Windows 7 Hardening e Defesa Proativa - Noob Saibot PDF

Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
WINDOWS 7 HARDENING
E DEFESA PROATIVA
CONFIGURAES DE SEGURANA
MEDIDAS DE DETECO DE INTRUSO E BLOQUEIO DE INVASO
ANLISE FORENSE CONTRA TROJANS, VRUS, SPYWARES E KEYLOGGERS
ANONIMIDADE CONTRA AS AUTORIDADES E CRACKERS
COMPUTADORES HOME USERS E COORPORATIVOS
SISTEMA OPERACIONAL WINDOWS 7/VISTA E XP
NOOB SAIBOT
HACKER GRAYHAT
SECURITY CRASH EXPERT
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
EM PRIMEIRO LUGAR NUNCA SE CONECTE A INTERNET ANTES DE FAZER AS

DEVIDAS CONFIGURAES DE SEGURANA ABAIXO
FORMATAO DO COMPUTADOR
Antes de formatar o PC, sempre limpe o PC antes, e para isso preciso que voc
delete a partio atravs do Linux.
Insira um cd do ubuntu ou backtrack 4, ao iniciar na mquina, use o Gparted e delete a
partio. Depois crie uma partio nova limpa ou parties novas conforme desejar.
Importante fazer este procedimento, pois alguns vrus, mesmo depois da formatao ainda
continuam no antigo arquivo do Windows Windowsold, e o Windows quando formata, por
padro nunca apaga os antigos arquivos, preciso apagar quando finalizar a formao, se no,
o vrus ou trojan ainda poder estar ativo e talvez se programado, poder se instalar no novo
sistema operacional de novo.
Como usar o gparted: http://www.youtube.com/watch?v=cweyDqlRsHk&feature=related
Particione 2 drives
1 para o sistema e programas do Windows

1 para guardar os arquivos
Assim quando precisar formatar o computador de novo, voc ter todos os arquivos disponveis
aps a formatao.
FIM DA FORMATAO
Ao iniciar o sistema pela primeira vez, nunca conecte-se a internet, apenas depois no
momento certo.
Faa as seguintes configuraes de segurana:
COLOCAR SENHA DE ADMINISTRADOR
painel de controle / contas e usurios / coloque uma senha complexa de 10 dgitos pelo
menos no administrador.
Obs: Voc pode fazer isso no incio da instalao do Windows, se no foi feito, faa
agora imediatamente.
COLOCAR SENHA DE SUPERADMINISTRADOR

janelinha do windows + r / cmd / net user administrador /active:yes / painel de controle /
contas e usurios / coloque uma senha complexa de 10 dgitos pelo menos no super
administrador. Para verses do Windows em ingls: net user administrator /active:yes.
Exemplo: %jjduSS99Dk#
Start digite na caixa de busca cmd, e clique com o boto direito em cima de cmd, e clique
para executar como administrador.
Pode usar o comando: net user administrador /active:yes ou net user administrator /active:yes
Senhas complexas = mais de 10 dgitos, tem nmeros, letras maisculas e minsculas e
caracteres especiais.
AJUSTAR A CONTA DE USURIO PARA NOTIFICAR QUALQUER MODIFICAO FEITA

NO COMPUTADOR Serve para monitoramento de mudanas
Painel de controle / contas de usurio / controle dos pas ou alterar as configuraes de
controle de contas de usurio / notificar-me quando programas tentam fazer alteraes em meu
computador e quando eu fao alteraes no computador
COLOCAR SENHA NA BIOS Necessrio apenas se o computador usado por muitos

usurios e fica exposto.
Reeinicie a maquina aperta a tecla del``
entra no setup vai em bios>password> digita a senha e salva apertando f10
ao reiniciar a maquina ela s carrega o windows se digitar corretamente a senha
DESATIVAR CONEXO REMOTA

Painel de controle / Sistema / Configuraes remotas / Desmarque a opo: Permitir conexes
de assitncia remota para este computador.
ATIVAR A INSTALAO DA (DEP) PREVENO DE EXECUO DE DADOS

PAINEL DE CONTROLE / SISTEMA E SEGURANA / SISTEMA / PROTEO DO SISTEMA /
DESEMPENHO/ PREVENAO A EXECUO DE DADOS
ATIVAR A DEP PARA TODOS OS PROGRAMAS E SERVIOS
DESATIVAR ALGUNS SERVIOS EM FERRAMENTAS ADMINISTRATIVAS

Desativar todos os servios que do acesso remoto ao sistema que esto no menu servios:
Mas alguns no podem ser desativados. Eu pessoalmente prefiro desativar estes servios
abaixo:
Panel de controle / Sistema / Ferramentas Administrativas / Servios Desative os devidos
servios de acordo com as necessidades da rede. Desative o mximo que puder de servios que
sejam inteis.
Devemos desativar o netbios para dificultar o processo de invaso remota.
Auxiliar de netbios
Gerenciador de conexo de acesso remoto
Gerenciador de conexo de acesso remoto automtico
Servio de rea de trabalho remota
Registro remoto
Firewall do Windows
Desative o windows firewall garantidamente em
PAINEL DE CONTROLE / SISTEMA / FIREWALL DO WINDOWS / ALTERAR OU
DESATIVAR O FIREWALL DO WINDOWS
Poder desativar mais servios de acordo com suas necessidades.
INSTALAO DOS DRIVES DE REDE E WIRELESS

