PDF de programación - Reto de Análisis Forense – RedIRIS

Reto de Análisis Forense – RedIRIS

Diciembre 2003









- INFORME TECNICO -

Román Medina-Heigl Hernández

-[ http://www.rs-labs.com/ ]-













































TABLA DE CONTENIDOS

2.1
2.2
2.3
2.4
2.5
2.6

4.1
4.2
4.3
4.4
4.5

5.1
5.2

INTRODUCCIÓN. ...........................................................................................................................1
VULNERABILIDAD Y EXPLOIT UTILIZADO........................................................................2
INTRODUCCIÓN. .........................................................................................................................2
ANÁLISIS DE LA VULNERABILIDAD.............................................................................................2
REQUISITOS DE EXPLOTACIÓN....................................................................................................2
EXPLOTACIÓN............................................................................................................................3
SOLUCIONES...............................................................................................................................6
REFERENCIAS.............................................................................................................................6
CRONOLOGÍA DE LA INTRUSIÓN (“TIME-LINE”). .............................................................8
EVIDENCIAS Y RESTOS DEJADOS POR EL ATACANTE. .................................................13
PREPARACIÓN. .........................................................................................................................13
INFORMACIÓN BÁSICA..............................................................................................................14
DATOS RECUPERADOS MEDIANTE TCT ....................................................................................16
INFORMACIÓN EXTRAÍDA DE LA “SWAP”..................................................................................18
GENERACIÓN DE LA “TIME-LINE”.............................................................................................19
ANÁLISIS DETALLADO DE ALGUNAS EVIDENCIAS. .......................................................22
ANÁLISIS DE /VAR/LOG/* Y CONEXIONES FTP..........................................................................22
ROOTKIT ..................................................................................................................................23
Evidencias...........................................................................................................................23
Análisis del rootkit..............................................................................................................24
DIRECTORIO “/VAR/TMP/.,”. .....................................................................................................26
Subdirectorio “emech”.......................................................................................................26
Subdirectorio “psybnc”......................................................................................................27
DIRECTORIO “/ROOT/.,”............................................................................................................27
Subdirectorio “aw”. ...........................................................................................................27
Subdirectorio “psybnc”......................................................................................................28
FICHERO /ROOT/.BASH_HISTORY..............................................................................................28
VIRUS "ELF_RST.B"...............................................................................................................29
IDENTIFICANDO AL ATACANTE............................................................................................30
APÉNDICE: CARACTERÍSTICAS DE LA MÁQUINA...........................................................32

5.2.1
5.2.2
5.3.1
5.3.2
5.4.1
5.4.2

5.3

5.4

5.5
5.6





1
2

3
4

5

6
7



1 Introducción.


El 21 de Agosto de 2002, a las 19:01:35 (CEST) un nuevo sistema ve la luz: un
flamante Linux es instalado sobre un viejo Pentium 166 con 48 MB RAM. El
administrador comete la imprudencia de no actualizar el sistema y habilita un servicio
sin saber que éste contenía un agujero de seguridad públicamente conocido.
Aproximadamente trece horas más tarde (22 Ago 08:17:24 CEST) el sistema había sido
comprometido. Pero no será hasta pasada la media noche del día siguiente (23 Ago
00:21:04 CEST) cuando se produzca una nueva intrusión y comiencen las verdaderas
muestras de actividad del atacante.


1









2 Vulnerabilidad y exploit utilizado.

2.1 Introducción.


La máquina fue comprometida aprovechando una vulnerabilidad en el demonio
WU-FTPD, software de la Universidad de Washington que cuenta con un largo historial
de problemas de seguridad. Fue hecha pública por Red Hat el 27 de Noviembre de 2001
y afecta a diferentes versiones del software vulnerable (2.4.2 a 2.6.1).


El exploit utilizado (“7350wurm”) es obra de TESO (http://www.team-teso.net/)
y data del 2001. En su primera etapa de vida se mantuvo en la clandestinidad (“0-day”),
hasta que fue encontrado en algún “honey-pot” y se hizo público. En la fecha de la
intrusión que nos ocupa el código fuente del exploit era perfectamente conocido. Por
ejemplo, el siguiente enlace muestra como fecha de última modificación el 17 de Julio
de 2002, aunque fue publicado originalmente en Mayo de 2002 (quizás con alguna
variación): http://packetstormsecurity.nl/0205-exploits/7350wurm.c.


2.2 Análisis de la vulnerabilidad.


La funcionalidad explotada se conoce como “file globbing” y permite el uso de
caracteres comodín como “*” o “?” en el nombre de un fichero. Estos caracteres
especiales posteriormente son expandidos de acuerdo a los ficheros existentes y otros
parámetros del sistema logrando una flexible y ágil manipulación de archivos. Aunque
diferentes intérpretes de comandos (“shells”) poseen esta funcionalidad, WU-FTPD lo
implementa en su propio código, concretamente en “glob.c”. La entrada de usuario en
comandos FTP que requieren de un nombre de fichero es analizada por dicho código, en
busca de comodines. La expresión ya expandida es almacenada en la “heap” y se
devuelve un puntero a dicha cadena. En caso de detectar algún error, se activa además
una variable que lo indica. El fallo radica en que la cadena malformada “~{” no es
detectada como errónea y el puntero que debía apuntar a la cadena expandida acaba
referenciando a una zona de memoria en la heap que puede contener datos arbitrarios.
La explotación se produce cuando finalmente se intenta liberar la memoria referenciada
por el puntero anterior. Es decir, es un fallo de los conocidos como “double free()”1.


2.3 Requisitos de explotación.


Para conseguir alcanzar el código vulnerable el atacante debe poder validarse
correctamente ante el servidor, bien conociendo un usuario y contraseña, o bien
aprovechando el acceso anónimo. La máquina comprometida tenía habilitado este
último por lo que el atacante no necesitó disponer de ninguna información
complementaria para llevar a cabo con éxito la intrusión.


1 Recomendamos la lectura de “Once upon a free()”: https://www.phrack.com/show.php?p=57&a=9



2



Recalcar además que el compromiso fue posible debido a que la máquina no había

sido parcheada y ejecutaba el siguiente paquete vulnerable:

wu-ftpd-2.6.1-16.rpm


2.4 Explotación.


En el sistema comprometido podemos encontrar un binario compilado en estático





correspondiente al exploit empleado:

rs-labs:~# ls -l /reto/root/.,/aw/wu
-rwxr-xr-x 1 root root 382072 Jan 20 2002 /reto/root/.,/aw/wu
rs-labs:~# ldd /reto/root/.,/aw/wu
not a dynamic executable

Si lo ejecutamos (desde una cuenta no privilegiada2)

reto@rs-labs:~$ ./wu
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!

usage: ./wu [-h] [-v] [-a] [-D] [-m]
[-t <num>] [-u <user>] [-p <pass>] [-d host]
[-L <retloc>] [-A <retaddr>]

-h this help
-v be verbose (default: off, twice for greater effect)
-a AUTO mode (target from banner)
-D DEBUG mode (waits for keypresses)
-m enable mass mode (use with care)
-t num choose target (0 for list, try -v or -v -v)
-u user username to login to FTP (default: "ftp")
-p pass password to use (default: "mozilla@")
-d dest IP address or fqhn to connect to (default: 127.0.0.1)
-L loc override target-supplied retloc (format: 0xdeadbeef)
-A addr override target-supplied retaddr (format: 0xcafebabe)

Tenemos numerosos “targets” disponibles:

reto@rs-labs:~$ ./wu -t 0
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!

num . description
----+-------------------------------------------------------
1 | Caldera eDesktop|eServer|OpenLinux 2.3 update [wu-ftpd-2.6.1-
13OL.i386.rpm]
2 | Debian potato [wu-ftpd_2.6.0-3.deb]
3 | Debian potato [wu-ftpd_2.6.0-5.1.deb]
4 | Debian potato [wu-ftpd_2.6.0-5.3.deb]
5 | Debian sid [wu-ftpd_2.6.1-5_i386.deb]
6 | Immunix 6.2 (Cartman) [wu-ftpd-2.6.0-3_StackGuard.rpm]
7 | Immunix 7.0 (Stolichnaya) [wu-ftpd-2.6.1-6_imnx_2.rpm]
8 | Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd-2.6.1-8.6mdk.i586.rpm]