Hidden Networks

PoC programada en Python 3.4 que facilita la tarea de analizar equipos locales y remotos en busca de la traza de conexión de dispositivos USB

Descripción

Tenemos tres operaciones principales. La primera trata en extraer la información de un equipo local, desde una lista de ordenadores en una red (dominio), o directamente dibujar el grafo de un fichero CSV previamente generado. El paso principal antes de realizar cualquiera de estas operaciones (excepto la opción de dibujar un único CSV) es crear o abrir un nuevo proyecto.

- Extracción de datos del equipo local (“Gel local registry info”). Visualizará o almacenará (si marcamos la opción “Save output to CSV file”) en los ficheros de salida CSV y JSON la información sobre los dispositivos USB insertados en el equipo en el que se está ejecutando la aplicación. Finalmente, podemos visualizar el grafo resultado pulsando en la opción “Plot Project”.
- Extracción de la información en equipos de la red (“Retrieve remote info”). El paso previo a esta operación es crear un fichero de texto con las direcciones IP de los ordenadores a auditar o el FQDN de los mismos. Una vez creada la lista, tenemos que cargarla utilizando la opción “Load list of computers”. Una vez cargada esta lista, tendremos que introducir el nombre de usuario administrador así como la contraseña (el dominio no es necesario, utilizará por defecto el que tenga la máquina desde la cual se ejecuta la aplicación). El estado de la ejecución y los datos extraídos se mostrarán en la ventana “Output”. Estos datos también se almacenarán en los ficheros CSV y JSON del proyecto. Finalmente podemos visualizar el grafo resultando pulsando en la opción “Plot Project”.
- Dibujar el grafo a partir de un fichero CSV (“Plot single CSV”). Con esta opción dibujaremos directamente el grafo generado previamente con la aplicación.

Funcionalidades

Hidden Networks es una nueva prueba de concepto basado en este paper y programada en Python 3.4 que facilita la tarea de analizar tanto equipos locales como remotos (dentro de un dominio, utilizando WMI) en busca de la traza de conexión de dispositivos USB. Con la información recopilada, esta prueba de concepto dibuja un grafo que mostrará el recorrido o saltos de dichos dispositivos USB y los ordenadores en los cuales han sido conectados, dibujando de esta forma una red alternativa. La misma aplicación generará los grafos (uno por cada dispositivo) y toda la información recopilada se almacenará en dos ficheros .CSV y .JSON para facilitar su posterior análisis y exportación.

Antiransomware

Antiransomware es una herramienta que añade una capa de autorización en sistemas Windows sobre carpetas “protegidas”, denegando cualquier tipo de operación de escritura o borrado de archivos.

Recover Popcorn

Esta herramienta recupera la contraseña necesaria para descifrar los ficheros cifrados por la primera versión de PopCorn ransomware que apareció a finales de 2016.

Wannacry File Restorer

Wannacry File Restorer permite recuperar los archivos que han quedado en mitad del proceso de cifrado del malware Wannacry en un equipo. Gracias a esta PoC se pueden recuperar dichos archivos.