Precisa checar quais so estes referentes a marca e tipo do seu computador. Faa o download
direto do site do fabricante ou no cd que vem com o pc (caso tenha) e fazer a instalao dos
arquivos.
INSTALAO DE ANT-VRUS, FIREWALL E INTRUSION DETECTION SYSTEM
Instalar comodo firewall no atualizar ainda online.

http://www.baixaki.com.br/download/comodo-firewall.htm
Instalar o microsoft security essencials no atualizar ainda online.
http://windows.microsoft.com/pt-BR/windows/products/security-essentials
Instalao do KfSensor Intrusion Detection System
http://www.keyfocus.net/kfsensor/
Configurao do Comodo Firewall com Honey Pot - KfSensor

Configure a HoneyPot kfsensor com poucos servios, pois importante no dar a idia que
uma honeypot para o invasor.
Tutorial de instalao do kfsensor - http://www.youtube.com/watch?v=_HSK-a8llj4 e no site da
Keyfocus voc tambm encontra http://www.keyfocus.net/kfsensor/ .
Configurao Comodo Firewall com Kfsensor

Em diretiva de segurana de rede no comodo firewall:
Em aplicaes do Windows update e aplicaes do sistema Windows clique com o boto direito
e escolha editar.
V em copiar de / outro aplicativo / e selecione a regra do comodo firewall. A regra do comodo
por padro permite somente conexes de sada, e bloqueia qualquer conexo de entrada.
Devemos fazer isso com todas as aplicaes, pastas e tudo no geral. Exceto com o Kfsensor
que veremos a seguir.
Temos os outros aplicativos para aplicar as mesmas regras.

Na diretiva de segurana v em adicionar, selecionar e em grupos de arquivos:
Teremos o seguinte menu:
Aplique a regra do comodo firewall aplicado anteriormente para todas as opes da lista.
Agora vamos no explorar e na pasta arquivos e programas vamos procurar a pasta do kfsensor
chamada, KeyFocus/Kfsensor/bin e nesta pasta temos os arquivos do kfsensor:
Kfsensmonitor.exe
Kfsnserv.exe
Vamos aplicar a regra de aplicativo confivel para liberar conexes de entrada e sada para os
dois arquivos. Para isso v em Selecionar, explorar, v na pasta Arquivos e programas e procure
por KeyFocus/Kfsensor/bin e selecione o Kfsensmonitor.exe e aplique a regra. Faa o mesmo
com o outro arquivo chamado Kfsnserv.exe.
Temos agora os arquivos do kfsensor liberados para receber conexes, mas para melhorar a
nossa segurana, vamos configurar o comodo para tambm avisar que estamos sendo
invadidos na honeypot kfsensor, pois a kfsensor pode falhar no aviso, por isso melhor como
contingncia ter o comodo avisando tambm.
Na tela diretiva de segurana, vamos clicar com o boto direito na regra do kfsensor que foi
classificado com confivel e selecionar editar:
Faa a configurao conforme mostra a figura:
Faa o mesmo para o segundo arquivo.

Depois disso vamos ter que testar com o nmap, zenmap, mestasploit se quando atacamos, o
comodo est avisando e perguntando para liberar a conexo, e se nos scanners aparecem os
devidos servios falsos indicados pela honeypot kfsensor para enganar o invador fazendo-o
pensar que ele descobriu um servio vulnervel. Checar tambm se o kfsensor est disparando
o alarme sonoro.
CONFIGURANDO O ASSISTENTE DE INVISIBILIDADE DE PORTAS E ALERTA DE

CONEXO DE ENTRADA DO COMODO
Em assistente de invisibilidade de portas: Selecione: Alerte-me para conexes de entrada e
torne minhas portas invisveis caso a caso.
Quando um invasor tentar lhe scannear, o comodo ir avisar que o ip do invador X est
tentando se conectar ao seu computador. Isso j um servio de honey pot do comodo, mas o
comodo no simula servios, por isso importante usar uma honeypot que simula servio, e
usar a configurao do kfsensor ensinada.
Quando o comodo alertar que algum IP est tentando se conectar a honey pot Kfsensor,
permita, pois o invador pensar que a porta e servios simulado pela honey pot est realmente
rodando.
Voc pode bloquear o IP do invaSor e pedir para o comodo lembrar e ficar gravado, assim o
sistema bloquear o ip automaticamente da prxima vez que o mesmo scanear.
INSTALAR O MICROSOFT SECURITY BASELINE ANALYSER

