Respuesta al. Reto de Análisis Forense. Informe Técnico. Marzo de Germán Martín Boizas

Transcripción

1 Respuesta al Reto de Análisis Forense Informe Técnico Marzo de 2006 Germán Martín Boizas

2 Tabla de Contenidos 0. INTRODUCCIÓN ENTORNO DE INVESTIGACIÓN PROCESO DE ANÁLISIS CRONOGRAMA DE ACTIVIDADES DIAGRAMA TEMPORAL ANÁLISIS DE ARTEFACTOS DIRECCIONES IP IMPLICADAS ALCANCE DE LA INTRUSIÓN CONCLUSIONES CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN RECOMENDACIONES REFERENCIAS ANEXOS MAILS ENVIADOS A JOHNATAN REPRODUCCIÓN DE LA SESIÓN CON MYSQL DEL ATACANTE REPRODUCCIÓN DE LA SESIÓN WEBERP DEL ATACANTE... 62

3 0. Introducción Este documento es el informe técnico en respuesta al reto de análisis forense lanzado por UNAM-CERT y RedIRIS en colaboración con otras empresas en Febrero de 2006 a través de su página web El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imagen (o copia) de dicho sistema. Antecedentes del incidente Según se facilita en las normas del reto, la única información con respecto al sistema a analizar es el siguiente: El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance. El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor. Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse. Objetivos del reto Según las normas, los objetivos son determinar si existió o no un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él. En el presente informe se intenta contestar a dichos objetivos, pero manteniendo un orden tal que su contenido sea lo más didáctico posible. Asimismo, la limitación de mantener el informe a un máximo de 50 páginas obliga a realizar una breve síntesis de todo el trabajo realizada. Así pues, el esquema seguido para contestar al reto consta de los siguientes apartados: Entorno de Investigación El propósito de este capítulo es detallar las herramientas empleadas en el análisis, así como la construcción del entorno de análisis forense usado para la investigación. Pág. 1

4 Proceso de análisis En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtención de las evidencias objeto del análisis. Debido a la limitación de espacio, su exposición es muy sintética, puesto que relatar en detalle todas y cada una de las acciones realizadas llevaría aparejada mucha más información. Cronología de actividades El objeto de este capítulo es mostrar todas las actividades realizadas por el (los) atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la realización de la imagen del sistema, añadiendo en cada punto la evidencia que lo sustenta. Asimismo, a continuación, se muestra en forma de diagrama una representación en el tiempo de la intrusión. Se muestra así de un vistazo qué es lo que hizo el atacante y cuándo lo hizo. Análisis de artefactos En este capítulo se analizan todos los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo y cualquier otro dato de interés relativo a los mismos. Direcciones IP implicadas Se refleja aquí la información obtenida sobre las direcciones IP que de una u otra manera se han visto implicadas en el incidente, incluyendo la de quien ó quienes atacaron el sistema. Alcance de la intrusión En este apartado se resume hasta qué punto la intrusión afecto al sistema y a la información en él alojada. Conclusiones Este apartado aglutina los principales puntos que se obtienen como consecuencia del análisis efectuado. Recomendaciones Finalmente, este apartado enumera algunas recomendaciones para solucionar la actual situación y para prevenir situaciones similares en el futuro. Pág. 2

5 1. Entorno de investigación Herramientas empleadas La imagen proporcionada ha sido analizada mediante una combinación de las siguientes herramientas: The Sleuth Kit [1] Autopsy [2] VMWare Workstation [3] EnCase Forensic Edition v 4.22 [4] Red Hat Linux [5] Mount Image Pro [6] Utilidades de sysinternals.com [7] Utilidades de análisis forense de Foundstone [8] Panda Titanium 2006 Antivirus + Antispyware. [9] CA etrust PestPatrol [10] CA etrust EZ-Antivirus 2005 [10] Proactive Password Auditor [11] Chntpw [12] LADS [13] Conjunto de herramientas de análisis forense de libre distribución. Interfaz gráfico para The Sleuth Kit. También de libre distribución. Aplicación comercial que permite emular máquinas virtuales Intel x86. Herramienta comercial específica para el análisis forense de sistemas informáticos. Muchos de los comandos del sistema constituyen verdaderas herramientas de análisis forense. Utilidad para montar en Windows los archivos de imágenes, conservando la integridad de la imagen. es una buena fuente de diversas utilidades de Windows, muy útiles para el análisis forense, como Autoruns, Process Explorer, PsLogList ó RootkitRevealer. proporciona también una lista de herramientas útiles para el investigador, como pasco ó galleta. Programa antivirus. Programa AntiSpyware Programa antivirus Herramienta de crackeo de passwords de Windows, Editor offline de los passwords de Windows. Utilidad para la búsqueda de Alternate Data Stream. Pág. 3

6 Microsoft Excel [14] Google [15] Empleado para consolidar las distintas fuentes de información, y hacer filtros sobre la misma. Buscador de información en la web. Entorno de trabajo Para facilitar el análisis del sistema facilitado en forma de imagen, el entorno de investigación empleado está basado en emplear VMWare Workstation. En primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la imagen proporcionada es suficiente) y en él, tras determinar que la imagen proporcionada es únicamente una partición y no un disco completo, creamos una partición con exactamente- el mismo tamaño que la imagen del reto. Finalmente, copiamos con dd la imagen a esta partición recién creada. Con ello se obtiene un disco virtual que contiene todos los datos del reto. La ventaja de crear un disco así es que, configurando la máquina virtual de vmware para acceder al mismo en modo no-persistente, podemos acceder al mismo cuantas veces queramos despreocupándonos de la posibilidad de alterar accidentalmente la evidencia proporcionada. Con acceso a ese disco, creamos varios entornos de trabajo de vmware: Entorno 1, con Windows XP, y una serie de herramientas de análisis forense a emplear, principalmente EnCase y diversas utilidades de sysinternals. Este entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al fichero de imagen original mediante un Shared folder. La ventaja del entorno vmware así creado es que, aunque fuésemos descuidados, ningún malware podrá abandonar el entorno. Entorno 2, con Linux Red Hat, junto con una serie de herramientas de análisis forense a emplear, la principal de ellas Sleuthkit y Autopsy. Entorno 3, en el que, tras verificar que el sistema original era un Windows 2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema limpio que tuviera acceso al disco del reto, para poder de forma fácil comparar el sistema analizado con respecto a uno estándar, y en el que instalamos además las distintas aplicaciones y hotfixes que fuimos identificando en la imagen del reto al avanzar el análisis (Apache, MySQL, etc ) Entorno 4, con un duplicado del reto arrancable. La imagen del reto no es arrancable, puesto que es una partición y no tiene el sector de boot configurado. Así pues, decidimos configurar ese sector adecuadamente y crear un sistema virtual que permite hacer análisis dinámico del sistema. Evidentemente, es crítico impedir el acceso a la red real de este sistema para evitar posibles infecciones. Para facilitar dicho análisis, creamos un CD-ROM con las herramientas de análisis en Windows. El esquema siguiente resume los sistemas virtuales creados: Pág. 4

7 Entorno 1 Entorno 2 Windows Herramientas Análisis Forense Reto III (no persistente) Linux Red Hat + Herramientas Análisis Forense Entorno 3 Entorno 4 Shared Folders Windows 2003 Server SP1 Limpio Reto III Bootable CD-ROM con Herramientas Análisis Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido necesario realizar algún cambio) son montados como no persistentes para evitar cualquier posibilidad de contaminación de datos. Para compartir información con el sistema host (el PC real sobre el que se ejecuta vmware), se emplea cuando es necesario los directorios compartidos (Shared Folders) de vmware. Pág. 5

8 2. Proceso de análisis De forma resumida, el proceso empleado en el análisis del sistema comprometido ha sido el siguiente: Descarga de la imagen y chequeo de integridad. En esta fase, se descarga la imagen del sistema a través de Internet y se verifica el checksum md5 facilitado para ella, garantizando así la integridad de la evidencia. Identificación del tipo de evidencia. A continuación, se procede a identificar el tipo de imagen recibido. es un disco? una partición del mismo? ó algún otro tipo de imagen?. Simplemente mirando los primeros bytes con un editor hexadecimal puede verse que corresponde a la cabecera de un sistema de ficheros NTFS. (v d-dac5418c mspx ). Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus características: MIP VIEW: Sectors (4996 MB) NTFS El siguiente paso es averiguar a qué sistema operativo pertenece. Tanto con Mount Image, como creando un nuevo caso en EnCase 1 ó Autopsy e importando la imagen como partición NTFS, o simplemente montando la partición en Linux podemos acceder al sistema de ficheros. Por ejemplo, en Autopsy: 1 EnCase es una herramienta muy potente, que permite obtener ésta y mucha otra información, sin más que cargar la evidencia y ejecutar el script de Initialize Case. Sin embargo, dado el carácter didáctico del reto forense, y el carácter comercial de EnCase, creo importante entrar en el detalle de cómo obtener la información a través de otras herramientas más accesibles al público en general. Pág. 6

9 Una vez con el mismo, podemos acceder al registry accediendo a los ficheros bajo \Windows\System32\Config. Una vez ahí, podemos confirmar la versión de sistema operativo: HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: Microsoft Windows Server 2003 R2 HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: Service Pack 1. Configuración del entorno de trabajo Configuración del entorno de investigación, y por tanto de los distintos sistemas virtuales tal y como se describe en el capítulo anterior. El principal problema fue la creación del sistema arrancable del reto. Inicialmente, parecía que sería suficiente con copiar el sector de boot de un sistema Windows 2003 SP1 limpio. Sin embargo, tras hacer esto, el sistema no arranca correctamente y se produce un error STOP: 0x B (bluescreen). La causa final de este error es la inexistencia en el sistema de los drivers necesarios para reconocer correctamente el disco, puesto que el hardware asociado al sistema ha cambiado. La solución es copiar al directorio Windows\System32\Drivers algunos drivers y realizar alguna modificación en el registro, tal y como se describe en Para hacer estas modificaciones montamos el disco virtual del reto con capacidades de escritura en nuestro entorno de investigación. Con esto, el sistema ya arranca perfectamente. Sin embargo, aún no podemos entrar en él: no conocemos la password de ninguna cuenta. Llegados a este punto, hay básicamente dos opciones: a) Averiguar los usuarios y passwords del sistema con alguna herramienta de cracking tipo l0phtcrack. b) Modificar la password de administrador a alguna conocida por nosotros. En nuestro caso, y por el factor tiempo, nos inclinamos por esta última opción empleando el programa chntpw [12], un editor offline disponible en Así, finalmente podemos entrar en el sistema. Una de las primeras cosas que llama la atención es que el sistema tiene una licencia de Windows de Pág. 7

10 evaluación, y a falta de 4 días para expirar: Determinación del huso horario Antes de analizar cualquier otro detalle de la evidencia, es necesario establecer cuál va a ser nuestra referencia temporal, puesto que la mayoría de los datos estarán referenciados al sistema local. La información del timezone, podemos obtenerla de: HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName: Pacific Standard Time HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName: Pacific Daylight Time Alternativamente, dado que ya tenemos un sistema arrancable, es más sencillo mirar directamente en el interfaz gráfico de Windows: Es importante señalar, que, aunque en este instante lo desconocíamos, el sistema fue inicialmente configurado con la hora de Alaska, y no fue hasta el día 2 de Febrero cuando se cambió a la hora estándar PST. Este dato se obtiene del Pág. 8

11 System Event Log: 25/01/ :57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; 02/02/ :59:57 ; ; ; ; ; 60; 480 Pacific Standard Time; Además, hay que considerar que, hasta el momento de la instalación en el que el administrador fija este dato, el sistema por defecto se inicia con zona GMT. Estos cambios han de ser tenidos en cuenta a la hora de establecer el cronograma de actividades correctamente. Sofware Instalado El siguiente paso consistió en determinar el software instalado en el sistema. Para ello, hicimos las comprobaciones pertinentes tanto en nuestro sistema online, como analizando offline el sistema de ficheros y las entradas del registry pertinentes, tales como: HKLM\SOFTWARE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Así pues, la lista del software instalado en el sistema es la siguiente: Apache HTTP Server Mozilla Firefox ( ) MSN Messenger 7.5 MySQL Administrator 1.1 MySQL Server 4.1 PHP PostgreSQL 8.1 Hotfixes KB896422, KB896424, KB896428, KB896358, KB896727, KB899587, KB899589, KB901017, Pág. 9

12 KB901214, KB902400, KB903235, KB905414, KB908519, KB y KB WebERP v3.04, instalado en el directorio C:\apache\Apache\htdocs\web-erp, es un paquete opensource para la gestión de negocio (ERP) y disponible en Software de seguridad para el uso del administrador en C:\Documents & Settings\Administrator\My Documents\Sof7w4r3: CurrPorts v.1.07 [17], una utilidad para listar los puertos TCP y UDP abiertos en el sistema, disponible en TCPView 2.40, una utilidad de con el mismo propósito que la anterior. GFI LANguard Network Security Scanner v6.0 [18], que aunque presente no llegó a instalarse en el sistema. Obtención de la lista preliminar de ficheros e identificación de ficheros relevantes. A continuación, es el momento de extraer una lista de todos los ficheros del sistema, sus tiempos de creación, acceso y modificación, listar los ficheros borrados e intentar recuperar aquello que sea posible. En esta tarea, es evidente que EnCase hace un trabajo excelente. Alternativamente puede emplearse Autopsy ó ntfsflst.exe, una herramienta de NTI para listar esta información de un sistema de ficheros NTFS. Adicionalmente, resulta muy importante identificar cuanto antes aquellos ficheros que pertenecen a un sistema operativo normal, y que por lo tanto no tienen especial interés para el investigador. Para ello, se generan los hashes MD5 de todo fichero en el sistema y se comparan con alguna lista de ficheros conocidos. En nuestro caso empleamos la lista de la Nacional Software Reference Library [19], descargable desde en cuatro imágenes de CDs. Sin embargo, aún así, el número de ficheros identificados no fue numeroso, por lo que decidimos instalar todas las aplicaciones anteriormente listadas en nuestro sistema Windows limpio (Entorno 3) para generar un checksum de todos los ficheros y poder comparar. Así, de las entradas de EnCase (sin contar elementos del registry), que incluyen ficheros recuperados, fueron identificados como pertenecientes a alguno de los paquetes software anteriormente mencionados, el más relevante, claro, Windows 2003 Server. Con ello estamos ya en condiciones de obtener un cronograma básico desde el punto de vista de sistema de ficheros sobre el que investigar. Pág. 10

13 Identificación de cuentas de usuario Para el correcto análisis de los ficheros, es imprescindible correlar sus accesos con las cuentas de usuario existentes. Obtenerlas es tarea sencilla a partir de la SAM de forma offline, como también directamente analizando nuestro sistema en caliente: User name SUPPORT_388945a0 Johnatan ernesto amado maick lalo moni maru Por ambos métodos (puesto que en este caso no hay ningún rootkit o similar que distorsione esta información) obtenemos la misma tabla de usuarios: Description Full Name: CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description: This is a vendor's account for the Help and Support Service Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Full Name: Johnatan Tezcatlipoca Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/05/06 Full Name: Ernesto Sánchez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Amado Carrillo Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Gabriel Torres Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/04/06 03:11:0 Full Name: Eduardo Hernández Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date Full Name: Monica Islas Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Maria Guadalupe Ramos Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 01/26/06 Pág. 11

14 mirna katy caracheo ovejas reno pili zamorano mpenelope postgres ver0k Administrator Full Name: Mirna Casillas Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Katalina Rodriguez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Dat Full Name: Jorge Caracheo Mota Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Eduardo Roldán Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Israel Robledo Gonzáles Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/03/0 Full Name: Elizabet Herrera Zamora Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknow Full Name: Rolando Zamorategui Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Mari Carmen Penelope Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown D Full Name: postgres Account Description: PostgreSQL service account Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Full Name: Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/05/06 09:47:21 Unknown Date Full Name: Account Description: Built-in account for administering the computer/domain Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Pat Aunque todas las cuentas de usuario están dentro del grupo Administrators, inmediatamente llama la atención una cuenta sobre las demás: ver0k, por dos motivos: es la única sin nombre completo asociado y tiene el característico cambio de una vocal por números, tan popular en la comunidad hacker. En este punto lanzamos también la recuperación/crackeo de passwords mediante la herramienta Proactive Password Auditor, que permitió recuperar (entre otras) la password de ver0k: password. Búsqueda de malware El siguiente paso en la investigación, consistió en la búsqueda sistemática de malware, esto es virii, herramientas de hacking, rootkits y demás. Para ello, empleamos la siguientes técnicas: a) Ejecución de herramientas antivirus y antispyware. En nuestro caso, analizamos el sistema de ficheros con las siguientes herramientas, con las firmas debidamente actualizadas a febrero de 2006: Panda Titanium 2006 Antivirus + Antispyware. CA etrust EZ-Antivirus CA etrust PestPatrol El resultado de la ejecución de las mismas, fue la detección de una serie de cookies consideradas espías, pero no la aparición de algún fichero realmente dañino. b) Ejecución de herramientas anti-rootkit. En concreto, empleamos RootkitRevealer una herramienta disponible en Pág. 12

15 Tampoco fue capaz de identificar ningún tipo de rootkit a nivel de kernel. c) Obtención y revisión de la lista de servicios y programas auto-arrancables en el inicio del sistema. Esta revisión puede hacerse a mano, pero es más sencillo emplear una herramienta específica para ello, como es Autorun [7]: d) Búsqueda de Alternate Data Streams, una facilidad de Windows que suele emplearse para almacenar información de forma escondida a un usuario. Para ello, empleamos la herramienta LADS [13]: LADS - Freeware version 4.00 (C) Copyright Frank Heyne Software ( This program lists files with alternate data streams (ADS) Use LADS on your own risk! Scanning directory C:\ with subdirectories size ADS in file C:\Documents and Settings\Johnatan\My Documents\imagenes\Thumbs.db:encryptable Pág. 13

16 0 bytes in 1 ADS listed Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el sistema operativo Windows (ver print/papers/wp.thumbs_db_files.en_us.pdf ). e) Análisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto que tenemos las herramientas cports y TCPView ya accesibles, las empleamos después de comprobar mediante hash que no han sido alteradas. Enseguida nos llama la atención que el puerto TCP 3389 está accesible. Este puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y permite el acceso remoto al sistema. Comprobamos que efectivamente, está así configurado, a pesar de que no se activa por defecto en la instalación (posteriormente determinamos que fue el atacante el que activó este servicio): Pág. 14

17 f) Análisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad sigcheck de sysinternals. Su ejecución determina si hay programas no firmados digitalmente que pudieran corresponder a algún malware. Sin embargo, tampoco encuentra información significativa: A:> sigcheck -u -e c:\windows\system32 Sigcheck v1.3 Copyright (C) Mark Russinovich Sysinternals - C:\windows\system32\sirenacm.dll: Verified: Unsigned File date: 12:11 a.m. 13/10/2005 Publisher: Microsoft Corp. Description: MSN Messenger Audio Codec Product: MSN Messenger Audio Codec Version: File version: C:\windows\system32\UNWISE.EXE: Verified: Unsigned File date: 10:55 a.m. 25/06/1999 Publisher: n/a Description: n/a Product: n/a Version: n/a File version: n/a Se comprueba a través de google que ambos ficheros no son maliciosos. Por ejemplo, ver Análisis de la sesión de MSN Messenger En un momento del análisis, se determinó que el atacante estableció una sesión de MSN Messenger y fue necesario analizarla. Para ello, encontramos una serie de ficheros temporales bajo C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\ , donde este último número es el UserID generado a partir del nombre del usuario. Investigando en la web [21], se averigua que este userid se genera de la siguiente forma: int getuserid(lptstr user) { unsigned int x = 0; } for (int i = 0; i < strlen(user); i++) { x = x * 101; x = x + towlower(user[i]); } return x; Así pues, aunque no es posible obtener el nombre de usuario a partir del UserID, sí es posible comprobar si una determinada dirección de correo genera ese mismo UserID; en consecuencia, obtuvimos del disco todas las direcciones de correo con ayua de un script de EnCase (más de válidas) y procedimos a hacer un programa para generar el UserID de todos los casos. Para uno de ellos tuvimos un match: h4ckiii@hotmail.com, lo que unido al nombre tan sospechoso utilizado- nos confirma que fue ésta la cuenta empleada por el atacante. Ello se confirma además por el hecho de encontrar en el fichero Pág. 15

