Cuando retomé el desarrollo de Patriot (herramienta que nació en 2004 y hasta 2010 su última actualización era del 2005), decidí añadir el NG con idea de darle un buen lavado de cara y actualizarlo con mas funcionalidad.
Finalmente la versión 1.0 fue una actualización orientada a que funcionase en los nuevos sistemas windows y una criba de funcionalidades que ya no tenían mucho sentido (temas de dialers y cosas así). Definitivamente aplacé las grandes mejoras para una rama 2.x, momento que, finalmente ha llegado.
Lanzamos Patriot 2.0 NG! En esta versión lo primero que llama la atención es que se ha ‘internacionalizado’, pasando tanto la web como la interface al inglés, no obstante hay un manual en perfecto castellano para facilitar el uso a quien no esté demasiado ducho en Inglés.
A nivel técnico las dos grandes mejoras que trae la versión 2.0 es que, empieza a hacer cosas con la red, en concreto hemos añadido una parte ‘ARPWatch’ que permite monitorizar (y bloquear) nuevos equipos que se conecten a la red en la que te encuentras. ¿Utilidades? a bote pronto puede servir para identificar intrusos en redes Wifi que se hayan conectado sin autorización.
En segundo lugar, y tal vez la mejora mas interesante, es la inclusión de un módulo NIDS muy al estilo de Snort (salvando las distancias). La idea de meter un NIDS principalmente viene motivada para poder detectar amenazas de tipo 0day o aquellas para las que aun no existan parches. En concreto ya hay una firma para detectar y bloquear ataques vía metasploit del famoso exploit ‘css import’ así como otras mas.
El objetivo NO es tener un montón de firmas con ataques del 2008 u orientados a sistemas Unix, la idea es manejar un conjunto de reglas actualizadas (y actualizables) que sirvan como defensa ante ataques que estén en su momento mas álgido.
Funciones:
- Ficheros en los directorios Startup
- Nuevos usuarios creados en el sistema
- Nuevos servicios
- Cambios en el fichero Host
- Nuevos trabajos en el Task Scheduler de Windows
- Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración)
- Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
- Nuevos Drivers cargados en el sistema
- Nuevos recursos compartidos NetBios
- Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans)
- Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs)
- Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)
- Conexiones al sistema por NetBios a recursos compartidos
- ARPWatch
