AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDO

Trucos y técnicas

para la realización de

Un Análisis Forense extremo

Pedro Sánchez

1.- Repaso actual de la seguridad

2.- Caso real de una ataque APT

3.- Análisis

4.- Monitorización

5.- Medidas

Autopsia forense Agenda

Repaso del estado actual de la seguridad

1#

Virus

Gusanos de correo

Gusanos exploit

Rootkits

Troyanos de puerta trasera

DispositivoExtraíble

Clientes de Mensajería Instantánea

Adjuntos de correo

Script Kiddies

Repaso del estado actual de la seguridadANTES

Virus

Gusanos de correo

Gusanos exploit

Gusanos P2P

Gusanos IM

Rootkits

Troyanos de puerta trasera

Spyware

Adware

Greyware

Fuentes de ataque

Sitios Web Multimedia Legítimos Comprometidos

Dispositivos extraíbles

Dispositivos Móviles

Redes PúblicasWi-Fi

Clientes de Mensajería Instantánea

Hackers

Aplicaciones Web 2.0

Tipos de amenazasMedios de Proliferación

Adjuntos de Correo SPAM

Empresas Legítimas

Redes P2PPhishingCrimen organizado

Gobiernos extranjeros

Repaso del estado actual de la seguridadAHORA

APT

Repaso del estado actual de la seguridad

Características2# Mecanismos de ataque

• Son invisibles e indetectables

• Los antivirus lo ven como algo propio del sistema

• Actúan en ciertos casos que el programador ha definido.

• Pueden estar años en el sistema

• Utilizan ingeniería inversa

• Utilizan comandos legítimos del sistema

• Utilizan aplicaciones como pasarela de datos

• Cifran las comunicaciones

• Interactúan con SCADA y otros elementos de Hardware

• También están en los móviles

¿Cómo se detectan?2# Mecanismos de ataque

• Ante un fallo de la aplicación que provoca algún tipo de evento o alerta

• En revisiones rutinarias de logs (Fw, Routers, etc.)

• Monitorizando servicios y/o aplicaciones

• Ante sospecha del administrador de sistemas

• Ante la evidencia de un fallo repetitivo o fantasma

• Con un SIEM y correladores de registros

• Ante un fraude

DEMOBANCA-APT

No intrusivo

Repaso del estado actual de la seguridad

Forensics PowerTools2# Caso real de un ataque APT

2#

• ACME es una empresa de Zaragoza dedicada al mundo de la química.Especializada en detergentes, papel, construcción, pinturas, tratamiento deaguas, materias primas de productos industriales; campos que cubrenaplicaciones tanto en la industria como en los bienes de consumo.

110 Empleados

24 Servidores

140 Puestos

BRASIL

MEXICO

CHILE

EEUU

Movilidad

Db Oracle / sap

/mssql

2# Caso real de un ataque APT

2# Caso real de un ataque APT - FASE I

• El director de la empresa ACME recibe un correo electrónico de una consultoracolaboradora (DynCorp), con una lista de precios en una aplicación en EXCEL.

2# Caso real de un ataque APT – FASE II

Iframe

Código QR

2# Caso real de un ataque APT

CASO REALAPT

Exfiltración de datos

2# PASOS A REALIZAR

1.- PRESERVAR - CADENA DE CUSTODIA

-REQUERIMIENTO NOTARIAL-CLONADO EXACTO- 2-3 COPIAS- ORIGINAL EN CUSTODIA- APERTURA DE ACTA- ETIQUETADO DE MATERIAL- VOLCADO DE MEMORIA

2# PASOS A REALIZAR

2.- CONTENCION

- ACTUALIZACION DE MOTORES DE ANTIVIRUS

- ESTABLECIMIENTO DE PROXY- INSERCION DE SONDAS DE DETECCIÓN

2# PASOS A REALIZAR

3.- MONITORIZAR

- REGISTROS DE ACCESO- SALIDA HACIA INTERNET- TRAFICO DE RED- PROCESOS EN MEMORIA- CREACIÓN DE FICHEROS

Forensics PowerTools3# Análisis

3#

3# ¿Cómo llegamos a la solución?

Lista de productosEjecución de macrosLlamada a procedimiento remoto

• Technical_Center.xls:

• Hoja de cálculo en Excel que contiene:

• Macros (ofuscadas) en VBA

• Realizan una descarga desde internet de entre 5 y 7 ficheros

• EXCEL.EXE

• 4.EXE, 4.DLL

• 5.EXE

• S.EXE

• S.DLL

• R.EXE

• Y.EXE

• Tras la descarga se ejecuta EXCEL.EXE

3# ¿Cómo llegamos a la solución?

ARTEFACTOS FORENSES

3# ¿Cómo llegamos a la solución?

ARTEFACTOS FORENSES

3# ¿Cómo llegamos a la solución?

ARTEFACTOS FORENSES

3# Caso real de un ataque APT - Procesos

Tras la ejecución de la aplicación en EXCEL se observan distintos procesos:

3# Caso real de un ataque APT - Procesos

• 5.exe:• Se crea una ruta. En este caso:

• $4788345436574688425453436357

• Se descarga los ficheros netsvcs.exe , netsvcs_ko.dll y vcmon.exe

• Agrega las claves del registro para hacerlo persistente.• Comienza a:

• Realizar la búsqueda de documentos ofimáticos :• Docx, xls, ppt, mdb, pdf

• Una de las características es que busca certificados• Los clasifica en carpetas temporales asociadas a temporales de

word• Establece una transferencia de archivos por ¡¡teamviewer!!

