Autopsia De Una Intrusion

2,697 views
2,560 views

Published on

Charla impartida por Pedro Sánchez en el Asegúr@IT V que tuvo lugar en Zaragoza el 3 de Marzo de 2009 en las instalaciones del ITA.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,697
On SlideShare
0
From Embeds
0
Number of Embeds
610
Actions
Shares
0
Downloads
148
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Autopsia De Una Intrusion

  1. 1. Name of presentation C o mpany name Autopsia de una intrusión Zaragoza, 3 de Marzo 2009 conexioninversa.blogspot.com
  2. 2. c:>whoami <ul><li>Pedro Sánchez Cordero </li></ul><ul><li>* Soy un apasionado de las técnicas forense </li></ul><ul><li>* He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad. </li></ul><ul><li>* Soy miembro del capítulo Español de la Honeynet Project ( http://www.honeynet.org/ ) </li></ul><ul><li>* He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense </li></ul><ul><li>* Escribo en el blog de conexioninversa (cuando puedo) </li></ul><ul><li>* Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros </li></ul>
  3. 3. <ul><li>A genda: </li></ul><ul><li>1 .- Análisis forense </li></ul><ul><li>2 .- Análisis Forense in Depth </li></ul><ul><ul><li>Dos casos: </li></ul></ul><ul><ul><ul><li>Forensic inHouse </li></ul></ul></ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” </li></ul></ul></ul></ul><ul><ul><ul><li>Live of dead </li></ul></ul></ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual” </li></ul></ul></ul></ul><ul><li>3 .- Herramientas para análisis forense </li></ul><ul><li>4 .- Conclusiones </li></ul><ul><li>El mito de casandra </li></ul>conexioninversa.blogspot.com
  4. 4. Name of presentation C o mpany name Autopsia de una intrusión 1.- Análisis Forense conexioninversa.blogspot.com
  5. 5. <ul><li>1.- Análisis forense </li></ul><ul><li>¿que es? </li></ul><ul><li>“ Obtención y análisis de datos empleando </li></ul><ul><li>métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ” </li></ul><ul><li>– Dan Farmer y Wietse Venema, 1999 </li></ul>conexioninversa.blogspot.com
  6. 6. <ul><li>1.- Análisis forense </li></ul><ul><li>Se buscan respuestas basadas en evidencias </li></ul><ul><li>En una crisis informática o una intrusión se buscan respuestas a las preguntas: </li></ul><ul><ul><li>¿quien fue? </li></ul></ul><ul><ul><li>¿como? </li></ul></ul><ul><ul><li>¿cuando fue? </li></ul></ul><ul><ul><li>¿porque? </li></ul></ul><ul><li>Aquí entra en juego el analista forense </li></ul>conexioninversa.blogspot.com
  7. 7. <ul><li>1.- Análisis forense </li></ul><ul><li>La información se puede buscar en equipos encendidos: </li></ul><ul><ul><li>Memoria </li></ul></ul><ul><ul><li>Red </li></ul></ul><ul><ul><li>Ficheros y procesos </li></ul></ul><ul><ul><li>Datos y programas </li></ul></ul><ul><li>O..apagados </li></ul><ul><ul><li>Discos y dispositivos </li></ul></ul><ul><li>O en logs </li></ul><ul><ul><li>Cortafuegos, IDS's, etc. </li></ul></ul>conexioninversa.blogspot.com
  8. 8. <ul><li>1.- Análisis forense </li></ul><ul><ul><li>La forma de obtener los datos: </li></ul></ul>conexioninversa.blogspot.com Adquisición de evidencias Obtención de imágenes de las evidencias Análisis inicial Creación y análisis de la línea de tiempo Análisis específico y recuperación de datos Análisis de datos y cadenas Generación del informe
  9. 9. <ul><li>1.- Análisis forense </li></ul><ul><ul><li>Panorama Actual </li></ul></ul>conexioninversa.blogspot.com
  10. 10. <ul><li>1.- Análisis forense </li></ul><ul><ul><li>Panorama Actual </li></ul></ul>conexioninversa.blogspot.com
  11. 11. <ul><li>1 .- Análisis forense </li></ul><ul><li>Panorama Actual </li></ul>conexioninversa.blogspot.com 16.000 Ataques al mes a las web's Casi el 100% de Ip's provienen de Rusia y China El 2% de Ataques de denegación de servicio El 80% Ataques de troyanos en clientes (un 4% es phising) El el 18% restante ataques de SQL Inyection, RFID, etc. Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's) Las fugas de información están a la orden del día Empleados descontentos, Administradores...etc Gerentes que desconfían de los admins
  12. 12. <ul><li>1.- Panorama actual </li></ul><ul><li>Lo que se ve...es muy distinto </li></ul><ul><li>En este ultimo año hemos detectado un alto número de web's infectadas </li></ul>conexioninversa.blogspot.com
  13. 13. Name of presentation C o mpany name Autopsia de una intrusión 2.- Análisis Forense in Depth Un caso: Forensics inHouse AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” conexioninversa.blogspot.com
  14. 14. <ul><li>2.- Análisis Forense in Depth </li></ul><ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” </li></ul></ul></ul></ul></ul>conexioninversa.blogspot.com <ul><li>Una empresa cuyo gerente indica que no hizo una transferencia de 12.000 Euros de su cuenta a una cuenta cuyo destino es Rumanía. </li></ul><ul><li>La empresa de informática, tenía todas las medidas de seguridad básicas: Cortafuegos, Antivirus. </li></ul><ul><li>Primer incidente visual: Los programadores desactivan el antivirus para compilar más rápido ¿? </li></ul><ul><li>Se revisa el equipo del gerente, ya que a priori es donde se realizan normalmente las operaciones de Banca Electrónica </li></ul><ul><li>Sin previo aviso durante la revisión se produce un pantallazo azul, el gerente indica que desde hace un tiempo es habitual los reinicios </li></ul>
  15. 15. <ul><li>DEMO </li></ul>conexioninversa.blogspot.com
