PDF de programación - Reto de Análisis Forense V3.0 - Informe Técnico

Titulo: Informe Técnico
Fecha: 21/Mar/ 2006



Reto Forense V3.0
UNAM-CERT/ IRIS CERT



Reto de Análisis Forense V3.0

UNAM – CERT / IRIS –CERT



Informe Técnico



Ing.-Juan Ángel Hurtado
Monterrey N.L México



1

Titulo: Informe Técnico
Fecha: 21/Mar/ 2006



Reto Forense V3.0
UNAM-CERT/ IRIS CERT

2.1
2.2



1 INTRODUCCIÓN ......................................................................................................................................... 3
1.1 PRESENTACIÓN ......................................................................................................................................... 3
1.2 ANTECEDENTES ........................................................................................................................................ 3
2 LABORATORIO ........................................................................................................................................... 4
INSTALACIÓN DE LABORATORIO....................................................................................................... 4
DESCARGA Y PREPARACIÓN DE IMÁGENES. ...................................................................................... 5
3 ANÁLISIS FORENSE................................................................................................................................... 7
IDENTIFICACIÓN DEL SISTEMA ANALIZADO. ..................................................................................... 7
IDENTIFICACIÓN DE LA APLICACIÓN ERP. ...................................................................................... 12
COLECTANDO EVENTOS DEL SISTEMA OPERATIVO.......................................................................... 15
RECONSTRUCCIÓN DE LA APLICACIÓN ERP.................................................................................... 20
COLECTANDO EVENTOS DEL WEBERP........................................................................................... 23
COLECTANDO EVIDENCIA DEL FILE SYSTEM. ................................................................................. 28
FORMULANDO LA TEORÍA DEL ATAQUE. ......................................................................................... 35
CONSIDERACIONES SOBRE LA TEORÍA. ........................................................................................... 38
RECOMENDACIONES AL ADMINISTRADOR....................................................................................... 39
CONCLUSIONES ................................................................................................................................. 40
RESPUESTAS A LAS PREGUNTAS PLANTEADAS POR EL RETO. .......................................................... 40
CORRESPONDENCIA CON LA ESTRUCTURA DE REPORTE SUGERIDA. ................................................ 40
AGRADECIMIENTOS. ....................................................................................................................... 40
ANEXOS ................................................................................................................................................ 41
ANEXO 1 EVENTOS RELEVANTES DE LA CUENTA JOHNATAN A PARTIR DEL INCIDENTE. ................. 41
ANEXO 2 EVENTOS RELEVANTES DE LA CUENTA VER0K. ............................................................... 43
ANEXO 3 COMO FUNCIONA EL PORT DEL EXPLOIT EN EL METASPLOIT. .......................................... 47

3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9

4.1
4.2
4.3

5.1
5.2
5.3

4

5



2

Titulo: Informe Técnico
Fecha: 21/Mar/ 2006



Reto Forense V3.0
UNAM-CERT/ IRIS CERT



1 Introducción



1.1 Presentación

El presente documento fue elaborado en atención a la convocatoria

lanzada por UNAM-CERT/Red Iris para el tercer concurso hispano de Análisis
Forense “Reto Forense Episodio III”. El mismo describe desde un punto de vista
técnico el desarrollo, metodologías usadas y conclusiones a las que se llegaron a
partir del análisis forense realizado sobre la imagen proporcionada por los
organizadores para este fin.


La audiencia pretendida por este documento, es personal con
conocimientos de sistemas y seguridad informática. Se pretende además que este
documento sirva como referencia para aquellas personas interesadas los temas
de seguridad informática y análisis forense computacional. La metodología usada,
descrita de una forma muy breve, consistió en la preparación del laboratorio,
identificación del sistema a examinar, extracción y documentación de evidencia,
relación de hechos aislados, elaboración de hipótesis y conclusiones a partir de la
evidencia colectada. Pasemos pues al tema que nos ocupa.



