Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña
2. Manager del TigerTeam de SIA Security Researcher
Profesor en el MOSTIC de UEM Hardening
Editor de Ethical Hacking en Banca y
SecurityByDefault.com Telecomunicaciones
Blah Blah… Colaborador de la revista
hakin9 y cryptome.org
¡Mercenario a tiempo
completo!
SbD 2
3.
4. Análisis forense de disco duro (/home)
No existe un único objetivo en el juego
Desde el 6 de Octubre hasta el 15 de Octubre
Existen hasta 4 hallazgos importantes
«¿Cuál es el título de la película?»
http://noconname.org/concursos/okin.dd.bz2
SbD 4
17. “El cuerpo humano genera más bioelectricidad que una pila de
ciento veinte voltios y más de veinticinco mil Julios de calor
corporal Combinado con una forma de fusión, las máquinas
habían encontrado toda la energía que podían necesitar Existen
campos, Neo interminables campos donde los seres humanos ya
no nacemos Se nos cultiva “
SbD 17
20. Multidisciplinario
tareas organizativas
tecnológicas
legales
Individual o hasta 5 personas
Desde el 6/09 hasta el 5/10
Requisito: estar inscrito en la NcN
SbD 20
21. 1. Irina pide ayuda a su primo Sergei, para
vengarse de su novio (Andres) que trabaja en
un banco
2. Sergei adquiere un 0day y un panel de control a
dos personas. Fabricando un malware
3. Irina manda el malware como foto a su ex-
novio Andrés.
4. 20 personas son infectadas cuando la foto es
reenviada por email
5. El servicio de HelpDesk del banco detecta
actividad anómala en el puerto 80 y activa las
alarmas.
SbD 21
22. Contención del incidente
Identificación de evidencias
Análisis de la causa raíz
Determinación de controles que han fallado
Identificación de medidas preventivas
Planificación en tiempos de la implantación
de soluciones
SbD 22
23. Volcado de memoria
Captura de red (pcap)
Mapa de red
Elementos tecnológicos
http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23
28. 13:39:53 - Error 404 en el portal heyup.me (acceso no
valido)
13:43:31 - Usuario Andres realiza búsqueda en Bing en
IE searchbox "restaurantes italiano vía augusta"
13:44:22 - Usuario Andres accede a portal
www.eltenedor.es como resultado de la búsqueda
anterior
14:10:00 - El perito accede a mdd.sourceforge.net y
procede a su descarga
14:16:51 - Una vez finalizado el memdump el bot
continua funcionando y siguen existiendo peticiones
SbD 28
30. Filtrar el destino en elementos de red
(firewalls y proxy) (IP: 213.27.212.99 y
209.190.24.4/irinarubitaru.heyup.me)
Comprobar sistemas antivirus en SMTP y
HTTP
Envío de muestra a compañía antivirus
SbD 30
32. <b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-
Link resource in
<b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b>
on line <b>28</b><br />
SbD 32
33. Procesos en ejecución
Conexiones abiertas
DLLs cargadas por proceso
Ficheros abiertos por proceso
Descriptores abiertos por el registro
Módulos del kernel
Extracción de ejecutables
Plugins
https://www.volatilesystems.com/default/volatility
SbD 33
34. - Windows Symbol Package (Windows Vista)
http://www.microsoft.com/whdc/devtools/debugging/
symbolpkg.mspx
PDBparse, Open-source parser for Microsoft debug
symbols (PDB files)
http://code.google.com/p/pdbparse/
Ultima version de Volatility svn
Modulo Construct como dependencia para pdbparse
Generar el fichero de definicion de simbolos,
ntkrnlmp.pdb, (Windows Vista Kernel)
Crear el profile de WindowsVistaSP0 y lanzar Volatility
con su parametro -profile
SbD 34
39. Realización de script para la eliminación
manual del malware - ¿dominio?
Inyección de contenido basura en el
«form_grabber»
Verificar política de parches
¡¡Usar Patriot NG!!!
Ehm… ¡pwning! =]
SbD 39