Ehtools Framework: Herramientas Pentesting para Wi-Fi

Imagen
Ehtools Framework (Entynet Hacker Tools) es un conjunto de herramientas de penetración para redes WiFi desarrollado por entynetproject. Se puede usar para todo, desde instalar nuevos complementos hasta hacer contacto WPA en segundos. Ademas, es fácil de instalar, configurar y usar. Como todas las tecnologías, el WiFi también tiene algunos problemas de seguridad, especialmente para las redes publicas WiFi. Cualquier intruso puede atacar nuestros dispositivos accediendo a nuestras redes WiFi (puedes hacer una prueba con Wifiphisher). Entonces, debemos analizar nuestra red inalambrica de vez en cuando para evitar ataques de hackers. Existen muchas herramientas para hacer pruebas de penetración de WiFi, pero la herramienta que discutiremos aquí es un poco diferente a las demás. Sobre Ehtools ¿Que es lo que hace que el marco de trabajo de Ehtools sea diferente de otros? Cuando hacemos pruebas de penetración WiFi, tendemos a usar diferentes herramientas para diferentes tare...
1 comentario

Análisis Forense a Tor Browser

Resultado de imagen para Análisis Forense a Tor Browser
A modo de introducción y breve concepto, la deepweb (web profunda) no es más que toda aquella red que no está indexada en los motores de búsqueda habituales y no se encuentra visible a la red comúnmente utilizada. El uso de esta puede ser por medio de redes como tor, i2p, freenet, zeronet, etc. Debemos tener bien el claro el concepto, no es lo mismo la deep web que la dark web. Tampoco por el hecho de utilizar tor o i2p o la red que utilicemos significa que estamos navegando por toda la Deep Web, ya que esta es el conjunto de dichas redes (a modo ejemplo podríamos llamar deep web a whatsapp y redes a los Grupos creados, el hecho de que utilicemos whatsapp o estemos en un grupo no necesariamente significa que tengamos a acceso a todos, sino que debemos ingresar a cada grupo para poder pertenecer a estos).

Tor, The Onion Router (Enrutador Cebolla), es una de las tantas redes nombradas pertenecientes al grupo deep web, esta es una de las más utilizadas y su intención es mantener el anonimato e integridad y secreto de la información que viaja por ella.

Ya aclarado lo mencionado podemos continuar, en este caso nos centraremos sobre la red Tor, no específicamente en el funcionamiento de la misma, sino que analizaremos a su Browser, “TorBrowser”.

*********************************TorBrowser*********************************


TorBrowser es por defecto el navegador de la red Tor, el cual no es más que un navegador Mozilla Firefox modificado por “The Tor Project Inc.” para su uso en conjunto. Sin embargo este aunque brinde muchas opciones para aumentar nuestra privacidad y anonimato (HTTPS Everywhere, NoScript, etc.), el mismo no está desarrollado con el mismo fin a nivel local, es decir, toda interacción con este puede y deja evidencia de su uso. Por eso mismo utilizaremos a modo investigativo el principio de Locard «Siempre que dos objetos entran en contacto, transfieren parte del material que incorporan al otro objeto«.


En primer instancia identificaremos la evidencia digital que deja la instalación de TorBrowser en una computadora, para eso utilizamos una instalación limpia con Windows 7 pro corriendo en Vmware. Los programas que utilizaremos son, por un lado RegShot (https://sourceforge.net/projects/regshot/) el cual nos permitirá realizar una imagen de los registros al estado previo de la instalación y una subsiguiente, pudiendo así realizar un cotejo de las alternaciones y realizar un análisis del mismo. La siguiente herramienta será Process Monitor (https://docs.microsoft.com/en-us/sysinternals/downloads/procmon), el cual nos permite ver los procesos en tiempo real del sistema completo o de una aplicación específica y registrarlos con todos los datos pertinentes al mismo. Como último debemos tener el instalador de TOR el cual será nuestro Target de interés a investigar.


Antes de iniciar la instalación debemos realizar la primera captura de registro con Regshot la cual puede ser en texto plano (txt) o enriquecido (HTML). Luego de tomar la mismo se puede proceder a minimizar la ventana o cerrarla en el caso de que se haya seleccionado guardar la imagen tomada.

Como paso siguiente debemos iniciar Process Monitor para registrar todos los procesos iniciados por el instalador de TorBrowser, acto seguido comenzaremos con la instalación. Para una visualización más organizada de registros de los procesos, PM nos permite seleccionar el Target específico a analizar y filtrar por ese mismo es por eso que arrastraremos el icono en forma de blanco y lo soltaremos sobre el instalador de Tor para que entre en función.


