blog

Un nombre de domino es una cadena de identificación, el cual define un ámbito de autonomía administrativa, autoridad, o control dentro de Internet.

En la jerarquía del Sistema para Nombres de Dominio (DNS), un subdominio es un dominio el cual es parte de otro dominio (principal). Por ejemplo, si un dominio de un sitio web es ejemplo. com, podría utilizar un subdominio tienda.ejemplo .com.

Assetfinder encuentra dominios y subdominios potencialmente relacionados con un dominio definido.

Assetfinder no es está instalada por defecto en Kali Linux, razón por la cual se procede a buscarla e instalarla.

$ sudo apt search assetfinder
$ sudo apt install assetfinder

La herramienta únicamente tiene una opción, la cual se visualiza con la opción “-h”

Se ejecuta la herramienta assetfinder definiendo únicamente el dominio del cual se requiere obtener otros dominios o subdominios.

$ assetfinder -h
$ assetfinder dominio.gob .pe

$ assetfinder -subs-only dominio.gob .pe

La opción “-subs-only” únicamente incluye los subdominios de un dominio buscado.

Fuentes:

https://en.wikipedia.org/wiki/Subdomain
https://en.wikipedia.org/wiki/Domain_name
https://github.com/tomnomnom/assetfinder

arp-scan es una herramienta en línea de comando para el descubrimiento y reconocimiento de sistemas. Construye y envía peticiones ARP hacia direcciones IP específicas, además muestra las respuestas recibidas. Arp-scan permite:

• Envía paquetes ARP hacia cualquier números de host destino, utilizando un ancho de banda de salida factible de ser configurado, o una tasa de paquetes. Esto es útil para el descubrimiento del sistema, donde se puede necesitar escanear grandes espacios de direcciones IP.
• Construye el paquete de salida ARP de una manera flexible. Arp-scan proporciona control de todos los campos en el paquete ARP, además de los campos en la cabecera de la trama Ethernet.
• Decodifica y muestra cualquier paquete devuelto. ARP-scan decodificará y mostrará cualquier paquete ARP, además buscará el proveedor utilizando la dirección MAC.
• Obtiene las huellas de un host IP utilizando la herramienta de nombre “arp-fingerprint”

Al ejecutarlo con la opción “--help”, se muestra la información detallada sobre sus opciones disponibles.

Arp-scan puede ser utilizado para descubrir hosts IP sobre una red local. Puede descubrir todos los hosts, incluyendo aquellos los cuales bloquean todo el tráfico IP tales como firewalls y sistemas con filtros de ingreso.

Arp-scan funciona sobre redes Ethernet y redes inalámbricas 802.11. También puede funcionar con token ring y FDDI, pero no se han probado. No soporta enlaces seriales como PPP, SLIP, porque ARP no está soportado en estos.

Se necesitará ser root, o arp-scan debe tener el SUID root para poder ser ejecutado, porque las funciones utilizadas para leer y escribir paquetes Ethernet requieren privilegios de root.

$ sudo arp-scan –interface=eth0 192.168.0.0/24

La opción “--interface” define la interfaz de red. Si la opción no es especificada, arp-scan buscará el listado de interfaces del sistema por el número más bajo, configurará la interfaz (excluyendo loopback). La interfaz soportada debe soportar ARP.

Finalizada la ejecución de las herramienta, se presente las direcciones IP, las direcciones MAC y los proveedores correspondientes a los host descubiertos.

Adicionalmente se muestra un resumen de los paquetes enviados, los paquetes descartados por el kernel, el número de hosts escaneados, y el número de segundos invertidos durante el escaneo.

Fuentes:

https://github.com/royhills/arp-scan
http://www.royhills.co.uk/wiki/index.php/Arp-scan_User_Guide

El proyecto Amass de OWASP realiza un mapeo de la red sobre la superficie de ataque, y descubrimiento de activos externos utilizando captura de información desde fuentes abiertas, además de técnicas para el reconocimiento activo.

