Análise forense – Obtendo URLs visitadas no pagefile.sys

Créditos da publicação aos colegas do Flu project

Na publicação de hoje, veremos como extrair artefatos do arquivo de paginação “pagefile.sys”, que permite estender a memória física usando a memória virtual.

Este arquivo pode ser encontrado na unidade do sistema raiz, geralmente C: \. Como é um arquivo de sistema protegido, não poderemos vê-lo diretamente, mas poderemos ocultá-lo do próprio navegador.

mundotec01

No nível forense, se utiliza em geral ferramentas como FTK ou Autopsy para analisar um disco clonado. Através de qualquer um deles, podemos localizar facilmente o arquivo e exportá-lo para analisá-lo.

mundotec02

O arquivo pagefile.sys não é um arquivo seqüencial, portanto, sua abertura e análise com qualquer editor se tornam complicadas. Existem alguns utilitários e scripts forenses que facilitam o trabalho de prospecção no arquivo, a fim de procurar informações de uma maneira mais ou menos automatizada, mas hoje veremos alguns exemplos manuais para encontrar facilmente dois tipos de strings de texto que Eles serão muito úteis para nós.

A primeira expressão que veremos, com base em strings, permitirá localizar URLs que foram acessados a partir do computador. Nós lhe pediremos para excluir URLs repetidos e também para retornar uma lista ordenada, para facilitar a leitura. Usaremos “egrep” em vez de “grep” para usar o filtro “?” dentro da expressão regular, o que nos permitirá ignorar repetições:

strings pagefile.sys.copy0 | egrep “^http?://” | sort | uniq | less

 

Como você pode ver, em apenas alguns segundos a lista completa dos sites visitados será exibida:

mundotec04

A segunda expressão, também baseada em strings, nos permitirá identificar os caminhos do sistema operacional que foram manipulados:

strings pagefile.sys.copy0 | grep -i “^[a-a]:\\\\” | sort | uniq | less

Você verá muitas outras rotas que poderiam ter sido ocultadas ao longo do dia:

mundotec06

Se você for bom em expressão regular pode fazer muito mais coisas.

Fonte: Flu Project

Anúncios

FastTrack: Algumas funcionalidades

Hoje apresentamos algumas características do FastTrack. A riqueza que oferece Fast-Track é a versatilidade, simplicidade e automação que fornece ao usuário. O principal objetivo do Fast-Track é fazer com que qualquer ação, que pode ser realizada com a ferramenta, fica configurado em menos de três minutos, e expõe o seu slogan.

Autopwn Automation

Esta funcionalidade permite técnica autopwn rapidamente e facilmente, sem a necessidade de manipular o Metasploit. Além disso, esse recurso permite que você execute o “comando” Nmap, como se você estivesse nessa linha de comando.

 

Nmap Scripting Engine

Nmap oferece uma rica funcionalidade e flexibilidade fornece a ferramenta chamada Nmap Scripting Engine. Com esta funcionalidade, você pode criar seus scripts para ser executado pelo Nmap ou use as milhares de scripts de Nmap existentes que fornecem recursos novos e interessantes.

Fast-Track fornece três opções de menu principal, a possibilidade de utilizar os scripts relacionados com o protocolo SMB in. Alguns dos recursos extras que podem ser obtidos com a execução desses scripts, e que mesmo ferramenta Nmap própria incluiu em suas versões mais recentes são:

 

  • Descubrimiento de rede.
  • Detecção de serviços e versões melhorado.
  • Detecção e exploração de vulnerabilidades.
  • Averiguar e corroborar a existencia de malware.
Microsoft SQL Tools

Esta funcionalidade fornece várias ferramentas para realizar ações como injeções SQL, força de servidores de banco de dados brutos processos, e assim por diante. Esta é uma das peças que podem interessar alguns auditores, porque, embora seja bem conhecido, as vulnerabilidades SQL dominam as primeiras posições em vulnerabilidades globais.

MSSQL ferramenta Injector permite ao usuário realizar injeções usando métodos diferentes. Em geral, você deve especificar o parâmetro com a vulnerabilidade SQL. Você pode ver alguns métodos de como usar a palavra ‘INJECTHERE para especificar onde a ferramenta deve executar a injeção. Um exemplo seria o

http://sitioVulnerable.com/recurso.aspx?id=’INJECTHERE.

 

A ferramenta fornece uma Bruter MSSQL pedido de força bruta em um SQL Server. Também pode ser usado como uma ferramenta de verificação de impressão digital máquina remota em busca de pistas sobre as portas abertas para o banco de dados, a visibilidade com a máquina, e assim por diante.

A melhor ferramenta para injeções SQL SQLPwnage é fornecido com esta ferramenta você pode especificar um site e através de um processo de rastreamento você recebe um mapa com as variáveis ​​e as páginas do site. Desta forma, você pode fazer um ataque de injeção SQL através desta descoberta.

Mass Client-Side Attack

Esta característica dá ao usuário a capacidade de usar um servidor web para carregar vários exploits e que eles são liberados quando uma vítima em potencial para se conectar ao servidor web. Esta funcionalidade é equivalente ao navegador autopwn da técnica. Essa funcionalidade também permite ARP Spoofing atacar a vítima, se estivesse localizado no mesmo segmento de rede que o atacante. Esta acção destina-se a controlar a comunicação da vítima. A ARP spoofing é causado pelo uso de ferramenta Ettercap Fast-Track.

5 twitters de segurança da Microsoft

Texto do meu amigo Daniel Donda

Separei uma lista de 5 twitters de segurança da Microsoft que vale a pena seguir #ficaadica

 

195820_29456973460_5811962_n

@Safer_Online, http://twitter.com/#!/Safer_Online (Conta do Twitter oficial da Microsoft para a privacidade e segurança on-line de orientação e informação)
@MSFTSecResponse, http://twitter.com/#!/msftsecresponse  (Official security response team at Microsoft)
@MSFTSecurity, http://twitter.com/#!/msftsecurity (esforços da Microsoft para segurança e privacidade)
@MSFTmmpc, http://twitter.com/#!/msftmmpc (Microsoft Malware Protection Center)
@MicrosoftDCU, http://twitter.com/#!/MicrosoftDCU (Advogados, investigadores, analistas técnicos e outros especialistas cuja missão é tornar a Internet mais segura para todos.)

 

http://www.facebook.com/msftmmpc (Página do Microsoft Malware Protection Center no facebook)