Autopsia de Una Intrusión

Name of presentation Autopsia de una intrusión Company name Salamanca, 8 de Julio 2009 o m o t.c g sp lo .b sa ver n o ni e xi n co

c:>whoami Pedro Sánchez Cordero * Soy un apasionado de las técnicas forense * He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad. * Soy miembro del capítulo Español de la Honeynet Project (http://www.honeynet.org/) * He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense * Escribo en el blog de conexioninversa (cuando puedo) * Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros

ATCA A.I.E., es una agrupación de interés económico con los siguientes socios: 31 % 13 % om 31 % t.c spo og bl sa. er nv o ni xi co ne 25 %

>6.000 Empleados (Escritorio Windows) > 192 Servidores en producción Centro primario y secundario a más de 300km 31 % Certificación en CMMI Nivel 5 (Solo dos empresas en E España) Certificación de Seguridad SGSI en ISO 2700113 % (Única en E España cuyo alcance es toda la empresa) om 31 % t.c og spo Certificaciones: CISCO (3), MCSA(3), MCSE (6), CISM (1), bl sa. er xi o ni nv OCP (3)CHFI (3) e con

Agenda: 1.- Análisis forense 2.- Análisis Forense in Depth – Dos casos: • Forensic inHouse – AUTOPSY CASE: “El caso de Carlos” • Live of dead – AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual” 3.- Herramientas para análisis forense 4.- Conclusiones om t.c po gs b lo a. rs n ve ni io n ex co

Name of presentation Autopsia de una intrusión Company name 1.- Análisis Forense o m o t.c g sp lo .b sa ver n o ni e xi n co

• 1.- Análisis forense • ¿que es? • “ Obtención y análisis de datos empleando • métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ” • – Dan Farmer y Wietse Venema, 1999 o o t.c sp og . bl r sa n ve ni io n ex co m

• 1.- Análisis forense Se buscan respuestas basadas en evidencias En una crisis informática o una intrusión se buscan respuestas a las preguntas: – ¿quien fue? – ¿como? – ¿cuando fue? – ¿porque? • Aquí entra en juego el analista forense o o t.c sp og . bl r sa n ve ni io n ex co m

• 1.- Análisis forense • La información se puede buscar en equipos encendidos: – Memoria – Red – Ficheros y procesos – Datos y programas • O..apagados – Discos y dispositivos • O en logs – Cortafuegos, IDS's, etc. o o t.c sp og . bl r sa n ve ni io n ex co m

• 1.- Análisis forense – La forma de obtener los datos: Adquisición de evidencias Obtención de imágenes de las evidencias Análisis inicial Creación y análisis de la línea de tiempo Análisis específico y recuperación de datos Análisis de datos y cadenas Generación del informe o o t.c sp og . bl r sa n ve ni io n ex co m

• 1.- Análisis forense – Panorama Actual o o t.c sp og . bl r sa n ve ni io n ex co m

1.- Análisis forense Panorama Actual 16.000 Ataques al mes a las web's Casi el 100% de Ip's provienen de Rusia y China El 2% de Ataques de denegación de servicio El 80% Ataques de troyanos en clientes (un 4% es phising) El el 18% restante ataques de SQL Inyection, RFID, etc. Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's) JUNIO: 12 Análisis forenses Las fugas de información están a la orden del día Empleados descontentos, Administradores...etc o gs po t.c Gerentes que desconfían de los admins o bl sa. er nv o ni xi ne co m

1.- Panorama actual Lo que se ve...es muy distinto En este ultimo año hemos detectado un alto número de web's infectadas om t.c spo l og a .b ers i nv i on n ex co

Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Un caso: Forensics inHouse AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” o m o t.c g sp lo .b sa ver n o ni e xi n co

• 2.- Análisis Forense in Depth » AUTOPSY CASE: “El caso de Carlos” Carlos tiene pendiente una condena por exhibicionismo y acoso sexual en el trabajo. Algunas denunciantes interpusieron una demanda por lo penal dado que fueron grabadas y fotografiadas sin consentimiento. Muchas de esas fotos están ahora en Internet La Guardia Civil tras un registro en el domicilio de Carlos se incauto una gran cantidad de material digital CD's y Pendrives con alto contenido pedofilo y sexual. om po t.c Entre ellos teléfonos móviles como un motorola y un nokia n95 s l og a .b e rs i nv on on exi Se obtuvieron evidencias de llamadas, agendas e imágenes c

