Francisco Alonso Alejandro Ramos
Manager del TigerTeam de SIA Profesor en el MOSTIC de UEM Editor de
SecurityByDefault.com Blah Blah…
Security Researcher Hardening Ethical Hacking en Banca y
Telecomunicaciones Colaborador de la revista
hakin9 y cryptome.org ¡Mercenario a tiempo
completo!
2
Análisis forense de disco duro (/home) No existe un único objetivo en el juego Desde el 6 de Octubre hasta el 15 de Octubre Existen hasta 4 hallazgos importantes «¿Cuál es el título de la película?» http://noconname.org/concursos/okin.dd.bz2
4
md5sum okin.dd && cat okin.md5 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir okin_fs sudo mount -o loop,ro,noexec,nodev okin.dd
okin_fs/ find okin_fs/ . -exec file {} \; find okin_fs/ . -exec ls -l --full-time {} \; -exec file {} \;
5
6
7
8
-----BEGIN PGP MESSAGE----- Charset: ISO-8859-1 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ hQEOA78AQh2Ts7oPEAP+OtZIwwX2Uo92a7sCwko4DwbzmGQ64yIp6cqkTVoa+sF/ 6addCvMmIMey7UyNFzU2+qL3GD+4EO0c+v+/KYDRGr6sfUYVvsDfWwOUtKeKxZ4k rYlKmWmn5yGPVbgD5KZLUD85Bvoo375fzK2IpWNUhNUhMfj/oZk1ssuzKPpbFFwD /iR6Wrwf/dtwii+49Cca7Pi1flVXBAtm14941nNKT+DVvw0Jci1eUc5tBseai0Yp 56AlWE3J7CjpL7Jngc8YGrvPbPMxYS8gz73fvnffPURMRLEt3Joqb2G3OOZcwC0N 82iXk10nMDJbCVahG/P8agbQupZ0hfnvPplA/dJmm6Xw0sBsAVUsw03nV1qcV8l6 2ORFd8qPIxrR/LULWxMVzXMtIjR+SjZzeGhSF2LEVurGO4JECjr6T6OFpOpFOzT3 Bll2bytuTE7ALH+KEL9bpUkCebVoezvSqQn+Jvm7CiQQfv/7KfShJSFol4QSqffz 6/UK4WjA1RtN/iaN2Y2w6u+uCnrt0ACPLwnLSMHjpIxrDOIedXk6XBG6PM+xYkHd iXx9dR5tZ+pZ2A6GttCopsSaLEFNmBDfjMICaoP8z9UNLGvg+t9lRtlzn5ylvFzy 7gsyyDGm/waEmddZjJKwMVQuFkGA82syibBGELB7YZJXYMXhghxEJQxnEDfSwKyi p1h2J0xMtW0wouZIRNMTGAD64rO0SYDXyMliVz7vUn8iK5z5uaFH3Isq89HAeGzu =3D5zru -----END PGP MESSAGE-----
Fichero con contraseña Se prueban las encontradas en el
.bash_history No sirve ninguna :-( ¿Fuerza bruta? (suponemos que no)
9
10
for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done
11
12
13
14
15
16
“El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinas
habían encontrado toda la energía que podían necesitar Existen campos, Neo interminables campos donde los seres humanos ya
no nacemos Se nos cultiva “
17
18
Multidisciplinario
tareas organizativas
tecnológicas
legales
Individual o hasta 5 personas Desde el 6/09 hasta el 5/10 Requisito: estar inscrito en la NcN
20
1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco
2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware
3. Irina manda el malware como foto a su ex-novio Andrés.
4. 20 personas son infectadas cuando la foto es reenviada por email
5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. 21
Contención del incidente Identificación de evidencias Análisis de la causa raíz Determinación de controles que han fallado Identificación de medidas preventivas Planificación en tiempos de la implantación
de soluciones
22
Volcado de memoria Captura de red (pcap) Mapa de red Elementos tecnológicos
http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz 23
24
25
http://irinarubitaru.heyup.me/irina.jpeg http://213.27.212.99/s/main/bt_version_check
er.php?guid=ANRES!WS001!C4510E2C&ver=10070&stat=ONLINE&cpu=37&ccrc=30C670B2
http://213.27.212.99/s/formgrabber/websitecheck.php
26
27
13:39:53 - Error 404 en el portal heyup.me (acceso no valido)
13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta"
13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior
14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga
14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones
28
29
No, no hay Exif ¬¬
Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me)
Comprobar sistemas antivirus en SMTP y HTTP
Envío de muestra a compañía antivirus
30
«strings» de sysinternals
USERNAME=andres
USERPROFILE=C:\Users\andres
Fichero temporal sospehcoso C:\Users\andres\AppData\Local\Temp\Temp3_irina[1].zip\irina.jpeg
http://213.27.212.99/s/formgrabber/websitecheck.php
http://213.27.212.99/s/main/bt_getexe.php
31
32
<b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-Link resource in <b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b> on line <b>28</b><br />
Procesos en ejecución Conexiones abiertas DLLs cargadas por proceso Ficheros abiertos por proceso Descriptores abiertos por el registro Módulos del kernel Extracción de ejecutables Plugins
33
https://www.volatilesystems.com/default/volatility
- Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx
PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/
Ultima version de Volatility svn Modulo Construct como dependencia para pdbparse Generar el fichero de definicion de simbolos,
ntkrnlmp.pdb, (Windows Vista Kernel) Crear el profile de WindowsVistaSP0 y lanzar Volatility
con su parametro -profile
34
35
36
37
Similar a ZeuS (competencia directa) Creador ruso «magic» C++, ring3 Keylogging Kill Zeus! Se actualiza automáticamente Se configura según config.bin
www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393
38
Realización de script para la eliminación manual del malware - ¿dominio?
Inyección de contenido basura en el «form_grabber»
Verificar política de parches ¡¡Usar Patriot NG!!! Ehm… ¡pwning! =]
39
<? # Database define('DB_SERVER', 'localhost'); define('DB_NAME', 'sp'); define('DB_USER', 'sp'); define('DB_PASSWORD', 'aabbcc'); # Admin define('ADMIN_PASSWORD', 'tocame'); # Config define('CONFIG_FILE', 'bin/config.bin'); # Setting timezone for php //putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier // or ... "date.timezone = UTC" in php.ini ?>
40
Mantener la cadena de custodia Llevar a cabo análisis forense por un tercero Cursar denuncia con cuerpos de seguridad
41
Wargame SecurityByDefault.com 15 de Noviembre
42
43
@revskills @aramosf @secbydefault