Análisis Digital Forense V

Contraseñas y Puertos

Ana Guerrero
Autenticación Windows
 Windows NT usa tres tipos de autenticación:

LanMan

NTLM Kerberos

 La herramienta Syskey se utiliza para cifrar los hashes en el archivo SAM o archivo
ntds.dit.

Ana Guerrero
 Autenticación LanMan
 Éste es el protocolo de autenticación mas débil de Windows, así como el
hash LanMan.
 Supongamos que una máquina cliente quiere autenticarse a un servidor
remoto:
o El cliente envía su nombre de usuario a través de una petición al
servidor.
o El servidor envía de regreso una respuesta de 8 bytes (64 bits).
o El cliente encripta la respuesta recibida con la clave de usuario
basada en el hash LanMan y lo envía de regreso al servidor.

Ana Guerrero
Proceso de autenticación LanMan

(Lei Pan 2014)

Ana Guerrero
Proceso de autenticación LanMan

 El servidor desencripta lo que envía el cliente usando el hash

LanMan de la contraseña del cliente almacenado en el archivo
SAM.

 Si la encripción revela el valor original, entonces la

contraseña usada fue la correcta.

 Es necesario que el nombre de usuario y el hash de la

contraseña estén emparejados. Si esto es así, el cliente
tendrá permisos de acceso. Se debe considerar que el
hash de la contraseña en sí no es enviado.
Ana Guerrero
Ataques de repetición

 Un intruso interviene todas las comunicaciones entre el servidor

y el cliente.
 Ahora éste tiene acceso a toda la información que se envía
entre el cliente y el servidor, y podría “reproducir” el escenario
completo y establecer una conexión como cliente auténtico.
 ¿Qué tipo de información podría cambiarse y así evitar este tipo
de ataque?.
 La única variable que se envía en la comunicación es el desafío
(challenge).
 Por lo tanto para evitar un ataque de repetición, el servidor no
debería enviar el mismo desafío o respuesta dos veces para el
mismo cliente.
Ana Guerrero
Vulnerabilidad LanMan

 Se considera un ataque de texto plano aquel que se

implementa en la autenticación LanMan.

 En este escenario, el atacante conoce el mensaje en texto

plano que fue enviado a través de la versión encriptada.

 Éste es uno de los ataques ante los cuales se espera que

un sistema de encripción sea seguro.

Ana Guerrero
Ataque de texto plano conocido
Se asume
que el
atacante
conoce la
respuesta
de 8 bytes
Primero
enviada por
el servidor.
Supongamos
que el
atacante
Segundo también
conoce la
respuesta
encriptada
del cliente.
Echemos un
vistazo de cómo
exactamente
esta última pieza

Tercero
de información
fue generada y
cómo el atacante
puede ser capaz
de recuperar la
Ana Guerrero clave en texto
plano.
Elementos de un ataque de texto plano

(Lei Pan 2014)

Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

Creación de la clave a partir del hash

Un recordatorio de la semana
Una vez que se conoce la
pasada es que el hash LanMan
clave usada para encriptar la
es aplicado a la cadena de
respuesta, ahora debemos
caracteres KGS!@#$% y
mirar el procedimiento de
generado como en la lámina
encripción.
anterior.

Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

El atacante
 El atacante conoce que el algoritmo DES es usado y que la cadena de
caracteres que fue utilizada para generar el hash es KGS!@#$%.

 El atacante conoce que la clave fue aplicada en tres partes y que el

resultado es una cadena de 24 bytes, que puede ser separada en
componentes de 8 bytes que pueden ser tratados separadamente.

 El atacante puede aplicar randómicamente cadenas de 7 bytes a la

respuesta o desafío para ver si se encuentra el match
correspondiente.

 Si encuentra el match de las tres cadenas, se habrá encontrado el

hash LanMan.
Ana Guerrero
El atacante

 Una vez que el atacante tiene el hash, puede repetir y encontrar los
componentes de la contraseña.

 ¿Cuánto tiempo tomaría este proceso?. Haciendo un recuerdo de la

semana anterior:
o El convertir la cadena de caracteres a mayúsculas reduce el número
de posibilidades a 2^43 por cada mitad. Ya que se puede implementar
un ataque de fuerza bruta por cada mitad de forma separada y
máquinas modernas de escritorio pueden romper los hashes LM
alfanuméricos en pocas horas.

 Entonces en realidad LanMan representa una verdadera debilidad.

Ana Guerrero
El factor de relleno

 El problema se complica aún más ya que el hash se completa con ceros.

 Si la contraseña es pequeña, entonces la cadena de 8 bytes que forma la

clave puede ser rellenada con ceros.

 Se conoce que la versión hexadecimal del hash LanMan es

aad3b435b51404ee. Esto hace mas fácil que un atacante pueda implementar
satisfactoriamente un ataque como se ve en la figura de la siguiente página.

Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

Autenticación NTLM

 Microsoft analizó el problema que tenía con la autenticación

LanMan y ahora usa la Nueva Tecnología LanMan o NTLM.

 Ésta trabaja exactamente de la misma manera que LanMan,

excepto por la diferencia de que ésta produce hashes de la
contraseña completa.

 Este tipo de autenticación incrementa la complejidad de un

ataque satisfactorio para quienes únicamente solían atacar un
hash LanMan.
Ana Guerrero
NTLM
 La autenticación NTLM sigue el mismo procedimiento de la autenticación
LanMan.

 El hash NTLM es representado por 16 bytes calculados a partir de la

contraseña original sin ningún tipo de conversión.

 El hash es creado utilizando el protocolo MD4 sin dividir la entrada en dos

mitades.

 Para descifrar el intercambio de autenticación NTLM, el atacante debe

adivinar todas las contraseñas posibles, tratando de ver que cada contraseña
resulte en una clave de autenticación NTLM de 21 bytes que puede ser usada
para encriptar el desafío o respuesta del servidor.
Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

NTLM version 2 (NTLMv2)

NTLMv2 es A partir de NTLMv2 añade un

1

3
mucho más Windows Vista, código de
la autenticación
seguro que basado en hash
LanMan. autenticación
predeterminada que usa HMAC-
MD5 del hash
requiere enviar NTLM. Éste
solamente la incluye el
respuesta nombre del
NTLMv2. usuario y el
nombre del
destino.
Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

NTLMv2
 El valor del hash NTLMv2 es más difícil de extraer de un archivo
SAM.

 Para Windows 2000-2003, el hash DCC1 es calculado:

DCC1=md4(md4(contraseña )minúscula(nombre de usuario))

 Para Windows Vista, 7, 8, 2008 y 2012, el valor verificador de la

contraseña DCC2 se ejecuta a través de una función PKCS #5
mas de 10000:
DCC2= PBKDF2 (HMAC-SHA1, 10240, DCC1)

Ana Guerrero
Ana Guerrero

(Lei Pan 2014)

NTLM puede ser irrumpido

Ana Guerrero
(Lei Pan 2014)
NTLM y LanMan

Desafortunadamente la
mayoría de plataformas
Microsoft utilizan los
dos métodos de Así el método NTLM se
autenticación de forma
simultánea. debilita con el nivel de
LanMan.

Ana Guerrero
Kerberos

Es el método de autenticación más seguro

disponible para plataformas Windows.

Como el hash NTLM, Kerberos utiliza

‘tokens’, para la autenticación, conocidos
como tickets.

Los tickets incorporan marcas de tiempo y

claves criptográficas.
Ana Guerrero
Kerberos

Ana Guerrero

(Lei Pan 2014)

Kerberos

Ana Guerrero
(Lei Pan 2014)
Kerberos
Puede resistir ataques
en un entorno
distribuido porque Maneja tickets de
ninguna contraseña tiempo limitado.
está comunicada a
través de la red.

