Blogs

Verificar la Existencia de Rootkits utilizando Chkrootkit

  • Posted on: 16 June 2014
  • By: ReYDeS

Chrootkit es una herramienta para realizar la verificación local de señales generados por Rootkits. Un rookit es un tipo de software oculto, típicamente malicioso, diseñado para ocultar su existencia de ciertos procesos o programas de los método normales de detección, permitiendo mantener un acceso privilegiado en una computadora. Chkrootkit está constituido por los siguientes componentes.

Utilizar DNSChef para crear un DNS Falso

  • Posted on: 13 June 2014
  • By: ReYDeS

DNSChef es un proxy DNS altamente configurable para Pruebas de Penetración y Análisis de Malware. Un proxy DNS (un “DNS Falso”) es una herramienta utilizada para analizar el tráfico de red de aplicaciones entre otros usos. Por ejemplo, un proxy DNS puede ser utilizado para falsificar solicitudes para “dominio.com” y de esta manera apuntar a una máquina local provocando su terminación o interceptación, en lugar del host real ubicado en algún lugar de Internet.

Ataque de Negación de Servicio HTTP utilizando Slowloris

  • Posted on: 12 June 2014
  • By: ReYDeS

Este es una ataque de negación de servicios lenta contra un servicio particular, en lugar de inundar las redes, es un concepto emergente que podría permitir a una sola máquina hacer caer el servidor web de otra máquina con un mínimo uso de ancho de banda y con efectos sobre servicios y puertos no relacionados. La situación ideal para varios ataques de negación de servicio es cuando todos los servicios permanecen intactos pero el servidor web por si mismo es inaccesible completamente.

Utilizar las Reglas Personalizadas de KoreLogic en John The Ripper

  • Posted on: 11 June 2014
  • By: ReYDeS

KoreLogic utiliza una diversidad de reglas personalizadas para generar contraseñas. Este mismas reglas pueden ser utilizadas para “romper” contraseñas en entornos corporativos, las cuales fueron originalmente creadas debido a que el conjunto de reglas o “ruleset” de John The Ripper falla en romper contraseñas con patrones más complejos. John The Ripper es una herramienta para "Romper" contraseñas, el cual está disponible para diversas plataformas, cuyo propósito principal es detectar contraseñas débiles.

Utilizar Netcat para crear un Shell Directo y un Shell Reverso

  • Posted on: 10 June 2014
  • By: ReYDeS

Netcat es una utilidad de red, el cual permite leer y escribir datos a través de conexiones de red, utilizando el protocolo TCP/IP y UDP. Netcat es la herramienta ideal para crear shells directos y reversos durante una Prueba de Penetración, en la cual no es factible utilizar una herramienta como Meterpreter. De esta manera utilizando las funcionalidades que proporciona netcat será factible acceder en modo línea de comando al sistema objetivo.

Análisis Forense a la Memoria de Windows XP con Volatility Framework

  • Posted on: 3 June 2014
  • By: ReYDeS

El análisis de la memoria física de un sistema Windows puede proporcionar información significativa y valiosa sobre el sistema operativo. Es una práctica recomendada capturar una imagen de la memoria durante una respuesta de incidentes. El análisis posterior puede ser realizado de manera básica utilizando herramientas que permitan extraer “cadenas” desde la imagen forense, o utilizar herramientas o framework más evolucionados como “The Volatility Framework”.

The Volatility Framework

Extraer Información del Registro de Windows con Registry Viewer

  • Posted on: 2 June 2014
  • By: ReYDeS

AccessData Registry Viewer permite visualizar el contenido de los registros de sistemas Windows. A diferencia del editor de registro de Windows, el cual muestra solo el registro del sistema actual, Registry Viewer permite visualizar los archivos de registro de cualquier sistema. Registry Viewer también permite acceder al almacenamiento protegido del registro, el cual contiene contraseñas, nombres de usuario, y otra información no factible de acceder con el editor de registro de Windows.

Forense a UserAssist en Windows

  • Posted on: 27 May 2014
  • By: ReYDeS

UserAssist es una característica en Windows, la cual permite rastrear el uso de las aplicaciones, accesos directos, y otros ítemes por su frecuencia de uso y último momento de uso. Captura las acciones del usuario hasta que algo o alguien elimine las entradas del registro o deshabilite los registros. Las entradas de UserAssist están cifradas con ROT13, el cual es muy sencillo de descifrar. Esta entradas se almacenan en el archivo de registtro NTUSER.DAT de cada uno de los usuarios del sistema.

Determinar el Primer y Último Registro de Ingreso de un Usuario en Windows XP

  • Posted on: 23 May 2014
  • By: ReYDeS

Para determinar la primera vez que un usuario registro su ingreso o hizo “Login” en el sistema, se debe visualizar la fecha de creación del directorio del usuario. La ubicación de directorio del usuario es dependiente de la versión del Sistema Operativo Windows en análisis.

Para la siguiente práctica se utilizará la imagen forense obtenida desde el disco duro de un Sistema Windows XP.

Determinar la Última vez en el cual un Sistema Windows fue Apagado

  • Posted on: 22 May 2014
  • By: ReYDeS

El descubrir la última vez en la cual se apagó un Sistema Windows puede ser importante para una investigación forense, pues proporciona información sobre el último momento de uso de la máquina en investigación. Esto podría indicar que el sistema no está relacionado a un incidente, o que el sistema estuvo en uso durante un periodo de tiempo determinado.

Para la siguiente práctica se utilizará la imagen forense obtenida de un disco duro de un Sistema Windows XP.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/