elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ¿Qué payload se está usando?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Qué payload se está usando?  (Leído 2,558 veces)
DoHITB

Desconectado Desconectado

Mensajes: 10


Ver Perfil
¿Qué payload se está usando?
« en: 30 Marzo 2014, 13:04 pm »

Hola!

Estoy acabando mis prácticas de consultor de seguridad informática, y me surge una duda (seguramente muy tonta). Os explico el caso:

Me dan un volcado de memoria (memory.vmem), la paso a mi portátil con BT (pendiente de pasar a Kali, jeje), y le "enchufo" el volatility (hice un script sencillo que pasa casi todas las opciones: connscan2, ident, sockscan2, vaddump...).

Se supone que la máquina de la que se ha extraído la memoria estaba infectada, así que me pongo a mirar los dumps.

Para mirarlo mejor me los bajo por FTP a mi pc de sobremesa (tengo una pequeña LAN montada en casa :-P) y el antivirus me bloquea algunos dumps por ser "maliciosos".

Vale, más claro imposible, ¿no? Los dumps bloqueados son los que tienen algo "raro". En efecto, son partes de los procesos de Firefox y Acrobat Reader.

De ahí intuyo que el usuario estaba leyendo un PDF desde el Firefox, o bien se ha descargado el PDF desde el Firefox... bueno ese no es el caso ahora mismo.

Cojo el dump de Acrobat y lo paso por virustotal.com, y 1.000 y una alarmas, ok ahí hay un exploit. En el dump "siguiente" (el que se generó justo después) veo información de cookies.

En la lista de files no están las cookies, pero en la lista que me da la tabla VAD sí, vamos atando cabos...

Pero ahora mi pregunta es: ¿cómo identifico el payload? Quiero decir, necesito hacer un informe que diga algo así como: "El usuario estaba haciendo XXXX y bajó un PDF infectado por YYYYYY exploit, lo que le permitió al atacante hacer ZZZZ".

¿Alguna sugerencia?

Obviamente no pido un "software mágico", pido CONSEJO (algo que parece que muchos se han olvidado que existe jejeje) sobre cómo identificar el payload.

Gracias por adelantado.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Este metodo que estoy usando esta bien?
.NET (C#, VB.NET, ASP)
enterariel 2 5,107 Último mensaje 6 Mayo 2009, 00:48 am
por MANULOMM
Esta vez duda usando libc « 1 2 »
Bugs y Exploits
pianista 16 11,776 Último mensaje 14 Febrero 2012, 00:11 am
por Ivanchuk
Que esta mal? usando allegro
Programación C/C++
Daniel_Ruiz 2 1,979 Último mensaje 20 Abril 2013, 20:33 pm
por Wofo
Como verificar si mi payload está deñada
Bugs y Exploits
.:UND3R:. 3 5,997 Último mensaje 21 Febrero 2014, 09:40 am
por adastra
Qué es el spouseware y por qué se está usando en casos de violencia de genero
Noticias
wolfbcn 0 2,125 Último mensaje 17 Febrero 2017, 15:14 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines