autopsia de una intrusion

Name of presentation

Company name

Autopsia de una intrusión

Zaragoza, 3 de Marzo 2009

conexioninversa.blogspot.c

om

c:\>whoamiPedro Sánchez Cordero

* Soy un apasionado de las técnicas forense

* He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad.

* Soy miembro del capítulo Español de la Honeynet Project (http://www.honeynet.org/)

* He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense

* Escribo en el blog de conexioninversa (cuando puedo)

* Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros

http://www.honeynet.org/

Agenda:1.- Análisis forense2.- Análisis Forense in Depth

– Dos casos:• Forensic inHouse

– AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros”

• Live of dead– AUTOPSY CASE: “Mi web tiene un

'bujerito' sersual”

3.- Herramientas para análisis forense

4.- Conclusiones El mito de casandra


om


Company name


1.- Análisis Forense


om

• 1.- Análisis forense• ¿que es?

• “ Obtención y análisis de datos empleando• métodos que distorsionen lo menos posible

la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ”

• – Dan Farmer y Wietse Venema, 1999


o

m

• 1.- Análisis forenseSe buscan respuestas basadas en

evidenciasEn una crisis informática o una intrusión se

buscan respuestas a las preguntas:– ¿quien fue?– ¿como?– ¿cuando fue?– ¿porque?

• Aquí entra en juego el analista forense


o

m

• 1.- Análisis forense• La información se puede buscar en

equipos encendidos:– Memoria– Red– Ficheros y procesos– Datos y programas

• O..apagados– Discos y dispositivos

• O en logs– Cortafuegos, IDS's, etc.


o

m

• 1.- Análisis forense– La forma de obtener los datos:


o

m

Adquisición de evidenciasObtención de imágenes de las evidenciasAnálisis inicialCreación y análisis de la línea de tiempoAnálisis específico y recuperación de datosAnálisis de datos y cadenasGeneración del informe

• 1.- Análisis forense– Panorama Actual


o

m

1.- Análisis forense Panorama Actual


o

m

16.000 Ataques al mes a las web's

Casi el 100% de Ip's provienen de Rusia y China

El 2% de Ataques de denegación de servicio

El 80% Ataques de troyanos en clientes (un 4% es phising)

El el 18% restante ataques de SQL Inyection, RFID, etc.

Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)

Las fugas de información están a la orden del día

Empleados descontentos, Administradores...etc

Gerentes que desconfían de los admins

1.- Panorama actual Lo que se ve...es muy distinto

En este ultimo año hemos detectado un alto número de web's infectadas


om


Company name


2.- Análisis Forense in Depth

Un caso:Forensics inHouseAUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros”


om

• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Yo no hice esa transferencia de

3.000 Euros”


om

•Una empresa cuyo gerente indica que no hizo una transferencia de 12.000 Euros de su cuenta a una cuenta cuyo destino es Rumanía.

•La empresa de informática, tenía todas las medidas de seguridad básicas: Cortafuegos, Antivirus.

•Primer incidente visual: Los programadores desactivan el antivirus para compilar más rápido ¿?

•Se revisa el equipo del gerente, ya que a priori es donde se realizan normalmente las operaciones de Banca Electrónica

•Sin previo aviso durante la revisión se produce un pantallazo azul, el gerente indica que desde hace un tiempo es habitual los reinicios


om

• DEMO


Company name


2.- Análisis Forense in Depth

Segundo Caso:Live of deadAUTOPSY CASE: “Mi web tiene un 'bujerito' sersual”


om

• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual


om

•Autopsia del ataque:

•PASO 1:

1.- El cliente hace 'click' en un vinculo sobre un falso correo

2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña

1 2

3.- El cliente introduce los datos y pulsa el botón enviar

4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo

3

4



om

•PASO 2:

3.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI

2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente


1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente

1

24

55.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica



om

•PASO 3:

3.- El cliente recibe la página con sus datos y un campo más la solicitud de su token

2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente


1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo

1

24

55.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente



om

•¿COMO SE RESOLVIO?

•- Identificar al atacante en base a:

– Ip's de origen

– Firma (hash) de la página de inicio y comparandola con la vuelta

– Establecimiento de un captcha para detener el automatismo

•Paralelamente

– Se desarrollo lo que hoy es una honeynet basada en web

• Se activa...– Dependiendo de los usuarios introducidos– Del nivel de ataque (Bd de ataques)– Por geolocalización– Por IA (versiones,idiomas,ips..etc..)


Company name


3.- Herramientas “tool and kit”


om

• 3.- Herramientas


om

•HoneyWeb

•Detector de Malware - ULISES

– * El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación.

– * Identificación de las actividades que realiza el malware sobre el ordenador del usuario.

– * Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas

– * Supongamos que han insertado código malicioso para troyanizar a los usuarios.

– * Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows

– * Utiliza las Api's VIX de VMWARE

– * No necesita VMWARE Server en Linux

– * Es OpenSource y disponible (pronto) en codeplex

3.- ULISES


om

Consola de Administración

Control del navegador

Internet explorer Rootkit

1.- Envía los comandos para las páginas a visitar

3.- Visita el website

2.- Activa el rootkit

4.- Empieza la comunicación

vigia.exemirilla.exe

Sistema Windows

Sistema Windows

Sistema virtualizado

Sistema virtualizado


om

• DEMO


Company name


4.- Conclusiones


om

4. Conclusiones


om

– forensics in Depth::El mito de casandra• “Dice la leyenda, que Apolo se había enamorado de Casandra y le

prometió a la joven el don de la profecía en la que aceptaba entregarse a él. Ella aceptó, pero una vez iniciada en las artes de la adivinación, se negó a cumplir su parte del trato. Ante esto, Apolo le escupió en la boca y le retiró el don de la persuasión, por lo que aunque ella dijera la verdad, nadie le creería.”

– ¿Alguien se identifica con esta leyenda?• Si pides presupuesto y no pasa nada...• Si no pides y pasa...• Si pides y pasa...

– Por lo tanto...si los troyanos te comen y las intrusiones te molestan...

• Piensa en 'Forense'• Conoce a tu enemigo• Aprende de el.


Company nameGracias...


om

autopsia de una intrusion

Technology