Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
sistema Windows. Este programa nos avisa de los cambios que se producen
en nuestro ordenador, dndonos la posibilidad de permitirlos o denegarlos.
Con patriot vamos a detectar uno de los bugs que marcarn el 2012: EL bug
del protocolo RDP que permite comprometer remotamente cualquier
sistema Windows. Esta vulnerabilidad, para la que hay varios exploits
pblicos y que est siendo activamente explotada, es sin duda una de las
vulnerabilidades ms crtica que ha sido publicada recientemente para
sistemas Windows.
Dado que a da de hoy es uno de los bugs que ms inters despierta (y una
vez aadido el exploit a metasploit, con ms razn) viene bien monitorizar
quien est jugando con el.
Para ello, vamos a usar PATRIOT NG y su caracterstica de monitorizacin de
intentos de conexin a puertos.
El primer paso es detener Patriot, para ello buscamos el tray
Hola a todos voy a poner la nueva informacin sobre patriot-NG 2.X que a
posteado nuestro amigo Yago Jesus (creador de la herramienta ) y
colaborador de Security By Default.
Gestin de reglas NIDS en Patriot-NG
Durante la instalacin se crean dos ficheros de configuracin del NIDS, por
un lado badtraffic.ini y por otro ownrules.ini la idea es que badtraffic.ini sea
un fichero que *no* se deba tocar y que se actualice va la interface de
Patriot NG.
Como se puede ver en el tray, hay una opcin llamada Update NIDS rules
que descargar la ltima versin del servidor y la instalar. Por tanto, no es
aconsejable tocar ese fichero a mano ya que en la prxima actualizacin
ser sobre-escrito.
El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora
toca explicar como se crean esas reglas:
Como podis ver el formato de cada regla es muy sencillo:
[Texto descriptivo]= [Patron]
As pues a la hora de hacer una regla lo primero es pensar un nombre que la
asocie y buscar un patrn en ese ataque que sirva para identificarlo. El
patrn para la firma puede estar escrito o en ascii o en hexadecimal, as
pues algo como:
Cookie access = document.cookie
Es identico a:
Cookie access =646f63756d656e742e636f6f6b6965
Ya que 646f63756d656e742e636f6f6b6965 es la representacin en
hexadecimal de document.cookie.
Lo preferible es que siempre se intente escribir la regla en ascii y usar hex
para representar nicamente valores binarios.
A la hora de buscar patrones se pueden aadir varias cadenas de bsqueda
unindolas con el simbolo +
Por ejemplo, si pretendemos buscar por un lado document.cookie y por
otro http podemos crear la siguiente regla:
Cookie access = document.cookie+http
Que har match en un string como este:
http://www.dominio.com/script.php?document.cookie