Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordCamp Madrid CSI: El caso de las Backdoors

35,891 views

Published on

Durante la WordCamp Madrid 2019, se plantea una charla poniéndose en la piel de un investigador CSI, aprovechando la experiencia de una analista de seguridad web de Sucuri para aprender como es el proceso para la resolución de un caso en el que una Backdoor estaba haciendo la vida imposible a un cliente.

  • Be the first to comment

  • Be the first to like this

WordCamp Madrid CSI: El caso de las Backdoors

  1. 1. z El caso de las BackDoors Néstor Angulo de Ugarte
  2. 2. z QUIÉN LES HABLA § Ingeniero Informático § Tecnólogo humanista y Asesor en tecnología § Fotógrafo y Early Adopter. Curioso por naturaleza § 2015: SUCURI § Incident Response & Easy SSL § 2019: GoDaddy § Head of IT GoDaddy España + info: about.me/pharar @pharar #WCMAD19NéstorAngulo 2
  3. 3. zz SOBRE § Sucuri: Anaconda (No Securi / Security) § Website security § Totalmente remota § Operada por personas de más de 25 países § 2008: Fundación § 2017: § Scanners gratuitos: § Sitecheck § Performance #WCMAD19NéstorAngulo 3
  4. 4. z INDEX DEL CASO A18682 1. ANTECEDENTES: CONCEPTOS 2. EL ARMA: BACKDOOR 3. LA ESCENA: ANÁLISIS 4. VEREDICTO: CULPABLE 5. MEDIDAS CAUTELARES: PREVENCIÓN #WCMAD19NéstorAngulo 4
  5. 5. z z ANTECEDENTES: CONCEPTOS 1 #WCMAD19NéstorAngulo 5
  6. 6. z CIBERSEGURIDAD. DISCLAIMER #WCMAD19NéstorAngulo § Rama de la seguridad orientada al mundo digital. § Ciberseguridad web: Aquella orientada a los eventos que transcurren a través de los puertos 80 y 443 y entornos involucrados . § TODA la información privada y actores de la presentación son ficticios o han sido modificados para que no reflejen datos privados ni escenarios reales. Cualquier similitud con la vida real es pura coincidencia. 6
  7. 7. z HACKER VS CIBERTER RORISTA #WCMAD19NéstorAngulo Hacker: Persona con curiosidad que explora los límites impuestos por materiales, leyes, algoritmos, etc. y va más allá del objeto inicial por el que se concibe un objeto, un entorno o un algoritmo. Ciberterrorista: Hacker informático cuyo objetivo es negativo o busca mejorar su estatus a costa de los demás El Hacker Malo. 7
  8. 8. z HACKER MALO VS ANALISTA #WCMAD19NéstorAngulo HACKER MALO: CRIMINAL ANALISTA: CSI 8
  9. 9. z z EL ARMA: BACKDOOR 2 #WCMAD19NéstorAngulo 9
  10. 10. z ¿QUÉ ES? ¿CÓMO FUNCIONA? Pieza de código cuyo objetivo es permitir: Ejecución de comandos Accesos no autorizados Importante: saltándose los protocolos de seguridad Afianzamiento de una brecha en los muros de la fortaleza Necesita primero ser instalada, ya sea por: Ingeniería social (Ej: fake plugins) Por una vulnerabilidad (Ej: exploit) Cross-Contamination, o dispersión por otra infección local ajena a tu sitio web. #WCMAD19NéstorAngulo 10
  11. 11. z ¿QUÉ ES? ¿CÓMO FUNCIONA? Pieza de código cuyo objetivo es permitir: Ejecución de comandos Accesos no autorizados Importante: saltándose los protocolos de seguridad Afianzamiento de una brecha en los muros de la fortaleza Necesita primero ser instalada, ya sea por: Ingeniería social (Ej: fake plugins) Por una vulnerabilidad (Ej: exploit) Cross-Contamination, o dispersión por otra infección local ajena a tu sitio web. #WCMAD19NéstorAngulo 11
  12. 12. z ¿QUÉ ES? ¿CÓMO FUNCIONA? Pieza de código cuyo objetivo es permitir: Ejecución de comandos Accesos no autorizados Importante: saltándose los protocolos de seguridad Afianzamiento de una brecha en los muros de la fortaleza Necesita primero ser instalada, ya sea por: Ingeniería social (Ej: fake plugins) Por una vulnerabilidad (Ej: exploit) Cross-Contamination, o dispersión por otra infección local ajena a tu sitio web. #WCMAD19NéstorAngulo 12
  13. 13. z ¿QUÉ ES? ¿CÓMO FUNCIONA? Pieza de código cuyo objetivo es permitir: Ejecución de comandos Accesos no autorizados Importante: saltándose los protocolos de seguridad Afianzamiento de una brecha en los muros de la fortaleza Necesita primero ser instalada, ya sea por: Ingeniería social (Ej: fake plugins) Por una vulnerabilidad (Ej: exploit) Cross-Contamination, o dispersión por otra infección local ajena a tu sitio web. #WCMAD19NéstorAngulo 13
  14. 14. z ¿QUÉ ES? ¿CÓMO FUNCIONA? Pieza de código cuyo objetivo es permitir: Ejecución de comandos Accesos no autorizados Importante: saltándose los protocolos de seguridad Afianzamiento de una brecha en los muros de la fortaleza Necesita primero ser instalada, ya sea por: Ingeniería social (Ej: fake plugins) Por una vulnerabilidad (Ej: exploit) Cross-Contamination, o dispersión por otra infección local ajena a tu sitio web. #WCMAD19NéstorAngulo 14
  15. 15. z EL ARTE DE LA GUERRA. LA CADENA DE CONFIANZA Para defendernos adecuadamente, debemos pensar como penetrar el sistema primero A más puertas y ventanas, más difícil defender tu fortaleza ¿Confías en tus distribuidores? ¿Cuánto confías? La confianza es nuestro punto más débil Significa delegar la responsabilidad Es necesaria #WCMAD19NéstorAngulo 15
  16. 16. z OBJETIVOS EN UN ENTORNO WORDPRESS § Usuarios § Base de datos, Información § Infraestructura § Bot node § Reputación #WCMAD19NéstorAngulo 16
  17. 17. z z LA ESCENA: ANÁLISIS 3 #WCMAD19NéstorAngulo 17
  18. 18. z LA ESCENA 18 #WCMAD19NéstorAngulo § Cliente con sitio lleno de SPAM § SEO afectado (eliminado del Google Rank) ! § Reinfección constante § FRUSTRACIÓN "
  19. 19. z LA ESCENA 19 #WCMAD19NéstorAngulo § Cliente con sitio lleno de SPAM § Reinfección constante § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado
  20. 20. z LA ESCENA 20 #WCMAD19NéstorAngulo § Cliente con sitio lleno de SPAM § Reinfección constante § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado
  21. 21. z LA ESCENA 21 #WCMAD19NéstorAngulo § Cliente con sitio lleno de SPAM § Reinfección constante § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado
  22. 22. z DIAGNOSIS 22 #WCMAD19NéstorAngulo § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado § Ficheros core cambiados (¿?) !
  23. 23. z DIAGNOSIS 23 #WCMAD19NéstorAngulo § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado § Ficheros core cambiados (¿?) ./index.php !
  24. 24. z DIAGNOSIS 24 #WCMAD19NéstorAngulo § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado § Ficheros core cambiados (¿?) ./index.php ! ./index.php desde wordpress.org
  25. 25. z DIAGNOSIS 25 #WCMAD19NéstorAngulo § No WAF § Nuestros Scripts habían limpiado el SPAM y detectado malware en plugins y root § Sin análisis forense, se había establecido como PROBABLE vector de infección un plugin desactualizado § Ficheros core cambiados (¿?) ./index.php Recuperando el ./index.php antes de ser limpiado por los scripts.
  26. 26. z DIAGNOSIS 26 #WCMAD19NéstorAngulo ./index.php Revelando el código oculto
  27. 27. z DIAGNOSIS 27 #WCMAD19NéstorAngulo ./index.php
  28. 28. z DIAGNOSIS 28 #WCMAD19NéstorAngulo Herramientras utilizadas: • Consola PHP modo interactivo: $ php –a • unphp.net
  29. 29. z favicon_0ff481d1.ico Pero volvamos a nuestro favicon sospechoso. #WCMAD19NéstorAngulo 29
