patriot ng
TRANSCRIPT
-
7/21/2019 Patriot NG
1/4
Patriot NG es una sencilla aplicacin que se encarga de monitorizar nuestro
sistema Windows. Este programa nos avisa de los cambios que se producen
en nuestro ordenador, dndonos la posibilidad de permitirlos o denegarlos.
Existen mil maneras de meorar la seguridad in!ormtica de nuestra
computadora, " es que el usuario que no piense en eso est por mu" mal
camino. #sicamente, un $%ost&'()* signi+ca realmente )istema de
deteccin de intrusos en un %ost donde %ost es el equipo donde se a
instalado dico $sistema*. Patriot NG es una erramienta para Windows que
es un %ost&'().
Patriot NG podr-a estar en!ocado para usuarios avanzados, o para equipos
donde se pueden colar mucos procesos. oncretamente, lo que ace esmonitorizar todas las tareas que son eecutadas en el sistema, " cuando
a"a algo sospecoso, te lo noti+ca, e incluso, te permite, si es posible,
realizar acciones que impidan que sigan eecutndose dica tarea
sospecosa.
uando se instala Patriot NG, automticamente, comienza a ver qu/ aces.
0o prob/ en las tareas normales que ago, " me lanz varias noti+caciones.
1 continuacin les comento todo lo que los creadores de este so!tware dicen
que este programa puede detectar " noti+carnos2
uando a" alguna modi+cacin en el registro de Windows
uando se a3aden o quitan +ceros en el inicio de Windows
uando se crean nuevos usuarios en el sistema operativo
uando se a3aden nuevos servicios en Windows
1 lo que se a3aden 45areas programadas6 en el sistema
uando se instalan nuevos controladores en Windows
1 lo que se crean ventanas ocultas en Windows
uando se abren o cierran puertos en la red
uando se detectan alteraciones en el protocolo 5P7'P
Pues bien el modo de uso de Patriot NG es bastante sencillo. Primero quetodo les comento que est disponible para Windows8, 9ista, :P, etc., en
-
7/21/2019 Patriot NG
2/4
espa3ol ;" otros idiomas?=2 E0 bug
del protocolo @(P que permite comprometer remotamente cualquier
sistema Windows. Esta vulnerabilidad, para la que a" varios exploits
pAblicos " que est siendo activamente explotada, es sin duda una de las
vulnerabilidades ms cr-tica que a sido publicada recientemente parasistemas Windows.
(ado que a d-a de o" es uno de los bugs que ms inter/s despierta ;" una
vez a3adido el exploit a metasploit, con ms razn< viene bien monitorizar
quien est $ugando* con el.
Para ello, vamos a usar P15@'B5 NG " su caracter-stica de monitorizacin de
intentos de conexin a puertos.
El primer paso es detener Patriot, para ello buscamos el tra"
on el botn dereco del ratn seleccionamos $stop*
El siguiente paso es a3adir el puerto del @(P ;CCD< a la lista de puertos
calientes, para ello nos situamos en2
2F1rcivos de programaFPatriot NG
(onde podemos localizar un +cero llamado $destports.ini*
na vez a-, editamos el +cero con notepad " vemos que la estructura del
+cero es bastante sencilla2 HpuertoI
Por tanto, a3adimos el puerto al +nal del +cero2
)alvamos " desde el tra", volvemos a arrancar Patriot2
on esto "a tenemos con+gurado Patriot para detectar intentos de conexin
a ese puerto, cada vez que alguien lo intente, podremos ver el intento "bloquear la 'P
-
7/21/2019 Patriot NG
3/4
%ola a todos vo" a poner la nueva in!ormacin sobre patriot&NG =.: que a
posteado nuestro amigo Jago Kesus ;creador de la erramienta < "
colaborador de )ecurit" #" (e!ault.
Gestin de reglas N'() en Patriot&NG
(urante la instalacin se crean dos +ceros de con+guracin del N'(), por
un lado badtraLc.ini " por otro ownrules.ini la idea es que badtraLc.ini sea
un +cero que MnoM se deba tocar " que se actualice v-a la inter!ace de
Patriot NG.
omo se puede ver en el tra", a" una opcin llamada $pdate N'() rules*
que descargar la Altima versin del servidor " la instalar. Por tanto, no es
aconseable tocar ese +cero a mano "a que en la prxima actualizacin
ser sobre&escrito.
El +cero orientado a que insertes tus propias reglas es ownrules.ini " aoratoca explicar como se crean esas reglas2
omo pod/is ver el !ormato de cada regla es mu" sencillo2
H5exto descriptivoI HPatronI
1s- pues a la ora de acer una regla lo primero es pensar un nombre que la
asocie " buscar un patrn en ese ataque que sirva para identi+carlo. El
$patrn* para la +rma puede estar escrito o en ascii o en exadecimal, as-
pues algo como2
ooOie access document.cooOie
Es identico a2
ooOie access Q!C8RdRe8Q=eC!!bR
Ja que Q!C8RdRe8Q=eC!!bR es la representacin en
exadecimal de document.cooOie.
0o pre!erible es que siempre se intente escribir la regla en ascii " usar ex
para representar Anicamente valores binarios.
1 la ora de buscar patrones se pueden a3adir varias cadenas de bAsqueda
uni/ndolas con el simbolo S
Por eemplo, si pretendemos buscar por un lado 4document.cooOie6 " por
otro 4ttp6 podemos crear la siguiente regla2
ooOie access document.cooOieSttp
Tue ar matc en un string como este2
ttp277www.dominio.com7script.ppUdocument.cooOie
-
7/21/2019 Patriot NG
4/4
Ja que en esa cadena se encuentra por un lado 4ttp6 " por otro
document.cooOie. El orden da igual "a que se evalAa uno a uno, es decir,
aunque en la regla el primer patrn de bAsqueda sea document.cooOie "
luego ttp, si en el paquete viene cambiado, seguir aciendo matc.
on+guracin de alertas por intento de conexin
1dicionalmente a badtraLc.ini " ownrules.ini a" otro +cero de
con+guracin llamado destports.ini, este +cero de+ne que puertos
consideramos $sospecosos* " sobre los que queremos que se nos avise si
a" un intento de conexin. El !ormato es mu" sencillo
H?CI
HQQRI
HD>I
H=?I
H?=QCI
HRD>>I
HR>>I
H88I
HC?CC8I
omo es obvio la !orma de a3adir o quitar puertos es sencilla, simplemente
a3adir al +nal H?=CQI " ese puerto ser-a monitorizado. Por cada cambio en la
con+guracin a" que acer un stop 7 start desde el tra"
onsideraciones sobre rendimiento
Este punto es algo peliagudo "a que como es lgico, el rendimiento 7 uso de
P va a variar en !uncin del uso de la red que se le est/ dando, el proceso
N'() se eecuta con una prioridad baa, lo que en parte puede mitigar una
saturacin, no obstante, est claro que si tienes un montn de conexiones
abiertas, descargando +ceros grandes, " todo eso en una red eternet,
seguramente el proceso consuma una cantidad importante de recursos e
incluso es posible 7 probable que a"a una perdida de paquetes a la ora de
procesar tanto tr+co.