2. Objetivos
◼ Acciones que realiza un atacante para ocultar sus
huellas
◼ Ocultar ficheros: ADS streams
◼ Navegación anónima: Proxies anónimos
3. Ocultar huellas
◼ El objetivo de esta fase es
ocultar las huellas que se
suelen dejar al realizar
cualquier acción.
◼ Análisis forense.
4. Deshabilitar las auditorías
Lo primero que hace un
intruso al acceder a un
sistema una vez ha
conseguido privilegios de
administrador es
deshabilitar las
auditorías.
El programa
auditpol.exe o la orden
gpedit puede hacer esto
mediante una orden.
Al finalizar su acceso, el
atacente volverá a
habilitar las auditorías
5. Borrar el Visor de Sucesos
Un intruso también
borrará las alertas que
muestra el visor de
sucesos.
Ojo, porque este proceso
borrará todos los
registros del visor de
sucesos pero dejará un
registro de que el log de
sucesos ha sido borrado.'
6. Herramientas
Hay herramientas como elsave o winzaper que permiten
borrar el registro de sucesos de una máquina remota
siempre y cuando se disponga de los privilegios
necesarios.
7. Evidence Eliminator
Existen otras
herramientas más
potentes que permiten
eliminar cualquier
evidencia.
Una de estas
herramientas es
Evidence Eliminator
Borra la papelera,
ficheros temporales,
cookies, caché del
navegador, historial,
directorios temporales,
etc.
8. Ocultar ficheros
◼ Existen dos formas de oculatar ficehros en Windows
XP/2000.
• 1. Atributo oculto – fácil de descubrir, ¿no?
– usar attrib +h [file/directory]
• 2. NTFS Alternate Data Streaming (ADS)
– Los ficheros en particiones NTFS (Windows NT, 2000 y
XP) tienen una característica llamada Alternate Data
Streams – permite enlazar un fichero oculto a un fichero
normal visible.
◼ Los streams no están limitados en tamaño y puede
haber más de un stream enlazado a un fichero normal.
9. NTFS Alternate Data Streaming
◼ Los introduce Microsoft en particiones NTFS
para:
–Compatibilidad con el sistema de ficheros HFS de
Apple.
–Anexar información a un fichero (autor,
descripción, etc. )en forma de metadatos.
–Identificar si un fichero descargado de internet es
peligroso o no.
10. ADS (Alternate Data Streams)
◼ Primero se crea un fichero de texto: fichero.txt
◼ Escribir algo en él.
◼ Hacemos un dir y vemos el tamaño.
◼ Anexo un fichero diferente que he creado previamente:
privado.txt
◼ Escribir en el cmd
• type privado.txt > fichero.txt:oculto
◼ Hacer dir de nuevo:
• ¿Aparece fichero.txt:hidden.txt? No.
• ¿Cuánto ocupa fichero.txt? – lo mismo que antes.
◼ ¿Y un virus? ¿Y una película? ¿Y unas fotos
comprometidas?
11. ADS (Alternate Data Streams)
◼ La pregunta del millón: ¿Cómo se detectan?
◼ Sólo se pueden detectar con una herramienta
externa como LADS.exe
• http://www.heysoft.de/en/software/lads.php
◼ ¿Cómo se eliminan?
◼ Copiándolo a una partición FAT y devolviéndolo
a la partición NTFS.
◼ ¿Quién nos asegura que nuestro sistema no está
plagado de ADSs que roban nuestros datos?
◼ ¿Quién nos asegura que no vienen de serie con
nuestro Windows 7?
12. Otras formas de ocultar ficheros
◼ Steganography – el proceso de ocultar ficheros
en imágenes
◼ O en canciones
◼ O en películas
◼ O dentro de un mensaje electrónico,
aprovechando un bug del Outlook, por ejemplo.
◼ O en el propio código de una página html: trojan
downloaders.
◼ Tenéis que investigar cómo hacerlo.
16. Navegación anónima
◼ Proxychains: programa en Linux para navegar
por una lista de proxies anónimos encadenados
(/etc/proxychain.conf)
◼ Ejemplo de uso:
• proxychain telnet targethost.com
• proxychain nmap -sT -P0 -P 80
• proxychain lynx www.google.com
17. Navegación anónima_ la red Tor
◼ Tor(www.torproject.org)
◼ Tor software: Tor+Privoxy+Vidalia
• Tor:
http://www.torproject.org/docs/debian.html.en
• + Privoxy (127.0.0.1:8118)
• + Vidalia (GUI)
◼ Puedes ejecutarlo como cliente o formar parte
de la red TOR como proxy.
18. Navegación anónima
◼ Vidalia Ver la red→
◼ Instalar el add-on de Firefox Tor button:
permite habilitar o no la navegación por la red
Tor cuando se usa Firefox.
◼ Probarlo e ir a www.whatismyip.com
19. Navegación anónima
◼ JAP Anonimity
◼ Bajarlo e instalarlo
• Anonimity on: ir a adsl4ever o a showip.com
y ver mi IP pública
• Anonimity off: lo mismo.
◼ Ojo: poner en el firefox la configuración del
proxy a localhost: 4001
20. Navegación anónima
◼ Add-ons del firefox:
◼ Switchproxy
◼ Foxyproxy
◼ TOR button – configura automáticamente el
proxy en el firefox (activándolo y
desactivándolo)