Huesca, último fin de semana de septiembre, poco más de las nueve de la mañana. En las inmediaciones del Centro Cultural “El Matadero” comienza a juntarse un grupo variopinto de personas con una característica común: morenos de veranito al sol va a ser que no están; más bien tienden a rehuir el sol.
Poco a poco comienzan a dirigirse con cierto titubeo hacia la puerta de entrada, alrededor de la cual se encontraban, cosa curiosa, en grupúsculos un poco más numerosos que los que estaban más lejanos.
Algo se cierne sobre ellos, un aura de misterio que todo el mundo percibe pero sólo es comprensible para iniciados en alguna arte oscura… ¡Son hackers! O están en camino de serlo.
Porque la AlbahacaCon2015 está a punto de comenzar, y como los toros de antaño, presenta un cartel con las primeras espadas “del underground nacional”.
Acomodados ya, y recogidos los detalles de cortesía que ESET nos regala (ojo: papel y boli, kit “tapa-webcam” y tarjeta con licencia de antivirus -nada hackeable) suben unos tipos no digo diferentes sino raros al escenario. Dicen algunas cosas, agradecimientos y tal, cual buenos anfitriones y que a todos se nos olvidan en seguida -memorias muy volátiles las nuestras- y dan paso al primer Señor de la Red al que estamos esperando como agua de mayo…
Pablo González, con su charla sobre "How can (bad guys or even you) rule the world?" o conquistar el mundo, vamos.
Lo que se hace a base de tres factores:
- Mucha presencia
- Capacidad de cómputo
- Distribución de máquinas
O, en claro, botnets. Que estos “bad boys” consiguen montar a base de buscar víctimas con métodos OSINT: Shodan, Zmap y redes sociales por un lado, y explotando vulnerabilidades conocidas en las máquinas objetivo. Procesan la información obtenida, constituyen el nodo “desde el que se dispara” (no los vayan a pillar), geolocalizan las direcciones IP en que se encuentran esas máquinas vulnerables y las “colonizan”. Bot “ready to go”.
Así de fácil nos presentó el “modus operandi”, y con una naturalidad pasmosa nos dió la receta para prevenir:
- Hacer un inventario del SW de la máquina y mantenerlo actualizado, comprobando periódicamente si aparecen vulnerabilidades que le afecten
- Habilitar un IDS a nivel de host.
Y ya está, así de sencillo. ¿Os ha quedado claro como se hacen ambas cosas? Pues que sepáis que no os lo voy a explicar, que para eso sois “hackers” y yo un pobre luser…
¡Hala! Que me voy a comer, que el hecho de no entender nada no me quita el hambre, y ha subido al escenario un tipo la mar de divertido que empieza a decir no se qué de unas recetas…
Un tal Miguel Arroyo con su “Análisls de Malware a lo Juan Palomo”, resulta ser.
Pero me parece que este chico mezcla churras con merinas, porque, cual camarero de restaurante poligonero nos canta el menú: (la entonación, a lo “niños de San Ildefonso” va por cuenta del lector)
“Detección de malware con métodos tradiiiicionaaaales: de primero antivirus, antirootkits y aaaantiespííías; de segundo ideseeee (IDS) de reeeed y pá postre otroooos escaaaaneres”
(Se me está yendo la pinza, perdona MIguel, pero yo no tengo beacons a lo David Meléndez para no perder el control del “tron”)
En llegando a la conversación seria, nos da unas pautas de estrategia para llevar a cabo el análisis del malware:
- Monitorizar procesos
- Investigar los sitios visitados
- Analizar ejecutables
- Analizar tráfico de red
El modo de hacerlo a “lo Windows” es:
- DNS Caching. Tirar de la caché de DNS donde encontraremos los nombres de dominio que se han resuelto en nuestra máquina; mientras las direcciones IP y los nombres de dominio sean conocidos va bien; de lo contrario…
¿Cómo? Desde la consola con el comando ipconfig /displaydns | more
Podemos encontrarnos con páginas cacheadas que nosotros no hemos visitado, pero pueden haberlas visitado las páginas a que hemos ido nosotros. Copiamos las direcciones de las páginas sospechosas y las comprobamos en www.urlquery.com y en www.virustotal.com. ¡Suerte, maestro!
- WMIC, siguiente nivel, un poco más de maestría…
Se trata de una herramienta que se desarrolló para la administración remota (cuánto juego ha dado esto), y un ejemplo de uso sería el siguiente (ojo, no me responsabilizo de la transcripcion de lo que he escrito tan deprisa…):
> wmic
> wmic startup list full
> wmic process get description,processid,parentid
> wmic nteventlog list brief
Y lo que salga, que estará en sánscrito ¿quién lo interpreta? Lo haga quien lo haga, eso no impide que continuemos para bingo, subiendo de nivel…
- FCIV(¿FerroCarril de Ida y Vuelta? Pues no: File Checksum Integrity Verifier)
Que sirve para sacar el hash del fichero sospechoso.
>fciv (equivalente al md5hash
- Openfiles: para ver qué ficheros tiene abiertos el sistema y que proceso los ha abierto; algo asi como el comando top de Linux. Pero antes de poder ejecutarlo precisa de su activación y un reinicio del sistema.
> openfiles /local open
[reinicio]
> openfiles / query | find / I “badblue” (duda razonable en cuanto a la sintaxis del comando)
- ¡Power shell! Framework de Windows con todo el poder de la consola para hacer… ¡de todo!
Si lo que queremos es el “modo Linux”, las herramientas equivalentes a las anteriormente mencionadas de Windows son:
- strace: ve las trazas de un proceso, ve lo que hace
- objdump o string: más nivel, empleado para ingeniería inversa
- md5sum
- lsof: lista open files
Linux no hace por defecto DNS caching, hay que instalar el paquete nscd.
Por último, cómo no, queda el modo “perrángano”: coger y remitir el fichero sospechoso, o su hash, a www.vicheck.ca donde se comprueba contra las bases de datos de firmas tan reputadas como TeamCymru, VirusTotal,ThreatExpert…
Y nos dejó deberes (que yo debo haber perdido el enunciado…): algo asi como aprovechar lo visto y generar un script en Python para que trabaje por nosotros…
Y lo iba a hacer, palabrita del niño Jesús, pero de repente ví que en la pantalla ponía:
“Escóndete bajo la manta que el coco no te vea”...
¡Y me escondí! Luego os cuento lo que pasó…
Un cordial saludo,
No hay comentarios:
Publicar un comentario