18 C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada: Buscando la cadena h4ckiii en el disco se obtiene del fichero pagefile.sys una gran cantidad de información sobre la sesión de Messenger, comenzando por: INVITE MSNSLP/1.0 To: (lo que indica que el destino de la comunicación fue el usuario h4ckiii- ) y siguiendo con toda la sesión, con intercambios tipo: MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> From: <msnmsgr:h4ckiii@hotmail.com> Via: MSNSLP/1.0/TLP ;branch={6a2adfe7-7aa9-4b a8033e6b0eb} CSeq: 0 Call-ID: {93B356C C3E-9D4F-DF9EB0D5DF07} Max-Forwards: 0 Content-Type: application/x-msnmsgr-sessionreqbody Content-Length: 329 Lo que permite reconstruir la sesión completa de Messenger. Análogamente, pueden buscarse las cadenas MSNMSGR: y/o MSNSLP. Consolidación de otras fuentes de información Además de los distintos tiempos de cada fichero, existen otras muchas fuentes de información en el sistema con fecha y hora asociada, que hay que considerar: a) Event logs, en sus tres grupos de System, Security y Applications. En concreto, el log de Security proporciona una gran cantidad de información, por cuanto el sistema de auditoría de Windows está configurado para registrar la máxima cantidad de información, como por ejemplo la creación y fin de cualquier proceso en el sistema, el logon y logout de un usuario, etc: Los event logs pueden analizarse más fácilmente si, en lugar de acceder a los Pág. 16

19 mismos con las herramientas de Windows se descargan a un fichero en formato texto. EnCase lo hace automáticamente, aunque también puede emplearse para esa tarea la utilidad dumpel del NT Resource Kit, ó PsLogList de sysinternals. b) Los logs del servidor web Apache, tanto de acceso como de error, bajo C:\apache\Apache\logs. c) Los logs de la base de datos MySQL, counters.log y counters.err, bajo C:\apache\Apache\mysql\data\, accesibles también mediante el interfaz de usuario, a la que podemos conectarnos sin problemas, pues no tiene una password de acceso: d) Los ficheros de log de PostgreSQL, bajo C:\Program Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos que sólo existen entradas de dos tipos: Arranque / parada Autovacuum (limpieza) de la base de datos, lo que es algo normal (v. #ROUTINE-VACUUMING ) La conexión a PostgreSQL con psql como con pgadmin inicialmente no es posible, puesto que es necesario un password que desconocemos. Sin embargo, en el directorio C:\Documents and Settings\Administrator\My Documents\Sof7w4r3\postgresql encontramos el log de instalación (postgresql-8.1.log) que contiene, entre otras cosas, la password de administración: SERVICEPASSWORD = p0stgr3ssql. Con ella, podemos acceder al interfaz de usuario, en la que vemos que existe una única base de datos, postgres, en la que no hay creada ninguna tabla. En consecuencia, podemos en principio ignorar la actividad de PostgreSQL. Pág. 17

20 e) Los ficheros index.dat de los distintos usuarios, que proporcionan información muy útil sobre el acceso a determinadas URLs, el uso de cookies y la fecha de todo ello. Estos ficheros no están en formato texto, pero EnCase proporciona de forma muy sencilla esta información, que puede también extraerse empleando una herramienta como pasco, una utilidad gratuita descargable desde Todas estas fuentes de información, junto con el primer cronograma de tiempos de los ficheros y otro similar incluyendo los tiempos de creación de las entradas del registry, fue puesta en un formato de fecha y hora común y consolidada en un único fichero Excel. La ventaja de un Excel así, es la facilidad de determinar la actividad del sistema en un determinado momento. A modo de ejemplo, en la figura podemos ver la información obtenida para el 5 de Febrero a partir de las 12:44: Pág. 18

21 Siguientes pasos A partir de aquí, el trabajo se vuelve bastante manual. Es evidente que hay mucha actividad y cambios en el sistema que son normales y no corresponden a actividad de ataque alguna, como instalación del sistema, escritura en ficheros de log, acceso normal a WebERP, etc... que añade mucho ruido a las evidencias recogidas. Resulta muy complicado detallar todas y cada una de las actividades realizadas, incluyendo bastantes búsquedas de palabras clave dentro de todo el disco. Simplemente señalar que nuestro siguiente punto de investigación fue comprobar cómo y cuándo se creó la cuenta ver0k y a partir de ahí ir desenredando la madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se expone en los siguientes capítulos. Finalmente, indicar que, como siempre, una de las mayores herramientas de ayuda a cualquier análisis forense es Google, Pág. 19

22 3. Cronograma de actividades A continuación se presenta, en forma de tabla, un sumario del cronograma de las actividades más destacables detectadas en el sistema, junto con la evidencia asociada. Para el análisis temporal hemos intentado siempre corroborar cualquier hipótesis desde varias fuentes, si bien en esta tabla y por razones de espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las horas están referidas al huso horario del Pacífico (PST, ó GMT-8) aunque la evidencia en ocasiones esté asociada a GMT ó Alaska (GMT-9), como ya hemos comentado. Fecha y Hora Evento 25-ene-06 23:56:44 PST Se instala el sistema operativo Evidencias asociadas: Entrada del registry HKLM\Software\Microsoft\Windows\CurrentVersion\InstallDate: 0x43d872ac => 26 Ene 06 07:56:44 UTC => 23:56:44 PST Se pone el nombre de la máquina COUNTERS: SYS Event Log 25/Jan/ :26:03 MACHINENAME; COUNTERS; System Event Log: 25/01/ :57:36 winlogon.exe; COUNTERS; Operating System: Upgrade (Planned); 0x ; restart; Windows setup has completed, and the computer must restart.; NT AUTHORITY\SYSTEM; System Event Log: 25/01/ :57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; (Permanecerá el sistema con este huso horario hasta el 2 de Febrero) 26-ene-06 08:27:21 MySQL preparado para conexiones. Evidencias asociadas: MySQL Error Log 26/01/2006 7:27:21 C:\apache\Apache\mysql\bin\mysqld-nt: ready for connections. Se ha instalado con una versión de evaluación de Windows Server, y sin embargo no se ha activado. Quedan 14 días para hacerlo. Evidencias asociadas: Application Event Log: 26/01/ :37:19 Windows Product Activation Warning 14; 26-ene-06 12:37:19 26-ene-06 14:53:23 a 15:04:33 Instalación de los hotfixes Evidencias asociadas: System Event Log 26/01/ :53:23 NtServicePack System Event Log 26/01/ :04:33 Explorer.EXE; COUNTERS; Security issue; 0x ; restart; ; COUNTERS\Administrator; 26-ene-06 18:00 Instalación del servidor Web Apache. Evidencias asociadas: Tiempo de creación de los directorios C:\apache, y los directorios bin, lib, conf, etc.. bajo C:\apache\Apache 26-ene-06 18:39 Instalación de MySQL Evidencias asociadas: Tiempo de creación de los directorios bin, lib, etc.. bajo C:\apache\Apache\mysql. 26-ene-06 18:47 Instalación de WebERP Evidencias asociadas: Tiempo de creación del directorio C:\apache\Apache\htdocs\web-erp 29-ene-06 18:01 Se hace una primera prueba externa de seguridad del servidor web, que deja una curiosa entrada en el log: Evidencias asociadas: Apache error log: Sun Jan 29 17:01: client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfi (v ene-06 18:28:30 a 18:31:43 Escaneo de vulnerabilidades del servidor apache desde la dirección IP (dentro pues de la red privada) con la herramienta nikto Pág. 20

