PDF de programación - Reto de Análisis Forense - Resumen Ejecutivo

Respuesta al

Reto de Análisis Forense



Resumen ejecutivo



Marzo de 2006



Germán Martín Boizas



Resumen ejecutivo



Introducción
Este documento es el resumen ejecutivo en respuesta al reto de análisis forense
lanzado por UNAM-CERT y RedIRIS en colaboración con otras empresas en
Febrero de 2006 a través de su página web

http://www.seguridad.unam.mx/eventos/reto/

El objetivo del mismo es el análisis de un sistema Windows 2003 previamente
atacado y comprometido. Para ello, como única información, se proporciona una
imagen (o copia) de dicho sistema.

Análisis
Para la realización del análisis se procedió a la instalación de un entorno de
trabajo en el que, de forma segura y garantizando el no modificar la evidencia,
proceder a la ejecución de las herramientas de análisis forense seleccionadas, la
mayoría de carácter público y accesibles en la red.
El detalle del trabajo técnico realizado se describe en el informe técnico, si bien
es interesante resaltar la cantidad de tiempo empleado en el mismo (un mínimo
de 5 jornadas/hombre de trabajo). Esto demuestra que, aunque muchas veces
los hackers justifican sus acciones diciendo que en realidad no hacen daño al
sistema, las horas de trabajo perdidas únicamente en analizar que esto es
verdad producen un daño económico importante.

Sumario del incidente
Tras el análisis de la evidencia aportada, podemos resumir este incidente de
seguridad en los siguientes puntos:
●

El sistema atacado es un Windows 2003 Server SP1, con licencia de
evaluación de 14 días, de nombre COUNTERS.

● Dicho sistema fue instalado y conectado a la red el 25 de enero de 2006.
●

El 26 de enero se instalaron en el sistema algunas aplicaciones, destacando
entre ellas el sistema ERP de código abierto ‘webERP’ (www.weberp.org)
que a su vez emplea el servidor web Apache y la base de datos mySQL.

● Desde dicha fecha hasta el 5 de febrero, el sistema mantuvo una actividad
que puede considerarse como normal, incluyendo algunos intentos de
ataque al servidor web sin mayores consecuencias, la instalación de alguna
nueva aplicación como PostGreSQL, y la copia de múltiples ficheros de
Microsoft Word, Powerpoint, Excel, documentos PDF e
imágenes
pornográficas en formato JPEG por parte de algún usuario.
El 5 de febrero, un atacante logró acceso con privilegios de administración
al sistema. Para ello, empleó métodos de ingeniería social, enviando un
correo a un usuario del sistema con privilegios de administrador (Johnatan)
a su cuenta en yahoo.com, incitándole a acceder con su navegador a una
URL en la que el atacante tenía preparada un exploit.

●

● Dicho exploit consistía en aprovechar una vulnerabilidad recientemente
descubierta en la librería GDI (Graphics Device Interface) existente en varias

Pág. 1

Resumen ejecutivo



versiones de Windows, y entre ellas 2003 server (ver boletín de Microsoft
en http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx) ;
esta librería se emplea para la generación y presentación de gráficos en el
sistema, y el exploit se ejecutó al acceder a un fichero gráfico Windows
Metafile (WMF) que no era tal sino que en realidad cargó un código que
abrió una línea de comando al atacante sin que el usuario victima del
engaño se diera cuenta.

● A continuación, y una vez lograda una ventana como administrador, de
forma inmediata el atacante procedió a crear una cuenta de nombre
‘ver0k’, dotándola de privilegios de administración, y a modificar el sistema
para permitir el acceso remoto al mismo.

●

●

● Accediendo con Terminal remoto y con la cuenta recién creada, el atacante
accedió a la base de datos de la aplicación WebERP, mediante el interfaz
de administración de MySQL y extrajo directamente de las tablas la
información disponible sobre clientes y sobre cuentas de usuario. Esta
información fue enviada al exterior mediante MSN Messenger a la cuenta
[email protected].
Posteriormente el atacante procedió a buscar y visualizar los diferentes
ficheros existentes bajo C:\Documents and Settings, incluyendo imágenes
en formato JPEG, algún video, y con especial atención archivos en formato
.DOC. No pudo visualizar ficheros Excel, aunque lo intentó, por cuanto esta
aplicación no estaba instalada en el sistema. Ficheros en otros formatos
(Powerpoint ó PDF) no fueron accedidos.
Finalmente, procedió a determinar cómo acceder a la aplicación ‘WebERP’
para desde ella crear una nueva cuenta de usuario de la propia aplicación
(de nombre ‘admin’ y privilegios de administración de la misma) que le
permitiera el acceso a la aplicación en el futuro, para después abandonar
el sistema.
Los reponsables del sistema COUNTERS determinaron de forma muy rápida
la presencia de algún intruso en el sistema, al detectar una cuenta no
autorizada, y procediendo velozmente a intentar realizar una copia del
disco, empleando para ello utilidades disponibles en el CD-ROM de F.I.R.E.
(Forensics and Incident Response Environment Bootable CD, descargable en
http://fire.dmzs.com/) o uno similar basado en éste. Después de bastantes
intentos de copia con el sistema ‘en vivo’ al parecer infructuosos,
procedieron a la parada final del sistema el 5 de Febrero de 2006 a las
15:44.

●


Principales Conclusiones del análisis
1. El ataque al sistema se realizó con una cierta planificación y con carácter
específico hacia este sistema en particular. Esta conclusión está basada en
los siguientes datos:

► El correo enviado al usuario Johnatan a su cuenta para conseguir su
colaboración indirecta está escrito en castellano, así como simula ser un
contacto habitual del mismo (Alberto López, Director General de

Pág. 2

Resumen ejecutivo



Electrónica y Computación S.A.). Además, es en un segundo correo
cuando se produce la intrusión real.

► Una vez conseguido el acceso, y creado un usuario para su uso posterior,

el atacante analiza muchos de los documentos existentes en el servidor.

► Parece conocer bien que webERP es la principal aplicación del sistema, y
es la que ataca. Otra base de datos instalada, PostGreSQL, no merece la
más mínima atención del atacante.

► No instala ningún tipo de herramienta de ‘rootkit’, o de ‘hacking’ en
general como haría un atacante genérico que simplemente buscase
nuevas bases de ataque.
Tras conseguir crear un usuario administrador en el aplicativo webERP,
finaliza toda su actividad.

►

2. El ataque fue posible a pesar de que el sistema estaba, en general, bastante
bien configurado y a un alto nivel de parcheo. Aunque es cierto que se
utilizó una vulnerabilidad de reciente descubrimiento, fue el uso indebido del
servidor para navegar de forma genérica por Internet, especialmente grave
cuando el usuario empleado para ello tiene privilegios de administración, lo
que posibilitó el ataque.

3. El análisis del sistema ha podido ser muy detallado gracias a que el
administrador del mismo se preocupó de configurar en un alto nivel de
detalle el sistema de auditoría de Windows, lo que demuestra la importancia
de estar preparado por anticipado ante un posible ataque.

4. En general, da la impresión de que el sistema no era un sistema en
producción real, sino un servidor preparado para generar una imagen que
fuera posible usar en un reto de análisis forense. Esta conclusión está basada
en los siguientes datos:

► El sistema está instalado y en marcha con una licencia de evaluación de
Windows 2003 Server, únicamente válida para 14 días, y a la que le
quedaban únicamente 4 días para la activación final que nunca se
produjo.

► En el sistema están creados 16 cuentas de usuarios (además del
administrador y el que crea el atacante) de las cuales únicamente se han
empleado 4.

► En el servidor se copiaron una gran cantidad de ficheros de Microsoft
Excel, PowerPoint y Adobe PDF; sin embargo, ninguna de estas
aplicaciones está instalada. Aunque podría pensarse que los ficheros
podrían ser accedidos desde la red, no fue así en realidad tal y como
revelan las fechas de creación y acceso.
La primera reacción de los administradores ante la creación final de las
cuentas del atacante en webERP y en el sistema, es intentar generar de
forma inmediata una imagen del sistema, más que analizar exactamente
qué estaba ocurriendo, o detener/desconectar de la red el sistema para
minimizar el daño.

►

► Algunas de las cuentas de correo de ‘clientes’ almacenadas dentro de

WebERP corresponden a dominios inexistentes en la realidad.



Pág. 3

Resumen ejecutivo



Solución al incidente
Como consecuencia del ataque, el sistema y la información en él contenida han
quedado completamente comprometidas. Aunque se ha identificado el origen de
la intrusión y el detalle de la actividad realizada, no podemos estar
absolutamente seguros de que no haya otros cambios que han pasado
desapercibidos a la investigación forense. Por tanto, para recuperarse de la
intrusión y conseguir un sistema completamente seguro los pasos recomendables
serían, si ello es posible:
●

Reinstalar una versión limpia del sistema operativo, siempre sin estar
conectado al exterior.

● Deshabilitar los servicios innecesarios.
●
Instalar todos los hotfixes de seguridad.
● Consultar periódicamente las alertas de seguridad en este sistema

●

operativo.
Recuperar con cuidado datos de usuario de los bac