SlideShare una empresa de Scribd logo

Informe de incidente ciberseguridad Superintendencia Notariado

Descargar como DOC, PDF
J
Johana201225

El portal de la Superintendencia de Notariado y Registro fue hackeado, subiendo webshells maliciosos que permitieron modificar archivos. La investigación encontró que el ataque ocurrió a través de una vulnerabilidad en el componente com_jinc de Joomla, el cual permitió subir archivos. Se realizaron acciones correctivas como actualizaciones de software y cambio de contraseñas.

1 de 7
INFORME DE INCIDENTE Llamada de Servicio No IM582371 Informe No 2013 IM582371 Zona de Evento Bogotá Fecha y Hora de Evento 30-06-2013 Evento Reportado por Analista Grupo de Investigación Forense ETB. Fecha y Hora de Solución 05-07-2013 Tipo de Evento Reporte Analisis Forense Descripción de Evento Versión Inicial Se recibe un reporte en el cual se indica que la página del portal de la Superintendencia de Notariado y Registro fue modificada mostrando el siguiente mensaje. La URL afectada es www.supernotariado.gov.co/portalsnr/: Avances DESCRIPCIÓN DE DOCUMENTACIÓN DE CASO Día Hora Descripción del Avance Se recibe un reporte en el cual se indica que la página del portal de la Superintendencia de Notariado y Registro fue modificada mostrando el siguiente mensaje. La URL afectada es www.supernotariado.gov.co/portalsnr/: Servicios Afectados Cliente Servicio Superintendencia de Notariado y Registro Líder CSIRT-ETB
Levantamiento de la evidencia Se inicia el levantamiento de la evidencia con la extracción de los siguientes datos: - Log de acceso del sitio atacado del 30 de Junio de 2013 - Log de errores del sitio atacado del 30 de Junio de 2013. - Archivo copia de los archivos subidos al servidor. Análisis del caso Al realizar la búsqueda de los archives creados y modificados en el último día se encuentran los siguientes archivos: r57.php File: `administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php' Size: 104880 Blocks: 216 IO Block: 4096 regular file Device: fd08h/64776d Inode: 3644413 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 15:57:29.000000000 -0500 Modify: 2013-06-30 11:45:07.000000000 -0500 Change: 2013-06-30 11:45:07.000000000 -0500 j.php File: `administrator/components/com_jinc/classes/graphics/tmp-upload- images/j.php' Size: 68973 Blocks: 144 IO Block: 4096 regular file Device: fd08h/64776d Inode: 3644412 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 15:57:29.000000000 -0500 Modify: 2013-06-30 11:43:29.000000000 -0500 Change: 2013-06-30 11:43:29.000000000 -0500
Los cuales corresponden a webshells que permiten modificar el sitio y subir cualquier tipo de archivo a las carpetas del portal. Al revisar el index del sitio portalsnr se encontró que éste no había sido modificado, por este motivo se procedió a revisar los archivos que contienen la palabra “hack” dentro de todos los archivos del portal y se encontraron los siguientes: /htdocs/portalsnr/templates/uw_supernotariado/index.php:hacked by doom ! File: `/htdocs/portalsnr/templates/uw_supernotariado/index.php' Size: 16 Blocks: 16 IO Block: 4096 regular file Device: fd08h/64776d Inode: 8978753 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 16:23:04.000000000 -0500 Modify: 2013-05-11 09:44:32.000000000 -0500 Change: 2013-06-30 11:46:41.000000000 -0500 MD5: 161c131538701ba7e2696c4c1dab7762 index.php /htdocs/portalsnr/components/com_jinc/securimage/words/words.txt:hacked File: `words.txt' Size: 110907 Blocks: 240 IO Block: 4096 regular file Device: fd08h/64776d Inode: 5374191 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 17:11:40.000000000 -0500 Modify: 2011-11-16 11:28:41.000000000 -0500 Change: 2012-06-28 16:14:06.000000000 -0500 Se puede apreciar que el primer archivo está relacionado con las horas en las que aparecen los webshell en el servidor, y corresponde al template que usa joomla para la presentación de la página principal del sitio. Los siguientes fueron los elementos que fueron empujados al servidor el día 30 de junio a la hora del ataque. Se marcan los eventos relevantes y que tuvieron que ver con la subida de los webshell y la creación de los archivos. [seguridad@snrportal2 ~]$ grep POST access_log.30-06-2013 66.249.75.229 - - [30/Jun/2013:06:47:00 -0500] "GET /supernotariado/images/smilies/Normatividad/Circulares/2007/MODELO-MINUTA-PARA-ORIPS- CONT.SERVICIOS-POSTALES-2007.doc HTTP/1.1" 304 - ….
