IoC on Adrián Lois

Análisis y detección de Hoaxshell: ¿una shell indetectable?

Wed, 31 Aug 2022 08:08:00 +0000

Hoaxshell proporciona de forma client-side una shell inversa que por el momento Microsoft Defender y posiblemente otros motores de AVs no están detectando ya que se basa únicamente en el tráfico http y https, según nos comenta su desarrollador. Aunque más adelante veremos como esto puede ser detectado a nivel de eventos de Windows y no por eventos producidos en la red.

Hoaxshell: obteniendo una shell remota Link to heading

Nos descargamos el repositorio e instalamos el requirements.txt de python.

PeStudio: analizar ejecutables .exe y .dll en busca de malware

Tue, 30 Dec 2014 11:04:00 +0000

PeStudio es un software gratuito si se destina a uso personal, el que nos permitirá ver y/o analizar ficheros .exe y librerías dinámicas .dll, entre otros ficheros.

En estos análisis nos muestra diversos aspectos de un fichero en los cuales podemos investigar para saber qué acciones realiza dicho fichero cuando lo ejecutamos, de este modo, podremos saber si se trata de un malware y en ese caso mirar qué acciones podría llevar a cabo.

USBDeview y GhostBuster: información de dispositivos USB en Windows

Tue, 02 Sep 2014 12:25:00 +0000

USBDeview es una pequeña aplicación de nirsoft.net que nos muestra información muy detallada de los dispositivos USB conectados actuales o que en un pasado estuvieron conectados en un equipo.

Figura 1: Analizando dispositivos USB USBDeview.

Este tipo de información nos puede ser útil para análisis forenses mostrándonos información de dispositivos conectados en un pasado.

Aprovecho para comentar que la rama del registro de Windows donde podremos ver el ID y demás información de cada dispositivo USB conectado.

Analizar la carpeta Prefetch de Windows (ficheros .pf)

Sun, 09 Feb 2014 10:00:00 +0000

La carpeta Prefetch de Windows ubicada en el path C:\Windows\Prefetch, según Microsoft Windows, define esta carpeta de la siguiente manera.

“Cada vez que se enciende el equipo, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren habitualmente. Windows guarda esta información en una serie de pequeños archivos (de extensión .pf) en la carpeta Prefetch. La próxima vez que encienda el equipo, Windows recurrirá a estos archivos para acelerar el proceso de inicio.”

GhostBuster: analizar y eliminar dispositivos USB en Windows

Thu, 27 Jan 2011 18:10:00 +0000

GhostBuster es una herramienta que detecta y elimina dispositivos conectados en un pasado y también los actuales.

Figura 1: Analizando dispositivos USB conectados en un pasado con GhostBuster.

Aquellos dispositivos que se conectaron y se autoinstalaron en Windows. Ya sean actuales o en un pasado. Esta herramienta resulta útil en análisis forenses y ver la marca, nombre, identificadores, drivers, etc. que han estado conectados en un computador.