Análisis Forense (I)
Parte I – Preparando el entorno
En este post voy a compartirles un poco la experiencia de unas clases de análiss forense tomadas con @r0bertmart1nez, así que empezaremos con la primera parte que consiste en preparar el entorno -tener el malware en el cliente- para posteriormente realizar el análisis forense, entonces manos a la obra.
Escenario del laboratorio:
- Víctima: Windows 7 (sin ningún antivirus)
- Atacante: BT5R1
- Wmware Player 4.0.4
- Utilizando SET (Social Engineer Toolkit) elejiremos un modelo de llegar a nuestra víctima con el malware, en este caso, lo haremos por phishing a algún sitio en particular, si quierer saber más de SET revisen este post de @Dragonjar
Fig 1. Iniciar SET dentro de BT
Una vez iniciado SET vamos a elegir las siguientes opciones, no entraré en detalle de su objetivo, para ello pueden visitar el enlace anterior de SET y ver el detalle de cada uno de las opciones, solo mencionaré que la inyección se realizará mediante un applet de java con phishing.
VMware Workstation Full-8.0.4-744019 en Kubuntu 12.04
Retomando un poco mi blog voy a comentar muy raṕido como instalar VMware Workstation Full 8.0.4 en Kubuntu 12.04 con un kernel 3.2.0-27-generic.
- Descargar WMware Workstation de aquí, registrarse para otener una licencia de 30 días de prueba.
- Cambiar los permisos para ejecución:
$chmod +x VMware-Workstation-Full-8.0.4-744019.i386.txt |
- Procedemos a instalar
$ sudo sh VMware-Workstation-Full-8.0.4-744019.i386.txt |
- Si en caso de obtener un error al compilar el dispositivo para red «Virtual Network Device» debemos descargar un parche desde aquí.
- Posterior a descomprimir:
$tar -xvf vmware803fixlinux320.tar.gz |
- Editamos el archivo extraido:
- vi patch-modules_3.2.0.sh
- Y cambiamos:
vmreqver=8.0.3 por vmreqver=8.0.4 plreqver=4.0.3 por plreqver=4.0.4 |
- ahora ejecutamos y si todo va bien ya estaremos listos para continuar con la instalación.
$ sudo sh patch-modules_3.2.0.sh |
Espero este resumen les pueda servir.
Actualización 21/07/2012:
Si persisten los problemas de no mostar los dispositivos de red aún cuando puedan iniciar el vmware, vamos a realizar los pasos indicados en este post:
http://communities.vmware.com/message/2045666#2045666
Copiado y en resumen:
Descargar el parche: http://weltall.heliohost.org/wordpress/wp-content/uploads/2012/01/vmware802fixlinux320.tar.gz
Yo utilicé solo estos pasos:
1. Ir a «/usr/lib/vmware/modules/source»
2. Extraer «vmnet.tar» con «tar xvf vmnet.tar»
3. Aplicar el parche «patch -p1 < /home/user/Downloads/vmware3.2.0.patch»
4. Reconstruir el archivo «tar cvf vmnet.tar vmnet-only/»
5. Iniciar el vmware kernel module updater así: «sudo vmware-modconfig –console –install-all»
Con esto debería funcionarles igual que a mi.
Referencias:
KDE 4.2 en Kubuntu 8.10
Que tal amigos, despues de instalar la versión alpha de Kubuntu 9.04 en la computadora de mi trabajo me brincó la idea de portar este escritorio a mi Kubunut 8.10 y bueno aqui una pequeña receta y enlaces para que vean el proceso.
Primero para enterarte de las novedades con nuestro buen kubuntu a ver si de dan una vuelta por aquí para las últimas noticias.
Para instalar el escritorio KDE 4.2 en el enlace que les muestro están las indicaciones precisas.
http://www.kubuntu.org/news/kde-4.2
Y para instalar un buen reproductor como es el amarok revisa este enlace.
http://www.kubuntu.org/news/amarok-2.0.1.1
Bueno no he vuelto a escirbir los pasos sino indicar donde se encuentran y listo, aunque quizas tengan un par de problemas con las claves GPG de los repositorios para lo cual les recomiendo revisen este hilo.
Y mis impresiones… pues que es un escritorio mucho más estable y trabajado tanto en su aspecto gráfico como en su interior, a mi la verdad me ha gustado mucho la usabilidad del mismo, pues voy a trabajarlo y estaré escribiendo sobre algunos bugs que se me puedan presentar, por cierto el plasma y sus gadgets están mucho más estables y tienes más de donde elegir sin perder el performance de tu equipo y desde ya les digo que esta versión va por buen camino y posiblemente se convierta en la selección de muchos.
Pues suerte con su actulización y disfrutenla.
Instalando un SNMP server en kubuntu 7.10
La razón por la que escirbo este post es poque lo instale y el problema siguiente fue el Cómo hcaer que el servcio me escuche por todas las interfaces de red de mi equipo, entonces lo primero que hay que hacer es instalar el servidor, y lo hacemos de la manera clásica:
$ sudo apt-get install snmpd |
Información de cómo configurarlo? existe infinidad de docuementos, por lo que no profundizare mucho en ese campo pero aquí les dejo una configuración básica:
# Listas de control de acceso (ACL) ## sec.name source community (alias clave de acceso) com2sec local 127.0.0.1/32 Cl4v3-d3-Acc3s0 com2sec miredlocal 192.168.1.0/24 Cl4v3-d3-Acc3s0 #Se asigna ACL al grupo de lectura escritura # Ramas MIB que se permiten ver # Establece permisos de lectura y escritura # Información de Contacto del Sistema |
Posterior a iniciar el servicio con:
$ sudo invoke-rc.d snmpd start |
Me sucedia que se levantava únicamente en la interfaz de loopback
$ sudo netstat -naup
udp 0 127.0.0.1:161 0.0.0.0:* 5057/snmpd |
Y este era mi problema por el cual no podia monitorear mi equipo, navengando encontré la solución que está en modificar el siguiente archivo: /etc/default/snmpd y modificar el campo SNMPDOPTS:
SNMPDRUN=yes SNMPDOPTS=’-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1′ |
Y cambiar ese 127.0.0.1 por tu ip de la tarejta por el cual quieras ser monitoriado o simplemente quitarlo y escuchara por todas las interfaces, reinicias el servicio
$ sudo invoke-rc.d snmpd restart |
Y listo ahora a configurar el cacti.
Para más información revisar estos links fuentes:
http://www.debuntu.org/how-to-monitor-your-servers-with-snmp-and-cacti
http://www.alcancelibre.org/staticpages/index.php/como-linux-snmp