INFORME EJECUTIVO ANÁLISIS FORENSE. Hostname: finanzas S.O.: Red Hat Linux versión 7.3 (Valhalla) Autor: Rafael García O.

Transcripción

1 INFORME EJECUTIVO ANÁLISIS FORENSE Hostname: finanzas S.O.: Red Hat Linux versión 7.3 (Valhalla) Autor: Rafael García O.

2 INTRODUCCIÓN La máquina finanzas, un servidor con S.O. Red Hat Linux versión 7.3 (Valhalla), fue comprometida el día el aproximadamente a las 15:15. El análisis comenzó con la llegada de las imágenes de las diferentes particiones del disco duro de dicha maquina el día La zona horaria de mi sistema es la de España por lo que el he tenido que convertir los tiempos a la zona horaria de México ciudad (7 horas menos). Hemos confiado plenamente en la fecha y hora del sistema, dando por supuesto que esta era la correcta. Para facilitar la comprensión del informe he puesto a disposición del lector un pequeño diccionario con los términos que puedan ser menos comunes, las palabras contenidas en este diccionario se encuentran en letra cursiva y subrayadas la primera vez que hacen su aparición. Aclarados estos detalles respondamos a las siguientes preguntas: Quién logró el acceso? Desde dónde lo hizo? Cómo accedió al sistema? Que hizo durante su intrusión? Se podría haber evitado? QUIÉN LOGRÓ EL ACCESO? El acceso lo logró, según los indicios encontrados, alguien de nacionalidad Rumana. Probablemente de un pueblo llamado radauti, más información sobre esta pueblo en: Debido al método empleado para la intrusión podemos confirmar que el intruso o intrusos (de ahora en adelante lo nombraré en singular, pero cabe la posibilidad de que haya sido un grupo) no era un experto en la materia, era simplemente un script-kiddie y tenía mucho tiempo libre. Más adelante explicaremos el por qué de esta última afirmación. Para llegar al sujeto en cuestión deberíamos ponernos en contactos con los ISPs de las Ips que se muestran posteriormente en el apartado desde dónde lo hizo? DESDE DÓNDE LO HIZO? El intruso se cuidó mucho de no hacer los repetidos ataques desde el mismo ordenador. Para ello utilizó más de diez máquinas zombie. A continuación muestro un listado de Ips y su nacionalidad: Taiwan Australia Australia Australia Australia

3 Amsterdam México Latvia Noruega Australia Colorado Colorado Australia Australia Romanía California Australia Australia información obtenida de Por la cantidad de máquinas zombies usadas para llevar a término su objetivo se puede deducir que el intruso uso herramientas automatizadas para apoderarse de ellas por medios de exploits comunes. Supongo que en todas estas máquinas hizo lo mismo que en finanzas. Si nos fijamos en el listado una de las Ips pertenece a Romanía, quizá el intruso se impacientó y lo intentó desde su propia máquina o una cercana, es tan solo una suposición. CÓMO ACCEDIÓ AL SISTEMA? El intruso tuvo mucho tiempo libre como antes comenté - con esto me refería al método usado para la intrusión (fuerza bruta). El servidor fue crackeado. Esto se observa revisando el correo interno del administrador, el llega el primer correo interno con múltiples intentos fallidos de acceso al servidor por medio de ssh, a medida que pasan los días los intentos son más continuos. El día a las 15:30 se recibe el último correo interno avisando de que los ficheros de log(registros) han sido borrados. Aquí es donde el intruso logró el acceder al sistema y comprometerlo. QUE HIZO DURANTE SU INTRUSIÓN? Tenemos constancia de los actos del intruso a partir de las 15:16:49 del día , aún así nos queda la incertidumbre de que hizo antes de esa hora. Iniciaremos el resumen de la actuación del intruso basándonos en esa fecha. Hay dos ficheros en el sistema (/dev/hdx1 y /dev/hdx2) que son los que nos dan la fecha más cercana al acceso al sistema, curiosamente estos

4 pertenecen a un virus llamado linux.rst(más información en ). Apoyándonos en la metodología usada afirmaría que el intruso no tenía constancia de la existencia del virus en alguna de sus herramientas, aunque quizá el lo sabía(no se debe descartar ninguna hipótesis). Los ficheros de log fueron borrados mediante algún zapper nada mas lograr el acceso al sistema por eso no tenemos información sobre que hizo antes de las 15:16:49. El tema del virus complica un poco más, si cabe, la situación del servidor debido a que este también abre una puerta trasera para acceder al sistema si es ejecutado como administrador (tal y como ocurre en este caso). Seguiremos a partir de la hora 15:16:49. El intruso se aseguró la estancia en finanzas para lo que descargó e instaló un backdoor, llamado SuckIT, este lo que hace es ocultar procesos,conexiones, crea otro acceso remoto e instala un sniffer. Para cuando lo instaló todo ya eran las 15:22:00 aproximadamente. Se había asegurado el acceso remoto, pero esto no le pareció suficiente así que descargó y ejecuto un script hecho en perl que conectaba la máquina a un servidor de IRC y la dejaba a la espera (máquina zombie). Después de esto borró los ficheros. Conectó a finanzas de nuevo, y comprobó que tenía permisos de administrador, entonces creó al usuario weed (en el grupo de administradores), luego intentó ocultar sus huellas constatándose de que no se viera el sniffer instalado, borrando los ficheros utilizados. Después instaló otro rootkit llamado crk. Lo que hace es abrir un servicio de ssh troyanizado. Ya tenía el servidor finanzas asegurado ahora sólo necesitaba saber datos de la máquina como la versión, nombre, ip... Para ello sustituyó el programa pico por otra versión modificada que enviaba esta información a radautiteam@yahoo.es De ahí deduje que el intruso tenía que ser rumano. A las 15:45 más o menos, volvió a moverse por el sistema. Se descargó e desempaquetó el fichero w00t.tgz Este contenía una serie de utilidades para escanear redes de clase B. Luego descargó e instaló un fichero llamado psyz.tar.gz que no es más que un bouncer conocido por el nombre psybnc. A las 15:49 conectó al IRC por medio del bouncer instalado. El siguiente movimiento del intruso se dio el día 31 a las 11:54, volvió a descargar otro fichero llamado selena.tgz, una serie de utilidades recopiladas seguramente por el intruso para escanear otra red de clase B buscando servidores apache con OpenSSL. Para finalizar, aprovechando el dominio total de la máquina envió varios mails (sólo se ha podido confirmar el contenido de uno) en los cuales se hacia pasar por una entidad bancaria y solicitaba datos privados, lo cual es un delito bastante grave. SE PODRÍA HABER EVITADO? En este caso la pregunta se podría responder con un SÍ rotundo. Tal como queda patente el intruso no tenía unos altos conocimientos (el uso de herramientas de otros, instalación de un virus, la poca limpieza...) pero aún así consiguió entrar. Esto habría sido complicado si el administrador del equipo en cuestión se hubiera mirado los mensajes del

5 sistema, más de líneas de errores de login. El intruso estuvo más de una semana intentando combinaciones de usuario y password. No entró usando ninguna técnica compleja, entró por el medio más básico: fuerza bruta. Con un simple IDS (Sistema de detección de intrusos) o una configuración más elaborada del servidor ssh hubiese sido suficiente.

6 DICCIONARIO: Como curiosidad, los términos de este diccionario han sido sacados de la memoria de intercambio(swap) del ordenador comprometido. IDS (Sistema de detección de intrusos): son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, en base a la información con la que han sido previamente suministrados. Se pueden considerar como monitores. script-kiddie lamer: Un lamer es una persona que en realidad no tiene ninguna inquietud por aprender en realidad todo lo que rodea al cóputo, sino que lo único que quiere es tener un usuarios y un contraseñas para ingresar a un sistema, y formatear el disco duro, para decirle a un amigo que es un supercracker. Troyanos caballos de Troya: Consiste en introducir dentro de un programa una rutina o conjunto de instrucciones, por supuesto no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa actúe de una forma diferente a como estaba previsto (Ej. Formatear el disco duro, modificar un archivo, mostrar un mensaje, etc.). Suele ser utilizado para cambiar la pantalla de login (imitándola), descubriendo de esta manera la contraseña de usuario. Zapper Superzapping:Se denomina superzapping al uso no autorizado de un programa editor de archivos para alterar, borrar, copiar, insertar o utilizar en cualquier forma no autorizada los datos almacenados en los soportes de un a computadora. Puertas Traseras backdoors:es una práctica acostumbrada en el desarrollo de aplicaciones complejas que los programadores introduzcan interrupciones en la lógica de los programas para verificar la ejecución, producir salidas de control, etc. con objeto de producir un atajo para ir corrigiendo los posible errores. Lo que ocurre es que en la mayoría de los casos cuando el programa se entrega al usuario estas rutinas no se eliminan del programa y proveen al hacker de accesos o facilidades en su labor si se conoce cómo descubrirlas o crearlas. Sniffer: Un sniffer es un programa que captura todos los paquetes que pasan por una determinada red, almacenando todos los que cumplan ciertos requisitos en archivos de registro. Para hacer esto hace falta poner una tarjeta de red en modo promiscuo, aunque si no se hace solo se capturará los paquetes de una sola máquina, no los de toda la red. Crackear un sistema Fuerza bruta: Consiste en ir probando todos las contraseñas una a una, generalmente conociendo determinada información acerca de la posible víctima y así generar todas las posibilidades. Exploits: Estos ataques son muy frecuentes por parte de los intrusos poco experimentados. Son programas que se compilan y ejecutan en un sistema remoto y que explotan algún hueco en algún demonio, programa con suid.