Oct 05

Entrevista: Asociación Profesional de Peritos de Nuevas Tecnologías, una profesión de futuro Computerworld University

Entrevista al Presidente de la Asociación Profesional de Peritos de Nuevas Tecnologías (PETEC)


Ago 30

Artículo: Obscured by Clouds: Insights into Office 365 Attacks and How Mandiant Managed Defense Investigates

Enlace original: https://www.fireeye.com/blog/threat-research/2020/07/insights-into-office-365-attacks-and-how-managed-defense-investigates.html

With Business Email Compromises (BECs) showing no signs of slowing down, it is becoming increasingly important for security analysts to understand Office 365 (O365) breaches and how to properly investigate them. This blog post is for those who have yet to dip their toes into the waters of an O365 BEC, providing a crash course on Microsoft’s cloud productivity suite and its assortment of logs and data sources useful to investigators. We’ll also go over common attacker tactics we’ve observed while responding to BECs and provide insight into how Mandiant Managed Defense analysts approach these investigations at our customers using PowerShell and the FireEye Helix platform.

Office 365

Office 365 is Microsoft’s cloud-based subscription service for the Microsoft Office suite. It is built from dozens of applications tightly embedded into the lives of today’s workforce, including:

  • Exchange Online, for emails
  • SharePoint, for intranet portals and document sharing
  • Teams and Skype for Business, for instant messaging
  • OneDrive, for file sharing
  • Microsoft Stream, for recorded meetings and presentations

As more and more organizations decide to adopt Microsoft’s cloud-based offering to meet their needs, unauthorized access to these O365 environments, or tenants in Microsoft’s parlance, has become increasingly lucrative to motivated attackers. The current high adoption rate of O365 means that attackers are getting plenty of hands on experience with using and abusing the platform. While many tactics have remained largely unchanged in the years since we’ve first observed them, we’ve also witnessed the evolution of techniques that are effective against even security-conscious users.

In general, the O365 compromises we’ve responded to have fallen into two categories:

  • Business Email Compromises (BECs)
  • APT or state-sponsored intrusions

Based on our experience, BECs are a common threat to any organization’s O365 tenant. The term “BEC” typically refers to a type of fraud committed by financially motivated attackers. BEC actors heavily rely on social engineering to carry out their schemes, ultimately defrauding organizations and even personnel.

One common BEC scheme involves compromising a C-suite executive’s account via phishing. Once the victim unwittingly enters their credentials into a web form masquerading as the legitimate Office 365 login portal, attackers log in and instruct others in the organization to conduct a wire transfer, perhaps under the guise of an upcoming acquisition that has yet to be publicly announced. However, we’ve also observed more effective schemes where attackers compromise those in financial positions and patiently wait until an email correspondence has begun about a due payment. Attackers seize this opportunity by sending a doctored invoice (sometimes based on a legitimate invoice that had been stolen earlier) on behalf of the compromised user to another victim responsible for making payments. These emails are typically hidden from the compromised user due to attacker-created Outlook mailbox rules. Often times, by the time the scheme is inevitably discovered and understood days or weeks later, the money is unrecoverable—highlighting the importance of contacting law enforcement immediately if you’ve fallen victim to a fraud.

The personal finances of staff aren’t off limits to attackers either. We’ve observed several cases of W-2 scams, in which attackers send a request to HR for W-2 information from the victim’s account. Once obtained, this personally identifiable information is later used to conduct tax fraud.

Conversely, APT intrusions are typically more sophisticated and are conducted by state-sponsored threat actors. Rather than for financial gain, APT actors are usually tasked to compromise O365 tenants for purposes of espionage, data theft, or destruction. Given the wealth of sensitive information housed in any given organization’s O365 tenant, APT actors may not even need to touch a single endpoint to complete their mission, sidestepping the many security controls organizations have implemented and invested in.

O365 Logs and Data Sources

In this section, we’ll touch on the multitude of logs and portals containing forensic data relevant to an O365 investigation.

Before we can begin investigating an O365 case, we’ll work with our clients to get an “Investigator” account provisioned with the roles required to obtain the forensic data we need. For the purposes of this blog post, we’ll quickly list the roles needed for an Investigator account, but during an active Managed Defense investigation, a designated Managed Defense consultant will provide further guidance on account provisioning.

At a minimum, the Investigator account should have the following roles:

Exchange Admin Roles

  • View-only audit logs
  • View-only configuration
  • View-only recipients
  • Mailbox Search
  • Message Tracking

eDiscovery Rights

  • eDiscovery Manager role

Azure Active Directory Roles

  • Global Reader

Unified Audit Log (UAL)

The Unified Audit Log records activity from various applications within the Office 365 suite, and can be considered O365’s main log source. Entries in the UAL are stored in JSON format. We recommend using the PowerShell cmdlet Search-UnifiedAuditLog to query the UAL as it allows for greater flexibility, though it can also be acquired from the Office 365 Security & Compliance Center located at protection.office.com. In order to leverage this log source (and the Admin Audit Log), ensure that the Audit Log Search feature is enabled.

The UAL has a few nuances that are important to consider. While it provides a good high-level summary of activity across various O365 applications, it won’t log comprehensive mailbox activity (for that, acquire the Mailbox Audit Log). Furthermore, the UAL has a few limitations, namely:

  • Results to a single query are limited to 5000 results
  • Only 90 days of activity are retained
  • Events may take up to 24 hours before they are searchable

Mailbox Audit Log (MAL)

The Mailbox Audit Log, part of Exchange Online, will capture additional actions performed against objects within a mailbox. As such, it’s a good idea acquire and analyze the MAL for each affected user account with the PowerShell cmdlet Search-MailboxAuditLog. Note that entries in the MAL will be retained for 90 days (by default) and timestamps will be based on the user’s local time zone. The MAL’s retention time can always be increased with the PowerShell cmdlet Set-Mailbox along with the AuditLogAgeLimit parameter.

At the time of writing this post, Microsoft has recently released information about enhanced auditing functionality that gives investigators insight into which emails were accessed by attackers. This level of logging for regular user accounts is only available for organizations with an Office 365 E5 subscription. Once Advanced Auditing is enabled, mail access activity will be logged under the MailItemsAccessed operation in both the UAL and MAL.

Administrator Audit Log

If the Audit Log Search feature is enabled, this supplemental data source logs all PowerShell administrative cmdlets (including command-line arguments) executed by administrators. If you suspect that an administrator account was compromised, don’t overlook this log! The PowerShell cmdlet Search-AdminAuditLog is used to query these logs, but note that the Audit Log Search feature must be enabled and the same 90 day retention limit will be in place.

Azure AD Logs

Azure AD logs can be accessed from the Azure portal (portal.azure.com) under the Azure Active Directory service. Azure AD Sign-in logs contain detailed information about how authentications occur and O365 application usage. Azure AD audit logs are also a valuable source of information, containing records of password resets, account creations, role modifications, OAuth grants, and more that could be indicative of suspicious activity. Note that Azure AD logs are only available for 30 days.

Cloud App Security Portal

For cases where OAuth abuse has been observed, information about cloud applications can be found in Microsoft’s Cloud App Security portal (portal.cloudappsecurity.com). Access to this portal requires an E5 license or a standalone Cloud App license. For more background on OAuth abuse, be sure to check out our blog post: Shining a Light on OAuth Abuse with PwnAuth.

Message Traces

Message traces record the emails sent and received by a user. During an investigation, run reports on any email addresses of interest. The message trace report will contain detailed mail flow information as well as subject lines, original client IP addresses, and message sizes. Message traces are useful for identifying emails sent by attackers from compromised accounts, and can also aid in identifying initial phishing emails if phishing was used for initial access. To obtain the actual emails, use the Content Search tool.

Only the past 10 days of activity is available with the Get-MessageTrace PowerShell cmdlet. Historical searches for older messages can be run with the Get-HistoricalSearch cmdlet (up to 90 days by default), but historical searches typically take hours for the report to be available. Historical reports can also be generated within the Security and Compliance Center.

eDiscovery Content Searches

The Content Search tool allows investigators to query for emails, documents, and instant message conversations stored in an Office 365 tenant. We frequently run Content Search queries to find and acquire copies of emails sent by attackers. Content searches are limited to what has been indexed by Microsoft, so recent activity may not immediately appear. Additionally, only the most recent 1000 items will be shown in the preview pane.

Anatomy of an O365 BEC

As mentioned earlier, BECs are one of the more prevalent threats to O365 tenants seen by Managed Defense today. Sometimes, Mandiant analysts respond to several BEC cases at our customers within the same week. With this frontline experience, we’ve compiled a list of commonly observed tactics and techniques to advise our readers about the types of activities one should anticipate. Please note that this is by no means a comprehensive list of O365 attacks, rather a focus on the usual routes we’ve seen BEC actors take to accomplish their objective.

Phase 1: Initial Compromise

  • Phishing: Emails with links to credential harvesting forms sent to victims, sometimes from the account of a compromised business partner.
  • Brute force: A large dictionary of passwords attempted against an account of interest.
  • Password spray: A dictionary of commonly used passwords attempted against a list of known user accounts.
  • Access to credential dump: Valid credentials used from a previous compromise of the user.
  • MFA bypasses: Use of mail clients leveraging legacy authentication protocols (e.g. IMAP/POP), which bypass MFA policies. Attackers may also spam push notifications to the victim by repeatedly attempting to log in, eventually leading to the victim mistakenly accepting the prompt.

Phase 2: Establish Foothold

  • More phishing: Additional phishing lures sent to internal/external contacts from Outlook’s global address list.
  • More credible lures: New phishing lures uploaded to the compromised user’s OneDrive or SharePoint account and shared with the victim’s coworkers.
  • SMTP forwarding: SMTP forwarding enabled in the victim’s mailbox to forward all email to an external address.
  • Forwarding mailbox rules: Mailbox rules created to forward all or certain mail to an external address.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail will continue to sync for a short while after a password reset occurs.

Phase 3: Evasion

  • Evasive mailbox rules: Mailbox rules created to delete mail or move some or all incoming mail to uncommonly used folders in Outlook, such as “RSS Subscriptions”.
  • Manual evasion: Manual deletion of incoming and sent mail. Attackers may forego mailbox rules entirely.
  • Mail forwarding: Attackers accessing emails without logging in if a mechanism to forward mail to an external address was set up earlier.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail can be synced locally to the attacker’s machine and accessed later.
  • VPN usage: VPN servers, sometimes with similar geolocations to their victims, used in an attempt to avoid detection and evade conditional access policies.

