Arquivo BAT deletando histórico do chrome

Por Thiago Alvarenga

@ECHO OFF

:START
cls
%homedrive%
cd %USERPROFILE%
cd..
set profiles=%cd%

for /f "tokens=* delims= " %%u in ('dir /b/ad') do (

cls
title Deletando %%u CHROME TEMP. . .
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" echo Deletando....
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" cd "%profiles%\%%u\AppData\Local\Google"
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" del *.* /F /S /Q /A: R /A: H /A: A
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" rmdir /s /q "%profiles%\%%u\AppData\Local\Google\Chrome"

Boas Práticas Administração de Redes

Thiago Alvarenga

Prática 1

Situação problema:

O usuário está em uma estação de trabalho e não consegue usar determinada(o) aplicação, está travada. Deste modo, em alguns casos basta abrir um prompt de comandos e finalizar a aplicação. 

Para matar um processo acima, você irá digitar: 

taskkill /IM smss.exe /F

O grifado em amarelo será o nome do arquivo que será fechado, se você quer finalizar o java por exemplo, você digitará: taskkill /IM javaw.exe/F

Há várias opções de fechamento, você também poderá digitar taskkill /? para verificar quais opções você pode usar. 

Prática 2 

Situação Problema:

Você está com uma demanda onde o usuário não consegue usar uma aplicação porque ela está inicializada por outro usuário, ou seja, foi feita a troca de turno e o usuário anterior não fez o logoff na máquina, deste modo você terá duas opções: 

Observação, antes de iniciar as demais etapas, verifique se há realmente mais de um usuário logado na máquina, veja a seguir o comando: 

query session

Veja:

Retângulo Branco: nome do usuário com os privilégios administrativos

Retângulo Amarelo: domínio inserido no Active Directory 

Retângulo Azul: Senha

Retângulo Vermelho: Informação sobre usuário 

Retângulo Azul Escuro: Usuário logado na máquina

Circulo Rosa: Seu ID, necessário para finalizar o usuário. 

1) Reiniciar o computador  ou; 

2) Abrir o prompt de comandos e digitar:

runas /user:usuario@domínio cmd

será exigido uma senha e após fornecê-la será aberta uma nova janela do prompt de comandos, nela você irá digitar:

query session

Agora basta digitar o comando para fazer o logoff. 

Digite o comando a seguir para finalizar a sessão:

logoff ID 

No logar da palavra "ID" digite o número que você deseja finalizar o logoff. 

Vale frisar que depois de algumas práticas, estes procedimentos não levam 30 segundos, uma reinicialização pode demorar até 30 minutos, casos onde o link ou a estação esteja passando por alguma atualização. 

Prática 3:

Como abrir uma janela do prompt de comandos: 

Segure a tecla Shift e CRTL dentro de alguma pasta em uma área livre, irá aparecer esta opção, como demonstra a imagem supracitada. 

Outro modo de abrir o prompt de comandos é usando um atalho, clique com o botão auxiliar do mouse na área de trabalho, por exemplo, aponte para opção novo e em seguida para atalho abrirá uma nova caixa de diálogo, digite: cmd  e por fim, clique em concluir.

Por enquanto estas são as dicas, claro que existem outros modos, caminhos que levam aos mesmos propósitos.

Explotation 0X300

EXPLOTATION

Qual seria a matéria prima do hacking? Um programa de computador é constituído por um conjunto de regras que segue determinado fluxo de execução e que por conseguinte indica o que deverá ser feito pelo computador. A matéria prima está no modo eficiente de induzir o computador a fazer algo não previsto, ainda que o programa seja programado para que isso não aconteça. É neste contexto que nasce uma falha de segurança, é este tipo de brecha que os criminosos digitais exploram. 

Seguindo este conceito, é sábio afirmar que a prática da Explotation é uma arte que imita a vida real. De forma análoga, na medicina o médico busca curar o seu paciente procurando a todo custo a causa de determinada falha do corpo humano que precede de uma analisa do quadro clínico e de exames para buscar uma cura, por outro lado, na explotation o Hacker investiga ao máximo o sistema alvo com o propósito de encontrar essas brechas de segurança. Um programa pode ser construído para fazer tudo a que se destina de forma restrita, entretanto, nem sempre o programa irá fazer o que foi destinado a fazer, ou melhor, esperado a fazer e a definição para isto é denominado de erro off-by-one. Veja o que a wiki diz em sua explicação: 

