Un caso Forense: La Red y la Memoria RAM

Francisco Alonso Alejandro RamosSecurity By Default

 Manager del TigerTeam de SIA  Security Researcher Profesor en el MOSTIC de UEM  Hardening Editor de  Ethical Hacking en Banca y SecurityByDefault.com Telecomunicaciones Blah Blah…  Colaborador de la revista hakin9 y cryptome.org  ¡Mercenario a tiempo completo! SbD 2

 Análisis forense de disco duro (/home) No existe un único objetivo en el juego Desde el 6 de Octubre hasta el 15 de Octubre Existen hasta 4 hallazgos importantes «¿Cuál es el título de la película?»http://noconname.org/concursos/okin.dd.bz2 SbD 4

 md5sum okin.dd && cat okin.md59c9a5e0d25dd57db10c99e84d9b03d48 okin.dd9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir okin_fs sudo mount -o loop,ro,noexec,nodev okin.dd okin_fs/ find okin_fs/ . -exec file {} ; find okin_fs/ . -exec ls -l --full-time {} ; -exec file {} ; SbD 5

-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v1.4.10 (MingW32)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.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3D5zru-----END PGP MESSAGE----- SbD 8

 Fichero con contraseña Se prueban las encontradas en el .bash_history No sirve ninguna :-( ¿Fuerza bruta? (suponemos que no) SbD 9

SbD 10

 for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done SbD 11

SbD 12

SbD 13

SbD 14

SbD 15

SbD 16

“El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinashabían encontrado toda la energía que podían necesitar Existencampos, Neo interminables campos donde los seres humanos ya no nacemos Se nos cultiva “ SbD 17

SbD 18

 Multidisciplinario  tareas organizativas  tecnológicas  legales Individual o hasta 5 personas Desde el 6/09 hasta el 5/10 Requisito: estar inscrito en la NcN SbD 20

1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware3. Irina manda el malware como foto a su ex- novio Andrés.4. 20 personas son infectadas cuando la foto es reenviada por email5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. SbD 21

 Contención del incidente Identificación de evidencias Análisis de la causa raíz Determinación de controles que han fallado Identificación de medidas preventivas Planificación en tiempos de la implantación de soluciones SbD 22

 Volcado de memoria  Captura de red (pcap)  Mapa de red  Elementos tecnológicoshttp://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23

SbD 24

SbD 25

 http://irinarubitaru.heyup.me/irina.jpeg http://213.27.212.99/s/main/bt_version_check er.php?guid=ANRES!WS001!C4510E2C&ver= 10070&stat=ONLINE&cpu=37&ccrc=30C670B 2 http://213.27.212.99/s/formgrabber/websitec heck.php SbD 26

SbD 27

 13:39:53 - Error 404 en el portal heyup.me (acceso no valido) 13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta" 13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior 14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga 14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones SbD 28

No, no hay Exif ¬¬ SbD 29

 Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me) Comprobar sistemas antivirus en SMTP y HTTP Envío de muestra a compañía antivirus SbD 30

 «strings» de sysinternals  USERNAME=andres  USERPROFILE=C:Usersandres  Fichero temporal sospehcoso C:UsersandresAppDataLocalTempTemp3_irin a[1].zipirina.jpeg http://213.27.212.99/s/formgrabber/websitec heck.php http://213.27.212.99/s/main/bt_getexe.php SbD 31

Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.phpon line 28 SbD 32

 Procesos en ejecución Conexiones abiertas DLLs cargadas por proceso Ficheros abiertos por proceso Descriptores abiertos por el registro Módulos del kernel Extracción de ejecutables Plugins https://www.volatilesystems.com/default/volatility SbD 33

 - Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/ symbolpkg.mspx PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/ Ultima version de Volatility svn Modulo Construct como dependencia para pdbparse Generar el fichero de definicion de simbolos, ntkrnlmp.pdb, (Windows Vista Kernel) Crear el profile de WindowsVistaSP0 y lanzar Volatility con su parametro -profile SbD 34

SbD 35

SbD 36

 Similar a ZeuS (competencia directa)  Creador ruso «magic»  C++, ring3  Keylogging  Kill Zeus!  Se actualiza automáticamente  Se configura según config.binwww.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393 SbD 37

SbD 38

 Realización de script para la eliminación manual del malware - ¿dominio? Inyección de contenido basura en el «form_grabber» Verificar política de parches ¡¡Usar Patriot NG!!! Ehm… ¡pwning! =] SbD 39

<?# Databasedefine(DB_SERVER, localhost);define(DB_NAME, sp);define(DB_USER, sp);define(DB_PASSWORD, aabbcc);# Admindefine(ADMIN_PASSWORD, tocame);# Configdefine(CONFIG_FILE, bin/config.bin);# Setting timezone for php//putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier// or ... "date.timezone = UTC" in php.ini?> SbD 40

 Mantener la cadena de custodia Llevar a cabo análisis forense por un tercero Cursar denuncia con cuerpos de seguridad SbD 41

@revskills@aramosf@secbydefault SbD 42

Un caso Forense: La Red y la Memoria RAM

by Eventos Creativos on Jul 08, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Un caso Forense: La Red y la Memoria RAM — Presentation Transcript