Phase 4: Internal Reconnaissance

  • Outlook searching: The victim’s mailbox queried by attackers for emails of interest. While not recorded in audit logs, it may be available to export if it was not deleted by attackers.
  • O365 searching: Searches conducted within SharePoint and other O365 applications for content of interest. While not recorded in audit logs, SharePoint and OneDrive file interactions are recorded in the UAL.
  • Mail client usage: Outlook or third-party mail clients used by attackers. Mail can be synced locally to the attacker’s machine and accessed later.

Phase 5: Complete Mission

  • Direct deposit update: A request sent to the HR department to update the victim’s direct deposit information, redirecting payment to the BEC actor.
  • W-2 scam: A request sent to the HR department for W-2 forms, used to harvest PII for tax fraud.
  • Wire transfer: A wire transfer requested for an unpaid invoice, upcoming M&A, charities, etc.
  • Third-party account abuse: Abuse of the compromised user’s privileged access to third-party accounts and services, such as access to a corporate rewards site.

How Managed Defense Responds to O365 BECs

In this section, we’re going to walk through how Managed Defense investigates a typical O365 BEC case.

Many of the steps in our investigation rely on querying for logs with PowerShell. To do this, first establish a remote PowerShell session to Exchange Online. The following Microsoft documentation provides guidance on two methods to do this:

Broad Scoping

We start our investigations off by running broad queries against the Unified Audit Log (UAL) for suspicious activity. We’ll review OAuth activity too, which is especially important if something more nefarious than a financially motivated BEC is suspected. Any FireEye gear available to us—such as FireEye Helix and Email Security—will be leveraged to augment the data available to us from Office 365. 

The following are a few initial scoping queries we’d typically run at the beginning of a Managed Defense engagement.

Scoping Recent Mailbox Rule Activity

Even in large tenants, pulling back all recent mailbox rule activity doesn’t typically produce an unmanageable number of results, and attacker-created rules tend to stand out from the rest of the noise.

Querying UAL for all mailbox rule activity in Helix:

class=ms_office365 action:[New-InboxRule, Set-InboxRule, Enable-InboxRule] | table [createdtime, action, username, srcipv4, srcregion, parameters, rawmsg]

Query UAL for new mail rule activity in PowerShell:

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 -Operations “New-InboxRule”,”Set-InboxRule”,”Enable-InboxRule” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Scoping SMTP Forwarding Activity

SMTP forwarding is sometimes overlooked because it appears under a UAL operation separate from mailbox rules. This query looks for the Set-Mailbox operation containing a parameter to forward mail over SMTP, indicative of automatic forwarding being enabled from OWA.

Querying UAL for SMTP forwarding in Helix:

class=ms_office365 action=Set-Mailbox rawmsg:ForwardingSmtpAddress | table [createdtime, action, username, srcipv4, srcregion, parameters, rawmsg]

Querying UAL for SMTP forwarding in PowerShell:

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) -ResultSize 5000 -FreeText “ForwardingSmtpAddress” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Analyze Compromised Users Logs

After we’ve finished scoping the tenant, we’ll turn our attention to the individual users believed to be involved in the compromise. We’ll acquire all relevant O365 logs for the identified compromised user(s) – this includes the user’s UAL, Mailbox Audit Log (MAL), and Admin audit log (if the user is an administrator). We’ll review these logs for anomalous account activity and assemble a list of attacker IP addresses and User-Agents strings. We’ll use this list to further scope the tenant.

O365 investigations rely heavily on anomaly detection. Many times, the BEC actor may even be active at the same time as the user. In order to accurately differentiate between legitimate user activity and attacker activity within a compromised account, it’s recommended to pull back as much data as possible to use as a reference for legitimate activity. Using the Helix query transforms groupby < [srccountry,srcregion], groupby < useragentandgroupby < srcipv4,which highlight the least common geolocations, User Agent strings, and IP addresses, can also assist in identifying anomalies in results.

Querying UAL for a user in Helix:

class=ms_office365 username=user@client.com | table [createdtime, action, username, srcipv4, srccountry, srcregion, useragent, rawmsg] | groupby < [srccountry,srcregion]

Querying UAL for a user in PowerShell:

Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -UserIds user@client.com | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying MAL for a user in PowerShell:

Search-MailboxAuditLog -Identity user@client.com -LogonTypes Owner,Delegate,Admin -ShowDetails -StartDate (Get-Date).AddDays(-90) -EndDate (Get-Date) | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying Admin Audit Log for all events within a certain date in PowerShell:

Search-AdminAuditLog -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Query UAL with New Leads

Now that we’ve built a list of suspicious IP addresses (or even entire CIDR ranges) and User-Agent strings, we’ll run new queries against the entire UAL to try to identify other compromised user accounts. We’ll repeat this step and the previous step for each newly identified user account.

One advantage to using FireEye Helix platform over PowerShell is that we can query entire CIDR ranges. This is helpful when we observe attackers coming from a VPN or ISP that dynamically assigns IP addresses within the same address block.

Queries for attacker User-Agent strings usually generate more noise to sift through than IP address searches. In practice, User-Agent queries are only beneficial if the attackers are using an uncommon browser or version of a browser. Due to limitations of the Search-UnifiedAuditLog cmdlet, we’ve had the most success using the FreeText parameter and searching for simple strings.

In Helix:

class=ms_office365 (srcipv4:[,] OR useragent:Opera) | table [createdtime, action, username, srcipv4, srccountry, srcregion, useragent, rawmsg] | groupby username

Querying the UAL for IPs and user agents in PowerShell:

Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -IPAddresses, | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8
Search-UnifiedAuditLog -StartDate mm/dd/yyyy -EndDate (Get-Date) -ResultSize 5000 -FreeText “Opera” | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Analyze Message Traces

We’ll use PowerShell to query message traces for the compromised users we’ve identified. If the email was sent within the past 10 days, use the Get-MessageTrace cmdlet, which immediately returns results and allows teams to query IP addresses. For older emails, use the Start-HistoricalSearch cmdlet and download the report later from the Mail Flow section of the Security & Compliance center.

Querying for the last 10 days of mail sent by the victim in PowerShell:

Get-MessageTrace -StartDate (Get-Date).AddDays(-10) -EndDate (Get-Date) -SenderAddress victim@client.com | Select-Object Received, SenderAddress, RecipientAddress, Subject, Status, FromIP, Size, MessageID | Export-CSV \path\to\file.csv –NoTypeInformation -Encoding utf8

Querying for older emails (up to 90 days) in PowerShell:

Start-HistoricalSearch -ReportTitle “Mandiant O365 investigation” -StartDate mm/dd/yyyy -EndDate mm/dd/yyyy -ReportType MessageTraceDetail -SenderAddress victim@client.com

As Message Trace results are reviewed, attention should be given to IP addresses to determine which emails were sent by attackers. If phishing was the suspected initial compromise vector, it’s a good idea to also query for incoming mail received within a few days prior to the first compromise date and look for suspicious sender addresses and/or subject lines.

Acquire Emails of Interest

With our list of suspicious emails identified from message traces, we’ll use the Content Search tool available in the Office 365 Security and Compliance Center acquire the email body and learn what domains were used in phishing lures (if phishing was present). Content Searches are performed by using a straightforward GUI, and the results can either be previewed in the browser, downloaded individually as EML files, or downloaded in bulk as PST files.

Final Scoping

At this point of our investigation, the BEC should be sufficiently scoped within the tenant. To ensure any follow-on activity hasn’t occurred, we’ll take all of the attack indicators and perform our final queries across the UAL.

With that said, there are still edge cases in which attacker activity wouldn’t appear in O365 logs. For example, perhaps an additional user has submitted their credentials to a phishing page, but the attackers haven’t used them to log in yet. To ensure we don’t miss this activity, we’ll perform additional scoping across available network logs, specifically for IP addresses and domains related to the attacker’s phishing infrastructure. We’ll also leverage other FireEye products, such as the Endpoint Security platform, to search for phishing domains present on a host’s web browser history.


Unauthorized access to O365 tenant doesn’t just pose a threat to an organization, but also to its staff and business partners. Organizations without enhanced security controls in O365 are at the greatest risk of experiencing a BEC. However, as multi factor-authentication becomes more and more commonplace, we’ve witnessed an increase of MFA bypass attempts performed by increasingly proficient attackers.

It’s important to remember that social engineering plays a primary role throughout a BEC. Ensure that users are trained on how to identify credential harvesting forms, a common compromise vector. When in the midst of a BEC compromise, teams may want to promptly alert personnel in HR and finance-related roles to exercise extra caution when processing requests related to banking or wire transfers while the investigation is in progress.

The examples covered in this blog post are just a sample of what Managed Defense performs while investigating an Office 365 compromise. To take a proactive approach at preventing BECs, make sure the following best practices are implemented in a O365 tenant. Additionally, FireEye Email Security offers protections against phishing and the Helix platform’s O365 ruleset can alert on anomalous activity as soon as it happens.

Recommended Best Practices

  • Ensure mailbox audit logging is enabled on all accounts
  • Disable Legacy Authentication protocols
  • Enable multi-factor authentication (MFA)
  • Enforce strong passwords and a password expiration policy
  • Forward O365 audit logs to a centralized logging platform for extended retention
  • Enforce an account lockout policy in Azure/on-premise Active Directory
  • Restrict mail forwarding to external domains

Jul 28

Utilidades: Free Forensics Software – The Ultimate List.

Enlace: https://www.secureforensics.com/resources/free-software

Free Forensics Software – The Ultimate List

Sometimes forensic examiners need a list of free forensics software to strengthen their investigation. Fortunately, we have developed and provided an extensive list of free forensics software and tools.

Back to Top
The following free forensic software list was developed over the years, and with partnerships with various companies. Feel free to browse the list and download any of the free forensic tools below.

Browse free computer forensics software and utilities by category below:

Disk Tools & Data Capture

Below is a list of commonly used free forensic disk tools and data capture tools. These allow you to image a media and to capture the data for preservation.

Arsenal Image MounterArsenal Consulting, Inc.Mounts disk images as complete disks in Windows, giving access to Volume Shadow Copies, etc.
DumpItMoonSolsGenerates physical memory dump of Windows machines, 32 bits 64 bit. Can run from a USB flash drive.
EnCase Forensic ImagerGuidance SoftwareCreate EnCase evidence files and EnCase logical evidence files
Encrypted Disk DetectorMagnet ForensicsChecks local physical drives on a system for TrueCrypt, PGP, or Bitlocker encrypted volumes.
EWF MetaEditor4DiscoveryEdit EWF (E01) meta data, remove passwords (EnCase v6 and earlier).)
FAT32 FormatRidgecropEnables large capacity disks to be formatted as FAT32.
Forensics Acquisition of WebsitesWeb Content Protection AssociationBrowser designed to forensically capture web pages.
FTK ImagerAccessDataImaging tool, disk viewer and image mounter.
Guymagervogu00Multi-threaded GUI Imager running under Linux.
Live RAM CapturerBelkasoftExtracts RAM dump including that protected by an anti-debugging or anti-dumping system. with 32 and 64 bit builds.
NetworkMinerHjelmvikNetwork analysis tool. Detects OS, hostname and open ports of network hosts through packet sniffing/PCAP parsing.
NmapNmapUtility for network discovery and security auditing.
Magnet RAM CaptureMagnet ForensicsCaptures physical memory of a suspect’s computer. Windows XP to WIndows 10, and 2003, 2008, 2012. 32 & 64 bit.
OSFClonePassmark SoftwareBoot utility for CD/DVD or USB flash drives to create dd or AFF images and clones.
OSFMountPassmark SoftwareMounts a wide range of disk images. Also allows creation of RAM disks.
WiresharkWiresharkNetwork protocol capture and analysis
Disk2vhdMicrosoftCreates Virtual Hard Disks versions of physical disks for use in Microsoft Virtual PC or Microsoft Hyper-V VMs

E-Mail Analysis

Below are free tools for forensic email analysis. These tools can help with the different aspects of forensic email analysis including identifying and organizing the path between sender and recipient, analyzing attachments, categorizing and mapping out emails, and so forth.

EDB ViewerLepide SoftwareOpen and view (not export) Outlook EDB files without an Exchange server.
Mail ViewerMiTeCViewer for Outlook Express, Windows Mail / Windows Live Mail, Mozilla Thunderbird message databases and single EML files.
Email Header Analysis (RCCF)RCCFTool for tracking email sender’s identity, analyzes header and gives details like IP address, mail service, provider, etc.
MBOX ViewerSysToolsView MBOX emails and attachments.
OST ViewerLepide SoftwareOpen and view (not export) Outlook PST files without connecting to an Exchange server.
PST ViewerLepide SoftwareOpen and view (not export) Outlook PST files without needing Outlook.

File and Data Analysis

Windows and other operating systems store user data in files with unique format and encoding. Usually specific to one type, these free tools are used to decode those files.

Advanced PrefetchAnayserAllan HayReads Windows XP, Vista and Windows 7 prefetch files.
AnalyzeMFTDavid KovarParses the MFT from an NTFS file system allowing results to be analysed with other tools.
bstringsEric ZimmermanFind strings in binary data, including regular expression searching.
CapAnalysisrEvolkaPCAP viewer.
Crowd ResponseCrowdStikeWindows console application to aid gathering of system information for incident response and security engagements.
Crowd InspectCrowdStrikeDetails network processes, listing binaries associated with each process. Queries VirusTotal, other malware repositories & reputation services to produce “at-a-glance” state of the system.
DCodeDigital DetectiveConverts various data types to date/time values.
DefraserVariousDetects full and partial multimedia files in unallocated space.
eCryptfs ParserTed TechnologyRecursively parses headers of every eCryptfs file in selected directory. Outputs encryption algorithm used, original file size, signature used, etc.
Encryption AnalyzerPasswareScans a computer for password-protected & encrypted files, reports encryption complexity and decryption options for each file.
ExifToolPhil HarveyRead, write and edit Exif data in a large number of file types.
File IdentifierToolsley.comDrag and drop web-browser JavaScript tool for identification of over 2000 file types.
Forensic Image ViewerSanderson ForensicsView various picture formats, image enhancer, extraction of embedded Exif, GPS data. Can be downloaded after registering on the forum.
GhiroAlessandro TanasiIn-depth analysis of image (picture) files.
HighlighterMandiantExamine log files using text, graphic or histogram views.
Link Parser4DiscoveryRecursively parses folders extracting 30+ attributes from Windows .lnk (shortcut) files.
LiveContactsViewNirsoftView and export Windows Live Messenger contact details.
PECmdEric ZimmermanPrefetch Explorer.
RSA Netwitness InvestigatorEMCNetwork packet capture and analysis.
MemoryzeMandiantAcquire and/or analyse RAM images, including the page file on live systems.
MetaExtractor4DiscoveryRecursively parses folders to extract meta data from MS Office, OpenOffice and PDF files.
MFTviewSanderson ForensicsDisplays and decodes contents of an extracted MFT file. Can be downloaded after registering for forum.
PictureBoxMike’s Forensic ToolsLists EXIF, and where available, GPS data for all photographs present in a directory. Export data to .xls or Google Earth KML format.
PsToolsMicrosoftSuite of command-line Windows utilities.
Shadow ExplorerShadow ExplorerBrowse and extract files from shadow copies.
SQLite ManagerMrinal Kant, Tarakant TripathyFirefox add-on enabling viewing of any SQLite database.
StringsMicrosoftCommand-line tool for text searches.
Structured Storage ViewerMiTecView and manage MS OLE Structured Storage based files.
Windows File AnalyzerMiTecAnalyse thumbs.db, Prefetch, Windows File MiTeC INFO2 and .lnk files.
XplicoGianluca Costa & Andrea De FranceschiNetwork forensics analysis tool.

Mac OS Tools

Mac OS X and it’s many other versions store user data in files with unique format and encoding. Usually specific to one type, these free tools are used to decode those files.

AuditrTwocanoesAudit Preference Pane and Log Reader for OS X.
Disk ArbitratorAaron BurghardtBlocks the mounting of file systems, complimenting a write blocker in disabling disk arbitration.
Epoch ConverterBlackbag TechnologiesConverts epoch times to local time and UTC.
FTK Imager CLI for Mac OSAccessDataCommand line Mac OS version of AccessData’s FTK Imager.
IORegInfoBlackbag TechnologiesLists items connected to the computer (e.g., SATA, USB and FireWire Drives, software RAID sets). Can locate partition information, including sizes, types, and the bus to which the device is connected.
mac_aptYogesh Khatri, Champlain CollegeMac OS triage tool, works usable against E01, DD, DMG and mounted images
PMAP InfoBlackbag TechnologiesDisplays the physical partitioning of the specified device. Can be used to map out all the drive information, accounting for all used sectors.
VolafoxKyeongsik LeeMemory forensic toolkit for Mac OS X

Mobile Devices

Because they safeguard user data differently, mobile phones require different tools for acquisition or analysis. The free tools listed here are designed to conduct these operations for a specific mobile phone model or OS.

iPBA2Mario PiccinelliExplore iOS backups.
iPhone AnalyzerLeo Crawford, Mat ProudExplore the internal file structure of Pad, iPod and iPhones.
ivMetaRobin WoodExtracts phone model and software version and created date and GPS data from iPhone videos.
RubusCCL ForensicsDeconstructs Blackberry .ipd backup files.
SAFTSignalSEC CorpObtain SMS Messages, call logs and contacts from Android devices.

Data Analysis Suites

Data Analysis Suites combine the functions of individual applications into an integrated interface or applications. Data Analysis Suites allow analysts to sort through data quickly and efficiently while maintaining case data in one single location.

AutopsyBrian CarrierGraphical interface to the command line digital investigation analysis tools in The Sleuth Kit
BacktrackBacktrackPenetration testing and security audit with forensic boot capability. Now is a part of Kali Linux.
CaineNanni BassettiLinux based live CD, featuring a number of analysis tools.
DeftDr. Stefano Fratepietro and othersLinux based live CD, featuring a number of analysis tools.
Digital Forensics FrameworkArxSysAnalyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items.
Forensic ScannerHarlan CarveyAutomates ‘repetitive tasks of data collection’.
Kali LinuxOffensive SecurityComprehensive penetration testing platform
PaladinSumuriUbuntu based live boot CD for imaging and analysis.
SIFTSANSAnalyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items.
The Sleuth KitBrian CarrierCollection of UNIX-based command line file and volume system forensic analysis tools.
Volatility FrameworkVolatile SystemsCollection of tools for the extraction of artefacts from RAM.

File Viewers

Instead of launching individual applications for each file type that requires review, sometimes it’s possible to use one application to view many types of files. “One size fits all” file viewers allow an examiner to efficiently review user-generated files or Web artifacts.

BKF ViewerSysToolsView (not save or export from) contents of BKF backup files.
DXL ViewerSysToolsView (not save or export) Loutus Notes DXL file emails and attachments.
E01 ViewerSysToolsView (not save or export from) E01 files & view messages within EDB, PST & OST files.
MDF ViewerSysToolsView (not save or export) MS SQL MDF files.
MSG ViewerSysToolsView (not save or export) MSG file emails and attachments.
OLM ViewerSysToolsView (not save or export) OLM file emails and attachments.
Microsoft PowerPoint 2007ViewerMicrosoftView PowerPoint presentations.
Microsoft Visio 2010 ViewerMicrosoftView Visio diagrams.
VLCVideoLANView most multimedia files and DVD, Audio CD, VCD, etc.

Internet Analysis

Internet Analysis applications are designed to decode and tabulate the files that keep track of Web browsing, email, or chat. Typically created by a Web browser or dedicated application, the user activity stored within usually requires decoding specific to it. Internet Analysis tools decode the data and process it into a review-able format.

Browser History CapturerFoxton SoftwareCaptures history from Firefox, Chrome, Internet Explorer and Edge web browsers running on Windows computers.
Browser History ViewerFoxton SoftwareExtract, view and analyse internet history from Firefox, Chrome, Internet Explorer and Edge web browsers.
Chrome Session ParserCCL ForensicsPython module for performing off-line parsing of Chrome session files (“Current Session”, “Last Session”, “Current Tabs”, “Last Tabs”).
ChromeCacheViewNirsoftReads the cache folder of Google Chrome Web browser, and displays the list of all files currently stored in the cache.
Cookie CutterrMike’s Forensic ToolsExtracts embedded data held within Google Analytics cookies. Shows search terms used as well as dates of and the number of visits.
DumpzillarBusindreRuns in Python 3.x, extracting forensic information from Firefox, Iceweasel and Seamonkey browsers. See manual for more information.
Facebook Profile SaverBelkasoftCaptures information publicly available in Facebook profiles.
IECookiesViewNirsoftExtracts various details of Internet Explorer cookies.
IEPassViewNirsoftExtract stored passwords from Internet Explorer versions 4 to 8.
MozillaCacheViewNirsoftReads the cache folder of Firefox/Mozilla/Netscape Web browsers.
MozillaCookieViewNirsoftParses the cookie folder of Firefox/Mozilla/Netscape Web browsers.
MozillaHistoryViewNirsoftReads the history.dat of Firefox/Mozilla/Netscape Web browsers, and displays the list of all visited Web page.
MyLastSearchNirsoftExtracts search queries made with popular search engines (Google, Yahoo and MSN) and social networking sites (Twitter, Facebook, MySpace).
PasswordFoxrNirsoftExtracts the user names and passwords stored by Mozilla Firefox Web browser.
OperaCacheViewNirsoftReads the cache folder of Opera Web browser, and displays the list of all files currently
stored in the cache.
OperaPassViewNirsoftDecrypts the content of the Opera Web browser password file, wand.dat
Web HistorianMandiantReviews list of URLs stored in the history files of the most commonly used browsers.
Web Page SaverMagnet ForensicsCaptures how web pages look at a specific point in time. Requires a form to fill out prior to download.

Application Analysis

These tools allow an analyst to decode an application and analyze its intended function or decode its stored user data and preferences.

AppCompatCache ParserEric ZimmermanDumps list of shimcache entries showing which executables were run and their modification dates.
ForensicUserInfoWoanwareExtracts user information from the SAM, SOFTWARE and SYSTEM hives files and decrypts the LM/NT hashes from the SAM file.
Process MonitorMicrosoftExamine Windows processes and registry threads in real time.
RECmdEric ZimmermanCommand line access to offline Registry hives. Supports simple & regular expression searches as well as searching by last write timestamp.
Registry DecoderUS National Institute of Justice, Digital Forensics SolutionsFor the acquisition, analysis, and reporting of registry contents.
Registry ExplorerEric ZimmermanOffline Registry viewer. Provides deleted artefact recovery, value slack support, and robust searching.
RegRipperHarlan CarveyRegistry data extraction and correlation tool.
RegshotRegshotTakes snapshots of the registry allowing comparisons e.g., show registry changes after installing software.
ShellBagsExplorerEric ZimmermanPresents visual representation of what a user’s directory structure looked like. Additionally exposes various timestamps (e.g., first explored, last explored for a given folder.
USB DeviceWoanwareDetails previously attached USB devices on exported registry hives.
USB Historian4DiscoveryDisplays 20+ attributes relating to USB device use on Windows systems.
USBDeviewNirsoftDetails previously attached USB devices.
User Assist Analysis4DiscoveryExtracts SID, User Names, Indexes, Application Names, Run Counts, Session, and Last Run Time Attributes from UserAssist keys.
PasswordFoxNirsoftExtracts the user names and passwords stored by Mozilla Firefox Web browser.
UserAssistDidier StevensDisplays list of programs run, with run count and last run date and time.
Arsenal Image MounterMiTecExtracts configuration settings and other information from the Registry.

Registry Analysis

Specific to Windows, the registry is the central repository of Windows configuration, application settings, and user preferences. Registry analysis tools decode the proprietary hives and assist an analyst with reviewing keys pertinent to their analysis.

Dropbox DecryptorMagnet ForensicsDecrypts the Dropbox filecache.dbx file which stores information about files that have been synced to the cloud using Dropbox. Tool can be downloaded after filling out a form.
Google Maps Tile InvestigatorMagnet ForensicsTakes x,y,z coordinates found in a tile filename and downloads surrounding tiles providing more context. Tool can be downloaded after filling out a form.
KaZAlyserSanderson ForensicsExtracts various data from the KaZaA application.
LiveContactsViewNirsoftView and export Windows Live Messenger contact details.
SkypeLogViewNirsoftView Skype calls and chats.


Below is the list of additional miscellaneous software and tools that we have utilized and found useful over the years.

Agent RansackMythicsoftSearch multiple files using Boolean operators and Perl Regex.
Computer Forensic Reference Data SetsNISTCollated forensic images for training, practice and validation.
EvidenceMoverNuixCopies data between locations, with file comparison, verification, logging.
FastCopyShirouzu HiroakiSelf labeled “fastest” copy/delete Windows software. Can verify with SHA-1. etc.
File SignaturesGary KesslerTable of file signatures.
HexBrowserPeter FiskerstrandIdentifies over 100 file types by examining their signatures.
HashMyFilesNirsoftCalculate MD5 and SHA1 hashes.
MobaLiveCDMobatekRun Linux live CDs from their ISO image without having to boot to them.
Mouse JigglerArkane SystemsAutomatically moves mouse pointer stopping screen saver, hibernation etc…
Notepad++Notepad++Advanced Notepad replacement.
NSRLNISTHash sets of “known” (ignorable) files.
Quick HashTed TechnologyA Linus & Windows GUI for individual and recursive SHA1 hashing of files.
USB Write BlockerDSiEnables software write-blocking of USB ports.
VolixFH AachenApplication that simplifies the use of the Volatility Framework.
Windows Forensic EnvironmentTroy LarsonGuide by Brett Shavers to creating and working with a Windows boot CD.

For Reference

Below are some valuable resources and references that you might find useful when researching digital forensics.

HotSwapKazuyuki NakayamaSafely remove SATA disks similar to the “Safely Remove Hardware” icon in the notification area.
iPhone Backup BrowserRene DevichiView unencrypted backups of IPad, iPod and iPhones.
IEHistoryViewNirsoftExtracts recently visited Internet Explorer URLs.
LiveViewCERTAllows examiner to boot dd images in VMware.
Ubuntu GuideHow-To GeekGuide to using Ubuntu live disk to recover partitions, carve files, etc.
WhatsApp ForensicsZena ForensicsExtract WhatsApp messages from iOS and Android backups

While these tools are essential and considered the top tools in digital, computer, and mobile forensics our forensics experts also have many more tools that they use on a daily basis. Digital forensics and investigations usually involve a ran

Below are some valuable resources and references that you might find useful when researching digital forensics.

Jul 09

Artículo: Detección y prevención del Phishing.

Artículo originalmente publicado en: https://ciberseguridad.blog/todo-sobre-la-deteccion-y-prevencion-del-phishing/

La palabra “phishing” es similar a “pescar” debido a la analogía de usar cebo para intentar atrapar a las víctimas y recolectar información confidencial

Por información confidencial nos referimos a cualquier cosa que abarque desde su número de seguro social hasta contraseñas, número de cuenta bancaria, detalles de la tarjeta de crédito, número PIN, domicilio, cuentas en redes sociales, cumpleaños, apellido de soltera de la madre, etc.

Con el fin de utilizar esta información para realizar daños financieros, robo de identidad, obtener acceso ilegal a diferentes cuentas, chantaje, y un largo , etc…

¿Cómo funciona el Phishing?

Los atacantes utilizan diferentes métodos de engaño en las estrategias de phishing.

Por ejemplo , crearán mensajes y sitios web falsos, que imitan a los originales. Y con ello, intentarán atraernos para que entreguemos nuestra información personal. Nos pedirán responder, seguir un enlace incluido en un mensaje o descargar un archivo adjunto.

En primera instancia, la comunicación parece ser iniciada por una persona o empresa legítima. Los famosos ataques de phishing imitan, por no decir copian a la perfección mensajes de instituciones financieras/bancos en su mayoria , pero no siempre, agencias gubernamentales , minoristas y servicios en línea ( Amazon, eBay, PayPal … ), redes sociales ( Facebook … ) o incluso de un amigo o colega.

Para que el phishing parezca original , los atacantes incluyen fotos e información del sitio web original. Incluso pueden redirigirlo al sitio web de la empresa y recopilar los datos a través de una ventana emergente falsa. O puede ocurrir al revés: primero solicitan los datos personales y luego nos redirigen al sitio web real, lo que en muchos casos , nos hace no percatarnos. Otras veces, nos dicen que hemos sido blanco de una estafa y que necesitamos actualizar nuestra información con urgencia para mantener nuestra cuenta segura.

Todos estos trucos ( Y son una parte diminuta ) minimizarán las posibilidades de que nos demos cuenta de lo que sucedió a la hora del engaño.

Phishing Agencia Tributaria Hacienda

El phishing se ha convertido en una forma de propagar malware. Los atacantes remiten contenido malicioso o C&C a través de los archivos adjuntos o enlaces en los que nos intentan engañarnos para que hagamos clic en ellos.

Aunque el phishing se transmite principalmente por correo electrónico, también puede funcionar a través de otros medios. En los últimos años, y ahora más que nunca por la activación de la PSD2,  los ciberdelincuentes se han centrado en los ataques de phishing realizados a través de servicios de mensajería instantánea, SMS, redes sociales, mensajes directos en juegos y muchos otros.

El phishing es popular entre los ciberatacantes porque es más fácil engañar a alguien para que haga clic en un enlace o descargue archivos adjuntos que intentar entrar en las defensas de su sistema. Esto consigue muy bien su cometido. He empezado a leerme/estudiar el CISM de ISACA, y en las primeras página ya nos indica, que nuestra seguridad, es tan frágil, como el eslabón más frágil de la cadena, y es hay donde el phishing ataca directamente.

Funciona porque apelan a las emociones. Promete grandes ofertas o alerta de que podemos tener un problema con nuestras cuentas bancarias, o peor aún , uno de los enlaces que os indique,que trata sobre los ERTEs , jugando con el sufrimiento de no disponer temporalmente de trabajo.

Pero no todo es emoción, también es muy efectivo porque más del 50% de los usuarios usan las mismas contraseñas para diferentes cuentas, por no decir que usan la misma para todo. Esto facilita que los ciberdelincuentes tengan acceso a facilmente al todos nuestros recursos una vez se hacen con las credenciales de una victima.

Prevenir el Phishing

Más alla de indicar los tipos de Phishing o similar, me gustaria centrarme en como prevenir y detectar el mismo, teniendo en cuenta el notable incremento de casos que estamos sufriendo debido a la situación de Pandemia con el COVID19 , en el que la gran mayoria de los trabajadores se encuentran trabajando desde casa (Si su puesto lo permite)

1. Detalles del emisor del email

Lo primero que debe verificar: la dirección de correo electrónico del remitente.

