Desde el exploit hasta el forense

Empezamos el año con mi primera aportación a este Blog, tras mi colaboración en la Saga de Explo1t_ de mi compinche kneda, se me ocurrió compartir el trabajo realizado en forma de un vídeo-artículo en C43S4RS... bueno vamos al lío!!!

Esta saga, está pensada para que veáis que no es muy complicado hacerse con el control de un equipo, que una vez conseguido, se podrá utilizar éste para cometer actos delictivos.

El escenario que se ha creado es el siguiente, se muestra como un usuario se auto-infecta al tratar de piratear un software mediante un crackeador, y a partir de ahí, como es utilizado su equipo para fines ilícitos.
El cracker utiliza el equipo de la víctima para descargarse un archivo PDF desde una página web, para después hacerse con el documento. De esta manera, el equipo del cracker no se ve involucrado directamente en la descarga.

Este escenario básico, con un poco de imaginación, puede ser adaptado a delitos más graves y meter en problemas a más de uno.  Por esto, por ética y experiencia profesional, abogo por no utilizar software pirata en ningún caso, cada cual que haga lo que crea oportuno...

Después de tanto rollo vamos a la acción, se van a exponer los vídeos de la saga por orden:
En este primer vídeo, lo que vais a ver es como se crea un Payload con la herramienta veil-evasion de kali, y como se realiza una esteganografía con la herramienta iexpress de Windows.



En esta segunda entrega, se va a configurar metasploit, y se procederá a la ejecución del payload por parte de la víctima.



En esta tercera entrega, se va a migrar de proceso para garantizar una conexión permanente, y se va a proceder a la escalada de privilegios para poder interactuar en el equipo de la víctima con permisos de administrador.



En esta cuarta entrega, vais a ver cuál es el procedimiento que sigue el cracker para apropiarse de archivos de Internet, haciendo así que el equipo de cracker no figure en ninguna descarga.
Una vez conseguido el archivo, se procede al borrado de huellas.



Quinta y última entrega, en la cual trataré de averiguar lo que ha pasado en un ordenador sin tener conocimiento de lo acontecido anteriormente.



Como hemos podido observar, el borrado de huellas por parte del cracker ha sido determinante, y con el análisis de de la memoria volátil y diferentes artefactos extraídos, no ha sido suficiente. Ya sólo quedaría la realización del análisis del disco duro para encontrar el rastro del delito.

Espero que disfrutéis con esta saga y sus más de 45 minutos de vídeo con mucho trabajo detrás por parte de @kneda y un servidor, hasta la próxima!!

ADVERTENCIA:  este post sólo se hace con fines educativos y de información, en ningún momento C43S4RS (este blog) se hace responsable del uso indebido que cualquier usuario pueda hacer de él.

Copyright © C43S4RS