Una vez finalizado el proceso daremos por concluido los servicios de Process Monitor y procederemos a guardar los resultados en un Logfile. En el caso de Regshot deberemos tomar una segunda imagen del registro, así mismo como tomamos la primera repetiremos los pasos pero esta vez seleccionaremos la numero dos o de caso contrario cargaremos la primera ya tomada y la segunda y compararemos las diferencias entre estas.

Entre todas las entradas y modificaciones podemos observar las siguientes:


Como podemos observar la línea C:\Windows\Prefetch se repite en varias ocasiones, esto se debe a que justamente los archivos .pf indican a Windows los programas, librerías y recursos que más se utilizan, así este genera un pequeño cache “Prefetch” donde los almacena para recurrir a estos y así acelerar el proceso de inicio de estos. Dicha carpeta la copiamos y llevamos a nuestra pc forense donde podremos investigar y analizar correctamente su contenido ya que los registros indican que dentro de esta generaron y/o alteraron datos.


*********************************

Para analizar dichos archivos en búsqueda de pruebas indiciarias correspondientes a “palabras mágicas” que correspondan con la instalación de TorBrowser ( Tor , EveryWhere, Goip, Firefox , Browser), utilizaremos la herramienta HxDen (https://mh-nexus.de/en/hxd/) , el cual es un potente editor Hexadecimal Gratuito y nos permitirá analizar el contenido.


Aunque si bien podemos ir analizando como mencionamos el contenido de los .pf, cabe destacar que con simplemente observar la carpeta Prefetch , mas puntualmente el archivo “C:\Windows\Prefetch\TORBROWSER-INSTALL-8.5.3_ES-E-BB005F6B.pf” podemos determinar que la instalación en cuestión es una versión 8.5.3 en Español (ES) de Torbrowser y se ubica en la Ruta E-BB005F6B , la cual corresponde al hash en hexadecimal del Path. Asi mismo se puede constatar la fecha y hora de la instalación del sistema.


Sin embargo el mismo sistema es quien se encarga de gestionar los .pf y los mismos pueden ser eliminados y/o modificados y no siempre los podemos encontrar, más aun si tratamos de una vieja instalación de Tor, eliminada o en estado de desuso.

A la problemática anterior se la puede resolver con una línea que llamo mi atención a encontrarla y es la siguiente:

HKU\S-1-5-21-95584522-396104732-3315051321-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\21a6be16_0\:»{0.0.0.00000000}.{d820b732-b7d5-4e3b-9b19-d3c1797bb9fc}|\Device\HarddiskVolume1\Users\Pericia a Tor\Desktop\Tor Browser\Browser\firefox.exe%b{00000000-0000-0000-0000-000000000000}»


Dicha línea corresponde a la clave generada por el instalador de Tor Browser (realmente impuesta por Mozilla Firefox) y la cual da referencia a la incorporación de la política de audio para poder ser utilizado y reproducido por dicho Navegador. Dicha clave es la que nos permitirá en un grado más certero obtener una clara evidencia digital de una instalación de Tor en la Pc peritada.

Con dicha información y comprendiendo la existencia de una instancia de TOR en el sistema procederemos a realizar un volcado de memoria, como primer instancia nos centraremos en la volátil, seguida del archivo de paginación (pagefile.sys), el cual es un espacio temporal de intercambio con la memoria RAM, este puede ser hasta un 150% más grande que la RAM y está compuesto por fragmentos de 4 k. Dicho “contenedor” posee información que no se aloja en el disco duro, es por eso la importancia del mismo. Así mismo otro contenedor de igual importancia es el hiberfil.sys, el cual se encuentra constituido por el conjunto de datos e información que el sistema incorpora al momento previo de hibernar / suspender el equipo con fines de ahorro de energía.

Existen ciento de formas de realizar un volcado de RAM (aunque quizás una de la más recomendada sea “memoryze” (https://www.fireeye.com/services/freeware/memoryze.html) dado el poco casi nulo nivel de residuo que deja en sistema que pueda interferir en perdida de información por su simple uso de línea de comando desde una memoria externa). Para esto procederemos por practicidad con la utilización de la herramienta FTK Imager de Access Data (https://accessdata.com/product-download). Con esta realizaremos doble adquisición en un solo paso, al seleccionar el volcado de RAM nos permitirá tildar y así mismo conseguir en conjunto el contenedor pagefile.sys (paginación).




