DISCLAIMER: Honeysec no se hace responsable
de cualquier uso que se le pueda dar a las herramientas que aparecen en el
siguiente artículo, incluidos ataques a cualquier dispositivo móvil o tablet.
Estas herramientas han sido publicadas con propósitos educativos y sin ninguna
garantía.
Consultar
los archivos de registro es el primer paso que un administrador de sistemas revisará
para ver qué ha ocurrido en su sistema.
Cada inicio de sesión sin éxito, inicio de sesión correcto y evento de
seguridad se registra en los archivos de registro. Por lo tanto, lo primero que
debemos hacer es asegurarnos de que no hay rastro de nuestras actividades
maliciosas en esos archivos de registro.
Eliminación de
registros de eventos con Metasploit/ Meterpreter
En las versiones más recientes de meterpreter de Metasploit, hay un script
llamado clearev para borrar todos
los registros de eventos. Este programa entrará en los registros de eventos en
un sistema Windows y borrará TODOS
los registros. Esto podría parecer un poco sospechoso para el administrador del
sistema, pero la mayoría de los administradores del sistema no están
vigilantes.
Como mínimo, eliminará nuestra conexión y / o intento de conexión de los
archivos de registro. Por supuesto, puede haber otra evidencia dejada detrás
tal como registros del router y registros del IDS.
En primer lugar, utilizar Metasploit para comprometer el sistema y obtener
una sesión de meterpreter.
Una vez
que obtenemos una sesión de meterpreter en el sistema, escribimos lo siguiente:
Como se
puede ver en esta captura de pantalla , todos los registros de eventos de Aplicación,
Sistema y Seguridad se han borrado de los archivos de registro del objetivo.
Eliminación de
registros de sucesos en equipos Linux
En los sistemas Linux, los archivos de registro se almacenan en el directorio /var /log. Podemos abrir y ver ese archivo
de texto plano que contiene mensajes de registro abriéndolo con cualquier
editor de texto.
Antes de abandonar el sistema
comprometido, abriremos este archivo en nuestro editor de texto favorito, revisaremos
y borraremos cuidadosamente las entradas
relacionadas específicamente con nuestra actividad en el equipo comprometido.
Borrado del
historial de comandos
Finalmente, antes de abandonar el equipo linux comprometido, queremos
asegurarnos de que nuestro historial de comandos se borra. Recordar, que
la shell de bash en la que estamos
escribiendo guardará nuestros últimos 500 comandos. Un administrador del sistema
podría rastrear todos nuestros comandos y detectar nuestras actividades en el sistema y
potencialmente utilizarlas como evidencia.
Para ver nuestro historial, podemos usar el comando more:
El
tamaño de nuestro archivo de historial está determinado por la variable de
entorno HISTSIZE. Podemos comprobar
el tamaño de la variable HISTSIZE
escribiendo:
Entonces
podríamos ponerlo a cero escribiendo:
Ahora,
nuestra shell no almacenará nada de nuestro historial. Recordar, hacer este
cambio a cero antes de iniciar el ataque y para que no se almacenen ningún comando,
pero si ya han escrito algunos comandos, tendremos que cerrar sesión y volver a iniciar la sesión
para borrar el historial después de establecer el HISTSIZE en cero.
Machacar el
archivo del historial
A veces
no tendremos tiempo suficiente para borrar el archivo de historial o cambiar la
variable HISTSIZE. De prisa, podemos
simplemente destruir nuestro archivo del historial escribiendo:
- shred -zu
root/.bash_history
Para
comprobar si nuestro historial ha sido machacado, podemos ver el archivo de
historial escribiendo:
Happy Hacking.