Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña

1. Francisco Alonso
Alejandro Ramos
Security
By
Default

2.  Manager del TigerTeam de SIA  Security Researcher
 Profesor en el MOSTIC de UEM  Hardening
 Editor de  Ethical Hacking en Banca y
SecurityByDefault.com Telecomunicaciones
 Blah Blah…  Colaborador de la revista
hakin9 y cryptome.org
 ¡Mercenario a tiempo
completo!
SbD 2

4.  Análisis forense de disco duro (/home)
 No existe un único objetivo en el juego
 Desde el 6 de Octubre hasta el 15 de Octubre
 Existen hasta 4 hallazgos importantes
 «¿Cuál es el título de la película?»
http://noconname.org/concursos/okin.dd.bz2
SbD 4

5.  md5sum okin.dd && cat okin.md5
9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd
9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd
 mkdir okin_fs
 sudo mount -o loop,ro,noexec,nodev okin.dd
okin_fs/
 find okin_fs/ . -exec file {} ;
 find okin_fs/ . -exec ls -l --full-time {} ; -exec file {} ;
SbD 5

6. SbD 6

7. SbD 7

8. -----BEGIN PGP MESSAGE-----
Charset: ISO-8859-1
Version: GnuPG v1.4.10 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=3D5zru
-----END PGP MESSAGE-----
SbD 8

9.  Fichero con contraseña
 Se prueban las encontradas en el
.bash_history
 No sirve ninguna :-(
 ¿Fuerza bruta? (suponemos que no)
SbD 9

10. SbD 10

11.  for i in `cat inodes`; do icat -r okin.dd $i >$i;
echo $i; done
SbD 11

12. SbD 12

13. SbD 13

14. SbD 14

15. SbD 15

16. SbD 16

17. “El cuerpo humano genera más bioelectricidad que una pila de
ciento veinte voltios y más de veinticinco mil Julios de calor
corporal Combinado con una forma de fusión, las máquinas
habían encontrado toda la energía que podían necesitar Existen
campos, Neo interminables campos donde los seres humanos ya
no nacemos Se nos cultiva “
SbD 17

18. SbD 18

20.  Multidisciplinario
 tareas organizativas
 tecnológicas
 legales
 Individual o hasta 5 personas
 Desde el 6/09 hasta el 5/10
 Requisito: estar inscrito en la NcN
SbD 20

21. 1. Irina pide ayuda a su primo Sergei, para
vengarse de su novio (Andres) que trabaja en
un banco
2. Sergei adquiere un 0day y un panel de control a
dos personas. Fabricando un malware
3. Irina manda el malware como foto a su ex-
novio Andrés.
4. 20 personas son infectadas cuando la foto es
reenviada por email
5. El servicio de HelpDesk del banco detecta
actividad anómala en el puerto 80 y activa las
alarmas.
SbD 21

22.  Contención del incidente
 Identificación de evidencias
 Análisis de la causa raíz
 Determinación de controles que han fallado
 Identificación de medidas preventivas
 Planificación en tiempos de la implantación
de soluciones
SbD 22

23.  Volcado de memoria
 Captura de red (pcap)
 Mapa de red
 Elementos tecnológicos
http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23

24. SbD 24

25. SbD 25

26.  http://irinarubitaru.heyup.me/irina.jpeg
 http://213.27.212.99/s/main/bt_version_check
er.php?guid=ANRES!WS001!C4510E2C&ver=
10070&stat=ONLINE&cpu=37&ccrc=30C670B
2
 http://213.27.212.99/s/formgrabber/websitec
heck.php
SbD 26

27. SbD 27

28.  13:39:53 - Error 404 en el portal heyup.me (acceso no
valido)
 13:43:31 - Usuario Andres realiza búsqueda en Bing en
IE searchbox "restaurantes italiano vía augusta"
 13:44:22 - Usuario Andres accede a portal
www.eltenedor.es como resultado de la búsqueda
anterior
 14:10:00 - El perito accede a mdd.sourceforge.net y
procede a su descarga
 14:16:51 - Una vez finalizado el memdump el bot
continua funcionando y siguen existiendo peticiones
SbD 28

29. No, no hay Exif
¬¬
SbD 29

30.  Filtrar el destino en elementos de red
(firewalls y proxy) (IP: 213.27.212.99 y
209.190.24.4/irinarubitaru.heyup.me)
 Comprobar sistemas antivirus en SMTP y
HTTP
 Envío de muestra a compañía antivirus
SbD 30

31.  «strings» de sysinternals
 USERNAME=andres
 USERPROFILE=C:Usersandres
 Fichero temporal sospehcoso
C:UsersandresAppDataLocalTempTemp3_irin
a[1].zipirina.jpeg
 http://213.27.212.99/s/formgrabber/websitec
heck.php
 http://213.27.212.99/s/main/bt_getexe.php
SbD 31

32. <b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-
Link resource in
<b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b>
on line <b>28</b><br />
SbD 32

33.  Procesos en ejecución
 Conexiones abiertas
 DLLs cargadas por proceso
 Ficheros abiertos por proceso
 Descriptores abiertos por el registro
 Módulos del kernel
 Extracción de ejecutables
 Plugins
https://www.volatilesystems.com/default/volatility
SbD 33

34.  - Windows Symbol Package (Windows Vista)
http://www.microsoft.com/whdc/devtools/debugging/
symbolpkg.mspx
 PDBparse, Open-source parser for Microsoft debug
symbols (PDB files)
http://code.google.com/p/pdbparse/
 Ultima version de Volatility svn
 Modulo Construct como dependencia para pdbparse
 Generar el fichero de definicion de simbolos,
ntkrnlmp.pdb, (Windows Vista Kernel)
 Crear el profile de WindowsVistaSP0 y lanzar Volatility
con su parametro -profile
SbD 34

35. SbD 35

36. SbD 36

37.  Similar a ZeuS (competencia directa)
 Creador ruso «magic»
 C++, ring3
 Keylogging
 Kill Zeus!
 Se actualiza automáticamente
 Se configura según config.bin
www.sans.org/reading_room/whitepapers/malicious/clash-titans-
zeus-spyeye_33393
SbD 37

38. SbD 38

39.  Realización de script para la eliminación
manual del malware - ¿dominio?
 Inyección de contenido basura en el
«form_grabber»
 Verificar política de parches
 ¡¡Usar Patriot NG!!!
 Ehm… ¡pwning! =]
SbD 39

40. <?
# Database
define('DB_SERVER', 'localhost');
define('DB_NAME', 'sp');
define('DB_USER', 'sp');
define('DB_PASSWORD', 'aabbcc');
# Admin
define('ADMIN_PASSWORD', 'tocame');
# Config
define('CONFIG_FILE', 'bin/config.bin');
# Setting timezone for php
//putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier
// or ... "date.timezone = UTC" in php.ini
?>
SbD 40

41.  Mantener la cadena de custodia
 Llevar a cabo análisis forense por un tercero
 Cursar denuncia con cuerpos de seguridad
SbD 41

42. @revskills
@aramosf
@secbydefault
SbD 42