Posts Tagged ‘ IDS ’

Protégete de Metasploit con Patriot NG 1.0 !!!

Saludos N3WB13S

Los tenia un poco abandonados pero bueno vine con algo bueno, se trata de Patriot NG 1.0 herramienta de la cual me entero gracias a  Security by Default, quise traerselas porque nunca sabemos cuando ni quien nos ataca y con esta tool podremos curarnos un poco en salud…

 

Que es Patriot NG 1.0 ?

Según sus creadores de Security Proyects es una herramienta de tipo ‘Host IDS’ que permite monitorizar en tiempo real cambios en sistemas Windows.

Que Monitoriza Patriot ?

  • Claves del registro: Indicando si alguna key sensible (autorun, configuración Internet Explorer …) es alterada
  • Ficheros en los directorios ‘Startup’
  • Nuevos usuarios creados en el sistema
  • Nuevos servicios
  • Cambios en el fichero Host
  • Nuevos trabajos en el ‘Task Scheduler’ de Windows
  • Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)
  • Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
  • Nuevos Drivers cargados en el sistema
  • Nuevos recursos compartidos NetBios
  • Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans …)
  • Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs …)
  • Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)
  • Conexiones al sistema por NetBios a recursos compartidos

Detectando un ataque  !!

El exploit que usaremos va a ser windows/browser/ms10_046_shortcut_icon_dllloader (el fallo de los .lnk), el cual vamos a explotar a través de Internet Explorer. Como payload usaremos windows/shell_reverse_tcp para obtener el control del equipo remoto mediante consola de comandos.

Metasploit abrirá un puerto, al que conectaremos con IE. La configuración es la siguiente:

Al conectar al puerto, IE abre una carpeta compartida donde tenemos el .lnk y un .dll. Patriot nos avisa de que ha detectado una ventana oculta del proceso cmd.exe y una nueva conexión abierta por el proceso svchost.exe. Esto significa que en un principio el ataque está funcionando, ya que si cmd.exe se está ejecutando quiere decir que el payload se ha cargado.

Vamos a decirle a Patriot que permita las conexiones de red, y que nos muestre la ventana oculta del proceso cmd.exe:

Ahí tenemos la consola con la que interactúa nuestro atacante, la cual estaba oculta pero Patriot ha hecho visible. Si la cerramos, la interacción con la víctima por el lado de Metasploit termina, es decir, el atacante pierde el control sobre la máquina afectada.

Este es un ejemplo sencillo con el que podemos ver como Patriot puede hacer visibles ventanas ocultas, y como nos ayuda a repeler (e incluso «desmantelar») un ataque de este tipo.

2010
10/19
POSTED BY
CATEGORY
Herramientas
Seguridad en Redes
TAGS

Deja un comentario

Documentacion Networking y Seguridad en redes.

Saludos amigos .

En el dia de hoy estaba en busca de unos docs  sobre Snort para mi colega exxteban me encontre con una info muy exquisita que me fue de gran utilidad cuando estudiaba admon de redes de pc, y se las traigo porque se que les va a gustar mucho, en especial a las personas que estan metidas en el mundillo del networking, que por cierto me apasiona full.

Bueno basta de chachara , al grano…  Los documentos en si tratan temas como :

– Tutorial De Subnetting

– Linux server – los mejores trucos

– Configuracion de Snort (IDS)

– Creacion de iptables

– Configuracion de proxy (Squid)

– Configuracion De Listas de Acceso (ACL)

– Configuracion de Proxy (squid).

– Configuracion Rapida de un Router Cisco

– Seguridad en Router Cisco

–  Creacion Vlan en switch cisco.

Espero que sea de su utilidad.

Slds.

2010
09/13
POSTED BY
CATEGORY
Descargas
Networking
TAGS













2 comentarios

Licencia

Los comentarios son propiedad y responsabilidad de sus autores. Las imágenes de películas, emisiones de TV o publicaciones son propiedad de sus autores.