Perícia no Registro do Windows

Por Thiago Alvarenga

Registro do Windows

O registro do Windows se divide em cinco ou seis chaves, de acordo com a versão do sistema operacional, cada chave é uma unidade básica de informação dividida em níveis hierárquicos. As chaves de primeiro nível indicam as classes de informação, isto pode variar a depender da versão do Windows. 

HKEY_CLASSES_ROOT 

Esta chave guarda informações relativas a associação de arquivos aos respectivos softwares, os dados armazenado nesta chave garantem que o programa correto seja aberto quando você abrir um programa, sua abreação é esta: HCKR.

HKEY_CURRENT_USER

Contem a raiz das informações de configuração para o usuário que está conectado no momento, com configurações pessoais no momento.

HKEY_LOCAL_MACHINE

Esta chave guarda informações relativas ao hardware e software instalado no equipamento, assim como das configurações do Windows, tema, papel de parede, resolução de vídeo. 

HKEY_USERS

Por sua vez, esta chave armazenas informações relativas a todos usuários do equipamento e suas configurações pessoais. A chave  HKEY_CURRENT_USER possui um apontador para o usuário corrente listado na HKEY_USER. O usuário é identificado na chave pelo SID (Security Idenfifier) que é uma string com a seguinte aparência: S-1-5.21-2025429265-1463985344-854215398-1145

O SID é definido da seguinte maneira:

S-nrev-IDAutb-RID1-RID2-RID3... onde "nrev" e "IDAuth" idicam respectivamente o nível de revisão e o valor do identificador de autoridade do sistema. O RIDn (Relative Idenfiers) Identifica dados do usuário como o seu tipo de acesso, se é administrador do sistema ou outro tipo qualquer, grupo de usuário a que pertence, domínio, etc. 

HKEY_CURRENT_CONFIG

Destina-se a guardar informações sobre o perfil de hardware do equipamento, caso esteja sendo utilizado. A depender, a chave conterá informações padrão do Windows.

Footprint Ethical Hacker

Este artigo visa demonstrar algumas técnicas iniciais do Ethical Hacker, em especial, o Footprinting. Em uma zona de guerra, é imprescindível saber tudo sobre o seu inimigo, verificar suas fraquezas e traçar um perímetro para sondar quais são suas ferramentas de defesa e ataque, o footprint trabalha nesta esteia, sempre com o proposito de recolher informações sobre quais sistemas operacionais são utilizados, quais tipos de firewall é utilizado, quais portas estão abertas e serviços destas portas. Esta parte do Ethical Hacker trabalha para criar o perfil do alvo a ser atacado, assim fica mais evidente qual tática será aplicada na exploração de falhas. Segundo o site Guia do TI, publicado em abril de 2018, algumas ferramentas podem ser utilizadas nesta etapa, veja: 

• DNS queries
• Network enumeration
• Network queries
• Operating system identification
• Organizational queries
• Ping sweeps
• Point of contact queries
• Port Scanning
• Registrar queries (WHOIS queries)
• SNMP queries
• World Wide Web spidering

Além destas ferramentas, uma outra de grande peso pode ser citada, vejamos: 

Você pode enviar um email para a organização alvo, especificamente para o setor de RH como se estivesse se candidatando para uma vaga pedindo para que eles respondam o seu email, desta forma é possível analisar o "Mime" do email. Se por algum motivo o email não for respondido é possível utilizar logo de início, um serviço denominado de Read Notify (https://www.readnotify.com/) logo mais falarei sobre ele. Veja um exemplo logo abaixo da análise de um Mime Email:

Neste email, é possível constatar que a pessoa que respondeu provavelmente usou um notebook da Apple com o aplicativo de correio eletrônico do mesmo fabricante, além disso pode denota-se a conclusão de que várias informações sensíveis estão exposta, incluindo até o serviço de Appliance firewall da Vircom Inc. Por fim e não menos importante, logra-se êxito em adquirir os endereços locais de sua rede e também o seu IP público.

Em alguns casos não é possível coletar essas informações, já que tal coleta só é possível quando o email respondido faz o uso de algum tipo de correio eletrônico (aplicativo de envio de email). 

Para contornar este tipo de problema, ou seja, quando o seu alvo não está usando tal aplicativo, há algumas alternativas, é o caso do  Read Notify (https://www.readnotify.com/), o Grabify (https://grabify.link/) e o Canary Tokens (https://www.stationx.net/canarytokens). 

