PDF de programación - Experiencias y tendencias en investigaciones Digitales de gran escala

La defensa del patrimonio tecnológico
frente a los ciberataques

10 y 11 de diciembre de 2014

Experiencias y tendencias en
Investigaciones Digitales
de gran escala

© 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT

Carlos Fragoso

One eSecurity VP & CTO

SANS Institute · Community Instructor


[email protected]

www.ccn-cert.cni.es

2

VIII JORNADAS STIC CCN-CERT

Índice

1 Retos

2 Experiencias

3 Tendencias

4 Referencias

www.ccn-cert.cni.es

3

VIII JORNADAS STIC CCN-CERT

4

VIII JORNADAS STIC CCN-CERT





Afectando múltiples áreas organizativas, algunas críticas

Involucrados activos críticos e información sensible

Falta de contexto: importancia, dependencias…

Los atacantes conviven entre nosotros semanas, meses o años


 Debemos solucionarlo y analizarlo en horas, días o semanas

 Abarcando centenares o miles de sistemas diferentes
 Altos volúmenes de información a analizar (TBs)
 Distribución geográfica y administrativa diversa

5

VIII JORNADAS STIC CCN-CERT

Falta de documentación o diagramas actualizados


 Dificultad en la intercepción de tráfico o acceso equipos
 Dominios administrativos internos/externos ambiguos

Visibilidad y privilegios similares a un “insider”


 Saltos entre sistemas y enmascaramiento


Artefactos complejos con técnicas antiforenses
y alta volatilidad




Inexperiencia, falta de entrenamiento y formación

Falta de provisión de herramientas específicas para
respuesta e investigación digital

 Comunicación segura y control de la información

6

VIII JORNADAS STIC CCN-CERT

7

VIII JORNADAS STIC CCN-CERT

Experiencias: casos y actores

• Casos

• Espionaje industrial y abuso de sistemas de información

• Intrusiones persistentes con exfiltración de información

• Robo y difusión de información por parte de empleados

• Denegación de servicio

• Actores

• Empleados internos (insider) o ex-empleados

• Competidores o “aliados” del sector de la víctima

• Terceros (gubernamental, grupos organizados…)



8

VIII JORNADAS STIC CCN-CERT

Experiencias: estrategias y soluciones

• Salas de investigación ad-hoc

• Infraestructuras de investigación distribuida

• Contención, adquisición y análisis en entornos externos

• Análisis quirúrgico y masivo de información

• Investigación de amenazas persistentes

• Visualización avanzada y perfilado de atacantes

Salas de investigación ad-hoc (war-room)

VIII JORNADAS STIC CCN-CERT

Caja fuerte

Videoconferencia

y comunicaciones móviles

Pizarras

Estaciones
de analistas

Impresión

de gran formato

Laboratorio

Forense

Networking

Jumpbag kits

Infraestructuras de investigación distribuida (I)

VIII JORNADAS STIC CCN-CERT

Auditores

y/o

consultores

Investigadores

IR

Forenses

Red
DFIR

Respositorio
de evidencia

Entornos
de usuario

Servidores
corporativos

Alojamientos

y “nubes”

11

VIII JORNADAS STIC CCN-CERT

Infraestructuras de investigación distribuidas (II)
Ejemplo: Google Rapid Response (GRR)

• Plataforma de respuesta a respuesta a incidentes con capacidades

forenses remotas en tiempo real creada y mantenida por Google

• Basada en agente forense desplegado en los sistemas de la organización

con estrategias de análisis local (thick) o centralizado (thin).

• Multiplataforma:

• Linux, Mac OSX y Windows

• Interfaz:

• Web (GUI), Consola (CLI) / API

• Acciones desde sistema central:

• Lógica de análisis y de respuesta

basada en los resultados obtenidos
(flow)

• Conjunto de acciones en múltiples

sistemas (hunt)

• Automatización para auditorías y

detección temprana



https://github.com/google/grr

12
12

Contención, adquisición y análisis en entornos “externos” (I)

VIII JORNADAS STIC CCN-CERT

Victima

DFIR VPC

D
F
R

I



DFIR Network

EXTERNA

PROD VPC

CSP VPC

Proveedor

l

I
s
o
a
t
e



P
r
o
d



Production network

Production Cloud Environment

I

R



S
R
V



Production network

Security Cloud Environment

VIII JORNADAS STIC CCN-CERT

Contención, adquisición y análisis en entornos “externos” (II)
Ejemplo: Amazon Web Services (AWS)

• Despliegue de máquina virtual forense

• Provisión plantilla Ubuntu 14.04
• Instalación SANS Institute SIFT

• "wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master/bootstrap.sh

| sudo bash -s -- -i -s -y”
• Contención / aislamiento

• Utilización de script “Coromandel”

para aislamiento del sistema

• Adquisición

• Utilización de AWS EC2 API Tools

para pausar instancia, generar
instantáneas (snapshots) y
conectar discos a VM análisis

• Análisis forense

• Utilización de SIFT con acceso

desde Amazon Workspaces (VDI)


AWS: https://aws.amazon.com/developertools/351
SIFT: http://digital-forensics.sans.org/community/downloads
Coromandel: https://github.com/andrewsmhay/coromandel

14
14

Análisis quirúrgico y masivo de información (I)

VIII JORNADAS STIC CCN-CERT

Lógica de
análisis

Necesito

Respuestas!!!

