Monitoreo de Archivos del S.O.

Todo sobre los distintos SSOO de Windows

Moderador: Moderadores

Monitoreo de Archivos del S.O.

Notapor johncook » Vie Mar 30, 2007 2:40 am

Hola, como están? La pregunta es la siguiente:
De que forma o con que tipo de aplicación y/o métodos monitorearian los cambios de los archivos críticos del S.O. en entornos Windows.
Por ejemplo, detectar que un usuario reemplazó el comando ping o nbtstat por alguna otra aplicación troyanizada, o bien detectar el cambio de una dll crítica. Si bien se podría habilitar la auditoría de objetos de Windows, no me parece una buena solución debido a la dificultad de interpretar (parsear) los datos que se generan, además de la sobrecarga de procesamiento en el equipo.
Por último quería consultar si se les ocurre alguna forma de proteger el uso de determinadas aplicaciones a determinados usuarios. Es decir que las aplicaciones tengan una lista de acceso, donde se pueda definir quienes son los usuarios que pueden ejecutarlas.
Muchas Gracias.
Saludos.
Avatar de Usuario
johncook
:-)
:-)
 
Mensajes: 12
Registrado: Sab Ago 26, 2006 8:28 pm

Notapor rhadamantys » Vie Mar 30, 2007 8:40 am

Umm me ha de sonar una aplicacion llamda tripwire , qu hacia entre otras cosas eso, aunque creo que es un monstruo de aplicacion :)

No se si te sirvira...

Un saludo
Avatar de Usuario
rhadamantys
:-)
:-)
 
Mensajes: 23
Registrado: Mié Ago 30, 2006 12:48 pm
Ubicación: Siberia-Gasteiz

Notapor rhadamantys » Vie Mar 30, 2007 8:41 am

Post duplicado, asi que ignorar, este...
Avatar de Usuario
rhadamantys
:-)
:-)
 
Mensajes: 23
Registrado: Mié Ago 30, 2006 12:48 pm
Ubicación: Siberia-Gasteiz

Notapor Yorkshire » Vie Mar 30, 2007 11:05 am

Para W$ no te sabría decir ninguno en partícular, pero busca por checksum managers, checksum windows, o parecido en google que algo saldrá.

Salu2
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Bebbop » Vie Mar 30, 2007 1:29 pm

Mi pregunta a tu pregunta, joer como estoy, es... como puede un usuario reemplazar el ping o el nbtstat?, por ejemplo, si un usuario puede hacer esos cambios en el servidor es que tienes un problema de seguridad y lo del troyano pues mas de lo mismo...

Repecto a monitorizar los ficheros lo que te vas a encontrar son aplicaciones como las que comenta Yorkshire... que hacen un checksum de los ficheros y despues los verifica asi se sabe si han cambiado o no.

Nunca he utilizado esas aplicaciones.
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Notapor neofito » Vie Mar 30, 2007 2:27 pm

Hola

Como bien te dicen por aqui si cualquier usuario puede modificar los binarios que comentas es que tienes un grave problema de seguridad.

Por otra parte quizas esta aplicacion te sirva:

The Change Analysis Diagnostic tool for Windows XP is available

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Yorkshire » Lun Abr 02, 2007 8:45 am

No nos engañemos.... el 90% de usuarios W$ domésticos trabaja con usuario privilegiado y/o administrador.
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Bebbop » Lun Abr 02, 2007 9:01 am

Yorkshire escribió:No nos engañemos.... el 90% de usuarios W$ domésticos trabaja con usuario privilegiado y/o administrador.


Si, tienes razon... es que siempre que escucho usuario lo relaciono con un escenario cliente/servidor... y no al usuario de su propia maquina. Igualmente un usuario perteneciente a un dominio no deberia tener privilegios de "administrador" aunque se de algunos sitios que... ejem.
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Notapor SLaYeR » Lun Abr 02, 2007 9:53 am

Tripwire creo que no esta para Windows, y sí, es un monstruo de aplicación :p , creo que Snort te haría el mismo efecto, y de paso tendrías un IDS en marcha en tu servidor... ;)

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor Sor_Zitroën » Lun Abr 02, 2007 6:49 pm

Siendo muuuy sincero, no he trasteado ni con Tripwire ni con Snort, pero eso de que "hace el mismo efecto" no estoy de acuerdo :). Es decir, Tripwire es un HIDS y Snort es un NIDS.

Un saludo.
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor SLaYeR » Lun Abr 02, 2007 7:04 pm

Haber, centrémonos. No digo que Snort y Tripwire hagan lo mismo, como bien dices uno es un HIDS y el otro un NIDS, uno actúa sobre Hosts y el otro sobre redes, por lo que el Tripwire seria mas aconsejable.

Lo que quería decir es que ambos poseen la funcionalidad de comprobar la integridad de determinados ficheros que previamente se le indique, y por lo tanto y teniendo en cuenta de que no conozco Tripwire para Windows, pero si Snort, he optado por recomendar Snort :p

Salu2!
Última edición por SLaYeR el Mar Abr 03, 2007 1:19 pm, editado 1 vez en total
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor okahei » Mar Abr 03, 2007 12:27 pm

-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor SLaYeR » Lun Abr 09, 2007 3:31 am

No viene al caso, pues se trata de una aplicación para Linux, pero he estado probando Samhain y es una maravilla, te permite asignar a cada fichero o directorio una política (predefinida o definida) e incluso realiza comprobaciones sobre el kernel para detectar posibles rootkits. Puede trabajar en modo cliente-servidor y ofrece infinidad de formas de comunicar las alertas.

Lo dicho, una maravilla. Si queréis saber mas podéis mirar aquí; es mas, si soléis leer la Hackin9, en el numero del mes de marzo me parece que se habla sobre el.

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...


Volver a Windows

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron