Support Contact us

  • Categories

  • Book discovery call banner for MSSPs

  • Tags

    Antivirus ATT&CK Awards AZORult breach Business Partners CISO Collaboration Community Covid19 Credentials Cyber Attacks cybercrime Cyber resilience Cyber Security Cyber Threats Darknet Markets Dark web Data Breach digital risk Financial & Banking Fraud Hacktivism incident response industry Insurance Malware MSSP Partners Ransomware Real-time research SOC SolarWind startup Stealer Threat Actors Threat Analysis Threat Context Threat Detection Tools Threat Intel Feeds Threat Intel Guide Threat Intelligence Threat Intel Tools Vulnerability

    • on

    September 1, 2010

    Adquisición remota con Ad|Quiere

    Con la salida de la nueva versión de Ad|Quiere,  se  ha incluido una aplicación que facilita la adquisición remota de la evidencia. Esta aplicación, “Reversessh”, establece un túnel inverso usando ssh contra una máquina remota. Así, el investigador forense podrá tener acceso a la máquina incluso estando detrás de un firewall y sin visibilidad directa desde el exterior.

    Desde el menú “Forensics -> VPN“, se podrá lanzar la aplicación:

    Acceso directo desde el menú Forensics

    Acceso directo desde el menú Forensics

    A partir de aquí, la aplicación pedirá información para establecer el túnel a modo de asistente. Pero antes, será necesario entender la idea para poder configurarlo correctamente. El proceso consiste en los siguientes pasos:

    1. Crear una cuenta de usuario en un servidor accesible desde internet y accesible por el analista/auditor/perito.
    2. La cuenta debe tener permisos para poder acceder remotamente y el demonio de SSH deberá estar levantado.
    3. Iniciar Reverse SSH.
    4. Indicar el host remoto (servidor del analista) y el usuario que hemos creado previamente, así como el puerto (por defecto: 22).
    5. Indicar el host local y el puerto local de SSH.
    6. Indicar un puerto que se abrirá en el host remoto y por el cual, el analista podrá acceder a la máquina auditada.
    7. Establecer un password para el usuario de la distribución (usuario ubuntu por defecto), de lo contrario, no se podrá loguear aun careciendo de password el usuario.

    Mostramos un esquema para mayor entendimiento:

    Esquema del túnel SSH

    Esquema del túnel SSH

    Y a continuación, los pasos que hay que completar desde Reverse SSH para establecer el túnel:

    Nombre del host remoto

    Nombre del host remoto

    Puerto remoto

    Puerto remoto

    Nombre del usuario remoto

    Nombre del usuario remoto

    Password del usuario remoto

    Password del usuario remoto

    Host Local

    Host Local

    Puerto Local de SSH

    Puerto Local de SSH

    Puerto del túnel

    Puerto del túnel

    Terminal abierto por Reverssh

    Terminal abierto por Reverssh

    Cambiando la contraseña al usuario "ubuntu"

    Cambiando la contraseña al usuario “ubuntu”

    Una vez concluido el asistente, la ventana de terminal que se abre como consecuencia de la ejecución, deberá permanecer abierta o minimizada hasta que la adquisición se haya completado. Por su parte, el analista forense podrá acceder al sistema donde corre Ad|Quiere a través del puerto que hayamos indicado, usando como usuario los que proporcione la máquina local (ubuntu en caso de Ad|Quiere):

    [sourcecode language=”bash”]

    ssh -p puerto_del_túnel usuario@localhost

    [/sourcecode]

    Con esto, ya se podrá empezar la adquisición. Para terminar, basta con cerrar la aplicación de terminal para cerrar a su vez la conexión:

    [sourcecode language=”bash”]

    ssh -p puerto usuario

    [/sourcecode]

    Un saludo,

    Demo Free Trial MSSP
    Program