SbD. S13E37: спасению. Lorenzo Martínez R.

Transcripción

1 SbD S13E37: спасению Lorenzo Martínez R.

2 ~]# whoami CTO && Founder Perito Informático @secbydefault!

3 Cómo empezó todo Llamada de un colega Disco cifrado? El informático y el backup La dueña y el ataque (+/- 25/11/2013) Sospechas de un insider Peritaje privado Vuelta al informático El presupuesto Lo quiero para ayer

4 El buen peritaje Cadena de custodia No toques! Pa qué tocas!? Fases Identificar el origen Aisla la máquina Volatilidad Adquisición de evidencias Análisis Documenta

5 Las misiones Recuperar información Determinar, tras análisis pericial, quién ha sido y cómo lo ha hecho Negociar el ransom!

6 Laboratorio forense Clonado (o imagen) Caine + NAS Read-only Guyimager + Hashes Montaje de sistema de ficheros RO fdisk -l <image> losetup /dev/loop0 disk.img -o $((OFFSET * 512)) mount -t ntfs /dev/loop0 /mnt/wherever -o

7 A buscar! Windows 2003 Server SP2 Registro/Hives Máquina (C:\Windows\system32) Usuarios Ficheros de Log SAM Artifacts de navegadores Ficheros de sistema /etc/hosts && /etc/lmhosts Directorios de usuario??

8 Autopsy + foremost Crear el caso formalmente Añadir evidencias Análisis de ficheros borrados en FS Generación de timeline ordenado cronológicamente -> Muy útil para búsquedas! foremost para carving y recuperación de datos borrado

9 Procesado de la info Formatos Logs (evt) Hives (MS-Windows Registry) Artifacts Herramientas usadas evtx viewer (Windows Event Log viewer) // File::ReadEvt Visor de eventos de Windows 7 yaru (Yet Another Registry Utility) // regdump o regripper pasco (Analizador de index.dat - MSIE)

10 Software instalado

11 Logs de seguridad: usuario admin

12 Petando las cuentas bkhive <system_hive> <clave.txt> samdump2 <SAM_hive> <clave.txt> 20 Usuarios Administradores: 3 (Administrador y admin) Usuarios: Primera letra nombre + Apellido Contraseñas vacías: 3 (1 de ellos admin ) Contraseña 1234: 10 usuarios!!! Usuario admin -> Contraseña vacía // Grupo admin // Último cambio de pass: 21/01/2008

13 Investigando al usuario admin En C:\Documents & Settings\admin\Mis Documentos ChromeSetup.exe CCleaner.exe NW.rar Fecha de creación del 12/11/2013 en adelante (logs desde el 16/11/2013) jo sóc admin Análisis de actividad en directorio de usuario admin entre 16/11/2013 y 25/11/2013 (Autopsy)

14 C:\Documents and settings\admin \Configuración local\historial \History.IE5\index.dat

15 Where are you from, babe?

16 Round I: Rusia sver.exe -> Framework.NET z.exe -> desde varios sitios (o redirects) jetswap FTP:// /Allyouneed -> Opera + Chrome

17 Round I: Rusia z.exe -> autoejecutable comprimido Sugiere C:\WINDOWS\system32\drivers\h\ Protegido con contraseña FAIL!

18 Round I: Rusia C:\Archivos de Programa\ss 1.0K./3/3.bat 37K./3/instsrv.exe 16K./3/srvany.exe 3.5K./3/ss.reg 3.5K./3/ssArchivos.reg 3.5K./3/ssProgramme.reg 3.5K./3/ssProgrammi.reg 72K./3 98K./3.exe 512./auth.txt 15K./block.txt 512./crashes.txt 21M./jet.exe 512./lastsid.txt 1.0K./log.txt 512./prevsid.txt 154K./prtest.exe 1.5K./SafeSurf ABUSE README.txt 446K./safesurf.exe 1.9M./skybound.gecko.dll 21K./surfguard.exe Además un directorio./f/ con: DLLs Chrome Profile

19 Round I: Rusia Directorio./3/ 3.bat Sobrescribe instany.exe y srvany.exe en %WINDIR%/system32/ Para y elimina Windows Disk Service y Microsoft.NET Framework v5 Instala como servicio %WINDIR%/system32/ srvany.exe Dependiendo del idioma ejecuta un.reg que crea una instancia de app.net a Application"="\"C:\ \Archivos de programa\\ss\\safesurf.exe\

20 Round I: Rusia Directorio./f/ Perfil de Firefox usado Ficheros: cookies.sqlite // sqlite-shm // sqlite-wal places.sqlite // sqlite-shm //sqlite-wal

21 Round I: Rusia SafeSurf ABUSE README.txt ENGLISH VERSION BELOW Если вы обнаружили этот файл, на вашем компьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке hwp://go.jetswap.com/abuse.php?user=vbnn&authid= &authkey=ssvggx Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.! If you found this file on your computer installed SafeSurf, designed for browsing by users of the system JetSwap If you own a computer and the program was installed without your consent or knowledge, go to hwp://go.jetswap.com/abuse.php?user=vbnn&authid= &authkey=ssvggx The user will be blocked and the program will be deleted from your computer. We apologize for the acyons of one of our users who abuse the system.

22 Round I: Rusia

23 Round I: Rusia

24 Round I: Rusia Analizando la navegación C:\Documents and Settings\admin\Configuración local\ Datos de programa\google\chrome\user Data\Default\History

25 Round I: Rusia Neteller sqlite> select * from keyword_search_terms; 2 20 туеуддукюсщь туеуддукюсщь

26 Round I: Rusia Neteller

27 Round II: China No accesibles en el momento del análisis Cache IE -> C:\Documents and Settings\admin Configuración local\archivos temporales de Internet\Content.IE5

28 Round II: China svchost[1].exe %e6%89%ab%e6%8f%8f%e5%99%a8[1].rar C:\Documents and Settings\admin\Mis documentos\ 扫 描 器

29 Round II: China Haozip -> Como el Winzip pero en chino Liuliangbao_9198.exe C:\Documents and Settings\admin\Datos de programa\liuliangbao y LiuliangbaoEx

30 Round II: China

31 Round II: China URLConfiguration.xml

32 Round III: Ransom! Activity Malware para navegación automática Neteller, etc,

33 Round III: Ransom! work.exe Truecrypt NW.rar admin

34 Round III: Ransom! My Downloads work.exe -> Autoejecutable con: Firefox Portable Legacy Opera CCleaner ChromePortable.

35 Round III: спасению R E A D M E.txt Malware para navegación automática Neteller, etc,

36 Round III: Ransom! Negociando el спасению Malware para navegación automática Neteller, etc,

37 Foremost Recuperando información

38 Conclusiones Atacantes: Rusia -> Navegación automática -> Dinero China -> SEO -> Dinero Rusia -> Extorsión -> Dinero Mala seguridad no! muy mala Si la contraseña de admin no se cambió nunca y era vacía cómo aguantó desde 2008 la máquina sin que la atacasen más?

39 Preguntas? @secbydefault