PDF de programación - Inform Reto Forense 3 - Informe Técnico

Informe

Reto Forense 3

- Informe Técnico -

(http://www.seguridad.unam.mx/eventos/reto/)

Fernando Gozalo Díaz


Madrid (España)



20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 1/21

Tabla de contenidos



Antecedentes del incidente ____________________________________________ 3

Recolección de datos _________________________________________________ 3

Descripción de la evidencia ____________________________________________ 3

Entorno del análisis___________________________________________________ 4

Descripción de las Herramientas ______________________________________ 4

Análisis de la evidencia _______________________________________________ 4

Información del sistema analizado_____________________________________ 4

Línea del tiempo del sistema ___________________________________________ 6

Alcance de la intrusión _______________________________________________ 19

¿El sistema ha sido comprometido? __________________________________ 19

¿Quién (desde dónde) se realizó el ataque? y ¿Cómo se realizó el ataque? _ 19

¿Qué hizo el atacante en el sistema comprometido? ____________________ 21


20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 2/21

Antecedentes del incidente

El administrador de sistemas de una pequeña empresa ha notado que existe
una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún
acceso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya
principal función era proporcionar acceso al sistema ERP a través de la Web.
Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que
no sabe cómo pudieron acceder a su sistema. Sin embargo, también mencionó
que más de una persona tiene acceso a cuentas privilegiadas en el sistema y
aceptó que ocupaban a veces estas cuentas para
labores no sólo
administrativas, sino también personales o para aplicaciones que no requerían
ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió
y el alcance del daño al sistema y a la información contenida en él.



Recolección de datos
Se dispone de una Imagen de disco con el sistema. Se desconoce la
arquitectura de red (firewalls, etc).



Descripción de la evidencia
Imagen analizada: windows2003.dd (5.239.471.104 bytes)
Md5sum: 062cf5d1ccd000e20cf4c006f2f6cce4



20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 3/21

Entorno del análisis

Para realizar el análisis se ha utilizado un Pentium 4 2GHZ con Windows XP
Professional. Además para corroborar resultados, se ha dispuesto de otra
máquina (un Pentium 3 800 Mhz) utilizando Live CD’s de recuperación de datos
(Helix y miniPE) un disco duro del mismo tamaño que el analizado (6GB) y se
ha volcado la imagen para contrastar los resultados obtenidos con la imagen.



Descripción de las Herramientas

Winimage (http://www.winimage.com/)
DD for Windows (http://uranus.it.swin.edu.au/~jn/linux/rawwrite/dd.htm),
Herramientas contenidas en Helix: (http://www.e-fense.com/helix/)
Herramientas contenidas en MiniPE:
(http://jacksonian.ca/brian/info/miniPE.htm)
Ultraedit (http://www.ultraedit.com/)
Visor de eventos de Windows:
(http://www.microsoft.com/resources/documentation/windows/xp/all/prod
docs/en-us/snap_event_viewer.mspx)
L0Phtcrack (http://www.securityfocus.com/tools/1005)
IEHistoryView (http://www.nirsoft.net/utils/iehv.html)
Virtual Disk Driver (v3) (http://chitchat.at.infoseek.co.jp/vmware/vdk.html)



Análisis de la evidencia



Información del sistema analizado


Sistema operativo

Nombre del Host
Parches instalados


Microsoft Windows 2003 R2 AdvancedServer Service
Pack 1 en Inglés.
COUNTERS
KB890046, KB896358, KB896422, KB896424,
KB896428, KB896688, KB896727, KB899587,
KB899589, KB901017, KB901214, KB902400,
KB903235, KB905414, KB908519, Q147222
480MB

Memoria física:


Software (excluyendo el del sistema operativo) instalado en el servidor, por
orden cronológico de instalación:

Fecha y Hora

Software y localización del instalable


20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 4/21

27/01/2006,3:00:53

27/01/2006,3:03:12

27/01/2006,3:38:20

01/02/2006,19:50:53

01/02/2006,19:51:33

01/02/2006,19:57:14

04/02/2006,23:59:27

1.3.34

instalado

desde DP(1)0-

Apache
0+5\ERP\apache_1.3.34-win32-x86-no_src.exe
PHP 4.4.2 instalado desde DP(1)0-0+5\ERP\php-
4.4.2-installer.exe
MySQL 4.1.16 instalado desde C:\Documents
and
Settings\Administrator\Desktop\mysql-
4.1.16-win32\Setup.exe
Firefox 1.5 instalado desde C:\Documents and
Settings\Administrator\My
Documents\Firefox
Setup 1.5.exe
BitTorrent instalado desde C:\Documents and
Settings\Administrator\My Documents\BitTorrent-
4.4.0.exe
PostgreSQL
C:\Documents
Settings\Administrator\Desktop\postgresql-8.1.2-
1-binaries-no-installer\pgsql\bin\psql.exe
TCPView
0+6\herramientas\Tcpview.exe

desde
and

8.1.2-1

instalado

instalado

desde

DP(1)0-



Evidencia: fichero del visor de eventos localizado en
\WINDOWS\system32\config\SecEvent.Evt

