http://esgeeks.com/?p=2823

En caso de que su máquina con Windows se haya visto comprometida u otro motivo, este post de referencia para prueba de penetración le va a ayudar.

Este artículo de Prueba de Penetración (Penetration Testing) es para los administradores de Windows y personal de seguridad teniendo en cuenta que el objetivo final es buscar indicaciones de debilidades o ataques en su sistema.

1. Entradas inusuales de registro

Verifique sus registros de eventos sospechosos, como:

  • “El servicio de registro de eventos se detuvo”.
  • “La protección de archivos de Windows no está activa en este sistema”.
  • “El archivo de sistema protegido [nombre de archivo] no se restauró a su versión original y válida debido a la Protección de archivos de Windows…”
  • “El servicio MS Telnet se inició con éxito”.

Para este primer tip usaremos la GUI, ejecute el visor de eventos de Windows:

C:> eventvwr.msc


  • Ahora usando el símbolo del sistema:
C:> eventquery.vbs | more

O bien, para enfocarse en un registro de eventos particular:

C:> eventquery.vbs /L security

Por supuesto funcionará en las versiones de Windows Server. Puede visitar este sitio para más información sobre los comandos de Eventquery.vbs.

2. Procesos y servicios inusuales

Busque procesos inusuales/inesperados y concéntrese en los procesos con el nombre de usuario “SYSTEM” o “Administrator” (o usuarios en el grupo Administradores). Debe estar familiarizado con los procesos y servicios normales y buscar desviaciones.

  • Usando la GUI, ejecuta el Administrador de tareas:
C:> taskmgr.exe
  • Usando el símbolo del sistema:
C:> tasklist
C:> wmic process list full

También busque servicios inusuales.

  • Usando la GUI
C:> services.msc
  • Usando el símbolo del sistema
C:> net start
C:> sc query

Para obtener una lista de servicios asociados con cada proceso:

C:> tasklist /svc

3. Archivos inusuales y claves de registro

Compruebe el uso del espacio de archivos para buscar disminuciones importantes repentinas en el espacio libre, utilizando la GUI (haga clic con el botón derecho en una partición) o escriba:

C:> dir c:

Busque programas extraños a los que se hace referencia en claves de registro asociadas con el inicio del sistema: (HKEY_LOCAL_MACHINE = HKLM)

  1. HKLM\Software\Microsoft\Windows\Current\Version\Run
  2. HKLM\Software\Microsoft\Windows\Current\Version\Runonce
  3. HKLM\Software\Microsoft\Windows\Current\Version\RunonceEx

Tenga en cuenta que también debe verificar las contrapartes HKCU (reemplace HKLM con HKCU arriba).

4. Penetration Testing para uso inusual de la red

  • Observe los recursos compartidos de archivos y asegúrese de que cada uno tenga un objetivo definido:


C:> net view \127.0.0.1
  • Mira quién tiene una sesión abierta con la máquina:
C:> net session
  • Mire las sesiones que su máquina ha abierto con otros sistemas:
C:> net use
  • Observe la actividad de las sesiones actuales de NetBIOS
C:> nbtstat -S
  • Busque puertos TCP y UDP inusuales para escuchar:
C:> netstat –na
C:> netstat -na 5 //actualizado cada 5 segundos
C:> netstat –nao 5 //-o muestra el ID del proceso
C:> netstat -naob//-b muestra el nombre del ejecutable y las DLL cargadas

Tenga en cuenta que el indicador -b usa recursos de CPU excesivos.

  • Verifique la configuración del Firewall.
C:> netsh firewall show config

5. Tareas programadas inusuales

Busque tareas inusualmente programadas, especialmente aquellas que se ejecutan como un usuario como SYSTEM o con un nombre de usuario en blanco en el grupo Administradores,

  • Usando la GUI, ejecute el Programador de tareas:
Inicio-> Buscar - > Programador de Tareas
  • Usando el símbolo del sistema:
C:> schtasks

Compruebe también otros elementos de inicio automático para las entradas inesperadas, recordando comprobar los directorios de inicio automático del usuario y las claves de registro.

  • Usando la GUI, ejecute msconfig.
Inicio –> Ejecutar -> msconfig.exe
  • Usando el símbolo del sistema:
C:> wmic startup list full

6. Cuentas Inusuales

  • Busque cuentas nuevas e inesperadas en el grupo Administradores:
lusrmgr.msc

Haga clic en Grupos, haga doble clic en Administradores, luego verifique los miembros de este grupo.

Grupo Administradores Windows

Grupo Administradores Windows

Esto también se puede hacer en el símbolo del sistema:

C:> net user
C:> net localgroup administrators

7. Otros artículos inusuales

  • Busque un rendimiento inusualmente lento y un único proceso inusual que acapare la CPU:
Administrador de tareas -> Pestañas de proceso y rendimiento

Busque bloqueos inusuales del sistema, más allá del nivel normal para el sistema dado.

Finalmente, se recomienda que de forma periódica (diaria, semanal o cada vez que inicies sesión en un sistema que administres), ejecuta estos pasos rápidos para buscar un comportamiento anómalo que podría ser causado por una intrusión en la computadora. Cada uno de estos comandos se ejecuta localmente en un sistema. ¡Si te ha gustado, compártelo! 😉

¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos su email.