3 sept 2012

timestomp: el anti-forensics de Meterpreter

Meterpreter es un tipo de payload que ofrece todo tipo de posibilidades al auditor o usuario malicioso. Es la joya de la corona de los payloads. timestomp permite manipular los atributos de un fichero del sistema vulnerado, con el objetivo de manipular las huellas que se pueden dejar en una sesión de Meterpreter. Realmente podemos dejar loco al usuario de la máquina, ya que podemos colocar como fecha de creación de un fichero el 2 de Enero de 1601, por ejemplo, lo cual hace que el usuario piense en una infección vírica en toda regla.

El comando implementa gran variedad de opciones que se listan a continuación:

Modificación del último acceso. Para llevar a cabo esta acción se debe ejecutar la siguiente instrucción timestomp <ruta fichero remoto> -a “12/20/1986 12:12:34”. El formato de fecha va entre comillas y tiene dos campos, el primero es la fecha con el formato MM/DD/YYYY, y el segundo es la hora con formato HH:MM:SS.

Fecha de creación del archivo. Se puede modificar la fecha de creación del archivo a través de la siguiente instrucción timestomp <ruta fichero remoto> -c “10/22/1986 13:07:57”.

Fecha de modificación. Se puede modificar esta fecha con la siguiente instrucción timestomp <ruta fichero remoto> -m “12/21/1983 23:20:10”.

Forzar modificación de todos los campos anteriores. Para asignar la misma fecha a los campos de último acceso, modificación y creación se dispone de la siguiente instrucción timestomp <ruta fichero remoto> -z “12/22/1986 22:34:54”.

Visualización de los atributos. Para visualizar los atributos de un fichero del equipo remoto se ejecuta la siguiente instrucción timestomp <ruta fichero> -v.

• Para ejecutar una operación sobre los atributos de un directorio de manera recursiva se dispone de la siguiente instrucción timestomp <ruta fichero> -r.

 A continuación os dejamos una imagen con la demostración rápida de la manipulación de los atributos a través de timestomp, un script anti-forensic de Meterpreter.

2 comentarios:

  1. [...] semana arranca con Pablo y su post: timestomp: el anti-forensics de Meterpreter, en el que nos habla de la manipulación de huellas durante las sesiones de [...]

    ResponderEliminar
  2. esto es una maravilla... os la recomiendo, como el evidence eliminator... que tiempos aquellos del lado oscuro....

    ResponderEliminar