  30. 30. z #WCMAD19NéstorAngulo 30
  31. 31. z #WCMAD19NéstorAngulo 31 Semáforo de ejecución
  32. 32. z #WCMAD19NéstorAngulo 32 Código “SUCIO” Base64
  33. 33. z #WCMAD19NéstorAngulo 33 Clave de Sustitución
  34. 34. z #WCMAD19NéstorAngulo 34 Función de descifrado por sustitución Ahora tenemos un código en base64 válido
  35. 35. z #WCMAD19NéstorAngulo 35 Se descodifica
  36. 36. z #WCMAD19NéstorAngulo 36 Código MD5 comentado
  37. 37. z #WCMAD19NéstorAngulo 37 Código Base64 cifrado con el código MD5 La backdoor real
  38. 38. z z ESTRUCTURA Recopilando… 38 #WCMAD19NéstorAngulo
  39. 39. z ESTRUCTURA #WCMAD19NéstorAngulo 39
  40. 40. z HERRAMIENTAS DE ANÁLIS Herramientas § Console del Navegador, browser dev tools y plugins/extensiones. § Base64(code-decode): base64decode.org § Beautifier of code in HTML, CSS, JS and PHP: ctrlq.org/beautifier § Phased decrypter by SUCURI: ddecode.com Scanners § Sitecheck (SUCURI) sitecheck.sucuri.net § Performance (SUCURI) performance.sucuri.net § VirusTotal: virustotal.com § WebPageTest: webpagetest.org #WCMAD19NéstorAngulo 40
  41. 41. z z VEREDICTO: CULPABLE 4 #WCMAD19NéstorAngulo 41
  42. 42. z AL FINAL DEL PROCESO #WCMAD19NéstorAngulo 42
  43. 43. z CONCLUSIÓN 43 #WCMAD19NéstorAngulo Un favicon que convierte tu sitio en un BOT NODE Habilidad 0day Opciones configurables (una era SPAM) Control de los sitios infectado y con qué malware Se conecta a un dashboard gráfico de manejo de la BotNet
  44. 44. z CONCLUSIÓN § BOT NODE #WCMAD19NéstorAngulo 44 Diagrama de una BOTNET
  45. 45. z z MEDIDAS CAUTELARES: PREVENCIÓN 5 #WCMAD19NéstorAngulo 45
  46. 46. z SEGURIDAD POR CAPAS Tú (vulnerable al Social hacking) Tu dispositivo (Antivirus) Tu conexión (SSL) Tu sitio web (Firewall) Tus credenciales (Contraseñas fuertes) Tu seguridad del sitio (monitorización y actualizaciones) Tu seguridad del server (monitorización y actualizaciones) Tu base de datos (monitorización) Mantenimiento #WCMAD19NéstorAngulo 46
  47. 47. z PLUGINS. EL ESCÁNER DE INTEGRIDAD. Los plugins te ayudan Medidas de seguridad generales No asistidos (o casi) Escaner de integridad: Detecta cambios en ficheros Calcula los cambios Huella digital MD5 #WCMAD19NéstorAngulo 47
  48. 48. z BACKUPS Y ACTUALIZACIONES § ¡Crea una Estrategia de Copias de Seguridad! • NUNCA almacenes copias de seguridad en tu servidor de producción (cross-site contamination) • Las copias de seguridad deben almacenarse en un lugar seguro • Una copia de seguridad limpia y funcional es tu mejor amiga en un mal día #WCMAD19NéstorAngulo 48
  49. 49. z BACKUPS Y ACTUALIZACIONES ACTUALIZA ... ¡SIEMPRE! #WCMAD19NéstorAngulo 49
  50. 50. z WAF. TU PERRO DE GUARDA Limpia todo el tráfico a tu sitio web Previene XSS, DDoS, etc… Software vulnerable parcheado y protegido de manera virtual Si incorpora CDN, además mejorará en velocidad y rendimiento. Herramienta para análisis forense Permite bloquear a criterio del usuario #WCMAD19NéstorAngulo 50
  51. 51. z WAF. TU PERRO DE GUARDA Limpia todo el tráfico a tu sitio web Previene XSS, DDoS, etc… Software vulnerable parcheado y protegido de manera virtual Si incorpora CDN, además mejorará en velocidad y rendimiento. Herramienta para análisis forense Permite bloquear a criterio del usuario #WCMAD19NéstorAngulo 51
  52. 52. #WCMAD19NéstorAngulo 52
  53. 53. #WCMAD19NéstorAngulo 53
  54. 54. #WCMAD19NéstorAngulo 54
  55. 55. z z GRACIAS por su atención ¡Preguntas! Néstor Angulo de Ugarte @pharar #WCMAD19NéstorAngulo 55

×