PDF de programación - Reto Análisis Forense UNAM-CERT / REDIRIS - Informe Ejecutivo

Imágen de pdf Reto Análisis Forense UNAM-CERT / REDIRIS - Informe Ejecutivo

Reto Análisis Forense UNAM-CERT / REDIRIS - Informe Ejecutivográfica de visualizaciones

Publicado el 27 de Junio del 2017
1.345 visualizaciones desde el 27 de Junio del 2017
73,2 KB
8 paginas
Creado hace 18a (01/03/2006)
Juan Garrido Caballero
UNAM-CERT / RED IRIS



INFORME EJECUTIVO

Informe Ejecutivo
Reto Análisis Forense



Reto Análisis Forense UNAM-CERT / RED IRIS



“Aceptar nuestra vulnerabilidad
en lugar de tratar de ocultarla
es la mejor manera de
adaptarse a la realidad”

David Viscott, Psiquiatra y
escritor, 1938-1996



Juan Garrido Caballero
UNAM-CERT / RED IRIS



Informe Ejecutivo
Reto Análisis Forense
Índice

Audiencia.…………………………………………………………………………………………..3

Introducción.…………………………………………………………………………………….…3

Motivo de la Intrusión………………………………………………………………………...4

Análisis realizado…………………………………………………………………….………….6

Recomendaciones…………………………………………………………………….………..7



Informe Ejecutivo
Reto Análisis Forense
Informe Ejecutivo

Audiencia



Juan Garrido Caballero
UNAM-CERT / RED IRIS

El objetivo de este Reto Forense episodio III es motivar el desarrollo en el
área de cómputo forense en Iberoamérica, proporcionando los elementos
necesarios para realizar un análisis y que los resultados sean evaluados por
expertos reconocidos en el área.

Atendiendo a la idea de RED IRIS y UNAM-CERT, este documento y el siguiente
(Informe Técnico), seguirá un estilo informal sin despreciar el aspecto
técnico. Al (intentar) facilitar su lectura, se pretende que los documentos
lleguen a más personas, y que su finalidad sea la de motivar y ayudar a los
demás.


Introducción

El presente documento explicará brevemente el análisis que se ha realizado
sobre la máquina COUNTERS.
El presente análisis se ha realizado utilizando una máquina instalada para tal
efecto con el sistema operativo propietario Windows 2000 Server.
El fichero “Windows2003.img” correspondiente a la máquina afectada se
montó como sistema de archivos de solo lectura.
Las herramientas utilizadas en el análisis, son las habituales en cualquier
sistema operativo Windows, necesitando en algún momento determinado
herramientas de terceros.
El análisis se centra sobre todo en la información obtenida a partir de la
disección de ficheros de sistema, tales como Index.dat, archivos .Evt (Visor de
sucesos) y archivos de registro de Windows, así como en las fechas,
descartándose la información relativa a procesos de sistema y volcado de
memoria física.






Informe Ejecutivo
Reto Análisis Forense
Motivo de la Intrusión

En este apartado intentaremos contestar a esas maravillosas preguntas que
sólo personas como el detective Colombo o la Señora Fleischer se preguntaron
tantas veces:


Juan Garrido Caballero
UNAM-CERT / RED IRIS

¿El sistema ha sido comprometido?
Si el sistema fue comprometido, ¿Desde donde se realizó el ataque?
¿Cómo se realizó el ataque?
¿Qué hizo el atacante?
Y la más importante… ¿Quién?


La intrusión a la máquina Windows 2003 Server se realizó el día 05 de Febrero
del año 2006, a las 21:44:11 horas, fecha en la que aparece el primer indicio
del ataque.
El atacante tuvo acceso físico al sistema el día 05 de Febrero del año 2006, a
las 21:47:21, es decir, tres minutos y diez segundos después del ataque.
Durante la intrusión, el atacante estuvo realizando distintas acciones, con el
fin de apoderarse de varios ficheros de la máquina, vulnerando así la
privacidad de muchos clientes.
El atacante no borró ninguna acción que realizó en la máquina, bien porque
no sabía lo que hacía, o bien porque el administrador de sistemas se dio
cuenta a tiempo.
Para garantizar su “futuro” acceso a la máquina, el atacante se creó una
cuenta con privilegios de Administrador, modificando un exploit que atacaba
al motor de proceso de gráficos de Windows (Graphics Rendering Engine).

Según la Wikipedia, la definición de exploit es la siguiente:

“Código escrito con el fin de aprovechar un error de programación para
obtener diversos privilegios software”

En pocas palabras, los exploits son técnicas que aprovechan fallos de
seguridad (vulnerabilidades).
Los detalles del fallo de seguridad se encuentran detallados en las siguientes
direcciones:

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

http://www.vsantivirus.com/faq-wmf-exploit.htm

http://www.kb.cert.org/vuls/id/181038


Esta vulnerabilidad permite al atacante ejecutar cualquier comando con los
privilegios de usuario. Dado que el usuario que estaba en ese momento en la
máquina (Johnatan) tenía privilegios de Administrador, el exploit pudo
ejecutar acciones privilegiadas, tales como crear usuarios, modificar
permisos, etc., sin ningún problema.