Para finalizar, vale a pena estudar um pouco sobre cada ferramenta citada neste post, cada uma terá um condão diferente, por este motivo é necessário estudar cada uma para aplicá-la no momento correto. Vale ressaltar que há vários tipos de Footprinting, a que foi abordada aqui é apenas uma sugestão. 

Fonte: 

https://grabify.link/

https://bgp.he.net/

https://www.stationx.net/canarytokens

https://www.vircom.com/

https://www.guiadoti.com/2018/04/ceh-v9-footprinting-e-reconnaissance/

Configurando o VMware para rodar o kali live.

Por Thiago Alvarenga

Usando o Kali em uma Virtual Machine, siga as imagens abaixo, qualquer dúvida poste: 

Golpe de página falsa roubava correntistas da Caixa Econômica

Por Thiago Alvarenga

Golpe de Phishing

Apesar do site está fora de operação e o golpe ser de 2018, este post tem o intuito de mostrar que o ataque de Phishing é uma das ferramentas mais eficazes usada por criminosos. 

Phishing segundo a Norton (Empresa de Antivírus) o ataque constitui-se em: um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia. Eles usam spams, websites maliciosos, mensagens instantâneas e de e-mail para fazer com que as pessoas revelem informações sigilosas, como números de contas bancárias e de cartões de crédito. Fonte: http://br.norton.com Acesso 12 de set. de 2019.

Como evidenciado logo acima, este ataque ainda consegue persuadir as pessoas justamente ao usar de uma cultura fraca de conhecimento e malicia sobre o uso adequado da internet. Em outros artigos postado aqui, aborda-se a questão da cultura digital sobre o aspecto tácito de tentar aprender apenas com os erros, ou seja, o usuário não se preocupa em fazer um curso de informática para então começar usar a internet, apenas usa e de forma desameada, em alguns casos sem nenhuma proteção, entretanto, estes tipos de ataques independem de proteção via software ou hardware, dados de uma pesquisa da IBM apontou que 95% dos ataques bem sucedidos são de responsabilidade do usuário, ele que abriu a porta ou foi o elo mais fraco tratando-se de um erro humano.

Por meio da Engenharia Social, entre vários tipos que ela se desdobra existe o Phishing, esta tática induz o usuário a acreditar que está fazendo uma transação legítima, dentro de um site copiado que irá salvar todos os dados sigilosos em um ambiente controlado pelo criminoso virtual. 

Veja logo abaixo um exemplo: 

Observe que o link http://txiw.org não usa criptografia, apenas por esta observação a mensagem já poderia ser descartada e indicado por quem a recebe como uma fraude. Nenhum banco pediria, mesmo em uma prática de enviar mensagens deste cunho, que seu correntista abrisse um link cuja o seu conteúdo não use criptografia. O problema deste link grifado em rosa, é que o http não é https, a letra S no final indica que toda informação será criptografada. Saiba que, mesmo que isto ocorra, ou seja, um link fosse acompanhado do http"s", não seria totalmente descartada a possibilidade de ser uma fraude, relata-se que a falta dele e por tratar-se de uma instituição financeira, ela teria essa preocupação como primária em suas transações. Outro ponto a ser levantado é a possibilidade de checar a autenticidade de um link, mesmo que ele seja acompanhado da letra "s" indicando que o site visitado possui um certificado autenticado por uma entidade confiável. Veja verificar a autenticidade do site:

Acesse o link: https://br.godaddy.com/whois

Para cada nome de site no mundo inteiro só existe uma pessoa física ou jurídica que a registrou, assim é possível fazer uma pesquisa para saber quem fez tal registro. A pesquisa é denominado de consulta whois e esta consulta faz uma varredura no mundo inteiro buscando informações de quem fez o registro, é indubitável que um criminoso irá colocar informações falsas, mas o campo do CNPJ não pode ser colocado se você não é o dono.  Esta é uma das formas de certificar-se que um site é idôneo, não quer dizer que seja só isto, mas esta é uma boa ferramente gratuita e de fácil acesso que pode coibir, frear esta prática.  

Atente-se também que vários os navegadores também estão dotados de ferramentas para coibir este tipo de prática, o Phishing.

Evidenciado logo abaixo: 

Veja que é simples todas questões debatidas e há várias  ações que o usuário pode adotar para ficar seguro e ter um conforto maior ao usar a internet, visto que o fator humano é o principal elo para este tipo de fraude. 

Autor desconhecido - Será informado o autor caso seja solicitado.

Fonte: 

Acesso 13 de set. 2019 entre os horários 21h às 1h44min AM.

https://pt.wikipedia.org/wiki/Footprinting

https://support.google.com/webmasters/answer/6350487?hl=pt-BR

https://br.godaddy.com/whois

http://br.norton.com/security_response/phishing.jsp

Após instalação do Kali e agora?

Por Thiago Alvarenga

Após instalação do kali, é hora de adicionar os repositórios de atualização, você precisa editar o arquivo sources.list com editor de texto via terminal, o VI, adicione a seguinte linha: 

Local do arquivo de repositório: /etc/apt/sources.list

Para editá-lo digite: vi /etc/apt/sources.list

Pressione a tecla i e em um linha livre cole o seguinte:

deb http://http.kali.org/kali kali-rolling main non-free contrib   

Feito isto, faça um update e upgrade. 


Vencida esta etapa, é a hora de preparar o metasploit. 

Passo 1: Inicie o banco de dados;

root@kali:~# service postgresql start  

Passo 2: Inicie o metasploit

[Verifique se o metasploit está conectado ao banco de dados.]

 Comando: root@kali:~# db_status

 Se a tela retornar com a informação negativa: 

postgresql selected, no connection

 Proceda da seguinte forma: 

Passo 2.1 - CRIANDO O BANCO DE DADOS

root@kali:~# msfdb init


Com estes procedimentos é provável que o metasploit consiga levantar o banco de dados postgresql. 

Faça os testes para verificar se o banco está conectado. 

Fonte: 

https://caveiratech.com/forum/linux-hacking-backtrack-kali-linux/metasploit-the-database-is-not-connected/

https://books.google.com.br/books?id=M8WWDwAAQBAJ&pg=SA1-PA15&lpg=SA1-PA15&dq=metasploit+postgresql+selected,+no+connection&source=bl&ots=u60NRJmJut&sig=ACfU3U03ILFcPvqn0D0LVWrIIZugZuwFbQ&hl=pt-BR&sa=X&ved=2ahUKEwj0-sz5l6bkAhX5D7kGHUrIB8QQ6AEwA3oECAkQAQ#v=onepage&q=metasploit%20postgresql%20selected%2C%20no%20connection&f=false

https://www.google.com/search?q=metasploit+postgresql+selected,+no+connection&client=firefox-b-ab&source=lnt&tbs=lr:lang_1pt&lr=lang_pt&sa=X&ved=0ahUKEwiz_IrAl6bkAhVxD7kGHcL0A-cQpwUIJw&biw=1360&bih=606

https://docs.kali.org/general-use/kali-linux-sources-list-repositories

https://docs.kali.org/general-use/starting-metasploit-framework-in-kali

https://www.youtube.com/watch?v=6wEvAXTxcHM  






 

Imagem Infraestrutura exigida aos Provedores pela Anatel

Por Thiago Alvarenga

Esta imagem abaixo, demonstra um modelo de exemplo de uma infraestrutura como requisito do projeto exigido pela Anatel.

Fonte: Autoria Própria

A segunda imagem, é do custo por cliente, inclui também uma lista de material inicial que um provedor gastaria. 

Fonte: Autoria Própria

Questionário para entrevista:

Por fim, esta é a minha contribuição. Vale ressaltar que seja citada a fonte em caso de cópia deste material. 

Arquivo BAT deletando histórico do chrome

Por Thiago Alvarenga

@ECHO OFF

:START
cls
%homedrive%
cd %USERPROFILE%
cd..
set profiles=%cd%

for /f "tokens=* delims= " %%u in ('dir /b/ad') do (

cls
title Deletando %%u CHROME TEMP. . .
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" echo Deletando....
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" cd "%profiles%\%%u\AppData\Local\Google"
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" del *.* /F /S /Q /A: R /A: H /A: A
if exist "%profiles%\%%u\AppData\Local\Google\Chrome" rmdir /s /q "%profiles%\%%u\AppData\Local\Google\Chrome"

Boas Práticas Administração de Redes

Thiago Alvarenga

Prática 1

Situação problema:

O usuário está em uma estação de trabalho e não consegue usar determinada(o) aplicação, está travada. Deste modo, em alguns casos basta abrir um prompt de comandos e finalizar a aplicação. 

