Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

INFORME EJECUTIVO

Anuncio 
Análisis Forense
Informe Ejecutivo
Incidente: “finanzas”
Realizado por
Riancho Andrés
Reox Leandro
Hauser Pablo
1
INTRODUCCIÓN
A partir del dia 29 de Enero de 2005, el administrador del servidor finanzas, el cual se
procede a analizar, pudo percibir un errático funcionamiento del sistema, lo que lo hizo sospechar
que este equipo había sido tomado por un intruso. Debido a que el administrador detuvo de manera casi inmediata las actividades sobre el
equipo, el mismo quedó casi intacto para poder realizar un correcto análisis forense.
Imágenes del mismo nos fueron otorgadas para proceder con la recopilación de datos del
incidente.
Los horarios reflejados en los logs y detalles son extractos fieles del horario configurado en
el servidor y no tenemos dato cierto que estuviese sincronizado con un time server valido.
ATAQUE EXITOSO Luego de analizar las imágenes pudimos comprobar que realmente la máquina finanzas
había sido comprometida. La mayor parte de la información obtenida demuestra que el ataque se
produjo desde una ubicación externa a la empresa.
El equipo tuvo varios ataques de carácter menor como intentos de forzar el servicio de
SSH, entre otros, pero la intrusión de alta criticidad fue concretada aproximadamente el
29/01/2005 en el horario 2:58:00 PM. Que incluyo infección de virus, instalación de rootkits y
puertas traseras.
Una vez obtenido permisos ilimitados (root) en el sistema comprometido, los atacantes
procedieron a utilizar el servidor finanzas como origen de otros ataques contra equipos de la red
interna.
PERFIL DE LOS ATACANTES
Por la información recopilada sobre el ataque existen claros puntos que nos obligan a
afirmar que los intrusos son de Brasil. Las direcciones IPs que se ven reflejadas en los log del ataque pertenecen a “Altaway
Technologies” .
La manera en que fue perpetuado el ataque demuestra que los atacantes tenían poco
conocimiento sobre técnicas de intrusión y sistemas operativos LINUX, es evidente que las pocas
herramientas aparentemente desarrolladas por ellos dejaban mucho que desear, al punto de borrar
todos los logs sin dejar ninguno, dejando en evidencia su ataque, acciones que un atacante con el
expertise necesario no haria.
Debido a la inexperiencia de los atacantes y la cantidad de basura plantada en el equipo
fue complicado determinar el origen y causa real de la intrusión y la forma en que los hechos
fueron sucediendo.
RESUMEN DEL ATAQUE
Utilizamos herramientas "Open Source" para la obtención de toda la información del
análisis de reconocida eficacia y fiabilidad.
Los ataques fueron reproducidos en una máquina clon para comprobar su repercusión y
contraponerla con los resultados del análisis en si.
En la fase de análisis forense se estudiaron todas las marcas de tiempo de los ficheros que
existían y de los que habían sido borrados en las distintas particiones, se revisaron los ficheros de
log (registros de sucesos) que por cierto habían sido borrados y se realizó un estudio del contenido
de la swap. Reuniendo toda esta información pudimos construir una timeline de sucesos.
En esta etapa con un análisis intensivo pudimos comprobar que la intrusión se produjo por
un bug en la manera en que Apache maneja SSL, correctamente explotada nos otorga una shell
2
con permisos de servicio “Apache user”
Desechos en archivos binarios nos dieron la pauta de que el servidor fue infectado con el
virus RST.b que posee un backdoor que permite controlar los equipos infectados, que es por donde
aparentemente nuestro intruso gano permisos ilimitados sobre el servidor (root).
Se también instalo en el server finanzas lo que en términos informáticos se conoce como un
"rootkit" . El objetivo básico de un "rootkit" consiste en esconder al legítimo administrador
las actividades de un atacante, así como habilitar y garantizar puertas traseras de acceso al sistema
y, a menudo, permitir espiar la red donde se encuentra la máquina comprometida.
El "rootkit" instalado en esta máquina es bastante tradicional de hecho se intentaron
instalar dos, el SuckIT y el t0rn. En síntesis, trata de sustituir muchas de las herramientas propias
del sistema por copias "falseadas", que esconden al administrador aquello que el atacante no quiere
que vea. También instala varias puertas traseras que garanticen el acceso futuro a la máquina de
forma ilegitima. Sin embargo, el rootkit t0rn no acabó de instalarse correcta y completamente. Este
hecho ha facilitado tanto el análisis como la detección inicial de actividad anómala por parte del
administrador. A continuación, se instaló en el servidor comprometido un proxy (también llamado
bouncer) IRC La instalación de herramientas relacionadas con el IRC (Internet Relay Chat) se
muestra como el objetivo primordial más plausible del ataque, el cual se conecta al servidor
“eu.undernet.org” y una vez allí entra al canal “#aseasi” utilizando la contraseña “lametrapchan”.
El bot recibirá comandos desde los usuarios con nickname "_mihaiu" ó "mihaiu`".
NOTA: Un BOT IRC permite automatizar acciones, peticiones y comandos IRC sin que el
usuario se encuentre frente a la máquina merced a un lenguaje de scripting. También permite
interactuar con otros usuarios sin que ellos vean el nick real que se esconde trás el BOT. Los
"crackers" (usuarios maliciosos) suelen utilizarlos para tomar parte en "guerras de IRC" (IRC wars),
en las que se busca obtener y mantener el rango más alto posible dentro de un canal de chat con el
objetivo de ser "el más poderoso".
La combinación bouncer­bot­DoS es muy habitual en intrusiones del tipo de la que nos ocupa.
NOTA: Un proxy de IRC (Internet Relay Chat) permite (entre otras cosas) que un usuario
del mismo se conecte a servidores de CHAT de forma anónima (su IP real no puede ser vista por
los demás, sólo verán la del proxy). Posteriormente se instalaron en la máquina herramientas como :
Ports scanners
Exploits *
Scaners de vulnerabilidades especificas
* Se conoce como exploits a los desarrollos orientados a explotar vulnerabilidades
especificas de aplicaciones, servicios o bugs propios de sistema operativo.
En resumen, podemos concluir que el ataque fue llevado a cabo por:
. jóvenes ( Brasileros ) y sin una amplia formación.
. que lanzan ataques sin conocimiento y sin distinción de objetivo
. usando herramientas poco modificadas por ellos o completamente echas por terceros.
. y su objetivo principal es hacerse de máquinas esclavas para lanzar ataques a futuro
Esta clase de personas son conocidos como "scriptkiddies".
Personas (por norma general adolescentes o muy jóvenes, aunque no necesariamente) que
usan herramientas automáticas (generalmente diseñadas por otros con muchos más
3
conocimientos) para escanear y tratar de explotar grandes rangos de máquinas en Internet de
forma indiscriminada. No buscan entrar en una empresa o corporación determinada, sino que
cualquier ordenador (incluso en hogares) susceptible de ser atacado les sirve.
sistema:
Las siguientes conclusiones son producto del análisis de la intrusión y su impacto en el
­ La máquina debe ser reinstalada en un 100% , ya que muchos archivos , binarios podrían
estar troyanizados, incluyendo los scripts que fueron modificados a voluntad.
­ Por política de seguridad una vez que un intruso gano acceso total al sistema deben
cambiarse todos los estándares de passwords utilizadas para evitar un acceso legitimo posterior
intrusivo.
­ Antes de abrir un servicio al público (en especial a Internet), se debe medir muy bien el
alcance de dicho servicio. Estudiar bien a quien deseamos ofrecer el servicio y de que forma
es el primer paso antes de abrir dicho servicio al público, aplicando parches y evitando que el
servicio publicado aunque sea solo 1, sea vulnerable.
­ Importantísima es la implementación de un Firewall, preferentemente un appliance que
se encargue de realizar packet filtering como barrera primaria
­ Instalación de un IPS , o plataforma de protección contra intrusos, en la actualidad
existen grandes equipos capaces de bloquear el trafico malicioso basándose en matcheo de
patrones y inspección profunda de paquetes y protocolos, en este caso en particular, el intento de
explotación del mod_ssl se hubiera percibido, y podido evitar la intrusión.
­ Es de carácter vital revisar los logs de las máquinas, particularmente las que poseen
servicios publicados en Internet, de esta forma se pueden detectar intentos de ejecución de
exploits, instalación de rootkits y otros eventos de carácter critico.
En la actualidad realizar un ataque contra una empresa no requiere de grandes
conocimientos, existen herramientas que son capaces de realizar casi todo el trabajo por el
atacante, factor que en el pasado era muy disitnto.
Ninguna empresa es 100% segura, la seguridad es inversamente proporcional a la utilidad,
una empresa utópica 100% segura atentaría contra los principios de la libertad por decirlo de una
manera simple. Nos encontramos en tiempos en donde no se ataca por la calidad de información,
sino por la cantidad, para tener mas host esclavos para poder lanzar mas ataques casi siempre al
azar.
Considerando al equipo de importancia financiera recomendamos como mínimo seguir los
consejos dictados con anterioridad, ya que el mantenerse al día no lo hace impenetrable pero si
mantendrá alejado a los script kiddies que donde encuentran el mínimo de dificultad cambian de
objetivo.
Seria prudente comunicarse con la Netaway Technologies para obtener información y
comunicar la situación bajo la cual su servidor fue expuesto.
Las consecuencias en el compromiso de un host, en este caso financiero, no son mínimas,
pero demuestran que cada empresa expuesta a Internet puede ser comprometida, en este caso las
consecuencias no fueron mayores ya que fue un ataque muy detectable debido a la inexperiencia
de los perpetuadores, pero en el caso de encontrarnos con grandes gurues de la inseguridad las
consecuencias podrían haber sido drásticas y casi indetectables,
Por ultimo lo mas recomendable es rehacer los procedimientos de seguridad de su
empresa, revisar las políticas implementadas y si es necesario contratar personal especializado en
el rubro para optimizar el proceso y no tropezar 2 veces con la misma piedra.
4
Documentos relacionados
ATAQUES A LAS VIAS GENERALES DE COMUNICACION. Si bien
ATAQUES A LAS VIAS GENERALES DE COMUNICACION. Si bien
Introducción
Introducción
Un ataque fascista con líquido inflamable produce destrozos
Un ataque fascista con líquido inflamable produce destrozos
Auxilio… ¡Siento Que Me Está Dando un Ataque al Corazón!
Auxilio… ¡Siento Que Me Está Dando un Ataque al Corazón!
Informe Reto Forense v.2.0. Resumen técnico
Informe Reto Forense v.2.0. Resumen técnico
Cómo defenderse de los ataques verbales
Cómo defenderse de los ataques verbales
área del sector circular
área del sector circular
Capitulo 9 PC Hardware and Software Version 4.0 Spanish
Capitulo 9 PC Hardware and Software Version 4.0 Spanish
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
01-Introduccion
01-Introduccion
00003618
00003618
Rootkits: jugando a las escondidas
Rootkits: jugando a las escondidas
Descargar
Anuncio
Anuncio