Categorías: Seguridad

Descubriendo y neutralizando intrusos con Power Shell

Hoy nos vamos a centrar en uno de los factores importantes que tiene la Power Shell de Windows o el símbolo del Sistema convencional de nuestro sistema operativo de Microsoft, porque cuenta con alguna herramienta interesante en materia de seguridad y hacking, sobre todo a la hora de detectar posibles intrusos en nuestro sistema.

Ya en su día dedicamos un post al modo práctico y rápido de detectar intrusos, software malicioso o virus actuando en segundo plano en nuestro equipo, a través del Administrador de Tareas y cómo utilicé ese método para localizar e inutilizar el virus de la empresa Ardamax que activa nuestra webcam para espiarnos. Podéis consultar ese post aquí.

Pero hoy queríamos analizar otro método “manual” (en ausencia de software de administración de redes, gestión de paquetes o pentesting de puertos) para detectar posible actividad de intrusión en nuestro sistema o equipo, así como para conocer y analizar si hay archivos que se estén compartiendo sin nuestro conocimiento con usuarios remotos.

Para ello vamos a acceder al Símbolo del Sistema con permisos de Administrador.

Primero presionamos la tecla Windows (la que presenta el logo en el teclado) + X y eso despliega el siguiente menú:

Y seleccionamos la opción “Símbolo del sistema (administrador)” como vemos remarcado en la imagen.

Con este requisito previo nos ahorramos la incomodidad de que el equipo nos devuelva mensajes de incapacidad a la hora de ejecutar determinadas acciones por no tener permisos suficientes.

Una vez dentro del símbolo del sistema con permisos de administrador, podemos invocar un listado de comandos para conocer un poco mejor todo lo que éste nos ofrece.

Tecleando “help” (sin las comillas), el símbolo del Sistema o la PowerShell de Windows (que son cosas distintas pero que en este caso nos sirven igual) nos devuelve el listado de comandos operativos.

Para el caso práctico de hoy en materia de detección de actividad o movimiento de archivos de manera remota, sin nuestro conocimiento, invocaremos “openfiles” (sin las comillas, por favor).

Esto nos devolverá un listado con la actividad que se esté ejecutando en la máquina, de manera desconocida o en segundo plano, en materia de intercambio, entrada o salida de archivos. De hecho, como expone brevemente la propia descripción de este comando, openfilesMuestra archivos compartidos abiertos por usuarios remotos como recurso compartido de archivo.

Así mismo, en caso de que se nos reporte alguna actividad que no nos guste o de la que no tengamos constancia, podemos actuar desde ahí mismo para neutralizarla directamente a través del siguiente comando: openfiles /?

Como observamos, al invocar y profundizar con este comando, tenemos varias posibilidades de neutralización directa de toda actividad de movimiento de archivos que puedan estar siendo manipulados, introducidos o extraídos de manera remota.

  • Podemos desconectar uno o más archivos abiertos o en ejecución. “/Disconnect”
  • Comprobar todos los archivos abiertos localmente o desde carpetas compartidas para una mejor comprobación de la potencial actividad remota no autorizada. “/Query”
  • Habilitar o deshabilitar la muestra de archivos locales abiertos. “/Local”
En definitiva contamos con otra forma más, (de nuevo manual) de detección de amenazas o intrusiones que se puedan estar llevando a cabo en nuestro equipo o red, en esta ocasión, mediante el Símbolo del Sistema y algunos comando sencillos pero eficaces, que nos dan la información que de otra forma quizá no detectaríamos y, lo que es más importante, contando con la posibilidad de intervenir desde ahí mismo para neutralizar esa amenaza de seguridad que detectemos.
Como en su día comentamos en otros post sobre detección manual de amenazas e intrusiones, el mejor método de testeo de nuestro equipo y sistema es siempre el manual. El que podemos ejecutar nosotros mismos sin la ayuda de software GUI de por medio.
Esperamos que suméis esta otra herramienta a vuestro arsenal de métodos de detección y neutralización de posibles intrusiones o amenazas en vuestras máquinas.
Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Share
Publicado por
Alquimista

Recent Posts

Docker: conceptos principales y tutorial paso a paso

Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…

3 años hace

Crea diagramas rápidamente usando código

Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…

3 años hace

Procesamiento del lenguaje natural con ElasticSearch

Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…

4 años hace

Elige tecnología clásica y aburrida

Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…

4 años hace

Cómo usar Docker en Windows

Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…

4 años hace

Analiza el coste del uso de JavaScript

Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…

5 años hace