on

Adquisición remota con Ad|Quiere

Con la salida de la nueva versión de Ad|Quiere,  se  ha incluido una aplicación que facilita la adquisición remota de la evidencia. Esta aplicación, “Reversessh”, establece un túnel inverso usando ssh contra una máquina remota. Así, el investigador forense podrá tener acceso a la máquina incluso estando detrás de un firewall y sin visibilidad directa desde el exterior.

Desde el menú “Forensics -> VPN“, se podrá lanzar la aplicación:

Acceso directo desde el menú Forensics

Acceso directo desde el menú Forensics

A partir de aquí, la aplicación pedirá información para establecer el túnel a modo de asistente. Pero antes, será necesario entender la idea para poder configurarlo correctamente. El proceso consiste en los siguientes pasos:

  1. Crear una cuenta de usuario en un servidor accesible desde internet y accesible por el analista/auditor/perito.
  2. La cuenta debe tener permisos para poder acceder remotamente y el demonio de SSH deberá estar levantado.
  3. Iniciar Reverse SSH.
  4. Indicar el host remoto (servidor del analista) y el usuario que hemos creado previamente, así como el puerto (por defecto: 22).
  5. Indicar el host local y el puerto local de SSH.
  6. Indicar un puerto que se abrirá en el host remoto y por el cual, el analista podrá acceder a la máquina auditada.
  7. Establecer un password para el usuario de la distribución (usuario ubuntu por defecto), de lo contrario, no se podrá loguear aun careciendo de password el usuario.

Mostramos un esquema para mayor entendimiento:

Esquema del túnel SSH

Esquema del túnel SSH

Y a continuación, los pasos que hay que completar desde Reverse SSH para establecer el túnel:

Nombre del host remoto

Nombre del host remoto

Puerto remoto

Puerto remoto

Nombre del usuario remoto

Nombre del usuario remoto

Password del usuario remoto

Password del usuario remoto

Host Local

Host Local

Puerto Local de SSH

Puerto Local de SSH

Puerto del túnel

Puerto del túnel

Terminal abierto por Reverssh

Terminal abierto por Reverssh

Cambiando la contraseña al usuario "ubuntu"

Cambiando la contraseña al usuario “ubuntu”

Una vez concluido el asistente, la ventana de terminal que se abre como consecuencia de la ejecución, deberá permanecer abierta o minimizada hasta que la adquisición se haya completado. Por su parte, el analista forense podrá acceder al sistema donde corre Ad|Quiere a través del puerto que hayamos indicado, usando como usuario los que proporcione la máquina local (ubuntu en caso de Ad|Quiere):

[sourcecode language=”bash”]

ssh -p puerto_del_túnel usuario@localhost

[/sourcecode]

Con esto, ya se podrá empezar la adquisición. Para terminar, basta con cerrar la aplicación de terminal para cerrar a su vez la conexión:

[sourcecode language=”bash”]

ssh -p puerto usuario

[/sourcecode]

Un saludo,

Demo Free Trial MSSP
Program