Para matar um processo acima, você irá digitar: 

taskkill /IM smss.exe /F

O grifado em amarelo será o nome do arquivo que será fechado, se você quer finalizar o java por exemplo, você digitará: taskkill /IM javaw.exe/F

Há várias opções de fechamento, você também poderá digitar taskkill /? para verificar quais opções você pode usar. 

Prática 2 

Situação Problema:

Você está com uma demanda onde o usuário não consegue usar uma aplicação porque ela está inicializada por outro usuário, ou seja, foi feita a troca de turno e o usuário anterior não fez o logoff na máquina, deste modo você terá duas opções: 

Observação, antes de iniciar as demais etapas, verifique se há realmente mais de um usuário logado na máquina, veja a seguir o comando: 

query session

Veja:

Retângulo Branco: nome do usuário com os privilégios administrativos

Retângulo Amarelo: domínio inserido no Active Directory 

Retângulo Azul: Senha

Retângulo Vermelho: Informação sobre usuário 

Retângulo Azul Escuro: Usuário logado na máquina

Circulo Rosa: Seu ID, necessário para finalizar o usuário. 

1) Reiniciar o computador  ou; 

2) Abrir o prompt de comandos e digitar:

runas /user:usuario@domínio cmd

será exigido uma senha e após fornecê-la será aberta uma nova janela do prompt de comandos, nela você irá digitar:

query session

Agora basta digitar o comando para fazer o logoff. 

Digite o comando a seguir para finalizar a sessão:

logoff ID 

No logar da palavra "ID" digite o número que você deseja finalizar o logoff. 

Vale frisar que depois de algumas práticas, estes procedimentos não levam 30 segundos, uma reinicialização pode demorar até 30 minutos, casos onde o link ou a estação esteja passando por alguma atualização. 

Prática 3:

Como abrir uma janela do prompt de comandos: 

Segure a tecla Shift e CRTL dentro de alguma pasta em uma área livre, irá aparecer esta opção, como demonstra a imagem supracitada. 

Outro modo de abrir o prompt de comandos é usando um atalho, clique com o botão auxiliar do mouse na área de trabalho, por exemplo, aponte para opção novo e em seguida para atalho abrirá uma nova caixa de diálogo, digite: cmd  e por fim, clique em concluir.

Por enquanto estas são as dicas, claro que existem outros modos, caminhos que levam aos mesmos propósitos.

Explotation 0X300

EXPLOTATION

Qual seria a matéria prima do hacking? Um programa de computador é constituído por um conjunto de regras que segue determinado fluxo de execução e que por conseguinte indica o que deverá ser feito pelo computador. A matéria prima está no modo eficiente de induzir o computador a fazer algo não previsto, ainda que o programa seja programado para que isso não aconteça. É neste contexto que nasce uma falha de segurança, é este tipo de brecha que os criminosos digitais exploram. 

Seguindo este conceito, é sábio afirmar que a prática da Explotation é uma arte que imita a vida real. De forma análoga, na medicina o médico busca curar o seu paciente procurando a todo custo a causa de determinada falha do corpo humano que precede de uma analisa do quadro clínico e de exames para buscar uma cura, por outro lado, na explotation o Hacker investiga ao máximo o sistema alvo com o propósito de encontrar essas brechas de segurança. Um programa pode ser construído para fazer tudo a que se destina de forma restrita, entretanto, nem sempre o programa irá fazer o que foi destinado a fazer, ou melhor, esperado a fazer e a definição para isto é denominado de erro off-by-one. Veja o que a wiki diz em sua explicação: 

Um erro off-by-one ( OBOE ), também conhecido como OBOB ( bug off-by-one ) ou erro OB1, é um erro lógico que envolve o equivalente discreto de uma condição de limite . Geralmente ocorre na programação de computadores quando um loop iterativo itera uma vez demais ou muito poucos. Esse problema pode surgir quando um programador comete erros como usar "é menor ou igual a" onde "é menor que" deveria ter sido usado em uma comparação ou falha em levar em conta que uma sequência começa em zero em vez de uma ( como com os índices de matriz em vários idiomas). Isso também pode ocorrer em um contexto matemático . [modificado] Fonte: 

https://en.wikipedia.org/wiki/Off-by-one_error  Acesso às 21h27min em 01 de Setembro de 2019.  