Um erro off-by-one ( OBOE ), também conhecido como OBOB ( bug off-by-one ) ou erro OB1, é um erro lógico que envolve o equivalente discreto de uma condição de limite . Geralmente ocorre na programação de computadores quando um loop iterativo itera uma vez demais ou muito poucos. Esse problema pode surgir quando um programador comete erros como usar "é menor ou igual a" onde "é menor que" deveria ter sido usado em uma comparação ou falha em levar em conta que uma sequência começa em zero em vez de uma ( como com os índices de matriz em vários idiomas). Isso também pode ocorrer em um contexto matemático . [modificado] Fonte: 

https://en.wikipedia.org/wiki/Off-by-one_error  Acesso às 21h27min em 01 de Setembro de 2019.  

Nesta ideia, pode-se dizer que um programa não é perfeito, o seu programador é humano e pode ocorrer uma estimativa não prevista no código abrindo uma brecha na segurança. Existe profissões com atribuições para este tipo de problema, estamos falando de uma área da Engenharia de Software ou o Analista de Teste de Software. É evidente que qualquer programador experiente também pode ter habilidades para testar um software e buscar falhas, há também certificações para quem quer seguir esta área.  

Fonte:

https://googleprojectzero.blogspot.com/

https://bugs.chromium.org/p/project-zero/issues/list?can=1&redir=1

https://www.google.com/about/appsecurity/research/

LIVRO - HACKING: The Art of Explotation - JON ERICKSON, 2009, p136

Por Thiago Alvarenga

Como saber quais usuários estão logados nas estações Windows

Por Thiago Alvarenga

Contexto: em um ambiente de rede controlado algumas políticas de seguranças sempre são adotadas, uma delas e a de usuário simultâneo por estação de trabalho e neste quesito um usuário não poderá estar logado em mais de uma máquina. Neste ambiente, é comum encontrar vários níveis de suporte, assim como preconiza os níveis do padrão internacional ITIL (STN1, STN2 e STN3), o Nível I é o primeiro atendimento, ele sempre terá limitações do ponto de vista administrativo, neste ponto, é válido explanar que as demandas para o Nível I serão de menor complexidade e interação com a administração dos serviços de rede.

Situação hipotética:

Usuário "X" logou na Estação de trabalho "1" e este mesmo usuário tentou logar na estação de trabalho "Y", com as diretivas de segurança o usuário não irá conseguir logar. Surge então uma necessidade de saber em qual máquina este usuário está logado, você pode escalar o problema ou usar uma ferramenta do suite PSTOOL que irá fazer uma varredura e dizer quais usuários estão logados em cada Estação de Trabalho.

Dica: baixe esta suite, descompacte na raiz da unidade C e adicione a sua localização na variável de ambiente do windows ou simplesmente descompacte-a dentro da pasta system32, apenas os arquivos.

Prática:

Dentro desta suite existe uma ferramenta chamada de: psloggedon

É muito simples, abra o prompt de comandos no local da pasta ou apenas digite o comando a seguir:

Exemplo 1:

PsLoggedon.exe \\hostname -l -x

Exemplo 2:
psloggedon "usuario_que_deseja_pesquisar_sem_aspas" -l

Observe que a linha grifada de AMARELO está apontando o local onde o usuário está logado, o comando reportou duas instâncias. O grifado da cor VERDE está indicando a busca por outros hosts. A resposta logged onto representa uma afirmativa positiva onde o usuário está logado.


LEITURA RECOMENDADA:

psexec \\127.0.0.1 -diu eduardo cmd --> onde:

- psexec - aplicativo para executar tarefas remotamente

- \\127.0.0.1 - endereço de loopback, ou seja da sua propria máquina. Lembrando que para executar em uma estação remota, terá que alterar o endereço para o da máquina remota.

- -diu = -d -i -u, que significa: "-d" significa que ao inserir este parametro o prompt irá executar e abrir na máquina remota e o prompt da máquina origem irá ficar disponivel para uso. Tente executar esse comando na máquina sem o parametro informado e observe a diferença. Essa opção é usada para que o processo da máquina origem termine, sem a necessidade de esperar o processo da máquina remota terminar. "-i" significa que você irá executar um processo diretamente na máquina remota, e não um processo na máquina local, com uma sessão remota. Como informado anteriormente, tente executar o comando sem esse parametro e observe a diferença. "-u" significa que terá que especificar um usuário para rodar o processo. Lembrando que a opção -u vem obrigatoriamente acompanhada do "-p" que significa que terá de inserir a senha do usuário especifico que executou o aplicativo. No meu caso, "eduardo" é o usuário e a senha é minha própria. Lembrando que esse parametro é útil para quem tem privilégios administrativos. Muito bacana né, agora é só se divertir. Vou mencionar os demais executaveis do pstools como prometido e suas funções. Seus parametros são similares ao do psexec, porém vale a pena "perder" um tempinho verificando se há algum parametro tão útil quanto, porém específico para o aplicativo em questão. Fonte: http://usuarioavancado.blogspot.com/2011/03/pstools.html

Cyber Ataques em Larga Escala

                      

Você entraria em um carro sabendo que o motorista não tem carteira de habilitação para dirigir e não sabe dirigir?

Em resposta, ha várias pessoas usando a internet sem saber ou sem se preocupar com os riscos de colocar a sua vida digital nas mãos de terceiros, é provável que uma a cada dez pessoas, não leem os termos e condições entre os mais variados serviços disponíveis na internet. Considerada uma prática universal, muitas pessoas imaginam que não há nenhum risco e aventuram sem qualquer tipo de proteção, sem qualquer tipo de treinamento. Veja que é cultural, no dia-a-dia estamos sempre nos precavendo para evitar ações de criminosos, por outro lado, esta prática não é vista no mundo digital, a cultura atual é a de total exposição. Um assaltante hoje em dia nem perde o seu tempo vigiando pessoalmente a sua vítima, basta acompanhá-la na internet, nas redes sociais. 

Em outro aspecto, é fácil observar que surgem novas brechas e técnicas utilizadas por criminosos com uma frequência cada vez maior. O mercado de segurança de informação também está sendo valorizado. Logo abaixo veja uma situação interessante: 

As manchetes diziam: "74 países, incluindo o Brasil, foram alvos de um ciberataque em larga escala". Observando esta frase é fácil observar o grau de importância. O dia 12 de maio de 2017 precisamente há 2 anos, foi um terror para muitas pessoas, empresas e instituições que sofreram um ataque e acordaram para uma realidade: nem tudo que acontece em filmes fica só nos filmes. Uma empresa pequena aqui no interior de SP enfrentava o seu pior dia, ela estava sendo chantageada por um grupo de criminosos onde os Crackers Indianos pediam pouco mais de 6 mil reais em Bitoncós. A boa notícia foi que eles conseguiram a chave para descriptografar seus arquivos e começaram a adotar novas medidas de segurança. Evidente que eles pagaram para ter acesso aos seus arquivos. Isto posto, é imperioso relatar que a segurança de uma empresa no mundo digital é algo permanente com rotinas e políticas para assegurar a confidencialidade, disponibilidade e integridade. 

Como visto no parágrafo anterior, muitas pessoas usam a tecnologia de forma demasiada e não se preocupam com qualquer tipo de segurança. Muitos se conectam em wifi de estranhos apenas para estar online. Por exemplo. Uma ação destas pode abrir várias brechas de segurança, com um simples Sistema Operacional desenvolvido para este fim e em poucos minutos o detentor desta rede pode estar com as credenciais de suas redes sociais, senhas de banco e outros. 

 Veja que interessante, será que é a arte que imita a vida real ou é a vida real que imita a arte? Acredito que cada caso é específico. Veja o relato do filme abaixo!

O minuto 35m:18s do segundo episódio da segunda temporada da série Mr. Robot, em uma cena de reportagem diz: 

"Desta vez mirando a rede Bancos em um ataque ransomware elaborado. O malware atacou os servidores do banco e se espalhou pela América do Norte, criptografando dados, deixando o sistema sem  uso." 

Atente-se que este episódio foi ao ar no dia 13 de julho de 2016. Destarte, esta analogia nos permite levantar a crítica: "A Microsoft negligenciou ao assumir uma postura de não atualizar mais seus Sistemas Operacionais Windows 7, Windows XP, Vista e Windows 2003 Server". Agora ela retratou lançando novas atualizações para seus sistemas. O pior é que em outro cenário, o do consumidor, ele se vê sem saída, primeiro que atualizar todo o pátio de informática irá elevar os seus custos ao passo que em alguns casos, este setor não é visto como prioridade nos investimentos de uma empresa. Em segundo lugar vários usuários destes Sistemas Operacionais usam um sistema pirata e não recebem atualizações, não possuem redundância em nuvens do seu banco de dados e seus principais ativos de rede. 

Atualmente foi identificado outra variante do wannacry trata-se do BlueKeep (CVE-2019-0708), falha identificada capaz de executar o acesso remoto da área de trabalho, publicada em maio deste ano, ela está presente em todas as versões do Microsoft Windows baseadas no Windows NT, do Windows 2000 ao Windows Server 2008 R2 e ao Windows 7. Tal falha foi identificada no Centro de Segurança Cibernética do Reino Unido e relatada para Microsoft.  Um pesquisador afirma que um ataque deste cunho poderia ser de uma escala semelhante aos ataques baseados em EternalBlue , como NotPetya e WannaCry. Ambos exploram falhas em Sistemas Operacionais para injetar estes vírus. 

Só para lembrar. veja o que diz a Wikipedia: 

WannaCry é um crypto-ransomware que afeta o sistema operativo Microsoft Windows. A sua difusão a larga escala iniciou-se a 12 de maio de 2017 através de técnicas de phishing, infectando mais de 230.000 sistemas. ... Os três endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.

Isto certifica o que está sendo colocado neste artigo. Como forma de mitigar esta falha, a NSA recomendou medidas adicionais, como desabilitar os Serviços de Área de Trabalho Remota e sua porta associada, se não estiver sendo usada, e exigir NLA ( Autenticação em Nível de Rede ) para o RDP. 

              

Bibliografia:

https://en.wikipedia.org/wiki/BlueKeep#cite_note-14 acesso às 19h do dia 22 de Junho

http://venom630.free.fr/pdf/Practical_Malware_Analysis.pdf acesso às 17h do dia 22 de Junho

https://www.welivesecurity.com/br/2018/05/10/um-ano-depois-eternalblue-registra-maior-atividade-agora-do-que-durante-o-surto-do-wannacryptor/ acesso às 15h do dia 22 de Junho

https://g1.globo.com/tecnologia/noticia/hospitais-publicos-na-inglaterra-sao-alvo-cyber-ataques-em-larga-escala.ghtml acesso às 15h do dia 22 de Junho

Por Thiago Alvarenga

Perícia dos Crimes de Informática

Por Thiago Alvarenga

ALGUMAS PRÁTICAS DA PERÍCIA DOS CRIMES DE INFORMÁTICA

A perícia forense de informática envolve algumas particularidades, é necessário manter as provas materiais preservadas e neste quesito, em uma busca e apreensão os equipamentos e as mídias precisam estar preservadas afim de garantir a integridade das informações.Uma inicialização não controlada sem as devidas "duplicações periciais" pode comprometer todos os dados. As informações contidas nestas mídias, sejam Discos Rígidos, Unidades Removíveis ou outros, podem ser duplicadas mantando a total integridade dos dados, visto que o exame direto em um determinado dado pode alterar metadado¹, a data de acesso, data de modificação e entre outros. 

TIME LINE (LINHA DO TEMPO)

A linha do tempo e a cronologia dos eventos na COMPUTAÇÃO FORENSE é um dos objetos de estudos mais sensível, denominada de: "time line". Decorre sobre estabelecer uma linha do tempo para alcançar determinado autor ou corroborar outros fatos para chegar ao responsável de determinada ação criminosa. Ela evidencia toda a trajetória de um ação delitiva, desde seu início até a consumação do crime e isto pode demonstrar a premeditação, metodologia e organização de uma quadrilha especializada em crimes digitais. Por exemplo.

IMAGENS PERICIAIS

Ao que tange as imagens abordada nos parágrafos anteriores, elas podem ser reproduzidas de diferentes formas, três formas mais habituais podem ser abordadas: 

• Remoção da mídia do equipamento para devida estação de duplicação;
• Reprodução de imagem no próprio equipamento a ser examinado;
• Clonagem via rede utilizando um canal criptografado até uma central de perícia; 

Tratando-se de uma cópia de uma mídia, quase sempre é utilizada uma técnica denominada "bit-a-bit", ela é capaz de copiar todos os dados incluindo os que foram apagados, ainda que um arquivo já não faça parte da tabela de alocação de arquivos. 