Ferramenta para verificar vulnerabilidades scaneando o prprio computador. Ferramenta
exclusiva para sistemas operacionais Windows.
Fazer scan com o microsoft security baseline analyser e corrigir as vulnerabilidades caso ele
aponte algum resultado. No prprio scanner mostra as vulnerabilidades de senhas, sql e outras
e como resolver o problema.
Link para instalao:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19892
INSTALAR JAVA, ADOBE READER E ADOBE FLASH PLAYER

Importante: Sempre usar a verso mais atualizada, antes de formatar o pc, bom baixar as
novas verses deles para facilitar, mas poder fazer depois.
INSTALAO PROCESS XP OU PROCESS EXPLORER

Link para download: http://www.baixaki.com.br/busca.asp?q=process&so=1&ss=1
INSTALAR COMODO DISK ENCRYPTION E CRIPTOGRAFAR TODAS AS PASTAS COM

SENHAS
Caso seu pc seja invadido, o invador para acessar a pasta mesmo como superadministrador,
precisa quebrar as senhas, caso ele consiga ownar o seu sistema e adicionar um novo
superadministrador, ele ainda ter a barreira das senhas para roubar seus arquivos. Isso uma
proteo adicional muito poderosa.
http://www.baixaki.com.br/download/comodo-disk-encryption.htm
INSTALE TODOS OS PATCHES DO WINDOWS 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b3a9b77cdfdda&displayLang=pt-br
O Windows update no instala todas as atualizaes na hora, ele instala aos poucos, com isso,
seu computador poder ficar vulnervel durante este tempo. Baixe os arquivos no site e sempre
monitore mensalmente sobre atualizaes de novos patches, faa o download das atualizaes
para o PC antes da formao e instalar os pacthes agora sempre antes de entrar online
AO CONECTAR A INTERNET PELA PRIMEIRA VEZ, DESATIVAR O NETBIOS,

COMPARTILHAMENTOS DE ARQUIVO E SELECIONE SEMPRE REDE PBLICA NA
CONFIGURAO AUTOMTICA DA PRIMEIRA CONEXO
Conecte o cabo de internet:
DESATIVAR NETBIOS
Central de redes e compartilhamento

Conexes local
Status
Propriedades
Clique em protocolo TCP/Ipv4 duas vezes
V em win
Desative a Netbios
Desative Lmhost
Ok ou aplique
DESATIVAR COMPARTILHAMENTO DE ARQUIVOS E IMPRESSORAS
Central de redes e compartilhamento

Conexes local
Status
Propriedades
Desmarque a opo compartilhamento de arquivos e impressoras
INSTALE EXPAT SHIELD PROXY SERVER VPN - Precisa estar online

Isto uma VPN, voc deve usar sempre para navegar na internet anonimamente, pois sem VPN
ou proxy, uma forma de rastrearem suas mensagens na internet, por email, por navegao e
inclusive, as autoridades policiais e governamentais, por terem autoridade, podem pedir para
seu provedor de internet avisar sempre todo o ip que est lhe sendo fornecido e com isso eles
podem saber exatamente o que voc acessou, qual email, qual site, qual frum, em fim
qualquer coisa. Por isso no temos privacidade na internet, e a polcia, se voc hacker, eles
vo com certeza investigar voc por esse meio. Para driblar a polcia, e as autoridades, usando
a vpn j nos d invisibilidade e tudo o que acessamos fica difcil para descobrirem pois eles no
tero livre acesso ao provedor da Expat para saber qual ip do brasil se conectou ao ip que eles
fornecem, com isso eles ficam prejudicados em suas investigaes.
Imagine a seguinte situao, voc reporta em um site hacker que invadiu um sistema, mas no
usou a Expat para anonimidade, o seu ip do seu provedor ficou no frum. Os policiais vo l e
vo saber o ip, vo investigar por exemplo com esta ferramenta:
http://www.whatismyip.com.br/ ou em http://www.maxmind.com/app/lookup_city . Eles vo
saber seu provedor.
Eles ento entram em contato com o provedor, e pedem o cpf, endereo e outros dados para o
qual a provedora forneceu o ip que eles encontraram no frum e a na hora que a mensagem foi
colocada. Pronto, voc foi descoberto pelas autoridades e poder certamente ficar na mira
deles.
A VPN j dificulta, pois o seu ip real ser encoberto por um outro ip dos EUA e para a polcia,
para saber, fica difcil, pois a empresa na sua. Eles precisam de muitas autorizaes
internacionais para ter acesso aos dados da empresa Expat.
Para melhorar ainda mais a sua anonimidade na rede importante usar a vpn, um proxy e
ainda usar o site: http://anonymouse.org/anonwww.html neste caso, nossas mensagens
podero ser colocadas na net e ficaremos ainda mais invisveis as autoridades. E para melhorar
ainda mais nossa invisibilidade, podemos por exemplo mandar esta mensagem usando a rede
wireless de um shopping por exemplo ou o wireless do vizinho que podemos crackear e usar o
ip do fornecedor de internet dele, pois estamos usando o wireless dele.
Link do Expat Shield: http://www.baixaki.com.br/download/expat-shield.htm
ATUALIZE O ANT-VRUS
ATUALIZE O FIREWALL COMODO
ATUALIZE O INTERNET EXPLORER PARA O 9
ATUALIZE O WINDOWS UPDATE E CONFIGURE PARA ATUALIZAR
AUTOMATICAMENTE NO HORRIO QUE GERALMENTE VOC SE ENCONTRA NO PC
SCANNEAR COMPLETO COM O MICROSOFT BASELINE SECURITY ANALYSER PARA
DETECTAR E CORRIGIR VULNERABILIDADES DE SEGURANA INTERNA E EXTERNA
INSTALAR OU ATUALIZAR OS PROGRAMAS PS FORMATAO ESSENCIAIS PARA O

