Francisco Alonso Alejandro RamosSecurity  By   Default
   Manager del TigerTeam de SIA    Security Researcher   Profesor en el MOSTIC de UEM    Hardening   Editor de       ...
   Análisis forense de disco duro (/home)   No existe un único objetivo en el juego   Desde el 6 de Octubre hasta el 15...
 md5sum okin.dd && cat okin.md59c9a5e0d25dd57db10c99e84d9b03d48 okin.dd9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir ok...
SbD   6
SbD   7
-----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v1.4.10 (MingW32)Comment: Using GnuPG with Mozilla - http://e...
   Fichero con contraseña   Se prueban las encontradas en el    .bash_history   No sirve ninguna :-(   ¿Fuerza bruta? ...
SbD   10
   for i in `cat inodes`; do icat -r okin.dd $i >$i;    echo $i; done                                                   S...
SbD   12
SbD   13
SbD   14
SbD   15
SbD   16
“El cuerpo humano genera más bioelectricidad que una pila de   ciento veinte voltios y más de veinticinco mil Julios de ca...
SbD   18
   Multidisciplinario     tareas organizativas     tecnológicas     legales   Individual o hasta 5 personas   Desde ...
1.   Irina pide ayuda a su primo Sergei, para     vengarse de su novio (Andres) que trabaja en     un banco2.   Sergei adq...
   Contención del incidente   Identificación de evidencias   Análisis de la causa raíz   Determinación de controles qu...
   Volcado de memoria     Captura de red (pcap)     Mapa de red     Elementos tecnológicoshttp://noconname.org/concurs...
SbD   24
SbD   25
   http://irinarubitaru.heyup.me/irina.jpeg   http://213.27.212.99/s/main/bt_version_check    er.php?guid=ANRES!WS001!C4...
SbD   27
   13:39:53 - Error 404 en el portal heyup.me (acceso no    valido)   13:43:31 - Usuario Andres realiza búsqueda en Bing...
No, no hay Exif     ¬¬                  SbD   29
   Filtrar el destino en elementos de red    (firewalls y proxy) (IP: 213.27.212.99 y    209.190.24.4/irinarubitaru.heyup...
   «strings» de sysinternals     USERNAME=andres     USERPROFILE=C:Usersandres     Fichero temporal sospehcoso     C:U...
<b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-Link resource in<b>/mnt/sdb/home/irodriguez/spy/s/fo...
   Procesos en ejecución   Conexiones abiertas   DLLs cargadas por proceso   Ficheros abiertos por proceso   Descript...
   - Windows Symbol Package (Windows Vista)    http://www.microsoft.com/whdc/devtools/debugging/    symbolpkg.mspx   PDB...
SbD   35
SbD   36
   Similar a ZeuS (competencia directa)    Creador ruso «magic»    C++, ring3    Keylogging    Kill Zeus!    Se actu...
SbD   38
   Realización de script para la eliminación    manual del malware - ¿dominio?   Inyección de contenido basura en el    ...
<?# Databasedefine(DB_SERVER, localhost);define(DB_NAME, sp);define(DB_USER, sp);define(DB_PASSWORD, aabbcc);# Admindefine...
   Mantener la cadena de custodia   Llevar a cabo análisis forense por un tercero   Cursar denuncia con cuerpos de segu...
@revskills@aramosf@secbydefault                SbD   42
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAM
Upcoming SlideShare
Loading in...5
×

Un caso Forense: La Red y la Memoria RAM

935

Published on

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
935
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
126
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Un caso Forense: La Red y la Memoria RAM

  1. 1. Francisco Alonso Alejandro RamosSecurity By Default
  2. 2.  Manager del TigerTeam de SIA  Security Researcher Profesor en el MOSTIC de UEM  Hardening Editor de  Ethical Hacking en Banca y SecurityByDefault.com Telecomunicaciones Blah Blah…  Colaborador de la revista hakin9 y cryptome.org  ¡Mercenario a tiempo completo! SbD 2
  3. 3.  Análisis forense de disco duro (/home) No existe un único objetivo en el juego Desde el 6 de Octubre hasta el 15 de Octubre Existen hasta 4 hallazgos importantes «¿Cuál es el título de la película?»http://noconname.org/concursos/okin.dd.bz2 SbD 4
  4. 4.  md5sum okin.dd && cat okin.md59c9a5e0d25dd57db10c99e84d9b03d48 okin.dd9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir okin_fs sudo mount -o loop,ro,noexec,nodev okin.dd okin_fs/ find okin_fs/ . -exec file {} ; find okin_fs/ . -exec ls -l --full-time {} ; -exec file {} ; SbD 5
  5. 5. SbD 6
  6. 6. SbD 7
  7. 7. -----BEGIN PGP MESSAGE-----Charset: ISO-8859-1Version: GnuPG v1.4.10 (MingW32)Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.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3D5zru-----END PGP MESSAGE----- SbD 8
  8. 8.  Fichero con contraseña Se prueban las encontradas en el .bash_history No sirve ninguna :-( ¿Fuerza bruta? (suponemos que no) SbD 9
  9. 9. SbD 10
  10. 10.  for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done SbD 11
  11. 11. SbD 12
  12. 12. SbD 13
  13. 13. SbD 14
  14. 14. SbD 15
  15. 15. SbD 16
  16. 16. “El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinashabían encontrado toda la energía que podían necesitar Existencampos, Neo interminables campos donde los seres humanos ya no nacemos Se nos cultiva “ SbD 17
  17. 17. SbD 18
  18. 18.  Multidisciplinario  tareas organizativas  tecnológicas  legales Individual o hasta 5 personas Desde el 6/09 hasta el 5/10 Requisito: estar inscrito en la NcN SbD 20
  19. 19. 1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware3. Irina manda el malware como foto a su ex- novio Andrés.4. 20 personas son infectadas cuando la foto es reenviada por email5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. SbD 21
  20. 20.  Contención del incidente Identificación de evidencias Análisis de la causa raíz Determinación de controles que han fallado Identificación de medidas preventivas Planificación en tiempos de la implantación de soluciones SbD 22
  21. 21.  Volcado de memoria  Captura de red (pcap)  Mapa de red  Elementos tecnológicoshttp://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23
  22. 22. SbD 24
  23. 23. SbD 25
  24. 24.  http://irinarubitaru.heyup.me/irina.jpeg http://213.27.212.99/s/main/bt_version_check er.php?guid=ANRES!WS001!C4510E2C&ver= 10070&stat=ONLINE&cpu=37&ccrc=30C670B 2 http://213.27.212.99/s/formgrabber/websitec heck.php SbD 26
  25. 25. SbD 27
  26. 26.  13:39:53 - Error 404 en el portal heyup.me (acceso no valido) 13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta" 13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior 14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga 14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones SbD 28
  27. 27. No, no hay Exif ¬¬ SbD 29
  28. 28.  Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me) Comprobar sistemas antivirus en SMTP y HTTP Envío de muestra a compañía antivirus SbD 30
  29. 29.  «strings» de sysinternals  USERNAME=andres  USERPROFILE=C:Usersandres  Fichero temporal sospehcoso C:UsersandresAppDataLocalTempTemp3_irin a[1].zipirina.jpeg http://213.27.212.99/s/formgrabber/websitec heck.php http://213.27.212.99/s/main/bt_getexe.php SbD 31
  30. 30. <b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-Link resource in<b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b>on line <b>28</b><br /> SbD 32
  31. 31.  Procesos en ejecución Conexiones abiertas DLLs cargadas por proceso Ficheros abiertos por proceso Descriptores abiertos por el registro Módulos del kernel Extracción de ejecutables Plugins https://www.volatilesystems.com/default/volatility SbD 33
  32. 32.  - Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/ symbolpkg.mspx PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/ Ultima version de Volatility svn Modulo Construct como dependencia para pdbparse Generar el fichero de definicion de simbolos, ntkrnlmp.pdb, (Windows Vista Kernel) Crear el profile de WindowsVistaSP0 y lanzar Volatility con su parametro -profile SbD 34
  33. 33. SbD 35
  34. 34. SbD 36
  35. 35.  Similar a ZeuS (competencia directa)  Creador ruso «magic»  C++, ring3  Keylogging  Kill Zeus!  Se actualiza automáticamente  Se configura según config.binwww.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393 SbD 37
  36. 36. SbD 38
  37. 37.  Realización de script para la eliminación manual del malware - ¿dominio? Inyección de contenido basura en el «form_grabber» Verificar política de parches ¡¡Usar Patriot NG!!! Ehm… ¡pwning! =] SbD 39
  38. 38. <?# Databasedefine(DB_SERVER, localhost);define(DB_NAME, sp);define(DB_USER, sp);define(DB_PASSWORD, aabbcc);# Admindefine(ADMIN_PASSWORD, tocame);# Configdefine(CONFIG_FILE, bin/config.bin);# Setting timezone for php//putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier// or ... "date.timezone = UTC" in php.ini?> SbD 40
  39. 39.  Mantener la cadena de custodia Llevar a cabo análisis forense por un tercero Cursar denuncia con cuerpos de seguridad SbD 41
  40. 40. @revskills@aramosf@secbydefault SbD 42
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×