SlideShare uma empresa Scribd logo

Un caso Forense: La Red y la Memoria RAM

Eventos Creativos
Eventos Creativos

Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña

Tecnologia
1 de 42
Baixar para ler offline
Francisco Alonso Alejandro Ramos Security By Default
 Manager del TigerTeam de SIA  Security Researcher  Profesor en el MOSTIC de UEM  Hardening  Editor de  Ethical Hacking en Banca y SecurityByDefault.com Telecomunicaciones  Blah Blah…  Colaborador de la revista hakin9 y cryptome.org  ¡Mercenario a tiempo completo! SbD 2
 Análisis forense de disco duro (/home)  No existe un único objetivo en el juego  Desde el 6 de Octubre hasta el 15 de Octubre  Existen hasta 4 hallazgos importantes  «¿Cuál es el título de la película?» http://noconname.org/concursos/okin.dd.bz2 SbD 4
 md5sum okin.dd && cat okin.md5 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd  mkdir okin_fs  sudo mount -o loop,ro,noexec,nodev okin.dd okin_fs/  find okin_fs/ . -exec file {} ;  find okin_fs/ . -exec ls -l --full-time {} ; -exec file {} ; SbD 5
SbD 6
SbD 7
-----BEGIN PGP MESSAGE----- Charset: ISO-8859-1 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ hQEOA78AQh2Ts7oPEAP+OtZIwwX2Uo92a7sCwko4DwbzmGQ64yIp6cqkTVoa+sF/ 6addCvMmIMey7UyNFzU2+qL3GD+4EO0c+v+/KYDRGr6sfUYVvsDfWwOUtKeKxZ4k rYlKmWmn5yGPVbgD5KZLUD85Bvoo375fzK2IpWNUhNUhMfj/oZk1ssuzKPpbFFwD /iR6Wrwf/dtwii+49Cca7Pi1flVXBAtm14941nNKT+DVvw0Jci1eUc5tBseai0Yp 56AlWE3J7CjpL7Jngc8YGrvPbPMxYS8gz73fvnffPURMRLEt3Joqb2G3OOZcwC0N 82iXk10nMDJbCVahG/P8agbQupZ0hfnvPplA/dJmm6Xw0sBsAVUsw03nV1qcV8l6 2ORFd8qPIxrR/LULWxMVzXMtIjR+SjZzeGhSF2LEVurGO4JECjr6T6OFpOpFOzT3 Bll2bytuTE7ALH+KEL9bpUkCebVoezvSqQn+Jvm7CiQQfv/7KfShJSFol4QSqffz 6/UK4WjA1RtN/iaN2Y2w6u+uCnrt0ACPLwnLSMHjpIxrDOIedXk6XBG6PM+xYkHd iXx9dR5tZ+pZ2A6GttCopsSaLEFNmBDfjMICaoP8z9UNLGvg+t9lRtlzn5ylvFzy 7gsyyDGm/waEmddZjJKwMVQuFkGA82syibBGELB7YZJXYMXhghxEJQxnEDfSwKyi p1h2J0xMtW0wouZIRNMTGAD64rO0SYDXyMliVz7vUn8iK5z5uaFH3Isq89HAeGzu =3D5zru -----END PGP MESSAGE----- SbD 8
 Fichero con contraseña  Se prueban las encontradas en el .bash_history  No sirve ninguna :-(  ¿Fuerza bruta? (suponemos que no) SbD 9
SbD 10
 for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done SbD 11
SbD 12
SbD 13
SbD 14
SbD 15
SbD 16
“El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinas habían encontrado toda la energía que podían necesitar Existen campos, Neo interminables campos donde los seres humanos ya no nacemos Se nos cultiva “ SbD 17
SbD 18
 Multidisciplinario  tareas organizativas  tecnológicas  legales  Individual o hasta 5 personas  Desde el 6/09 hasta el 5/10  Requisito: estar inscrito en la NcN SbD 20
1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco 2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware 3. Irina manda el malware como foto a su ex- novio Andrés. 4. 20 personas son infectadas cuando la foto es reenviada por email 5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. SbD 21
 Contención del incidente  Identificación de evidencias  Análisis de la causa raíz  Determinación de controles que han fallado  Identificación de medidas preventivas  Planificación en tiempos de la implantación de soluciones SbD 22
 Volcado de memoria  Captura de red (pcap)  Mapa de red  Elementos tecnológicos http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23
SbD 24
SbD 25
 http://irinarubitaru.heyup.me/irina.jpeg  http://213.27.212.99/s/main/bt_version_check er.php?guid=ANRES!WS001!C4510E2C&ver= 10070&stat=ONLINE&cpu=37&ccrc=30C670B 2  http://213.27.212.99/s/formgrabber/websitec heck.php SbD 26
SbD 27
 13:39:53 - Error 404 en el portal heyup.me (acceso no valido)  13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta"  13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior  14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga  14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones SbD 28
No, no hay Exif ¬¬ SbD 29
 Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me)  Comprobar sistemas antivirus en SMTP y HTTP  Envío de muestra a compañía antivirus SbD 30
 «strings» de sysinternals  USERNAME=andres  USERPROFILE=C:Usersandres  Fichero temporal sospehcoso C:UsersandresAppDataLocalTempTemp3_irin a[1].zipirina.jpeg  http://213.27.212.99/s/formgrabber/websitec heck.php  http://213.27.212.99/s/main/bt_getexe.php SbD 31
<b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL- Link resource in <b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b> on line <b>28</b><br /> SbD 32
 Procesos en ejecución  Conexiones abiertas  DLLs cargadas por proceso  Ficheros abiertos por proceso  Descriptores abiertos por el registro  Módulos del kernel  Extracción de ejecutables  Plugins https://www.volatilesystems.com/default/volatility SbD 33
 - Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/ symbolpkg.mspx  PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/  Ultima version de Volatility svn  Modulo Construct como dependencia para pdbparse  Generar el fichero de definicion de simbolos, ntkrnlmp.pdb, (Windows Vista Kernel)  Crear el profile de WindowsVistaSP0 y lanzar Volatility con su parametro -profile SbD 34
SbD 35
SbD 36
 Similar a ZeuS (competencia directa)  Creador ruso «magic»  C++, ring3  Keylogging  Kill Zeus!  Se actualiza automáticamente  Se configura según config.bin www.sans.org/reading_room/whitepapers/malicious/clash-titans- zeus-spyeye_33393 SbD 37
SbD 38
 Realización de script para la eliminación manual del malware - ¿dominio?  Inyección de contenido basura en el «form_grabber»  Verificar política de parches  ¡¡Usar Patriot NG!!!  Ehm… ¡pwning! =] SbD 39
<? # Database define('DB_SERVER', 'localhost'); define('DB_NAME', 'sp'); define('DB_USER', 'sp'); define('DB_PASSWORD', 'aabbcc'); # Admin define('ADMIN_PASSWORD', 'tocame'); # Config define('CONFIG_FILE', 'bin/config.bin'); # Setting timezone for php //putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier // or ... "date.timezone = UTC" in php.ini ?> SbD 40
 Mantener la cadena de custodia  Llevar a cabo análisis forense por un tercero  Cursar denuncia con cuerpos de seguridad SbD 41
@revskills @aramosf @secbydefault SbD 42

Recomendados

Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Manejo de información raster_en_post_gis-2.0-
Manejo de información raster_en_post_gis-2.0-Manejo de información raster_en_post_gis-2.0-
Manejo de información raster_en_post_gis-2.0-Kudos S.A.S
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
 

Recomendados

Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Manejo de información raster_en_post_gis-2.0-
Manejo de información raster_en_post_gis-2.0-Manejo de información raster_en_post_gis-2.0-
Manejo de información raster_en_post_gis-2.0-Kudos S.A.S
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
 
Sysdig
SysdigSysdig
SysdigAlejandro E Brito Monedero
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaTm-CS
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocinaEfren Diaz Gomez
 
Bsides Latam 2019
Bsides Latam 2019Bsides Latam 2019
Bsides Latam 2019Mauricio Velazco
 
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]RootedCON
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5LauraSLeon
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 esetjeysonh
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Alejandro Quesada
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSecpro - Security Professionals
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Un caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsUn caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsEventos Creativos
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y DefensaSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Edwin R. Grullon Aybar
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDEPedro J. Molina
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetAlejandro Ramos
 
La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftEventos Creativos
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para itEventos Creativos
 

Mais conteúdo relacionado

Semelhante a Un caso Forense: La Red y la Memoria RAM

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaTm-CS
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocinaEfren Diaz Gomez
 
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]RootedCON
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 esetjeysonh
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Alejandro Quesada
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
Un caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsUn caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsEventos Creativos
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDEPedro J. Molina
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetAlejandro Ramos
 

Semelhante a Un caso Forense: La Red y la Memoria RAM (20)

Sysdig
SysdigSysdig
Sysdig
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocina
 
Bsides Latam 2019
Bsides Latam 2019Bsides Latam 2019
Bsides Latam 2019
 
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 eset
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
Un caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsUn caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en Windows
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y Defensa
 
Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDE
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
 

Mais de Eventos Creativos

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftEventos Creativos
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit frameworkEventos Creativos
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmEventos Creativos
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetEventos Creativos
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Eventos Creativos
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos iosEventos Creativos
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosEventos Creativos
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoEventos Creativos
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativoEventos Creativos
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcEventos Creativos
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesEventos Creativos
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 

Mais de Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 

Último (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Un caso Forense: La Red y la Memoria RAM

  • 1. Francisco Alonso Alejandro Ramos Security By Default
  • 2. Manager del TigerTeam de SIA  Security Researcher  Profesor en el MOSTIC de UEM  Hardening  Editor de  Ethical Hacking en Banca y SecurityByDefault.com Telecomunicaciones  Blah Blah…  Colaborador de la revista hakin9 y cryptome.org  ¡Mercenario a tiempo completo! SbD 2
  • 3.
  • 4. Análisis forense de disco duro (/home)  No existe un único objetivo en el juego  Desde el 6 de Octubre hasta el 15 de Octubre  Existen hasta 4 hallazgos importantes  «¿Cuál es el título de la película?» http://noconname.org/concursos/okin.dd.bz2 SbD 4
  • 5.  md5sum okin.dd && cat okin.md5 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd  mkdir okin_fs  sudo mount -o loop,ro,noexec,nodev okin.dd okin_fs/  find okin_fs/ . -exec file {} ;  find okin_fs/ . -exec ls -l --full-time {} ; -exec file {} ; SbD 5
  • 6. SbD 6
  • 7. SbD 7
  • 8. -----BEGIN PGP MESSAGE----- Charset: ISO-8859-1 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ hQEOA78AQh2Ts7oPEAP+OtZIwwX2Uo92a7sCwko4DwbzmGQ64yIp6cqkTVoa+sF/ 6addCvMmIMey7UyNFzU2+qL3GD+4EO0c+v+/KYDRGr6sfUYVvsDfWwOUtKeKxZ4k rYlKmWmn5yGPVbgD5KZLUD85Bvoo375fzK2IpWNUhNUhMfj/oZk1ssuzKPpbFFwD /iR6Wrwf/dtwii+49Cca7Pi1flVXBAtm14941nNKT+DVvw0Jci1eUc5tBseai0Yp 56AlWE3J7CjpL7Jngc8YGrvPbPMxYS8gz73fvnffPURMRLEt3Joqb2G3OOZcwC0N 82iXk10nMDJbCVahG/P8agbQupZ0hfnvPplA/dJmm6Xw0sBsAVUsw03nV1qcV8l6 2ORFd8qPIxrR/LULWxMVzXMtIjR+SjZzeGhSF2LEVurGO4JECjr6T6OFpOpFOzT3 Bll2bytuTE7ALH+KEL9bpUkCebVoezvSqQn+Jvm7CiQQfv/7KfShJSFol4QSqffz 6/UK4WjA1RtN/iaN2Y2w6u+uCnrt0ACPLwnLSMHjpIxrDOIedXk6XBG6PM+xYkHd iXx9dR5tZ+pZ2A6GttCopsSaLEFNmBDfjMICaoP8z9UNLGvg+t9lRtlzn5ylvFzy 7gsyyDGm/waEmddZjJKwMVQuFkGA82syibBGELB7YZJXYMXhghxEJQxnEDfSwKyi p1h2J0xMtW0wouZIRNMTGAD64rO0SYDXyMliVz7vUn8iK5z5uaFH3Isq89HAeGzu =3D5zru -----END PGP MESSAGE----- SbD 8
  • 9. Fichero con contraseña  Se prueban las encontradas en el .bash_history  No sirve ninguna :-(  ¿Fuerza bruta? (suponemos que no) SbD 9
  • 10. SbD 10
  • 11. for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done SbD 11
  • 12. SbD 12
  • 13. SbD 13
  • 14. SbD 14
  • 15. SbD 15
  • 16. SbD 16
  • 17. “El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinas habían encontrado toda la energía que podían necesitar Existen campos, Neo interminables campos donde los seres humanos ya no nacemos Se nos cultiva “ SbD 17
  • 18. SbD 18
  • 19.
  • 20. Multidisciplinario  tareas organizativas  tecnológicas  legales  Individual o hasta 5 personas  Desde el 6/09 hasta el 5/10  Requisito: estar inscrito en la NcN SbD 20
  • 21. 1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco 2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware 3. Irina manda el malware como foto a su ex- novio Andrés. 4. 20 personas son infectadas cuando la foto es reenviada por email 5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. SbD 21
  • 22. Contención del incidente  Identificación de evidencias  Análisis de la causa raíz  Determinación de controles que han fallado  Identificación de medidas preventivas  Planificación en tiempos de la implantación de soluciones SbD 22
  • 23. Volcado de memoria  Captura de red (pcap)  Mapa de red  Elementos tecnológicos http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz SbD 23
  • 24. SbD 24
  • 25. SbD 25
  • 26. http://irinarubitaru.heyup.me/irina.jpeg  http://213.27.212.99/s/main/bt_version_check er.php?guid=ANRES!WS001!C4510E2C&ver= 10070&stat=ONLINE&cpu=37&ccrc=30C670B 2  http://213.27.212.99/s/formgrabber/websitec heck.php SbD 26
  • 27. SbD 27
  • 28. 13:39:53 - Error 404 en el portal heyup.me (acceso no valido)  13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta"  13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior  14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga  14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones SbD 28
  • 29. No, no hay Exif ¬¬ SbD 29
  • 30. Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me)  Comprobar sistemas antivirus en SMTP y HTTP  Envío de muestra a compañía antivirus SbD 30
  • 31. «strings» de sysinternals  USERNAME=andres  USERPROFILE=C:Usersandres  Fichero temporal sospehcoso C:UsersandresAppDataLocalTempTemp3_irin a[1].zipirina.jpeg  http://213.27.212.99/s/formgrabber/websitec heck.php  http://213.27.212.99/s/main/bt_getexe.php SbD 31
  • 32. <b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL- Link resource in <b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b> on line <b>28</b><br /> SbD 32
  • 33. Procesos en ejecución  Conexiones abiertas  DLLs cargadas por proceso  Ficheros abiertos por proceso  Descriptores abiertos por el registro  Módulos del kernel  Extracción de ejecutables  Plugins https://www.volatilesystems.com/default/volatility SbD 33
  • 34. - Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/ symbolpkg.mspx  PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/  Ultima version de Volatility svn  Modulo Construct como dependencia para pdbparse  Generar el fichero de definicion de simbolos, ntkrnlmp.pdb, (Windows Vista Kernel)  Crear el profile de WindowsVistaSP0 y lanzar Volatility con su parametro -profile SbD 34
  • 35. SbD 35
  • 36. SbD 36
  • 37. Similar a ZeuS (competencia directa)  Creador ruso «magic»  C++, ring3  Keylogging  Kill Zeus!  Se actualiza automáticamente  Se configura según config.bin www.sans.org/reading_room/whitepapers/malicious/clash-titans- zeus-spyeye_33393 SbD 37
  • 38. SbD 38
  • 39. Realización de script para la eliminación manual del malware - ¿dominio?  Inyección de contenido basura en el «form_grabber»  Verificar política de parches  ¡¡Usar Patriot NG!!!  Ehm… ¡pwning! =] SbD 39
  • 40. <? # Database define('DB_SERVER', 'localhost'); define('DB_NAME', 'sp'); define('DB_USER', 'sp'); define('DB_PASSWORD', 'aabbcc'); # Admin define('ADMIN_PASSWORD', 'tocame'); # Config define('CONFIG_FILE', 'bin/config.bin'); # Setting timezone for php //putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier // or ... "date.timezone = UTC" in php.ini ?> SbD 40
  • 41. Mantener la cadena de custodia  Llevar a cabo análisis forense por un tercero  Cursar denuncia con cuerpos de seguridad SbD 41