85.108.101.191 - - [30/Jun/2013:11:43:28 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/sittir.php HTTP/1.1" 200 21912 85.108.101.191 - - [30/Jun/2013:11:45:05 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/sittir.php HTTP/1.1" 200 23711 85.108.101.191 - - [30/Jun/2013:11:45:22 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 31021 85.108.101.191 - - [30/Jun/2013:11:45:48 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 31306 85.108.101.191 - - [30/Jun/2013:11:46:02 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 6033 85.108.101.191 - - [30/Jun/2013:11:46:06 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32252 85.108.101.191 - - [30/Jun/2013:11:46:12 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 7515 85.108.101.191 - - [30/Jun/2013:11:46:20 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32443 85.108.101.191 - - [30/Jun/2013:11:46:32 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 6835 85.108.101.191 - - [30/Jun/2013:11:46:41 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32443 65.55.213.39 - - [30/Jun/2013:13:45:49 -0500] "POST /portalsnr/ChatSNR/server.php?mp= HTTP/1.1" 200 2276 65.55.213.39 - - [30/Jun/2013:13:45:50 -0500] "POST /portalsnr/ChatSNR/server.php?mp= HTTP/1.1" 200 2276 …. 190.24.101.154 - - [30/Jun/2013:14:58:06 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 186.43.107.42 - - [30/Jun/2013:15:20:29 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 … 186.43.107.42 - - [30/Jun/2013:15:21:37 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 [seguridad@snrportal2 ~]$ A partir de los anteriores registros se puede observar que el elemento que permitió subir los archivos webshell es /portalsnr/administrator/components/com_jinc/classes/graphics/tmp- upload-images/sittir.php y que fueron ejecutados desde la dirección IP 85.108.101.191. El detalle de la información de la dirección IP se encuentra en el Anexo 1. Resultados y conclusiones - A partir de la investigación se encontró que la página fue vulnerada a través de la inclusión remota de un archivo a través del componente com_jinc, el cual de acuerdo a la documentación es un plugin que permite administrar el calendario de eventos, y que permitió la subida de archivos webshell a través de los cuales se modificó la plantilla de la página principal del sitio.
- Se inicio la revisión para realizar las actualizaciones necesarias sobre el gestor de contenidos Joomla así como todos los componentes que están instalados a sus últimas versiones de tal manera que las vulnerabilidades que están presentes en el portal sean solventadas. - La información que se detectó en el portal que fue subida por parte de los atacantes fue eliminada como parte de la respuesta al incidente, sin embargo se está realizando una revisión profunda del sitio en búsqueda de archivos o condiciones anormales del portal que hubiesen podido darse como parte del ataque. - Por último se tomaron medidas correctivas como el cambio de las contraseñas de acceso a los gestores de contenido y bases de datos que hubiesen podido verse comprometidas en el ataque presentado. ANEXO 1. Información De Las Direcciones Ip Relacionadas Con El Ataque Dirección IP: 85.108.101.191 Origen: Turquía Registrar: RIPE (http://www.ripe.net//) % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.108.0.0 - 85.108.255.255' inetnum: 85.108.0.0 - 85.108.255.255 netname: TurkTelekom descr: Turk Telekom ADSL-TT net country: tr admin-c: TTBA1-RIPE tech-c: TTBA1-RIPE status: ASSIGNED PA mnt-by: as9121-mnt source: RIPE #Filtered
role: TT Administrative Contact Role address: Turk Telekom Genel Mudurlugu phone: +90 312 555 1920 fax-no: +90 312 313 1924 admin-c: BADB3-RIPE tech-c: ZA66-RIPE tech-c: NO638-RIPE tech-c: SO351-RIPE nic-hdl: TTBA1-RIPE mnt-by: AS9121-MNT source: RIPE #Filtered % Information related to '85.108.0.0/17AS9121' route: 85.108.0.0/17 descr: TurkTelecom origin: AS9121 mnt-by: AS9121-MNT source: RIPE #Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS1) Definitivo Parcial Estado Actual: Solucionado Diagnostico y Solución: . Acciones de Mejora: Evento Atendido por: En la Cultura ETB, ¡Entendemos las necesidades de nuestros clientes y les ofrecemos soluciones integrales, buscando relaciones de largo plazo!
role: TT Administrative Contact Role address: Turk Telekom Genel Mudurlugu phone: +90 312 555 1920 fax-no: +90 312 313 1924 admin-c: BADB3-RIPE tech-c: ZA66-RIPE tech-c: NO638-RIPE tech-c: SO351-RIPE nic-hdl: TTBA1-RIPE mnt-by: AS9121-MNT source: RIPE #Filtered % Information related to '85.108.0.0/17AS9121' route: 85.108.0.0/17 descr: TurkTelecom origin: AS9121 mnt-by: AS9121-MNT source: RIPE #Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS1) Definitivo Parcial Estado Actual: Solucionado Diagnostico y Solución: . Acciones de Mejora: Evento Atendido por: En la Cultura ETB, ¡Entendemos las necesidades de nuestros clientes y les ofrecemos soluciones integrales, buscando relaciones de largo plazo!