Las técnicas utilizadas para la captura de información son: DNS; fuerza bruta, barridos reversos DNS, caminada de zona NSEC, transferencias de zona, alteraciones/permutaciones FQDN, adivinaciones FQDN basada en similitud. Scraping; AbuseIPDB, Ask, AskDNS, Baidu, Bing, DNSDumpster, DuckDuckGo, Gists, HackerOne, HyperStat, IPv4Info, PKey, RapidDNS, Riddler, Searchcode, Searx, SiteDossier, SpyOnWeb y Yahoo. Certificados; Active pulls (opcional), Censys, CertSpotter, Crtsh, Digitorus, FacebookCT y GoogleCT. APIs; 360PassiveDNS, ARIN, Ahrefs, AlienVault, AnubisDB, BinaryEdge, BGPView, BufferOver, BuiltWith, C99, Chaos, CIRCL, Cloudflare, CommonCrawl, DNSDB, DNSlytics, DNSRepo, Detectify, FOFA, FullHunt, GitHub, GitLab, Greynoise, HackerTarget, Hunter, IntelX, IPdata, IPinfo, LeakIX, Maltiverse, Mnemonic, N45HT, NetworksDB, ONYPHE, PassiveTotal, PentestTools, Quake, RADb, Robtex, SecurityTrails, ShadowServer, Shodan, SonarSearch, Spamhaus, Spyse, Sublist3rAPI, TeamCymru, ThreatBook, ThreatCrowd, ThreatMiner, Twitter, Umbrella, URLScan, VirusTotal, WhoisXMLAPI, ZETAlytics y ZoomEye. Archivos Web; ArchiveIt, Arquivo, HAW, UKWebArchive y Wayback.

Todos los subcomandos y sus opciones son mostradas utilizando la opción “-h” y “-help”.

$ amass -h

Se ejecuta amass para la enumeración de subdominios.

$ amass enum -d dominio. com

El subcomando “enum” realizará una enumeración de DNS y el mapeo de la red mientras se puebla la bases de datos gráfica seleccionada. Todos los ajustes disponibles en el archivo de configuración son relevantes para este subcomando.

La opción “-d” define los nombres de dominio separados por comas (puede ser utilizado múltiples veces).

$ amass enum -v -src -ip -brute -min-for-recursive 2 -d dominio. com

La opción “-v” define una mayor verbosidad.

La opción “-src” imprime los datos origen para los nombres descubiertos.

La opción “-ip” muestra las direcciones IP para los nombres descubiertos.

La opción “-brute” realiza la enumeración para los subdominios utilizando fuerza bruta.

La opción “-min-for-recursive” etiqueta subdominios vistos antes de la fuerza bruta recursiva. Por defecto el valor es de 1.

Finalizada la ejecución de la herramienta amass se obtiene un listado de subdominios, direcciones IPv4, direcciones IPv6, e información ASN. También una contabilización de nombres descubiertos, cuantos fueron descubiertos por alteraciones, DNS, scrape, certificados, de archivo, y por fuerza bruta.

Fuente:

https://github.com/OWASP/Amass
https://github.com/OWASP/Amass/blob/master/doc/user_guide.md

Altdns es una herramienta para reconocimiento a nivel de DNS, el cual permite descubrir subdominios conformando patrones. Altdns toma palabras las cuales podrían estar presentes en subdominios bajo un dominio (como test, dev, staging), así también toma una lista de subdominios los cuales ya se conocen.

Desde estas dos listas proporcionadas como entradas para altdns, la herramienta luego genera una salida masiva de potenciales subdominios “alterados” o “mutados”, los cuales podrían existir. La herramienta guarda la salida para sea utilizada luego con alguna otra herramienta para realizar fuerza bruta contra DNS.

Dado el hecho altdns no está instalado por defecto en Kali Linux, se procede a buscarlo e instalarlo.

$ sudo apt search altdns
$ sudo apt install altdns

Para mostrar un resumen de las opciones de altdns se utiliza la opción “-h”

$ sudo altdns -h

Se ejecuta altdns para descubrir subdominios a través de alteraciones y permutaciones.

$ sudo altdns -i /tmp/ subdominios.txt -o /tmp/ datos_afp -w /usr/share/dnsesnum/dns.txt -r -s resultados_afp

La opción “-i” define la lista de subdominios conocidos.

La opción “-o” define la ubicación para la salida de los subdominios alterados.