Em alguns casos em uma ação judicial é feita a soma de verificação, a parte acusada pode questionar a veracidade dos dados e como esses dados chegou até a conclusão do parecer técnico da perícia. Desta feita, a pericia utiliza métodos para garantir que às características e geometria dos discos sejam equiparados no momento da duplicidade (clonagem). Em um disco rígido, é observado o tamanho, o número de cilindros, cabeças e setores de forma que a nova mídia tenha compatibilidade técnicas para receber a duplicação. Por exemplo! 

Por outro lado, quando levamos para o disco rígido do estado sólido (SSD - solid state disk) podemos ler a citação abaixo para entender melhor:

Os SSDs apresentam, no entanto, diversos desafios à forense computacional, no que se refere à recuperação de dados excluídos e à forense digital, quando comparados com os discos rígidos: mecanismos internos que podem dificultar ou até inibir a recuperação de dados excluídos nessas mídias, podendo levar à perda, intencional ou não, de informações que poderiam, num âmbito judicial, constituir potenciais evidências. São dois os principais mecanismos de um SSD que podem levar a essa perda: processo de coleta de lixo e o comando TRIM. RIBEIRO, João Vitor Assis. Os discos de estado sólido e a forense computacional. Conteudo Juridico, Brasilia-DF: 06 abr. 2017

Segundo Ribeiro 2017, o uso por si só de um SSD já pode ser considerado, até certo ponto, como uma medida antecipada de anti-forense. 

Voltando ao assunto da Soma de verificação, é sábio explanar que trata-se de uma assinatura digital resultante da utilização de um algoritmo sobre a mídia de prova e sobre a mídia de destino, um análogo a função hash², isto resultará em uma identificação única que qualquer alteração sobre a assinatura original invalidará a prova. Para alcançar essa verificação é feita uma verificação de assinatura (soma de verificação MD5) antes e depois de cada dado coletado, neste caso, a mídia. 

O algoritmo MD5 tem uma aceitação muito grande na comunidade computacional, em abril de 1992 foi publicada a RFC 1321 (ftp://ftp.isi.edu/in-notes/rfc1321.txt) por Ron Rivest do MIT Laboratory for Computer Scienci and RSA Data Security, Inc., ela descreve suas características e modos de utilização. Softwares como MD5Summer de Luke Pascoe é um exemplo que pode ser citado. 

É importante ainda citar alguns hardwares utilizados nas pericias, veja logo abaixo: 

• Câmera fotográfica; 

• HD externo de leitura e escrita;
• HD externo protegido contra escrita (Talon, Solo-III ou Dossier,
por exemplo);
• CDs de inicialização ou equivalentes com softwares forenses, tais
como: Helix, DEFT, CAINE, BackTrack, Encase LinEn;
• CDs de inicialização ou equivalentes contendo softwares forenses,
tais como: Microsoft COFEE, FTK Imager Lite, NUDETECTIVE,
etc;
• CDs e DVDs virgens;
• Conjunto de cabos IDE, PATA, SATA, SCSI, SAS;
• Discos rígidos de capacidade de armazenamento adequada;
• Equipamento computacional portátil equipado com softwares forenses.
(SENASP, 2013, p. 99).

Além das ferramentas de hardware citadas acima, há também os softwares utilizado nas perícias, o Safeback (http://forensic-intl.com), por exemplo, é um dos softwares de duplicação mais utilizado.

A principal preocupação é a de invalidar a prova digital, qualquer tipo de ação que leve a dívida em um processo judicial pode invalidar tal laudo. Por este motivo todo o processo de perícia deve ser feita obedecendo certos padrões e ferramentas. 

¹Metadados - são dados dos arquivos. Indicam status dos dados como data de criação, data de acesso, data de modificação, tamanho e outros.

² Uma função hash é um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. Os valores retornados por uma função hash são chamados valores hash, códigos hash, somas hash (hash sums), checksums ou simplesmente hashes. Fonte: Wiki

Bibliografia

https://www.dfrws.org/sites/default/files/session-files/paper-empirical_analysis_of_solid_state_disk_data_retention_when_used_with_contemporary_operating_systems.pdf acesso: às 12:50 do dia 22 de Junho de 2019.

