Análisis Forense (I)
Parte I – Preparando el entorno
En este post voy a compartirles un poco la experiencia de unas clases de análiss forense tomadas con @r0bertmart1nez, así que empezaremos con la primera parte que consiste en preparar el entorno -tener el malware en el cliente- para posteriormente realizar el análisis forense, entonces manos a la obra.
Escenario del laboratorio:
- Víctima: Windows 7 (sin ningún antivirus)
- Atacante: BT5R1
- Wmware Player 4.0.4
- Utilizando SET (Social Engineer Toolkit) elejiremos un modelo de llegar a nuestra víctima con el malware, en este caso, lo haremos por phishing a algún sitio en particular, si quierer saber más de SET revisen este post de @Dragonjar
Fig 1. Iniciar SET dentro de BT
Una vez iniciado SET vamos a elegir las siguientes opciones, no entraré en detalle de su objetivo, para ello pueden visitar el enlace anterior de SET y ver el detalle de cada uno de las opciones, solo mencionaré que la inyección se realizará mediante un applet de java con phishing.
VMware Workstation Full-8.0.4-744019 en Kubuntu 12.04
Retomando un poco mi blog voy a comentar muy raṕido como instalar VMware Workstation Full 8.0.4 en Kubuntu 12.04 con un kernel 3.2.0-27-generic.
- Descargar WMware Workstation de aquí, registrarse para otener una licencia de 30 días de prueba.
- Cambiar los permisos para ejecución:
$chmod +x VMware-Workstation-Full-8.0.4-744019.i386.txt |
- Procedemos a instalar
$ sudo sh VMware-Workstation-Full-8.0.4-744019.i386.txt |
- Si en caso de obtener un error al compilar el dispositivo para red «Virtual Network Device» debemos descargar un parche desde aquí.
- Posterior a descomprimir:
$tar -xvf vmware803fixlinux320.tar.gz |
- Editamos el archivo extraido:
- vi patch-modules_3.2.0.sh
- Y cambiamos:
vmreqver=8.0.3 por vmreqver=8.0.4 plreqver=4.0.3 por plreqver=4.0.4 |
- ahora ejecutamos y si todo va bien ya estaremos listos para continuar con la instalación.
$ sudo sh patch-modules_3.2.0.sh |
Espero este resumen les pueda servir.
Actualización 21/07/2012:
Si persisten los problemas de no mostar los dispositivos de red aún cuando puedan iniciar el vmware, vamos a realizar los pasos indicados en este post:
http://communities.vmware.com/message/2045666#2045666
Copiado y en resumen:
Descargar el parche: http://weltall.heliohost.org/wordpress/wp-content/uploads/2012/01/vmware802fixlinux320.tar.gz
Yo utilicé solo estos pasos:
1. Ir a «/usr/lib/vmware/modules/source»
2. Extraer «vmnet.tar» con «tar xvf vmnet.tar»
3. Aplicar el parche «patch -p1 < /home/user/Downloads/vmware3.2.0.patch»
4. Reconstruir el archivo «tar cvf vmnet.tar vmnet-only/»
5. Iniciar el vmware kernel module updater así: «sudo vmware-modconfig –console –install-all»
Con esto debería funcionarles igual que a mi.
Referencias:
Primera Reunión FLISOL LOJA – 2011
Resumen:
Hoy fue la primera reunión de los voluntarios para la organización del FLISOL-LOJA 2011, en esta reunión se contó con la presencia de 8 apasionados por el Software Libre, personas con espíritu de colaboración y con ganas de empujar con fuerza la adopción del SL en nuestra ciudad «Loja», además de ser personas comprometidas con el desarrollo del FLISOL-LOJA 2011.
Evaluando las lecciones aprendidas de años anteriores, se vió la necesidad de sentar un precedente en la realización del FLISOL es por eso que este año queremos enfocarnos a generar un «Caso de Éxito Uso» de migración y uso de alternativas libres en una unidad educativa, como candidato potencial tenemos a un colegio <el nombre lo comentaré una vez confirmado su participación> que está interesado en ser pionero en la adopción de Software Libre en su unidad académica, esperando alcanzar resultados exitosos de tal forma que le podamos dar un giro a la realización del FLISOL de años anteriores.
Es por ello que hemos puesto como punto de partida tener una reunión y levantar los requerimientos de la unidad educativa para posteriormente presentar un documento que plasme el proyecto en el cual el FLISOL será el ejecutor de la adopción de SL en dicha unidad educativa.
Como comenté la idea de realizar este proyecto como parte del FLISOL es sentar un precedente, dejar un «producto» un resultado tangible de lo que es Software Libre.
Cualquier comentario respecto a este tema es bienvenido.
Los asistentes a esta primera reunión fueron:
- Milton Labanda (UNL) Coordinador ESOL @miltonlab
- Darwin Betancourt (Municipio de Loja, DRUPAL Ecuador) @1mdarwin
- Alexander López (UTPL) Instructor Academia Linux @zepolar
- Victor Ignacio Cueva (UNL)
- Milton Canuza (Municipio de Loja Quipux) @micron_78
- Rommel Gutierrez (UTPL) – @ragutierrezcroa
- Christian Mora (UTPL) – @christmo
- Carlos Córdova (UTPL) – Instructor Academia Linux @karlozkordova
PD1: Espero que para la segunda reunión tengamos más voluntarios y gente comprometida.