La opción “-w” define la lista de palabras conteniendo los subdominios a alterar. Para el presente ejemplo se utiliza la lista de palabras incluida con la herramienta “dnsenum”.

La opción “-s” define un archivo donde guardar los subdominios alterados resueltos.

De manera alterna se puede definir la opción “-r” hacia altdns, de tal manera una vez generada esta salida, la herramienta pueda resolver estos subdominios (multi tarea), y guardar los resultados hacia un archivo.

Altdns trabaja mejor con grandes conjuntos de datos. Tener un conjunto de datos inicial de 200 o más subdominios debería producir algunos subdominios válidos a través de las alteraciones generadas.

Se visualiza el archivo de nombre “/tmp/datos_afp”, el cual contiene los subdominios alterados.

$ column /tmp/datos_afp

Para el dominio utilizado en el presente ejemplo, el archivo de nombre “/tmp/resultados_afp” contiene dos subdominios alterados resueltos exitosamente.

Fuentes:

https://github.com/infosec-au/altdns

0trace es un guion en bash shell escrito por Michal Zalewski. Es una herramientas para el reconocimiento y evasión de firewalls, el cual permite enumerar los saltos (“trazar la ruta”) dentro de una conexión TCP establecida, como una sesión HTTP o SMTP. Esto es lo opuesto a enviar paquete perdidos, como la herramienta del tipo traceroute usualmente lo hace. En caso de un escaneo exitoso, 0trace proporciona servidores adicionales útiles para el profesional en pruebas de penetración y hacking ético.

Dado el hecho 0trace no está instalado por defecto en Kali Linux se procede a buscarlo e instalarlo.

$ sudo apt search 0trace
$ sudo apt install 0trace

Al ejecutar 0trace se muestra sus opciones de uso.

$ sudo 0trace.sh

Se ejecuta 0trace para realizar una traza de ruta hacia una dirección IP y puerto TCP especificado. Adicionalmente se define la interfaz de red utilizada, para este ejemplo es “eth0”.

$ sudo 0trace.sh eth0 200. x. y. 168 443

Se puede establecer cualquier tipo de conexión TCP hacia la dirección IP y puerto definido. En esta demostración se utiliza un navegador web como firefox.

El trazado de la ruta se realiza exitosamente, y se muestran las direcciones IP de todos los saltos entre el origen y el destino. El texto “Target reached”, corrobora el hecho del “objetivo ha sido alcanzado”.

Fuentes:

https://www.aldeid.com/wiki/0trace

El registro de Windows es una base de datos jerárquica, la cual almacena ajustes para el sistema operativo Microsoft Windows, y para aplicaciones las cuales optan por utilizar el registro. El Kernel, controladores de dispositivo, servicios, gestión de seguridad de cuentas, e interfaces de usuario pueden todas utilizar el registro.

En otras palabras el registro de Windows contiene información, ajustes, opciones, y otros valores para los programas y hardware instalado, sobre todas las versiones del sistema operativo Windows.

Algunas veces se intenta ocultar actividades eliminando llaves (keys) en el registro de Windows. Aunque de hecho la eliminación de llaves del registro de Windows podría ser generado por actividades inherentes del sistema operativo, o una acción totalmente consciente por parte de un usuario. Afortunadamente existe la posibilidad de recuperar algunas llaves eliminadas.

reglookup-recover intentará buscar la colmena (hive) del registro de Windows, por estructuras de datos eliminados, para luego mostrar aquellas encontradas en un formato CSV.

Al ejecutar la herramienta reglookup-recover sin opciones se presente un resumen de sus opciones.

$ sudo reglookup-recover

Se ejecuta la herramienta reglookup-recover. Únicamente se define la ruta hacia el archivo. Esto volcará todo el contenido factible de ser recuperado desde la colmena del registro de nombre SOFTWARE.

$ sudo reglookup-recover /mnt /windows_mount/ Windows/System32/config/SOFTWARE

Para extraer todos los datos sin asignar disponibles, incluyendo el espacio sin asignar no interpretable, además de los datos asociados con las celdas interpretables, en la colmena de un usuario específico, se utilizan dos opciones adicionales.

$ sudo reglookup-recover -r -l /mnt /windows_mount/ Users/informant/NTUSER.DAT

La opción “-l” muestra celdas las cuales podrían no ser interpretadas como estructuras válidas del registro al final de los resultados.

La opción “-r” muestra el contenido en bruto de celdas, las cuales fueron interpretadas como estructuras de datos intactas. El resultado adicional no aparecerá sobre la misma linea como los datos interpretados.

reglookup-recover genera una salida al estilo de valores separados por comas (CSV). Para mayor información sobre la sintaxis del formato general se sugiere revisar la ayuda del comando reglookup.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Windows_Registry
https://linux.die.net/man/1/reglookup-recover
https://linux.die.net/man/1/reglookup

bulk_extractor es una herramienta de alto desempeño para la explotación en forense digital. Es un botón de “obtener evidencia” el cual rápidamente escanea cualquier tipo de entrada (imagen de disco, archivos, directorios de archivos, etc.), para extraer información estructurada como direcciones de correo electrónico, números de tarjetas de crédito, fragmentos de JSON, y JPEG sin interpretar el sistema de archivos o estructuras del sistema de archivos.

Los resultados son almacenados en archivos de texto plano, lo cuales pueden ser fácilmente inspeccionado, buscados, o utilizados como entradas para otros procesos forenses. bulk_extractor también crea histogramas de ciertos tipos de hallazgos, como términos de búsqueda en Google, y direcciones de correo electrónico, pues las investigaciones demuestran estos histogramas son especialmente útiles en aplicaciones de investigación y para las fuerzas legales.

A diferencia de otras herramientas forenses digitales, bulk_extractor evalúa cada byte de datos para ver si es el inicio de una secuencia la cual puede ser descomprimida o de otra manera decodificada. Si es así los datos decodificados son recursivamente examinados nuevamente. Como resultado de esto bulk_extractor puede encontrar cosas como JPEGs codificados en base64, y objetos JSON comprimidos, los cuales las herramientas de reconstrucción tradicionales podría no encontrar.

Se ejecuta bulk_extractor definiendo la ruta hacia la imagen forense, y con la opción “-o” el directorio donde se extraerán los datos producto de la ejecución de la herramienta.

$ bulk_extractor /media/ sf_Images_DD/atco19/ device1_laptop.e01 -o /tmp/resultados_be/

Finalizada la ejecución de la herramienta, se presentan algunos detalles, como el tiempo total de procesamiento, el hash de la imagen del disco, el total de megabytes procesados, el desempeño global, entre otra información.

En la carpeta contenedora de los resultados producto de ejecutar bulk_extractor, se encontrarán una gran cantidad de histogramas, entre otros archivos relevantes.

Para propósitos de ejemplificar los resultados obtenidos, se muestran los archivos en formato JPEG reconstruidos.

Los archivos generados por bulk_extractor contienen información sobre llaves AES, números de tarjetas de crédito, dominios, correos electrónicos, información GPS, direcciones IP, archivos JPG, información identificable personal, archivos RAR, archivos SQLite, URLs de facebooks, entre otra información.

Fuentes:

https://github.com/simsong/bulk_extractor

FTK Imager es una herramienta para previsilizar y replicar datos, la cual permite rápidamente evaluar evidencia electrónica, para determinar si se justifica un análisis posterior con una herramienta forense como Forensics Toolkit. Permite crear imágenes forenses de discos duros locales, CDs, DVDs, unidades USB, carpetas completas, o archivos individuales, desde diversos lugares dentro del medio.

Quienes han utilizado la herramientas forense de nombre FTK Imager, conocen sus dos clásicas versiones, la versión denominada como “FTK Imager”, la cual puede ser instalada en una estación de trabajo forense, y la versión denominada como “FTK Imager Lite”, la cual debe ser copiada hacia un dispositivo externo, como un CD/DVD o unidad USB.

La versión más reciente; al momento realizar la presente publicación; permite ejecutar FTK Imager desde una dispositivo USB, tal como se hacía con la versión Imager Lite. A continuación se detalla el procedimiento para lograr esto.

En otra máquina, la cual no sea la máquina desde donde se requiere obtener una imagen forense; instalar FTK Imager.