• DEMO om t.c spo l og a .b ers i nv i on n ex co

Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Segundo Caso: Live of dead AUTOPSY CASE: “Mi web tiene un 'bujerito' asersual” o m o t.c g sp lo .b sa ver n o ni e xi n co

• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •Autopsia del ataque: •PASO 1: 2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña 4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo 1 1.- El cliente 4 3 hace 'click' en un 2 vinculo sobre un .c om falso correo t spo a .b l og 3.- El cliente e rs introduce los i nv on datos y pulsa el exi con botón enviar

• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 2: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (dni) e recibe la página intenta hacer una 4 con sus datos y trasferencia om un campo más en automatica t.c spo el que le piden el l og .b DNI nv ers a 4.- El cliente 1.- El servidor legitimo valida i on introduce los el nombre de usuario y exi con datos y pulsa el contraseña y muestra la botón enviar posición global y se la envía al cliente

• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 3: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (token) y recibe la página realiza una 4 con sus datos y transferencia om un campo más la automaticamente t.c spo solicitud de su l og .b token nv ers a 4.- El cliente 1.- Dado que este cliente es i on introduce los VIP y dispone Token de un exi con datos y pulsa el solo uso le solicita el uso del botón enviar mismo

• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •¿COMO SE RESOLVIO? •- Identificar al atacante en base a: ● Ip's de origen ● Firma (hash) de la página de inicio y comparandola con la vuelta ● Establecimiento de un captcha para detener el automatismo •Paralelamente ● Se desarrollo lo que hoy es una honeynet basada en web ● Se activa... ● Dependiendo de los usuarios introducidos po t.c om ● Del nivel de ataque (Bd de ataques) s og rs a .b l ● Por geolocalización e nv ex i on i ● Por IA (versiones,idiomas,ips..etc..) n co

Name of presentation Autopsia de una intrusión Company name 3.- Herramientas “tool and kit” o m o t.c g sp lo .b sa ver n o ni e xi n co

• 3.- Herramientas •HoneyWeb •Detector de Malware - ULISES ● * El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación. ● * Identificación de las actividades que realiza el malware sobre el ordenador del usuario. ● * Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas ● * Supongamos que han insertado código malicioso para troyanizar a los usuarios. ● * Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows ● * Utiliza las Api's VIX de VMWARE .c om ● * No necesita VMWARE Server en Linux t po .b l og s ● * Es OpenSource y disponible (pronto) en codeplex a ers i nv i on n ex co

3.- ULISES Sistema Windows Consola de Administración 1.- Envía los comandos para las páginas a visitar Sistema virtualizado Control del navegador 4.- Empieza la comunicación 2.- Activa el rootkit 3.- Visita el website om gs po t.c Internet explorer Rootkit o bl a. ers i nv on co n ex i vigia.exe mirilla.exe

• DEMO om t.c spo l og a .b ers i nv i on n ex co

Otras herramientas Ver blog: conexioninversa.blogspot.com

Name of presentation Autopsia de una intrusión Company name 4.- Conclusiones o m o t.c g sp lo .b sa ver n o ni e xi n co

4. Conclusiones ● Todo contacto deja rastro ● El malo tiene prisa y generalmente 'no limpia' las pruebas ● Las empresas afectadas disponen de poco tiempo de investigar. La producción manda ● Gran volumen de casos sobre fraude interno ● Los clientes del sector financiero viven íntimamente con troyanos ● Las fuerzas del estado están cada vez mas preparadas ● Las leyes cada vez son mas fuertes ● La Judicatura tiene grandes vacíos legales ante la ley. Otros todavía no entienden la parte técnica. (Sabemos que están en ello) om t.c po .b l og s ● La profesión de analista forense requiere mucha especialización, sa i nv er conocer herramientas y disponer de una fuerte base legal on exi con

Por lo tanto...si los troyanos te comen y las intrusiones te molestan... Name of presentation Piensa en 'Forense' Conoce a tu enemigo Aprende de el. Company name Gracias... o m o t.c g sp lo .b sa ver n o ni e xi n co

http://www.elladodelmal.com	239
http://elladodelmal.blogspot.com	167
http://www.slideshare.net	6
file://	1

Autopsia de Una Intrusión

by Chema Alonso on Jul 12, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 413

Statistics

Autopsia de Una Intrusión — Presentation Transcript