Publicado el 27 de Junio del 2017
2.314 visualizaciones desde el 27 de Junio del 2017
263,4 KB
21 paginas
Creado hace 18a (02/03/2006)
Informe
Reto Forense 3
- Informe Técnico -
(http://www.seguridad.unam.mx/eventos/reto/)
Fernando Gozalo Díaz
Madrid (España)
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 1/21
Tabla de contenidos
Antecedentes del incidente ____________________________________________ 3
Recolección de datos _________________________________________________ 3
Descripción de la evidencia ____________________________________________ 3
Entorno del análisis___________________________________________________ 4
Descripción de las Herramientas ______________________________________ 4
Análisis de la evidencia _______________________________________________ 4
Información del sistema analizado_____________________________________ 4
Línea del tiempo del sistema ___________________________________________ 6
Alcance de la intrusión _______________________________________________ 19
¿El sistema ha sido comprometido? __________________________________ 19
¿Quién (desde dónde) se realizó el ataque? y ¿Cómo se realizó el ataque? _ 19
¿Qué hizo el atacante en el sistema comprometido? ____________________ 21
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 2/21
Antecedentes del incidente
El administrador de sistemas de una pequeña empresa ha notado que existe
una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún
acceso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya
principal función era proporcionar acceso al sistema ERP a través de la Web.
Hace poco tiempo que habían migrado al uso de este servidor.
Según el administrador, trataba de mantener el sistema actualizado por lo que
no sabe cómo pudieron acceder a su sistema. Sin embargo, también mencionó
que más de una persona tiene acceso a cuentas privilegiadas en el sistema y
aceptó que ocupaban a veces estas cuentas para
labores no sólo
administrativas, sino también personales o para aplicaciones que no requerían
ningún tipo de privilegio para ejecutarse.
Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió
y el alcance del daño al sistema y a la información contenida en él.
Recolección de datos
Se dispone de una Imagen de disco con el sistema. Se desconoce la
arquitectura de red (firewalls, etc).
Descripción de la evidencia
Imagen analizada: windows2003.dd (5.239.471.104 bytes)
Md5sum: 062cf5d1ccd000e20cf4c006f2f6cce4
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 3/21
Entorno del análisis
Para realizar el análisis se ha utilizado un Pentium 4 2GHZ con Windows XP
Professional. Además para corroborar resultados, se ha dispuesto de otra
máquina (un Pentium 3 800 Mhz) utilizando Live CD’s de recuperación de datos
(Helix y miniPE) un disco duro del mismo tamaño que el analizado (6GB) y se
ha volcado la imagen para contrastar los resultados obtenidos con la imagen.
Descripción de las Herramientas
Winimage (http://www.winimage.com/)
DD for Windows (http://uranus.it.swin.edu.au/~jn/linux/rawwrite/dd.htm),
Herramientas contenidas en Helix: (http://www.e-fense.com/helix/)
Herramientas contenidas en MiniPE:
(http://jacksonian.ca/brian/info/miniPE.htm)
Ultraedit (http://www.ultraedit.com/)
Visor de eventos de Windows:
(http://www.microsoft.com/resources/documentation/windows/xp/all/prod
docs/en-us/snap_event_viewer.mspx)
L0Phtcrack (http://www.securityfocus.com/tools/1005)
IEHistoryView (http://www.nirsoft.net/utils/iehv.html)
Virtual Disk Driver (v3) (http://chitchat.at.infoseek.co.jp/vmware/vdk.html)
Análisis de la evidencia
Información del sistema analizado
Sistema operativo
Nombre del Host
Parches instalados
Microsoft Windows 2003 R2 AdvancedServer Service
Pack 1 en Inglés.
COUNTERS
KB890046, KB896358, KB896422, KB896424,
KB896428, KB896688, KB896727, KB899587,
KB899589, KB901017, KB901214, KB902400,
KB903235, KB905414, KB908519, Q147222
480MB
Memoria física:
Software (excluyendo el del sistema operativo) instalado en el servidor, por
orden cronológico de instalación:
Fecha y Hora
Software y localización del instalable
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 4/21
27/01/2006,3:00:53
27/01/2006,3:03:12
27/01/2006,3:38:20
01/02/2006,19:50:53
01/02/2006,19:51:33
01/02/2006,19:57:14
04/02/2006,23:59:27
1.3.34
instalado
desde DP(1)0-
Apache
0+5\ERP\apache_1.3.34-win32-x86-no_src.exe
PHP 4.4.2 instalado desde DP(1)0-0+5\ERP\php-
4.4.2-installer.exe
MySQL 4.1.16 instalado desde C:\Documents
and
Settings\Administrator\Desktop\mysql-
4.1.16-win32\Setup.exe
Firefox 1.5 instalado desde C:\Documents and
Settings\Administrator\My
Documents\Firefox
Setup 1.5.exe
BitTorrent instalado desde C:\Documents and
Settings\Administrator\My Documents\BitTorrent-
4.4.0.exe
PostgreSQL
C:\Documents
Settings\Administrator\Desktop\postgresql-8.1.2-
1-binaries-no-installer\pgsql\bin\psql.exe
TCPView
0+6\herramientas\Tcpview.exe
desde
and
8.1.2-1
instalado
instalado
desde
DP(1)0-
Evidencia: fichero del visor de eventos localizado en
\WINDOWS\system32\config\SecEvent.Evt
Usuarios detectados en el sistema:
Información extraída con L0phtcrack 5 del fichero contenedor de la
SAM: \WINDOWS\system32\config\SAM
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 5/21
y otra más externa
En los ficheros de log del servidor Web, se han detectado varios escaneos de
Nessus y Nikto. Las direcciones de los escaneos han sido internas dos de ellas
(192.168.100.144, 192.168.5.32,
(84-18-17-
15.usul.arrakis.es [84.18.17.15]). Las internas han sido escaneos de “Nikto”, la
externa parece haber ha utilizado “Nessus”.
Evidencia en “\apache\Apache\logs” ficheros: access.log y error.log
No se han detectado fallos reportados a Securiteam de Buffer Overflow en los
programas instalados que tienen puertos TCP/IP expuestos a Internet (MySQL,
Apache)
El sistema aparte de servidor de ficheros y dominio se usa para albergar una
aplicación Web llamada Web-erp (http://www.weberp.org/ puede verse una
demo de ella en : http://web-erp.sourceforge.net/web-erp/index.php)
El administrador tras la instalación de este producto, modifica el fichero de
configuración “config.php” y se olvida que ha dejado un fichero .bak de
configuración (que no parece haber sido accedido vía http (access.log)) (en
cualquier caso no le sería útil a un atacante ya que no contiene la contraseña
correcta de la BD).
Evidencia en \apache\Apache\htdocs\web-erp\ ficheros: config.php.bak y
config.php
Configuración de .bak:
$dbType = 'mysql';
$DatabaseName='weberp';
// sql user & password
$dbuser = 'weberp_db_user';
$dbpassword = 'weberp_db_pwd';
Configuración Actual:
$dbType = 'mysql';
$DatabaseName='weberp';
// sql user & password
$dbuser = 'weberp_us';
$dbpassword = '';
fichero
Línea del tiempo del sistema
Gracias a que como vemos a continuación el Administrador habilita la
auditoría en fecha y hora: 26/1/2006 23:12:52
Evidencia:
\WINDOWS\system32\config\SecEvent.Evt
26/01/2006,23:12:52,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error
+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto
+ + Uso privilegiado
eventos
del
visor
de
20/02/2006
Informe Reto forense 3 – Informe Técnico – v2
Pág. 6/21
(0x0,0xEFAA)"
Administrator
COUNTERS
Nombre de usuario:
Nombre de dominio:
Id. de inicio de sesión:
Administrator
COUNTERS
Nombre de usuario:
Nombre de dominio:
Id. de inicio de sesión:
- - Administración de cuentas
+ + Cambio de directiva
+ + Sistema
+ + Seguimiento detallado
+ + Acceso del servicio de directorio
+ - Cuenta de inicio de sesión
Cambiado por:
26/01/2006,23:12:49,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error
+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto
+ + Uso privilegiado
- - Administración de cuentas
+ + Cambio de directiva
+ + Sistema
- - Seguimiento detallado
+ + Acceso del servicio de directorio
+ - Cuenta de inicio de sesión
Cambiado por:
26/01/2006,23:12:42,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error
+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto
+ + Uso privilegiado
- - Administración de cuentas
+ + Cambio de directiva
- - Sistema
- - Seguimiento detallado
+ + Acceso del servicio de directorio
+ - Cuenta de inicio de sesión
Cambiado por:
26/01/2006,23:12:34,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error
+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto
- - Uso privilegiado
- - Administración de cuentas
+ + Cambio de directiva
- - Sistema
- - Seguimiento detallado
+ +
Comentarios de: Inform Reto Forense 3 - Informe Técnico (0)
No hay comentarios