DOE AGORA Qualquer valor

Ocultar evidências no sistema invadido

Ocultar evidências no sistema invadido

Introdução

Bem-vindo a este novo artigo, hoje vou mostrar como limpar seus rastros de um computador hackeado, para poder operar sem que seus comandos ou suas ações dentro do sistema sejam registradas nos logs do sistema.

Para demonstrar isso irei utilizar duas ferramentas, uma criada para uso em sistemas Linux, criada em Rust, e por fim outra ferramenta criada para uso em Windows, criada em Powershell.

Esse tipo de ferramenta é muito útil porque se você não usar essas ferramentas, deixará rastros em todos os lugares e, logicamente, é muito perigoso para um forense começar a detectar seus passos e encontrá-lo.

MoonWalk

Esta é a primeira ferramenta, esta é aquela que é para uso em sistemas Linux e que é criada em Rust. Este é o repositório:

GitHub — mufeedvh/moonwalk: cubra seus rastros durante a exploração do Linux deixando zero rastros em…

moonwalk é um executável binário único de 400 KB que pode limpar seus rastros durante o teste de penetração em uma máquina Unix. Isto…

github.com

E esta é a descrição desta ferramenta: (você pode ver no arquivo readme.md no repositório)

moonwalk é um executável binário único de 400 KB que pode limpar seus rastros durante o teste de penetração em uma máquina Unix . Ele salva o estado dos logs do sistema antes da exploração e reverte esse estado, incluindo os registros de data e hora do sistema de arquivos pós-exploração, deixando zero vestígios de um fantasma no shell .

E estas são as características :

  • Executável pequeno: comece rapidamente com uma curlbusca em sua máquina de destino.
  • Rápido: executa todos os comandos de sessão, incluindo registro, limpeza de rastreamento e operações do sistema de arquivos em menos de 5 milissegundos.
  • Reconhecimento: Para salvar o estado dos logs do sistema, moonwalkencontra um caminho universalmente gravável e salva a sessão em um diretório de pontos que é removido ao encerrar a sessão.
  • Shell History: Em vez de limpar todo o arquivo de histórico, moonwalkreverte-o para como estava incluindo a invocação de moonwalk.
  • Carimbos de data/hora do sistema de arquivos: esconda-se do Blue Team revertendo os carimbos de data/hora de acesso/modificação dos arquivos de volta para como estava usando o GETcomando.

Sr Kaplan

Essa é a segunda ferramenta, essa é a que serve para esconder seu trace no sistema windows, você pode pensar que seria um exe ou algo parecido, mas não, nesse caso é criado no Powershell, isso parece ser muito bom para criar scripts, em breve você terá coisas com o Powershell.

Este é o repositório:

GitHub — Idov31/MrKaplan: MrKaplan é uma ferramenta destinada a ajudar os Red Teamers a permanecerem ocultos limpando…

MrKaplan é uma ferramenta destinada a ajudar os red teamers a permanecerem ocultos, limpando as evidências da execução. Funciona salvando…

github.com

E esta é a descrição desta ferramenta:

MrKaplan é uma ferramenta destinada a ajudar os red teamers a permanecerem ocultos, limpando as evidências da execução. Ele funciona salvando informações como o tempo em que foi executado, instantâneo de arquivos e associando cada evidência ao usuário relacionado.

Esta ferramenta é inspirada no MoonWalk , uma ferramenta semelhante para máquinas Unix.

E estas são as características :

  • Interrompendo o log de eventos.
  • Limpando arquivos de artefatos.
  • Limpando artefatos de registro.
  • Pode ser executado para vários usuários.
  • Pode ser executado como usuário e administrador (altamente recomendado para executar como administrador).
  • Pode salvar timestamps de arquivos.
  • Pode excluir certas operações e deixar artefatos para equipes azuis.

Linux

Perfeito agora vou mostrar como usar essa ferramenta em sistemas Linux para você ver como é simples.

O primeiro passo é executar este comando:

curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalkhttps://github.com/mufeedvh / moonwalk /releases /download/v 1. 0.0 /moonwalk_linux -o moonwalk

Ou:

cargo install --git https://github.com/mufeedvh/moonwalk.git

Damos permissões de execução com o comando chmod +x e executamos a ferramenta:

Este é o menu de ajuda, agora é hora de começar, se você vir a última captura de tela, poderá ver apenas a necessidade de adicionar start no último comando:

./início do passeio lunar

Agora poderíamos executar todos os comandos que desejássemos para que não fossem salvos.
No momento de finalizar é necessário executar este comando:

./parada do passeio lunar

janelas

Bem, agora faremos o mesmo, mas em uma plataforma Windows e com a ferramenta Mr Kaplan :

O primeiro passo é abrir o Powershell Shell no sistema.

E agora você precisa transferir o arquivo MrKaplan.ps1 , você pode encontrar o arquivo no Github Repository.

Para fazer isso, você pode usar o servidor python em sua máquina Kali e certutil.exe na máquina vítima:

Agora é hora de executar o script:

MrKaplan.ps1 começarcomeçar

Você pode ver alguns erros, mas funciona perfeitamente de qualquer maneira.

Terminar:

MrKaplan.ps1 fimfim

E feito!

Conclusões

Chega de artigo de hoje, espero que tenham gostado e que o utilizem para evitar possíveis perigos jurídicos ou simplesmente por precaução.

Obrigado por ler isso :)

S12.

Enviar esta postagem

Comentários

Postar um comentário

Ebook

Postagens mais visitadas