![Page 1: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/1.jpg)
Caso práctico de gestión de
incidentes Javier Berciano, INTECO-CERT
I Jornadas de Prevención del Fraude y el Cibercrimen
ThinkTIC / ANCITE
Logroño 17/01/2014
![Page 2: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/2.jpg)
2 Javier Berciano (INTECO) 17/01/2014
INTECO e INTECO-CERT
![Page 3: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/3.jpg)
3 Javier Berciano (INTECO) 17/01/2014
Día 0: Detección
![Page 4: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/4.jpg)
4 Javier Berciano (INTECO) 17/01/2014
Detección campaña SPAM
![Page 5: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/5.jpg)
5 Javier Berciano (INTECO) 17/01/2014
Muestra del correo
Fuente: Symantec
![Page 6: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/6.jpg)
6 Javier Berciano (INTECO) 17/01/2014
PDF adjunto
Fuente: Symantec
![Page 7: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/7.jpg)
7 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
Muestra
malware
Procesos
automáticos
Análisis
manual
Generación de
informe
Servidor
recepción
malware
![Page 8: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/8.jpg)
8 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
![Page 9: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/9.jpg)
9 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
![Page 10: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/10.jpg)
10 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
![Page 11: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/11.jpg)
11 Javier Berciano (INTECO) 17/01/2014
Análisis del tráfico de red
![Page 12: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/12.jpg)
12 Javier Berciano (INTECO) 17/01/2014
Análisis del tráfico de red
![Page 13: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/13.jpg)
13 Javier Berciano (INTECO) 17/01/2014
Identificar servidor/es C&C
Fuente: Gdata y KasperskyLab
![Page 14: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/14.jpg)
14 Javier Berciano (INTECO) 17/01/2014
Alerta temprana
![Page 15: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/15.jpg)
15 Javier Berciano (INTECO) 17/01/2014
Cooperación con FCSE
Sinkhole del servidor C&C
![Page 16: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/16.jpg)
16 Javier Berciano (INTECO) 17/01/2014
Sinkhole
Servidores DNS
Servidor Web
Sistema para monitorización:
• Registros log servidor web
• Código propio para obtener mas detalle (POST)
![Page 17: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/17.jpg)
17 Javier Berciano (INTECO) 17/01/2014
Día 1: Monitorización,
identificación y
notificación
![Page 18: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/18.jpg)
18 Javier Berciano (INTECO) 17/01/2014
Monitorización e identificación
![Page 19: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/19.jpg)
19 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
![Page 20: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/20.jpg)
20 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección Problemas
Parseo de los log:
Mas de 8,5 millones de líneas de log al día.
Extraer las evidencias para cada ISP/CERT.
Obtener contactos de ABUSE de una forma eficiente.
![Page 21: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/21.jpg)
21 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
Bash Kung-Fu → es una buena opción, pero algo lenta.
Microsoft LogParser → algo mas eficiente, pero no lo
suficiente.
EvidenceSeek:
• Desarrolado en C
• Extracción direcciones IP
• Conversión a enteros
• Creación de índices en el log
• Búsqueda binaria
!2GB logs de Apache en 15 min!
Soluciones
![Page 22: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/22.jpg)
22 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
Notifications (whois):
• Contactos de Abuse:
I. ARIN Whois-RWS: información direcciones IP de ARIN y
bloques delegados.
II. RIPE-NCC REST API: idem pero de bloques de red de RIPE y
APNIC.
III. LACNIC RESTful Whois
IV. AfriNIC: Bulk whois, no es lo ideal, pero suficiente.
• Cache con Squid.
• Multiples hilos: RIR & 100 IP
• BD de contactos de CERT national.
Query interface:
• Whois, incluyendo modo bulk.
• Futuro REST API.
Soluciones
![Page 23: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/23.jpg)
23 Javier Berciano (INTECO) 17/01/2014
Identificar bots
$ whois –h whois.cert.inteco.es 195.53.165.3
3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected]
a:[email protected] p:[email protected] r:[email protected] | TELEFONICA-DATA-
ESPANA TELEFONICA DE ESPANA
![Page 24: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/24.jpg)
24 Javier Berciano (INTECO) 17/01/2014
Identificar bots
AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name
15083 | 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:[email protected] r:[email protected] | INFOLINK-MIA-
US - Infolink
16276 | 91.121.6.93 | 91.121.0.0/18 | FR | Ripe | n:[email protected] r:[email protected] | OVH OVH
Systems
42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe | n:[email protected] r:[email protected] | FREEHOST PE
Freehost
16125 | 77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:[email protected] r:[email protected] | DC-AS UAB Duomenu
Centras
49699 | 91.230.194.54 | 91.230.192.0/22 | BG | Ripe | n:[email protected] r:[email protected] | ICN-BG Internet
Corporated Networks Ltd.
