“Este ejercicio se inicia con base en la premisa de un Atacante ávido de información e inundado de adrenalina al lograr la posesión o control de una Victima sobre la Web, a merced de sus designios y emociones, manipulador y malicioso, al dirigir a su presa a lo mas profundo de sus abismos”
1. El Mundo de Dinosaurio
http://world-of-dino.blogspot.com/
Jhon Jairo Hernández Hernández
Nickname: Dinosaurio – Dino @d7n0
d7n0s4ur70@gmail.com
Compulink_ltda@hotmail.com
http://world-of-dino.blogspot.com
2.
3.
4.
5.
6.
7. Cómo saber si el equipo está infectado por software
malintencionado???
• Observa nuevas barras de herramientas, vínculos o favoritos que
no haya agregado intencionadamente a su explorador web.
• Su página principal, el puntero del mouse o el programa de
búsqueda cambia de forma inesperada.
• Escribe la dirección de un sitio concreto, como un motor de
búsqueda, pero se le dirige a otro sitio web sin previo aviso.
• Los archivos se eliminan automáticamente del equipo.
• Su equipo se emplea para atacar a otros equipos.
• Ve anuncios emergentes aunque no esté en Internet.
• Su equipo de repente comienza a funcionar más lento de lo
habitual.
8. Cómo saber si el equipo está infectado por software
malintencionado???
• De pronto se muestran mensajes o imágenes inesperados se
reproducen sonidos o música inusuales de forma aleatoria.
• El lector de CD-ROM se abre y se cierra de forma misteriosa
los programas se inician de pronto en su ordenador .
• Su cortafuegos le informa de que algunas aplicaciones
intentan conectarse a Internet, aunque usted no las haya iniciado.
• Sus amigos mencionan que han recibido mensajes desde su
dirección, y usted está seguro de no que usted no los ha enviado.
• Su bandeja de entrada contiene muchos mensajes sin la
dirección del remitente o encabezado.
9. Cómo saber si el equipo está infectado por software
malintencionado???
• Su ordenador se paraliza con frecuencia o encuentra
errores.
• Su ordenador se vuelve lento cuando se inician los
programas.
• El sistema operativo no puede cargarse.
• Los archivos y carpetas han sido borrados o su
contenido ha cambiado.
• Su disco duro es accedido con mucha frecuencia.
• Microsoft Internet Explorer se paraliza o funciona de
forma errática.
11. A nivel de software la primera medida de
prevención con que debemos contar es un
buen Kit de Seguridad…….
12.
13. Y si no tienes la certeza de que en realidad estés infectado o alguien ronde por tu
computador, puedes hacer uso de diversas cajas de herramientas para determinar
tu infección.!!
46. Puesto, que tome la
dirección IP de mi
vecino al vulnerar su
Inalámbrica y Router
para realizar la prueba
de concepto ( Un
delito cometido por
una justa causa de la
manera mas sana
posible) para realizar
este PoC!!!
47. Este es su Router con credenciales por default, para lo cual quien realiza la caza
puede optar por lograr información de credenciales u otra información referente
a los equipos de comunicación.
50. Shodan es el primer motor de búsqueda de ordenador que te
permite buscar en la Internet para las computadoras. Encontrar
los dispositivos basados en, ciudad, país, latitud / longitud
nombre de host del sistema, de operación y propiedad
intelectual
51. SI YA SE QUE EL ROUTER ES DE MI VECINO
COMPROMETIDO POR UN ATACANTE Y SOLO ESTOY
LLEGANDO A LOS EQUIPOS DE MI VECINO!!!!!!!
52. Pero entre el atacante y la victima siempre hay algo en
común !!!!!
53. AUNQUE LA IP CAMBIE O INDEPENDIENTE DEL TIPO DE
CONEXIÓN DEL MALWARE, SIEMPRE HABRA UNA
ITERACCION CONTINUA ENTRE ATACANTE - VICTIMA
76. CIRCUITO DE PROXYS TOR / PRIVOXY
IP Inicial del Circuito.
Análisis del circuito de Proxy,
permitiendo determinar la IP inicial su
cambio rotativo y retoma de la IP inicial
del atacante para la cual el Cazador
prepara sus scripts o herramientas de
ataque tratando de aprovechar el tiempo
posible antes de cambio de IP y retoma
nuevamente en el circuito el cual el
tiempo es aumentado cada vez.
Si deseas configurar tu TOR en Linux
visita:http://world-of-dino.blogspot.com/2009/06/h0ls-
bueno-en-vista-de-que-tengo-que.html
Retoma de la IP Inicial del Circuito.
77. CRUZAS LA LINEA DELGADA DE LA LEGALIDAD / ILEGALIDAD ??
LEY 1273 DE 2009
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html
90. Interactuar con el usuario de manera amable y
solidaria para lograr mayor información del mismo.
91. Mail falso para replicar el correo haciendo uso de Re@dNotify o Getnotify
92. Correo enviado al atacante con actitud solidaria y apoyo a la gestión que
pretende realizar, con la finalidad de lograr mayor información y analizar
comportamientos de redacción y patrones de escritura.
93. Metadatos tomados de un documento enviado por el atacante con la
herramienta FOCA de Informatica64. También se puede realizar con la
versión libre descargable de FOCA
98. De igual forma podemos determinar el servidor de Correo de donde es
enviado (origen) utilizando NMAP (Insecure.org) que permite verificar el
servidor IP: [xxx.xx.xx.110], presentando la siguiente información:
do
100. También podemos usar el aporte de nuestro amigo SERVANT de
http://blog.juanescobar.org/
101. Podrias invitarlo a visitar una Web en donde puedas recopilar su
informacion. De que depende de tu astucia, habilidad y perspicacia!!!
102. En donde recopilarías una buena cantidad de Información. El Arte del
Tratamiento de la Estupidez Humana “La Ingeniería Social” será tu mejor
arma:
103.
104. A partir de un dato inicial (correo, usuario, nombre, nickname, Web, etc) se
puede lograr una gran cantidad de información del usuario que este halla
expuesto en la Red, realizando los procesos adecuados de FootPrinting. Tema
que tiene demasiado por tratar o como diríamos coloquialmente “Queda mucha
tela por Cortar” del cual no tenemos mas tiempo para tratar en esta charla, pero
que en próximos artículos escribiré en mi Blog:
http://world-of-dino.blogspot.com/
En un dos articulos tema que estoy preparando:
“FOOTPRINTIN G EN PROFUNDIDA ”
“ ANALISIS DE UN ROGUE SOFTWARE"
106. Detallen usar FOCA SIN CREAR un PROYECTO una simple búsqueda con sus
opciones por defecto (que también pueden ser modificadas) haciendo uso de
los cuatro buscadores principales en la Red. (No se si informática64 sepa de
esto).
107. Como muestra observemos lo siguiente, sin profundizar en procesos metódicos
de Análisis Web, solo a partir de un dato encontrado posiblemente en la Web de
tu atacante:
Crawling a al sitio Web de tu atacante . Formularios del sitio Web.
108. Se encuentran publicaciones de Investigación de este personaje. Con
información relevante para lograr un acercamiento con él y datos para realizar
mayores búsquedas
109. Sitio Red Social de Windows Live:
Determinar sus Equipos de Trabajo:
110. No puede faltar determinar su perfil profesional y correlacionar la información
obtenida:
114. Como cosa rara con lo que escribo y quiero preparar siempre se me extiende…..
Enlaces de Interés para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://www.peoplesmart.com/
http://www.123people.es/s/katherine+angulo
https://profiles.google.com/katherock11#katherock11/about
http://www.google.com.co/search?hl=es&tbm=mbl&q=dragonjar&aq=f&aqi=g10&a
ql=&oq=
http://whatismyipaddress.com/
http://wink.com/people/nm/KATHERINE%20ANGULO/l/colombia/
http://pipl.com/search/?FirstName=KATHERINE+&LastName=ANGULO&City=Popaya
n&State=&Country=CO&CategoryID=2&Interface=1
http://blogsearch.google.com.co/?tab=Xb
https://picasaweb.google.com/lh/view?hl=es&q=4v4t4r&authuser=0&um=1&ie=UT
F-8&sa=N&tab=wq#
http://www.google.com.co/intl/es/options/
http://groups.google.com/groups/search?hl=es&q=4v4t4r&qt_s=Buscar+en+Grupos
https://docs.google.com/?tab=go&authuser=0&pli=1#advanced-
search/q=4v4t4r&view=0&hidden=1
115. Enlaces de Interés para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://co.search.yahoo.com/search;_ylt=Atyb9TzDn8bQzNQ8jbKDm5hm.bt_;_ylc=X1MDMjE0
MzAyNTUxMARfcgMyBGZyA3lmcC10LTcyOARuX2dwcwMwBG9yaWdpbgNjby55YWhvby5jb20E
cXVlcnkDNHY0dDRyBHNhbwMx?vc=&p=4v4t4r&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-
728#r=fr2%3Dsite%26ei%3DUTF-8%26fr%3Dyfp-t-
728%26p%3D4v4t4r%26vst%3D0%26vs%3Dslideshare.net&rid=refiner4
http://co.search.yahoo.com/search;_ylt=Atyb9TzDn8bQzNQ8jbKDm5hm.bt_;_ylc=X1MDMjE0
MzAyNTUxMARfcgMyBGZyA3lmcC10LTcyOARuX2dwcwMwBG9yaWdpbgNjby55YWhvby5jb20E
cXVlcnkDNHY0dDRyBHNhbwMx?vc=&p=4v4t4r&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-
728#r=fr2%3Dsite%26ei%3DUTF-8%26fr%3Dyfp-t-
728%26p%3D4v4t4r%26vst%3D0%26vs%3Dtwitter.com&rid=refiner1
http://picasaweb.google.com/4v4t4r
http://twittercounter.com/4v4t4r
http://person.langenberg.com/
http://siri.procuraduria.gov.co/cwebciddno/Consulta.aspx
http://linea.ccb.org.co/TiendaConsultas/tienda/Busqueda.aspx?tipo=zlkvQxSZgjY=
https://servicios.ccc.org.co/renovacion/jsp/index.jsp
http://autoliqweb.ccc.org.co/autoLiquidacionWeb/jsp/index.faces
116. Enlaces de Interes para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://serversniff.net/content.php?do=hostonip
http://www.inforapid.de/html/srdownload.htm
http://www.myipneighbors.com/1
http://www.cuwhois.com/search.php?domain=1
http://www.chatox.com/whois/whois.html
http://www.iptools.com/
http://www.yougetsignal.com/
http://www.intodns.com/
http://www.freednsinfo.com/
http://www.dnsenquiry.com/
http://visualroute.visualware.com/
http://www.123people.es/
117. Ah por ultimo, pues contarles lo ya contado, que estoy terminando de trabajar
en el análisis al seguimiento de un Malware AV Rogué (falso antivirus) para
determinar su origen y autores, el cual es un negocio muy lucrativo para sus
creadores, luego les mostrare por que eso daría para otra charla u articulo……