FUNCIONAMENTOS DOS OUTROS PROGRAMAS E INTERNET E OS SEUS PROGRAMAS
PARTICULARES
OPCIONAL: INSTALE O FIREFOX E DESINSTALE O INTERNET EXPLORER O
FIREFOX MENOS VULNERVEL QUE O INTERNET EXPLORER
FERRAMENAS DE ANLISE FORENSE

VISUALIZADOR DE EVENTOS ANLISE DIRIA
FERRAMENTAS ADMINISTRATIVAS GERENCIAMENTO DO COMPUTADOR VISUALIZAR
EVENTOS
COPIE O SMBOLO DO LOG DE EVENTOS PARA O DESKTOP PARA FACILITAR
DIRECIONAR O LOG PARA IMPRESSORAS

Se existe uma uma mquina "muito visada" em sua rede, aconselhvel que o administrador
trate de direcionar os seus logs diretamente para uma impressora ou mesmo para uma outra
mquina cujo acesso seja ainda mais difcil. Isto tornaria extremamente difcil para o cracker
eliminar sua presena do sistema e isso permitiria pelos logs rastrea-lo.
DESATIVAR RESPOSTA A PING

PARA LINUX Kate / proc/net/ipv4/icmp_echo_ignore_all
escreve
PARA WINDOWS Bloqueie pelo firewall comodo entrada de solicitaes ICMP
FERRAMENTAS DE IDENTIFICAO DE MUDANA DE LOGS PARA DETECO DE

INVASORES PROFISSIONAIS
TripWire - http://www.tripwire.com
Para detectar interfaces de redes promscuas (um sinal comum de instalao de farejadores), a
ferramenta cpm, disponvel no site da CERT, muito til. Veja o endereo
http://www.cert.org/ft/tools/cpm/ para maiores informaes.
MSCONFIG
Start / digite na barra msconfig / clique inicializao de programas
Deixe apenas o comodo, Microsoft security essencial e Kfsensor na inicializao.
Monitore isso diariamente pois trojans, backdoors e vrus inicializam geralmente com o sistema,
e com isso podemos detectar uma ferramenta maliciosa que se encontra em nosso computador.
REGEDIT
V em:
HKEY LOCAL MACHINE
SOFTWARE
MICROSOFT
WINDOWS
CURRENT VERSION
RUN Cheque se nesta pasta tem alguma outra chave diferente da que est
programado na inicializao. Esta chave run e a outra Run once registra o que est
sendo iniciado no sistema. Se tiver algo que no est programado para iniciar com o
sistema, simplesmente passe o mouse na chave, veja a pasta, v na pasta, analise o
arquivo e seus derivados, limpe tudo, e delete depois a chave.
RUN ONCE tambm tem a mesma funo praticamente da run, usar o mesmo
procedimento anterior.
Vamos agora fazer o mesmo para a chave currente user

V em:
HKEY LOCAL MACHINE
SOFTWARE
MICROSOFT
WINDOWS
CURRENT VERSION
RUN Cheque se nesta pasta tem alguma outra chave diferente da que est
programado na inicializao. Esta chave run e a outra Run once registra o que est
sendo iniciado no sistema. Se tiver algo que no est programado para iniciar com o
sistema, simplesmente passe o mouse na chave, veja a pasta, v na pasta, analise o

arquivo e seus derivados, limpe tudo, e delete depois a chave.
RUN ONCE tambm tem a mesma funo praticamente da run, usar o mesmo
procedimento anterior.
CRIAR PONTO DE RESTAURAO DO SISTEMA

Deve ser criado aps a instalao do sistema operacional e depois da instalao bsica de
software como office e outros. Nunca conecte a internet antes de fazer o ponto de restaurao.
Faa sempre um ponto de restaurao para qualquer tipo de instalao que esteja sendo feita.
O windows nem sempre faz automaticamente, e quando faz, ele apaga, mas se feito
manualmente, o ponto de restaurao nunca apagado.
Painel de controle / Sistema / Proteao do sistema / Criar ponto de restaurao.
BACK UP EM DVD OU HD EXTERNO DE TODOS OS ARQUIVOS DO SISTEMA DEVEM