PD2: La foto la subiré mañana, bueno más tarde.
PD3: Ya estoy con sueño 😀
Actualización:
JoikuSpot unido con red Ad-hoc a Kubuntu 9.04
Con la necesidad cada vez mayor de estar conectado al mundo y que por el momento no tengo otro medio en mi casa, decidi echar mano de lo que se tiene, y para ello usar la red 3g de mi proveedor de telefonia para accerder a internet.
Navegando por www.aplicacionesnokia5800.com encontré esta aplicacion JoikuSpot que en resumen hace que tu teléfono celular con una interfaz wireless se convierta en un Punto de Acceso y puedas usar tu servicio de navegacion 3g para compartirla, de esta forma otros equipos puedan compratir tu conexion y navegar, bueno más detalle de la instalación y descarga para el nokia 5800 aquí y aquí.
El post va enfocado en mi problema en particular, que surge cuando en mi kubuntu 9.04 no me deja unirme a la red Ad-Hoc que se crea con el JoikuSpot, usando el kdeNetworkmanager, nunca se une a la red (por problemas de setear el tipo de red y el canal de la conexión), después de navegar por varias páginas con los mismos problemas por los driveres, la versión, tipo de red, etc, etc, econtré la solución que a mi me funcionó:
Los detalles de mi tarjeta inalambrica con un lspci:
2:00.0 Network controller: Intel Corporation PRO/Wireless 4965 AG or AGN [Kedron] Network Connection (rev 61)
Aqui el resumen de los comandos utilzados:
SafeNet ikey 2032 en Thunderbird para firmar y cifrar mails.
Una vez instalado nuestros drivers y la aplicación para leer nuestro Token ikey 2032 (aqui las indicaciones) procedemos a cargarlos en nuestro cliente de correo en mi caso Thunderbird.
- Deben tener creada una cuenta en el Thunderbird
Seguidamente vamos a cargar el módulo para que el Thunderbird pueda leer nuestro Token
- Edit –> Account Settings –> Security –> Security Devices
- Ir a la opcion de «Load» donde nos presentara una opción para el nombre y otra para el path del módulo en el Nombre podemos poner cualquiera y en el path: «/usr/local/SafeNet/lib/libsfntpkcs11.so.2.0.0.7»
Linux Token Utility (SafeNet ikey 2032) en Kubuntu jaunty 9.04
Hace un par de meses compramos los Tokens con nuestros Certificados Digitales al Banco Central del Ecuadror, sin embargo los drivers estaban únicamente disponibles para la plataforma windows, lo que me ataba al Outlokk para firmar mis correos (razón por la cual no lo usaba aun a mi Token), sin embargo ya esta liberada una versión para los linuxeros, pero esta es únicamente para los Ubuntu 7.04 y 8.04 (y otras), sin embargo con una par de enlaces se puede solucionar el problema, aquí los pasos para instalar el TokenUtility en Kubutnu 9.04
Lo primero es descargar los drivers de aquí: http://www.bce.fin.ec/documentos/ElBancoCentral/EntidadCert/BSecPKLinux-2.0.0.0007.zip
A continuación el detalle de la instalación:
Escenario y cultura de la Web social – José Luis Orihuela
Hace algunos días estuvo presente en Ecuador José Luis Orihuela, quien realizó una charla sobre el Escenario y Cultura de la Web Social, les invito a ver toda la charla que realemnte es interesante y da un enfoque muy claro de lo que esta pasando con las redes sociales, actores, comunicadores, que es lo que hoy mismo esta pasando en la Web, de la mano nos brinda una receta con 10 pistas para medios que quieren cambiar su comportamiento en la Web.
Para que puedan seguirlo dejó aqui su bog: http://www.ecuaderno.com/
En éste enlace está la presentación en Slideshare.
El video gracias al canal de la UTPL en Youtube.
KDE 4.2 en Kubuntu 8.10
Que tal amigos, despues de instalar la versión alpha de Kubuntu 9.04 en la computadora de mi trabajo me brincó la idea de portar este escritorio a mi Kubunut 8.10 y bueno aqui una pequeña receta y enlaces para que vean el proceso.
Primero para enterarte de las novedades con nuestro buen kubuntu a ver si de dan una vuelta por aquí para las últimas noticias.
Para instalar el escritorio KDE 4.2 en el enlace que les muestro están las indicaciones precisas.
http://www.kubuntu.org/news/kde-4.2
Y para instalar un buen reproductor como es el amarok revisa este enlace.
http://www.kubuntu.org/news/amarok-2.0.1.1
Bueno no he vuelto a escirbir los pasos sino indicar donde se encuentran y listo, aunque quizas tengan un par de problemas con las claves GPG de los repositorios para lo cual les recomiendo revisen este hilo.
Y mis impresiones… pues que es un escritorio mucho más estable y trabajado tanto en su aspecto gráfico como en su interior, a mi la verdad me ha gustado mucho la usabilidad del mismo, pues voy a trabajarlo y estaré escribiendo sobre algunos bugs que se me puedan presentar, por cierto el plasma y sus gadgets están mucho más estables y tienes más de donde elegir sin perder el performance de tu equipo y desde ya les digo que esta versión va por buen camino y posiblemente se convierta en la selección de muchos.
Pues suerte con su actulización y disfrutenla.