
PPTX
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
PDF
Seguridad en WordPress, fundamentos y mejores prácticas
PDF
Presentacion dragon jartv-final
PDF
Introducción al hacking
PPTX
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Tu DevOp me da trabajo: Soy auditor de seguridad
Cómo diagnosticar problemas de rendimiento en entornos LAMP
Hackingcon Google
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Seguridad en WordPress, fundamentos y mejores prácticas
Presentacion dragon jartv-final
Introducción al hacking
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Publicidad

Destacado (11)

PPTX
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
PDF
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
PDF
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
PDF
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
PDF
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
PDF
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
PDF
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
PDF
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
PDF
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
PDF
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
PDF
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...
Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]
Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]
Publicidad

Similar a Modulo 5 (20)

PDF
Ejercicios 1
PDF
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
PDF
De presa a cazador Campus Party 2011
PDF
De presa a cazador
PDF
Zen y el arte de pescar APT
PPTX
Software de sistema
PDF
What works on client side pentesting
PDF
Leonardo pigner sy_r_campusparty2010
PDF
Apatrullando la ciudad...red
PPTX
Tecnicas avanzadas de penetracion a sistemas con ids
DOCX
Laura y Marcos | VIRUS
PPTX
Software de sistema
PPTX
Contenido 2 tema 2 (mantenimiento)
PDF
Un caso de Forense: Delito de pederastia en Windows
PPT
SEGURIDAD INFORMÁTICA
PDF
100 aplicaciones web gratuitas para el aula
PPTX
Seguridad informática
PDF
Herramientas para ser un Hacker
PPSX
Seguridad informática
PPSX
Seguridad informatica
Ejercicios 1
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
De presa a cazador Campus Party 2011
De presa a cazador
Zen y el arte de pescar APT
Software de sistema
What works on client side pentesting
Leonardo pigner sy_r_campusparty2010
Apatrullando la ciudad...red
Tecnicas avanzadas de penetracion a sistemas con ids
Laura y Marcos | VIRUS
Software de sistema
Contenido 2 tema 2 (mantenimiento)
Un caso de Forense: Delito de pederastia en Windows
SEGURIDAD INFORMÁTICA
100 aplicaciones web gratuitas para el aula
Seguridad informática
Herramientas para ser un Hacker
Seguridad informática
Seguridad informatica

Modulo 5

  • 2. Objetivos ◼ Acciones que realiza un atacante para ocultar sus huellas ◼ Ocultar ficheros: ADS streams ◼ Navegación anónima: Proxies anónimos
  • 3. Ocultar huellas ◼ El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier acción. ◼ Análisis forense.
  • 4. Deshabilitar las auditorías  Lo primero que hace un intruso al acceder a un sistema una vez ha conseguido privilegios de administrador es deshabilitar las auditorías.  El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden.  Al finalizar su acceso, el atacente volverá a habilitar las auditorías
  • 5. Borrar el Visor de Sucesos  Un intruso también borrará las alertas que muestra el visor de sucesos.  Ojo, porque este proceso borrará todos los registros del visor de sucesos pero dejará un registro de que el log de sucesos ha sido borrado.'
  • 6. Herramientas  Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una máquina remota siempre y cuando se disponga de los privilegios necesarios.
  • 7. Evidence Eliminator  Existen otras herramientas más potentes que permiten eliminar cualquier evidencia.  Una de estas herramientas es Evidence Eliminator  Borra la papelera, ficheros temporales, cookies, caché del navegador, historial, directorios temporales, etc.
  • 8. Ocultar ficheros ◼ Existen dos formas de oculatar ficehros en Windows XP/2000. • 1. Atributo oculto – fácil de descubrir, ¿no? – usar attrib +h [file/directory] • 2. NTFS Alternate Data Streaming (ADS) – Los ficheros en particiones NTFS (Windows NT, 2000 y XP) tienen una característica llamada Alternate Data Streams – permite enlazar un fichero oculto a un fichero normal visible. ◼ Los streams no están limitados en tamaño y puede haber más de un stream enlazado a un fichero normal.
  • 9. NTFS Alternate Data Streaming ◼ Los introduce Microsoft en particiones NTFS para: –Compatibilidad con el sistema de ficheros HFS de Apple. –Anexar información a un fichero (autor, descripción, etc. )en forma de metadatos. –Identificar si un fichero descargado de internet es peligroso o no.
  • 10. ADS (Alternate Data Streams) ◼ Primero se crea un fichero de texto: fichero.txt ◼ Escribir algo en él. ◼ Hacemos un dir y vemos el tamaño. ◼ Anexo un fichero diferente que he creado previamente: privado.txt ◼ Escribir en el cmd • type privado.txt > fichero.txt:oculto ◼ Hacer dir de nuevo: • ¿Aparece fichero.txt:hidden.txt? No. • ¿Cuánto ocupa fichero.txt? – lo mismo que antes. ◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos comprometidas?
  • 11. ADS (Alternate Data Streams) ◼ La pregunta del millón: ¿Cómo se detectan? ◼ Sólo se pueden detectar con una herramienta externa como LADS.exe • http://www.heysoft.de/en/software/lads.php ◼ ¿Cómo se eliminan? ◼ Copiándolo a una partición FAT y devolviéndolo a la partición NTFS. ◼ ¿Quién nos asegura que nuestro sistema no está plagado de ADSs que roban nuestros datos? ◼ ¿Quién nos asegura que no vienen de serie con nuestro Windows 7?
  • 12. Otras formas de ocultar ficheros ◼ Steganography – el proceso de ocultar ficheros en imágenes ◼ O en canciones ◼ O en películas ◼ O dentro de un mensaje electrónico, aprovechando un bug del Outlook, por ejemplo. ◼ O en el propio código de una página html: trojan downloaders. ◼ Tenéis que investigar cómo hacerlo.
  • 13. Steganography Detection ◼ Stegdetect es una herramienta para detectar contenido oculto en imágenes. ◼ http://www.outguess.org/detection.php
  • 14. Navegación anónima ◼ ¿Qué es un proxy? ◼ ¿Conoces alguno? ◼ ¿Qué es un proxy transparente? ◼ ¿Qué es un proxy anónimo?
  • 15. Navegación anónima ◼ www.Anonymouse.org ◼ Lista de proxies anónimos y no anónimos: • Multiproxy: www.multiproxy.org
  • 16. Navegación anónima ◼ Proxychains: programa en Linux para navegar por una lista de proxies anónimos encadenados (/etc/proxychain.conf) ◼ Ejemplo de uso: • proxychain telnet targethost.com • proxychain nmap -sT -P0 -P 80 • proxychain lynx www.google.com
  • 17. Navegación anónima_ la red Tor ◼ Tor(www.torproject.org) ◼ Tor software: Tor+Privoxy+Vidalia • Tor: http://www.torproject.org/docs/debian.html.en • + Privoxy (127.0.0.1:8118) • + Vidalia (GUI) ◼ Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.
  • 18. Navegación anónima ◼ Vidalia Ver la red→ ◼ Instalar el add-on de Firefox Tor button: permite habilitar o no la navegación por la red Tor cuando se usa Firefox. ◼ Probarlo e ir a www.whatismyip.com
  • 19. Navegación anónima ◼ JAP Anonimity ◼ Bajarlo e instalarlo • Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pública • Anonimity off: lo mismo. ◼ Ojo: poner en el firefox la configuración del proxy a localhost: 4001
  • 20. Navegación anónima ◼ Add-ons del firefox: ◼ Switchproxy ◼ Foxyproxy ◼ TOR button – configura automáticamente el proxy en el firefox (activándolo y desactivándolo)