PDF de programación - Fast & Furious Incident Response

Fast & Furious Incident Response

Juan Garrido

@tr1ana

Agenda

¿Qué es un incidente?

Incidentes en la actualidad

Preparar una empresa para IR

Qué hacer cuando ha habido un ataque

Herramientas existentes

Conclusiones

3

¿Qué es un incidente?

Incidente

• Violación de las políticas de seguridad de una empresa

• Ejemplos:

• Denegación de servicio

• Ejecución de malware a través de attachment

• Fuga de información

• Etc..

4

Brechas de seguridad. Año 2015

80.000
incidentes

Se conoce el
motivo

• 70%

Attachment

• 11%

Compromisos
reales

• 2.000

Phishing como
elemento
principal

• 23%

TOP 3

Public

30%

Bank
50%

IT/Information

20%

¿Realmente nos espían?

Capacidad de respuesta

¿Lecciones aprendidas?

• Depende siempre desde el prisma del que se mire

• Si no hay SDL/SIL/TM, no habrá lección aprendida

• El Ego ayuda a “trasladar la culpa”, no a asumirla

• El software/hardware de seguridad no es la solución – Es parte de -

Preparar empresa para IR

• Formar equipo de IR

– Manager, técnicos, herramientas, procedimientos, etc..

• Preparar un plan de acción

– Misión

– Estrategia

– Formularios

– Interlocutores internos

– Comunicaciones

– Métricas

– Training

– Etc..

¿Qué hacer ante una intrusión?

• Keep calm

– Intentar categorizar y establecer pautas.

– Tener claro quienes son los interlocutores

• Artifacts

– Determinar origen de la intrusión

– Extraer artifacts de equipos afectados

– Análisis de los artifacts

– Documentar incidente

– Priorizar acciones

– Notificaciones

– Recuperar el control

– Lecciones aprendidas

Variables inamovibles en un IR

• Entorno hostil

• Múltiples consultas en N servidores y/o clientes

• ¿Arquitectura homogénea?

• ¿Arquitectura heterogénea?

• ¿Sistemas gobernados?

• Visibilidad

• Segmentación de Red

• DMZ

Top fallos

• Tiempo

• ¿Cuándo nos enteramos del ataque?

• Datos

•

Cantidad no significa calidad

• Herramientas

•

¿homologadas?¿Normalizadas?, Etc..

• Documentación

•

¿Con qué cuenta levanta qué servicio?

• Personal

•

¿Formación? ¿Visibilidad dentro de la empresa?

Consultoría

• Fallos de consultoría

• Todo pasa por la instalación de una

herramienta

• Múltiples agentes por sistema
• Baja interoperabilidad
• Mantenimiento

• Posibles soluciones

• Adaptar los sistemas a las nuevas

ventajas del OS

• Sin agente

Herramientas IR

Aplicaciones

• Utilizan comandos del sistema

• Utilizan API del sistema

• En ocasiones desestabilizan el entorno

Utilización de Active Directory

GPO Logon/Logoff

• Requiere reinicio

• Lentitud en inicio de sesión

Herramienta IR

• Debe ser estable

• Debe estar probada por el equipo/auditor

• La información debe ser útil

• La información debe ser tratable

• Debe eliminar:

• Incompatibilidades con OS
• Ser considerada como herramienta de Hacking

Herramientas corporativas

Vendor/Tool C/P

Agent Portable

Mandiant IR No

Yes

No

Reporting

Licence

Low
level

Yes

Yes

No

Yes

Yes

Yes

Yes

Yes

Yes

Yes

44000 $
(<1000)

Free

Free

Per device

Free

Free

Google GRR Yes

Yes

Yes

No

No

No

No

No

No

No

Yes

Yes

RTIR(*)

Thor

Mandiant
IOC

Crowd
Response

Helix IR

Fireamp

(*) Only ticketing
C/P Cross Platform

No

No

Yes

No

No

No

Yes

No

Yes

Yes

No

No

Yes

No

Yes

Per device

30000$

Autenticación en Windows

•

Implementa una rica variedad de tecnologías de autenticación:

•

•

•

•

•

•

Contraseña

Tokens

Certificado

Biometría

Proveedores externos

Etc..

