Seguridad

Herramienta para defensa activa ante ataques a redes de datos

TALOS es una herramienta para defensa activa ante ataques a redes de datos. Fue creado para llenar un vacío evidente en las metodologías defensivas, una frase que lo definiría es: “Nunca se puede ganar un combate de espadas intentando nada más que paralizar los ataques del adversario”. Esta el la base de la metodología de la defensa activa,  que ofrece la respuesta a este enigma. Hay un montón de cosas que se pueden hacer para detener a un atacante, que van mucho más allá de un simple «endurecimiento» de la seguridad. Talos fue creado con el objetivo de proporcionar un centro control, a través del cual los encargados de la seguridad de red puedan operar. Y de forma sencilla y poderosa, implementar herramientas de defensa activa en sus redes.

TALOS se puede lanzar mediante la ejecución de la consola principal mediante el archivo programado en Python: “talos.py”. Una vez en la consola, es posible escribir el comando “help” para ver una lista de comandos disponibles. Y también para mostrar información sobre comandos
específicos y módulos. La herramienta ha sido creada intentado que fuera lo más inteligente posible dotándolo de opciones como:

  • Historial de línea de comandos que puedes, que se puede navegar a través de ella con las teclas cursoras.
  • Autocompletar inteligente.
  • En caso de que accidentalmente se escriba mal un comando la herramienta ejecuta igual el comando real.

Funciona de una manera muy similar a muchos frameworks conocidos. Fue escrito inspirado en dos frameworks: Metasploit y Recon-ng.  Tiene una interfaz entre módulos y la consola a efectos de ejecución. Cada módulo incluirá en él una clase de comandos. Estos comandos son necesarios para analizar las variables enviadas desde la consola, en términos que son comprensibles para el módulo. Estos comandos ejecutan el módulo de la manera especificada por el comando específico. Aunque muchos módulos contienen comandos especificos, el comando más común para ver es el comando “run” . Se puede obtener un listado del comando para el módulo actualmente cargado ejecutando “list commands”. Si el módulo admite el comando “run” también permite “run -j”. Esta opción de ejecución le dice al módulo que bifurque un proceso individual y que se ejecute en segundo plano. Esta característica puede ser increíblemente útil si necesita ejecutar más de un módulo a la vez. Para ejecutar su módulo, simplemente ejecute el comando específico del módulo deseado, tal como se imprime en la salida de “list commands”.

Algunos módulos de TALOS están escritos para poder enviar notificaciones de nuevo a la consola de comandos. Esto puede ser increíblemente útil para detectar y frustrar un ataque a su red. Uno de los módulos capaces de enviar notificaciones de nuevo a la consola de comandos es el módulo utilizado en el modulo Honeypot.

Se pueden aprender los comandos TALOS para en el momento del ataque ser rápido y preciso. O pueden usarse alias que le permiten interartuar con el intérprete de diferentes maneras. Por ejemplo, el comando TALOS para cargar un nuevo módulo es “module”. Pero es posible utilizar en lugar de este un alias en lugar de este comando. Por ejemplo, podría cargar un módulo con los comandos “load” o “use” o incluso (para enfatizar el sistema de archivos como la naturaleza de los módulos) “cd”. El comando para mostrar qué variables pueden ser modificadas para un módulo es “list variables”. Pero puede usar otros alias como “show options”, “show variables”, “list options” o incluso “ls”.

También puede añadir sus propios alias. Como por ejemplo: creando una lista propia de atajos de un solo carácter para hacer la técnica de defensa aún más rápida. Simple editando el archivo de “aliases” ubicado en el directorio “conf”.
El modulo mas importante es Phantom, un agente hecho para ser desplegado en una infraestructura de red, que llama TALOS y acepta comandos de TALOS. En resumen, Phantom es a TALOS como Meterpreter es a Metasploit. Mientras Metasploit es una herramienta ofensiva, TALOS es una herramienta diseñada para ayudar proteger los activos de red. Pero no siempre puede esperar que un el encargado de defender la de red tenga instalado TALOS en cada una de las máquinas de toda su red. Ahí es donde entra Phantom, puede desplegar módulos en cualquier maquina a la que tenga acceso.

Más información y descarga de  TALOS:
https://github.com/PrometheanInfoSec/TALOS

Fue originalmente publicado en: Gurudelainformatica.es
 

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.