Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?
-
Upload
alfredo-campos-enriquez -
Category
Documents
-
view
134 -
download
1
Transcript of Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?
![Page 2: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/2.jpg)
Algunas precisiones
Hacking◦ ¿Para qué hacerlo?
◦ ¿Cómo hacerlo?
Hackeo ético
¿Cómo saber que ya me hackearon?
Una ves comprometido un sistema, ¿qué sigue?
Establecimiento de una metodología.
Análisis forense de un sistema.
![Page 3: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/3.jpg)
Análisis de la información obtenida
Conclusión
¿Preguntas?
![Page 4: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/4.jpg)
Hacker / Cracker◦ Today, mainstream usage mostly refers to computer
criminals, due to the mass media usage of the word since the 1980s. This includes script kiddies, people breaking into computers using programs written by others, with very little knowledge about the way they work. This usage has become so predominant that a large segment of the general public is unaware that different meanings exist. While the use of the word by hobbyist hackers is acknowledged by all three kinds of hackers, and the computer security hackers accept all uses of the word, free software hackers consider the computer intrusion related usage incorrect, and refer to security breakers as "crackers" (analogous to a safecracker).
White Hat Hacker
Black Hat Hacker
![Page 5: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/5.jpg)
Hobby
Ataques a la competencia
Irrupción a la privacidad
Robo de datos sensibles
Abuso de los recursos de terceros
Revisión de seguridad
![Page 6: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/6.jpg)
Buffer overflows
SQL Injection
XSS
Robo de sesión
Man in the middle
ARP spoofing
IP spoofing
Shellcodes
Etc, etc
![Page 7: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/7.jpg)
Revisar estado de la seguridad de un sistema o una red.
Hace lo mismo que un hacker pero bajo permiso.
Modelos de hackeo ético.◦ White box
◦ Black box
◦ Gray box
![Page 8: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/8.jpg)
Depende del objetivo para el cual haya sido tomado el sistema:◦ Abuso de recursos de cómputo.
CPU
Bandwitdh
Disco duro
◦ Ataques a otros sistemas.
DOS / DDOS
Zombies
◦ Robo de información
◦ Aprendizaje
![Page 9: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/9.jpg)
Determinar:◦ ¿Cómo se obtuvo el acceso?
◦ ¿Qué acciones llevó a cabo el atacante?
◦ ¿Cuál es el nivel de compromiso del sistema?
◦ ¿Cuál es la línea de tiempo?
◦ ¿Es parte de un ataque más grande?
◦ ¿Existe la posibilidad de corrupción de datos?
![Page 10: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/10.jpg)
Obtención de imágenes del sistema afectado
Revisión de la versión del sistema
Listado de archivos
Detección de archivos ocultos
Registro de Windows
Revisión de programas instalados
Programas de los usuarios
Programas usados
Tareas programadas
![Page 11: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/11.jpg)
Arranque de programas de inicio
Detección de código malicioso
Detección de archivos escondidos
Recuperación de archivos borrados
Revisión de memoria.
Rastreo de archivos temporales.
Investigación de usuarios.
Documentos y archivos.
Recuperación de bitácoras.
![Page 12: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/12.jpg)
Análisis de la información obtenida.
Generación de un reporte técnico.
Generación de un reporte ejecutivo.
![Page 13: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/13.jpg)
Escenario:◦ El administrador de sistemas de una pequeña empresa ha notado que ◦ existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha ◦ de algún ingreso no autorizado, del que desconoce el alcance.◦◦ El sistema en que se ejecuta la aplicación es un servidor Windows 2003, ◦ cuya principal función era proporcionar acceso al sistema ERP a través ◦ de la Web. Hace poco tiempo que habían migrado al uso de este servidor.◦◦ Según el administrador, trataba de mantener el sistema actualizado por ◦ lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, ◦ también mencionó que más de una persona tiene acceso a cuentas privilegiadas ◦ en el sistema y aceptó que ocupaban a veces estas cuentas para labores ◦ no sólo administrativas, sino también personales o para aplicaciones ◦ que no requerían ningún tipo de privilegio para ejecutarse.◦◦ Ahora es necesario determinar si existió un ingreso no autorizado, cómo ◦ ocurrió y el alcance del daño al sistema y a la información contenida ◦ en él.
![Page 14: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/14.jpg)
Verificamos que no haya sido alterada◦ Checamos las sumas md5. Para el archivo
descomprimido debe ser: ◦ > md5sum windows2003.img◦ 062cf5d1ccd000e20cf4c006f2f6cce4
Verificamos que el tipo de archivo coincida al menos con la imagen booteable de un disco duro de Windows 2003.◦ > file windows2003.img
Montamos la imagen para tener acceso a los archivos◦ > filedisk /mount 0 c:\tools\images\windows2003.img
z:
![Page 15: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/15.jpg)
Cargamos la imagen en el Forensic ToolKit (FTK)
Revisión de la versión del SO◦ > cat /cygdrive/z/boot.ini◦ El registro está en (rfv | Registry File Viewer): \windows\system32\config (XP y 2003) ?
\windows\system32\config\system (NT) ?
\windows\system.dat
Extracción de datos:◦ Todos los archivos:
> find /cygdrive/z/ -printf “%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%s;%p” > /cygdrive/c/tools/casos/archivos.txt
◦ Archivos ocultos◦ > hfind z:\ > /cygdrive/c/tools/casos/ocultos.txt
![Page 16: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/16.jpg)
Programas instalados en Windows◦ Archivo: \Windows\system32\config\software◦ Llave: Microsoft\Windows\CurrentVersion\Uninstall
Programas instalados por los usuarios◦ Archivo: \Documents\Settings\*\NTUSER.DAT◦ Llave: HKEY_CURRENT_USER\Software
Programas usados recientemente◦ Archivo: \Windows\system32\config\software◦ Llave: Microsoft\Windows\CurrentVersion\AppPaths◦ Archivo: \Windows\system32\config\software◦ Llave: HKEY_LOCAL_MACHINE\Software
![Page 17: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/17.jpg)
Recapitulación:◦ Se trata de un sistema Windows 2003.
◦ Software adicional:
Apache
PostgreSQL
PHP
PgAdmin III
MySQL AB
Mozilla
BitTorrent
MS Messenger
![Page 18: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/18.jpg)
Tareas programadas:◦ > ls –la /cygdrive/z/windows/tasks/*.job
Programas de inicio:
Lugar Descripción
\Documents and Settings\%User%\Start Menu\Programs Folder de inicio del usuario.
\Documents and Settings\All Users\Start Menu\Programs\Startup Folder de inicio de todos los usuarios
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
Inicia programas al arranque del sistema
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\Explorer\RunHKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Policies\Explorer\Run
![Page 19: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/19.jpg)
Código malicioso:◦ Se hallaron algunas trazas de Addware.MediaTicket, y
Adware.DollarRevenue
Alternate Data Streams:◦ > sfind z:\
Recuperación de archivos eliminados◦ Archivos con PID’s de Apache y MySQL.◦ Archivos de PostgreSQL y temporales.◦ Administrador: Caché de Internet (allservices[1].xml)
\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0VAMEMD9
![Page 20: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/20.jpg)
◦ Johnatan:
Directorios y archivos del historial de Internet Explorer
\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\*
◦ Ver0k:
Archivos de Messenger, Imágenes, Acceso directo al Media Player.
Memoria de intercambio.◦ Se hallaron algunas trazas de llaves del registro de
Windows, pero nada de interés.
![Page 21: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/21.jpg)
Directorios temporales.◦ Se hallaron binarios ejecutables en \Windows\Temp
> file /cygdrive/z/windows/temp/*
> grep UPD6F /cygdrive/z/windows/KB*.log
◦ Mostró que eran parte de la instalación de parches
Temporales de los usuarios.◦ Se revisaron %USERPROFILE%\Local Settings\Temp
reno: Sólo contiene residuos de páginas web
maick: Archivos de instalación de flash
administrador: Antispyware, archivos de firefox.
![Page 22: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/22.jpg)
Investigación de usuarios.◦ Buscamos la fecha de modificación en las carpetas
de usuarios
> ls –lt /cygdrive/c/Documents and Settings/
◦ La fecha de creación de All Users y Default User es el 26 de enero, así como Local Service y Network Service, las cuales permiten iniciar sesión como un servicio, indicativo de que se usó Remote Desktop o similar. La primera cuenta creda fue maru, el mismo día y las últimas el 5 de febrero.
![Page 23: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/23.jpg)
◦ Fecha de último acceso:
Se revisa la fecha de modificación del archivo NTUSER.DAT
> ls -la /cygdrive/z/Documents and Settings/*/NTUSER.DAT
◦ Revisamos la fecha de última creación de usuarios
Por CLI es con el comando dsadd.exe
> cd \Windows\system32
> dir /s dsadd.exe /TA
Para mmc
> dir /s mmc.exe /TA
El usuario ver0k se creó unas horas antes
![Page 24: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/24.jpg)
Pertenencia de los usuarios:◦ Z:\Documents and settings\cacls *
◦ ¡Resulta que todo mundo es administrador!
Revisión de cookies◦ > ls /cygdrive/z/Documents and Settings/Cookies/*.txt
◦ > galleta “rutaDeLaCookie”
Historial de navegación◦ \Documents and Settings\*\Local Settings\History\History.IE5\
![Page 25: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/25.jpg)
Recuperación de bitácoras◦ Servicios:
26 de enero de 2006
4:07 PM Se levantó el servicio Terminal Server
8:00 PM Se inició Apache
8:42 PM Se inició MySQL
8:55 PM Se reinició Apache
◦ Seguridad:
25 de enero de 2006
3:05 PM Inicio de la bitácora
26 de enero de 2006
Se instalaron Apache, PHP y MySQL
Modificación de reglas del firewall
![Page 26: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/26.jpg)
27 de enero de 2009
28 de enero de 2009
Se registran errores relacionados con RAS, CHAP e IPSec. Además de las modificaciones correspondientes del firewall
5 de febrero de 2006
2:45 PM: El usuario Johnatan crea al usuario ver0k
Se revisan los servicios de admin de usuarios, conexiones y recursos compartidos (net y net1)
Se le asignan privilegios de admin a ver0k
2:46 PM: Se ejecuta el comando reg
2:47:21 PM: Se registra el primer acceso de ver0k, curiosamente por medio de Terminal Server
2:47:34 PM: ver0k utiliza Internet Explorer
![Page 27: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/27.jpg)
2:47:42 PM: Se ejecuta regsvr32.exe. Registra DLL’s en el registro de windows.
2:47:43 PM: Ejecuta unregmp2.exe que resulta ser parte de la desistalación de Media Player 2
2:47:50 PM: El usuario Johnatan ejecuta ping
2:49:50 PM: ver0k ejecuta wordpad varias veces, al parecer observaba archivos del administrador
2:51:16 PM: Se ejecuta el binario del cliente de MySQL
3:04:14 PM: ver0k inicia MSN
3:14:27 PM: ver0k ejecuta MediaPlayer
3:33:50 PM: ver0k mira “Te quiero como a mi huevo” ;)
3:59:16 PM: ver0K ejecuta el administrador de MySQL
4:00:10 PM: ver0K se desconecta desde 70.107.249.155 (LUFERFU)
![Page 28: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/28.jpg)
2:47:42 PM: Se ejecuta regsvr32.exe. Registra DLL’s en el registro de windows.
2:47:43 PM: Ejecuta unregmp2.exe que resulta ser parte de la desistalación de Media Player 2
2:47:50 PM: El usuario Johnatan ejecuta ping
2:49:50 PM: ver0k ejecuta wordpad varias veces, al parecer observaba archivos del administrador
2:51:16 PM: Se ejecuta el binario del cliente de MySQL
3:04:14 PM: ver0k inicia MSN
3:14:27 PM: ver0k ejecuta MediaPlayer
3:33:50 PM: ver0k mira “Te quiero como a mi huevo” ;)
3:59:16 PM: ver0K ejecuta el administrador de MySQL
4:00:10 PM: ver0K se desconecta desde 70.107.249.155 (LUFERFU)
![Page 29: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/29.jpg)
Bitácoras de MySQL◦ En /apache/Apache/mysql/data/counters-
bin.000001 se halló que los últimos accesos fueron el 2 de febrero, por los usuarios acontreras (Alberto Contreras Zacarías, sysadmin) y ncanes (Napoleón Canes, Gerente de compras y abastecimiento).
◦ En counters.log se halló evidencia de la creación de un usuario llamado admin a las 14:00:15
![Page 30: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/30.jpg)
Bitácoras de Apache◦ 30 de enero de 2006
17:28:30. En /apache/Apache/logs/access.log se hallaron trazas de herramientas de anàlisis de vulnerabilidades como Nikto, desde el mismo dominio.
◦ 4 de febrero de 2006
14:08:35. Se hallan trazas de herramientas de análisis de vulnerabilidades como Nessus, desde 84.18.17.15 (arrakis.es)
◦ 5 de febrero de 2006
13:57:37. Se hallan conexiones desde 70.107.249.150 hacia el sistema erp. Presumiblemente ver0k creó la cuenta admin
![Page 31: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/31.jpg)
![Page 32: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/32.jpg)
¿El sistema ha sido comprometido?◦ Sí, pero no ha sido hackeado. Un usuario logró el
acceso mediante una cuenta de usuario válida con autorizaciñon y privilegios.
¿Quién (desde dónde) viene el ataque?◦ El usuario fue ubicado en NY (US), con Verizon
Internet Services. Resulta extraño encontrar registros de la máquina LUFERFU, cuyo registro en google es como Luis Fernando Fuentes.
![Page 33: Forensia de datos o ¿Cómo darse cuenta que ya te hackearon?](https://reader033.fdocument.pub/reader033/viewer/2022051110/552234b64a7959455e8b480e/html5/thumbnails/33.jpg)
¿Cómo se realizó el ataque?◦ Comprometiendo la cuenta de usuario por medio
del envío de código malicioso capaz de explotar una vulnerabilidad de Media Player.
¿Qué hizo el atacante en el sistema comprometido?◦ Añadió una cuenta con privilegios de
administración en el web_erp,