Protocolos de autenticación

• Definen normas y reglas

• El proceso de autenticación permite

• Autorizar usuarios, grupos y servicios

• Acceso a recursos bajo canales seguros

• Re-diseño a partir de Windows Vista

• Basado en API

• Escalable

Protocolos de autenticación

• Los protocolos de autenticación por defecto son:

• NTLM

• Kerberos

• Digest

• Schannel

• Añadidos en Windows 7/8/8.1

•

tspkg

• pku2u

•

livessp

Modelo de seguridad

• Componentes encargados de:

• Inicio de sesión correcto: Auth + Authorization

• Inicio de sesión incorrecto: Access Denied

• Autoridad de seguridad local (LSA)

• Subsistema que permite el inicio de sesión

• Define y aplica las políticas de seguridad local

• Inicios de sesión, derechos de usuario, etc..

• Traducción de nombre SID

Logon inicial

PC Bonita

2

Sesión Bonita

User: Sue
Password hash:
C9DF4E…

Servidor externo

Sesión Bonita

4

User: Bonita
Password hash:
C9DF4E…

3

User: Bonita

Password:
a1b2c3

1

1. Bonita mete usuario y password en el PC
2. PC genera la sesión de bonita
3. Bonita accede a servidor externo
4. Si todo coincide, servidor externo genera la sesión

321

Qué no hay que utilizar

Windows

• El ecosistema Microsoft es una gran API

• WMI

• Jscript

• VBScript

• Powershell

•

.NET

• Perl

• Etc…

WMI

•

Instrumental de administración de Windows

• Provee una API para consultas de bajo/alto nivel

•

Integrado con la mayoría de lenguajes

• Consultas similares a SQL

•

Información basada en Clave:Valor

• Soporta autenticación

321

Acceso a clases WMI

Eventos de Windows

• Registran información de todo lo que pasa en el sistema

• Servicios

• Auditoría

• Autenticación

• Etc..

• Soporte suscripción de eventos en W2K8

• Acceso a través de múltiples canales

Tipos de Logon

Logon

Type

2

10

4

5

7

8

9

Interactive

Remote Interactive

Batch

Service

Unlock

Network ClearText

NewCredentials

11

Cached Logon

Eventos de logon en 2003

ID

Description

A user successfully logged on to a computer.

Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password.

Logon failure. A logon attempt was made outside the allowed time.

Logon failure. A logon attempt was made using a disabled account.

Logon failure. A logon attempt was made using an expired account.

Logon failure. A logon attempt was made by a user who is not allowed to log on at the specified computer.

Logon failure. The user attempted to log on with a password type that is not allowed.

528

529

530

531

532

533

534

Eventos de logon en 2003

Logon failure. The password for the specified account has expired.

Logon failure. The Net Logon service is not active.

Description

Logon failure. The account was locked out at the time the logon attempt was made.

A user successfully logged on to a network.

A user initiated the logoff process.

A user successfully logged on to a computer with explicit credentials while already logged on as a different
user.

ID

535

536

539

540

551

552

682

A user has reconnected to a disconnected terminal server session.

A user disconnected a terminal server session but did not log off.

683

Note: This event is generated when a user is connected to a terminal server session over the network. It
appears on the terminal server.

Eventos de cuenta en 2008

ID

4624

4625

4648

4675

Description

An account was successfully logged on.

An account failed to log on.

A logon was attempted using explicit credentials.

SIDs were filtered.

Eventos de cuenta en 2008

ID

4649

4778

4779

4800

4801

4802

4803

5378

5632

5633

Description

A replay attack was detected.

A session was reconnected to a Window Station.

A session was disconnected from a Window Station.

The workstation was locked.

The workstation was unlocked.

The screen saver was invoked.

The screen saver was dismissed.

The requested credentials delegation was disallowed by policy.

A request was made to authenticate to a wireless network.

A request was made to authenticate to a wired network.

Automatización

• Logparser

• Permite realizar consultas de forma sencilla

• Sintaxis parecida a SQL

• Permite inicio local o remoto

• Posibilidad de invocar a través de objeto COM

321

Análisis de Log

WinRM

• Servicio de administración remota

• Opera bajo HTTP-HTTPS

• Soporte IPV4/IPV6

• Puerto 5985 (HTTP) – 5986 (HTTPS)

• Cliente por defecto en Windows 7/8/2K8/2K12

Linux

• OS Query (Facebook)

• http://osquery.io/

• Similar a WMI de Microsoft

• Instrumental de administración

• Lenguaje tipo SQL

• Sin agente

Thank you! Questions?

UK Offices

Manchester – Head office

London

Leatherhead

Milton Keynes

Cheltenham

Edinburgh

North American Offices

San Francisco

New York

Seattle

Chicago

Austin

Atlanta

Sunnyvale

Australian Offices

Sydney

European Offices

Amsterdam – Netherlands

Copenhagen – Denmark

Madrid - Spain

Munich – Germany

Zurich – Switzerland