Nesta ideia, pode-se dizer que um programa não é perfeito, o seu programador é humano e pode ocorrer uma estimativa não prevista no código abrindo uma brecha na segurança. Existe profissões com atribuições para este tipo de problema, estamos falando de uma área da Engenharia de Software ou o Analista de Teste de Software. É evidente que qualquer programador experiente também pode ter habilidades para testar um software e buscar falhas, há também certificações para quem quer seguir esta área.  

Fonte:

https://googleprojectzero.blogspot.com/

https://bugs.chromium.org/p/project-zero/issues/list?can=1&redir=1

https://www.google.com/about/appsecurity/research/

LIVRO - HACKING: The Art of Explotation - JON ERICKSON, 2009, p136

Por Thiago Alvarenga

Como saber quais usuários estão logados nas estações Windows

Por Thiago Alvarenga

Contexto: em um ambiente de rede controlado algumas políticas de seguranças sempre são adotadas, uma delas e a de usuário simultâneo por estação de trabalho e neste quesito um usuário não poderá estar logado em mais de uma máquina. Neste ambiente, é comum encontrar vários níveis de suporte, assim como preconiza os níveis do padrão internacional ITIL (STN1, STN2 e STN3), o Nível I é o primeiro atendimento, ele sempre terá limitações do ponto de vista administrativo, neste ponto, é válido explanar que as demandas para o Nível I serão de menor complexidade e interação com a administração dos serviços de rede.

Situação hipotética:

Usuário "X" logou na Estação de trabalho "1" e este mesmo usuário tentou logar na estação de trabalho "Y", com as diretivas de segurança o usuário não irá conseguir logar. Surge então uma necessidade de saber em qual máquina este usuário está logado, você pode escalar o problema ou usar uma ferramenta do suite PSTOOL que irá fazer uma varredura e dizer quais usuários estão logados em cada Estação de Trabalho.

Dica: baixe esta suite, descompacte na raiz da unidade C e adicione a sua localização na variável de ambiente do windows ou simplesmente descompacte-a dentro da pasta system32, apenas os arquivos.

Prática:

Dentro desta suite existe uma ferramenta chamada de: psloggedon

É muito simples, abra o prompt de comandos no local da pasta ou apenas digite o comando a seguir:

Exemplo 1:

PsLoggedon.exe \\hostname -l -x

Exemplo 2:
psloggedon "usuario_que_deseja_pesquisar_sem_aspas" -l

Observe que a linha grifada de AMARELO está apontando o local onde o usuário está logado, o comando reportou duas instâncias. O grifado da cor VERDE está indicando a busca por outros hosts. A resposta logged onto representa uma afirmativa positiva onde o usuário está logado.


LEITURA RECOMENDADA:

psexec \\127.0.0.1 -diu eduardo cmd --> onde:

- psexec - aplicativo para executar tarefas remotamente

- \\127.0.0.1 - endereço de loopback, ou seja da sua propria máquina. Lembrando que para executar em uma estação remota, terá que alterar o endereço para o da máquina remota.

- -diu = -d -i -u, que significa: "-d" significa que ao inserir este parametro o prompt irá executar e abrir na máquina remota e o prompt da máquina origem irá ficar disponivel para uso. Tente executar esse comando na máquina sem o parametro informado e observe a diferença. Essa opção é usada para que o processo da máquina origem termine, sem a necessidade de esperar o processo da máquina remota terminar. "-i" significa que você irá executar um processo diretamente na máquina remota, e não um processo na máquina local, com uma sessão remota. Como informado anteriormente, tente executar o comando sem esse parametro e observe a diferença. "-u" significa que terá que especificar um usuário para rodar o processo. Lembrando que a opção -u vem obrigatoriamente acompanhada do "-p" que significa que terá de inserir a senha do usuário especifico que executou o aplicativo. No meu caso, "eduardo" é o usuário e a senha é minha própria. Lembrando que esse parametro é útil para quem tem privilégios administrativos. Muito bacana né, agora é só se divertir. Vou mencionar os demais executaveis do pstools como prometido e suas funções. Seus parametros são similares ao do psexec, porém vale a pena "perder" um tempinho verificando se há algum parametro tão útil quanto, porém específico para o aplicativo em questão. Fonte: http://usuarioavancado.blogspot.com/2011/03/pstools.html