Nenhum sistema está seguro...

O objetivo deste site é o de gerar conhecimento na área Forense, Jurídica e tecnologica.

quinta-feira, 14 de novembro de 2019

Perícia no Registro do Windows

Por Thiago Alvarenga
Registro do Windows

O registro do Windows se divide em cinco ou seis chaves, de acordo com a versão do sistema operacional, cada chave é uma unidade básica de informação dividida em níveis hierárquicos. As chaves de primeiro nível indicam as classes de informação, isto pode variar a depender da versão do Windows. 

HKEY_CLASSES_ROOT 

Esta chave guarda informações relativas a associação de arquivos aos respectivos softwares, os dados armazenado nesta chave garantem que o programa correto seja aberto quando você abrir um programa, sua abreação é esta: HCKR.

HKEY_CURRENT_USER

Contem a raiz das informações de configuração para o usuário que está conectado no momento, com configurações pessoais no momento.

HKEY_LOCAL_MACHINE

Esta chave guarda informações relativas ao hardware e software instalado no equipamento, assim como das configurações do Windows, tema, papel de parede, resolução de vídeo. 

HKEY_USERS

Por sua vez, esta chave armazenas informações relativas a todos usuários do equipamento e suas configurações pessoais. A chave  HKEY_CURRENT_USER possui um apontador para o usuário corrente listado na HKEY_USER. O usuário é identificado na chave pelo SID (Security Idenfifier) que é uma string com a seguinte aparência: S-1-5.21-2025429265-1463985344-854215398-1145

O SID é definido da seguinte maneira:

S-nrev-IDAutb-RID1-RID2-RID3... onde "nrev" e "IDAuth" idicam respectivamente o nível de revisão e o valor do identificador de autoridade do sistema. O RIDn (Relative Idenfiers) Identifica dados do usuário como o seu tipo de acesso, se é administrador do sistema ou outro tipo qualquer, grupo de usuário a que pertence, domínio, etc. 

HKEY_CURRENT_CONFIG

Destina-se a guardar informações sobre o perfil de hardware do equipamento, caso esteja sendo utilizado. A depender, a chave conterá informações padrão do Windows.




Postado por: at Nenhum comentário:

quarta-feira, 13 de novembro de 2019

Footprint Ethical Hacker

Este artigo visa demonstrar algumas técnicas iniciais do Ethical Hacker, em especial, o Footprinting. Em uma zona de guerra, é imprescindível saber tudo sobre o seu inimigo, verificar suas fraquezas e traçar um perímetro para sondar quais são suas ferramentas de defesa e ataque, o footprint trabalha nesta esteia, sempre com o proposito de recolher informações sobre quais sistemas operacionais são utilizados, quais tipos de firewall é utilizado, quais portas estão abertas e serviços destas portas. Esta parte do Ethical Hacker trabalha para criar o perfil do alvo a ser atacado, assim fica mais evidente qual tática será aplicada na exploração de falhas. Segundo o site Guia do TI, publicado em abril de 2018, algumas ferramentas podem ser utilizadas nesta etapa, veja: 
  • DNS queries
  • Network enumeration
  • Network queries
  • Operating system identification
  • Organizational queries
  • Ping sweeps
  • Point of contact queries
  • Port Scanning
  • Registrar queries (WHOIS queries)
  • SNMP queries
  • World Wide Web spidering


 Além destas ferramentas, uma outra de grande peso pode ser citada, vejamos: 

 Você pode enviar um email para a organização alvo, especificamente para o setor de RH como se estivesse se candidatando para uma vaga pedindo para que eles respondam o seu email, desta forma é possível analisar o "Mime" do email. Se por algum motivo o email não for respondido é possível utilizar logo de início, um serviço denominado de Read Notify (https://www.readnotify.com/) logo mais falarei sobre ele. Veja um exemplo logo abaixo da análise de um Mime Email:


Neste email, é possível constatar que a pessoa que respondeu provavelmente usou um notebook da Apple com o aplicativo de correio eletrônico do mesmo fabricante, além disso pode denota-se a conclusão de que várias informações sensíveis estão exposta, incluindo até o serviço de Appliance firewall da Vircom Inc. Por fim e não menos importante, logra-se êxito em adquirir os endereços locais de sua rede e também o seu IP público.

Em alguns casos não é possível coletar essas informações, já que tal coleta só é possível quando o email respondido faz o uso de algum tipo de correio eletrônico (aplicativo de envio de email). 

Para contornar este tipo de problema, ou seja, quando o seu alvo não está usando tal aplicativo, há algumas alternativas, é o caso do  Read Notify (https://www.readnotify.com/), o Grabify (https://grabify.link/) e o Canary Tokens (https://www.stationx.net/canarytokens). 

Para finalizar, vale a pena estudar um pouco sobre cada ferramenta citada neste post, cada uma terá um condão diferente, por este motivo é necessário estudar cada uma para aplicá-la no momento correto. Vale ressaltar que há vários tipos de Footprinting, a que foi abordada aqui é apenas uma sugestão. 

Fonte: 
https://grabify.link/
https://bgp.he.net/
https://www.stationx.net/canarytokens
https://www.vircom.com/
https://www.guiadoti.com/2018/04/ceh-v9-footprinting-e-reconnaissance/

Postado por: at Nenhum comentário:

terça-feira, 12 de novembro de 2019

Configurando o VMware para rodar o kali live.

Por Thiago Alvarenga
Usando o Kali em uma Virtual Machine, siga as imagens abaixo, qualquer dúvida poste: 
















Postado por: at Nenhum comentário:
Assinar: Postagens (Atom)

Análise da Vulnerabilidade CVE-2024-23113 no FortiGate

  Relatório Técnico: Análise da Vulnerabilidade CVE-2024-23113 no FortiGate e Medidas de Mitigação Introdução Nos últimos anos, as vulnerabi...