Detectar Cambios en Kali Linux

  • Posted on: 14 September 2020
  • By: ReYDeS

Una vez se ha instalado y configurado el sistema, la mayoría de archivos deberían permanecer relativamente estáticos hasta el sistema sea actualizado. Por lo tanto es una buena idea vigilar cambios en los archivos del sistema, pues cualquier cambio inesperado podría ser causa de alarma y debería ser investigado. A continuación se presentan algunas de las herramientas más comunes utilizadas para vigilar los archivos del sistema, detectar cambios, y opcionalmente notificar al administrador del sistema.

Auditar Paquetes con dpkg --verify

dpkg --verify (o dpkg -V) es una interesante herramienta, pues muestra los archivos del sistema los cuales han sido modificados (potencialmente por un atacante), pero el resultado debe ser tomado con criterio. Para hacer su trabajo “dpkg” se basa en las sumas de verificación almacenadas en su propia base de datos, el cual es almacenado en el disco duro (encontrado en /var/lib/dpkg/info/package.md5sums). Por lo tanto un atacante minucioso modificará estos archivos de tal manera contengan nuevas sumas de verificación para los archivos subvertidos, o un atacante avanzado podría comprometer el paquete en el repositorio espejo de Debian. Para protegerse contra esta clase de ataque, se debe utilizar el sistema para la verificación de firmas digitales de APT, para adecuadamente verificar los paquetes.

Ejecutar “dpkg -V” verificará todos los paquetes instalados e imprimirá una línea por cada archivo el cual falle la verificación. Cada carácter denota una prueba sobre algún metadato específico. Desafortunadamente dpkg no almacena los metadatos necesarios para la mayoría de pruebas, y por lo tanto generará signos de interrogante para estos. Actualmente solo la prueba para la suma de verificación puede dar un 5 en un tercer carácter (cuando falla).

Vigilar Archivos: AIDE

La herramienta AIDE (Advanced Intrusion Detection Environment) verifica la integridad de los archivos, y detecta cualquier cambio contra una imagen previamente registrada de un sistema válido. La imagen es almacenada como una base de datos (/var/lib/aide/aide.db), conteniendo la información relevante sobre todos los archivos del sistema (huellas, permisos, marcas de tiempo, etc.).

Se puede instalar AIDE ejecutando “apt-get update”, seguido de ”apt install aide”. La primera acción es iniciar la base de datos con “aide-init”; luego se ejecutará diariamente (mediante el script /etc/cron.daily/aide) para verificar no haya cambiado nada relevante. Cuando se detectan cambios, AIDE los registra en archivos log (/var/log/aide/*.log), y envía los hallazgos hacia el administrador mediante correo electrónico.

Se puede usar las opciones en “/etc/default/aide” para modificar el comportamiento del paquete AIDE. La configuración apropiada de AIDE es almacenada en “/etc/aide/aide.conf” y “/etc/aide/aide.conf.d/” (actualmente estos archivos son únicamente utilizados por “update-aide.conf” para generar “/var/lib/aide/aide.conf.autogenerated”). La configuración indica cuales propiedades de los archivos necesitan ser verificados. Por ejemplo, el contenido de los archivos log cambia rutinariamente, y tales cambios pueden ser ignorados siempre y cuando los permisos de estos archivos sigan igual, pero tanto el contenido y los permisos de los programas ejecutables deben ser constantes. Aunque no es muy complejo, la sintaxis de configuración no es completamente intuitiva y se recomienda leer la página de manual (5) de aide.conf para mayores detalles.

Tripwire es muy similar a AIDE; incluso la sintaxis del archivo de configuración es casi la misma. La principal adición proporcionada por tripwire es un mecanismo para firmar el archivo de configuración, de tal manera un atacante no puede hacer apunte hacia una versión diferente de la base de datos.

Samhain también ofrece funcionalidades similares, como también otras funciones para ayudar a detectar rootkits. También puede ser desplegado de manera global en una red, y registra sus rastros en un servidor central (con una firma).

Fuentes:

https://aide.github.io/
https://sourceforge.net/projects/tripwire/
https://www.la-samhna.de/samhain/index.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1