PATRIOT WINDOWS

IntroducciónPatriot NG es una herramienta de tipo ‘Host IDS’ que permite monitorizar en tiempo real cambios en sistemas Windows.

Se entiende por un IDS un programa usado para detectar accesos no autorizados a un computador o una red.

Condiciones previasEs necesario tener instalado Winpcap para ser completamente operativo.

InstalaciónEl proceso de instalación es extremadamente sencillo. Una vez ejecutado el instalador, se seguirán los pasos que indica el asistente.

Con estos pasos ya está instalado el programa en el equipo. Se podrá comprobar viendo los iconos de los programas activos en labarra de tareas.

OpcionesUna vez instalado, haciendo clic con el botón derecho sobre el icono de la barra de tareas nos aparecen las diferentes opcionesque nos ofrece:

• Start: Inicia el programa en caso de que esté parado o bienavisa que ya está activo.

• Stop: Detiene el programa • Status: Indica el estado en que se encuentra en ese

momento. • Panel de control: Se configura el comportamiento de la

aplicación. Se explica con más profundidad en el siguientepunto.

• Update NIDS rules: Actualiza las últimas reglas de filtradopara Patriot.

• HomePage: Abre un navegador con la URL www.security- proyects.co m

• About: Muestra pequeña ventana con la dirección email deldesarrollador

• Exit: Sale del programa

Panel de control

Las diferentes opciones disponibles son:

Explorer• Change in Registry settings : Windows utiliza un sistema para

almacenar la configuración llamado “registro”. En él seencuentran configuraciones que son alteradas por algunosprogramas maliciosos para infectar los ordenadores yasegurarse su ejecución al inicio del sistema. Estaprotección monitoriza esas claves importantes y generaalertas cuando detecta modificaciones en ellas.

• Changes in the configuration of IExplorer : Una de las cosasque realiza el software del tipo Spyware es alterar laconfiguración de Internet Explorer para poder monitorizar eltipo de Webs que se visitan o para forzar que se visiten Websno deseadas. Esta alerta avisa si se producen cambios en laconfiguración de Internet Explorer.

System• Files in “Startup” directories : Windows dispone de unos

directorios especiales conocidos como directorios “startup”donde se colocan ficheros para que sean ejecutados durante elinicio del sistema. Cualquier ejecutable que esté colocado enesos directorios será ejecutado durante el proceso dearranque. Muchos programas de tipo troyano emplean estosdirectorios para copiarse en ellos y de esa forma, asegurarsu presencia en el sistema en cada arranque. Esta proteccióngenera alertas cuando detecta que un nuevo fichero ha sidocopiado en esos directorios.

• New users on system : Esta protección alerta si se creannuevos usuarios en el sistema.

• New services installed : Un servicio es un tipo de programaespecial que normalmente se ejecuta con los máximosprivilegios. Suelen ser empleados de forma legítima paraañadir funcionalidades a Windows. En algunas ocasiones,programas maliciosos se camuflan como este tipo de programaspara infectar el sistema. Esta protección alerta si aparecennuevos servicios en el inicio.

• Changes in the Hosts file : Windows dispone de un ficherollamado “hosts” en el que se pueden almacenar nombres dehosts y sus direcciones IP para que el sistema las tenga encuenta de forma preferencial. Algunos troyanos o Spywarealteran este fichero para redireccionar maliciosamenteconexiones a diversos hosts. Esta alerta avisa en el caso deque se produzcan modificaciones en este fichero.

• New scheduled jobs : Windows dispone de un sistema conocidocomo “Scheduler” o planificador por el cual se puedenprogramar tareas para que el sistema las ejecute. Existenprogramas malware que utilizan el planificador como forma de

preservar su presencia en el sistema. Esta alerta informa siaparecen nuevos trabajos en el planificador.

• New hidden windows : Pueden ser generadas por algún proceso deinstalación de una aplicación o como consecuencia de unataque a nuestro equipo. Cuando se vaya a ejecutar cualquierade ella, dará un aviso.

• Files in critical directories : Esta protección avisa siaparecen nuevos ficheros ejecutables en directorios delsistema.