Scripts


l

a
t
n
o
r
F

Base de datos
de artefactos

Relaciones

Líneas de Tiempo
Modus-operandi

Paciente cero

Movimientos laterales

Sistemas Operativos, Aplicaciones,

Bases de Datos, Contenidos…

VIII JORNADAS STIC CCN-CERT

Análisis quirúrgico y masivo de información (II)
Ej: Windows Vista (muestra)

• Registro y eventos

• C:\Windows\System32\config\*
• C:\Users\<USER>\NTUSER.dat
• C:\Users\<USER>\AppData\Local\Microsoft\Windows\UsrClass.dat
• C:\Windows\System32\winevt\Logs\*
• C:\Windows\System32\winevt\LogFiles\*
• C:\Windows\System32\config\RegBack

• Navegación

• C:\Users\<USER>\AppData\Local\Microsoft\Windows\History\*
• C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Cookies\*
• C:\Users\<USER>\AppData\Roaming\Mozilla\Firefox\Profiles\<NUM>.default

• Actividad relevante de ejecución y sistema de ficheros

• C:\Windows\Prefetch
• C:\pagefile.sys
• c:\hiberfil.sys
• C:\$MFT
• C:\$Recycle Bin\

• Recientes

• C:\Users\<USER>\Recent



16

VIII JORNADAS STIC CCN-CERT

Investigación de amenazas persistentes (I)

Cibercriminales

Alojamiento

web cibercrimen

Alojamiento
web victimas

Fabricantes

victima

Dominio externo:
ciberinteligencia

Entorno

Corporativo

Internet

Dominio interno:
ciberseguridad

Entorno
Industrial

17

VIII JORNADAS STIC CCN-CERT

Investigación de amenazas persistentes (II):
Ejemplo: moloch

• Plataforma de captura, procesamiento e indexación de información

basada en tráfico de red

• Decodificación de protocolos y aplicaciones realizando una transcripción y

etiquetado para su la preservación de metadatos significativos

• Integración con fuentes de inteligencia internas y externas

• Arquitectura escalable centralizada o distribuida de múltiples capas:

• Captura, almacenamiento y visualización

•Start Time: 2/13/13 21:43:56
•Stop Time : 2/13/13 21:44:04
•Databytes/Bytes: 9,315/14,288
•IP Protocol: 6
•IP/Port: 172.128.1.1:52465 (USA) [AS1668 AOL Transit Data Network]
• 205.188.18.208:80 (USA) [AS1668 AOL Transit Data Network]

•Tags: http:content:application/octet-stream http:method:GET
•http:statuscode:200 node:egress node:moloch-egress-dtc01 protocol:http tcp

•Request Headers:accept accept-encoding accept-language connection cookie host user-agent
•Response Headers:accept-ranges connection content-length content-type date keep-alive server set-
cookie

•User Agents:'Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0'
•Hosts:www.aol.com
•URI: www.aol.com/
•favicon.ico?v=2


•GET /favicon.ico?v=2 HTTP/1.1
•Host: www.aol.com

•User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101
•Firefox/16.0
•Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
•Accept-Language: en-US,en;q=0.5
•Accept-Encoding: gzip, deflate
•Connection: keep-alive
•Cookie: <REDACTED>…
...etc

•Transcripción

http://molo.ch

18
18

VIII JORNADAS STIC CCN-CERT

Visualización avanzada y perfilado de atacantes
Visualización avanzada y perfilado de atacantes (I)

Actividad / TTPs

Líneas de tiempo

Histogramas

Relaciones

Visualización avanzada y perfilado de atacantes (II):
Ejemplo: ElasticSearch / Logstash / Kibana (ELK)

VIII JORNADAS STIC CCN-CERT

20

VIII JORNADAS STIC CCN-CERT

3

Tendencias

21

VIII JORNADAS STIC CCN-CERT

Tendencias

• Mayor realimentación de conocimiento e interacción con el mundo de la

investigación criminal e inteligencia

• Mayor capacidad de trabajo colaborativo y compartición de conocimiento

• Integración homogénea de investigación y repuesta en dominios internos

y externos con proveedores y terceros

• Acceso forense universal integrado en aplicaciones, sistemas y red,

incluso en el propio hardware

• Entrenamiento, formación y puesta a punto periódico de los equipos

• Consolidación de artefactos

22

VIII JORNADAS STIC CCN-CERT

Tendencias: acciones

• Infraestructura

• Plataformas DFIR distribuidas

• Integración forense en sistemas/virtualización

• Plataformas FPC, Network Forensics

• Humanas

• Formación

• Entrenamiento / ciberejercicios

• Procesos

• Forensic Readyness

• Estrategias de aislamiento avanzadas

• Otros

• Necesidad de ciberinteligencia



VIII JORNADAS STIC CCN-CERT

Referencias

• “SP800-86: Guide to Integrating Forensic Techniques into Incident Response”- NIST

• http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf
• “SP800-150: Guide to Cyber Threat Information Sharing” - NIST

• http://csrc.nist.gov/publications/drafts/800-150/sp800_150_draft.pdf

• “NIST Cloud Computing Forensic Science Working Group” - NIST

• http://collaborate.nist.gov/twiki-cloud-

computing/bin/view/CloudComputing/CloudForensics

• “Facilitating Fluffy Forensics / coro