autopsia de una intrusion
DESCRIPTION
Charla impartida por Pedro Sánchez en el Asegúr@IT V que tuvo lugar en Zaragoza el 3 de Marzo de 2009 en las instalaciones del ITA.TRANSCRIPT
Name of presentation
Company name
Autopsia de una intrusión
Zaragoza, 3 de Marzo 2009
conexioninversa.blogspot.c
om
c:\>whoamiPedro Sánchez Cordero
* Soy un apasionado de las técnicas forense
* He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad.
* Soy miembro del capítulo Español de la Honeynet Project (http://www.honeynet.org/)
* He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense
* Escribo en el blog de conexioninversa (cuando puedo)
* Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros
Agenda:1.- Análisis forense2.- Análisis Forense in Depth
– Dos casos:• Forensic inHouse
– AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros”
• Live of dead– AUTOPSY CASE: “Mi web tiene un
'bujerito' sersual”
3.- Herramientas para análisis forense
4.- Conclusiones El mito de casandra
conexioninversa.blogspot.c
om
Name of presentation
Company name
Autopsia de una intrusión
1.- Análisis Forense
conexioninversa.blogspot.c
om
• 1.- Análisis forense• ¿que es?
• “ Obtención y análisis de datos empleando• métodos que distorsionen lo menos posible
la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ”
• – Dan Farmer y Wietse Venema, 1999
conexioninversa.blogspot.c
o
m
• 1.- Análisis forenseSe buscan respuestas basadas en
evidenciasEn una crisis informática o una intrusión se
buscan respuestas a las preguntas:– ¿quien fue?– ¿como?– ¿cuando fue?– ¿porque?
• Aquí entra en juego el analista forense
conexioninversa.blogspot.c
o
m
• 1.- Análisis forense• La información se puede buscar en
equipos encendidos:– Memoria– Red– Ficheros y procesos– Datos y programas
• O..apagados– Discos y dispositivos
• O en logs– Cortafuegos, IDS's, etc.
conexioninversa.blogspot.c
o
m
• 1.- Análisis forense– La forma de obtener los datos:
conexioninversa.blogspot.c
o
m
Adquisición de evidenciasObtención de imágenes de las evidenciasAnálisis inicialCreación y análisis de la línea de tiempoAnálisis específico y recuperación de datosAnálisis de datos y cadenasGeneración del informe
• 1.- Análisis forense– Panorama Actual
conexioninversa.blogspot.c
o
m
• 1.- Análisis forense– Panorama Actual
conexioninversa.blogspot.c
o
m
1.- Análisis forense Panorama Actual
conexioninversa.blogspot.c
o
m
16.000 Ataques al mes a las web's
Casi el 100% de Ip's provienen de Rusia y China
El 2% de Ataques de denegación de servicio
El 80% Ataques de troyanos en clientes (un 4% es phising)
El el 18% restante ataques de SQL Inyection, RFID, etc.
Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)
Las fugas de información están a la orden del día
Empleados descontentos, Administradores...etc
Gerentes que desconfían de los admins
1.- Panorama actual Lo que se ve...es muy distinto
En este ultimo año hemos detectado un alto número de web's infectadas
conexioninversa.blogspot.c
om
Name of presentation
Company name
Autopsia de una intrusión
2.- Análisis Forense in Depth
Un caso:Forensics inHouseAUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros”
conexioninversa.blogspot.c
om
• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Yo no hice esa transferencia de
3.000 Euros”
conexioninversa.blogspot.c
om
•Una empresa cuyo gerente indica que no hizo una transferencia de 12.000 Euros de su cuenta a una cuenta cuyo destino es Rumanía.
•La empresa de informática, tenía todas las medidas de seguridad básicas: Cortafuegos, Antivirus.
•Primer incidente visual: Los programadores desactivan el antivirus para compilar más rápido ¿?
•Se revisa el equipo del gerente, ya que a priori es donde se realizan normalmente las operaciones de Banca Electrónica
•Sin previo aviso durante la revisión se produce un pantallazo azul, el gerente indica que desde hace un tiempo es habitual los reinicios
conexioninversa.blogspot.c
om
• DEMO
Name of presentation
Company name
Autopsia de una intrusión
2.- Análisis Forense in Depth
Segundo Caso:Live of deadAUTOPSY CASE: “Mi web tiene un 'bujerito' sersual”
conexioninversa.blogspot.c
om
• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
conexioninversa.blogspot.c
om
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace 'click' en un vinculo sobre un falso correo
2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña
1 2
3.- El cliente introduce los datos y pulsa el botón enviar
4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo
3
4
• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
conexioninversa.blogspot.c
om
•PASO 2:
3.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente
1
24
55.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica
• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
conexioninversa.blogspot.c
om
•PASO 3:
3.- El cliente recibe la página con sus datos y un campo más la solicitud de su token
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo
1
24
55.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente
• 2.- Análisis Forense in Depth» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
conexioninversa.blogspot.c
om
•¿COMO SE RESOLVIO?
•- Identificar al atacante en base a:
– Ip's de origen
– Firma (hash) de la página de inicio y comparandola con la vuelta
– Establecimiento de un captcha para detener el automatismo
•Paralelamente
– Se desarrollo lo que hoy es una honeynet basada en web
• Se activa...– Dependiendo de los usuarios introducidos– Del nivel de ataque (Bd de ataques)– Por geolocalización– Por IA (versiones,idiomas,ips..etc..)
Name of presentation
Company name
Autopsia de una intrusión
3.- Herramientas “tool and kit”
conexioninversa.blogspot.c
om
• 3.- Herramientas
conexioninversa.blogspot.c
om
•HoneyWeb
•Detector de Malware - ULISES
– * El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación.
– * Identificación de las actividades que realiza el malware sobre el ordenador del usuario.
– * Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas
– * Supongamos que han insertado código malicioso para troyanizar a los usuarios.
– * Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows
– * Utiliza las Api's VIX de VMWARE
– * No necesita VMWARE Server en Linux
– * Es OpenSource y disponible (pronto) en codeplex
3.- ULISES
conexioninversa.blogspot.c
om
Consola de Administración
Control del navegador
Internet explorer Rootkit
1.- Envía los comandos para las páginas a visitar
3.- Visita el website
2.- Activa el rootkit
4.- Empieza la comunicación
vigia.exemirilla.exe
Sistema Windows
Sistema Windows
Sistema virtualizado
Sistema virtualizado
conexioninversa.blogspot.c
om
• DEMO
Name of presentation
Company name
Autopsia de una intrusión
4.- Conclusiones
conexioninversa.blogspot.c
om
4. Conclusiones
conexioninversa.blogspot.c
om
– forensics in Depth::El mito de casandra• “Dice la leyenda, que Apolo se había enamorado de Casandra y le
prometió a la joven el don de la profecía en la que aceptaba entregarse a él. Ella aceptó, pero una vez iniciada en las artes de la adivinación, se negó a cumplir su parte del trato. Ante esto, Apolo le escupió en la boca y le retiró el don de la persuasión, por lo que aunque ella dijera la verdad, nadie le creería.”
– ¿Alguien se identifica con esta leyenda?• Si pides presupuesto y no pasa nada...• Si no pides y pasa...• Si pides y pasa...
– Por lo tanto...si los troyanos te comen y las intrusiones te molestan...
• Piensa en 'Forense'• Conoce a tu enemigo• Aprende de el.
Name of presentation
Company nameGracias...
conexioninversa.blogspot.c
om