23 [22] (ver ) Evidencias asociadas: Entradas en el Apache error log: Mon Jan 30 17:28:30 [error] File does not exist: c:/apache/apache/htdocs/nikto d3ng4mwwxva0fqq8.htm Mon Jan 30 17:28:30 [error] File does not exist: c:/apache/apache/htdocs/cgi.cgi/ Y varios cientos más 30-ene-06 18:28:34 Intento de ataque singular desde , buscando un problema conocido con cgi-bin/excite, sin consecuencias. Evidencias asociadas: Apache error log Mon Jan 30 17:28: request failed: erroneous characters after protocol string: GET /cgi-bin/excite;ifs=\\\\\\"$\\\\\\"; 1-feb-06 18:53:00 a 18:53:45 Otro escaneo con nikto, esta vez desde Evidencias asociadas: Apache error log: Wed Feb 01 17:53: File does not exist: c:/apache/apache/htdocs/nikto-1.35-hrzububfwsfi.htm Wed Feb 01 17:53: (2)No such file or directory: script not found or unable to stat: c:/apache/apache/cgi-bin/where.pl 2-feb-06 12:59:57 Se pone como nuevo timezone la hora estándar del Pacífico (PST) Evidencias asociadas: System EventLog: 02/02/ :59:57 ; ; ; ; ; 60; 480 Pacific Standard Time; El usuario reno copia 514 ficheros bajo C:\Documents and Settings en los directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones Powerpoint, PDFs e imágenes pornográficas en formato jpg. Evidencias asociadas: Security Event Log: Account Used for Logon by reno 02/02/ :34:18 Tiempo de creación de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el único que 2-feb-06 18:34:18 a 18:45:35 4-feb-06 14:04:43 a 14:26:54 tiene todos los permisos): File Creation 02/02/ :34:18 C:Documents and Settings\reno\Sti_Trace.log File Creation 02/02/ :34:18 C:Documents and Settings\reno\Start Menu\Programs\Accessories\Accessibility\Utility Manager.lnk File Creation 02/02/ :45:35 C:Documents and Settings\Johnatan\My Documents\imagenes\overlay_2_ jpg En total, se copian bytes en 11 minutos y 17 segundos, lo que nos permite deducir que la velocidad de conexión para la copia fue de 2Mbits. Escaneo de vulnerabilidades del servidor web desde En esta ocasión si que parece un ataque real, por cuanto es una IP externa y no se usa nikto. Evidencias asociadas: Apache error log Sat Feb 04 14:04: Invalid method in request \\x80.\\x01 Apache error log Sat Feb 04 14:26: File does not exist: c:/apache/apache/htdocs/scripts/comments.php En paralelo, otro ataque tipo denegación de servicio desde feb-06 14:19:14 a 14:19:19 Evidencias asociadas: Apache error log Sat Feb 04 14:19: (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// (unas 300 líneas iguales) Sat Feb 04 14:19: (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// 4-feb-06 14:45:44 a 14:47:07 Instalación de PostgreSQL. Evidencias asociadas: File Access 04/02/ :45:44 C\Program Files\PostgreSQL\8.1\bin\libpq.dll File Access 04/02/ :45:45 C\Program Files\PostgreSQL\8.1\bin\initdb.exe Sec Event Log 04/02/ :46:23 User Account Created -- New Account Name - postgres; New Domain - COUNTERS; New Account ID - %{S }; Caller User Pág. 21

24 4-ene-06 14:47:30 Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres; App Event Log 04/02/ :47:07 MsiInstaller El administrador crea el directorio C:\Documents and settings\administrator\sof7w4r3... Evidencias asociadas: File Creation Sof7w4r3 14:47:30 y copia dentro los ficheros y copia dentro los ficheros Tcpview.exe, languardnss6.exe y cports.exe. Evidencias asociadas: Tiempo de creación de los ficheros. 4-ene-06 14:59:43 También genera todos los ficheros bajo C\Documents and Settings\Administrator\My Documents\My Videos, y en general todos los ficheros bajo My Documents, lo que incluye imágenes, animaciones flash y ficheros excel (117 ficheros) Evidencias asociadas: Tiempo de creación de los ficheros: File Creation arbitrogay.wmv 15:01:32 File Creation Lista1.xls 15:03:42 4-ene-06 15:01:32 a 15:03:42 El administrador genera el directorio Crea el directorio C:\Documents and Settings\Administrator\My Documents\update que contiene algunos hotfixes a instalar. Evidencias asociadas: File Creation updates 15:28:25 File Creation Blaster Windows2000-KB x86-ESN.exe 15:28:25 File Creation Buffer Overrun Windows2000-KB x86-ESN.exe 15:28:26 File Creation Netbios Windows2000-KB x86-ESN.exe 15:28:27 File Creation w2k ntdll iis.exe 15:28:27 File Creation Windows2000-KB x86-ESN.EXE 15:28:27 File Creation Windows2000-KB x86-ESN.EXE 15:28:32 Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada, mediante la cual tiene previsto conseguir acceso al sistema. 4-feb-06 15:28:25 5-feb-06 12:11:13 Evidencias asociadas: Del disco, en zonas no asignadas a ningún fichero, se ha recuperado el siguiente De: alopez@eycsa.com.mx Para: jonathan.tezca@yahoo.com Asunto: Urgente!! Fecha: Sun, 5 Feb :11: (CST) Johnny: Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Se trata de un correo tipo phishing en el que intenta engañar a Johnatan, haciéndose pasar por alguien por él conocido (Alberto López) para darle confianza. El usuario Johnatan hace login en el sistema. Es particularmente importante porque es este usuario y en esta sesión el que va a sufrir el ataque. Evidencias asociadas: Security Event Log 05/02/ :23:09 Successful Logon -- Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; 5-feb-06 12:23:09 Pág. 22

25 5-feb-06 12:23:49 Johnatan arranca el Internet Explorer. (con Process ID 3128) Evidencias asociadas: Security Event Log 05/02/ :23:49 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:26:46 Johnatan se conecta a mail.yahoo.com. para leer su correo. Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :26:46 Link : : Johnatan@ 5-feb-06 12:28:11..Intenta hacer login en mail.yahoo.com... Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :28:11 Link Visited: Johnatan@ 5-feb-06 12:28:49...y lo consigue. Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :28:49 Link Visited: Johnatan@ 5-feb-06 12:40:36 Primer intento de ataque. Johnatan accede al correo anteriormente mostrado Evidencias asociadas:.index.dat : 05/02/ :40:36 Link Visited: Johnatan@ 1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE X6EcqA 5-feb-06 12:41:30 Primer intento de ataque. Johnatan ha caído en la trampa y accede a Sin embargo, el exploit falla y no hay consecuencias aparentes. Evidencias asociadas: index.dat 05/02/ :41:30 Link Visited: Johnatan@ 5-feb-06 12:42:47 El atacante reacciona viendo que la cosa no ha funcionado, e inmediatamente construye y envía un nuevo , intentando explicar el fallo y que Johnatan lo intente de nuevo. Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de creación del mismo: De: alopez@eycsa.com.mx Para: jonathan.tezca@yahoo.com Asunto: Urgente!! (correccion) Fecha: Sun, 5 Feb :42: (CST) Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Nótese cómo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http. Johnatan abre el correo con el nuevo mensaje Evidencias asociadas: index.dat: 05/02/ :43:44 Link Visited: Johnatan@ 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp kyr 5-feb-06 12:43:44 Pág. 23

26 Tiempo de creación del fichero temporal CAU1CDC1.htm antes mencionado. Intenta abrir el nuevo link a clientes.wmf; Internet explorer advierte a Johnatan de que el contenido ha sido bloqueado. Pero éste ignora la advertencia y sigue adelante Evidencias asociadas: File Access 05/02/ :43:50 Windows XP Pop-up Blocked.wav Se accede realmente a y Evidencias asociadas: index.dat 05/02/ :44:10 Link Visited: Johnatan@ 5-feb-06 12:43:50 5-feb-06 12:44:10 EXPLOIT!!! El atacante arranca un intérprete de comandos en el sistema accesible desde el exterior. Además, como Johnatan pertenece al grupo Administrators, con privilegios de Administrador. Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan) Iexplorer index.dat 05/02/ :44:11 Link Visited: Johnatan@ do1z/e9zhoemq052zywsu5oi/auwwcki2mu/lq9clubslajkia2jdytsfexez4sryl.tiff Sec Event Log 05/02/ :44:11 New Process Has Been Created -- New Process ID - 884; Image File Name - C:\WINDOWS\system32\rundll32.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :44:12 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\cmd.exe; Creator Process ID Domain - 884; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:44:11 La vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yestá descrita en el boletín : El exploit empleado es uno disponible dentro del Framework de Metasploit [23] El cual aprovecha un bug en la function Escape para ejecutar código arbitrario a través del procedimiento SetAbortProc de la librería GDI. Además, el exploit genera una URL random y un fichero.tif también random que contiene el exploit, para evitar las firmas de los IDS. El empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder al stream WMF: hoemq052zywsu5oi/auwwcki2mu/lq9clubslajkia2jdytsfexez4sryl.tiff Y por la existencia de dicho fichero.tif entre los que son recuperables dentro de los ficheros temporales de Internet. En concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff. Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre sí, y en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares. El atacante añade la cuenta ver0k, con 'net user ver0k password /ADD'. Evidencias asociadas: El password empleado es precisamente password, averiguado al crackear las cuentas con Proactive Password Auditor. Nótese que el Creator Process ID es 3376, correspondiente al proceso cmd.exe. Security Event Log: 05/02/ :45:30 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:30 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net1.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:30 User Account Created -- New Account Name - ver0k; New Domain - COUNTERS; New Account ID - %{S }; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); Privileges - -; - ver0k; 05/02/ :45:30 User Account Password Set -- Target Account Name - ver0k; Target Domain - COUNTERS; Target Account ID - %{S }; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); - -; 5-feb-06 12:45:30 Pág. 24

27 Luego añade la cuenta ver0k al grupo Administrators, con el comando 'net group "Administrators" ver0k /ADD ' Evidencias asociadas: Security Event Log: 05/02/ :45:53 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:53 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net1.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:53 Local Group Member Added -- Member - -; Target Account Name - %{S }; Target Domain - Administrators; Target Account ID - Builtin; Caller User Name - %{S }; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - - File Access 05/02/ :45:53 net.exe C\WINDOWS\system32\net.exe Y finalmente, el atacante cambia las entradas del registry que permiten el acceso remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal Server\fDenyTSConenctions =0) con Terminal Remoto: REG ADD HKLM\System\CurrentControlSet\Control\Terminal Server /v fdenytsconnections /t REG_DWORD /d 0 /f Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificación exactamente 12:46:23 File Access 05/02/ :46:23 C\WINDOWS\system32\reg.exe Security Event Log 05/02/ :46:23 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:45:53 5-feb-06 12:46:23 El atacante (en adelante usaremos su alias ver0k ) se conecta por Terminal Remoto al sistema desde la IP , distinta de la anterior. (v. apartado direcciones IP implicadas) Evidencias asociadas: File Access: 05/02/ :46:54 C\WINDOWS\system32\winlogon.exe Security Event Log: 05/02/ :46:54 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$; 5-feb-06 12:46:54 a 12:47:21 Domain - WORKGROUP; Logon ID - (0x0,0x3E7); File Access : Un montón de fonts bajo C:\WINDOWS\Fonts Security Event Log: 05/02/ :46:56 Logon Process Registered -- Logon Process Name - Winlogon\MSGina; Sec Event Log: 05/02/ :47:21 Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; La IP la obtenemos viendo el log en el momento de la desconexión, 1 hora y cuarto después: Sec Event Log 05/02/ :00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; Johnatan hace un par de pings, presumiblemente mosqueado porque no le contesta el servidor a su petición del fichero clientes.wmf "ping ". Han pasado más de 3 minutos desde el exploit Evidencias asociadas: Security Event Log: 05/02/ :47:46 New Process Has Been Created -- New Process ID - 200; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); File Access: 05/02/ :48:02 C\WINDOWS\system32\ping.exe Security Event Log: 05/02/ :48:02 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:47:46 y 12:48:02 5-feb-06 12:48:17 ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no hay password de acceso. Presumiblemente busca información sobre las bases de datos configuradas y averigua que WebERP es la principal. Asimismo puede Pág. 25