Recomendados

El depósito en el contrato de arrendamiento panama
El depósito en el contrato de arrendamiento panamaEl depósito en el contrato de arrendamiento panama
El depósito en el contrato de arrendamiento panamaAngela Peralta Smolianinova
 
ley 1696 de 2012.pptx
ley 1696 de 2012.pptxley 1696 de 2012.pptx
ley 1696 de 2012.pptxJuanPabloPeaMartnez
 
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdfWalterHugoROMANHERRE1
 
Ley 20.123. Regimen de Subcontratación
Ley 20.123. Regimen de SubcontrataciónLey 20.123. Regimen de Subcontratación
Ley 20.123. Regimen de SubcontrataciónRecursoGlobal
 
10. medicion de deflexiones viga benkelman
10. medicion de deflexiones viga benkelman10. medicion de deflexiones viga benkelman
10. medicion de deflexiones viga benkelmanHugiGuevara
 
Educacion vial y Movilidad Segura
Educacion vial y Movilidad SeguraEducacion vial y Movilidad Segura
Educacion vial y Movilidad SeguraStrellaMoralesGrillo
 
Reglamento nacional de tránsito
Reglamento nacional de tránsitoReglamento nacional de tránsito
Reglamento nacional de tránsitoProfLuis
 
Consejo Profesional de Transportes y Vías De Colombia
Consejo Profesional de Transportes y Vías De ColombiaConsejo Profesional de Transportes y Vías De Colombia
Consejo Profesional de Transportes y Vías De Colombiapublitell
 

Recomendados

El depósito en el contrato de arrendamiento panama
El depósito en el contrato de arrendamiento panamaEl depósito en el contrato de arrendamiento panama
El depósito en el contrato de arrendamiento panamaAngela Peralta Smolianinova
 
ley 1696 de 2012.pptx
ley 1696 de 2012.pptxley 1696 de 2012.pptx
ley 1696 de 2012.pptxJuanPabloPeaMartnez
 
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdf
1. MANUAL DE GESTION DE INFRAESTRUCTURA VIAL.pdfWalterHugoROMANHERRE1
 
Ley 20.123. Regimen de Subcontratación
Ley 20.123. Regimen de SubcontrataciónLey 20.123. Regimen de Subcontratación
Ley 20.123. Regimen de SubcontrataciónRecursoGlobal
 
10. medicion de deflexiones viga benkelman
10. medicion de deflexiones viga benkelman10. medicion de deflexiones viga benkelman
10. medicion de deflexiones viga benkelmanHugiGuevara
 
Educacion vial y Movilidad Segura
Educacion vial y Movilidad SeguraEducacion vial y Movilidad Segura
Educacion vial y Movilidad SeguraStrellaMoralesGrillo
 
Reglamento nacional de tránsito
Reglamento nacional de tránsitoReglamento nacional de tránsito
Reglamento nacional de tránsitoProfLuis
 
Consejo Profesional de Transportes y Vías De Colombia
Consejo Profesional de Transportes y Vías De ColombiaConsejo Profesional de Transportes y Vías De Colombia
Consejo Profesional de Transportes y Vías De Colombiapublitell
 
La imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreterasLa imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreterasyhonny arce romero
 
Movimiento de tierras
Movimiento de tierrasMovimiento de tierras
Movimiento de tierrasmavares46
 
Higiene y Seguridad Industrial
Higiene y Seguridad IndustrialHigiene y Seguridad Industrial
Higiene y Seguridad IndustrialJorgexm01
 
Presiones de inflado de camión michelin
Presiones de inflado de camión michelin Presiones de inflado de camión michelin
Presiones de inflado de camión michelin gcartagena2008
 
