Fin de Año 2022

En Seguridad Jabalí no despedíamos el año desde el 2019, y es que han sido unos años extraños, durante este tiempo han sucedido muchas cosas, a nivel profesional y personal, proyectos que se han cumplido, otros que no funcionaron como se esperaba y muchos nuevos proyectos e ilusiones para este año que llega.

Pero sobre todo ha sido una época de aprendizaje, quizás en los tiempos duros es cuando mas reflexionamos, paramos de correr por un momento y nos detenemos a pensar.

En mi caso personal, me he detenido a pensar, a plantearme muchas decisiones, a escoger como quiero que sea mi vida, y después de todo este periodo, no quiero hablar hoy de proyectos profesionales, de metas o aficiones, solo quiero desearos lo mejor para estas fiestas, que disfrutéis de vuestros seres queridos, amigos y familia, y que os aferréis a esos momentos compartidos,.....tiempo habrá después para todo lo demás.

 

¡Que este 2023 sea vuestro mejor Año!!

Seguridad a lo Jabalí para Todos!!

WinObj

WinObj es una utilidad gráfica que permite visualizar de forma jerárquica el manejador de objetos de Windows (Windows’ Object Manager), cada tipo de objeto pertenece a un determinado recurso, memoria, registro, semáforo, enlace simbólico, etc. La herramienta ofrece la posibilidad de copiar el nombre de un objeto, el nombre completo o el enlace simbólico, si es que lo tiene, también dispone de opciones de búsqueda en el menú Find o con las teclas Ctrl+S o Ctrl+F, que corresponden con la opción de búsqueda y búsqueda rápida respectivamente.

WinObj no dispone de versión mediante línea de comandos, se puede ejecutar en modo 32 o 64 bits, y como usuario sin privilegios o como administrador. El siguiente comando permite ejecutar WinObj como system, esto permite ver objetos que no están disponibles, ni siquiera, ejecutando la utilidad con privilegios de administrador.

./psexec64 -sid C:\SysinternalsSuite\Winobj64.exe

Una de las utilidades de WinObj es la búsqueda de mutantes o mutex en el sistema, un mecanismo que ayuda a que solo se ejecute una única instancia de un programa, algunos tipos de malware utilizan esta técnica para evitar la ejecución de más de una instancia o incluso para prevenir el acceso de otros programas maliciosos.

La estructura de cada objeto tendrá un nombre para identificar dicho elemento y un Security Descriptor, que se puede revisar en las propiedades de cada objeto, todos estos elementos están catalogados en la ruta \Sessions\BaseNamedObjects

Otras ubicaciones interesantes en la jerarquía de WinObj son:
\Sessions\Nro\AppContainerNamedObjects\SID
\Sessions\0\DosDevices\LUID
\GLOBAL??
\KnownDLLs
\KnownDLLs32

Seguridad a lo Jabalí para Todos!!

AccessEnum

La Suite de Sysinternals es un conjunto de herramientas conocido por todo el mundo, pero casi siempre se habla de Process Explorer, Process Monitor, PsTools, etc. Hoy en www.seguridadjabali.com os hablamos de AccessEnum, una utilidad muy interesante.

AccessEnum realiza un escaneado de los permisos del sistema de archivos o el registro, esta búsqueda puede ser en todo el sistema o configurar una parte específica del sistema de archivos o una determinada rama del registro. Es importante conocer como realiza la utilidad esta recopilación de datos, por defecto, muestra los directorios que tienen permisos diferentes al directorio padre y los archivos con permisos menos estrictos que el directorio que los aloja. Además, los archivos de sistema y cuentas de servicio no se incluyen en esta búsqueda. Como se muestra en la siguiente imagen, todas estas opciones de escaneado se configuran en el menú Options.

En el menú de ayuda, la opción Contents explica las condiciones de búsqueda y comparación en detalle y explica la forma en la que realiza el escaneado. Una vez realizada la búsqueda se puede ordenar de manera ascendente o descendente en cada una de las columnas pulsando sobre la cabecera de la propia columna varias veces, también se puede ver las propiedades de un elemento, excluir de la pantalla ese elemento o abrir la ubicación (registro o archivo) con la opción de Explore, todas estas opciones están en un menú haciendo click con el botón derecho sobre cualquier elemento de la búsqueda.

Una de las opciones mas interesantes de esta herramienta es la posibilidad de hacer una determinada captura, para almacenar en un archivo.txt y utilizar ese archivo para realizar una comparación con un escaneo posterior.

En la imagen anterior se realiza una comparación con el estado de una carpeta, llamada confidencial, respecto a una captura del estado de los permisos de ese mismo elemento en un momento anterior en el tiempo. AccessEnum permite de esta manera, realizar una captura del estado de los permisos del sistema de archivos o el registro, o una parte especifica de estos, que puede servir como línea base para comparar si ha habido modificaciones de esos elementos posteriormente.

Seguridad a lo Jabalí para Todos!!