"BORRAR LOS FIREWALLS LOGS DE UN SISTEMA REMOTO CON METASPLOIT Y METERPRETER"
acceso no autorizado 22:34:00"BORRAR LOS FIREWALLS LOGS DE UN SISTEMA REMOTO CON METASPLOIT Y METERPRETER"
"POST-EXPLOTACION"
///////////
luego de efectuar un ataque dar con un escaneo minucioso y de lograr haber explotado uno o varios fallos de seguridad y hemos logrado nuestro ataque o al menos por ahora..
luego de tener acceso haber modificado ciertas partes del sistema, como bien sabemos en las decadas pasadas no se tenia en cuenta ningun sistema de logs o de reconocimientos de accesos al muchisimas librerias en diversos lenguajes de programacion, como lo es monolog de php que nos permite programar un sistema de logs y accesos de registros para correlaccionar diversos datos en diferentes entornos dependiendo de lo que necesitemos.
es por ello que el estandar hoy en dia es al momento de codificar cualquier sistema que nos encontremos desrollando es tambien tener en cuenta el modulo de logs o sistemas de correlacion de eventos.
cabe destacar que una vez que ya estamos dentro deberemos eliminar todo tipo de huellas o modificaciones que hayamos hecho al sistema para prevenir una deteccion tal como lo haria un atacante, aunque claro esta que hay metodos muchos mas complejos de realizar este tipo de acciones como por ejemplo crear rootkits para ocultar nuestros procesos maliciosos y que nadie se percate de lo que fuera una libreria o un enlace veridico dentro del sistema auditado o atacado.
tambien podriamos crear un script que cada x segundos se oculto o que tenga por nombre un proceso casi similar para que el usuario final se confunda y no se percate que nuestro proceso malicioso en realidad no es legitimo.
a continuacion les dejo un script de ejemplo en python para borrar logs sencillo dentro de un sistema informatico.
# importar modulos nativos import * from os def clear_logs(): print "bienvenidos al sistema de borrado de logs" i = 0 archivos = "path/carpeta" for i in range (len(archivos)) if(os.path.isfile(path)): os.remove(archivos) else: break end clear_logs()
lo anterior deberia en "teoria" principalmente borrar un archivo solo de los logs o unos pocos archivos logs , lo anterior es solo un ejemplo sencillo de lo que en realidad se puede crear con python asi como tambien otros lenguajes de programacion como php del lado del servidor y ruby.
deberemos estudiar muy bien el sistema que vamos atacar ya que un paso erroneo y podriamos perder todo absolutamente todo.
ahora cambiando un poco de tema, vamos a ver como es que podemos automatizar a solo unos dos comandos o 3 este proceso un poco laborioso de borrar las huellas del sistema, esto se simplifica con un proceso facil dentro de metasploit, claro esta esto se adhiere a los equipos con sistemas operativos windows en el caso de linux o MacOs es similar aunque un poco distinto ya que los diversos sistemas operativos guardan de una forma diferente los logs por ejemplo windows los guarda en eventlog linux en diversas carpetas o en subprocesos.
con estos simples comandos podremos hacer un barrido de logs rapidamente para evitar dejar huellas que sean correlacionadas y rastreables.
meterpreter> load incognito meterpreter> clearev [*] Wiping 88 records from Application... [*] Wiping 136 records from System... [*] Wiping 0 records from Security...
REFERENCIAS Y ENLACES TECNICOS:
0 comments:
Publicar un comentario