La Comunidad DragonJAR

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red.

Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos.

Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google.

Vamos ha hacer una prueba mirando una captura de tráfico:

En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc..

Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente:

Habilitamos network name resolution, nos ayudará en las capturas de tráfico.

Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream

Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos.

Podremos ver tráfico de red, de equipos preguntando por otros equipos.

Si queremos filtrar en la captura por tráfico DHCP, por ejemplo.

Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto.

Los filtros de Wireshark son muy potentes.

Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas.

Vemos en la captura que ese usuario está usando Virtualbox.

En una auditoría de seguridad lo mas probable es que antes de llegar ha hacer aquella auditoría interna nos pidan de poder obtener toda aquella información pública que nos sea posible.

Una de las aplicaciones que podemos usar y que podemos lanzar contra el dominio es KodiakDNS.

Para hacerlo funcionar tendremos que instalar dos componentes distintos.

Net:DNS:: usad cpan para instalarlo

Whois, que lo podemos bajar de aquí => wget http://search.cpan.org/CPAN/authors/id/B/BS/BSCHMITZ/Net-Whois-IP-1.04.tar.gz

Una vez que tengamos los dos componentes ya podremos usar KodiakDNS.

Lo bajamos usando git clone

git clone https://github.com/lain77z/kodiakDNS.git

Lo lanzamos sobre un dominio

root@kali:~/tools/kodiakDNS# perl kodiakDNS.pl policia.com

kodiakDNS.pl – DNS Gathering Tool

_         _
((`’-”"”-’`))
)  -   -  (
/   x _ x   \     コディアック`DNS
\   ( + )   /
‘-.._^_..-’

[Domain] policia.com

[Resolving DNS NS]

policia.com.    86400    IN    NS    sell.internettraffic.com.
policia.com.    86400    IN    NS    buy.internettraffic.com.

[Resolving DNS MX]

[Resolving DNS A]

sell.internettraffic.com.    58414    IN    A    176.74.176.170
sell.internettraffic.com.    58414    IN    A    176.74.176.169
buy.internettraffic.com.    26850    IN    A    208.87.35.120
buy.internettraffic.com.    26850    IN    A    208.87.35.121

[Resolving DNS by bruteforcing]

accounting.policia.com.    300    IN    A    208.87.35.108
billing.policia.com.    300    IN    A    208.87.35.108
directory.policia.com.    300    IN    A    208.87.35.108
email.policia.com.    300    IN    A    208.87.35.108
example.policia.com.    300    IN    A    208.87.35.108
exchange.policia.com.    300    IN    A    208.87.35.108
ftp.policia.com.    300    IN    A    208.87.35.108
gallery.policia.com.    300    IN    A    208.87.35.108
mail.policia.com.    300    IN    A    208.87.35.108
marketing.policia.com.    300    IN    A    208.87.35.108
public.policia.com.    300    IN    A    208.87.35.108
reserch.policia.com.    300    IN    A    208.87.35.108
smtp.policia.com.    300    IN    A    208.87.35.108
example.policia.com.    300    IN    A    208.87.35.108
www.policia.com.    300    IN    A    208.87.35.108

Como veis realiza varias comprobaciones, pero KodiakDNS no se queda aquí y sigue extrayendo mas información

[Resolving Reverse DNS [PTR]]

176.74.176.0-255

4.176.74.176.in-addr.arpa. PTR 10ge.por-5ltp1a-xe3-1.peer1.net
18.176.74.176.in-addr.arpa. PTR ns02.networkeq.net
20.176.74.176.in-addr.arpa. PTR mx01.ltp.uk.networkeq.net
74.176.74.176.in-addr.arpa. PTR dnbsource.com
84.176.74.176.in-addr.arpa. PTR hietatoolbox.biz
85.176.74.176.in-addr.arpa. PTR mail.hieta.biz
88.176.74.176.in-addr.arpa. PTR mail.iguanaconsultancy.co.uk
90.176.74.176.in-addr.arpa. PTR rubble.heppell.net
91.176.74.176.in-addr.arpa. PTR mail.learningspaces.net
92.176.74.176.in-addr.arpa. PTR mail.inter-concept.co.uk
94.176.74.176.in-addr.arpa. PTR mail.yumauk.eu
169.176.74.176.in-addr.arpa. PTR sell.internettraffic.com
170.176.74.176.in-addr.arpa. PTR sell.internettraffic.com
210.176.74.176.in-addr.arpa. PTR gss-exploit-server.com

208.87.35.0-255

1.35.87.208.in-addr.arpa. PTR 208-87-35-1.securehost.com
2.35.87.208.in-addr.arpa. PTR 208-87-35-2.securehost.com
3.35.87.208.in-addr.arpa. PTR 208-87-35-3.securehost.com

Como veis hace un recorrido completo, cuando acabe esta parte nos preguntará sobre si resolver los AS:

Do you want to resolve AS Numbers [y/n] (y) ? y

[Resolving AS Number]

217.116.0.0-255

Y cuando acabe de resolver los AS, preguntará si queremos comprobar los resultados en listas de revocación.