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOSDETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOSEmilio Castillo
 
Presentación ley 1562 de 2012
Presentación ley 1562 de 2012Presentación ley 1562 de 2012
Presentación ley 1562 de 2012Manu Medina
 
Manual del infiniti u9500
Manual del infiniti u9500Manual del infiniti u9500
Manual del infiniti u9500SilviaDelRio8
 
Educacion vial trabajo
Educacion vial trabajoEducacion vial trabajo
Educacion vial trabajopedroamarilla
 
Otros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsitoOtros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsitoEktwr1982
 
NOM-087-SCT-2-2017.pdf
NOM-087-SCT-2-2017.pdfNOM-087-SCT-2-2017.pdf
NOM-087-SCT-2-2017.pdfJose Manuel de la Cruz Castro
 
RUTAGRAMA (prevención "in itinere")
RUTAGRAMA (prevención "in itinere")RUTAGRAMA (prevención "in itinere")
RUTAGRAMA (prevención "in itinere")Rafael Campos Espinoza
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Zentyal cloud sample_report_es
Zentyal cloud sample_report_esZentyal cloud sample_report_es
Zentyal cloud sample_report_escocoyof
 
Proxy
ProxyProxy
Proxyvaleriochimalbak
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Futura Networks
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Futura Networks
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodriarodri7703
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informaticoDarwin Del Castillo Tenazoa
 

Más contenido relacionado

La actualidad más candente

La imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreterasLa imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreterasyhonny arce romero
 
Movimiento de tierras
Movimiento de tierrasMovimiento de tierras
Movimiento de tierrasmavares46
 
Higiene y Seguridad Industrial
Higiene y Seguridad IndustrialHigiene y Seguridad Industrial
Higiene y Seguridad IndustrialJorgexm01
 
Presiones de inflado de camión michelin
Presiones de inflado de camión michelin Presiones de inflado de camión michelin
Presiones de inflado de camión michelin gcartagena2008
 
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOSDETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOSEmilio Castillo
 
Presentación ley 1562 de 2012
Presentación ley 1562 de 2012Presentación ley 1562 de 2012
Presentación ley 1562 de 2012Manu Medina
 
Manual del infiniti u9500
Manual del infiniti u9500Manual del infiniti u9500
Manual del infiniti u9500SilviaDelRio8
 
Educacion vial trabajo
Educacion vial trabajoEducacion vial trabajo
Educacion vial trabajopedroamarilla
 
Otros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsitoOtros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsitoEktwr1982
 

La actualidad más candente (11)

La imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreterasLa imprimacion asfaltica en carreteras
La imprimacion asfaltica en carreteras
 
Movimiento de tierras
Movimiento de tierrasMovimiento de tierras
Movimiento de tierras
 
Higiene y Seguridad Industrial
Higiene y Seguridad IndustrialHigiene y Seguridad Industrial
Higiene y Seguridad Industrial
 
Presiones de inflado de camión michelin
Presiones de inflado de camión michelin Presiones de inflado de camión michelin
Presiones de inflado de camión michelin
 
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOSDETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
DETERMINACIÒN Y CÁLCULO DEL ÍNDICE DE RUGOSIDAD INTERNACIONAL DE PAVIMENTOS
 
Presentación ley 1562 de 2012
Presentación ley 1562 de 2012Presentación ley 1562 de 2012
Presentación ley 1562 de 2012
 
Manual del infiniti u9500
Manual del infiniti u9500Manual del infiniti u9500
Manual del infiniti u9500
 
Educacion vial trabajo
Educacion vial trabajoEducacion vial trabajo
Educacion vial trabajo
 
Otros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsitoOtros dispositivos para la regulación del tránsito
Otros dispositivos para la regulación del tránsito
 
NOM-087-SCT-2-2017.pdf
NOM-087-SCT-2-2017.pdfNOM-087-SCT-2-2017.pdf
NOM-087-SCT-2-2017.pdf
 
RUTAGRAMA (prevención "in itinere")
RUTAGRAMA (prevención "in itinere")RUTAGRAMA (prevención "in itinere")
RUTAGRAMA (prevención "in itinere")
 

Similar a Informe de incidente ciberseguridad Superintendencia Notariado

Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Zentyal cloud sample_report_es
Zentyal cloud sample_report_esZentyal cloud sample_report_es
Zentyal cloud sample_report_escocoyof
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Futura Networks
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Futura Networks
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodriarodri7703
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
Montaje de cibercafe
Montaje de cibercafe Montaje de cibercafe
Montaje de cibercafe conalep150
 
Montaje de cibercafes
Montaje de cibercafesMontaje de cibercafes
Montaje de cibercafesconalep150
 
Web Log Analysis - AWK
Web Log Analysis - AWKWeb Log Analysis - AWK
Web Log Analysis - AWKJuan Azcurra
 
2. Estudio de Factibilidad Versión 1.1
2. Estudio de Factibilidad Versión 1.12. Estudio de Factibilidad Versión 1.1
2. Estudio de Factibilidad Versión 1.1Adrycita Beiap
 
Artefacto SRS Especificaciones Suplementarias del Sistema
Artefacto SRS Especificaciones Suplementarias del SistemaArtefacto SRS Especificaciones Suplementarias del Sistema
Artefacto SRS Especificaciones Suplementarias del SistemaIleana Garza Ibarra
 

Similar a Informe de incidente ciberseguridad Superintendencia Notariado (20)

Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Zentyal cloud sample_report_es
Zentyal cloud sample_report_esZentyal cloud sample_report_es
Zentyal cloud sample_report_es
 
Proxy
ProxyProxy
Proxy
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011
 
Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011Dot dotpwn v3.0beta campus party méxico 2011
Dot dotpwn v3.0beta campus party méxico 2011
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodri
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informatico
 
Ers calzado ferrel
Ers calzado ferrelErs calzado ferrel
Ers calzado ferrel
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRT
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masa
 
Nagios
NagiosNagios
Nagios
 
Montaje de cibercafe
Montaje de cibercafe Montaje de cibercafe
Montaje de cibercafe
 
Montaje de cibercafes
Montaje de cibercafesMontaje de cibercafes
Montaje de cibercafes
 
Web Log Analysis - AWK
Web Log Analysis - AWKWeb Log Analysis - AWK
Web Log Analysis - AWK
 
2. Estudio de Factibilidad Versión 1.1
2. Estudio de Factibilidad Versión 1.12. Estudio de Factibilidad Versión 1.1
2. Estudio de Factibilidad Versión 1.1
 
Artefacto SRS Especificaciones Suplementarias del Sistema
Artefacto SRS Especificaciones Suplementarias del SistemaArtefacto SRS Especificaciones Suplementarias del Sistema
Artefacto SRS Especificaciones Suplementarias del Sistema
 

Más de Johana201225

Informe 17 agosto al 16 de septiembre
Informe 17 agosto al 16 de septiembreInforme 17 agosto al 16 de septiembre
Informe 17 agosto al 16 de septiembreJohana201225
 
Informe 02 agosto al 16 de agosto
Informe 02 agosto al 16 de agostoInforme 02 agosto al 16 de agosto
Informe 02 agosto al 16 de agostoJohana201225
 
Informe 02 julio al 01 agosto
Informe 02 julio al 01 agostoInforme 02 julio al 01 agosto
Informe 02 julio al 01 agostoJohana201225
 
Informe 02 junio al 01 julio
Informe 02 junio al 01 julioInforme 02 junio al 01 julio
Informe 02 junio al 01 julioJohana201225
 
Manual terminal ip 4068
Manual terminal ip 4068Manual terminal ip 4068
Manual terminal ip 4068Johana201225
 
Manual terminal ip 4028
Manual terminal ip 4028Manual terminal ip 4028
Manual terminal ip 4028Johana201225
 
Acta formato de entregables
Acta formato de entregablesActa formato de entregables
Acta formato de entregablesJohana201225
 
Manual de sir procesos especiales
Manual de sir procesos especialesManual de sir procesos especiales
Manual de sir procesos especialesJohana201225
 
Documento de arquitectura
Documento de arquitecturaDocumento de arquitectura
Documento de arquitecturaJohana201225
 
Informeproyectosinversion2013
Informeproyectosinversion2013Informeproyectosinversion2013
Informeproyectosinversion2013Johana201225
 
Auditoria proyecto inversion 2013
Auditoria proyecto inversion 2013Auditoria proyecto inversion 2013
Auditoria proyecto inversion 2013Johana201225
 
Formalizacion de predios
Formalizacion de prediosFormalizacion de predios
Formalizacion de prediosJohana201225
 
Especialización en notariado y registro
Especialización en notariado y registroEspecialización en notariado y registro
Especialización en notariado y registroJohana201225
 
Presentacion super notariado tierras
Presentacion super notariado tierrasPresentacion super notariado tierras
Presentacion super notariado tierrasJohana201225
 
Presentacion parques naturales nacionales
Presentacion parques naturales nacionalesPresentacion parques naturales nacionales
Presentacion parques naturales nacionalesJohana201225
 
Presentacion incoder
Presentacion incoderPresentacion incoder
Presentacion incoderJohana201225
 
Presentacion fuerzas militares
Presentacion fuerzas militaresPresentacion fuerzas militares
Presentacion fuerzas militaresJohana201225
 
Presentacion contraloria general de la republica
Presentacion contraloria general de la republicaPresentacion contraloria general de la republica
Presentacion contraloria general de la republicaJohana201225
 
Presentacion comision nacional de seguimiento
Presentacion comision nacional de seguimientoPresentacion comision nacional de seguimiento
Presentacion comision nacional de seguimientoJohana201225
 

Más de Johana201225 (20)

Informe 17 agosto al 16 de septiembre
Informe 17 agosto al 16 de septiembreInforme 17 agosto al 16 de septiembre
Informe 17 agosto al 16 de septiembre
 
Informe 02 agosto al 16 de agosto
Informe 02 agosto al 16 de agostoInforme 02 agosto al 16 de agosto
Informe 02 agosto al 16 de agosto
 
Informe 02 julio al 01 agosto
Informe 02 julio al 01 agostoInforme 02 julio al 01 agosto
Informe 02 julio al 01 agosto
 
Informe 02 junio al 01 julio
Informe 02 junio al 01 julioInforme 02 junio al 01 julio
Informe 02 junio al 01 julio
 
Manual terminal ip 4068
Manual terminal ip 4068Manual terminal ip 4068
Manual terminal ip 4068
 
Manual terminal ip 4028
Manual terminal ip 4028Manual terminal ip 4028
Manual terminal ip 4028
 
Plan km snr
Plan km snrPlan km snr
Plan km snr
 
Acta formato de entregables
Acta formato de entregablesActa formato de entregables
Acta formato de entregables
 
Manual de sir procesos especiales
Manual de sir procesos especialesManual de sir procesos especiales
Manual de sir procesos especiales
 
Documento de arquitectura
Documento de arquitecturaDocumento de arquitectura
Documento de arquitectura
 
Informeproyectosinversion2013
Informeproyectosinversion2013Informeproyectosinversion2013
Informeproyectosinversion2013
 
Auditoria proyecto inversion 2013
Auditoria proyecto inversion 2013Auditoria proyecto inversion 2013
Auditoria proyecto inversion 2013
 
Formalizacion de predios
Formalizacion de prediosFormalizacion de predios
Formalizacion de predios
 
Especialización en notariado y registro
Especialización en notariado y registroEspecialización en notariado y registro
Especialización en notariado y registro
 
Presentacion super notariado tierras
Presentacion super notariado tierrasPresentacion super notariado tierras
Presentacion super notariado tierras
 
Presentacion parques naturales nacionales
Presentacion parques naturales nacionalesPresentacion parques naturales nacionales
Presentacion parques naturales nacionales
 
Presentacion incoder
Presentacion incoderPresentacion incoder
Presentacion incoder
 
Presentacion fuerzas militares
Presentacion fuerzas militaresPresentacion fuerzas militares
Presentacion fuerzas militares
 
Presentacion contraloria general de la republica
Presentacion contraloria general de la republicaPresentacion contraloria general de la republica
Presentacion contraloria general de la republica
 
Presentacion comision nacional de seguimiento
Presentacion comision nacional de seguimientoPresentacion comision nacional de seguimiento
Presentacion comision nacional de seguimiento
 

Informe de incidente ciberseguridad Superintendencia Notariado

  • 1. INFORME DE INCIDENTE Llamada de Servicio No IM582371 Informe No 2013 IM582371 Zona de Evento Bogotá Fecha y Hora de Evento 30-06-2013 Evento Reportado por Analista Grupo de Investigación Forense ETB. Fecha y Hora de Solución 05-07-2013 Tipo de Evento Reporte Analisis Forense Descripción de Evento Versión Inicial Se recibe un reporte en el cual se indica que la página del portal de la Superintendencia de Notariado y Registro fue modificada mostrando el siguiente mensaje. La URL afectada es www.supernotariado.gov.co/portalsnr/: Avances DESCRIPCIÓN DE DOCUMENTACIÓN DE CASO Día Hora Descripción del Avance Se recibe un reporte en el cual se indica que la página del portal de la Superintendencia de Notariado y Registro fue modificada mostrando el siguiente mensaje. La URL afectada es www.supernotariado.gov.co/portalsnr/: Servicios Afectados Cliente Servicio Superintendencia de Notariado y Registro Líder CSIRT-ETB
  • 2. Levantamiento de la evidencia Se inicia el levantamiento de la evidencia con la extracción de los siguientes datos: - Log de acceso del sitio atacado del 30 de Junio de 2013 - Log de errores del sitio atacado del 30 de Junio de 2013. - Archivo copia de los archivos subidos al servidor. Análisis del caso Al realizar la búsqueda de los archives creados y modificados en el último día se encuentran los siguientes archivos: r57.php File: `administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php' Size: 104880 Blocks: 216 IO Block: 4096 regular file Device: fd08h/64776d Inode: 3644413 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 15:57:29.000000000 -0500 Modify: 2013-06-30 11:45:07.000000000 -0500 Change: 2013-06-30 11:45:07.000000000 -0500 j.php File: `administrator/components/com_jinc/classes/graphics/tmp-upload- images/j.php' Size: 68973 Blocks: 144 IO Block: 4096 regular file Device: fd08h/64776d Inode: 3644412 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 15:57:29.000000000 -0500 Modify: 2013-06-30 11:43:29.000000000 -0500 Change: 2013-06-30 11:43:29.000000000 -0500
  • 3. Los cuales corresponden a webshells que permiten modificar el sitio y subir cualquier tipo de archivo a las carpetas del portal. Al revisar el index del sitio portalsnr se encontró que éste no había sido modificado, por este motivo se procedió a revisar los archivos que contienen la palabra “hack” dentro de todos los archivos del portal y se encontraron los siguientes: /htdocs/portalsnr/templates/uw_supernotariado/index.php:hacked by doom ! File: `/htdocs/portalsnr/templates/uw_supernotariado/index.php' Size: 16 Blocks: 16 IO Block: 4096 regular file Device: fd08h/64776d Inode: 8978753 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 16:23:04.000000000 -0500 Modify: 2013-05-11 09:44:32.000000000 -0500 Change: 2013-06-30 11:46:41.000000000 -0500 MD5: 161c131538701ba7e2696c4c1dab7762 index.php /htdocs/portalsnr/components/com_jinc/securimage/words/words.txt:hacked File: `words.txt' Size: 110907 Blocks: 240 IO Block: 4096 regular file Device: fd08h/64776d Inode: 5374191 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 508/usrnotariado) Gid: ( 509/notariado) Access: 2013-06-30 17:11:40.000000000 -0500 Modify: 2011-11-16 11:28:41.000000000 -0500 Change: 2012-06-28 16:14:06.000000000 -0500 Se puede apreciar que el primer archivo está relacionado con las horas en las que aparecen los webshell en el servidor, y corresponde al template que usa joomla para la presentación de la página principal del sitio. Los siguientes fueron los elementos que fueron empujados al servidor el día 30 de junio a la hora del ataque. Se marcan los eventos relevantes y que tuvieron que ver con la subida de los webshell y la creación de los archivos. [seguridad@snrportal2 ~]$ grep POST access_log.30-06-2013 66.249.75.229 - - [30/Jun/2013:06:47:00 -0500] "GET /supernotariado/images/smilies/Normatividad/Circulares/2007/MODELO-MINUTA-PARA-ORIPS- CONT.SERVICIOS-POSTALES-2007.doc HTTP/1.1" 304 - ….
