Scribd
Cargar
71 vistas3 páginas

Seguridad Practica45 PDF

Este documento describe los pasos para borrar huellas después de una intrusión en un sistema, incluyendo eliminar o esconder archivos copiados, detener la auditoría, eliminar logs de eventos y seguridad, detener antivirus y firewall, eliminar logs de aplicaciones afectadas, dejar una puerta trasera, y restaurar el sistema a su estado original. Se proporcionan ejemplos de herramientas como auditpol, clearlogs, y dumpreg para eliminar registros de auditoría y logs de eventos. También se mencionan rootkits como una forma de ocult

Cargado por

Sergio
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
71 vistas3 páginas

Seguridad Practica45 PDF

Este documento describe los pasos para borrar huellas después de una intrusión en un sistema, incluyendo eliminar o esconder archivos copiados, detener la auditoría, eliminar logs de eventos y seguridad, detener antivirus y firewall, eliminar logs de aplicaciones afectadas, dejar una puerta trasera, y restaurar el sistema a su estado original. Se proporcionan ejemplos de herramientas como auditpol, clearlogs, y dumpreg para eliminar registros de auditoría y logs de eventos. También se mencionan rootkits como una forma de ocult

Cargado por

Sergio
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Foro de HackXcrack

Práctica 45. Borrado de huellas (Por HxC Mods-Adm)


El borrado de huellas es algo que se produce después de ocurrir una intrusión y responde a la necesidad e
ocultar los rastros que el intruso haya podido dejar en el sistema atacado.

Como todo, dependerá de lo que se haya tocado... básicamente podemos agrupar estos pasos como
siguen:

• Eliminar o esconder los archivos copiados en el destino


• Parar la auditoría
• Eliminar los logs de sucesos, de seguridad
• Parar el antivirus, firewall, etc.
• Eliminar los logs de sucesos de las aplicaciones “tocadas”, por ejemplo, si accediésemos a la
víctima mediante un bug de un webserver habrá que eliminar los logs de ese servidor web
• Dejar una puerta trasera
• Volver a dejar todo como estaba antes de la intrusión

Es IMPOSIBLE describir todos y cada uno de los pasos a seguir para cada tipo de intrusión, los
anteriormente mencionados son muy genéricos pero como muestra de lo que se debe hacer son un
ejemplo válido.

Eliminar o esconder los archivos copiados en el destino

Lo más simple será borrar los archivos subidos mediante el comando del del mismo sistema operativo

Para ocultarlos ya hemos descrito alguna técnica, los stream de ficheros, los atributos de oculto, sistema,
etc...

Otras técnicas usadas son los rootkits, esas pequeñas utilidades son muy peligrosas porque pueden ocultar
hasta los mismísimos procesos en ejecución, casi todas ellas afortunadamente las detectan los antivirus
pero hay que tener cuidado con las que vayan apareciendo.

La mejor técnica para defenderse de ellas es mantener un inventario y auditar los servicios, los procesos
en ejecución, la capacidad de disco, los permisos de acceso a archivos....

Una de las rootkis más conocidas es ntroot, pero te advierto, a parte de que tu antivirus la detectará como
un programa sospechoso, tu Windows puede dejar de funcionar correctamente.

En prácticas anteriores ya te comenté el uso de ellas, revisa la práctica 19 para obtener más información

Parar la auditoría

Detener el proceso de auditoría es otro de los pasos a seguir... las auditorías del sistema permiten seguir
los pasos que un usuario realizó, sus cambios de pass, sus accesos a los archivos y carpetas del equipo,
etc.

Para detener-iniciar la auditoría de Windows puedes usar auditpol

Manual del Novato Por HxC Mods-Adm


Desarrollo de Prácticas
Página: 224
Foro de HackXcrack

Como ves su uso es sencillo

C:\>auditpol, mostrará el estado de la auditoria

Auditpol /enable activa la auditoria

Auditpol /disable desactiva la auditoria

Si tenemos permisos suficientes podemos iniciarla-pararla si indicamos la ip del equipo remoto

Auditpol \\[Link] /disable

Cuando la auditoría está activa en el visor de sucesos se mostrarán los registros de los eventos auditados,
auditpol es una utilidad del Kit de Recursos de Windows

Manual del Novato Por HxC Mods-Adm


Desarrollo de Prácticas
Página: 225
Foro de HackXcrack

Eliminar los logs de sucesos, de seguridad

Para esto tendremos que recurrir a herramientas de terceros

Se conocen como zappers y hay muchos: Clearlogs, Winzapper, elsave, rmlogs, etc...

Su uso es muy simple, basta con indicar el equipo en cuestión y se eliminarán los logs del visor de
sucesos.

También hay otros como Dumpreg, Dumpwin, etc.. que vuelcan (copia) los registros de sucesos, luego
solo hay que manipularlos con algun editor, volver a subirlos y ya está.

Esta técnica es más util porque el administrador de la red se mosqueará si de la noche a la mañana
desaparecen todos los registros de sucesos, si los manipulamos en lugar de borrarlos conseguiremos
ocultar sólo lo que nos interesa y no eliminar todo.

Para estos menesteres también son útiles herramientas del tipo psservices o sc, etc... con ellas podemos
ver los procesos en ejecución.. incluso pararlos o reiniciarlos, de ese modo también podremos parar el
antivirus o el firewall o cualquier otro tipo de aplicación “que moleste”

Manual del Novato Por HxC Mods-Adm


Desarrollo de Prácticas
Página: 226

También podría gustarte