SER REALIZADOS QUINZENALMENTE.
Se voc tem um HD, importante, comprar outro e ter dois HD, e semanalmente fazer back up
deste HD, assim, se o seu HD falhar, voc com certeza ter seus dados salvos em outro. Vale a
pena pagar o preo. Todo HD vai queimar um dia, voc pode comprar outro, mas dados nem
sempre vai dar para voc recuperar garantidamente.
CD DE BOOT PARA QUEBRAR SENHA DE BIOS E SENHA DE ADMINSITRADOR EM

CASO DE PERDE-LA. NO CASO PREFIRO USAR O BACKTRACK 4 MESMO PARA RESETAR A
SENHA DO WINDOWS EM CASO DE ESQUECIMENTO
Hirens BOOTCD Quebra senha de super administrador e bios password para casos de perda
de senha ou senha hackeada modificada. Zera o computador em termos de poltica de
segurana.
Link para download: http://www.baixaki.com.br/download/hiren-s-bootcd.htm
SOFTWARE DE RECUPERAO DE ARQUIVOS APAGADOS

Ter disponvel o recuva ou similares. Vale salientar que no garantido que vamos recuperar
todos os arquivos, muitos arquivos voltam corrompidos, por isso a opo de backup
fundamental.
Link para download: http://www.baixaki.com.br/download/recuva.htm
INSTALE O MNIMO DE SOFTWARE NECESSRIO

Quanto menos servios tiver, maior o nvel de confiabilidade da segurana do sistema, por que
lembrem-se que ser explorado falhas nos servios para ownar o sistema, por isso precisamos
instalar o mnimo de programas possveis.
TESTE DE INVASO DO SISTEMA OPERACIONAL

Checando defesa do sistema e vulnerabilidades e medidas de correo
Usar tutorial especfico para penetration test com metasploit avanado Criado por Noob Saibot
Resumo:
FOOT PRINTING INVESTIGANDO O ALVO DO ATAQUE

ENCONTRANDO VULNERABILIDADES
EXPLORANDO REMOTAMENTE VULNERABILIDADES
OBTENDO PRIVILGIOS E SE APROPRIANDO DO SISTEMA COMO SUPER
ADMINISTRADOR
DRIBLANDO AS DEFESAS E APAGANDO OS RASTROS
MANTENDO O ACESSO COM TROJANS E BACKDOORS
durante o scanner, checar se o comodo alerta sobre a invaso e se possvel bloquear o

ataque e se possvel liberar o ataque para honey pot kfsensor e checar se no resultado do
scanning do atacante, aparece APENAS o servio falso da honeypot no resultado do scanner.
Cdigo nmap essencial para testar HoneyPot, Kfsensor e comodo firewall.
nmap -sS Pn (IP do alvo)
Use o Zenmap para facilitar
PROCEDIMENTOS PARA MANTER A SEGURANA

RENOVAR BACK UP A CADA 10 DIAS.
ATUALIZAR O ANTI-VRUS TODO DIA PREFERENCIALMENTE.
ATUALIZAR O SISTEMA OPERACIONAL PELO WINDOWS UPDATE
1.
Para abrir o Windows Update, clique no boto Iniciar
Programas e, depois, em Windows Update.
, em Todos os
2.
No painel esquerdo, clique em Procurar atualizaes.
3.
Se houver alguma, clique em Exibir atualizaes disponveis.
4.
Verifique se as atualizaes desejadas do Internet Explorer foram selecionadas
e clique em Instalar.
Se voc for solicitado a informar uma senha de administrador
ou sua confirmao, digite a senha ou fornea a confirmao.
USAR SEMANALMENTE O MICROSOFT BASELINE SECURITY ANALYZER.

RODAR ANTI-VRUS DE BOOT. PELO MENOS 2 VEZES NA SEMANA.
Link para download: http://www.baixaki.com.br/download/avira-antivir-rescuesystem.htm - Usar mais de um tipo de antivrus.
RODAR O ANTI-VRUS TODA SEMANA PELO MENOS UMA VEZ.

FAZER PENETRATION TEST SEMANALMENTE. USANDO METASPLOIT AVANADO.
FAZER VERIFICAO DE VIRUS E SPYWARES MANUALMENTE: Use o netstat -ano no cmd /
process explorer / analizando o registro do windows e msconfig nos arquivos de inicializao.
Este procedimento ser explicado em detalhes mais a frente.
CHECAR SE TEM OUTRA CONTA DE ADMINISTRADOR NO SISTEM. Quando invadimos um
sistema, precisamos criar um novo administrador para instalar as backdoors ou trojans. Por isso
checar quanto a novas contas uma medida preventiva. Fazer isso todo dia.
ANALISE FORENSE DE CONEXES CONTRA SPYWARES / VRUS E TROJANS

Antvrus, firewall so sistemas e sistemas podem falhar, o maior firewall do mundo voc, e
voc pode manualmente descobrir vrus e trojans atravs de metodologias avanadas manuais.
Deve ser realizada diariamente ou quando houver algum evento incomum.
COMANDO NETSTAT ANO NO CMD
V em iniciar, digite cmd, clique e digite netstat ano
Significado dos itens:
Proto = protocolo que est sendo usado:

Endereo local: o endereo ip da rede ou mquina e depois dos dois pontos a porta
que este ip est se conectando. Exemplo: 10.71.104.36:50576 ip da VPN
10.71.104.36 na porta 50576
Endereo externo: o endereo ip externo que o endereo ip da rede ou mquina est
se conectando depois dos dois pontos: a porta do endereo externo para conexo.
Exemplo: 68.68.107.161:80 ip 68.68.107.161 do provedor da VPN na porta 80
Estado: Estado da porta, ouvindo = est de stand by / established = conexo
realizada / time-wait em tentativa ou aguardo para conexo. Eu considero
particularmente como quase conectado.
PID: a identidade, RG ou CPF do processo ou programa, com o nmero do PID,
podemos rastrear o processo pelo process explorer ou process xp ou pelo gerenciador
de tarefas, mas os programas process explorer e process xp, facilitam a vida do
analista. No caso analizado o PID 4888.
CHECAR AS CONEXES ESTABLISH E ANALIZAR COM O PROCESS XP
Iniciando o process explorer, podemos checar os processos, programas ao lado e o bendito PID.
Ento vamos analizar por exemplo a conexo establish que encontramos pelo comando netstat
ano cujo PID 4888.
No processo explorer o PID 4888 corresponde a vpn.
Se passarmos o mouse em cima do programa aparecer para ns o caminho de onde se
encontra o arquivo.
Clicando com o boto direito em cima do programa que estamos analizando, aparece as
seguintes opes:
Se clicarmos em kill process, podemos finalizar o processo, mas nem sempre funciona. Como
sabemos que isso a VPN, ento no precisaremos fazer nada.
Mas digamos que encontrssemos um arquivo suspeito, como proceder.
Primeiro, pesquisar online o nome do arquivo e o nome de vrios subprogramas, sub pastas
que se encontram na pasta dele.
V no google e pesquise, por estes nomes quanto a vrus, trojans, programas maliciosos entre
outros.
V no netstat ano e veja o ip da conexo externa, v em http://www.whatismyip.com.br/ ou
http://www.maxmind.com/app/lookup_city e copie o ip de conexo externa do processo que
neste caso 68.68.107.161 nestes sites para saber dados de origem, cidade, entre outros do ip.
Veja que j sabemos o provedor, EGI Hosting AFNCA. Neste caso da VPN, no um vrus.
Faa um pente-fino no visualizador de eventos.
Faa anlise de conexes pelo comodo tambm:
Abra o comodo, Visualizar conexes ativas;
Se clicarmos com o boto direito em cima do processo, podemos ser mandados para o caminho
do arquivo, dentro da pasta dele ou podemos finalizar o processo.
Em visualizar Eventos do Firewall podemos filtrar tudo o que foi feito com este IP
68.68.107.161.
em
No comodo, indo na parte da Defense+ , clique em Visualizar lista de processo ativos:
Caso voc descubra que tem uma ferramenta maliciosa em seu computador, voc poder tentar
apagar a pasta do arquivo, se no funcionar, tente finalizar o processo pelo process xp para
depois apaga-lo. Apaga suas chaves no registro tambm e depois a sua pasta por ltimo.
Caso no consiga pelo process xp, tente pelo comodo: Clique com o boto direito para ver as
opes possveis:
A melhor opo pode ser finalizar e bloquear, para depois apagar no registro, e depois apagar
na pasta o arquivo. Alm disso adicionar o arquivo como arquivos bloqueados para garantir.
Mas se fosse um IP suspeito, poderamos ataca-lo para saber suas portas de conexes e fazer
um footprint do alvo, assim como atacar com o metasploit e iniciar com o processo de contra
ataque agressivo como por exemplo, iniciar todo o processo de invaso profissional.
Footprinting
Ataque passivo
Ataque ativo
Footprinting de servios
Nmap
Metasploit
Exploitao
Escalao de privilgios
Mantendo o acesso
E destruindo o alvo.
Todos sabem que para fazer este contra ataque importante usar outro computador. Pois
importante deixar o alvo pensar que est no controle e te espionando.
Quando ele menos esperar, contra atacamos e podemos at descobrir sua identidade.
O process explorer tem vrias funes, explore bastante ele.
Programas para anlise forense
Alm do mtodo com o process explorer, podemos utilizar estes programas para anlise
forense.
BinText
Ele pode extrair o texto de qualquer tipo de arquivo e inclui a capacidade de localizar texto
ASCII, Unicode texto (ANSI byte duplo) e cordas de recursos, fornecendo informaes teis
Link para download: http://www.mcafee.com/br/downloads/free-tools/bintext.aspx
Galleta
Analisa os cookies existentes em uma mquina e separa as informaes teis em campos para
que possam ser manipuladas por outros programas.
http://www.mcafee.com/br/downloads/free-tools/galleta.aspx
Pasco
Analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em
um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos
o caractere.
http://www.mcafee.com/br/downloads/free-tools/pasco.aspx
NTLAST
Linha de comando que exibe os eventos relacionados ao login dos usurios sendo que eles
devem estar auditados. o nlast um software de anlise forense utilizado para consultar o
registro do windows de eventos de segurana e desenovolver uma lista de eventos de inicios de
sesses, os fixeiros de log do sistema uma informao importante em uma anlise forense.
http://www.mcafee.com/br/downloads/free-tools/ntlast.aspx
Vision
Vision mostra todas as portas abertas TCP e UDP em uma mquina, apresenta o servio que
est ativo em cada porta. Vision exibi informaes detalhadas do sistema, os aplicativos em
execuo, bem como processos e portas em uso. No caso, j usamo o process explorer e no
precisamos dele.
http://www.mcafee.com/br/downloads/free-tools/vision.aspx
Rifiuti
Ao contrrio da crena popular, quando um arquivo excludo de um computador, ele no
realmente apagado. Para que o Windows apague um arquivo dessa maneira, certas
informaes devem ser armazenadas em registros, de modo que a informao sobre o arquivo
original possa ser restaurada, como o nome do arquivo. O arquivo com esta informao,
nomeado INFO2 e reside no diretrio Lixeira.
http://www.mcafee.com/br/downloads/free-tools/rifiuti.aspx
Forensics Tool Kit v2.0
Analise acessos no autorizados em parties NTFS. Para Windows NT.
http://www.mcafee.com/br/downloads/free-tools/forensic-toolkit.aspx
Opes complementares:
Arp no cmd digite os cdigos:

Permite realizar consultas e alteraes na tabela de mapeamento entre endereos IP e
endereos MAC do cache ARP. Podemos com isso detectar interfaces que foram implantadas por
um programa para manter acesso ao sistema invadido ou para escalao de privilgios ou outro
tipo de tcnica maliciosa.
arp -a [endereoIP] [-N IPInterface]
arp -s endereoIP endereoMAC [IPInterface]
arp -d endereoIP [IPInterface]
Parmetro Descrio
endereoIP Especifica o endereo IP a resolver ou alterar.

EndereoMAC Especifica o endereo MAC a acrescentar ao cache do ARP.
O endereo MAC composto por 6 bytes (expressos em notao
hexadecimal) separados por hfen.
IPInterface Especifica o endereo IP da placa de rede cuja tabela ARP dever
ser
alterada. Por default, a primeira interface disponvel ser utilizada.
-a Exibe as entradas de cache do ARP. Se o endereoIP tiver sido especificado,
mostra
somente a entrada referente a esse endereo.

-g O mesmo que a.
-d Exclui do cache do ARP o host especificado por endereoIP. Se IPInterface
for
especificado, exclui o host do cache da placa de rede indicada por IPInterface.
-s Acrescenta ao cache do ARP uma associao entre endereoMAC e
endereoIP. Se
IPInterface tiver sido especificado, acrescenta a associao no cache do ARP da
placa.
de rede indicada por IPInterface.
-N Especifica o endereo IP da placa de rede qual o comando se aplica.
OTIMIZAO DO SISTEMA OPERACIONAL RESUMO PARA WINDOWS 7

Sabemos que um sistema para ter bom reflexo na segurana, precisamos otimizar o
funcionamento do sistema, para isso, tem alguns procedimentos recomendveis para Windows 7 aqui.
BOOT MAIS RPIDO msconfig / inicializao do sistema / opes avanadas / aumente a quantidade de
processadores ao mximo possvel.
DESATIVAR A INDEXAO Meu computador / Drive C ou principal ou outros caso deseje / desmarque
Permitir que os contedos deste drive tenham contedo indexvel junto com as propriedades dos
arquivos.
AJUSTAR PARA MELHOR DESEMPENHO Painel de controle / Informaes e ferramentas de desempenho
/ Efeitos visuais / Ajustar para melhor desempenho. Marque apenas o Smoth Edges para conseguir uma
melhor leitura e melhor aparncia sem afetar muito o ajuste, mas isso opcional.
EFEITO AERO NO WINDOWS 7 Clique com o boto direito do mouse no Desktop / Personalize /
Windows 7 Basic Theme que est localizado em Ease of Acess Themes.
DESABILITAR RECURSOS - Windows + R e digite "OptionalFeatures" / Recursos do Windows".
DESATIVAR HIBERNAO - Windows + R / "powercfg.exe -h off" / Reinicie.
INICIALIZAO DE PROGRAMAS windows + r / msconfig / inicializao de programas / deixe ativado
apenas o microsoft security essencials / comodo firewall / valhala ou kfsensor / free eraser.
DESFRAGMENTAO DO DISCO QUINZENALMENTE iniciar / todos os programas / acessorios /
ferramentas do sistema / desfragmentador de discos. Desative a opo de desfragmentao automtica e
deixe para manual. Em servios podemos fazer isso tambm.
LIMPEZA DE DISCO QUINZENALMENTE iniciar / todos os programas / acessorios / ferramentas do
sistema / limpeza de disco.
Noob Saibot
Hacker Profile: GrayHat
Currculo:
Metasploit Expert
Social Engeneering Tool Kit Expert
Fast Track Expert
Exploit Developer
Reverse Engeneering for softwares
JailBreaker Developer
Vrus, Trojan and other hack tools programmer
Forensic Analysis and investigation for cyber crime
GrayHat

Windows 7 Hardening e Defesa Proativa - Noob Saibot PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows 7 Hardening e Defesa Proativa - Noob Saibot PDF

Uploaded by

Copyright:

Available Formats

Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!

