lunes, 27 de noviembre de 2017

Detectando al equipo herido

Este blog me lo he tomado como un cuadernos de notas donde voy apuntando las cosas nuevas que aprendo y que trato explicar para mi yo del futuro por si en algún momento se me olvida cualquier cosilla. Para que si alguno está empezando en estos menesteres de la seguridad informática, pueda encontrar esa información que a mí me costó encontrar y entender. No es que yo sea un experto en seguridad ni mucho menos, es más, yo suelo decir a la gente con la que hablo que soy incipiente. No obstante, trato de ayudar y aprender todo lo posible cada día.



Hace unos días descubrí cómo encontrar el equipo afectado tras un incidente de seguridad dado el volcado de memoria. Hoy os comentaré brevemente cómo se realizó y así dispongáis de una herramienta más si sois administradores de sistemas u os ha tocado encontrar cuál ha sido el equipo que se ha visto afectado tras un incidente de seguridad dentro de una organización.


La herramienta que descubrí, está en Kali Linux y se llama volatility. Si queréis conocer más sobre la herramienta, os invito a que escribáis volatility -h y se os desplegará un listado con cada opción dentro de esta herramienta. Con volatiliy -f [captura] imageinfo estamos diciendo que nos muestre el contenido de la captura en el formato que estáis viendo en la captura de pantalla anterior. Como veis, nos marca dos posibles profiles que serán los que tenemos que analizar en profundidad.


Tras disponer de los posibles profile, simplemente tendremos que seleccionar uno cualquiera dentro de la opción --profile= más hivelist al final del comando y nos desplegará una lista con la unidad virtual, física y el nombre de la ruta. Escogeremos la unidad virtual que hace referencia al registro de SYSTEM.


Finalmente, sustituyendo del comando anterior hivelist port printkey más la opción -o que nos servirá para definir la unidad virtual acompañada de la opción -K y la ruta que deberéis buscar para cada caso en concreto. Como es lógico que no os sepáis todas las rutas de los registros, os dejo una web que se llama ForensicWiki, donde, cada vez que lo necesitéis, si buscáis ahí, encontraréis la ruta en cuestión.

Al ejecutar este comando, ya nos debería mostrar el nombre del equipo afectado. En este caso, puede ser difícil identificarlo si la organización es grande, de ahí la importancia de que cada equipo tenga un nombre que represente  a los miembros de la organización como EquipoDiseño001 o cualquier otro nombre para identificarlo rápidamente. 

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...