1.2 Antecedentes

operaba el sistema posiblemente comprometido. Transcribo:



Este año los organizadores nos describen la situación bajo la cual

A continuación se describe la situación en que operaba el sistema cuya imagen se ha proporcionado para el Reto
Forense Episodio III: El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él
no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar
acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor. Según el
administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema.
Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y
aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para
aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

En el texto se indica que el sistema operativo es un Windows 2003 (No se
menciona la versión), cuya principal función era un proporcionar acceso a un ERP
(Enterprise Resource Planning1) a través de Web, no se mencionan datos del
ERP. Se nos indica además que tenían poco tiempo con el servidor y que mas de
un usuario tenia acceso a cuentas privilegiadas en el. El administrador detecto una
cuenta que el no creo en el ERP (No se indica cual cuenta), por lo que usaremos
el ERP como pivote para realizar la investigación alrededor de el.

_____________________

1 Ver http://es.wikipedia.org/wiki/Sistema_de_planificaci%C3%B3n_de_recursos



3

Titulo: Informe Técnico
Fecha: 21/Mar/ 2006



Reto Forense V3.0
UNAM-CERT/ IRIS CERT



2 Laboratorio

Instalación de laboratorio.
Para elaborar el análisis se preparo un

2.1
laboratorio mismo que a

continuación se describe: Se utilizo como plataforma una Laptop Toshiba Satellite
A25 con 40GB en disco duro, 250 Mb. De memoria, procesador Pentium a 2.5
GHz. y Windows XP Professional como sistema operativo de base. Se instalo una
versión de prueba de VMWare Workstation Versión 5.5.12. Usando el VMWare se
creo una maquina virtual de 15 Gb. De disco duro y 128 Mb en memoria, en ella
se instalo el sistema operativo Knoppix Versión 3.63 el cual es una distribución
Linux basado en Debian. Se escogió esta versión de sistema operativo debido a
que al instalarlo ya cuenta con librerías que permiten montar file systems NTFS,
además de que originalmente viene como Live CD con opción a instalarse en
disco duro, mas información acerca de esta distribución puede ser encontrada en
www.knoppix.net. Para instalarlo se inserta el Live CD y se ejecuta el knoppix-
installer. Una vez instalado el sistema operativo se instalaron las herramientas que
a continuación enumero:

En el Knoppix:
- sleuthkit-1.73 : El cual puede ser descargado de http://www.sleuthkit.org/

es un paquete que contiene una serie de herramientas open source que permiten
colectar información de imágenes de sistema operativo.


de
http://www.sleuthkit.org/autopsy es un paquete que contiene una interfaz grafica
para el uso de las herramientas de the sleuthkit adicionalmente permite gestionar
el caso.

disponible para Windows y Linux (http:// www.f-prot.com).

En el Windows XP:

- AccessData Registry Viewer : El cual puede ser descargado de es una
herramienta que permite explorar archivos de registro de Windows incluido
Windows 2003 (Se utilizo una versión Demo).


El cual puede ser descargado de
http://www.nirsoft.net es una herramienta que permite explorar freeware que
permite explorar archivos de historia del tipo del navegador Internet Explorer.


- F-prot : El cual puede ser descargado de es un potente antivirus

-autopsy-2.03:

descargado

-

IEHistoryView v1.31

:



puede

ser

El

cual

- Xampp para Windows : El cual puede ser descargado de es un entorno
de desarrollo Web que incluye el servidor web apache con php y la base de datos
mysql. (http://www.apachefriends.org/en/xampp.html )
____________________
2 Ver http://www.vmware.com
3 Ver http://www.knnoppix.net



4

Titulo: Informe Técnico
Fecha: 21/Mar/ 2006



Reto Forense V3.0
UNAM-CERT/ IRIS CERT



- Visor de sucesos de Windows: Es una herramienta incluida en
Windows XP y versiones superiores, con la cual es posible explorar los eventos
registrados en los archivos de eventos de una maquina con Windows.


- SAMDUMP.EXE: Es una herramienta que permite la extracción