Tanto el contenedor pagefile.sys como hiberfil.sys pueden ser obtenidos manualmente desde el directorio raíz utilizando FTK o de forma manual, sin embargo en la presente prueba lo realice por medio del mismo sistema que FTK proporciona a la hora del volcado de la RAM.

Una vez obtenidos dichos contenedores con sus respectivos hashes (preservación de cadena de custodia de evidencia digital), procederemos a importarlos en nuestro laboratorio donde lo analizaremos, en este caso utilice en modo prueba la herramienta Evidence Center(https://belkasoft.com/bec/en/Evidence_Center.asp), la cual es un procesador y analizador de cabeceras hexadecimal y presentador de evidencia digital.


Como observamos en la primera imagen podemos iniciar un caso nuevo completando con todo dato que creamos pertinente de registrar para un claro informe final. Acto seguido importamos ambos contenedores e iniciamos un procesamiento total de datos.


Una vez finalizado el proceso de análisis dicho sistema nos trae un panel grafico donde nos presenta toda la evidencia digital de una manera visual agradable para su observación. Podemos observar el árbol de evidencia digital en el panel lateral izquierdo, donde podemos navegar por diferentes grupos obtenidos, imágenes, registros, base de datos, información pertinente a la navegación según los navegadores web, etc.
En este caso podemos observar (erróneamente en chrome cuando el navegador era Tor Browser “Mozilla Firefox”, esto se debe a la configuración de metadatos) el registro de páginas dominio .onion visitadas.

Cabe destacar que si bien el entorno gráfico de dicho software resulta agradable, el mismo omite mucha información y/o contiene falsos positivos en su presentación, es por eso que se recomienda la utilización de editores hexadecimales y script que permitan identificar el objeto de investigación por medio de “magic numbers” ( ej: . 89 50 4e 47 0d 0a 1a 0a archivo .PNG o por palabras “password” para localizar los posibles ingresos de contraseña registrados en los contenedores). (Se pueden consultar las cabeceras o firmas de archivos en el siguiente link https://www.filesignatures.net/index.php?page=all).


Podemos observar de forma manual mejores resultados como previamente comentamos, en este caso la creación de una clave RSA perteneciente a una visita a un dominio .onion en conjunto a su valor correspondiente puede apreciarse de forma hexadecimal y textual en su lateral derecho.

Cuando la pericia o intento de recolección de indicios que nos indiquen la existencia o datos del uso de tor en un equipo dubitado se basa en una imagen forense de este (imagen bit a bit), deberemos proceder a analizar diversos elementos que componen a este navegador.

Nos centraremos como todo análisis a navegadores web, específicamente Mozilla Firefox en la carpeta creada y perteneciente a la utilización del mismo por el usuario default ( en este caso)

.. Tor Browser\Browser\TorBrowser\Data\Browser\profile.default


En esta ruta encontraremos una serie de archivos y directorios, sin embargo en este caso nos centraremos en los siguientes:

bookmark.sqlite – Marcadores|Favoritos
cookies.sqlite – cookies de sesión, visita, seguimiento
formhistory.sqlite – autocompletar | registros de búsquedas en barra dirección Mozilla
places.sqlite – Contiene ficheros Descargados, páginas web visitadas.

Los archivos .sqlite son base de datos pertenecientes al motor sqlite , el cual es un sistema ligero y autónomo. Por lo general muchos sistemas móviles y App´s lo utilizan hoy en día para su funcionamiento, por su simpleza y carencia de servidor para su uso.

Dichas bases de datos pueden contener información importante relativa a la investigación en curso que uno esté realizando, sin embargo la misma dependerá del nivel de secretismo que tenga configurado en navegador a analizar.


Si bien varia dependiendo de la versión analizada, en sus últimas versiones Tor Browser ya posee una configuración por defecto donde restringe el almacenamiento de datos para el autocompletado de formulario como así mismo todo lo competente con el historial de navegación y sus elementos, en el caso de las cookies sucede lo mismo.

Comenzando el análisis de los sqlite files, para esta acción utilizares el software DB Browser for SQLite (https://sqlitebrowser.org/dl/), el cual nos permitirá obtener los valores registrados en las mismas.

Una vez iniciada la base de datos de interés podremos apreciar su contenido, como se observa en
la siguiente imagen el archivo bookmark.sqlite nos muestra algunos marcadores. Estos asi mismo presentan como información el valor epochcorrespondiente a la fecha de creación y de ultimo acceso al mismo.