  • 4. 85.108.101.191 - - [30/Jun/2013:11:43:28 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/sittir.php HTTP/1.1" 200 21912 85.108.101.191 - - [30/Jun/2013:11:45:05 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/sittir.php HTTP/1.1" 200 23711 85.108.101.191 - - [30/Jun/2013:11:45:22 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 31021 85.108.101.191 - - [30/Jun/2013:11:45:48 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 31306 85.108.101.191 - - [30/Jun/2013:11:46:02 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 6033 85.108.101.191 - - [30/Jun/2013:11:46:06 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32252 85.108.101.191 - - [30/Jun/2013:11:46:12 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload- images/r57.php HTTP/1.1" 200 7515 85.108.101.191 - - [30/Jun/2013:11:46:20 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32443 85.108.101.191 - - [30/Jun/2013:11:46:32 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 6835 85.108.101.191 - - [30/Jun/2013:11:46:41 -0500] "POST /portalsnr/administrator/components/com_jinc/classes/graphics/tmp-upload-images/r57.php HTTP/1.1" 200 32443 65.55.213.39 - - [30/Jun/2013:13:45:49 -0500] "POST /portalsnr/ChatSNR/server.php?mp= HTTP/1.1" 200 2276 65.55.213.39 - - [30/Jun/2013:13:45:50 -0500] "POST /portalsnr/ChatSNR/server.php?mp= HTTP/1.1" 200 2276 …. 190.24.101.154 - - [30/Jun/2013:14:58:06 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 186.43.107.42 - - [30/Jun/2013:15:20:29 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 … 186.43.107.42 - - [30/Jun/2013:15:21:37 -0500] "POST /portalsnr/ChatSNR/server.php HTTP/1.1" 200 2264 [seguridad@snrportal2 ~]$ A partir de los anteriores registros se puede observar que el elemento que permitió subir los archivos webshell es /portalsnr/administrator/components/com_jinc/classes/graphics/tmp- upload-images/sittir.php y que fueron ejecutados desde la dirección IP 85.108.101.191. El detalle de la información de la dirección IP se encuentra en el Anexo 1. Resultados y conclusiones - A partir de la investigación se encontró que la página fue vulnerada a través de la inclusión remota de un archivo a través del componente com_jinc, el cual de acuerdo a la documentación es un plugin que permite administrar el calendario de eventos, y que permitió la subida de archivos webshell a través de los cuales se modificó la plantilla de la página principal del sitio.
  • 5. - Se inicio la revisión para realizar las actualizaciones necesarias sobre el gestor de contenidos Joomla así como todos los componentes que están instalados a sus últimas versiones de tal manera que las vulnerabilidades que están presentes en el portal sean solventadas. - La información que se detectó en el portal que fue subida por parte de los atacantes fue eliminada como parte de la respuesta al incidente, sin embargo se está realizando una revisión profunda del sitio en búsqueda de archivos o condiciones anormales del portal que hubiesen podido darse como parte del ataque. - Por último se tomaron medidas correctivas como el cambio de las contraseñas de acceso a los gestores de contenido y bases de datos que hubiesen podido verse comprometidas en el ataque presentado. ANEXO 1. Información De Las Direcciones Ip Relacionadas Con El Ataque Dirección IP: 85.108.101.191 Origen: Turquía Registrar: RIPE (http://www.ripe.net//) % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.108.0.0 - 85.108.255.255' inetnum: 85.108.0.0 - 85.108.255.255 netname: TurkTelekom descr: Turk Telekom ADSL-TT net country: tr admin-c: TTBA1-RIPE tech-c: TTBA1-RIPE status: ASSIGNED PA mnt-by: as9121-mnt source: RIPE #Filtered
  • 6. role: TT Administrative Contact Role address: Turk Telekom Genel Mudurlugu phone: +90 312 555 1920 fax-no: +90 312 313 1924 admin-c: BADB3-RIPE tech-c: ZA66-RIPE tech-c: NO638-RIPE tech-c: SO351-RIPE nic-hdl: TTBA1-RIPE mnt-by: AS9121-MNT source: RIPE #Filtered % Information related to '85.108.0.0/17AS9121' route: 85.108.0.0/17 descr: TurkTelecom origin: AS9121 mnt-by: AS9121-MNT source: RIPE #Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS1) Definitivo Parcial Estado Actual: Solucionado Diagnostico y Solución: . Acciones de Mejora: Evento Atendido por: En la Cultura ETB, ¡Entendemos las necesidades de nuestros clientes y les ofrecemos soluciones integrales, buscando relaciones de largo plazo!
  • 7. role: TT Administrative Contact Role address: Turk Telekom Genel Mudurlugu phone: +90 312 555 1920 fax-no: +90 312 313 1924 admin-c: BADB3-RIPE tech-c: ZA66-RIPE tech-c: NO638-RIPE tech-c: SO351-RIPE nic-hdl: TTBA1-RIPE mnt-by: AS9121-MNT source: RIPE #Filtered % Information related to '85.108.0.0/17AS9121' route: 85.108.0.0/17 descr: TurkTelecom origin: AS9121 mnt-by: AS9121-MNT source: RIPE #Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS1) Definitivo Parcial Estado Actual: Solucionado Diagnostico y Solución: . Acciones de Mejora: Evento Atendido por: En la Cultura ETB, ¡Entendemos las necesidades de nuestros clientes y les ofrecemos soluciones integrales, buscando relaciones de largo plazo!