viernes, 30 de junio de 2017

Detectar el ataque a Windows 7 analizando la red

Parece que estoy terminando esta semana tratando de "solucionar" cualquier fallo de seguridad analizando la red. Sin duda, trataré de trabajar en una herramienta que realice algo parecido a lo que estoy comentando en el blog y de lo que me queda por comentar. Hoy, se va a vaer cómo podríamos detectar "fácilmente" al atacante del hackeo a un Windows 7 con Kali Linux.


Antes de nada, realizaré una pequeña recapitulación de qué trataba el ataque que se realizó. El ataque consistía en infectar un exe con msfvenom agregándole la IP del atacante y el puerto que se va a usar. En nuestro caso los datos fueron 192.168.1.19 y 8080 respectivamente y por supuesto, en una máquina Kali Linux.


Se mostrará cómo la víctima hizo doble click sobre el exe y "le enviará la sesión meterpreter" al atacante. Podemos observar también que la víctima estaba usando el puerto 49167 y el puerto destino era, como hemos dicho, el 8080.


Y finalmente la máquina atacante "recibirá la sesión meterpreter" con la que podrá realizar cambios en el sistema operativo de la víctima, pues vemos cómo esta vez la conexión es del equipo atacante a la víctima con sus respectivas IPs y desde el puerto 8080 hasta el 49167.

Es cierto que si ese ataque que, en principio es solamente a un equipo de nuestra red, la cual podría ser la red de nuestro trabajo, debería suponer un problema de seguridad a la empresa en casos como pérdida de información privada y posteriormente, caer en que ese ataque se hubiese podido deber a un ataque a un equipo de nuestra red; aunque también es cierto, que si tenemos la costumbre de analizar nuestra red constantemente y vemos que es una comunicación por TCP en esos puertos entre 2 equipos de nuestra red, podríamos empezar a sospechar. Además veríamos que habría conexiones de la víctima a Gmail y que ha existido una descarga-a menos que se haya pasado por USB- y podríamos empezar a preguntar a la víctima sobre qué hizo la víctima ese día a esa hora, ya que en el tiempo, tenemos el formato de hora UTC.

No resolveríamos nada, pero si el atacante siguiese en la empresa para ver qué más puede sacar, podríamos detenerlo a tiempo antes de que se marche o si ya se ha ido, podríamos saber a qué equipo pertenece esa IP del atacante y ver qué equipo y qué persona estaba a cargo de ese dispositivo, aunque, a día de hoy, con el Bring Your own device, podríamos tener esta tarea, algo más complicado, por lo que deberíamos seguir analizando la red en busca de alguna dirección de correo o cualquier pista que nos pueda llevar a la identidad del atacante.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...