Archivos de la categoría ‘15.Info. Forense’

Ya nos puedes seguir TWITTER y asi podras mantenerte informado y actualizado sobre todo lo que a informatica y seguridad se refiere.

Hemos encontrado una herramienta para el analisis forense fabricada por Microsoft denominada Microsoft Cofee (Computer Online Forensic Evidence Extractor), la suite forense que Microsoft le regala a las entidades policiales desde Junio del año 2008, o sea que la “unica” forma legal de tenerla es ser un policia.

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuida en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez con la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.

Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.

Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

fuente: dragonjar.org


Cuando se realiza una auditoria, siempre es recomendable seguir una serie de pasos para no pasar por alto ningún detalle que pueda resultar crucial para nuestra investigación; a continuación un  pequeño listado de las cosas que debemos estar pendientes cuando auditamos una base de datos oracle.

1). Determinar si en la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

  • Se puede determinar realizando una sentencia SQL a la BD:  * SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;

2). Análisis de los Oracle Data Blocks, para determinar:

  • Registros eliminados
  • Localizar bloques asignados a tablas (OBJETOS DE INTERÉS)
  • Seguimiento de Objetos creados y eliminados
  • Localización de tablas eliminadas
  • Localización de Funciones eliminadas

3). Obtención del SID de la BD

4). Enumeración de usuarios

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;

5). Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario

  • SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
  • SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;

6). Consulta de Ataques de Fuerza Bruta a la cuenta SYS

7). Consulta de intentos del exploit AUTH_ALTER_SESSION

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;

8). Consulta de intentos de iniciar una sesiÛn la base de datos a travÈs de XML (XDB)

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID = ‘DBSNMP’;
  • SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE USERID=’DBSNMP’;

9). Consulta si la Auditoria esta habilitada

  • SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;

10). Consulta del archivo sqlnet.log,Agntsrvc.log, spfilesid.ora, o el init.ora todas las ubicaciones referentes a estos parámetros:

  • audit_file_dest ——-> Sistema de Auditoria (ORACLE_HOME/rdbms/audit)
  • background_dump_dest ——-> archivo alert.log y tracer de procesos ($ORACLE_HOME/admin/$ORACLE_SID/bdump)
  • core_dump_dest ——-> archivos Oracle core dump ($ORACLE_HOME/DBS/)
  • db_recovery_file_dest ——-> redo logs, flashback logs, y RMAN backups
  • user_dump_dest ——-> Archivos trace debuggin procesos/usuarios (/oracle/utrc)
  • utl_file_dir ——-> Especifica uno o m·s directorios que Oracle debe utilizar para PL/SQL archivos E/S.
  • control_files ——-> Especifica uno o varios nombres de archivos de control de Oracle
  • db_create_file_dest ——-> Especifica la ubicación predeterminada de archivos de datos administrados por Oracle.
  • db_create_online_log_dest_n—-> Especifica la ubicación de los redo logs y file control
  • log_archive_dest ——-> Es aplicable solo si la BD esta en modo de ARCHIVELOG
  • log_archive_dest_n ——-> Define hasta 10 archivos de registros logs.

11). Consulta de archivos Log Listener (ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la ubicación actual)

12). Revisión de los LOGS de sentencias(SQL $ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE_HOME/SQLPlus/admin/glogin.sql)

13). Consultando informacion de los inicios de Sesion:

  • SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY

14). Consultar una lista de usuarios y roles, usuarios con función de DBA, para buscar inconsistencias,o usuarios creados por un atacante y la generación de contraseñas fuertes con la validación de los hash, cuentas bloqueadas, tiempos de password

  • SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME, LTIME FROM SYS.USER$ WHERE TYPE#=1;
  • SELECT U.NAME AS “GRANTEE”, U2.NAME AS “ROLE” FROM SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# = A.GRANTEE# AND PRIVILEGE# = U2.USER#;

15). Consultar una lista de objetos y privilegios en el sistema

  • SELECT U.NAME AS “GRANTEE”, P.NAME AS “PRIVILEGE”, U2.NAME AS “OWNER”, O.NAME AS “OBJECT” FROM SYS.USER$ U, SYS.USER$ U2,SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A WHERE U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND P.PRIVILEGE = A.PRIVILEGE# AND O.OWNER#=U2.USER#;
  • SQL> SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME FROM SYS.OBJ$ ORDER BY CTIME ASC;

16). Consulta de tablas eliminadas

  • SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME, R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE R.OWNER#=U.USER#;

17). Consulta de Directorios, archivos datos, archivos externos, tablas externas, buscando elementos perdidos o ubicados en sitios diferentes por el atacante.

  • SELECT T.NAME AS “TABLESPACE”, D.NAME AS “FILNAME” FROM V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “DIRECTORY”, D.OS_PATH AS “PATH” FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;
  • SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O, SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;

18). El Monitor del Sistema (SMON) MON_MOD$ Table

  • SELECT U.NAME AS “OWNER”, O.NAME AS “OBJECT”, M.OBJ#, M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE O.OBJ#=M.OBJ# AND U.USER#=O.OWNER#;

19). Revision de Triggers al encendido, apagado, inicio y terminacion de sesion

  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME”,DECODE(T.TYPE#, 0, ‘BEFORE’,2, ‘AFTER’,’NOTSET’) AS “WHEN” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,2) = 2;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,8) = 8;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,16) = 16;

20). Consulta de librerias, que puedan estar ejecutando codigo arbitrario(malicioso)

  • SELECT U.NAME AS “OWNER”, O.NAME AS “LIBRARY”, L.FILESPEC AS “PATH” FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O WHERE O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;

21). Consultas de FlashBack (nuevos privilegios, derechos asignados, nuevos objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo determinado.

  • SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘3600′ MINUTE);
  • SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘156′ MINUTE);
  • SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘156′ MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;

22). Consulta de las tablas RECYLEBIN$ y OBJ$

  • SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$ WHERE NAME LIKE ‘BIN$%’;

23). Consultas la Administracion automatica Deshacer ( UNDOTBS01.DBF)

  • SELECT SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS FROM DBA_SEGMENTS WHERE SEGMENT_NAME LIKE ‘_SYSSMU%$’;

24). Consulta de los logs del Apache (Oracle Application Server)

25). si falta algo o se crees que se deba corregir algo, escribenos.

fuente: dragonjar.org

oracle y lupa

SpyKing es un software que permite vigilar tu ordenador, registrando de forma secreta las pulsaciones de teclado, conversaciones de chat y mensajería instantánea, páginas visitadas, correos leídos, contraseñas tecleadas, documentos abiertos y programas ejecutados. También puede tomar capturas de pantalla como si de una cámara de vigilancia se tratase.

Se puede ejecutar en modo oculto sin ser visible para los usuarios de la máquina. Además, dispone de un panel de control desde el que se puede monitorizar la actividad de la máquina y recibir toda esta información en nuestro correo personal o vía ftp. Puede ser usado por padres que quieran controlar las actividades de sus hijos en la red, monitorizar empleados, e incluso investigar crímenes.

En SANS Computers Forensics han publicado un análisis bastante completo sobre esta herramienta.

En él, comentan que a pesar de todo el bombo que se le ha dado, el programa deja una gran huella en el sistema para ser un programa de spyware. El tráfico no está cifrado por lo que es fácil configurar filtros para monitorizarlo.

Lo peor de todo (o mejor, según ser mire), es que el software es fácil de encontrar en el registro y también es posible tracear su existencia analizando el disco duro.

fuente: securitybydefault.com

niño lupa


Internet se ha convertido en el canal perfecto para que los delincuentes accedan a un gran número de sistemas informáticos y obtengan datos financieros y otro tipo de información confidencial. La creación de malware se ha convertido en un negocio, siguiendo pautas que se asemejan a las de cualquier modelo corporativo. Los cibercriminales están cada vez más organizados, y no dejan de buscar fórmulas para mejorar la efectividad de sus amenazas electrónicas, adaptándose a las nuevas tendencias y estilos de vida online del usuario.