  • Mira el encabezado del correo electrónico. ¿La dirección de correo electrónico del remitente coincide con el nombre y el dominio?

La suplantación del nombre para mostrar de un correo electrónico, para que parezca ser de una marca o persona concreta, es una de las tácticas de phishing más básicas.

Un ejemplo: un correo electrónico de Amazon que proviene de “noreply@amazon.com” es legítimo. Pero un correo electrónico que parece ser de alguien en Amazon pero que se envió desde un dominio diferente, como el correo electrónico en la imagen a continuación, ciertamente no es de Amazon.

2. Contenido del mensaje

Primera Pista : Nos piden que enviemos o que verifiquemos la información personal por correo electrónico.

  • Nos están pidiendo información que el supuesto remitente ya debería tener.
Phishing Netflix Actualizar datos

Segunda Pista: Es probable que jueguen con nuestras emociones o urgencia. En este caso, que pasaria si en casa, ahora que estamos confinados nos quitasen nuestras suscripciones , Movistar+ , Disney+ , Netflix …

Como regla general, sospecha de cualquier correo que tenga solicitudes urgentes ( por ejemplo, “responda en dos días, de lo contrario perderá su cuenta” ), noticias, ofertas, ofertas de regalos o cupones emocionantes o perturbadores ( especialmente en días festivos o eventos importantes, como el black friday o  navidad ).

Tercera Pista: Afirman que hubo algún tipo de problema con nuestra compra o entrega reciente y nos piden que reenviemos información personal o simplemente hagamos clic en un enlace para resolverlo.

Los bancos o los representantes legítimos de comercio electrónico nunca nos pedirán que hagamos eso, ya que no es un método seguro para transmitir dicha información.

Cuarta Pista : Afirman ser de una agencia que aplica la normativa/ley.

Nunca usan el correo electrónico como forma de contacto.

Quinta Pista : Nos piden que llamemos a un número y demos nuestros datos personales por teléfono.

Si este es el caso, busque la correspondencia oficial de la compañía, buscalos en internet y usa el número de teléfono que nos proporcionen para verificarlo en caso de ser cierto.

3. Forma del mensaje / email

Primera regla: Ten cuidado con los enlaces falsos o engañosos.

Pasa el ratón sobre los enlaces en el mensaje de correo electrónico para verificarlos ANTES de hacer clic en ellos. Las URLs pueden parecer válidas a primera vista, pero usan una variación en la ortografía o en un dominio diferente (.co en lugar de .com, o similar). Gracias a los nuevos dominios genéricos de nivel de tema que se introdujeron en 2014, los spammers y los phishers obtuvieron nuevas herramientas para sus campañas. ( Un ejemplo, nuestro querido .blog 😉 )

Otras estafas de phishing usan JavaScript para colocar una imagen de una URL legítima sobre la barra de direcciones de un navegador. La URL revelada al pasar el mouse sobre un enlace también se puede cambiar con Java.

Segunda regla: Busca enlaces de direcciones IP o acortadores de URL.

Pueden coger una URL larga, acortarla utilizando servicios como bit.ly y redirigirla al destino deseado. Es difícil descubrir qué hay al otro lado de ese enlace, por lo que podríamos caer en una trampa. Siempre es mejor prevenir que curar.

En algunos casos tambien, nos encontramos con dominios distorsionados  deliberadamente en el correo electrónico, agregando espacios o caracteres adicionales, junto con instrucciones sobre cómo usarlo (“Elimine todos los caracteres / espacios adicionales y cópielos en la barra de direcciones”) con el fin de intentar dar de lado a los sistemas de seguridad.

La mejor opción, probar en un pequeño “sandbox” la url para ver cómo se veria , os recomiendo este.

Tercera Regla: Ten cuidado con los errores tipográficos o de ortografía. Esto solía ser la norma, pero ya no es un imperativo, cada vez prestan más atención en esto ( Salvo en las herencias de Ganha 😉 )

Cuarta Regla: Ten cuidado con los diseños de “aspecto aficionado”. Y aclaro un poco más, imágenes que no coinciden con el fondo o se ven formateadas para adaptarse al estilo del correo electrónico. Imagenes de almacenes de fotografías. Fotos o logotipos subidos y de baja resolución o mala calidad …

Quinta Regla: Cuidado con las firmas que faltan. La falta de detalles sobre el remitente o cómo comunicarse con la empresa apunta a una dirección de phishing. Una empresa legítima siempre proporcionará dicha información sin dudarlo.

4. Ficheros adjuntos

Estate atento a los archivos adjuntos.

En los Phishing se suelen adjuntar “todo tipo de archivos”, como PDFs o DOCs, que contienen enlaces o macros, ya nos hablo de esto el gran Rafa.Pedrero con Emotet y su vector de inicio . Otras veces, pueden hacer que nuestro navegador se bloquee al instalar malware … infinitud de casuristicas cambiantes con el tiempo, pero que siempre suelen iniciar con un fichero adjunto.

5. Enlaces externos

Supongamos que ya hemos pinchado en un enlace de un correo electrónico sospechoso. ¿ Es correcto el dominio ? No olvides que el enlace puede parecer idéntico, pero puede usar una variación en la ortografía o el dominio.

Antes de enviar cualquier información a ese sitio web, asegúrate de estar conectado a un sitio web seguro. Puedes verificarlo fácilmente mirando el enlace: ¿comienza con “https” o “http”? La “s” adicional significará que el sitio web tiene SSL. SSL es la abreviatura de Secure Sockets Layer y es un método para garantizar que los datos enviados y recibidos estén encriptados. Los sitios web más legítimos y seguros tendrán un certificado SSL válido instalado. Aunque esta norma, esta perdiendo mucha fuerza con el tiempo. Hace un tiempo, disponer de un certificado, suponía un desembolso de dinero que no todo el mundo podía realizar, pero ya vemos cómo el malware y el phishing esta empezando a usa protocolos seguros.

Otra forma de verificar eso es mirar a la izquierda de la dirección web: ¿hay un ícono de un candado cerrado? ¿O la dirección está resaltada en verde? Esto indicará que estamos visitando un sitio encriptado y que los datos transferidos están seguros. Google Chrome ya marcarca los sitios sin https como inseguros, por lo que debería ser fácil detectarlos.

Marca web con HTTPS

Tus empleados son tu última línea de defensa

Las organizaciones pueden mitigar el riesgo de suplantación de identidad ( phishing ) con medios tecnológicos, como filtros de spam, pero estos han demostrado ser poco confiables , o al menos antes pasaba con tecnologías pocas maduras ( Os recomiendo ver este post )

Los correos electrónicos maliciosos siempre se enviarán de forma regular, y cuando eso suceda, lo único que evitará que nuestra organización sufra una violación es la capacidad de nuestros empleados para detectar la naturaleza fraudulenta y responder de manera adecuada.

Los cursos de sensibilización del personal ante el phishing, ayuda a los empleados a hacer exactamente eso, así como a explicar qué sucede cuando las personas son víctimas y cómo pueden mitigar la amenaza de un ataque.

La única forma, de paliar los ataques de phising es concienciar al empleado. El resto de tecnologías nos ayuda a reducir muchisimo la recepción de estos, como si fuese un embudo, pero el punto final, es el empleado.

Abr 14

Laboratorio: Cómo identificar el software antivirus instalado en una PC con Windows. #Null-Byte

Artículo publicado en: https://null-byte.wonderhowto.com/how-to/hacking-windows-10-identify-antivirus-software-installed-windows-pc-0198775/

Determinar el software antivirus y cortafuegos instalado en una computadora con Windows es crucial para que un atacante se prepare para crear un stager o carga útil específica. Con la inspección encubierta de paquetes profundos, esa información se identifica fácilmente.

Este ataque supone que la contraseña de Wi-Fi para la red de destino ya se conoce . Con la contraseña, un atacante puede observar los datos que atraviesan la red y enumerar el software de seguridad instalado. Las soluciones populares de antivirus y firewall se pueden identificar fácilmente cuando se filtra el tráfico web benigno.

Aprenderemos cómo capturar y descifrar el tráfico de Wi-Fi sin autenticar el enrutador de destino, y realizaremos una inspección de paquetes para descubrir los tipos de aplicaciones de seguridad de terceros instaladas en el sistema operativo.

Paso 1. Capture el tráfico de Wi-Fi

Para comenzar en Kali, use el comando airmon-ng para detener todos los procesos que se ejecutan en segundo plano y que pueden interferir con la tarjeta inalámbrica.

~# airmon-ng check kill

Killing these processes:

  PID Name
 2891 wpa_supplicant

Habilite el modo de monitor en el adaptador Alfa (u otro adaptador inalámbrico ) con el comando airmon-ng start wlan0 .

~# airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy2    wlan0       rt2800usb   Ralink Technology, Corp. RT2870/RT3070

        (mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
        (mac80211 station mode vif disabled for [phy2]wlan0)

Luego, realice una exploración inicial de airodump-ng para enumerar las redes Wi-Fi en el área circundante.

~# airodump-ng wlan0mon

 CH  6 ][ Elapsed: 36 s ][ 2020-04-06 20:45

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -19       13        6    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Cuando se haya identificado el enrutador, presione Control-C para detener el escaneo. Realice una captura de paquetes dirigida contra el enrutador Wi-Fi incluyendo las opciones –channel , –write , –bssid y –essid .

~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon

 CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Aireply-ng des autenticará los dispositivos conectados al enrutador. Este comando es necesario para capturar los datos del protocolo de enlace WPA2. Los paquetes capturados solo se pueden descifrar con un protocolo de enlace válido.

Abra una nueva terminal y use el siguiente comando aireplay-ng para enviar tres paquetes “deauth” al enrutador, forzando a los usuarios autenticados a reconectarse.

~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon

05:12:46  Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]

Un ataque exitoso producirá la notificación “WPA handshake” en la esquina superior derecha de la terminal airodump-ng .

CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

En este punto, la ventana airodump-ng debería continuar capturando paquetes durante el mayor tiempo posible (es decir, muchas horas). A medida que pasa el tiempo, el software de seguridad en la computadora con Windows 10 objetivo intentará actualizar periódicamente la aplicación y las bases de datos de definición de virus. Estas consultas web son valiosas para un hacker con acceso a la red que se prepara para montar un ataque dirigido.

Paso 2. Descifrar el PCAP

Airdecap-ng es una herramienta de descifrado de captura de paquetes y parte de la suite Aircrack-ng.

~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap

Total number of stations seen            8
Total number of packets read         32310
Total number of WEP data packets         0
Total number of WPA data packets      4555
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets      3435
Number of bad TKIP (WPA) packets         0
Number of bad CCMP (WPA) packets         0

Airdecap-ng usará el ESSID de Wi-Fi (-e) y la contraseña (-p) para descifrar y filtrar los paquetes que pertenecen a la red. En el ejemplo anterior, podemos ver 3435 paquetes descifrados WPA. Airdecap-ng creará un archivo llamado “capture-01-dec.cap” en el directorio actual.

Después de descifrar el PCAP, importe el nuevo archivo capture-01-dec.cap a Wireshark .

Paso 3. Busque el software antivirus (Avast)

Avast es una de las soluciones de software antivirales más populares del mundo.

Los dominios conocidos de Avast incluyen avast.com y avcdn.net, su red principal de distribución de contenido (CDN). Diariamente, estos dominios se utilizan para obtener bases de datos de virus y actualizaciones de software, así como enviar información de telemetría. Estos dominios se pueden filtrar en Wireshark con el siguiente filtro de visualización.

ip.host ~ "(?i)(avast|avcdn)\.*"

Se pueden agregar muchos dominios antivirus al filtro y separarlos mediante barras verticales (|).

Los resultados anteriores son una fuerte indicación de que la computadora está utilizando el software antivirus Avast. Los datos se pueden inspeccionar más a fondo para identificar las cadenas de agente de usuario comúnmente utilizadas por este proveedor de antivirus.

http.user_agent ~ "(?i)avast*"

Esta secuencia HTTP particular invocó una solicitud POST y entregó algunos datos sin cifrar a un servidor Avast. Como podemos ver, la solicitud se originó en la computadora con Windows 10 con un agente de usuario de Avast.

El cuerpo de la secuencia HTTP contiene algunos datos no cifrados relacionados con el dispositivo de destino. El tipo de CPU, el nombre de host de Windows 10 y la arquitectura de la placa base, así como la versión de Avast y los ajustes de configuración, se pueden descubrir desde una sola secuencia HTTP.

POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-Type: iavs4/stats

ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScFwOtherList=Windows Firewall,
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4

Estos datos son muy valiosos para un atacante en la red, ya que les permite crear una carga específica para ese usuario y sistema operativo.

Además de Wireshark, tshark y grep pueden imprimir y filtrar fácilmente las solicitudes de DNS, respectivamente, en la salida estándar. Agregue sort -u al comando para mostrar solo dominios únicos (es decir, sin duplicados).

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u


Paso 4. Búsqueda de software de firewall (Comodo)

Comodo Firewall es una solución de firewall popular diseñada para monitorear el tráfico entrante y saliente para identificar amenazas y prevenir ataques.

Su configuración del servidor DNS hace que sea difícil para los atacantes de la red a las aplicaciones instaladas enumerar y los sitios web visitados. Aún así, el software de Comodo ocasionalmente verificará si hay actualizaciones de software que le brinden al atacante toda la información que necesitan.

ip.host ~ "(?i)(comodo)\.*"

Para ver los dominios consultados en la salida estándar, examine el PCAP con tshark y filtre las solicitudes de DNS.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name

Es probable que este comando produzca una salida grande que contenga miles de dominios, direcciones IP y entradas duplicadas. Agregue los comandos sort y uniq para contar los servidores más consultados.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c

      1 download.comodo.com
      1 ncc.avast.com
      1 su.ff.avast.com
      2 v10.vortex-win.data.microsoft.com
      1 wireshark.org

Observe que la dirección aparece 72 veces en el PCAP. Una búsqueda rápida y búsqueda de IP sugiere que ha sido un servidor DNS de Comodo durante muchos años. Si bien esto no significa definitivamente que el objetivo tenga instalado el software Comodo, sugeriría que son conscientes de la seguridad.

Pensamientos finales…

Este artículo cubre solo unos pocos filtros de pantalla Wireshark . Hay muchos filtros HTTP , IP y DNS que ayudarían a un pirata informático mientras recopila información sobre el objetivo.

Con una lista completa de software antivirus popular , un atacante generalmente podrá decir con certeza si una máquina Windows objetivo tiene instalado un software de seguridad. Lo que da más miedo es que la enumeración de software se logra sin conectarse a la red Wi-Fi o sin necesidad de acceso físico a la computadora.

Abr 13

Artículo: Espiar el tráfico desde un teléfono inteligente con Wireshark.

Interesante artículo sobre cómo seguir las comunicaciones de nuestro teléfono móvil con la aplicación #Wireshark.

Enlace original: https://null-byte.wonderhowto.com/how-to/spy-traffic-from-smartphone-with-wireshark-0198549/


Entonces, ¿quieres saber qué tráfico está realizando tu teléfono? Si está en la misma red Wi-Fi, es tan simple como abrir Wireshark y configurar algunas configuraciones. Utilizaremos la herramienta para descifrar el tráfico de red WPA2 para poder espiar qué aplicaciones ejecuta un teléfono en tiempo real.

Si bien usar una red encriptada es mejor que usar una abierta, la ventaja desaparece si el atacante está en la misma red. Si alguien más conoce la contraseña de la red Wi-Fi que está utilizando, es fácil ver lo que está haciendo en ese momento usando Wireshark. Puede permitir que un atacante cree una lista de todas las aplicaciones que se ejecutan en el dispositivo al que se dirige y concentrarse en las aplicaciones que podrían ser vulnerables.

Descifrar paquetes cifrados

Cuando usa una red Wi-Fi que usa encriptación WPA2, la seguridad de su sesión se basa en dos cosas. La primera es la contraseña que se usa para generar un número mucho más largo, una PSK o una clave previamente compartida. El segundo es el apretón de manos en sí, que tiene que suceder para establecer una conexión. Si un atacante tiene el PSK en la red Wi-Fi y observa que te unes a la red o te desconecta por un momento, puede descifrar tu tráfico de Wi-Fi para ver lo que estás haciendo.

El contenido de los sitios web HTTPS no podrá verse, pero cualquier sitio web HTTP simple que visite o cualquier aplicación insegura de solicitudes HTTP en su teléfono está a la vista. Puede que esto no parezca un gran problema, pero en solo 60 segundos, es fácil aprender mucho sobre el tipo de dispositivo que estamos monitoreando y qué se está ejecutando exactamente en él. Además, las solicitudes de DNS para resolver los dominios con los que las aplicaciones necesitan hablar para trabajar son fáciles de ver, identificando qué aplicaciones y servicios están activos.

Cómo funciona

Para llevar a cabo este ataque, se deben cumplir algunas condiciones. Primero, necesitamos la contraseña, debemos estar cerca de la víctima para poder registrar el tráfico, y debemos poder expulsar el dispositivo objetivo de la red o esperar a que se reconecte. Abriremos Wireshark y accederemos al menú para descifrar los paquetes de Wi-Fi, agregaremos el PSK para habilitar el descifrado y esperaremos los paquetes EAPOL del dispositivo de destino que se conecta a la red.

Para tener una idea de lo que está haciendo el dispositivo objetivo, utilizaremos filtros de captura para resaltar los paquetes DNS y HTTP que estamos buscando. Para ver una lista completa de todos los dominios que el dispositivo ha resuelto, también podemos ver un resumen de los dominios resueltos una vez completada la captura. Podemos usar esta información para separar fácilmente qué servicios se están ejecutando, incluso si solo se ejecutan en segundo plano y la aplicación no se ha ejecutado en bastante tiempo.

Lo que necesitarás

Para hacer esto, necesitará una tarjeta adaptadora de red inalámbrica capaz de modo de monitor inalámbrico. Puede consultar nuestras guías para seleccionar una que sea compatible con Kali y que admita el modo de monitor.

A continuación, necesitará un teléfono inteligente iOS o Android conectado a la red Wi-Fi que está monitoreando. Puede practicar esto en una red Wi-Fi abierta para ver lo que se supone que debe ver, ya que a veces el descifrado puede no funcionar la primera vez. También necesitará saber la contraseña y el nombre de red de la red Wi-Fi que desea monitorear. Esto le permitirá calcular la clave previamente compartida, lo que nos permitirá descifrar el tráfico en tiempo real.

Paso 1. Descargue Wireshark y conéctese a la red Wi-Fi

Descargue e instale Wireshark si aún no está instalado, y conéctese a la red Wi-Fi en la que se encuentra su destino. Si planea usar un PSK en lugar de una clave de red, debe calcularlo utilizando la herramienta Wireshark antes de hacerlo, ya que es posible que no pueda acceder a Internet durante la captura, dependiendo de su tarjeta.

Una vez que haya descargado Wireshark, ábralo y luego eche un vistazo a sus interfaces de red. Antes de comenzar a capturar, necesitaremos configurar algunas cosas para asegurarnos de que la tarjeta está capturando en el modo correcto.

Paso 2.Configure Wireshark para capturar

En la opción de menú Wireshark, haga clic en el menú “Opciones de captura” en forma de engranaje.

Eso abrirá la ventana de Interfaces de captura , como se ve a continuación.

Paso 3.Comience la captura y escaneo en red para paquetes EAPOL

Si no está conectado a la red en la que se encuentra su destino, no podrá ver ningún paquete porque podría estar en algún otro canal aleatorio. Wireshark no puede cambiar realmente el canal en el que está conectado el adaptador de red inalámbrico, por lo que si no obtiene nada, esa podría ser la razón.

Paso 4.Descifrar el tráfico con la red PSK

Ahora que tenemos apretones de manos, podemos descifrar la conversación desde este punto en adelante. Para hacerlo, necesitaremos agregar la contraseña de red o PSK. Vaya al menú desplegable “Wireshark” y seleccione la opción “Preferencias”. Una vez seleccionado, haga clic en “Protocolos”.

En Protocolos, seleccione “IEEE 802.11” y luego haga clic en “Habilitar descifrado”. Para agregar la clave de red, haga clic en “Editar” junto a “Claves de descifrado” para abrir la ventana para agregar contraseñas y PSK.

Seleccione “wpa-psk” en el menú y luego pegue su clave. Presiona Tabulador , luego guarda haciendo clic en “Aceptar”.