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.173.7020&rep=rep1&type=pdf acesso: às 11:49 do dia 22 de Junho de 2019.

https://repositorio.ufpe.br/bitstream/123456789/15966/1/Mestrado%20-%20CIn-UFPE%20-%20Jos%C3%A9%20Paulo.pdf acesso: às 11:32 do dia 22 de junho de 2019.

https://br.easeus.com/data-recovery-solution/free-hard-drive-data-recovery-software.html acesso: às 12:55 do dia 22 de junho de 2019.

https://core.ac.uk/download/pdf/56364298.pdf acesso: às 12:01 do dia 22 de junho de 2019.

Marcelo Antonio, Sampaio Lemos Costa. Computação Forense - Millennium 2003

Caracteres Acentuados em Páginas HTML

Por Thiago Alvarenga

Suponha-se que ao construir uma página você se depara com alguns textos que levam acentuação e fica desta forma: Can��o ou Canção ao invés de Canção, logo abaixo veja o que pode ser feito para corrigi-lo:

<html><head><title>Minha pagina</title><meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″>

Toda parte inicial de um código HTML inicia-se com esta sintaxe, salvo a parte em negrito/itálico, basta adicioná-la como está e pronto! 


Feito isto, finalizamos esta breve explicação! 

Scanner de IP via Windows Batch Command

Por Thiago Alvarenga

Escanear Rede via arquivo BAT do Windows com Relatório

O presente artigo visa criar um arquivo simples para escanear uma rede controlada por um um domínio windows. Contexto: O Analista de Suporte não está autorizado a instalar nenhum programa e precisa criar um relatório com os IPs ativos e seus determinados HOSTNAMES, MAC e usuários logados na rede. 

Para esta finalidade, foi utilizado o conjunto de ferramentas PSTools que dispensa instalação. Deste fim, é recomendado que você altere a variável de ambiente¹ adicionando a pasta descompactada do PSTools. 

Começando a brincadeira, segue o algoritmo: 

 @echo off

set PREFIX=10.13.45
setlocal enabledelayedexpansion
for /l %%i in (1,1,15) do (
FOR /F "tokens=2,3 delims= " %%A IN ('PING -a %PREFIX%.%%i -n 1 -w 50') DO IF "%%B"=="[%PREFIX%.%%i]" SET HOST=%%A >> C:\scripts\080519\swap\saida2.txt

FOR /F "tokens=2 delims= " %%C IN ('arp -a %PREFIX%.%%i') DO SET ARP=%%C
SET ARP >> C:\scripts\080519\swap\saida2.txt
echo IP=%PREFIX%.%%i >> C:\scripts\080519\swap\saida2.txt

FOR /F "tokens=2,1 delims= " %%D IN ('psloggedon \\%PREFIX%.%%i -l -x') DO SET users=%%D
SET USERS >> C:\scripts\080519\swap\saida2.txt
echo %PREFIX%.%%i
)

Comentário sobre o algorítimo:

Verde: indique o ip;
Vermelho: indique o range, observe que está setado para fazer o scan do IP 1 ao IP 15;
Azul: Local de saída onde será salvo o arquivo.


Saída do arquivo:

Copie todo o texto grifado, exceto o comentário, cole no bloco de notas e depois salve-o com o nome de sua preferência desde que você acrescente o ".bat" no final. Exemplo: meuscan.bat.

Deste modo, alcançamos a finalidade deste post. Até a próxima! 

Bibliografia:

Google;

Fonte: https://www.robvanderwoude.com/automationtools.php

CRYPTO-RANSOMWARE

Por Thiago Alvarenga

CRYPTO-RANSOMWARE

                  A porta aberta que culminou no ataque mundial e parou vários serviços com pedido de resgate, foi constatada "supostamente", pelo EternalBlue. Esta é uma ferramenta que pode ser encontrada com pouco esforço, o metasploit já está com esta ferramenta em usa suite de exploit. 

                 Vamos entrar nesta salada de palavras envolvendo este tema:

EternalBlue

O que diz a Wiki? Veja:

EternalBlue é um exploit supostamente desenvolvido pela Agência Nacional de Segurança dos Estados Unidos. Esse código é elemento de um conjunto de programas secretos revelados pelo grupo Shadow Brokers em 14 de abril de 2017 e foi utilizado no ciberataque mundial que utilizava o ransomware WannaCry e pelo malware Adylkuzz. Ele explora uma vulnerabilidade do Microsoft Windows, mais precisamente na implantação do protocolo Server Message Block que permite a partilha de arquivos, que permitia a transmissão de software malicioso. EternalBlue deu a viabilidade para a capacidade de WannaCryptor de autorreplicar e, portanto, permitiu sua rápida disseminação na rede. https://en.wikipedia.org/wiki/BlueKeep_(security_vulnerability) Acesso: às 16:21 do dia 06-06-2016. 

BlueKeep

O que diz a Wiki? Veja: 

BlueKeep é um termo para uma vulnerabilidade de segurança ( CVE - 2019-0708 ) (apontado como "crítico" pela Microsoft ) que poderia iniciar malware de worm auto-replicável tão destrutivo quanto o ataque WannaCry 2017 , associado a infecções de ransomware , que desligam computadores em todo o mundo.  Wikipedia - https://en.wikipedia.org/wiki/BlueKeep_(security_vulnerability) Acesso: às 16:36 do dia 06-06-2016. 

                  Sobre a infecção, a divulgação foi feita pelo grupo The Shadow Brokers em 14 de Abril de 2017 que levou ao lançamento de uma correção crítica pela Microsoft datada em março de 2017 foi intitulada de (EternalBlue/MS17-010) tendo como referente ao protocolo  SMB (Server Message Block), esta falha possibilita a execução de um código remoto ou, em uma similar, um Backdoor. Em outras palavras, esta falha veio como uma luva para os crimonosos cibernéticos, eles perceberam que poderiam inserir o sequestro de dados e várias outras técnicas com esta brecha de segurança.

Gerenciar Eventos no Windows via comandos

Por Thiago Alvarenga

GERENCIAR EVENTOS NO WINDOWS VIA COMANDOS

Contexto:

Um Administrador de Redes, em um ambiente com AD do Windows, necessita acessar a o Visualizador de eventos via comando. Para este fim, ele irá utilizar o PsExec do conjunto de ferramentas PSTools para alcançar a máquina, deste fim, com o tela do usuário de destino aberta será feito os seguintes procedimentos, logo abaixo.


Observação: Não faz parte do escopo deste artigo ensinar a usar o conjunto de ferramentas PSTools e também não será feito um passo a passo para baixar e executar. Saiba que esta ferramenta não necessita de instalação, basta pesquisar na internet, baixar colocar em uma pasta do windows e acrescentá-la na variável de ambiente (este último é opcional).


----------------------------------------------------------------------------------------------------------------------

Sintaxe:

WEVTUTIL

Recuperar informações sobre registros de eventos e editores. Arquivar logs em um formato independente, Enumerar os logs disponíveis, Instalar e desinstalar manifestos de eventos, executar consultas, Exportar eventos (de um log de eventos, de um arquivo de log ou usar uma consulta estruturada) para um arquivo especificado, Limpar logs de eventos .

      WEVTUTIL {al | archive-log} Logpath [/l:Locale]     # Archive an exported log.

      WEVTUTIL {cl | clear-log} Logname  [/bu:Backup]     # Clear a log and optionally backup.

      WEVTUTIL {el | enum-logs}]           # List Log_Names and configuration, including max. size, enabled Y/N, and
                                             pathname where the log is stored.

      WEVTUTIL {epl | export-log} LogFile Exportfile      # Export Event log, optionally a logfile path + structured query.
         [/lf | Logfile :[true|false]] [/{q | query}:VALUE]  # provide a Log name or log_file_path (if /lf = true)
            [/{sq | structuredquery}:[true|false]]  [/ow | Overwrite :[true|false] ]
                                         
      WEVTUTIL {ep | enum-publishers}       # List event publishers.

      WEVTUTIL {gl | get-log} Logname       # Display the log configuration and optionally output
         [/{f | format}:[XML|Text]]         # the config details in XML, plain text is the default.

      WEVTUTIL {gli | get-loginfo} LogName [/lf | Logfile:[true|false]]    # Get log status
                                            # provide a Log name or log_file_path (if /lf = true)

      WEVTUTIL {gp | get-publisher} PublisherName        # Get publisher configuration, and optionally Event Metadata.
         [/{ge | getevents}:[true|false]] [/gm:Message]  # Obtain the publisher names with Wevtutil ep
            [/{f | format}:[ XML | Text ]]               # gm=get message, f=log file format.

      WEVTUTIL {qe | query-events} Path [/lf | Logfile:[true|false]]  # Query events from a log or log file.
         [/sq:Structquery] [/q:XPathQuery] [/bm:Bookmark]             # provide a Log name or log_file_path (if /lf = true)
            [/sbm:SaveBookmark] [/rd | reversedirection}:[true|false]]  [{f | format}:[ XML | Text | RenderedXml ]]
               [/{l | locale}:VALUE]                     # Reverse returns most recent events first.
                  [{c | count}:N]  [/{e | element}:VALUE]   # Maximum number of events to read. / XML Root Element.