Usuarios detectados en el sistema:


Información extraída con L0phtcrack 5 del fichero contenedor de la
SAM: \WINDOWS\system32\config\SAM



20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 5/21



y otra más externa

En los ficheros de log del servidor Web, se han detectado varios escaneos de
Nessus y Nikto. Las direcciones de los escaneos han sido internas dos de ellas
(192.168.100.144, 192.168.5.32,
(84-18-17-
15.usul.arrakis.es [84.18.17.15]). Las internas han sido escaneos de “Nikto”, la
externa parece haber ha utilizado “Nessus”.
Evidencia en “\apache\Apache\logs” ficheros: access.log y error.log

No se han detectado fallos reportados a Securiteam de Buffer Overflow en los
programas instalados que tienen puertos TCP/IP expuestos a Internet (MySQL,
Apache)

El sistema aparte de servidor de ficheros y dominio se usa para albergar una
aplicación Web llamada Web-erp (http://www.weberp.org/ puede verse una
demo de ella en : http://web-erp.sourceforge.net/web-erp/index.php)
El administrador tras la instalación de este producto, modifica el fichero de
configuración “config.php” y se olvida que ha dejado un fichero .bak de
configuración (que no parece haber sido accedido vía http (access.log)) (en
cualquier caso no le sería útil a un atacante ya que no contiene la contraseña
correcta de la BD).

Evidencia en \apache\Apache\htdocs\web-erp\ ficheros: config.php.bak y
config.php

Configuración de .bak:
$dbType = 'mysql';
$DatabaseName='weberp';
// sql user & password
$dbuser = 'weberp_db_user';
$dbpassword = 'weberp_db_pwd';

Configuración Actual:
$dbType = 'mysql';
$DatabaseName='weberp';

// sql user & password
$dbuser = 'weberp_us';
$dbpassword = '';



fichero

Línea del tiempo del sistema

Gracias a que como vemos a continuación el Administrador habilita la
auditoría en fecha y hora: 26/1/2006 23:12:52
Evidencia:
\WINDOWS\system32\config\SecEvent.Evt


26/01/2006,23:12:52,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error


+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto


+ + Uso privilegiado

eventos

del

visor

de


20/02/2006



Informe Reto forense 3 – Informe Técnico – v2



Pág. 6/21

(0x0,0xEFAA)"

Administrator
COUNTERS

Nombre de usuario:
Nombre de dominio:
Id. de inicio de sesión:

Administrator
COUNTERS

Nombre de usuario:
Nombre de dominio:
Id. de inicio de sesión:

- - Administración de cuentas
+ + Cambio de directiva
+ + Sistema
+ + Seguimiento detallado
+ + Acceso del servicio de directorio
+ - Cuenta de inicio de sesión



Cambiado por:



26/01/2006,23:12:49,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:

Éxito Error
+ - Inicio de sesión/Fin de sesión

- - Acceso a objeto

+ + Uso privilegiado

- - Administración de cuentas


+ + Cambio de directiva
+ + Sistema

- - Seguimiento detallado

+ + Acceso del servicio de directorio


+ - Cuenta de inicio de sesión

Cambiado por:



26/01/2006,23:12:42,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error


+ - Inicio de sesión/Fin de sesión
- - Acceso a objeto

+ + Uso privilegiado

- - Administración de cuentas

+ + Cambio de directiva


- - Sistema
- - Seguimiento detallado

+ + Acceso del servicio de directorio


+ - Cuenta de inicio de sesión

Cambiado por:



26/01/2006,23:12:34,Security,Aciertos,Cambio de plan ,612,S-1-5-21-
2780117151-1340924567-2512508698-500,COUNTERS,"Cambio de directiva de
auditoría:
Nueva directiva:
Éxito Error

+ - Inicio de sesión/Fin de sesión


- - Acceso a objeto
- - Uso privilegiado

- - Administración de cuentas

+ + Cambio de directiva

- - Sistema


- - Seguimiento detallado
+ +