• Instalation of new drivers : Algunos programas tipo rootkit(ocultan ficheros, procesos, conexiones) se instalan en elsistema como drivers, ésta alerta avisa si aparecen nuevosdrivers instalados en el sistema.

Networking

• NetBios connections to the system : Esta protección alertaante conexiones que se realicen contra nuestro sistemautilizando el protocolo NetBios (recursos compartidos).Generará alertas cuando alguien acceda a carpetas o archivosen nuestro equipo.

• New Netbios shares : Esta alerta avisa en el caso de queaparezcan nuevas carpetas compartidas mediante NetBios.

• TCP/IP defense : Informa de nuevos puertos abiertos, nuevasconexiones realizadas, ARP Spoofing...

• ARPWatch : Detecta nuevos host en la red. • NIDS : Sistema para detectar tráfico anómalo que reciba el

equipo. Se basará en un fichero de reglas configurable, parapoder personalizar los patrones de tráfico según el entorno ola necesidad.

Gestión de reglas NIDS en Patriot

Vamos a usar la característica de monitorización de intentos deconexión a puertos.

El primer paso es detener Patriot, para ello buscamos el icono en la barra de inicio, en la parte del área de notificación, y con el botón derecho del ratón seleccionamos ‘stop’.

El siguiente paso es añadir el puerto del RDP (3389) a la lista de puertos calientes, para ello nos situamos en “C:\Archivos de

programa\Patriot NG” donde podemos localizar un fichero llamado ‘destports.ini’.

Una vez ahí, editamos el fichero con notepad y vemos que la estructura del fichero es bastante sencilla: [puerto]Por tanto, añadimos el puerto al final del fichero puertos que necesitemos monitorizar como [443] https o [3389] que seria RDP o Escritorio remoto. Guardamos el fichero.

Volvemos a arrancar Patriot pulsando sobre start desde el icono en el area de notificicones.

Con esto ya tenemos configurado Patriot para detectar intentos de conexión a esos puertos, cada vez que alguien lo intente, podremos ver el intento y bloquear la IP.

Por otro lado, existen otros dos ficheros, badtraffic.ini y ownrules.ini.

badtraffic.ini se va actualizando en cuanto deniegues o permitasel acceso a los eventos de conexiones que van “saltando” en patriot (no se debe editar a mano).

El fichero orientado a que insertes tus propias reglas es ownrules.ini.

Como podéis ver el formato de cada regla es muy sencillo:[descriptive text] = [policy] o [Texto

descriptivo]= [Patron]

A la hora de hacer una regla lo primero es pensar un nombre que la asocie y buscar un patrón en ese ataque que sirva para identificarlo. El ‘patrón’ para la firma puede estar escrito o en ascii o en hexadecimal:

Cookie access = document.cookie

Que seria igual que:Cookie access =646f63756d656e742e636f6f6b6965

(646f63756d656e742e636f6f6b6965 es la representación en hexadecimal de document.cookie)

Lo preferible es que siempre se intente escribir la regla en ascii y usar hex para representar únicamente valores binarios.

A la hora de buscar patrones se pueden añadir varias cadenas de búsqueda uniéndolas con el simbolo +.Por ejemplo, si pretendemos buscar por un lado “document.cookie”y por otro “http” podemos crear la siguiente regla:

Cookie access = document.cookie+httpQue hará match en un string como este:http://www.dominio.com/script.php?document.cookie

Ya que en esa cadena se encuentra por un lado “http” y por otro document.cookie. El orden da igual ya que se evalúa uno a uno, es decir, aunque en la regla el primer patrón de búsqueda sea document.cookie y luego http, si en el paquete viene cambiado, seguirá haciendo match.

Se podría buscar en Wireshark algunas vulnerabilidades atacadas,emularlas y obtener información sobre los paquetes que realizan ataques (Wireshark, localizado el paquete, boton derecho/Follow TCP/UDP Stream) y buscar la peculariedad de ese paquete, y añadir una reglas como la siguiente

vulnerabilidad webdav_dll=xmls+DAV+.dll

Paquete HTTP localizado:

Observar el flujo de lo contenido en el paquete, para observar la anomalia: