Caso práctico de gestión de incidentes

Transcripción

1 Caso práctico de gestión de incidentes Javier Berciano, INTECO-CERT I Jornadas de Prevención del Fraude y el Cibercrimen ThinkTIC / ANCITE Logroño 17/01/2014

2 INTECO e INTECO-CERT 2

3 Día 0: Detección 3

4 Detección campaña SPAM 4

5 Muestra del correo Fuente: Symantec 5

6 PDF adjunto Fuente: Symantec 6

7 Análisis del adjunto Muestra malware Servidor recepción malware Procesos automáticos Generación de informe Análisis manual 7

8 Análisis del adjunto 8

9 Análisis del adjunto 9

10 Análisis del adjunto 10

11 Análisis del tráfico de red 11

12 Análisis del tráfico de red 12

13 Identificar servidor/es C&C Fuente: Gdata y KasperskyLab 13

14 Alerta temprana 14

15 Cooperación con FCSE Sinkhole del servidor C&C 15

16 Sinkhole Servidores DNS Servidor Web Sistema para monitorización: Registros log servidor web Código propio para obtener mas detalle (POST) 16

17 Día 1: Monitorización, identificación y notificación 17

18 Monitorización e identificación 18

19 Mecanismos de detección 19

20 Mecanismos Problemas de detección Parseo de los log: Mas de 8,5 millones de líneas de log al día. Extraer las evidencias para cada ISP/CERT. Obtener contactos de ABUSE de una forma eficiente. 20

21 Soluciones Mecanismos de detección Bash Kung-Fu es una buena opción, pero algo lenta. Microsoft LogParser algo mas eficiente, pero no lo suficiente. EvidenceSeek: Desarrolado en C Extracción direcciones IP Conversión a enteros Creación de índices en el log Búsqueda binaria!2gb logs de Apache en 15 min! 21

22 Soluciones Mecanismos de detección Notifications (whois): Contactos de Abuse: I. ARIN Whois-RWS: información direcciones IP de ARIN y bloques delegados. II. RIPE-NCC REST API: idem pero de bloques de red de RIPE y APNIC. III. LACNIC RESTful Whois IV. AfriNIC: Bulk whois, no es lo ideal, pero suficiente. Cache con Squid. Multiples hilos: RIR & 100 IP BD de contactos de CERT national. Query interface: Whois, incluyendo modo bulk. Futuro REST API. 22

23 Identificar bots $ whois h whois.cert.inteco.es /24 ES Ripe n:incidencias@cert.inteco.es a:nemesys@telefonica.es p:xxx@telefonica.es r:mario.garcia@inteco.es TELEFONICA-DATA- ESPANA TELEFONICA DE ESPANA 23

24 Identificar bots AS IP BGP Prefix CC RIR Abuse Contacts AS Name /22 US Arin INFOLINK-MIA- US - Infolink /18 FR Ripe n:certa-svp@certa.ssi.gouv.fr r:abuse@ovh.net OVH OVH Systems /23 UA Ripe n:cert@cert.gov.ua r:noc@freehost.ua FREEHOST PE Freehost /23 LT Ripe n:cert@cert.lt r:abuse@aleja.lt DC-AS UAB Duomenu Centras /22 BG Ripe n:cert@govcert.bg r:abuse@icn.bg ICN-BG Internet Corporated Networks Ltd /22 UA Ripe n:cert@cert.gov.ua r:abuse@server.ua SERVER-UA-AS SERVER.UA UKRAINE DEDICATED SERVICE /20 DE Ripe n:certbund@bsi.bund.de r:abuse@giga-hosting.biz GIGA- HOSTING Giga-Hosting GmbH /24 ES Ripe n:incidencias@cert.inteco.es a:nemesys@telefonica.es p:xxx@telefonica.es r:mario.garcia@inteco.es TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA /24 HK Apnic n:hkcert@hkcert.org r:hostmaster@sunnyvision.com SUNNYVISION-AS-AP SunnyVision Limited /20 PA Lacnic r:abuse@panamaserver.com Panamaserver.com /23 MT Ripe n:mtcert.mitts@gov.mt r:dave.mifsud@um.edu.mt ASN- CSC-UOM University of Malta 24

25 Notificación Detalle técnico del incidente Reglas para la detección (snort) IOC (Indicators of Compromise) 25

26 Notificación 26

27 Notificación 27

28 Notificación 28

29 Snort 29

30 IOC 30

31 Día 1 y posteriores: Análisis y seguimiento 31

32 Análisis Identificar el/los sistema/s afectado/s, ayudado por: Reglas para la detección (snort) IOC (Indicators of Compromise) Contención: aislando el/los sistema/s y recopilando evidencias de forma segura y adecuada: Copia de memoria Copia del disco duro Análisis del tráfico de red Aportando guías y procedimientos que permitan garantizar la validez de estas evidencias ante un posible proceso judicial. 32

33 Análisis Medidas de mitigación: Detección y filtrado en IPS Detección y filtrado en proxies Detección y filtrado en servidores DNS Análisis forense Aportando guías y procedimientos En caso necesario, con apoyo técnico del CERT 33

34 Seguimiento 34

35 Día 2: nuevos C&C 35

36 Nuevos C&C Como parte del análisis manual y tras descifrar parte del código del malware se detectan nuevos C&C que puede utilizar el malware. Actualización de la alerta temprana Reporte a los afectados para actualizar las medidas de mitigación Coordinación internacional con otros CERT y policías para tratar de bloquearlos o hacer sinkhole 36

37 Cooperación internacional 37

38 Muchas gracias! Javier Berciano Alonso Responsable técnico de respuesta a incidentes INTECO-CERT