Blog de Seguridad de la Información de S2 Grupo
1. ¿Qué dirección IP tiene el puesto de usuario?
El registro lo sabe TODO. En este caso, el hive SYSTEM:
Un poco de RegistryExplorer y ya tenemos la respuesta:
* Respuesta: 74.118.138.195
2. ¿Cuál es el SID de la cuenta de Administrador? [Read more…]
1. ¿Cuál es el número de serie del volumen de la única partición de la imagen de disco del servidor de ficheros?
El número de serie del volumen es un valor hexadecimal que se genera cuando se crea el sistema de ficheros. La documentación de Microsoft nos dice que para sistemas de ficheros NTFS lo tenemos en la posición 0x48 del BPB (Bios Parameter Block), que es parte del sector de arranque. Este sector lo tenemos en el disco en el $boot (en el raiz del disco). Montamos el disco con FTK Imager y accedemos al valor hexadecimal:
Ahí tenemos el valor: 652496C0. [Read more…]
Comentaban unos alumnos del curso de análisis forense hace unas cuantas semanas la dificultad de conseguir experiencia en forense y respuesta ante incidentes, no sin parte de razón. En muchas ocasiones yo comparo, salvando las obvias distancias, el trabajo de DFIR (Digital Forensics and Incident Response) con el de un bombero: gran parte del tiempo de relajación mezclado con una pequeña parte de tiempo de intensidad y stress máximos.
Aquí estamos, sin embargo, no siendo del todo exactos: ¿qué hacen los bomberos cuando no se deslizan por el tubo y salen corriendo a salvar gente? La respuesta es muy sencilla: ENTRENAN.
En el mundo DFIR el entrenamiento es fundamental, ya que en muy pocos trabajos se está el 100% del tiempo “en harina” (hay que tener en cuenta que estar en un incidente a máxima capacidad de trabajo durante un periodo largo de tiempo cuesta, y mucho). El entrenamiento, además, permite detectar carencias y áreas de mejora, así como afianzar conceptos y aprender nuevas formas de hacer las cosas. [Read more…]
Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.
[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]
Nos gustaría responder a estas preguntas:
Ya llevamos una buena parte del reto forense desgranado en los artículos anteriores. Ahora viene la parte buena…
Linux way
Entramos en harina de otro costal. Al parecer se ha producido un ataque contra el equipo, así que por fin nos podemos poner en modo investigador/cazador. Tenemos varias vías de investigación, siendo la más sencilla examinar las conexiones que se puedan observar en la memoria vía el comando netscan de Volatility. [Read more…]
En el primer artículo abrimos boca con algunas cuestiones del forense, así que ahora toca continuar con el primer plato.
ProtonMail es un servicio de correo web diseñado teniendo en cuenta la seguridad. Cuando un usuario se crea una cuenta, debe generar a su vez unas claves que cifran todos sus correos. De esta forma ProtonMail (si nos fiamos de ellos, por supuesto) nunca va a tener acceso a los datos del usuario al estar cifrados de forma segura.
[Read more…]
La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.
Aquí tenéis los últimos que han llegado a mis manos:
Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad :D
[Read more…]
Hoy os traemos una entrada de Ramiro Pareja Veredas, analista de seguridad en Riscure, empresa especializada en evaluar y testear la seguridad de Smart cards o dispositivos embebidos. Si sois amantes del hardware hacking, las comunicaciones móviles o la tecnología RFID no dudéis en visitar su Web, Tech for fun o la charla que, junto con Rafa Boix, dio en el último CCC 2015, “Hardware attacks: hacking chips on the (very) cheap”.
Como ya os comentamos hace unos meses, durante la BlackHat Europe 2015 arrancó la primera edición del RHme+ (Riscure Hack me) challenge, una prueba CTF sobre una placa Arduino. El objetivo del juego consistía en extraer de un Arduino las claves criptográficas usadas para autenticar a los usuarios. Podéis consultar las soluciones en este enlace.
[Read more…]
Esta entrada corre a cargo de @tunelko, analista de seguridad miembro de @DefConUA y apasionado jugador de competiciones CTF.
En el anterior artículo de esta serie empezamos a hablar sobre algunas diferencias y enfoques existentes en las competiciones de seguridad.
Se me olvidó comentar que hay dos tipos de plataformas donde podréis jugar. Las que te cobran por participar (huid!) y las que son organizadas de forma altruista por personas que invierten su tiempo a cambio únicamente de la satisfacción de que otros puedan aprender. No voy a ser yo quien diga a nadie cómo tienen que ganarse la vida los demás pero sí me gustaría advertir que existen competiciones de pago que, al menos para mí, me parecen engañosas. ¿Una plataforma de retos tan atractiva que hay que pagar? ¿Qué diferencias existen con las demás? Otra cosa bien distinta es que, con algún tipo de certificación o curso te den acceso a laboratorios o competiciones para poder poner en práctica los conocimientos. ¡Sí!, eso sí me gusta :).
Esta entrada corre a cargo de @tunelko, analista de seguridad miembro de @DefConUA y apasionado jugador de competiciones CTF.
Disclaimer: Este artículo es simplemente la opinión de su autor a través de la experiencia en años de competición. No intenta establecer base de ningún tipo en modo alguno.
A lo largo de estos años hemos ido leyendo cada vez más y más acerca de las llamadas competiciones de seguridad informática o “Capture The Flag” en el sector. He tenido la suerte de participar en algunas competiciones CTF, tanto nacionales como internacionales, en equipo o de forma individual, y en las más variadas formas que uno pueda imaginar. Si lees este blog, ya habrás visto algún artículo relacionado con el tema, así que supongo que ya sabrás en qué consiste eso de los CTF, ¿verdad? :)
De forma muy resumida podemos decir que son competiciones entre personas o equipos para conseguir superar un número determinado de pruebas técnicas de diversas disciplinas. Aquí os dejo un enlace donde podéis ampliar toda esta información inicial.
