sábado, julio 26, 2014

Latch Event Monitor: Controlar Windows con Latch (3 de 3)

Quedaba pendiente para terminar este artículo de Latch Event Monitor hablar de una de las características que se pueden utilizar en esta herramienta para controlar un poco más todo lo que está sucediendo en el sistema Windows sin necesidad de configurar una opción de respuesta para cada uno de los eventos.

Monitorización de eventos con Latch Event Monitor

En la parte anterior hablamos de la posibilidad de lanzar una respuesta concreta, como bloquear una conexión o una dirección IP en el firewall, si el estado de la operación del Latch pareado estaba Bloqueado o Desbloqueado. En este caso, si lo único que queremos es que nos lleguen mensajes de alerta a nuestra app de Latch cuando se produzca una determinada situación, no será necesario configurar ninguna regla de respuesta, ya que Latch, por defecto, envía alertas si el estado de la operación está Bloqueado y ademas el usuario desde la app ya puede pedir que le lleguen también alertas cuando la operación esté Desbloqueada.

Sabiendo esto podríamos configurar en la aplicación una operación para monitorear cuando alguien toque un fichero del sistema, por ejemplo el popular ficheros hosts que tanto gusta a los amantes del Pharming y el Phishing.

Figura 12: Modificación del fichero hosts para hacer un ataque de pharming / phising

Como se puede ver en la imagen siguiente, se monitoriza el evento del sistema número 4656 que se genera cuando se produce un acceso a fichero, y se busca que en el contenido del evento aparezca el nombre hosts para que nos genere la alerta.

Figura 13: Configuración necesaria para monitorear el acceso a ficheros hosts de Windows en Latch Event Monitor

El resto de la configuración se puede queda en blanco, ya que tanto si el estado del Latch está Bloqueado o Desbloqueado, al final Latch Event Monitor va a hacer la consulta al servidor de Latch con lo que el usuario recibirá las alertas en su app cuando se produzca este evento.

Una demo en vivo de todo esto

La presentación oficial de la herramienta se hizo en la pasada RootedCON 2014 dentro de las charlas que se dieron. Aquí tienes todas las conferencias y en este enlace la charla completa de Playing & Hacking with Digital Latches donde se presentó la herramienta. Para que sea más cómodo entender las funciones de la herramienta, he hecho una pieza de solo 8 minutos con la explicación y las demos de Latch Event Monitor.


Figura 14: Demo de Latch Event Monitor en el pasada RootedCON 2014

Al final, las posibilidades de utilizar Latch Event Monitor están en el número de eventos que quieras controlar y los programas que quieras utilizar para responder a cada uno de ellos dependiendo de los estados de tu Latch.

Saludos Malignos!

********************************************************************************************
Latch Event Monitor: Controlar Windows con Latch (1 de 3)
Latch Event Monitor: Controlar Windows con Latch (2 de 3)
Latch Event Monitor: Controlar Windows con Latch (3 de 3)
********************************************************************************************

2 comentarios:

Anónimo dijo...

Latch es una verdadera orgía! thanks

Sandra Arias dijo...

La monitorización de eventos con Latch Event Monitor me ha resultado particularmente práctica, recientemente detecté que alguien me había tocado dos ficheros diferentes del sistema, afortunadamente no paso a mayores, en todo
caso, estoy casi que 100% seguro que fue un caso de Phishing en gran parte debido a que mi proveedor de internet Vodafone
estuvo haciendo pruebas con la configuración de mi conexión y lo han hecho de forma terrible, ayudando a que situaciones como estas se presenten. Muchas gracias por el artículo que me ha venido bastante bien, salu2!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares