PDF de programación - Reto de Análisis Forense - Informe Técnico

Respuesta al

Reto de Análisis Forense



Informe Técnico



Marzo de 2006



Germán Martín Boizas





Tabla de Contenidos



0.
INTRODUCCIÓN .................................................................................................... 1
1. ENTORNO DE INVESTIGACIÓN........................................................................ 3
2. PROCESO DE ANÁLISIS....................................................................................... 6
3. CRONOGRAMA DE ACTIVIDADES................................................................. 20
3.1. DIAGRAMA TEMPORAL....................................................................................... 35
4. ANÁLISIS DE ARTEFACTOS............................................................................. 38
5. DIRECCIONES IP IMPLICADAS....................................................................... 40
6. ALCANCE DE LA INTRUSIÓN.......................................................................... 42
7. CONCLUSIONES................................................................................................... 44
7.1. CONCLUSIÓN 1................................................................................................... 44
7.2. CONCLUSIÓN 2................................................................................................... 45
7.3. CONCLUSIÓN 3................................................................................................... 45
7.4. CONCLUSIÓN 4................................................................................................... 46
7.5. CONCLUSIÓN 5................................................................................................... 46
7.6. CONCLUSIÓN 6................................................................................................... 46
7.7. CONCLUSIÓN 7................................................................................................... 47
8. RECOMENDACIONES ........................................................................................ 48
9. REFERENCIAS...................................................................................................... 50
ANEXOS.............................................................................................................. 51
10.
10.1. MAILS ENVIADOS A JOHNATAN...................................................................... 51
REPRODUCCIÓN DE LA SESIÓN CON MYSQL DEL ATACANTE......................... 52
10.2.
REPRODUCCIÓN DE LA SESIÓN WEBERP DEL ATACANTE............................... 62
10.3.



Informe técnico


0. Introducción

Este documento es el informe técnico en respuesta al reto de análisis forense
lanzado por UNAM-CERT y RedIRIS en colaboración con otras empresas en
Febrero de 2006 a través de su página web
http://www.seguridad.unam.mx/eventos/reto/
El objetivo del mismo es el análisis de un sistema Windows 2003 previamente
atacado y comprometido. Para ello, como única información, se proporciona una
imagen (o copia) de dicho sistema.


Antecedentes del incidente

Según se facilita en las normas del reto, la única información con respecto al
sistema a analizar es el siguiente:
El administrador de sistemas de una pequeña empresa ha notado que existe una
cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún
ingreso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya
principal función era proporcionar acceso al sistema ERP a través de la Web.
Hace poco tiempo que habían migrado al uso de este servidor.
Según el administrador, trataba de mantener el sistema actualizado por lo que no
sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que
más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó
que ocupaban a veces estas cuentas para labores no sólo administrativas, sino
también personales o para aplicaciones que no requerían ningún tipo de
privilegio para ejecutarse.


Objetivos del reto

Según las normas, los objetivos son determinar si existió o no un ingreso no
autorizado, cómo ocurrió y el alcance del daño al sistema y a la información
contenida en él.
En el presente informe se intenta contestar a dichos objetivos, pero manteniendo
un orden tal que su contenido sea lo más didáctico posible. Asimismo, la
limitación de mantener el informe a un máximo de 50 páginas obliga a realizar
una breve síntesis de todo el trabajo realizada. Así pues, el esquema seguido
para contestar al reto consta de los siguientes apartados:

Entorno de Investigación
El propósito de este capítulo es detallar las herramientas empleadas en el
análisis, así como la construcción del entorno de análisis forense usado para la
investigación.

Pág. 1

Informe técnico


Proceso de análisis
En este apartado se detalla de forma resumida la secuencia de actividades
llevada a cabo para la obtención de las evidencias objeto del análisis. Debido a
la limitación de espacio, su exposición es muy sintética, puesto que relatar en
detalle todas y cada una de las acciones realizadas llevaría aparejada mucha
más información.
Cronología de actividades
El objeto de este capítulo es mostrar todas las actividades realizadas por el (los)
atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la
realización de la imagen del sistema, añadiendo en cada punto la evidencia que
lo sustenta. Asimismo, a continuación, se muestra en forma de diagrama una
representación en el tiempo de la intrusión. Se muestra así de un vistazo qué es
lo que hizo el atacante y cuándo lo hizo.
Análisis de artefactos
En este capítulo se analizan todos los ficheros creados en el sistema como
consecuencia del ataque, indicando su objetivo y cualquier otro dato de interés
relativo a los mismos.
Direcciones IP implicadas
Se refleja aquí la información obtenida sobre las direcciones IP que de una u otra
manera se han visto implicadas en el incidente, incluyendo la de quien ó quienes
atacaron el sistema.
Alcance de la intrusión
En este apartado se resume hasta qué punto la intrusión afecto al sistema y a la
información en él alojada.
Conclusiones
Este apartado aglutina los principales puntos que se obtienen como consecuencia
del análisis efectuado.
Recomendaciones
Finalmente, este apartado enumera algunas recomendaciones para solucionar la
actual situación y para prevenir situaciones similares en el futuro.



Pág. 2

Informe técnico



1. Entorno de investigación

Herramientas empleadas
La imagen proporcionada ha sido analizada mediante una combinación de las
siguientes herramientas:

The Sleuth Kit [1]

Conjunto de herramientas de análisis forense de libre
distribución.

Autopsy [2]

VMWare Workstation [3]

EnCase Forensic Edition v 4.22 [4]

Red Hat Linux [5]

Mount Image Pro [6]

Utilidades de sysinternals.com [7]

Utilidades de análisis forense de
Foundstone [8]

Panda Titanium 2006 Antivirus +
Antispyware. [9]
CA eTrust PestPatrol 2005. [10]
CA eTrust EZ-Antivirus 2005 [10]
Proactive Password Auditor [11]

Chntpw [12]
LADS [13]

Interfaz gráfico para The Sleuth Kit. También de libre
distribución.

Aplicación comercial que permite emular máquinas
virtuales Intel x86.

Herramienta comercial específica para el análisis
forense de sistemas informáticos.

Muchos de los comandos del sistema constituyen
verdaderas herramientas de análisis forense.

Utilidad para montar en Windows los archivos de
imágenes, conservando la integridad de la imagen.

www.sysinternals.com es una buena fuente de diversas
utilidades de Windows, muy útiles para el análisis
forense, como Autoruns, Process Explorer, PsLogList ó
RootkitRevealer.

www.foundstone.com proporciona también una lista de
herramientas útiles para el investigador, como pasco ó
galleta.

Programa antivirus.

Programa AntiSpyware

Programa antivirus

Herramienta de crackeo de passwords de Windows,
www.elcomsoft.com/ppa.html

Editor offline de los passwords de Windows.

Utilidad para la búsqueda de Alternate Data Stream.

Pág. 3

Informe técnico


Microsoft Excel [14]

Google [15]

Empleado para consolidar las distintas fuentes de
información, y hacer filtros sobre la misma.

Buscador de información en la web.


Entorno de trabajo
Para facilitar el análisis del sistema facilitado en forma de imagen, el entorno de
investigación empleado está basado en emplear VMWare Workstation. En
primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la
imagen proporcionada es suficiente) y en él, tras determinar que la imagen
proporcionada es únicamente una partición y no un disco completo, creamos una
partición con –exactamente- el mismo tamaño que la imagen del reto. Finalmente,
copiamos con ‘dd’ la imagen a esta partición recién creada. Con ello se obtiene
un disco virtual que contiene todos los datos del reto.
La ventaja de crear un disco así es que, configurando la máquina virtual de
vmware para acceder al mismo en modo “no-persistente”, podemos acceder al
mismo cuantas veces queramos despreocupándonos de la posibilidad de alterar
accidentalmente la evidencia proporcionada.
Con acceso a ese disco, creamos varios entornos de trabajo de vmware:
Entorno 1, con Windows XP, y una serie de herramientas de análisis forense a
emplear, principalmente EnCase y diversas utilidades de sysinternals. Este
entorno tiene acceso tant