Hoja de respuestas Módulo CIBERINTELIGENCIA Nombre y apellidos Noelia Simón Durán Fecha entrega 08/03/2022 Para la resolución del ejercicio se pide responder a las siguientes preguntas utilizando esta plantilla. Se deben tener en cuenta los siguientes puntos: • • • Responder a las preguntas en el orden establecido. Limitarse a contestar a las preguntas planteadas mediante una respuesta directa que posteriormente tendrá que ser argumentada y desarrollada en detalle a partir de la información facilitada para el análisis (fichero que se puede descargar desde un enlace que hay en la página donde están estas preguntas). Como orientación, el ejercicio debe tener una extensión de entre 10 y 15 páginas. Pregunta 1 (0,5 puntos): En el caso 1, indicar el tipo de ataque realizado. Respuesta: El tipo de ataque realizado es un spear phishing. En primer lugar, se trata de un phishing porque se está realizando una suplantación para obtener información sensible. En este caso se suplanta la web de Microsoft Outlook, como se puede ver en la Figura 1. Fichero index.code1.html abierto en el navegador. Figura 1. Fichero index.code1.html abierto en el navegador El objetivo de este caso de phishing es obtener los campos de usuario (username), contraseña (password) e IP (función getenv(“REMOTE_ADDR”)) de los trabajadores de Ficticy SL. Esto se refleja en el fichero post.php, que define el método POST que utilizará la página para enviar los datos, como se puede observar en la siguiente figura. Además, se observa que tras la introducción de estos valores en el formulario se creará un mail con destino ($recipient) [email protected], asunto ($subject) “Accounts nPost” y en el cuerpo del mensaje se incluirán los datos del usuario. Por último, se redirigirá al usuario a la web oficial de Hotmail, como se puede ver en el campo header. Figura 2. Código fichero post.php Además, es un ejemplo concreto de spear phishing puesto que la distribución del phishing no es masiva, si no que está dirigida a una compañía concreta, en este caso Ficticy SL, por lo que ha habido un mínimo de análisis o estudio hacia las víctimas, con el objetivo de obtener información sensible de la compañía. Pregunta 2 (0,5 puntos): En el caso 1, ¿qué correo es el origen del ataque? Respuesta: El correo origen del ataque es el enviado desde la cuenta: [email protected], con asunto: “FW: Validate Email Account” y cuerpo: “This is to notify all employees that we are validating active accounts. Please, confirm that your account is still in use by clicking the validation link below: Validate Email Account. Cheers,” Es el origen porque en él se incluye el link del phishing. Pregunta 3 (1 punto): En el caso 1, ¿dónde se envían los datos comprometidos? Respuesta: Como se ha comentado en la Pregunta 1, los datos comprometidos se envían por correo electrónico a la dirección [email protected], como se puede ver en el fichero post.php en la variable $recipient. Figura 3. Destino de envío de los datos comprometidos Pregunta 4 (1 punto): En el caso 1, ¿por qué el correo de las 10.00 a. m. se manda desde la cuenta “[email protected]”? ¿Desde dónde es posible que haya sido el ataque? Respuesta: La cuenta [email protected] recibió un correo electrónico de [email protected], que parece tratarse de una cuenta que realiza phishing suplantando a Microsoft, puesto que tiene como asunto: “FW: Validate Email Account”. Por lo tanto, todo apunta a que el usuario dueño de la cuenta [email protected] calló en el ataque de phishing, se obtuvieron sus datos y se reenvió el correo desde su cuenta. Esto puede verse en el fichero de logs logsmail_mwalkerfranch-20171120000000_20171123170000. Se señala en azul el primer correo mencionado y en amarillo los correos reenviados. Figura 4. Logs mail [email protected] Los correos se reenvían a partir de las 09:51 del 23/11/2017. Mirando los logs de acceso a la cuenta de [email protected] (logs-access_mwalkerfranch20171120000000_2017112319000000), se puede ver que todas las conexiones se realizan desde el mismo rango de IPs: 172.16.10.XX, excepto el acceso del 23/11/2017 a las 09:45, que se realiza desde la IP 77.72.83.26 (en azul en la Figura 5), que además coincide en franja horaria con el reenvío de correos. Por lo tanto el ataque se realiza desde esta última IP, con ubicación en Reino Unido. Figura 5. Logs de acceso [email protected] Pregunta 5 (1 punto): En el caso 1, ¿qué otras cuentas han podido ser comprometidas? Respuesta: Como se puede ver en la Figura 4. Logs mail [email protected]), las cuentas de correo que han podido ser comprometidas son a las que se ha reenviado el correo (en la imagen en naranja). Estas cuentas son: [email protected], [email protected], [email protected], [email protected] y [email protected]. Pregunta 6 (0,5 puntos): En el caso 2, indicar el tipo de ataque realizado. Respuesta: El ataque realizado es un ataque de tipo CEO Fraud, donde se estudia a la víctima para presionarla a realizar un pago de manera urgente, haciéndose pasar por un cargo importante de su empresa o un contacto importante relacionado con la empresa. En este caso, el atacante se hace pasar por proveedor de TI y solicita a la víctima un cambio del número de cuenta bancaria para realizar los pagos, metiendo prisa con motivo de una auditoría, como se verá en detalle en la pregunta 7. Tras la explicación de la pregunta 7, se puede ver que el atacante probablemente haya realizado un análisis de la víctima, en este caso Juan Philips Todobene, mediante sus redes sociales, por ejemplo, observando así que es el Responsable de pagos y transferencias. Además se puede ver en los logs de MTA departamento de transferencias que el atacante realiza varios intentos de envío del correo fraudulento hasta dar con la cuenta de correo correcta de Juan (se marca en amarillo en la Figura 6 el correo origen del ataque). Figura 6. Logs de MTA del departamento transferencias Pregunta 7 (0,5 puntos): En el caso 2, ¿qué correo es el origen del ataque? Respuesta: El origen del ataque es el correo recibido por [email protected] (en adelante Juan), con asunto “New account”, remitente [email protected] (en adelante atacante) e ID 27665, como se puede ver en la Figura 6. Logs de . Esto es porque, al descomprimir el ZIP tomando como contraseña el ID anteriormente mencionado, se obtienen los correos codificados, se decodifican en Base64. Finalmente, se obtiene que el atacante se hace pasar por un proveedor de TI y solicita a Juan un cambio del número de cuenta bancaria para realizar los pagos. Juan dice que necesita un documento certificado para justificar el cambio pero el atacante mete prisa con la excusa de una auditoría, por lo que Juan hace la modificación del número de la cuenta de pago bajo presión. Se incluye a continuación la decodificación de los correos de más reciente a más antiguo como justificación. From: "Transfer account" <[email protected]> Sent: Thu, 23 Nov 2017 14:54:21 To: "Philips Todobene, Juan" <[email protected]> Sent: Thu, 23 Nov 2017 14:54:21 Subject: New account Perfect!! thanks! I'll send you the documento ASAP From: "Philips Todobene, Juan" <[email protected]> Sent: Thu, 23 Nov 2017 10:56:12 To: "Transfer account" <[email protected]> Subject: RE: New account Ok, the change is done From: "Transfer account" <[email protected]> Sent: Thu, 23 Nov 2017 10:45:43 To: "Philips Todobene, Juan" <[email protected]> Subject: RE: New account Hello Juan, I will send you the document within the next days, but it is critical to make the change immediately due to auditory requests. Thanks in advance, Regards From: "Philips Todobene, Juan" <[email protected]> Sent: Thu, 23 Nov 2017 09:30:54 To: "Transfer account" <[email protected]> Subject: RE: New account Hello, I need a guarantee for the change, could you please provide me a certificated document? Regards, From: "Transfer account" <[email protected]> Sent: Wed, 22 Nov 2017 18:00:35 To: [email protected] Subject: New account Hello Juan, I write you on behalf of your IT provider. Please, note the change of the bank-account where you have to make the payment. INTEXER67 1026 7842 0814 5674 1236 8905 Please, the next payment must be made to that account. Regards, IT Team Pregunta 8 (1 punto): En el caso 2, ¿qué método ha utilizado el atacante para obtener los datos de los empleados del Departamento de Transferencias? Respuesta: El método que ha utilizado el atacante es la Ingeniería Social. Esto se puede llevar a cabo de diversas formas como buscar información en Google o mirar sus perfiles en distintas redes sociales, en este caso para Juan Facebook, Linkedin e Infojobs, entre otras técnicas. La meta de esta búsqueda se centra en recopilar toda la información de la posible víctima que sirva de ayuda al atacante, como puede ser: cargo dentro de la empresa, funciones, correo electrónico o empresas con las que trabaja, entre otros datos. De esta manera el atacante obtiene que Juan es el Responsable de pagos y transferencias dentro de Ficticy, fijando así el objetivo del ataque. Pregunta 9 (1 punto): En el caso 2, ¿cómo ha sido la consecución temporal de los hechos? Respuesta: En primer lugar, el atacante realiza Ingeniería Social para averiguar quién es el Responsable de pagos y transferencias y fija su objetivo en Juan. Después, envía correos electrónicos con direcciones de destino en distintos formatos (Figura 6. Logs de MTA del departamento transferencias) hasta dar con la cuenta correcta de Juan. Tras esto, presiona a Juan para que cambie la cuenta de pago con el pretexto de una auditoría para meterle prisa. Finalmente, Juan realiza el cambio bajo presión. Se resumen los hechos en la siguiente tabla: Fecha 22/11/2017 23/11/2017 23/11/2017 23/11/2017 23/11/2017 Hora Origen Destino Hecho/Mensaje 18:00:35 Atacante Juan Solicitud cambio de número de cuenta 9:30:54 Juan Atacante Solicitud de documentación para realizar el cambio 10:45:43 Atacante Juan Presión con auditoría 10:56:12 Juan Atacante Cambio de número de cuenta realizado 14:54:21 Atacante Juan Envío del documento en los próximos días Tabla 1. Consecución temporal de los hechos Pregunta 10 (0,5 puntos): En el caso 3, indicar el tipo de ataque realizado. Respuesta: El tipo de ataque realizado es a través de malware, un software malicioso que se crea para acciones ilegítimas. En este caso, al mostrar el siguiente mensaje: “# C:\WINDOWS\mssecsvc.exe # Ransom-WannaCry!7339A0EFC768 # trojan # deleted # 1 # VIRUS_DETECTED_REMOVED # VIRUSCAN8800 # VirusScan Enterprise #” y además ver que todos los archivos cifrados tienen la extensión “.wncry”, se puede deducir que es un ransomware, concretamente el conocido WannaCry. Figura 7. Mensaje WannaCry El ransomware es un tipo de malware que cifra archivos de la víctima, como se puede ver en el mensaje de la Figura 7. Los ficheros o directorios a fichar se definen en la configuración del ransomware pero nunca se cifran archivos de funcionamiento esencial. Esta operación se realiza para obtener un beneficio económico por el rescate de estos archivos. Normalmente, el atacante tras recibir el pago facilita a la víctima la clave privada de cifrado para recuperar los archivos originales. Un ejemplo de fichero cifrado es el que se incluye en este caso, test.txt.wncry, se incluye su captura de pantalla. Figura 8. text.txt.wncry Pregunta 11 (0,5 puntos): En el caso 3, indicar la vulnerabilidad explotada en los sistemas. Respuesta: La vulnerabilidad que explota el ransomware WannaCry es generalmente la exposición del puerto de SMB (Server Message Block) 445 a Internet. SMB es un protocolo que permite a los distintos sistemas Windows permanecer conectados a la misma red para compartir archivos. Para lanzar un ataque WannaCry se puede usar el el kit de explotación EternalBlue + DoublePulsar. El objetivo es instalar el malware en los equipos vulnerables y que se propague, mediante SMB, a través de la red en la que se encuentra dicho equipo. Este ataque fue muy conocido hace unos años y Microsoft lanzó un parche de actualización para solventar esta vulnerabilidad en sus equipos. Como se puede ver en la captura de pantalla de la Figura 9. Configuración del Firewall, para el puerto 445, se permite todo el tráfico (VPN = any traffic, ACTION = accept), lo que quiere decir que el puerto 445 está expuesto a cualquier tipo de tráfico y es una vulnerabilidad del sistema o servicio. Por lo tanto, una vez el malware infecte un sistema, se podrá propagar por toda la red infectando los demás equipos que también tengan esta vulnerabilidad. Figura 9. Configuración del Firewall Pregunta 12 (1 punto): En el caso 3, ¿cómo se ha propagado el malware a través de la red interna? Respuesta: Para ver como se ha propagado el malware a través de la red interna, se puede comprobar el fichero de logs del Firewall. En