El documento presenta una introducción al análisis forense. Explica brevemente qué es el análisis forense, su panorama actual y algunas herramientas como HoneyWeb y ULISES para la detección de malware. Luego analiza dos casos forenses: el caso de Carlos sobre evidencia digital encontrada en su domicilio y un caso de phishing bancario donde se explica el proceso de intrusión paso a paso. Finalmente concluye resumiendo los puntos principales cubiertos en la presentación.
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Autopsia de Una Intrusión
1. Name of presentation
Autopsia de una intrusión
Company name
Salamanca, 8 de Julio 2009
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
2. c:>whoami
Pedro Sánchez Cordero
* Soy un apasionado de las técnicas forense
* He trabajado en empresas como consultor de seguridad
informática especializado en métodos forense, redes
trampa, detección de intrusiones, desarrollo de normas
ISO 27001 y metodologías sobre arquitecturas de
seguridad.
* Soy miembro del capítulo Español de la Honeynet Project
(http://www.honeynet.org/)
* He publicado diversas herramientas y scripts de seguridad
en ForensicFocus orientadas al analisis forense
* Escribo en el blog de conexioninversa (cuando puedo)
* Actualmente desarrollo mi labor como responsable de
seguridad en Asociación técnica de Cajas de Ahorros
3. ATCA A.I.E., es una agrupación de interés económico con los
siguientes socios:
31 %
13 %
om
31 %
t.c
spo
og
bl
sa.
er
nv
o ni
xi
co
ne 25 %
4. >6.000 Empleados (Escritorio Windows)
> 192 Servidores en producción
Centro primario y secundario a más de 300km
31 %
Certificación en CMMI Nivel 5 (Solo dos empresas en
E
España)
Certificación de Seguridad SGSI en ISO 2700113 %
(Única en
E
España cuyo alcance es toda la empresa)
om
31 %
t.c
og
spo Certificaciones: CISCO (3), MCSA(3), MCSE (6), CISM (1),
bl
sa.
er
xi
o ni
nv
OCP (3)CHFI (3)
e
con
5. Agenda:
1.- Análisis forense
2.- Análisis Forense in Depth
– Dos casos:
• Forensic inHouse
– AUTOPSY CASE: “El caso de Carlos”
• Live of dead
– AUTOPSY CASE: “Mi web tiene un
'bujerito' sersual”
3.- Herramientas para análisis forense
4.- Conclusiones
om
t.c
po
gs
b lo
a.
rs
n ve
ni
io
n ex
co
6. Name of presentation
Autopsia de una intrusión
Company name
1.- Análisis Forense
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
7. • 1.- Análisis forense
• ¿que es?
• “ Obtención y análisis de datos empleando
• métodos que distorsionen lo menos posible
la información con el objetivo de
reconstruir todos los datos y/o los eventos
qué ocurrieron sobre un sistema en el
pasado ”
• – Dan Farmer y Wietse Venema, 1999
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
8. • 1.- Análisis forense
Se buscan respuestas basadas en
evidencias
En una crisis informática o una intrusión se
buscan respuestas a las preguntas:
– ¿quien fue?
– ¿como?
– ¿cuando fue?
– ¿porque?
• Aquí entra en juego el analista forense
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
9. • 1.- Análisis forense
• La información se puede buscar en
equipos encendidos:
– Memoria
– Red
– Ficheros y procesos
– Datos y programas
• O..apagados
– Discos y dispositivos
• O en logs
– Cortafuegos, IDS's, etc.
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
10. • 1.- Análisis forense
– La forma de obtener los datos:
Adquisición de evidencias
Obtención de imágenes de las evidencias
Análisis inicial
Creación y análisis de la línea de tiempo
Análisis específico y recuperación de datos
Análisis de datos y cadenas
Generación del informe
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
11. • 1.- Análisis forense
– Panorama Actual
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
12. • 1.- Análisis forense
– Panorama Actual
o
o t.c
sp
og
. bl
r sa
n ve
ni
io
n ex
co
m
13. 1.- Análisis forense
Panorama Actual
16.000 Ataques al mes a las web's
Casi el 100% de Ip's provienen de Rusia y China
El 2% de Ataques de denegación de servicio
El 80% Ataques de troyanos en clientes (un 4% es phising)
El el 18% restante ataques de SQL Inyection, RFID, etc.
Los casos forenses se han multiplicado en los dos últimos años
por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)
JUNIO: 12 Análisis forenses
Las fugas de información están a la orden del día
Empleados descontentos, Administradores...etc
o
gs
po
t.c
Gerentes que desconfían de los admins
o
bl
sa.
er
nv
o ni
xi
ne
co
m
14. 1.- Panorama actual
Lo que se ve...es muy distinto
En este ultimo año hemos detectado un alto número de web's
infectadas
om
t.c
spo
l og
a .b
ers
i nv
i on
n ex
co
15. Autopsia de una intrusión
Name of presentation
2.- Análisis Forense in Depth
Company name
Un caso:
Forensics inHouse
AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros”
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
16. • 2.- Análisis Forense in Depth
» AUTOPSY CASE: “El caso de Carlos”
Carlos tiene pendiente una condena por exhibicionismo y acoso
sexual en el trabajo.
Algunas denunciantes interpusieron una demanda por lo penal
dado que fueron grabadas y fotografiadas sin consentimiento.
Muchas de esas fotos están ahora en Internet
La Guardia Civil tras un registro en el domicilio de Carlos se
incauto una gran cantidad de material digital CD's y Pendrives con
alto contenido pedofilo y sexual.
om
po
t.c Entre ellos teléfonos móviles como un motorola y un nokia n95
s
l og
a .b
e rs
i nv
on
on
exi Se obtuvieron evidencias de llamadas, agendas e imágenes
c
17. • DEMO
om
t.c
spo
l og
a .b
ers
i nv
i on
n ex
co
18. Autopsia de una intrusión
Name of presentation
2.- Análisis Forense in Depth
Company name
Segundo Caso:
Live of dead
AUTOPSY CASE: “Mi web tiene un 'bujerito' asersual”
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
19. • 2.- Análisis Forense in Depth
» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
•Autopsia del ataque:
•PASO 1: 2.- El servidor maligno le hace
entrega de una página falsa,
que simula al banco. En esta le
pide el nombre de usuario y
contraseña
4.- El servidor maligno 'pilla'
los datos y los envía al servidor
legitimo
1
1.- El cliente
4
3
hace 'click' en un
2
vinculo sobre un
.c
om falso correo
t
spo
a .b
l og 3.- El cliente
e rs introduce los
i nv
on datos y pulsa el
exi
con botón enviar
20. • 2.- Análisis Forense in Depth
» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
•PASO 2:
2.- El servidor maligno
'parsea' los datos y los
maqueta dinámicamente sobre
una pagina en PHP que le sera
mostrada con todos los datos
del cliente
1
2
5
5.- El malo envia el
3.- El cliente nuevo valor (dni) e
recibe la página intenta hacer una
4
con sus datos y trasferencia
om un campo más en automatica
t.c
spo el que le piden el
l og
.b DNI
nv
ers
a
4.- El cliente 1.- El servidor legitimo valida
i
on introduce los el nombre de usuario y
exi
con datos y pulsa el contraseña y muestra la
botón enviar posición global y se la envía al
cliente
21. • 2.- Análisis Forense in Depth
» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
•PASO 3:
2.- El servidor maligno
'parsea' los datos y los
maqueta dinámicamente sobre
una pagina en PHP que le sera
mostrada con todos los datos
del cliente
1
2
5
5.- El malo envia el
3.- El cliente nuevo valor (token) y
recibe la página realiza una
4
con sus datos y transferencia
om un campo más la automaticamente
t.c
spo solicitud de su
l og
.b token
nv
ers
a
4.- El cliente 1.- Dado que este cliente es
i
on introduce los VIP y dispone Token de un
exi
con datos y pulsa el solo uso le solicita el uso del
botón enviar mismo
22. • 2.- Análisis Forense in Depth
» AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual
•¿COMO SE RESOLVIO?
•- Identificar al atacante en base a:
●
Ip's de origen
●
Firma (hash) de la página de inicio y comparandola con
la vuelta
●
Establecimiento de un captcha para detener el
automatismo
•Paralelamente
●
Se desarrollo lo que hoy es una honeynet basada en
web
●
Se activa...
●
Dependiendo de los usuarios introducidos
po
t.c
om ●
Del nivel de ataque (Bd de ataques)
s
og
rs
a .b
l ●
Por geolocalización
e
nv
ex
i on
i ●
Por IA (versiones,idiomas,ips..etc..)
n
co
23. Name of presentation
Autopsia de una intrusión
Company name
3.- Herramientas “tool and kit”
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
24. • 3.- Herramientas
•HoneyWeb
•Detector de Malware - ULISES
● * El objeto de este programa tiene como objetivo
identificar aquellos recursos web que han sido
troyanizados y son el origen del ataque a los propios
usuarios de la aplicación.
● * Identificación de las actividades que realiza el
malware sobre el ordenador del usuario.
● * Suponiendo que nuestras Webs o con las que nos
intercambiamos información han sido vulneradas
● * Supongamos que han insertado código malicioso
para troyanizar a los usuarios.
● * Basado en Capture HPC, pero con algunas mejoras a
nivel del capturador y mensajeria hacia Windows
● * Utiliza las Api's VIX de VMWARE
.c
om
● * No necesita VMWARE Server en Linux
t
po
.b
l og
s ● * Es OpenSource y disponible (pronto) en codeplex
a
ers
i nv
i on
n ex
co
25. 3.- ULISES
Sistema
Windows
Consola de Administración
1.- Envía los comandos para las páginas a visitar
Sistema
virtualizado
Control del navegador 4.- Empieza la
comunicación
2.- Activa el rootkit
3.- Visita el website
om
gs
po
t.c
Internet explorer Rootkit
o
bl
a.
ers
i nv
on
co
n ex
i
vigia.exe
mirilla.exe
26. • DEMO
om
t.c
spo
l og
a .b
ers
i nv
i on
n ex
co
28. Name of presentation
Autopsia de una intrusión
Company name
4.- Conclusiones
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co
29. 4. Conclusiones
● Todo contacto deja rastro
● El malo tiene prisa y generalmente 'no limpia' las pruebas
● Las empresas afectadas disponen de poco tiempo de investigar. La
producción manda
● Gran volumen de casos sobre fraude interno
● Los clientes del sector financiero viven íntimamente con troyanos
● Las fuerzas del estado están cada vez mas preparadas
● Las leyes cada vez son mas fuertes
● La Judicatura tiene grandes vacíos legales ante la ley. Otros todavía
no entienden la parte técnica. (Sabemos que están en ello)
om
t.c
po
.b
l og
s ● La profesión de analista forense requiere mucha especialización,
sa
i nv
er conocer herramientas y disponer de una fuerte base legal
on
exi
con
30. Por lo tanto...si los troyanos te comen y las intrusiones te
molestan...
Name of presentation
Piensa en 'Forense'
Conoce a tu enemigo
Aprende de el.
Company name
Gracias...
o m
o t.c
g sp
lo
.b
sa
ver
n
o ni
e xi
n
co