Una vez que esto se haya completado, haga clic en “Aceptar” en el menú Preferencias , y Wireshark debería volver a escanear todos los paquetes capturados e intentar descifrarlos. Esto puede no funcionar por una variedad de razones. Pude lograr que funcionara la mayor parte del tiempo asegurándome de tener un buen apretón de manos (EAPOL) y cambiando entre usar una contraseña de red y un PSK. Si funciona, podemos pasar al paso de analizar el tráfico para seleccionar las aplicaciones en uso.

Paso 5.Escanee en busca de paquetes DNS y HTTP

Ahora que hemos eliminado la protección alrededor del tráfico, Wireshark puede descifrarlos y decirnos qué están haciendo los dispositivos en esta red Wi-Fi para los que tenemos apretones de manos en tiempo real.

1 solicitudes de DNS

Para ver paquetes interesantes, comenzaremos con las solicitudes de DNS. Las solicitudes de DNS son cómo las aplicaciones se aseguran de que las direcciones IP a las que deben conectarse no hayan cambiado. Serán dirigidos a nombres de dominio que generalmente tienen el nombre de la aplicación, lo que hace que sea trivial ver qué aplicación se está ejecutando en el teléfono iPhone o Android y hacer las solicitudes.

Para ver estas solicitudes, utilizaremos dos filtros de captura, dns y http , que nos mostrarán las huellas digitales más obvias que deja una aplicación a través de Wi-Fi. Primero, escriba dns en la barra de filtro de captura y presione Entrar . Si esto no funciona, intente cambiar entre un PSK y una contraseña varias veces. Es una mierda, pero a veces comenzará a funcionar.

Si su objetivo se siente solo, puede ver la respuesta a continuación. Tinder llama al dominio Tindersparks.com, así como a muchos otros servicios. Esta solicitud es una de las más obvias.

Si bien usar Signal es una buena idea, usarlo con una VPN es una mejor idea. ¿La razón? Incluso abrir Signal crea el intercambio a continuación, identificando claramente que el usuario se está comunicando con un mensajero cifrado.

Intentar encontrar esa canción que suena con Shazam deja la siguiente huella digital.

Abrir la aplicación para llamar a un Uber crea las solicitudes que ves a continuación.

A continuación, vemos el efecto de abrir Venmo y una aplicación para transferir dinero. Parece un buen momento para redirigir esta solicitud a otra parte.

2 paquetes HTTP

A continuación, podemos ver que hay varias solicitudes web inseguras usando el filtro de captura http . Estos filtros de captura contienen información como el agente de uso, que nos dirá el tipo de dispositivo que se está conectando. Podemos examinar esto haciendo clic en los paquetes y expandiendo la pestaña “Protocolo de transferencia de hipertexto”.

En este ejemplo, podemos ver solicitudes HTTP inseguras a un servidor de chat. ¿Qué diablos es esto? Simplemente examinar el paquete y resolver el dominio nos da la respuesta de inmediato. ¡Es WeChat! Este teléfono tiene instalado WeChat y, además, las comunicaciones que salen de él no están completamente encriptadas.

Si queremos ver todo lo que se resolvió, podemos hacer clic en la pestaña del menú “Estadísticas” y seleccionar “Direcciones resueltas” para ver todos los dominios que se resolvieron durante la captura. Esta debería ser una lista exhaustiva de servicios a los que el dispositivo se conecta a través de las aplicaciones que se ejecutan en él.

Este desglose hace que sea aún más fácil ver qué estaba haciendo el objetivo.

Wireshark hace de las redes Wi-Fi una cosa arriesgada en la que confiar

Este tipo de monitoreo puede parecer invasivo, pero debe tener en cuenta que su proveedor de servicios de Internet también mantiene un registro de esta información y tiene el derecho de venderla. Si desea evitar este tipo de espionaje, debe obtener una VPN como Mullvad o PIA que le permite ocultar incluso el tráfico local detrás de un cifrado seguro. En un lugar donde podría estar haciendo algo sensible a través de una conexión de datos, también debe considerar el uso de datos celulares siempre que sea posible para evitar este tipo de ataque.

¡Espero que hayas disfrutado de esta guía para usar Wireshark para espiar el tráfico de Wi-Fi! Si tiene alguna pregunta sobre este tutorial sobre descifrado de Wi-Fi, deje un comentario a continuación y no dude en comunicarse conmigo en Twitter @KodyKinzie .

Abr 13

Artículo: Use the Buscador OSINT VM for Conducting Online Investigations

Interesante artículo de “null-Byte” sobre el uso del Buscador OSINT para realizar investigaciones Online.

Enlace original: https://null-byte.wonderhowto.com/how-to/use-buscador-osint-vm-for-conducting-online-investigations-0186611/

For anyone using open source information to conduct an investigation, a balance between powerful tools and privacy controls are a must. Buscador is a virtual machine packed full of useful OSINT tools and streamlined for online research. This program can easily be set up in VirtualBox, and once that’s done, we’ll walk you through some of the most useful tools included in it.

OSINT Investigations

When I showed employees at Uber research tools like TheHarvester and Maltego, the reaction ranged from wide-eyed amazement to suspicious questions about the legality of the programs being used. Most people have similar reactions to the amount and kind of information that can be pulled from open sources. OSINT research tools allow access to the incredible amount of data our society produces, often used as forensic clues to solve a crime or as a method of reconnaissance to allow a hacker to plan their attack.

With all the data available in the digital world, the problem for a researcher is rarely whether or not the information exists; The amount of data that exists is overwhelming and difficult to sort through, but the right data almost always there. Instead, finding the most efficient path to the right data is one of the core challenges an investigator will face; This means using tools much more sophisticated than a Google search to hunt down clues relating to a target. There are a lot of great tools for this out there, but installing and configuring them all can be a pain.

After seeing glaring holes in the operational security of the way many police departments conduct OSINT research, experts Mike Bazzell and David Westcott set out to create a specialized VM specifically to bring together the most effective OSINT tools and customized scripts used by themselves and other investigators. Another focus of this VM was security, stealthiness, and the ability to easily save digital forensic evidence found during an investigation.

Editor’s note: Mike Bazzel’s Buscador OS that’s featured in this article was temporarily taken down from his website due to increased DDoS-style attacks, but it’s back up and running as normal. The OSINT Tools on his website, however, will not be returning because of DMCAs and cease-and-desists from some of the tools.

A VM for Hackers, Researchers & Investigators

Hackers can think of the Buscador OSINT virtual machine like an OSINT-focused version of Kali Linux. Based on Ubuntu rather than Debian, Buscador does not include the formidable set of cyber weaponry that Kali boasts, instead hand-picking a collection of useful OSINT, privacy, and capture tools into one stealthy package. Because avoiding detecting is a goal of both investigators and hackers share, Buscador comes with Tor preinstalled and boasts other helpful privacy tools.

Buscador VM is also capable of being booted from a USB thumb drive on any available computer, as well as being loaded onto the hard disk and booted directly. This allows the flexibility of using it anywhere you have access to a computer, regardless of whether or not you have your personal device with you. At 3.5 GB, the VM image is compact and easy to carry on a flash drive that’s 8 GB or more.

Extensively documented in Mike Bazzell’s book, “Open Source Intelligence Techniques,” Buscador encourages good research habits and empowers researchers to find more clues in their investigations. Some familiar tools such as MaltegoRecon-ng, Creepy, SpiderfootTheHarvesterSublist3r, and other tools we’ve covered on Null Byte are preinstalled.

Get Bazzell’s Book on Amazon: Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information

What You’ll Need

Trying out Buscador is easy. You’ll need to download the most current version of Buscador from the IntelTechniques website. The most current VirtualBox version as of June 2019 is Buscador 2.0.

Next, you’ll need to download VirtualBox, as well as the VirtualBox Extension Pack to run the virtual machine. Make sure to install both before continuing, as running Buscador without the extension pack can make using Buscador more annoying by requiring you to hit an escape sequence to release the mouse from the VM.

Once you’ve installed both VirtualBox and the VirtualBox Extension Pack, you can proceed to the first step of setting up Buscador. (Note: There is Buscador is also available for VMWare.)

Step 1Import & Configure the Virtual Appliance

First, we will need to import the appliance and adjust a few settings. Open VirtualBox, and in the drop-down menu, click on “File” and then “Import Appliance” to select the Buscador .OVA file you downloaded previously. Then, select “Continue.”

Go ahead and click “Import” to load the virtual machine.

Next, click on “Settings,” and in the “General” tab, rename the Buscador VM to something you will remember. Under “Advanced,” change “Shared Clipboard” to “Bi-Directional” to allow copying and pasting between the guest and host system.

Click on the “System” tab, and under “Motherboard,” add about half of the total system RAM to the virtual machine. Then, click the “Display” tab and then “Screen” to increase Video Memory to at least 128 MB, to allow for video and other digital evidence to be displayed properly.

When this is done, click on the “Storage” tab, then click on the plus-shaped icon in the lower-left corner, select “Add Optical Drive,” and then select the “Leave Empty” option.

Finally, click on the “Shared Folders” tab, and select the plus-shaped icon on the right. Now, you can create or select which folder you want to use to save evidence from Buscador onto your computer. Once this is selected, make sure the folder is set to “Auto-mount.”

With this complete, you’re ready to run Buscador for the first time. Click “OK” to save the settings, and then select the Buscador VM from the list of VMs in VirtualBox, and click the green “Start” button.

Step 2Run Buscador for the First Time

After Buscador boots, you should find yourself at a login menu with a spooky OSINT guy, possibly a self-portrait of Mike Bazzell, as the wallpaper. The default username is osint, and you can log in with the password osint.

Once you’ve logged in and the desktop has booted, click on the “Devices” tab at the top of the VirtualBox menu, and then select “Insert Guest Additions CD Image” to show the CD in Buscador. If it doesn’t auto-run, select the CD on the desktop, then click “Run Software” to auto-run the Guest Additions installer. Once it’s finished installing, restart the virtual machine.

After logging in again and loading the desktop, open a terminal window. We’ll need to add the “osint” user to the “vboxsf” user group, and to do so, we’ll type the following and press Return/Enter.

sudo adduser osint vboxsf

Supply the password (osint) and then reboot the VM again when the process is complete.

Now that these steps are complete, your Buscador is set up and ready to use!

Step 3Take Advantage of Browser Extensions

Buscador offers a number of browsers preconfigured with the most useful add-ons and extensions for investigators. This curated list focuses on capturing clues you find for further review and analysis, and we’ll jump into some of the most useful ones included for Firefox first.

Firefox Browser Add-Ons

Firefox is a fast and powerful browser that comes packed with eight browser add-ons installed in Buscador. You’ll see the icons tucked into the top right of the browser. The first two, Nimbus Capture and FireShot, are for taking detailed screenshots of pages of interest, allowing you to archive them, make notes on them, or even make PDF copies of websites.

Next up are two browser extensions for collecting video and audio posted online. These allow you to save any video files either individually or in bulk using Video DownloadHelper and Bulk Media Downloader, respectively.

Ublock Origin should be a familiar sight to anyone who doesn’t want to be tracked or see ads in their content, but the User-Agent Switcher might be an interesting new toy for many researchers. The User-Agent Switcher add-on changes the operating system and browser type your browser sends each time it makes a request, allowing you to pretend to be any kind of device you want. This is useful for getting the mobile version of a webpage or doing something you can’t do on a desktop device (like posting a photo to Instagram).

The last two add-ons for Firefox are Google Translate, to provide a quick translation of pages in other languages, and the super-helpful Resurrect Pages, which can find old versions of webpages that have been changed or taken down, allowing you to see what people try to hide.

Chrome Browser Extensions

Google Chrome, which opens by default into Incognito mode, is also included in Buscador. It boasts even more extensions than Firefox, including Ublock Origin, Fireshot, and 15 other extensions.

The Lightshot screen capture extension replaces Nimbus in Chrome, with 360social and Prophet adding tools for searching social websites for more information about a person, like email addresses.

For analyzing websites, Chrome has a User-Agent Switcher and Wappalyzer, which will break down and tell you the underlying technology any website is built on.

Shodan as a browser extension is also extremely helpful, allowing discovery of information in Shodan about a particular website you’re on. Privacy tools like HTTPS Everywhere and WebRTC Leak Prevent aim to keep the investigator insulated from malicious websites or possible detection.

These browser tools can be used together in clever ways to pull off attacks like tracking down a user’s Tinder profile.

Step 4Use the Helpful Included Tools

Aside from Maltego Community Edition, there are several tools that have been well-documented on Null Byte which are included in Buscador. You should check out these OSINT staples to get a feel for what Buscador has to offer.

For email scraping, Buscador comes with TheHarvester, which allows you to search for all email addresses on a domain you’re interested in.

Spiderfoot, a powerful cross-platform OSINT tool, is also included. Spiderfoot autonomously gathers information about a target and transforms the results into an easy to understand report.

Based on Metasploit, Recon-ng is a complete Python module for reconnaissance developed by Tim Tomes which is popular with hackers and investigators.

While we haven’t covered all the tools available in Buscador on Null Byte, there are many useful customized scripts for downloading videos and images from targeted social media accounts and other places people share information about themselves. These tools allow us to intake, process, and analyze impressively large amounts of data with only a few clicks.

We’ll cover some of these tools in more detail in an upcoming tutorial, but if you’d like to learn more about Mike Bazzell’s OSINT techniques, you can check out his book.

Buscador Can Help You Follow the Clues

After setting up Buscador, I recommend checking out one of Null Byte’s guides on the included OSINT tools to get a head start on conducting your first investigation. It’s important to practice using these tools to answer a question rather than fishing for information. Without doing so, you’re likely to get lost in the sea of information OSINT tools can return. There is little value in all of this data if it cannot clearly answer a question which guides the investigator’s understanding of the situation forward.

Because no investigation can succeed without answering well-posed questions, the goal of this specialized VM is to support a researcher by bringing together all the tools and data they need to decide which questions to ask. If you need a powerful and convenient system for conducting investigations beyond the scope of a Google search, Buscador will help you find the answers you’re looking for.

I hope you enjoyed this guide to setting up the Buscador OSINT virtual machine! If you have any questions about this tutorial on Buscador or you have a comment, feel free to reach me on Twitter @KodyKinzie.

Abr 08

Artículo: ¿Es seguro aceptar que Google Chrome almacene nuestra contraseña?

Probablemente todos los usuarios del navegador Google Chrome conozcan la famosa ventana que pregunta si queremos almacenar nuestra contraseña al iniciar sesión en alguna página web. En este artículo explicaremos el mecanismo que utiliza para almacenar y proteger aquellas contraseñas que aceptamos guardar y analizaremos algunos aspectos de la seguridad de estos.

¿Como se almacenan los datos de inicio de sesión en Chrome?

Al hacer clic en el botón “aceptar” estamos permitiendo que Google Chrome guarde en el equipo tanto el usuario como la contraseña que fueron ingresados en el formulario de inicio de sesión de un sitio web. Más específicamente, estos datos se almacenarán en una base de datos SQLite3 ubicada generalmente en la dirección:

%LocalAppData%\Google\Chrome\User Data\Default\Login Data 

El archivo que contiene la base de datos es utilizado únicamente por Google Chrome, por lo que se supone que ningún otro software benigno accederá al mismo. En cuanto a la estructura interna de esta base de datos, sus tablas tienen los siguientes campos:

Imagen 1. Tablas y campos de la base de datos utilizada para guardar las contraseñas.

Estas tablas contienen toda la información necesaria para que el mecanismo de recuerdo de contraseñas funcione correctamente. Luego, nuestros datos de inicio de sesión serán almacenados principalmente en la tabla “logins”, siendo los campos “username value” y “password_value” aquellos que contienen la información más sensible. Sin embargo, por sí solos estos campos no tienen utilidad, ya que Google Chrome también necesita conocer a qué sitio web se corresponden esas credenciales. Aquí entra en juego otro campo de la misma tabla: “origin_url”, el cual contiene la dirección del sitio donde fueron utilizadas. Los demás campos contienen otros elementos que aportan al correcto funcionamiento del mecanismo, pero en menor medida.

Cabe destacar que por motivos básicos de seguridad las contraseñas no son almacenadas en texto plano; es decir, sin cifrar. Por el contrario, en los sistemas Windows, Google Chrome utiliza una función de cifrado provista por el sistema operativo: CryptProtectData (Crypt32.dll).

Esta función tiene la peculiaridad de estar diseñada para que los datos cifrados por ella solo puedan ser descifrados por el mismo usuario del sistema operativo que había iniciado sesión al momento de cifrar la contraseña. Más aun, también podría ser configurada para que los datos cifrados solo puedan ser descifrados en la misma computadora donde se los cifró. Es decir, a diferencia de las funciones de cifrado más generales, esta función no utiliza una clave particular definida por el usuario, sino que utiliza directamente las credenciales de acceso del usuario en el sistema operativo en sí.

Por lo tanto, si un cibercriminal quisiera robar dichas credenciales, no tendría otra opción que descifrarlas habiendo iniciado sesión en la computadora y utilizando el mismo usuario que las creó y transferirlas posteriormente.

¿Qué riesgos presenta el uso de este mecanismo para almacenar contraseñas?

El mayor riesgo que presenta es que si un atacante tuviese acceso a la computadora podría obtener fácilmente las contraseñas, descifrarlas y robarlas en texto plano. Este tipo de comportamiento ha sido observado en múltiples códigos maliciosos e incluso en troyanos bancarios dirigidos específicamente a Latinoamérica, donde se pretende robar credenciales de acceso a sitios de banca en línea.

La dinámica de estos ataques es sencilla. De la misma forma en que anteriormente se obtuvo la estructura interna de las tablas también se puede conseguir el contenido de estas. A modo de ejemplo:

Comenzamos intentando iniciar sesión en Facebook con un usuario y contraseña ficticios. Cuando el navegador nos indique, hacemos clic en la opción para que Google Chrome guarde nuestras credenciales.

Una vez que nuestro nombre el usuario y contraseña fueron almacenados en la base de datos de Google Chrome, procedemos a buscar el archivo donde se guarda esta información.

Finalmente, basta con abrir el archivo con algún programa que permita visualizar bases de datos (en este ejemplo: DB Browser for SQL Lite).

Una vez abierto con DB Browser, al dirigirnos a la tabla “logins” podemos encontrar las entradas donde se encuentran los datos para el inicio de sesión, que incluyen: URL, usuario y contraseña. Como puede observarse en el recuadro rojo ubicado a la derecha en la Imagen 4, la contraseña almacenada está cifrada en una estructura BLOB y, al hacer clic en ese campo, el programa nos muestra la representación hexadecimal de la misma.

En este punto el atacante ya cuenta con el usuario, el sitio web y la contraseña cifrada, por lo que únicamente resta realizar el paso final: descifrarla. Para realizar esto se aprovecha del hecho de contar con acceso (físico o virtual) al equipo en cuestión, ya que es altamente probable que el usuario activo sea el mismo que guardó previamente la contraseña, permitiéndole al atacante descifrarla fácilmente utilizando la función: CryptUnprotectData (la función inversa a la mencionada previamente).

Todos estos pasos pueden ser realizados por un malware de forma rápida y automática. Sin embargo, el malware no es el único riesgo que debemos tener en cuenta, ya que actualmente existen múltiples programas de fácil acceso a través de una búsqueda online que son capaces de realizar estos mismos pasos. Esto no es un detalle menor, ya que estos programas permiten que personas con nulos conocimientos técnicos, pero con acceso físico a la computadora desbloqueada, puedan robar las credenciales del mismo modo que lo haría un malware.


Si bien es cierto que el mecanismo de almacenamiento utilizado por Google Chrome representa un riesgo de seguridad únicamente en los casos en que el equipo ya se encontraba previamente comprometido o expuesto, la utilización de esta funcionalidad añade un vector de ataque adicional que podría ser explotado por un cibercriminal o usuario malintencionado.

Es importante remarcar que todos los riesgos mencionados se limitan únicamente a este mecanismo, es decir, al riesgo de que las contraseñas allí almacenadas sean robadas. Por lo tanto, se recomienda no utilizar esta funcionalidad y, en caso de hacerlo, no utilizarla para guardar contraseñas de servicios importantes, como podría ser la banca en línea, redes sociales, portales médicos, o aquellos que contengan información personal.

Mar 28

Todavía no sabes lo que tienes que hacer ? #yomequedoencasa

Vinicius, el pulpo del Acuario de Zaragoza, nos dice lo que tenemos que hacer todos.

Mar 25

Artículo: Informes sobre Buenas Prácticas. CCN-CERT

Recomendaciones de seguridad elaboradas por el CCN-CERT.

Enlace: https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp.html

Entradas más antiguas «