  16. 16. Name of presentation C o mpany name Autopsia de una intrusión 2.- Análisis Forense in Depth Segundo Caso : Live of dead AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual” conexioninversa.blogspot.com
  17. 17. <ul><li>2.- Análisis Forense in Depth </li></ul><ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual </li></ul></ul></ul></ul></ul>conexioninversa.blogspot.com <ul><li>Autopsia del ataque: </li></ul><ul><li>PASO 1: </li></ul>1. - El cliente hace 'click' en un vinculo sobre un falso correo 2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña 3.- El cliente introduce los datos y pulsa el botón enviar 4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo 1 2 3 4
  18. 18. <ul><li>2.- Análisis Forense in Depth </li></ul><ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual </li></ul></ul></ul></ul></ul>conexioninversa.blogspot.com <ul><li>PASO 2: </li></ul>3. - El cliente recibe la página con sus datos y un campo más en el que le piden el DNI 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 4.- El cliente introduce los datos y pulsa el botón enviar 1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente 5.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica 1 2 4 5
  19. 19. <ul><li>2.- Análisis Forense in Depth </li></ul><ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual </li></ul></ul></ul></ul></ul>conexioninversa.blogspot.com <ul><li>PASO 3: </li></ul>3. - El cliente recibe la página con sus datos y un campo más la solicitud de su token 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 4.- El cliente introduce los datos y pulsa el botón enviar 1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo 5.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente 1 2 4 5
  20. 20. <ul><li>2.- Análisis Forense in Depth </li></ul><ul><ul><ul><ul><ul><li>AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual </li></ul></ul></ul></ul></ul>conexioninversa.blogspot.com <ul><li>¿COMO SE RESOLVIO? </li></ul><ul><li>- Identificar al atacante en base a: </li></ul><ul><ul><li>Ip's de origen </li></ul></ul><ul><ul><li>Firma (hash) de la página de inicio y comparandola con la vuelta </li></ul></ul><ul><ul><li>Establecimiento de un captcha para detener el automatismo </li></ul></ul><ul><li>Paralelamente </li></ul><ul><ul><li>Se desarrollo lo que hoy es una honeynet basada en web </li></ul></ul><ul><ul><ul><li>Se activa... </li></ul></ul></ul><ul><ul><ul><ul><li>Dependiendo de los usuarios introducidos </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Del nivel de ataque (Bd de ataques) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Por geolocalización </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Por IA (versiones,idiomas,ips..etc..) </li></ul></ul></ul></ul>
  21. 21. Name of presentation C o mpany name Autopsia de una intrusión 3.- Herramientas “tool and kit” conexioninversa.blogspot.com
  22. 22. <ul><li>3.- Herramientas </li></ul>conexioninversa.blogspot.com <ul><li>HoneyWeb </li></ul><ul><li>Detector de Malware - ULISES </li></ul><ul><ul><li>* El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación. </li></ul></ul><ul><ul><li>* Identificación de las actividades que realiza el malware sobre el ordenador del usuario. </li></ul></ul><ul><ul><li>* Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas </li></ul></ul><ul><ul><li>* Supongamos que han insertado código malicioso para troyanizar a los usuarios. </li></ul></ul><ul><ul><li>* Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows </li></ul></ul><ul><ul><li>* Utiliza las Api's VIX de VMWARE </li></ul></ul><ul><ul><li>* No necesita VMWARE Server en Linux </li></ul></ul><ul><ul><li>* Es OpenSource y disponible (pronto) en codeplex </li></ul></ul>
  23. 23. <ul><li>3.- ULISES </li></ul>conexioninversa.blogspot.com Consola de Administración Control del navegador Internet explorer Rootkit 1.- Envía los comandos para las páginas a visitar 3.- Visita el website 2.- Activa el rootkit 4.- Empieza la comunicación vigia.exe mirilla.exe Sistema Windows Sistema virtualizado
  24. 24. <ul><li>DEMO </li></ul>conexioninversa.blogspot.com
  25. 25. Name of presentation C o mpany name Autopsia de una intrusión 4.- Conclusiones conexioninversa.blogspot.com
  26. 26. <ul><li>4. C onclusiones </li></ul>conexioninversa.blogspot.com <ul><ul><li>forensics in Depth::El mito de casandra </li></ul></ul><ul><ul><ul><li>“ Dice la leyenda, que Apolo se había enamorado de Casandra y le prometió a la joven el don de la profecía en la que aceptaba entregarse a él. Ella aceptó, pero una vez iniciada en las artes de la adivinación, se negó a cumplir su parte del trato. Ante esto, Apolo le escupió en la boca y le retiró el don de la persuasión, por lo que aunque ella dijera la verdad, nadie le creería.” </li></ul></ul></ul><ul><ul><li>¿Alguien se identifica con esta leyenda? </li></ul></ul><ul><ul><ul><li>Si pides presupuesto y no pasa nada... </li></ul></ul></ul><ul><ul><ul><li>Si no pides y pasa... </li></ul></ul></ul><ul><ul><ul><li>Si pides y pasa... </li></ul></ul></ul><ul><ul><li>Por lo tanto...si los troyanos te comen y las intrusiones te molestan... </li></ul></ul><ul><ul><ul><li>Piensa en 'Forense' </li></ul></ul></ul><ul><ul><ul><li>Conoce a tu enemigo </li></ul></ul></ul><ul><ul><ul><li>Aprende de el. </li></ul></ul></ul>
  27. 27. Name of presentation C o mpany name Gracias... conexioninversa.blogspot.com

×