      WEVTUTIL [{sl | set-log} LogName [/{e | enabled}:[true|false]]     # Modify the configuration of a log.
         [/{q | quiet}:[true|false]] [/{fm | filemax}:N]                 # Quiet / Max. enablements.
            [/{i | isolation}:[system|application|custom]]               # Log isolation mode.
               [/{lfn | logfilename}:VALUE] [/{rt | retention}:[true|false]]   # Log file / Log retention.
                  [/{ab | autobackup}:[true|false]] [/{ms | maxsize}:Size]  # Log autobackup policy /Max log size.
                     [/{l | level}:Level] [/{k | keywords}:VALUE]        # Level filter of log / Keywords filter.
                        [/{ca | channelaccess}:VALUE] [/{c | config}:VALUE] # Access permission (SDDL)/Path to the config file
                                                      # If /config is specified, do not also specify the LOG_NAME.

      WEVTUTIL {im | install-manifest } MANIFEST        # Install event publishers and logs from MANIFEST.
         [ /{rf | resourceFilePath}:VALUE ] [/{mf | messageFilePath}:VALUE]  # Resource/MessageFileName of the Provider
            [ /{pf | parameterFilePath}:VALUE]          # ParameterFileName of the Provider Element to be replaced.

      WEVTUTIL {um | uninstall-manifest} MANIFEST]      # Uninstall event publishers and logs from MANIFEST.

Common options:

   /{r | remote}:VALUE
              If specified, run the command on a remote computer. VALUE is the remote computer
              name. Options /im and /um do not support remote operations.

   /{u | username}:VALUE
              Specify a different user to log on to the remote computer. VALUE is a user name
              in the form domain\user or user. Only applicable when option /r is specified.
   /{p | password}:VALUE
              Password for the specified user. If not specified, or if VALUE is "*", the user
              will be prompted to enter a password. Only applicable when the /u option is specified.

   /{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
              Authentication type for connecting to remote computer. The default is Negotiate.

   /{uni | unicode}:[true|false]
              Display output in Unicode. If true, then output is in Unicode.
The primary focus of WEVTUTIL is the configuration and setup of event logs.

Some applications can completely fill their respective event log with errors (Office 2016 I'm looking at you) being able to enumerate the log size and location is a useful tool for tracking down such problems.

Most options for WEVTUTIL are not case sensitive, but the built-in help is and must be requested in UPPER case.
To retrieve event log data the PowerShell cmdlet Get-WinEvent is easier to use and more flexible.

WEVTUTIL was first made available in Windows Vista.

Examples

Clear all the events from the Application log:
C:\> WEVTUtil.exe clear-log Application

Batch file to parse every Event log installed on the computer and clear them all:

@echo off
for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")

Export events from the System log to C:\backup\ss64.evtx
C:\> WEVTUtil export-log System C:\backup\ss64.evtx

List the event publishers on the current computer.
C:\> WEVTUtil enum-publishers

Uninstall publishers and logs from the SS64.man manifest file:
C:\> WEVTUtil uninstall-manifest SS64.man

Display the 50 most recent events from the Application log in text format:
wevtutil qe Application /c:50 /rd:true /f:text

Find the last 20 startup events in the System log:
C:\> WEVTUtil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

----------------------------------------------------------------------------------------------------------------------

Comando usado para acessar a máquina remotamente:

C:\PSTools\PsExec.exe \\10.10.10.11 -u meudominio.local\meusuario -p minhasenha cmd

Exemplo de como apagar as entradas do visualizador de eventos: "Aplicativos".

Comando:

wevtutil gl Application

Listando e salvando a saída do comando:

wevtutil el | more > c:\temp\eventos.txt

Bibliografia:

https://ss64.com/nt/wevtutil.html Acesso às 15:32  do dia 04/06/2019

https://edmarinho.wordpress.com/2012/06/05/resumo-comando-para-gerenciar-evento-do-windows/ Acesso às 15:08  do dia 04/06/2019

https://winaero.com/blog/how-to-clear-the-windows-event-log-from-the-command-line/  Acesso às 15:01  do dia 04/06/2019