Ya hemos visto como detectar el envenenamiento de la cache ARP. Ahora vamos a ver como detectar el borrado de archivos en red en una red no conmutada haciendo uso de Tshark y los filtros SMB (Server Message Block Protocol). Es posible hacerlo también en una red conmutanda capturando los paquetes mediante envenenamiento de la caché ARP.
Usaremos el filtro smb.cmd de comando SMB, aunque también podríamos usar smb.disposition.delete_on_close de borrado o cerrado de archivo, dependiendo pues de la forma de borrar el fichero por parte del cliente.
Actualización. 21-05-2008. Registro de eventos de apertura y escritura de archivos.
NOTA: Publicada (29-10-2009) la primera parte de una serie de artículos en los que avanzaremos en estos temas (SMB, CIFS, NETBIOS): Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 1.
Tenemos una captura de red. Realizamos una estadística SMB:
Vemos que el comando Delete tiene una llamada. Vamos a investigar un poco más. Usamos el filtro smb.cmd == 0x06:
NOTA: algunos datos se cambiaron
Ahora vemos con claridad el SMB Delete Request (0x06). Vemos también el fichero borrado y la captura ASCII de la cual podemos extraer mucha más información. Sin embargo con usar la opción -V de Tshark podemos obtener toda la información necesaria para auditar el evento del borrado de archivo de la red, independientemetne del uso de otras herramientas y/o auditorias.
Si usamos:
tshark -r captura3.cap -R «smb.cmd==0x06» -V
Obtendremos entre otras cosas esta información:
…………
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 2049 (\\SERVER-1\E$)
[Path: \\SERVER-1\E$]
[Mapped in: 42172]
Process ID: 65279
User ID: 2049 (USER01\Administrador)
[Primary Domain: USER01]
[Account: Administrador]
[Logged In: 42170]
…………
Delete Request (0x06)
Word Count (WCT): 1
Search Attributes: 0x0006
…. …. …. …0 = Read Only: Do NOT include read only files in search results
…. …. …. ..1. = Hidden: Include HIDDEN files in search results
…. …. …. .1.. = System: Include SYSTEM files in search results
…. …. …. 0… = Volume ID: Do NOT include volume IDs in search results
…. …. …0 …. = Directory: Do NOT include directories in search results
…. …. ..0. …. = Archive: Do NOT include archive files in search results
Byte Count (BCC): 103
Buffer Format: ASCII (4)
File Name: \DATOS00001\PROYECTOS\Nuevo Documento de texto.txt
Que otros eventos podemos registrar.
Entre otros muchos:
- Close Request (0x04) Cerrado de archivo.
- NT Create Andx Request (0xa2) Creación de carpetas y arhivos.
- smb.cmd simplmente filtrndo por smb.cmd sin valor alguno podemos analizar las transacciones SMB, errores, etc.
- SMB Rename Request (0x07) Renombrado de archivos.
- SMB Read AndX Request (0x2e) Apertura de un archivo.
- SMB Write Andx Request (0x2f) Escrituraen un archivo.
- SMB Cancer Request (0xa4)
Un ejemplo. Si dejamos Tshark capturando los evetos de apertura y escritura de archivos de la red:
Con la opción -x o -V veremos el resto de la información que necesitamos para saber que archivo, cuando, quien, con que privilegios, etc.
Seguridad y Redes 
Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes
Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 1. | Seguridad y Redes