un caso forense: la red y la memoria ram
DESCRIPTION
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A CoruñaTRANSCRIPT
Francisco Alonso Alejandro Ramos
Security By Default
Manager del TigerTeam de SIA Profesor en el MOSTIC de UEM Editor de
SecurityByDefault.com Blah Blah…
Security Researcher Hardening Ethical Hacking en Banca y
Telecomunicaciones Colaborador de la revista
hakin9 y cryptome.org ¡Mercenario a tiempo
completo!
2 SbD
Análisis forense de disco duro (/home) No existe un único objetivo en el juego Desde el 6 de Octubre hasta el 15 de Octubre Existen hasta 4 hallazgos importantes «¿Cuál es el título de la película?» http://noconname.org/concursos/okin.dd.bz2
4 SbD
md5sum okin.dd && cat okin.md5 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir okin_fs sudo mount -o loop,ro,noexec,nodev okin.dd
okin_fs/ find okin_fs/ . -exec file {} \; find okin_fs/ . -exec ls -l --full-time {} \; -exec file {} \;
5 SbD
SbD 6
SbD 7
SbD 8
-----BEGIN PGP MESSAGE----- Charset: ISO-8859-1 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ hQEOA78AQh2Ts7oPEAP+OtZIwwX2Uo92a7sCwko4DwbzmGQ64yIp6cqkTVoa+sF/ 6addCvMmIMey7UyNFzU2+qL3GD+4EO0c+v+/KYDRGr6sfUYVvsDfWwOUtKeKxZ4k rYlKmWmn5yGPVbgD5KZLUD85Bvoo375fzK2IpWNUhNUhMfj/oZk1ssuzKPpbFFwD /iR6Wrwf/dtwii+49Cca7Pi1flVXBAtm14941nNKT+DVvw0Jci1eUc5tBseai0Yp 56AlWE3J7CjpL7Jngc8YGrvPbPMxYS8gz73fvnffPURMRLEt3Joqb2G3OOZcwC0N 82iXk10nMDJbCVahG/P8agbQupZ0hfnvPplA/dJmm6Xw0sBsAVUsw03nV1qcV8l6 2ORFd8qPIxrR/LULWxMVzXMtIjR+SjZzeGhSF2LEVurGO4JECjr6T6OFpOpFOzT3 Bll2bytuTE7ALH+KEL9bpUkCebVoezvSqQn+Jvm7CiQQfv/7KfShJSFol4QSqffz 6/UK4WjA1RtN/iaN2Y2w6u+uCnrt0ACPLwnLSMHjpIxrDOIedXk6XBG6PM+xYkHd iXx9dR5tZ+pZ2A6GttCopsSaLEFNmBDfjMICaoP8z9UNLGvg+t9lRtlzn5ylvFzy 7gsyyDGm/waEmddZjJKwMVQuFkGA82syibBGELB7YZJXYMXhghxEJQxnEDfSwKyi p1h2J0xMtW0wouZIRNMTGAD64rO0SYDXyMliVz7vUn8iK5z5uaFH3Isq89HAeGzu =3D5zru -----END PGP MESSAGE-----
Fichero con contraseña Se prueban las encontradas en el
.bash_history No sirve ninguna :-( ¿Fuerza bruta? (suponemos que no)
SbD 9
SbD 10
for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done
SbD 11
SbD 12
SbD 13
SbD 14
SbD 15
SbD 16
“El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinas
habían encontrado toda la energía que podían necesitar Existen campos, Neo interminables campos donde los seres humanos ya
no nacemos Se nos cultiva “
SbD 17
SbD 18
Multidisciplinario
tareas organizativas
tecnológicas
legales
Individual o hasta 5 personas Desde el 6/09 hasta el 5/10 Requisito: estar inscrito en la NcN
20 SbD
1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco
2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware
3. Irina manda el malware como foto a su ex-novio Andrés.
4. 20 personas son infectadas cuando la foto es reenviada por email
5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. 21 SbD
Contención del incidente Identificación de evidencias Análisis de la causa raíz Determinación de controles que han fallado Identificación de medidas preventivas Planificación en tiempos de la implantación
de soluciones
22 SbD
Volcado de memoria Captura de red (pcap) Mapa de red Elementos tecnológicos
http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz 23 SbD
24 SbD
SbD 25
http://irinarubitaru.heyup.me/irina.jpeg http://213.27.212.99/s/main/bt_version_check
er.php?guid=ANRES!WS001!C4510E2C&ver=10070&stat=ONLINE&cpu=37&ccrc=30C670B2
http://213.27.212.99/s/formgrabber/websitecheck.php
SbD 26
SbD 27
13:39:53 - Error 404 en el portal heyup.me (acceso no valido)
13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta"
13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior
14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga
14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones
SbD 28
SbD 29
No, no hay Exif ¬¬
Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me)
Comprobar sistemas antivirus en SMTP y HTTP
Envío de muestra a compañía antivirus
30 SbD
«strings» de sysinternals
USERNAME=andres
USERPROFILE=C:\Users\andres
Fichero temporal sospehcoso C:\Users\andres\AppData\Local\Temp\Temp3_irina[1].zip\irina.jpeg
http://213.27.212.99/s/formgrabber/websitecheck.php
http://213.27.212.99/s/main/bt_getexe.php
31 SbD
SbD 32
<b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-Link resource in <b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b> on line <b>28</b><br />
Procesos en ejecución Conexiones abiertas DLLs cargadas por proceso Ficheros abiertos por proceso Descriptores abiertos por el registro Módulos del kernel Extracción de ejecutables Plugins
33 SbD https://www.volatilesystems.com/default/volatility
- Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx
PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/
Ultima version de Volatility svn Modulo Construct como dependencia para pdbparse Generar el fichero de definicion de simbolos,
ntkrnlmp.pdb, (Windows Vista Kernel) Crear el profile de WindowsVistaSP0 y lanzar Volatility
con su parametro -profile SbD 34
SbD 35
SbD 36
SbD 37
Similar a ZeuS (competencia directa) Creador ruso «magic» C++, ring3 Keylogging Kill Zeus! Se actualiza automáticamente Se configura según config.bin
www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393
SbD 38
Realización de script para la eliminación manual del malware - ¿dominio?
Inyección de contenido basura en el «form_grabber»
Verificar política de parches ¡¡Usar Patriot NG!!! Ehm… ¡pwning! =]
39 SbD
<? # Database define('DB_SERVER', 'localhost'); define('DB_NAME', 'sp'); define('DB_USER', 'sp'); define('DB_PASSWORD', 'aabbcc'); # Admin define('ADMIN_PASSWORD', 'tocame'); # Config define('CONFIG_FILE', 'bin/config.bin'); # Setting timezone for php //putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier // or ... "date.timezone = UTC" in php.ini ?>
SbD 40
Mantener la cadena de custodia Llevar a cabo análisis forense por un tercero Cursar denuncia con cuerpos de seguridad
41 SbD
42 SbD
@revskills @aramosf @secbydefault