3# Caso real de un ataque APT - TeamViewer

netsvcs.exe - el cliente TeamViewer modificado

netsvcs_ko.dll - Biblioteca de recursos de cliente TeamViewer

vcmon.exe - instalación / arranque

Se crea el servicio " Servicio de acceso remoto ", ajustado para iniciarse

en C:\Windows\System32\vcmon.exe al iniciar el sistema.

Cada vez que el vcmon.exe se ejecuta, deshabilita el firewall y pone a

cero siguientes valores del registro:

HKLM\SOFTWARE\odhin\V3_365\InternetSec

UseFw = 0

UseIps = 0

3# Caso real de un ataque APT - Tráfico

3# Caso real de un ataque APT - TeamViewer

3# Caso real de un ataque APT - TeamViewer

3# Caso real de un ataque APT - TeamViewer

3# Caso real de un ataque APT - TeamViewer

Y.EXEy.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo.

Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall’

3# Caso real de un ataque APT - TeamViewer

S.EXE y S.DLL

3# Caso real de un ataque APT - TeamViewer

4.EXE y 4.DLLEs el programa 7zip

3# Caso real de un ataque APT - TeamViewer

IAM.EXE – IAM.DLL / I.EXE – I.DLL

Los ficheros 'iam.exe' e 'iam.dll' no sonexactamente malware y pertenecen a unconjunto de herramientas de la empresaCORE SECURITY. Estos ficheros (según seindica en la web) permite cambiar enmemoria las credenciales NTLM asociadoscon la sesión actual de Windows, es decir elnombre de usuario, dominio y hashes.

Todo apunta a que este 'raro-ware' estapensado para robar las credenciales de losusuarios.

3# Caso real de un ataque APT - TeamViewer

3# Caso real de un ataque APT

3# Caso real de un ataque APT

Por lo tanto…• Suplantación en un correo dirigido a la empresa (Ingeniería social).

• Acceso a puestos de trabajo. (Entrada al perímetro de red)

• Envío masivo de phising dirigido (ingeniería social)

• Acceso a terminales Android.

¿Durante cuanto tiempo?

¿Qué se han llevado?

¿Qué impacto tiene?

¿Volverá a ocurrir?

¿Qué medidas ponemos?

3# Caso real de un ataque APT

Por lo tanto…• Suplantación en un correo dirigido a la empresa (Ingeniería social).

• Acceso a puestos de trabajo. (Entrada al perímetro de red)

• Envío masivo de phising dirigido (ingeniería social)

• Acceso a terminales Android.

¿Durante cuanto tiempo?

¿Qué se han llevado?

¿Qué impacto tiene?

¿Volverá a ocurrir?

¿Qué medidas ponemos?

4# - Monitorización

4#

4# Detección

4# Detección OPENIOC

• OpenIOC establece un estándar para la definición y el intercambio de información tanto interna como externamente en un formato legible.

• Los indicadores de compromiso se compone de diversos indicadores que se puede identificar en un host o una red, ante una intrusión.

• Hay 3 atributos principales para escribir un buen COI:• Reducir los falsos positivos

• No es complejo a la hora de crear las reglas.

• Debe de ser complicado para el atacante eludir los indicadores para llevar a cabo el ataque. El atacante tendría que cambiar la estrategia de ataque, herramientas y procesos de manera significativa para evadir metodología ataque anterior.

4# - Monitorización

wmi

4# wmi

• Es la implementación de WBEM (Web-BasedEnterprise Management) de Microsoft, unainiciativa que pretende establecer normas estándarpara tener acceso y compartir la información deadministración a través de la red de una empresa.

• WMI proporciona compatibilidad integrada para elModelo de Información Común (CIM, CommonInformation Model), :Y que describe los objetosexistentes en un entorno de administración.

5# MEDIDAS

Monitorizar el tráfico. Geolocalización.

• Conocer patrones habituales de conexiones hacia según qué países.• Filtrado geográfico IDS/IPS.• Darknets.• HoneyNets

5# Detección

Esencial disponer de un inventario detallado de los

activos/servicios de nuestra red.

• Revisiones periódicas. Si se detecta uno nuevo seaverigüe su origen y se evalúe si supone amenaza.• Recomendable habilitar solo aquellos serviciosestrictamente necesarios.• En caso de equipamiento que esté expuesto en zonasDMZ o que deban ser accedidos desde Internet sedeberán tomar medidas adicionales de protección.(Bastionado)

Definir indicadores estadísticos que pueden variardependiendo de cada organización:

• Tamaño mediopaquetes UDP/TCPque entran/salen.• Número paquetes porpuerto.• Distribución de tráficopor servicio.• Etc.

5# Detección

En una APT: tráfico cifrado o a través de Covert

Channels

• Detección perspectiva sencilla → Paquetes de

firmas.

• Detección perspectiva compleja →

Comportamientos anómalos que conlleven una investigación• Importante establecer indicadores estadísticos que tras ser superados nos alerten:

• Aumento considerable y repentino de paquetes ICMP.• Aumento de peticiones DNS.• Rango horario de las peticiones, regularidad en las mismas, tipo de peticiones…

Control del servicio DNS a través de Passive DNS.

• Réplica en pasivo del DNS de nuestra organización.• Ayuda a ver qué nombres de dominios maliciosos se están solicitando como medida complementaria para combatir el malware.• De gran ayuda en la gestión de incidentes

5# Detección

5# SIEM – SIEM – SIEM / IDS - IPS

http://mosaicsecurity.com/categories/85-log-management-security-information-and-event-management

¡¡ Muchas gracias !!

Email: Pedro.sanchez@conexioninversa.com

Twitter: #conexioninversa

Blog: conexioninversa.blogspot.com

www: www.conexioninversa.com