El tiempo epoch es la hora actual medida en segundos, tomando la fecha 1 de Enero de 1970 como el segundo 0.
Para obtener la conversión de dicho valor utilizamos la página https://espanol.epochconverter.com/.



Si bien el archivo places.sqlite es uno de los más importantes a la hora de realizar una pericia a un Browser Firefox, en este caso podemos comprender que los valores de mayor significado se llevaron a cabo en bookmark y en los pasos previos de adquisición de evidencia digital.

Podemos así mismo repetir los pasos previos con cada una de las bases de datos de nuestro interés para analizar.



En este caso el uso del Tor Browser fue limitado a algunas búsquedas y registros solo con fines prácticos demostrativos para llevar a cabo el análisis realizado. Sin embargo con mayor utilización quizás la evidencia digital sea mayor, aunque la lógica de la configuración limite a que sea poco.

Resumiendo el informe, pudimos observar que el indicador univoco que nos permite identificar alguna instancia de Tor Browser en un equipo es la clave editada dentro del registro de políticas de audio a fines de permitir el uso al browser TOR. Y en instancias de uso podríamos afirmar que la evidencia real se encuentra en estado Volátil (RAM, pagefiles, hiberfil).

*********************************

La evidencia Digital Obtenida Fue:
  1. Registros de Instalación de Tor Browser
    1. – Fecha de Instalación
    2. – Versión de Software
    3. – Ubicación del Binario y Archivos que lo componen
  2. Registros de Uso
  3. Páginas Visitadas .onion
  4. Fecha de los accesos a las paginas
  5. Archivos temporales .onion
  6. Inicio de sesiones en páginas onion.
  7. Marcadores y Favoritos

*********************************
El contenido brindado por hefin.net es meramente educativo, por consecuencia no nos hacemos responsables por el mal uso que le puedan dar al mismo.

Comentarios

Publicar un comentario

Entradas populares de este blog

Metasploit-Framework En Termux - Instalación en Móviles Android

¿Que es Metasploit-Framework? Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración "Pentesting" y el desarrollo de firmas para sistemas de detección de intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las bases de datos deopcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby. Instalar Metasploit-Framework En Termux Hola amigo en estos momentos te explico como debes de instalar Metasploit en tu teléfono móvil Android mediante el Termux... Sigue los siguientes pasos detalladamente y lo podemos obtener como ...
Leer más

Que Hacer Ante un Secuestro – Informática como Herramienta

Imagen
Qué Hacer Ante un Secuestro Prevenciones y Acciones Hoy en dia la modalidad de secuestro varia mucho, desde los conocidos secuestros físico por medio de la privación de libertad hasta los secuestros virtuales por medio del engaño e ingeniería social. Si bien se establecen por protocolo diversas acciones por parte de las fuerzas policías , dependiendo del modus operandi de este, nosotros no entraremos en discusión de los mismos, sino que nos centraremos en cómo prevenirlos por diversas toma de decisiones y cómo accionar ante los mismos en el penoso caso de ser parte de uno, tanto siendo nosotros el rehén como un familiar del mismo. ********** Prevención: ********** Si bien la metodología de prevención es diversa, en este post nos centraremos en lo que respecta a los medios digitales. Los celulares son claramente una de las mejores herramientas al horario de utilizar dicho sistema para alertar a las autoridades y/o familiares en caso de que estemos en presencia de ...
Leer más

Seguridad de la Información: Historia, Terminología y Campo de acción

Imagen
Seguridad de la Información: Historia, Terminología y Campo de acción Desde alrededor de los años ochenta del siglo pasado, la humanidad se ha visto envuelta e inmersa en una serie de cambios en todas las áreas de la vida pública. Todo a causa del desarrollo progresivo, creciente y masificado de las «Tecnologías de Información y Comunicación ( TIC )». Las «TIC» han originado efectos que incluso, han cambiado nuestra forma de ver apreciar o evaluar nuestro pasado o presente, y hasta redimensionado la forma en la que vislumbramos nuestro futuro como especie. Cambios o efectos, que incluso han llegado a cambiar nuestro lenguaje usado , debido a la creación, uso y popularidad de una inmensa variedad de nuevas palabras, conceptos e ideas, hasta hace poco desconocidas o pensadas. Y con está publicación esperamos ahondar sobre estos aspectos y conocer un poco sobre el actual tema de la «S eguridad de la Información » como un aspecto esencial de las actuales «TIC» sobre la socieda...
Leer más