Tutorial Nessus

Después de haber instalado y registrado el programa Nessus.

Ejecutamos el programa Nessus Server Manager.

Y seleccionamos Manage Users para crear un nuevo usuario para poder activar mas adelante la pagina de Nessus client.

Seleccionamos el botón +, para agregar un usuario a la lista de usuarios de Nessus. Y rellenamos los campos correspondientes al nombre y a la contraseña.

Y seleccionamos save/guardar.

Y veremos que el nombre del usuario se a añadido a la lista.

Y cerramos las ventanas del programa.

Y abrimos el enlace web de Nessus Client.

Para entrar en nuestra cuenta escribiremos nuestro nombre y nuestra contraseña, seguidamente seleccionamos Log In/Cargar.

Después de aceptar los comentarios de la pantalla principal,nos aparecerá la sección de policies/políticas la cual se estará cargando.

Podemos usar las políticas ya existentes o crear una a nuestro gusto, para crear una seleccionamos el botón add/agregar.

Dentro de Basic:

En Name le indicaremos un nombre para la política de escaneo.

En Visibility seleccionaremos si queremos que nuestra política permita ver al resto de usuarios de la red ver nuestros datos. Ya sea por Private/Privado o por Shared/Compartido.

Dentro de Scan:

Seleccionamos Server Knowledge Base si queremos que los datos finales al escaneo por el uso de nuestra politica se almacenen en la base de datos del servidor Nessus.

Seleccionamos Safe Checks si queremos desactivar los plugins que pueden afectar negativamente al equipo escaneado.

Seleccionamos Silent Dependencies si queremos que los plugins añadidos de forma automática al escaneado no se añadan al informe.

Seleccionamos Log Scan Details to Server si queremos guardar los detalles adicionales del resultado del escaneo en el servidor Nessus.

Seleccionamos Stop Host Scan on Disconnect si queremos que no vuelva a escanear mientras nuestro equipo este apagado o desconectado.

Seleccionamos Avoid Sequential Scans si queremos que Nessus escanee direcciones IP de forma aleatoria en vez de la forma secuencial que es por defecto. Además ayuda a distribuir el trafico por la subred indicada durante el escaneo.

Seleccionamos Consider Unscanned Ports as Closed si queremos evitar las lecturas secuenciales de las direcciones IP.

Seleccionamos Designate Hosts by their DNS Name si queremos que nos indique por nombres de equipo antes que por las direcciones IP en las listas de escaneo.

Dentro de Network Congestion:

Seleccionamos Reduce Parallel Connections on Congestion si queremos que Nessus detecte si la red se esta congestionando, y reduce o aumenta la cantidad de paquetes según como este la red de congestionada o liberada de forma automática.

Seleccionamos Use Kernel Congestion Detection (Linux Only) si queremos que Nessus controle nuestra CPU y nujestros procesos para poder descongestionar la red como si fuera un recurso más para el servidor.

Dentro del Port Scanners nos permite seleccionar los puertos a escanear.

Dentro de Port Scan Options:

En Port Scan Range escribimos el rango de las direcciones IP a escanear.

Dentro de Performance:

En Max Checks Per Host escribimos el número máximo chequeos por equipos a escanear a la vez.

En Max Host Per Scan escribimos el número máximo de equipos a escanear.

En Network Receive Timeout (seconds) escribimos la cantidad de tiempo de espera entre conexiones en la red.

En Max Simultaneous TCP Sessions Per Host escribimos el número máximo de secciones TCP por equipo.

Max Simultaneous TCP Sessions Per Scan escribimos el número máximo de secciones TCP por escaneo.

Esta es la pantalla con las características que nos interesan:

Seguidamente seleccionamos el botón next/siguiente o submit y credentials(si ya lo habíamos creado).

Y nos aparecerán las credenciales para la política del escaneo.

En Credential Type nos aparecerá una lista con los tipos de credenciales que puede tener la política.

En SMB account escribiremos nuestro nombre de usuario.

En SMB password escribiremos nuestra contraseña.

Esta es la pantalla con las características que nos interesan:

Seguidamente seleccionamos el botón next/siguiente o submit y Plugins(si ya lo habíamos creado).

Y nos aparecerán los Plugins para la política del escaneo.

Dentro de Filter podemos escoger como agregar un Plugins a utilizar manualmente ya sea por Name/Nombre o por ID/Número Identificativo.

Y seleccionaremos los plugins a agregar y arrastramos del recuadro Families hacia el recuadro Plugins.

Seguidamente seleccionamos el botón next/siguiente o submit y Preferences(si ya lo habíamos creado).

Y nos aparecerán las preferencias para la política del escaneo.

Dentro de Plugin hay una lista de formas de escaneo, y dentro del recuadro nos dan una serie de opciones que varían según la forma de escaneo.

Seguidamente seleccionamos el botón next/siguiente o submit(si ya lo habíamos creado).

Y nos aparecerá en la lista de políticas de escaneo.

Seguidamente seleccionamos Scans

Y para crear un proceso de escaneo seleccionamos Add/Agregar.

En Name escribimos con que nombre queremos que se guarde el proceso.

En Type podemos escoger el tipo de proceso.

En Policy seleccionaremos la politica de escaneado que nos interese.

En Scan Targets escribiremos las direcciones IP de la red que queramos escanear, con su correspondiente mascara de red.

En Targets File podremos escoger el nombre del archivo donde almacenar los resultados del escaneado y su posicionamiento seleccionando el botón Browse...

Y seleccionamos Launch Scan para empezar a escanear.

Y nos aparecerá el proceso de escaneo en la lista de procesos de escaneo.

Yéndonos a Reports nos aparecerá una lista con todos los escaneados que hemos realizado.

Después de seleccionar el escaneado que estamos realizando seleccionamos Browse y nos aparecerá la lista de direcciones IP de los equipo existentes en la red con su correspondiente número de puertos y su grado de debilidad ante un ataque.

Seleccionamos cualquier equipo y nos aparecerá una subdirección con la IP o la DNS del equipo con una lista de los protocolos y puertos que usa el equipo.

Descubierto un nuevo virus de BIOS: Mebromi

Especialistas en seguridad han descubierto recientemente un virus que llega en el BIOS, haciendo que sea muy difícil eliminarlo utilizando las soluciones antivirus comerciales actuales.

El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control.

Una descripción completa de la manera en que Mebromi funciona fue publicada en Webroot Threat Blog, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.

El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados.

Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección.

Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo.

Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales.

"Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente", dijo un investigador de Webroot.

"Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS", reveló a continuación.

Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos.

Fuente: http://news.softpedia.com/es/Descubierto-un-nuevo-virus-de-BIOS-Mebromi-221759.html

Glosario de términos:
BIOS: (sistema básico de entrada y salida): programa dedicado al reconocimiento de dispositivos para el posterior arranque del sistema operativo.
Hacker: persona dedicada a la informática que obtiene datos de otros usuarios de forma ilegal.
Rootkit: programa dedicado a ocultar datos del sistema operativo que pueden servir a los hackers para extraer o manipular el sistema.
Kernel (núcleo del sistema).
Virus: programa malicioso dedicado a la destrucción del sistema operativo.
ROM (memoria de sólo lectura).
MBR ó master boot record (sector de arranque).
Troyano: programa malicioso dedicado a la manipulación de la información existente en el equipo por parte de un hacker.
Malware: es cualquier programa malicioso para el equipo.(Ej:virus,troyanos,etc...).
Equipo: pc, computadora u ordenador.
Sistema operativo: es el software más básico necesario para el funcionamiento de un pc.
Bit: es la medida más pequeña de información.
Webroot: es cualquier programa dedicado a la desinfección del equipo.(Ej:Antivirus,etc...).