Insertar el dispositivo USB formateado con ya sea sistema de archivos FAT32 o NTFS. Copiar toda la carpeta de instalación de nombre “FTK Imager”, el cual generalmente se ubica en la ruta “C: \Program Files\AccessData\FTK Imager” o “C:\Program Files (x86)\AccessData\FTK Imager”, hacia el dispositivo USB.

Insertar el dispositivo USB en el sistema donde se requiere realizar un triage o generar imágenes forenses. Navegar el directorio creado en el dispositivo USB, para luego ejecutar el archivo de nombre “FTK Imager.exe”, con los privilegios del usuario Administrador.

Luego utilizar FTK Imager, tal como ya se conoce.

Lo anteriormente detallado permitirá al profesional forense crear “FTK Imager Lite” portátil desde cualquier versión completa de FTK Imager.

Anotación. Debido a un sistema en funcionamiento cambia constantemente, generar una imagen desde un sistema en funcionamiento puede producir una imagen la cual no es replicable. FTK Imager escribirá hacia la memoria RAM del sistema, y quizás el archivo de paginación del disco duro durante el proceso para generar una imagen forense. Ser consciente de los riesgo de generar una imagen desde un sistema en funcionamiento, y tomar su decisión cuidadosamente.

Importante

Las versiones de 64 bits de FTK Imager (versiones 3.4.3 y superior) requieren archivos complementarios Microsoft Foundation Class (MFC) para ejecutarse. Si la máquina a intervenir no tiene disponible ningún archivo MFC, ocurrirán errores sobre archivos MFC perdidos.

Para asegurarse las nuevas versiones de FTK Imager pueda funcionar sin error, cuando sean ejecutados desde un dispositivo extraible, por favor copie los archivos MFC hacia el dispositivo.

Por ejemplo copie todos los archivos mfc100*, mfc110*, mfc120* y mfc140* de la carpeta "C:\windows\system32\" hacia la carpeta de la unidad extraíble, la cual contiene el archivo ejecutable de FTK Imager, o copiarlo hacia la raíz del dispositivo extraíble.

FTK Imager 4.5.0 necesita tres DLLs adicionales, Microsoft Visual C++ 2015 redistribuible para funcionar (las cuales pueden ser encontradas en la carpeta “C: \windows\system32\”), las cuales posiblemente se necesiten copiar hacia la unidad extraíble: mfc140u.dll, msvcp140.dll, y vcruntime140.dll.

Fuente:

https://www.exterro.com/ftk-imager
https://exterro.freshdesk.com/support/solutions/articles/69000765662-ru…-

El formato de imagen EnCase es utilizado por el software forense de nombre Encase Forensics, con el propósito de almacenar diferentes tipos de evidencia digital; por ejemplo imagen de disco (flujos de bits de un disco capturado), imagen de volumen, memoria, y archivos lógicos.

Actualmente existen dos versiones del formato:

• Versión 1. Está (supuestamente) basado en el formato (ASR Data's Expert Witness Compression).
• Versión 2. Fue presentado con EnCase 7, para el cual la especificación del formato (al menos Ex01 sin encriptar) está disponible, pero requiere registro

El comando ewfinfo es parte del paquete libewf. libewf es una librería para soporte del formato EWF (Expert Witness Compression ). ewinfo muestra los metadatos almacenados en archivos EWF.

$ ls -l /media/sf_Images_DD /cfreds_2015_dlpc/

$ ewfinfo /media/sf_Images_DD /cfreds_2015_dlpc/ cfreds_2015_data_leakage_pc.E01

ewfmount también es parte del paquete libewf, este comando permite montar los datos almacenados en archivos EWF. Al ejecutar el comando ewfmount únicamente se define la ruta hacia el directorio donde se realizará el montado del archivo.

$ sudo ewfmount /media/sf_Images_DD /cfreds_2015_dlpc/ cfreds_2015_data_leakage_pc.E01 /mnt/e01/

$ sudo ls -l /mnt/e01/

Finalizado el montado del archivo en formato EWF, luego es necesario conocer la disposición del archivo con formato de imagen forense RAW; el cual se ubica en el directorio donde se realizó el montado del archivo en formato EWF. Para realizar este segundo montado se requiere calcular primero el “offset” o desplazamiento en bytes. El comando “mmls” correspondiente a la herramienta The Sleuth Kit permite realizar esto. “mmls” muestra la disposición de las particiones en un volumen, lo cual incluye tablas de partición y etiquetas de disco.

$ sudo mmls /mnt/e01/ewf1

$ sudo mount -o ro,loop,show_sys_files,streams_interface=windows,offset=105906176 /mnt/e01/ewf1 /mnt/windows_mount/

$ ls /mnt/e01/ewf1 /mnt/windows_mount/

Para calcular el “offset” o desplazamiento se debe multiplicar el sector donde inicia la partición por la cantidad de bytes asignado hacia un sector. Para el caso del archivo con formato de imagen forense RAW, la multiplicación es; 512 * 206848 = 105906176.

Obtenido el desplazamiento donde inicia el sistema de archivos a montar, se procede a utilizar el comando mount para realizar el montado. Se sugiere revisar la sección final del presente escrito (Fuentes), donde se encuentra una publicación donde se detalla como realizar el montado de una imagen forense en formato RAW

Realizado correctamente el montado del sistema de archivos, es factible recorrer todos sus archivos y carpetas utilizando la shell de comandos o el gestor de ventanas.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Encase_image_file_format
https://github.com/libyal/libewf
https://linux.die.net/man/8/mount
https://sansorg.egnyte.com/dl/rcC7AFiUr0
http://sleuthkit.org/
https://linux.die.net/man/1/ewfinfo
https://manpages.debian.org/unstable/ewf-tools/ewfmount.1.en.html
https://www.reydes.com/d/?q=Montar_una_Imagen_Forense_en_Formato_DD

El formato de imagen “RAW” o por su traducción al español en “bruto” o en “crudo”, es utilizado para almacenar una imagen de disco o volumen. Algunas variantes del formato de imagen RAW dividen los datos entre múltiples archivos segmentados, lo cual también es conocido como RAW Dividido.

El formato de imagen RAW es básicamente una copia bit por bit de los datos en Bruto, ya sea desde un disco o un volumen, sin ninguna adición o eliminación. No existen metadatos almacenados en el archivo del formato de imagen RAW. Por lo tanto algunas veces los metadatos son almacenados en archivos adicionales.

El formato de imagen RAW fue originalmente utilizado por la herramienta “dd”, pero es soportado por la mayoría de aplicaciones para forense de computadoras.

Para montar un sistema de archivos contenido en un archivo con formato de imagen forense RAW, se requiere calcular primero el “offset” o desplazamiento en bytes. El comando “mmls” correspondiente a la herramienta The Sleuth Kit permite realizar esto. “mmls” muestra la disposición de las particiones en un volumen, lo cual incluye tablas de partición y etiquetas de disco.

$ ls -l /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd

$ mmls /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd

Para calcular el “offset” o desplazamiento se debe multiplicar el sector donde inicia la partición por la cantidad de bytes asignado hacia un sector. Para el caso del archivo con formato de imagen forense RAW, la multiplicación es; 512 * 206848 = 105906176.

Obtenido el desplazamiento donde inicia el sistema de archivos a montar, se procede a utilizar el comando Mount para realizar el montado.

Se utiliza la opción “-o” con las siguientes opciones separadas por comas:

La opción “ro” realiza el montado en modo de solo lectura

La opción “loop” realiza el montado sobre el dispositivo “loop” (utilizado para archivos de imagen)

La opción “show_sys_files” muestra los archivos meta del volumen NTFS.

La opción “streams_interface=windows” utiliza flujos de datos alternos (ADS).

La opción ”offset” realiza el montado a partir de cierto byte del archivo de imagen. (Montado lógico)

Adicionalmente se define la ruta completa hacia el archivo con formato de imagen forense RAW, desde el cual se montará un sistema de archivos, además se define la ruta correspondiente al directorio donde se realizará el montado.

$ sudo mount -o ro,loop,show_sys_files,streams_interface=windows,offset=105906176 /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd /mnt/windows_mount/

Realizado correctamente el montado del sistema de archivos, es factible recorrer todos sus archivos y carpetas utilizando la shell de comandos o el gestor de ventanas.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Raw_Image_Format
https://linux.die.net/man/8/mount
https://sansorg.egnyte.com/dl/rcC7AFiUr0
http://sleuthkit.org/
https://linux.die.net/man/1/dd