Event Logs on Adrián Lois

Análisis y detección de Hoaxshell: ¿una shell indetectable?

Wed, 31 Aug 2022 08:08:00 +0000

Hoaxshell proporciona de forma client-side una shell inversa que por el momento Microsoft Defender y posiblemente otros motores de AVs no están detectando ya que se basa únicamente en el tráfico http y https, según nos comenta su desarrollador. Aunque más adelante veremos como esto puede ser detectado a nivel de eventos de Windows y no por eventos producidos en la red.

Hoaxshell: obteniendo una shell remota Link to heading

Nos descargamos el repositorio e instalamos el requirements.txt de python.

Detectar, alertar y bloquear fuerza bruta a RDP

Tue, 16 Nov 2021 21:10:00 +0000

Antes de nada comentar que es una muy mala práctica y está totalmente desaconsejado publicar hacia internet servicios de escritorio remoto. RDP es de los servicios más comprometidos por atacantes externos, con más intentos de ataques y que facilitan un vector de entrada directo a la red de una empresa si el acceso se configura de esta forma.

En el caso de tener que publicar RDP a internet -sin una VPN o una conexión intermedia hacia un equipo bastión- aunque sea de una manera temporal, hay que hacerlo de la forma “más segura” posible.

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Sun, 09 Feb 2020 10:19:00 +0000

Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.

La editamos y configuramos:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría

Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.

Auditar inicios de sesión erróneos (ID 4625) y notificar vía email

Sat, 18 Jan 2020 09:30:00 +0000

Una forma de auditar los errores de accesos de inicio de sesión o login a un sistema Windows ya sean accesos físicos, en remoto mediante RDP, recursos compartidos CIFS o llamadas a procedimientos remotos RPC como pueden ser el acceso a consolas msc de equipos remotos. Se considerarán inicios de sesión en una máquina Windows.

Este artículo se centrará en la auditoría de todos los accesos erróneos de login a un sistema pero en especial irá enfocado a los intentos de inicios de sesión RDP desde equipos remotos y la notificación de este evento vía un mensaje de correo electrónico de forma automática.

Log del firewall de Windows en tiempo real (pfirewall.log)

Sun, 11 Mar 2018 19:49:00 +0000

Para poder ver el log del firewall de Windows en tiempo real primero tendremos que habilitar la creación y almacenamiento del log.

Windows le asigna el nombre por defecto pfirewall.log ubicado en %systemroot%\System32\LogFiles\Firewall\pfirewall.log.

Para configurar el log del firewall (firewall.cpl) nos vamos a las propiedades avanzadas de WFAS (Windows Firewall Advanced Security), eligiremos el perfil en el que se registrará el log y lo personalizamos, especificando un path en el que se almacenará el registro de log o simplemente dejaremos el que Windows establece por defecto. Opcionalmente podemos registrar los paquetes descartados y/o los paquetes correctos.

WER (Windows Error Reporting): logs de crashes y bloqueos

Fri, 26 Dec 2014 12:27:00 +0000

En ocasiones ocurren inesperados crashes en aplicaciones o procesos del sistema que provocan a su vez comportamientos anómalos (cuelgues/congelados) en software de terceros.

Errores habituales del tipo: “explorer.exe dejó de responder”, “iexplorer.exe dejó de funcionar”, “ocurrió un error inesperado con outlook.exe, dejó de funcionar”, etc.

Para este tipo de casos y poder generar un log en el que podamos analizar por qué dicha aplicación se quedó bloqueada, es necesario habilitar el servicio Windows Error Reporting (WER) en los servicios de Windows, por defecto suele estar habilitado.

Permisos NTFS y ACLs en usuarios y grupos de Windows

Sun, 24 Apr 2011 15:57:00 +0000

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decidido incluir todo lo relacionado en el mismo post. Aparte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.

GhostBuster: analizar y eliminar dispositivos USB en Windows

Thu, 27 Jan 2011 18:10:00 +0000

GhostBuster es una herramienta que detecta y elimina dispositivos conectados en un pasado y también los actuales.

Figura 1: Analizando dispositivos USB conectados en un pasado con GhostBuster.

Aquellos dispositivos que se conectaron y se autoinstalaron en Windows. Ya sean actuales o en un pasado. Esta herramienta resulta útil en análisis forenses y ver la marca, nombre, identificadores, drivers, etc. que han estado conectados en un computador.