este fichero se puede ver en detalle el tráfico de una dirección de origen a otra de destino dentro de la red de Ficticy, todo este tráfico se realiza a través del puerto 445, que, con motivo de la regla del Firewall, siempre es aceptado. Se ha realizado un tratamiento del fichero para resumir este tráfico y analizar la propagación del malware a través de la red interna, se incluye una captura a continuación. Figura 10. Logs del Firewall El tratamiento consiste en haber eliminado las filas intermedias para una misma dirección de origen, dejando únicamente la dirección de destino inicial y final, ya que se ha observado que el envío del tráfico se hace en direcciones IP consecutivas e incrementales. El procedimiento es infectar una máquina y que esta se encargue de infectar a otras, así sucesivamente. Por lo tanto, la propagación del malware ha sido la siguiente, se utilizan los mismos colores que en la Figura 8 para diferenciar las direcciones de origen: • En primer lugar, se infecta la máquina con dirección IP 172.31.133.68. • Desde la dirección 172.31.133.68 se intenta infectar a los equipos con direcciones comprendidas entre la 172.32.133.69 y la 172.31.133.83. • Se infecta al equipo con dirección IP 172.32.133.69. • Desde la dirección 172.31.133.69 se intenta infectar a los equipos con direcciones comprendidas entre la 172.32.133.70 y la 172.31.133.78. • Se infecta al equipo con dirección IP 172.32.133.78. Esto puede haberse realizado desde cualquiera de las dos direcciones IP de origen mencionadas anteriormente (172.31.133.68 y 172.31.133.69), ya que ambas dirigen el ataque hacia direcciones IPs coincidentes (de la 172.32.133.75 a la 172.32.133.78). • Desde la dirección 172.31.133.78 se intenta infectar a los equipos con direcciones comprendidas entre la 172.32.133.12 y la 172.31.133.32. • Se infecta al equipo con dirección IP 172.32.133.25. • Desde la dirección 172.31.133.25 se intenta infectar a los equipos con direcciones comprendidas entre la 172.32.133.28 y la 172.31.133.136 (solapando algunas direcciones IPs de intentos anteriores). • Se infecta al equipo con dirección IP 172.31.133.101. • Por último, desde la dirección 172.31.133.101 se intenta infectar a los equipos con direcciones comprendidas entre la 172.32.133.135 y la 172.31.133.159. Cabe destacar que es posible que haya otros equipos de la red infectados, en los casos anteriores se indica únicamente la propagación mostrada en los logs del Firewall. Pregunta 13 (1 punto): En el caso 3, indicar de 3 a 5 medidas imprescindibles que podrían haber evitado el ataque. Respuesta: La primera medida y la más importante es mantener los equipos actualizados en su última versión del software. Así, los equipos poseerían el parche de seguridad lanzado por Microsoft y no tendrían la vulnerabilidad anteriormente comentada. Otra medida importante y que se suele seguir en todas las redes o sistemas que otorguen privilegios a distintos usuarios o equipos, es otorgar los mínimos privilegios posibles. Así, se podría haber frenado la propagación del malware entre los sistemas de la red. En tercer lugar, configurar el Firewall de red para no permitir el tráfico no deseado, ya sea bloqueando el tráfico mediante SMB cerrando el puerto TCP 445 si no se va a utilizar, restringiendo este tráfico solo a ciertos equipos, entre otros casos. De esta manera, como en el caso anterior, se frenaría la propagación del malware entre los sistemas de la red. Como cuarta medida, más que una manera de evitar el ataque se trata una tarea de prevención de daños, se podría realizar copias de seguridad de forma periódica para no perder los archivos en casos de ataques como el que se trata. Así, en el caso de que un ransomware cifre los archivos, se tendría una copia de seguridad de los mismos y no se perdería información. Aun así, esta medida no evita que los archivos o información sensible de los sistemas sean robados, por ejemplo. Por último, como medida de prevención se podría formar a los empleados sobre ciberseguridad en la empresa. Por ejemplo, si los empleados saben reconocer qué es un phishing, qué sitios web son maliciosos, qué archivos que van a abrir o descargar son maliciosos, entre otras cosas, podrían evitar este tipo de ataques y muchos otros.