Meterpreter es un tipo de payload que
ofrece todo tipo de posibilidades al auditor o usuario malicioso. Es la
joya de la corona de los payloads. timestomp permite manipular los
atributos de un fichero del sistema vulnerado, con el objetivo de
manipular las huellas que se pueden dejar en una sesión de Meterpreter.
Realmente podemos dejar loco al usuario de la máquina, ya que podemos
colocar como fecha de creación de un fichero el 2 de Enero de 1601, por
ejemplo, lo cual hace que el usuario piense en una infección vírica en
toda regla.
El comando implementa gran variedad de opciones que se listan a continuación:
• Modificación del último acceso.
Para llevar a cabo esta acción se debe ejecutar la siguiente
instrucción timestomp -a “12/20/1986
12:12:34”. El formato de fecha va entre comillas y tiene dos campos, el
primero es la fecha con el formato MM/DD/YYYY, y el segundo es la hora
con formato HH:MM:SS.
• Fecha de creación del archivo.
Se puede modificar la fecha de creación del archivo a través de la
siguiente instrucción timestomp -c
“10/22/1986 13:07:57”.
• Fecha de modificación. Se puede modificar esta fecha con la siguiente instrucción timestomp -m “12/21/1983 23:20:10”.
• Forzar modificación de todos los campos anteriores.
Para asignar la misma fecha a los campos de último acceso, modificación
y creación se dispone de la siguiente instrucción timestomp -z “12/22/1986 22:34:54”.
• Visualización de los atributos.
Para visualizar los atributos de un fichero del equipo remoto se
ejecuta la siguiente instrucción timestomp -v.
•
Para ejecutar una operación sobre los atributos de un directorio de
manera recursiva se dispone de la siguiente instrucción timestomp
-r.
Fuente: http://www.flu-project.com/2012/09/timestomp-el-anti-forensics-de_2.html
Entradas
No hay comentarios:
Publicar un comentario