Juan Garrido Caballero
Informe Ejecutivo
Reto Análisis Forense
UNAM-CERT / RED IRIS
La dirección IP desde la que se originó el ataque quedó reflejada en el archivo
Index.dat del histórico de páginas visitadas del navegador Internet Explorer.

URLindex.datVisited:
Johnatan@http://70.107.249.150:8080/clientes.wmfindex.dat Sun Feb 5
20:44:10 2006 index.dat Sun Feb 5 20:44:10 2006 index.datURL index.dat
index.dat

URLindex.datVisited:
Johnatan@http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KM
sfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9zhOEMQ052zYwSU5Oi/AUWWckI2mU/
LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff index.datSun Feb 5 20:44:11 2006
index.dat Sun Feb 5 20:44:11 2006 index.datURL index.dat index.dat

La dirección desde la que se obtuvo acceso físico al sistema (70.107.249.155)
quedó grabada en el archivo Security, gracias a que el Administrador del
sistema auditó los objetos de inicio-cierre de sesión para su posterior
visualización con el visor de sucesos.

Las direcciones IP causantes del ataque (70.107.249.150 y 70.107.249.155) nos
llevan a New York (Estados Unidos) y a Virginia (Estados Unidos) como posibles
direcciones del atacante.
Un localizador de IP no revela la posición geográfica del atacante, sino la de
su dirección IP (o donde estaba su IP en ese momento). También cabe señalar
que las bases de datos en las que se basan los localizadores de IP sean
incorrectas o no estén actualizadas, ya que las direcciones dinámicas cambian
cada cierto tiempo de “dueño”.
El origen del ataque se podría haber concretado más, si la máquina hubiese
estado detrás de un Firewall que monitorizase los controles de acceso, o si la
red en donde se encontraba el equipo atacado estuviese monitorizada por un
dispositivo de detección de intrusiones (IDS).

Del fichero de Registro del usuario ver0k (NTUSER.DAT) se pudo determinar
una de las dos direcciones de correo electrónico que pudo usar el atacante
para enviar datos y descargar posibles aplicaciones:

[email protected]

La segunda dirección se adjunta a modo de curiosidad, ya que no se puede
determinar si ésta cuenta pertenece realmente a nuestro ver0k. Se
consiguieron sus datos personales, gracias a que se fueron visitando las
últimas Web que dicho usuario visitó con el navegador Internet Explorer. Se
consiguió diseccionando el archivo Index.dat del histórico de páginas visitadas
por el navegador en cuestión. Los datos personales y la dirección de correo
“alternativa” que conseguimos del atacante fueron las siguientes:






Juan Garrido Caballero
UNAM-CERT / RED IRIS

Informe Ejecutivo
Reto Análisis Forense
Nombre: Verónica
Apellido: Santana
Fecha de Nacimiento: 12 de Febrero de 1970
Sexo: Femenino
País de residencia: México
Provincia: Aguascalientes
Ciudad: Jardín Balbuena
Dirección: Unidad 1 Número 234
Código Postal: 15900
Teléfono: 55714615
Correo electrónico: [email protected]


Análisis realizado

El análisis de la imagen comprometida se realizó entre los días 13 y 17 de
Febrero del año 2006. Para el análisis en cuestión se utilizó una máquina AMD
Athlon XP 2600 con 1GB de memoria RAM, un disco duro de 20 GB en donde se
instaló un sistema operativo Windows 2000 Server desde cero para el análisis,
con todas las actualizaciones de seguridad, y sin conexión a la red, porque,
aunque las imágenes se montaron en modo de sólo lectura, toda precaución es
poca.
Como anécdota destaco que entre la actualización del sistema operativo, la
descompresión de imágenes, y el montaje de las mismas, tuve tiempo más
que suficiente para comer (un BigMac y patatas Deluxe), jugar un billarcito en
el bar de la esquina, y tomarme con unos amigos un par de cervecitas.

Las herramientas utilizadas fueron las habituales en un sistema operativo
Windows, utilizando para la edición de registro y la disección de algunos
“ficheros especiales” herramientas de terceros.

Como no disponía de la máquina física en la cual se originó el ataque,
descarté hacer un análisis en base a los libros y manuales y atendiendo a la
volatilidad de la información:


Memoria del Sistema
Procesos en ejecución
Conexiones de red
Ficheros y sistemas de Ficheros
Bloques de disco


Pasé automáticamente a analizar los ficheros. Creo que después de las
investigaciones, pude obtener datos más que suficientes para contestar a las
preguntas más importantes de un análisis forense.






Juan Garrido Caballero
UNAM-CERT / RED IRIS

Informe Ejecutivo
Reto Análisis Forense
Recomendaciones

Como todos sabemos, una máquina no es, ni nunca será, 100% invulnerable.
Las máquinas, aplicaciones y hardware están fabricadas por personas, y como
todos sabemos, el único ser que
  • Links de descarga
http://lwp-l.com/pdf4724

Comentarios de: Reto Análisis Forense UNAM-CERT / REDIRIS - Informe Ejecutivo (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad