APIA - 2010
Ante un sistema vulnerado, aun reparando por donde se han colado, existe la posibilidad de que hayan instalado: Backdoors Troyanos Keyloggers Bots
1.- Qu mtodo utiliz el atacante 2.- Qu actividades realiz (o est realizando) 3.- Desde donde se realiz la intrusin 4.- Qu daos se han producido en el sistema 5.- Puede volver a ocurrir? El objetivo de la sesin adems del anlisis forense es el conocer ms acerca del funcionamiento interno de los sistemas Windows
Sistema vivo
Sistema desconectado
PROS Fecha y hora del sistema Memoria RAM activa Procesos arrancados Actividad de red, conexiones abiertas Conexiones de Red Usuarios conectados en el momento CONS Cualquier activdad altera el entorno
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
PROS Anlisis del sistema congelado Multiples copias del entorno Posibilidad de realizar hash Mayor validez jurdica CONS Solamente disponemos del HDD
Copia y envo de todo el sistema de ficheros (WinDD) Volcado y envo de la memoria fsica del sistema (Helix) No se puede hacer anlisis del archivo de paginacin
Hace 25 aos
Grandes sistemas (VAX, Unix, etc..) Poca disponibilidad de herramientas Ataques manuales realizados por personas muy expertas en la materia Objetivo: Obtener shell en la mquina destino
Hace 15 aos
Comienzo de las conexiones a Internet en los hogares espaoles Comienzo de la proliferacin de tecnologas web (IIS) Empiezan a aparecer las primeras herramientas para automatizar ataques Infecciones masivas debidas a virus en el correo electrnico (Melisa, CIH, I Love You) Dialers Objetivo: Infecciones masivas CIH: 20-80 M$ Melissa: 200-300 M$ IloveYou: 10-15 B$
Hace 10 aos
Proliferacin de las primeras conexiones de banda ancha (ADSL) Intrusiones masivas con objetivo: Warez Scene, MP3, DivX Grandes infecciones: Code Red, Code Red II, Nimda, Sasser, Blaster Objetivo: Robo de ancho de banda y espacio en disco CodeRed: 2.6 B$ (1M de infecciones) Sasser: 10 M$
Hace 5 aos
Nuevos vectores de infeccin: (Navegadores, XSS, CSRF, SQLi, ) Altsima especializacin en el desarrollo de nuevos sistemas de infeccin Gran capacidad de reaccin ante nuevas vulnerabilidades Creacin de entornos muy avanzados para explotar las vulnerabilidades metasploit [ http://www.metasploit.com ] ExploitDB [ http://www.exploit-db.com/ ] Explosin de la Web 2.0: Nuevo entorno de infeccin Objetivo: Ordenadores zombies, robo de credenciales, extorsin, etc
Hoy en da
Utilizacin de la tecnologa como arma Ataques dirigidos contra objetivos concretos con vulnerabilidades todava no publicadas Infeccin en dispositivos mviles (Android, Symbian, iPhone) Objetivo: Ataques dirigidos, guerra tecnolgica
[ www.zone-h.org ]
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
BOTNETS
- Infecciones masivas de SO Windows, Servidores con CMS (Joomla, WordPress) - Vas de propagacin: Vulnerabilidades de SO ya conocidas
Cuntos son?
-Botnet Mariposa, Feb 3, 2010 13 Millones de equipos
infectados
- Se calcula entre 60 y 100 Millones de equipos infectados en todo el mundo.
x10.000 hosts
300 kbits
3000 Mbps
ADSL 300 kbs upload
Spamming
100$ USD/hour
Se calcula que el 90% del spam enviado actualmente proviene de equipos zombies pertenecientes a alguna botnet (Fuente: PandaLabs Q1_2010)
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Traffic Sniffing Keylogging (PayPal, tarjetas de crdito) Claves de acceso a Juegos online (Diablo II, World of Warcraft)
(Hack Tool) Rbot (v0.3.2) Source.rar (rbot)x0n3-Satan-v1.0-Priv8-By-CorryL{x0n3-h4ck}.rar Phatbot C++ Source Code.rar Virus-Worm-Agobot.tar.bz2 ...
Antes de empezar
El anlisis de un sistema siempre: Es un proceso farragoso Tiende a ramificarse Va a llevar mucho ms tiempo del que originalmente tenamos pensado dedicar Normalmente es imposible alcanzar un nivel de 100% fiabilidad Es por eso que es conveniente saber cual es el objetivo que perseguimos antes de empezarlo.
Si no disponemos de tiempo Formatear ser ms rpido Si no estamos dispuestos a llegar al fondo Formatear ser ms seguro Si no vamos a obtener ninguna informacin de valor Formatear ser ms til
Orgenes de informacin
Virus/Malware/Worms:
Procesos activos y actividad de los mismos Conexiones activas y puertos en escucha Servicios y arranque del sistema Sistema de ficheros (Contenido, Fechas de creacin, modificacin y acceso) Ficheros sospechosos Registro del sistema y otros logs Intrusiones manuales: Cuentas y perfiles de usuario Papelera de reciclaje Sistema de ficheros avanzado (Pagefile.sys, Alternate Data Streams) Informacin de navegacin por Internet Posible ocultacin de datos con tcnicas de rootkit.
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Usuario/apia
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Anlisis Forense en Sistemas Windows Paso #01: Informacin general del sistema
Varias posibilidades:
[ Algo raro? ]
[ Algo raro? ]
Anlisis Forense en Sistemas Windows Paso #03 : Monitorizar la actividad de los procesos
#03.1: Verificar qu modulos cargan los procesos
Utilidad listdll de Sysinternals C:\...\> listdlls > #03.1_listaModulos.txt #03.2: Verificar qu manejadores estn usando los procesos Utilidad handle de Sysinternals C:\...\> handle > #03.2_listaManejadores.txt #03.3: Verificar la actividad en tiempo real de los procesos activos Utilidad procmon de Sysinternals
[ Algo raro? ]
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Anlisis Forense en Sistemas Windows Paso #03 : Monitorizar la actividad de los procesos
#03.4: Analizar el directorio c:\windows\prefetch
C:\...\> dir /o:d c:\Windows\prefetch > #03.4_listaPrefetch.txt O con la utilidad WinPrefetchView de Nirsoft
Anlisis Forense en Sistemas Windows Paso #05: Servicios del Sistema y Arranque automtico
Para conocer los servicios y el estado de estos dos posibilidades:
a) Utilizar el comando de sistema Windows sc C:\...\> sc query > #05.1_listaServicios.txt
Anlisis Forense en Sistemas Windows Paso #06: Sistema de ficheros y fechas de acceso
Como primera medida, guardar un listado completo de todos los ficheros de un disco:
C:\> DIR /t: a /a /s /o: d c:\ > #06.1_sistemaFicheros.txt E investigar dentro de este listado. Tambin podemos utilizar la herramienta MacMatch
Anlisis Forense en Sistemas Windows Paso #06: Sistema de ficheros y fechas de acceso
Conocer los ficheros que hay abiertos en un determinado momento: a) Localmente con la utilidad OpenedFilesView de NirSoft
Nota: Logparser es una herramienta muy potente para realizar bsquedas sobre distintos orgenes de datos y con posibilidad de generar distintas salidas: Recomendacin: VisualLogParser
Para su anlisis podemos usar la herramienta pasco de FoundStone C:\...\pasco d t index.dat > #13.1_historialNavegacion.txt Otro elemento clave en la navegacin son las cookies, para esto usaremos la herramienta galleta de FoundStone
C:\...\galleta fichero_cookie
[ Algo raro? ]
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
En sistemas NTFS, los ficheros almacenados en disco son un conjunto de data streams. En cada fichero hay un Stream principal con los datos del fichero y otros streams asociados con metainformacin del fichero principal.
La informacin almacenada en los ADS permanece oculta a las herramientas habituales del sistema (cmd, explorer, etc) y no se enva por internet. Este sistema de almacenamiento de informacin est siendo usado por virus/malware/hackers
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
[ http://balaitous.unizar.es/crs3ed/hxdef100.zip ]
C:\> notepad hxdef100.2.ini C:\> hxdef100.exe hxdef100.2.ini Nota: Desactivar el antivirus hasta ponerlo a funcionar :) C:\> net stop HackerDefender100 El problema clsico es que no siempre los antivirus son capaces de detectar los rootkits, sobre todo si estn ya funcionando antes de realizar el escaneo. Solucin: - Rootkit Revealer de SysInternals - BlackLight de FSecure
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
b) Utilizando NetworkMiner Deteccin de sistemas operativos implicados en la captura de red Sesiones Hostnames Puertos abiertos Archivos/Imgenes transferidos Credenciales utilizadas
Son capaces de generar un archivo con las pruebas recolectadas, e incluso incluyen un servidor para recolectar los datos.
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Algunas utilidades
Win32DD + Volatility (Imagen de RAM y HDD de un sistema vivo) Encase, by Guidance Software Forensics Tool Kit, by Access Data Autopsy, Open source - http://www.sleuthkit.org/autopsy
Permite cargar una imagen realizada con dd de un sistema completo. Permite realizar numerosas acciones:
File Listing File Content Hash Databases File Type Sorting Timeline of File Activity Keyword Search Meta Data Analysis Data Unit Analysis Image Details
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Tools:
http://www.virustotal.com/es/ http://www.mandiant.com/mrc http://code.google.com/p/rapier/ http://www.sleuthkit.org/autopsy/ http://www.foundstone.com http://technet.microsoft.com/en-us/sysinternals