Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Nueva herramienta: MicEnum, Mandatory Integrity Control Enumerator
9 de julio de 2015
En el contexto de la familia de sistemas operativos de Microsoft Windows,
Mandatory Integrity Controls (MIC) es una funcionalidad de seguridad que se introdujo en Vista, y que se ha implementado en los posteriores sistemas operativos. Añade niveles de aislamiento basados en integridad de los procesos y objetos. Los niveles de integridad representan el nivel de confianza en un objeto, y puede ser establecido a nivel de ficheros, carpetas, etc.
El caso es que es no existe interfaz gráfica para funcionar con los MIC en Windows.
MicEnum ha sido creado para solucionar esto, y como una herramienta forense.
MicEnum es una simple herramienta gráfica que:
MicEnum comprobando los niveles de integridad de una carpeta
¿Cómo funciona la herramienta?
La única forma por ahora de mostrar o establecer los niveles de integridad en Windows es usando icacls.exe, una herramienta nativa de línea de comando. No hay forma fácil o estándar de detectar cambios o anomalías. Como ocurre con NTFS, un atacante podría haber modificado los niveles de integridad de un fichero en el sistema para elevar privilegios o desplegar otros ataques, por lo que, observar este tipo de movimientos y anomalías es importante para acciones preventivas o de tipo forense.
La herramienta representa los ficheros y carpetas en formato árbol. Su nivel de integridad se muestra en la columna anexa. Si se escanea un directorio, la herramienta comprobará el nivel de integridad de sus hijos y si alguno no es igual al del padre, expandirá esa rama. Si se han expandido varias ramas y se quiere reagrupar los que ya se conoce que no son diferentes, se puede marcar el checkbox de abajo. Esconderá las carpetas que se supone comparten nivel de integridad.
MicEnum comprobando los niveles de integridad de las ramas del registro
Para establecer nuevos niveles de integridad, se puede usar el menú contextual de nuevo para establecer el nivel deseado. No deben ser cambiados a menos que se sepa qué se está haciendo. Es posible que se necesiten permisos de administrador para conseguir que efectivamente se establezcan.
El programa permite establecer diferentes niveles de integridad
Para propósitos forenses, toda la "sesión" o información sobre los niveles de integridad se pueden guardar como un fichero XML. Más tarde es posible restablecerlos con la misma herramienta. Una vez se han restablecido, no se ven los iconos y no se pueden establecer nuevos valores, puesto que en la herramienta no se está viendo el disco "en vivo".
Es posible cargar sesiones anteriores y comprobar el valor de los niveles de integridad de otro disco Esto aplica igualmente a las ramas del registro, en su pestaña correspondiente del programa.
MicEnum está inspirada en AccessEnum, una herramienta clásica de Sysinternals que enumera los permisos NTFS y ayuda a detectar anomalías.
MicEnum puede ser descargada desde https://www.elevenpaths.com/es/labstools/micenum-2/index.html
MicEnum es una simple herramienta gráfica que:
- Enumera los niveles de integridad de los objetos (ficheros y carpetas) en el disco duro.
- Enumera los niveles de integridad de las ramas del registro.
- Ayuda a detectar anomalías en ellos destacando los niveles de integridad diferentes.
- Permite guardar y restaurar la información en un fichero XML para que pueda ser usado en estudios forenses.
- Permite establecer y modificar los niveles de integridad gráficamente.
MicEnum comprobando los niveles de integridad de una carpeta
¿Cómo funciona la herramienta?
La única forma por ahora de mostrar o establecer los niveles de integridad en Windows es usando icacls.exe, una herramienta nativa de línea de comando. No hay forma fácil o estándar de detectar cambios o anomalías. Como ocurre con NTFS, un atacante podría haber modificado los niveles de integridad de un fichero en el sistema para elevar privilegios o desplegar otros ataques, por lo que, observar este tipo de movimientos y anomalías es importante para acciones preventivas o de tipo forense.
La herramienta representa los ficheros y carpetas en formato árbol. Su nivel de integridad se muestra en la columna anexa. Si se escanea un directorio, la herramienta comprobará el nivel de integridad de sus hijos y si alguno no es igual al del padre, expandirá esa rama. Si se han expandido varias ramas y se quiere reagrupar los que ya se conoce que no son diferentes, se puede marcar el checkbox de abajo. Esconderá las carpetas que se supone comparten nivel de integridad.
MicEnum comprobando los niveles de integridad de las ramas del registro
Para establecer nuevos niveles de integridad, se puede usar el menú contextual de nuevo para establecer el nivel deseado. No deben ser cambiados a menos que se sepa qué se está haciendo. Es posible que se necesiten permisos de administrador para conseguir que efectivamente se establezcan.
El programa permite establecer diferentes niveles de integridad
Para propósitos forenses, toda la "sesión" o información sobre los niveles de integridad se pueden guardar como un fichero XML. Más tarde es posible restablecerlos con la misma herramienta. Una vez se han restablecido, no se ven los iconos y no se pueden establecer nuevos valores, puesto que en la herramienta no se está viendo el disco "en vivo".
Es posible cargar sesiones anteriores y comprobar el valor de los niveles de integridad de otro disco Esto aplica igualmente a las ramas del registro, en su pestaña correspondiente del programa.
MicEnum está inspirada en AccessEnum, una herramienta clásica de Sysinternals que enumera los permisos NTFS y ayuda a detectar anomalías.
MicEnum puede ser descargada desde https://www.elevenpaths.com/es/labstools/micenum-2/index.html
Sergio de los Santos
ssantos@11paths.com