41671 | 194.54.80.68 | 194.54.80.0/22 | UA | Ripe | n:[email protected] r:[email protected] | SERVER-UA-AS
SERVER.UA UKRAINE DEDICATED SERVICE
51167 | 178.238.238.59 | 178.238.224.0/20 | DE | Ripe | n:[email protected] r:[email protected] | GIGA-
HOSTING Giga-Hosting GmbH
3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected] a:[email protected]
p:[email protected] r:[email protected] | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA
38478 | 124.248.207.207 | 124.248.207.0/24 | HK | Apnic | n:[email protected] r:[email protected] |
SUNNYVISION-AS-AP SunnyVision Limited
52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic | r:[email protected] | Panamaserver.com
12046 | 193.188.46.32 | 193.188.46.0/23 | MT | Ripe | n:[email protected] r:[email protected] | ASN-
CSC-UOM University of Malta
![Page 25: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/25.jpg)
25 Javier Berciano (INTECO) 17/01/2014
Detalle técnico del incidente
Reglas para la detección (snort)
IOC (Indicators of Compromise)
Notificación
![Page 26: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/26.jpg)
26 Javier Berciano (INTECO) 17/01/2014
Notificación
![Page 27: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/27.jpg)
27 Javier Berciano (INTECO) 17/01/2014
Notificación
![Page 28: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/28.jpg)
28 Javier Berciano (INTECO) 17/01/2014
Notificación
![Page 29: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/29.jpg)
29 Javier Berciano (INTECO) 17/01/2014
Snort
![Page 30: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/30.jpg)
30 Javier Berciano (INTECO) 17/01/2014
IOC
![Page 31: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/31.jpg)
31 Javier Berciano (INTECO) 17/01/2014
Día 1 y posteriores:
Análisis y seguimiento
![Page 32: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/32.jpg)
32 Javier Berciano (INTECO) 17/01/2014
Identificar el/los sistema/s afectado/s, ayudado por: • Reglas para la detección (snort)
• IOC (Indicators of Compromise)
Contención: aislando el/los sistema/s y recopilando
evidencias de forma segura y adecuada: • Copia de memoria
• Copia del disco duro
• Análisis del tráfico de red
Aportando guías y procedimientos que
permitan garantizar la validez de estas
evidencias ante un posible proceso judicial.
Análisis
![Page 33: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/33.jpg)
33 Javier Berciano (INTECO) 17/01/2014
Medidas de mitigación: • Detección y filtrado en IPS
• Detección y filtrado en proxies
• Detección y filtrado en servidores DNS
Análisis forense • Aportando guías y procedimientos
• En caso necesario, con apoyo técnico del CERT
Análisis
![Page 34: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/34.jpg)
34 Javier Berciano (INTECO) 17/01/2014
Seguimiento
![Page 35: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/35.jpg)
35 Javier Berciano (INTECO) 17/01/2014
Día 2: nuevos C&C
![Page 36: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/36.jpg)
36 Javier Berciano (INTECO) 17/01/2014
Nuevos C&C
Como parte del análisis manual y tras descifrar parte del
código del malware se detectan nuevos C&C que puede
utilizar el malware.
Actualización de la alerta temprana
Reporte a los afectados para actualizar las medidas de
mitigación
Coordinación internacional con otros CERT y policías para
tratar de bloquearlos o hacer sinkhole
![Page 37: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/37.jpg)
37 Javier Berciano (INTECO) 17/01/2014
Cooperación internacional
![Page 38: Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen](https://reader030.vdocuments.co/reader030/viewer/2022040323/5e6a33543314fb27ee39a992/html5/thumbnails/38.jpg)
¡Muchas gracias! Javier Berciano Alonso
Responsable técnico de respuesta a incidentes
INTECO-CERT
@jberciano