EM PRIMEIRO LUGAR NUNCA SE CONECTE A INTERNET ANTES DE FAZER AS

1 para o sistema e programas do Windows

COLOCAR SENHA DE SUPERADMINISTRADOR

AJUSTAR A CONTA DE USURIO PARA NOTIFICAR QUALQUER MODIFICAO FEITA

COLOCAR SENHA NA BIOS Necessrio apenas se o computador usado por muitos

DESATIVAR CONEXO REMOTA

ATIVAR A INSTALAO DA (DEP) PREVENO DE EXECUO DE DADOS

DESATIVAR ALGUNS SERVIOS EM FERRAMENTAS ADMINISTRATIVAS

Devemos desativar o netbios para dificultar o processo de invaso remota.

INSTALAO DOS DRIVES DE REDE E WIRELESS

INSTALAO DE ANT-VRUS, FIREWALL E INTRUSION DETECTION SYSTEM

Instalar comodo firewall no atualizar ainda online.

Configurao do Comodo Firewall com Honey Pot - KfSensor

Configurao Comodo Firewall com Kfsensor

Temos os outros aplicativos para aplicar as mesmas regras.

Teremos o seguinte menu:

Faa a configurao conforme mostra a figura:

Faa o mesmo para o segundo arquivo.

CONFIGURANDO O ASSISTENTE DE INVISIBILIDADE DE PORTAS E ALERTA DE

INSTALAR O MICROSOFT SECURITY BASELINE ANALYSER

INSTALAR JAVA, ADOBE READER E ADOBE FLASH PLAYER

INSTALAO PROCESS XP OU PROCESS EXPLORER

INSTALAR COMODO DISK ENCRYPTION E CRIPTOGRAFAR TODAS AS PASTAS COM

INSTALE TODOS OS PATCHES DO WINDOWS 7

AO CONECTAR A INTERNET PELA PRIMEIRA VEZ, DESATIVAR O NETBIOS,

Central de redes e compartilhamento

DESATIVAR COMPARTILHAMENTO DE ARQUIVOS E IMPRESSORAS

Central de redes e compartilhamento

INSTALE EXPAT SHIELD PROXY SERVER VPN - Precisa estar online

INSTALAR OU ATUALIZAR OS PROGRAMAS PS FORMATAO ESSENCIAIS PARA O

FERRAMENAS DE ANLISE FORENSE

DIRECIONAR O LOG PARA IMPRESSORAS

DESATIVAR RESPOSTA A PING

FERRAMENTAS DE IDENTIFICAO DE MUDANA DE LOGS PARA DETECO DE

HKEY LOCAL MACHINE

Vamos agora fazer o mesmo para a chave currente user

HKEY LOCAL MACHINE

sistema, simplesmente passe o mouse na chave, veja a pasta, v na pasta, analise o

CRIAR PONTO DE RESTAURAO DO SISTEMA

BACK UP EM DVD OU HD EXTERNO DE TODOS OS ARQUIVOS DO SISTEMA DEVEM

CD DE BOOT PARA QUEBRAR SENHA DE BIOS E SENHA DE ADMINSITRADOR EM

SOFTWARE DE RECUPERAO DE ARQUIVOS APAGADOS

INSTALE O MNIMO DE SOFTWARE NECESSRIO

TESTE DE INVASO DO SISTEMA OPERACIONAL

FOOT PRINTING INVESTIGANDO O ALVO DO ATAQUE

durante o scanner, checar se o comodo alerta sobre a invaso e se possvel bloquear o

PROCEDIMENTOS PARA MANTER A SEGURANA

No painel esquerdo, clique em Procurar atualizaes.

Se houver alguma, clique em Exibir atualizaes disponveis.

USAR SEMANALMENTE O MICROSOFT BASELINE SECURITY ANALYZER.

Link para download: http://www.baixaki.com.br/download/avira-antivir-rescuesystem.htm - Usar mais de um tipo de antivrus.

RODAR O ANTI-VRUS TODA SEMANA PELO MENOS UMA VEZ.

ANALISE FORENSE DE CONEXES CONTRA SPYWARES / VRUS E TROJANS

Significado dos itens:

Proto = protocolo que est sendo usado:

CHECAR AS CONEXES ESTABLISH E ANALIZAR COM O PROCESS XP

No comodo, indo na parte da Defense+ , clique em Visualizar lista de processo ativos:

Arp no cmd digite os cdigos:

endereoIP Especifica o endereo IP a resolver ou alterar.

somente a entrada referente a esse endereo.

OTIMIZAO DO SISTEMA OPERACIONAL RESUMO PARA WINDOWS 7

You might also like