Do you want to look for IPs in DNS-based block list information/database [y/n] (y) ? n

Como veis, KodiakDNS nos permite tener toda la información relacionada con el DNS. muy útil para tener esta herramienta en nuestro arsenal.

Inauguramos una “serie de artículos” en las que os traeremos un pequeño truco para que podáis practicar alguna disciplina en concreto.

Estos TIPS podrán ser pequeños scripts o pequeñas funcionalidades que os podemos enseñar.

El TIP de hoy se titula

Sniffer VmwareFusion

VmwareFusion es la aplicación de vmware para MAC. En sistemas windows y GNU/Linux lo tenemos bastante mas fácil para poder capturar tráfico desde fuera de la máquina virtual. Pero en MAC OS X no es tan sencillo, es por eso que podemos crear un script como el siguiente para capturar el tráfico.

#Script para analizar el tráfico de vmware fusion

echo "Se esta capturando el trafico de $1"
sudo /Applications/VMware\ Fusion.app/Contents/Library/vmnet-sniffer -e -w ~/Desktop/vmnet.pcap $1

Con este pequeño script que tendremos que ejecutar desde el terminal, podremos capturar el tráfico de red.

Uno de los temas mas apasionantes que pueden existir dentro de mi concepto,  es el Hacking Hardware, definitivamente las posibilidades son infinitas y  más aun si lo enfocamos en un tema especifico, que mejor que hacerlo con las redes inalámbricas también conocidas como redes Wi-fi o Redes 802.11, pero que clase de Hardware podríamos hacer?, sería demasiado complejo tratar de construir nuestro propio Router, o un Access Point, pero no es para nada difícil o por lo menos poco complejo, poder construir nuestra propia Antena para estas redes.

Leer más…

BleachBit es una herramienta multiplataforma (tanto Windows como GNU/Linux) que nos permite realizar un borrado seguro evitando dejar algunos rastros. Cabe resaltar que aunque existan este tipo de herramientas, siempre la informática forense estará un paso adelante descubriendo hasta los mas mínimos detalles  de aquellos rastros que son imposibles de borrar. Sin embargo, con este pequeño articulo pretendemos  explicar un poco mas a fondo esta herramienta, la cual es muy útil por que podemos borrar mucha información critica con solo un par de clicks.

La instalación es muy sencilla,  pueden descargar el paquete para su sistema operativo (si es GNU/Linux pueden descargar el paquete según su distribución), o si lo prefieren aquellos usuarios de debian y derivados pueden descargar la herramienta desde los repositorios: Leer más…

Una de las claves o password mas importante para todo administrador de sistemas y servidores, es la clave del usuario root de MYSQL.  Como todos sabemos lo ideal en cuanto a contraseñas es tener una diferente para cada cuenta,  esto nos ayuda  a incrementar un poco el nivel de seguridad, sin embargo, en algunas ocasiones por culpa de la  memoria del ser humano o por otros motivos ajenos a la maquina, nadie se acuerda de la clave maestra  de este importante servicio. A simple vista  puede parecer un problema muy grave, no obstante, es algo que se puede resolver  de forma sencilla siempre y cuando tengamos acceso  al servidor con una cuenta de root, para restablecer la contraseña de mysql podemos hacer lo siguiente:

Leer más…

En mi hogar tengo dos equipos (laptop y escritorio) ambos con la meta-distribución Gentoo Linux instalada. Suelo utilizar el PC de Escritorio para almacenamiento por lo tanto ahí alojo gran parte de mi información. Necesito estar accediendo constántemente a este equipo para compartir/modificar los datos que tengo. Gracias a NFS puedo disponer de ellos como si de una carpeta más de mi sistema se tratara… veamos cómo podemos hacer uso de este protocolo para hacer más fácil nuestra vida

NFS (Network File System) es un protocolo de sistema de archivos en red desarrollado originalmente por Sun Microsystems en 1984, permitiéndole a un usuario en una máquina cliente acceder a los archivos en la red como si lo estuviera haciendo localmente. Es ampliamente usado en sistemas UNiX-like aunque también puede ser utilizado bajo plataformas Windows, Mac OS, Novell NetWare, entre otros. Leer más…

He tenido bastantes problemas con Firefox 3.5 en mi Arch. En Gentoo, me funciona perféctamente y nunca he tenido ni un sólo problema con su desempeño, funciona perféctamente; en Arch es complétamente diferente, haciendo cosas normales como revisar el correo electrónico o ver un video en Youtube se cierra sin ningún motivo aparente y sólo en algunas de las ocasiones recupera las pestañas que tenía abiertas.

Intenté compilando Firefox y no hacer uso del pkg.tar.gz que encuentras en los repositorios extra, pero sin ningún resultado.. seguían los mismos fallos. Recordé que Firefox hace uso de Xulrunner (entorno de ejecución) así que me dispuse a recompilarlo y he ahí la solución Leer más…