BitDefender ha publicado los resultados de su informe sobre malware y spam durante el primer semestre del 2009, en el que destaca un importante aumento de los intentos de phishing a través de la web 2.0 y la imitación de plantillas HTML. Entre enero y junio de 2009, 330.000 personas en todo el mundo han sido víctimas de estafas de phishing. En cuanto al malware, los troyanos han sido las amenazas más activas, y el conocido gusano Downadup ha causado el mayor daño: 11 millones de ordenadores infectados.

El malware en forma de troyano ha tenido una tendencia ascendente durante el primer semestre del año, representando el 83 % del malware mundial. Mientras que los troyanos han sido las amenazas más activas en los últimos seis meses, el gusano Downadup (también conocido como Conficker), causó el mayor daño, infectando alrededor de 11 millones de equipos en todo el mundo, un número récord jamás alcanzado anteriormente. Orientado a sistemas no actualizados con vulnerabilidades MS08-067, el gusano puede enviarse a cualquier equipo en espera a tener acceso a archivos compartidos. Aunque Microsoft publicó un parche para la vulnerabilidad, la infección todavía está en activo, comprometiendo a cientos de sistemas a diario.

Durante los seis primeros meses del año, los países más activos en términos de propagación de malware fueron China, Francia y los Estados Unidos, seguidos por Rumania, España y Australia.

Malware más difundido desde enero a junio de 2009

Posición  Malware  %

1 Trojan.Autorun.Inf 31
2 Win32.Worm.Downadup 13
3 Trojan.Wimad 13
4 Trojan.SkimTrim.HTML.A 11
5 Trojant.Agent.AKXM 10
6 Trojan.Autorun.AET 7
7 Worm.Autorun.WHG 5

DESCARGAR INFORME COMPLETO

fuente: laflecha.net

malware1

NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine).  El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como  sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.

Para la identificación del sistema operativo se basa en paquetes TCP SYN y SYN+ACK haciendo uso de la base de datos de p0f y Ettercap. También puede realizar fingerprinting del S.O por medio de paquetes DHCP (generalmente paquetes broadcast) apóyandose en la base de datos de Satori.

NetworkMiner posee también la capacidad de esnifar tráfico WiFi (IEEE 802.11) haciendo uso del adaptador AirPcap. De momento solo soporta el tráfico WiFi por medio de este driver.

Otras características:

  • Permite importar archivos PCAP para análisis off-line y regenerar/reensamblar/reconstruir archivos transmitidos, estructuras de directorios, y certificados.
  • Es útil para el análisis de tráfico de malware.
  • Los usuarios y contraseñas (de los protocolos soportados) son extraidos por NetworkMiner y mostrados en la pestaña ‘Credentials’.
  • Proporciona al usuario la posibilidad de hacer búsquedas en los datos esnifados.

DESCARGAR NETWORKMINER

fuente: dragonjar.org

NetworkMiner_logo

¿Te sientes poco motivado en tu trabajo?. ¿No encuentras opciones de futuro como técnico o experto de seguridad?

La División de Inteligencia y Sistemas de la Información de los Estados Unidos oferta 250 puestos para contratar a cyber warriors que ayuden a combatir, de forma ofensiva como defensiva, en la ciberguerra digital que se avecina.

Se buscan perfiles con habilidades en ingeniería inversa, desarrollores de kernel, expertos en detección de intrusos, vulnerabilidades, sistemas de la información, seguridad en redes, web, análisis forense…

Si tienes aptitudes de cyber ninja o cyber warrior, nacionalidad americana y estás dispuesto a pasar una prueba de polígrafo exhaustiva, ésto es lo que buscas.

Las guerras que se aproximan, nada tendrán que ver con las de los últimos 100 años, donde el más fuerte era el que mejor estrategia y más armas tenía. Los soldados y capitanes quedarán atrás y se abrirá una nueva era de figuras como Neo, Morfeo o Trinity.

¿Te vas a quedar ahí sentado viviendo la realidad que Matrix te ha asignado? Escojas el bando que escojas … elige la pastilla roja.

REFERENCIA

http://www.wired.com/threatlevel/2009/07/raytheon/

fuente: securitybydefault.com

tio_sam05-06-07