Herramienta forense para averiguar si un sistema Linux ha sido utilizado para realizar un ataque DDOS.

Share this…

La tendencia continua y creciente de la gravedad de ataques DDOS ha impulsado el desarrollo de herramientas de detección de ataques, con el fin de defenderse de las amenazas. Pero no sólo se requiere un escenario preventivo, sino también a posteriori, una vez que el acto criminal ha sido detectado la adquisición de pruebas es fundamental con el fin de propiciar una condena.

La herramienta HexaFind fue desarrollada para ayudar a un investigador forense en la determinación de que herramientas de ataque DDOS se han utilizado en un sistema operativo Linux. Las herramientas de ataque detectadas son: Metasploit, Wireshark, Nmap, tcpdump, LOIC (Low Orbit Ion Cannon), Nessus, OpenVAS, AutoScan, UnicornScan, implementation6, netifera, scapy, zenmap, aircrack-ng, snort, John the Ripper, netcat, rkhunter,Argus2, portscan, pof, Nikto,Dsniff y KISMET.

operation2

Con esta herramienta al examinar el sistema, un investigador forense sería capaz de determinar si un ataque se ha producido desde dicho sistema, identificando los signos reveladores clave, dejados por las herramientas destinadas a dicho fin. El objetivo es desarrollar una metodología sistemática para la identificación de herramientas de ataque a través de los datos que dejan cuando se ejecutan en un sistema. Se puede utilizar para demostrar que una herramienta de ataque en particular ha sido utilizada. HexaFind es una herramienta que permite establecer una linea de tiempo que puede ayudar a los investigadores en la aclaración de la información clave de un conjunto de datos grande. Trabaja con sistemas Linux/Unix POSIX y proporciona un entorno extremadamente flexible para trabajar. Esto también significa que la aplicación podría ser utilizado en una amplia variedad de distribuciones sin cambios que se requieran para cada sistema diferente.

HexaFind se compone de cinco módulos:

  • Main.sh – El módulo principal del programa es la interfaz de usuario. Este módulo ejecuta los otros módulos de secuencias de comandos con el modo especificado por el usuario, hasta que devuelvan un código de error distinto de cero. Si el código de error es igual a cero, el módulo principal vuelve al inicio de la ejecución y espera la entrada del usuario.
  • Trace.sh – Es un modulo de búsquedas de huellas forenses y que enumera el contenido del disco duro local con el fin de identificar las huellas del ataque. Esto proporciona resultados sin filtrar, que luego se filtran y clasifican en este módulo.
  • Report.sh – Este es el módulo de informes generados en texto básico, originalmente diseñado para ser portátil, que se ejecuta automáticamente. Este módulo ofrece una salida de texto, que es similar a la que muestra a través de la consola para el usuario, por lo que es útil para la línea de comandos.
  • Report_html.sh – Es el  módulo de informes HTML, también se puede ejecutar para crear una salida con formato HTML. Se ejecuta con gráficos de sectores en 3D con el fin de simplificar y visualizar el conjunto de datos.
  • Pie3d_v2.sh – Una secuencia de comandos para la creación del gráfico de sectores en 3D, modificado para permitir que el investigador visualice los resultados. Es ejecutado por el módulo de informes HTML, pero se puede ejecutar de forma independiente. Sin embargo, se requieren datos para ser colocado en un archivo de texto estructurado con el fin de definir el diseño visual del gráfico 3D.

Fuente:https://www.gurudelainformatica.es/