Tiene protección
Tiene marcas de
criptográfica en
tiempo para prevenir
contra de
los ataques de
suplantación de
repetición.
identidad.

Maneja
autenticación
Ana Guerrero mutua.
Captura de información de autenticación
 Si un usuario trata de autenticarse sobre una conexión remota, puede
haber la posibilidad de que un ataque sea implementado sobre una línea
de comunicación no segura utilizando un ‘sniffer’.

Ethernet Capturador Software o hardware

sniffer o de packetes
Wireless (packet que puede interceptar
sniffer sniffer) y registrar tráfico que
pasa a través de una
red.

Analizador
Capturador
de
de red
protocolo
(network
(protocol
sniffer)
analyzer)

Captura Decodifica Analiza

Ana Guerrero Analizador
de red
(network
analyzer)
Capturando contraseñas offline

 Los ‘Sniffers’ pueden ser utilizados en diversas situaciones. Un

ejemplo de esto es:
o Cuando un e-mail es enviado usando código HTML.
• El código HTML permite a los usuarios

A
recibir mensajes con fotos incrustadas y
otras características que permiten
descargar imágenes o archivos de un
servidor remoto.

B
• El protocolo SMB (Windows Server
Message Block) hace una petición de
autenticación en este punto.

• Un atacante puede utilizar un sniffer

Ana Guerrero
C para vigilar el proceso de conexión y
así obtener las credenciales de
autenticación.
Capturar e irrumpir hashes de autenticación

Configurar
un servidor
pirata
Elaborar un
mensaje de
Romper correo
la clave Proceso electrónico o
pagina web que
tratará de
autenticarse
‘Escuchar’ el
intercambio
de
información

Ana Guerrero (Lei Pan 2014)

Puertos

 Al igual que las ventanas o puertas sin llaves en un hogar u oficina,

los puertos pueden ser un medio de entrada para un ladrón, por lo
que un puerto abierto en un sistema informático puede permitir
acceso a un atacante para entrar.

Un puerto es un punto de
enlace lógico para la
comunicación informática.

Los puertos son tan

necesarios como las
Ana Guerrero
puertas de una casa.
Identificando la comunicación
 El protocolo IP se utiliza para identificar la trayectoria de la comunicación, es decir
de donde viene y adonde se dirige a través de Internet.

 Así por ejemplo un mensaje enviado a 127.17.48.239 puerto 25 es la identificación

de la dirección IP del equipo de destino junto con el puerto específico.

 En la mayoría de los casos no es necesario especificar un puerto. Un protocolo en

particular determina a que puerto ir, ya que éstos están estandarizados.

 Por ejemplo entre los puertos conocidos tenemos que: los servidores web por lo
general utilizan el puerto de destino 80 que acepta el protocolo de transferencia de
hipertexto HTTP. También el puerto 25 es utilizado para el protocolo simple de
transferencia de correo, el 22 para SSH, etc.
Ana Guerrero
Puertos y vulnerabilidades

 Un atacante externo invariablemente busca un puerto abierto para entrar.

Una vez dentro del sistema, éste puede abrir nuevos puertos y por lo que
incluso si el primero está cerrado, ahora tiene una nueva ruta por la cual
acceder a información y servicios.

 Un atacante puede incluso utilizar el puerto de reciente apertura para

comenzar a comunicarse con otras máquinas, tal vez para el envío de
correo electrónico sin escrúpulos.

 Como investigador, el primer paso es buscar información sobre qué puertos

estaban abiertos.
Ana Guerrero
Usando puertos como evidencia

 La información de los puertos puede ser analizada para

determinar si ha ocurrido una situación inicial en un equipo
determinado.

 Un investigador puede obtener información sobre lo que es

“normal” mirando los datos de registro, copias de seguridad o
hablando con los administradores de TI.

 Es crucial precisar la hora de un ataque para así poder determinar

los puertos que estaban abiertos al momento.
Ana Guerrero
 Más evidencia
 Un investigador debe obtener
información de q uépuertos o
servicios se han añadido al sistema
desde el ataque.

 En Windows, el comando ‘netsat’

mostrará todas las conexiones
activas en el sistema local.

 La primera columna indica el

protocolo, la última el estado que
la comunicación ha alcanzado.

 Usando netsat –n se mostrará

Ana Guerrero
también la dirección local y de
destino de la conexión.
Parches y puertos – Seguridad en la red

 Un administrador de red debe apagar los puertos y servicios que no sean

necesarios y que no se están utilizando.

 A medida que se descubren vulnerabilidades en un sistema o servicios,

éstas deben ser parchadas.

 Por ejemplo con el comando ‘netstat –a’ lista todas las conexiones TCP y
UDP abiertas actualmente:

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

 La dirección de destino de todo 0’s indica que el puerto 80 está abierto o
a la escucha de todas las direcciones IP.
Ana Guerrero
Servicios de Windows
 Es posible enlazar los procesos a puertos, en otras palabras, si
se desea ejecutar un proceso como el inicio de sesión remota a
su máquina de oficina para diseñar una presentación
multimedia, es posible configurar el ordenador para relacionar
esa petición a un puerto en particular.

 Sin embargo, Windows combina servicios con puertos, no con

procesos.

 Un servicio es un proceso que se ejecuta en el sistema

operativo y tiene un proceso de seguridad interna. Un servicio
se inicia en el arranque una y otra vez con cada reinicio.
Ana Guerrero
Servicios

 Esto tiene sentido desde el punto de vista del cliente-servidor:

servidores proporcionan servicios a los clientes; los clientes acceden a
los servicios a través de los puertos en el servidor.

 El comando ‘tasklist’ lista todos los servicios que se están ejecutando

en la máquina.

 Podemos combinar el comando ‘netstat-nao’ y ‘tasklist’ para generar

más información de una conexión.

Ana Guerrero
Ana Guerrero
Ana Guerrero
Servicios y procesos

 De las figuras anteriores se puede determinar que existe un

proceso asignado en el PID 580. Este corresponde a z.exe, que
se denota un tanto sospechoso.

 Ejecutar el comando tasklist /svc, permite listar cuáles de los

procesos que se están ejecutando son servicios.

Ana Guerrero
Ana Guerrero
Svchost

 La figura anterior muestra que el El uso de un servicio para hacer

servicio ejecutable ‘svchost’ está esto reduce la eficiencia de la
corriendo en múltiples gestión de memoria.
ubicaciones.

 Cada servicio que registra el

 Este servicio importa los archivos
DLL necesarios para ejecutar los
servicios que implementa.
sistema operativo es almacenado
en el archivo de “Registro de
claves” y por lo tanto está
disponible para la realización de
una consulta.

Ana Guerrero
Identificar ejecutables svchost ilegítimos

 Debido a que el nombre svchost aparece en múltiples ocasiones

dentro de la lista de tareas, éste es un objetivo para los
atacantes.

 Muchos programas maliciosos usan este nombre o una variante

de la misma.

 Todas las instancias de svchost legítimas deben aparecer en

%SystemRoot%\System32, es por eso que se debe chequear
cuidadosamente si se lo encuentra en otras carpetas.
Ana Guerrero
Tarea

 En sus equipos ejecuten el comando ‘netstat’ solo, así como

también combinado con –n, -a, -and y –nao.

Ana Guerrero
Lecturas recomendadas

 Micorsoft, Algoritmos de validación de acceso de red y ejemplos para Windows

Server 2003, Windows XP y Windows 2000, https://support.microsoft.com/es-
es/kb/103390.

Ana Guerrero
Referencias

 Lei Pan, SIT703 Advanced Digital Forensics, Deakin University, lectura 5-6, 28
de Julio 2014.
 Borghello, C 2009, Criptografía de la A-Z, Segu.Info, revisado el 14 de Abril
del 2016, http://www.segu-info.com.ar/proyectos/p1_ataques.htm.

Ana Guerrero