28 acceder a los logs de Error y General de MySQL. Evidencias asociadas: File Access 05/02/ :48:17 C\Documents and Settings\All Users\Start Menu\Programs\MySQL\MySQL Administrator.lnk Security Event Log 05/02/ :48:17 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); 5-feb-06 12:49:50 ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/weberp/AccountGroups.php, presumiblemente busca información de cuentas de usuario y passwords de acceso a WebERP. Evidencias asociadas: Security Event Log 05/02/ :49:50 New Process Has Been Created -- New Process ID - 520; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); 5-feb-06 12:49:53 File Access: 05/02/ :49:51 C\WINDOWS\Fonts\cour.ttf Iexplorer index.dat: 05/02/ :49:51 Link Visited: ver0k@file:///c:/apache/apache/htdocs/weberp/accountgroups.php Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe y lo para 3 segundos después! Ha comprobado que el fichero no contiene información de cuentas de usuario. En realidad, ese fichero es idéntico al del paquete WebERP original, como verifica el hash MD5. Evidencias asociadas: Sec Event Log 05/Feb/ :49:53 ver0k Process Has Exited -- Process ID - 520; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Así que ahora edita C:/apache/Apache/htdocs/web-erp/config.php. Allí ve el usuario y password (ninguno) de acceso a la base de datos. Evidencias asociadas: Sec Event Log 05/02/ :50:02 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/02/ :50:02 Link : : ver0k@file:///c:/apache/apache/htdocs/web-erp/config.php Contenidos del fichero config.php (entre otros): // sql user & password $dbuser = 'weberp_us'; $dbpassword = '';" ver0k comprueba que se conecta sin problemas a la base de datos. Evidencias asociadas: :File Access 05/02/ :51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_ options.xml File Access 05/02/ :51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_ connections.xml MySQL General Log: 05/02/ :51: Connect weberp_us@localhost as anonymous on 05/02/ :51: Query SET SESSION interactive_timeout= /02/ :51: Query 05/02/ :51: Query SET SESSION sql_mode='ansi_quotes' 05/02/ :51: Query SET NAMES utf8 File Access 05/02/ :51:01 MySQLAdministrator.exe MySQL General Log: 05/02/ :51: Connect weberp_us@localhost as anonymous on 05/02/ :51: Query SET SESSION interactive_timeout= /02/ :51: Query 05/02/ :51: Query SET SESSION sql_mode='ansi_quotes' 05/02/ :51: Query SET NAMES utf8 05/02/ :51: Quit 5-feb-06 12:50:02 5-feb-06 12:51:00 5-feb-06 12:51:16 a 13:01:22 Ver0k arranca una sesión interactive de MySQL, y comienza a recabar un montón de información sobre la misma: Entre otras cosas, los usuarios que tienen acceso Pág. 26

29 al sistema, sus nombres reales y su nivel de acceso. Desafortunadamente para él, los passwords están cifrados con SHA1. También obtiene toda la información sobre clientes. (la sesión completa y su resultado puede verse como apéndice). La información de la sesión la copia con la ayuda de dos notepad a los ficheros C:\clientes.txt y C:\users.txt, con la información de clientes y usuarios respectivamente. Evidencias asociadas: File Access 05/02/ :51:16 C\apache\Apache\mysql\bin\mysql.exe Sec Event Log 05/02/ :51:16 New Process Has Been Created -- New Process ID - 392; Image File Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); "MySQL General Log: :51: Connect weberp_us@localhost as anonymous on :51: Query show tables :51: Query show databases :51: Query SELECT DATABASE() 1388 Init DB weberp :51: Query show tables (ver apéndice para el detalle de la sesión) :01: Quit" Sec Event Log 05/02/ :00:57 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:02 Process Has Exited -- Process ID ; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:15 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:19 Process Has Exited -- Process ID ; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Termina la sesión de mysql: Sec Event Log 05/02/ :01:22 Process Has Exited -- Process ID - 392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19 5-feb-06 13:03:12 (La evidencia relative a los ficheros clientes.txt y users.txt se comenta más adelante) ver0k arranca MSN Messenger. Windows intenta encontrar la ruta más adecuada. Evidencias asociadas: File Access 05/02/ :03:12 C\Program Files\MSN Messenger Sec Event Log 05/02/ :03:12 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); System Event Log 05/02/ :03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; start; System Event Log 05/02/ :03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; running; 5-feb-06 13:03:29 a 13:04:15 Johnatan da por finalizado su intento de acceder al fichero de clientes, y vuelve a su buzón de entrada, volviendo de nuevo a abrir el último mensaje de Alberto Lopez. Evidencias asociadas: index.dat: 05/02/ :03:29 Link Visited: Johnatan@ ate&pos=0&view=a&head=b index.dat 05/02/ :04:12 Link Visited: Johnatan@ ate&pos=0&view=a&head=b index.dat 05/02/ :04:15 Link Visited: Johnatan@ 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp Pág. 27

30 5-feb-06 13:04:20 kyr El messenger de ver0k accede a las urls de bienvenida iniciales a nuevos usuarios de messenger Evidencias asociadas: index.dat 05/02/ :04:20 Link Visited: ver0k@ MX&BrandID=msmsgs&Build= &OS=Win&Version=7.5 index.dat 05/02/ :04:20 Link Visited: ver0k@ index.dat 05/02/ :04:21 Link Visited: ver0k@ gs&build= &os=win&version=7.5 File Access de un montón de ficheros temporales de explorer. Todos ellos correspondientes a la página de bienvenida de MSN, por ejemplo: 05/02/ :04:22 C\Documents and Settings\ver0k\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\audio[1].jpg Johnatan compone y envía un correo de respuesta a alopez@eycsa.com.mx, presumiblemente indicándole que no ha sido capaz de descargar el catálogo. Evidencias asociadas: index.dat: 05/02/ :04:29 Link Visited: Johnatan@ 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4 05/02/ :05:10 Link Visited: Johnatan@ 05/02/ :05:26 Link Visited: Johnatan@ &Idx=0 Y, entre los ficheros temporales de internet encontramos: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm: <form name="addaddresses" target="_top" action=" method="post"> <input type="hidden" name="e" value="alopez@eycsa.com.mx,"> C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm: <br><br><b><i>alopez@eycsa.com.mx</i></b> escribió: Mientras tanto, ver0k termina de arrancar el messenger 5-feb-06 13:04:29 a 13:05:10 5-feb-06 13:04:31 Evidencias asociadas: index.dat 05/02/ :04:31 Link : : ver0k@:host: rad.msn.com index.dat 05/02/ :04:38 Link : : ver0k@ index.dat 05/02/ :04:38 Link : : ver0k@:host: imagine-msn.com index.dat 05/02/ :04:38 Link Visited: ver0k@ 5-feb-06 13:05:56 y lo configura con la cuenta h4ckiii@hotmail.com, enviando los ficheros clientes.txt y users.txt a su cuenta h4ckiii-2@hotmail.com Evidencias asociadas: 05/02/ :05:56 Link Visited: ver0k@file:///c:/clientes.txt 05/02/ :06:37 Link Visited: ver0k@file:///c:/users.txt En el fichero C:\Documents and Settings\ver0k\NTUSER.DAT encontramos la entrada: Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com que indica que ver0k ha empleado esta dirección como su identificador en Messenger. Adicionalmente, se comprueba que ese nombre de usuario en MSN Messenger genera como UserID el número , que coincide con el directorio creado: C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\ Asimismo, buscando la cadena h4ckiii, clientes.txt y users.txt (tanto ASCII como Unicode) en el disco, encontramos, entre otra, la siguiente información en distintos lugares del fichero de swap pagefile.sys : INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> ( C o n e c t a d o ) < h 4 c k i i i - h o t m a i l. c o m > U s u a r i o x e n v í a C : \ c l i e n t e s. t x t D e s t : h 4 c k i i i - h o t m a i l. c o m c l i e n t e s. t x t ( 8 ( B( h Ê k g & h4ckiii@hotmail.com (Nota: IP ==> baym-sb8.msgr.hotmail.com) S e c o m p l e t ó l a t r a n s f e r e n c i a d e " c l i e n t e s. t x t " Pág. 28

31 5-feb-06 13:06:52 Igualmente: c o m p l e t ó l a t r a n s f e r e n c i a d e " u s e r s. t x t Johnatan vuelve a su buzón de yahoo, sale del mismo y mata el Internet Explorer sobre el que se inició el ataque. Esta es la última actividad de Johnatan durante más de una hora Una hipótesis, dada la hora, es que se fue a comer. Evidencias asociadas: index.dat: 05/02/ :06:52 Link Visited: Johnatan@ &YN=1 05/02/ :06:57 Link Visited: Johnatan@ ad=b&box=inbox&yy= /02/ :07:07 Link Visited: Johnatan@ fig%2fmail%3f.intl%3de1%26.lg%3de1 Sec Event Log 05/02/ :07:10 Process Has Exited -- Process ID ; Username - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba la salida de sus comandos sql Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S \Dc2.txt, en el que aparecen las salidas de la sesión mysql como por ejemplo: mysql> show columns from custbranch; Field Type Null Key " File Access 5-feb-06 13:10:40 Dc2.txt Aunque borrado, encontramos en el slack del fichero INFO2: B 2D A0 98 2ª C C:\users.txt lo que indica la hora de borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb :10:44 (el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en ) 5-feb-06 13:10:40 ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las imágenes pornográficas que hay en el directorio de Johnatan (los 25 ficheros jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un fichero wmv). La fecha de creación de todas ellas es anterior a la intrusión. Evidencias asociadas: File Access 05/02/ :12:36 1_ jpg C\Documents and 5-feb-06 13:12:36 a 13:17:31 Settings\Johnatan\My Documents\imagenes\1_ jpg index.dat 05/02/ :12:36 Link Visited: ver0k@file:///c:/documents%20and%20settings/johnatan/my%20documents/imagenes/1_ jpg index.dat 05/02/ :12:52 Link : : ver0k@file:///c:/documents%20and%20settings/johnatan/my%20documents/imagenes/2_ jpg File Access 05/02/ :13:01 3_ jpg C\Documents and Settings\Johnatan\My Documents\imagenes\3_ jpg Y un largo etc. Iexplorer index.dat 05/02/ :17:31 Link : : ver0k@file:///c:/documents%20and%20settings/johnatan/my%20documents/imagenes/overlay_por_ _ jpg y continua con los ficheros bajo C\Documents and Settings\Johnatan\My Documents\Dr. Salamo. Sin embargo, no está Microsoft Excel instalado en el sistema, así que no puede abrir ver el fichero CUADRO GRAI.xls y sigue con otros directorios. Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\cuadro GRAl.xls 5-feb-06 13:17:49 Pág. 29

32 De 5-feb-06 13:18:05 a13:19:05 Ahora mira los ficheros bajo C:\Documents and Settings\Administrator\My Documents, comenzando por a017.jpg, index.html y las fotos bajo My Videos/modelos Evidencias asociadas: Iexplorer index.dat 05/02/ :18:05 Link Visited: ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/a017.jpg File Access 05/02/ :18:16 overlay_por_ _ jpg.lnk Iexplorer index.dat 05/02/ :19:05 Link Visited: ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/my%20videos/modelos/nm jpeg A partir de este momento, ver0k se dedica a la búsqueda y edición de ficheros (en particular los ficheros.doc) bajo Documents and Settings. Evidencias asociadas: Múchísima. A modo de ejemplo: Sec Event Log 05/02/ :21: ,55642 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :21: ,55684 ver0k Process Has Exited -- Process ID ; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); File Access 05/Feb/ :23:43 Reglamento_aprobado_por_el_CP.doc C\Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc File Access 05/Feb/ :23:44 GEN 13 Segundo Informe del Comité de Programa.doc C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comité de Programa.doc Sec Event Log 05/Feb/ :23:47 ver0k New Process Has Been Created -- New Process ID - 652; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :23:47 Link : : ver0k@file:///c:/documents%20and%20settings/reno/my%20documents/boletin11.doc Iexplorer index.dat 05/Feb/ :23:47 Link Visited: ver0k@file:///c:/documents%20and%20settings/reno/my%20documents/boletin11.doc File Access 05/Feb/ :24:01 Boletin11.doc C\Documents and Settings\reno\My Documents\Boletin11.doc Sec Event Log 05/Feb/ :24:04 ver0k Process Has Exited -- Process ID - 652; Username - File Access 05/Feb/ :24:05 Cap02c.DOC C\Documents and Settings\reno\My Documents\Cap02c.DOC File Access 05/Feb/ :24:06 CO-0863r1_e.doc C\Documents and Settings\reno\My Documents\CO-0863r1_e.doc File Access 05/Feb/ :24:07 bases_software.doc C\Documents and Settings\reno\My Documents\bases_software.doc File Access 05/Feb/ :24:08 HMC_11.doc C\Documents and Settings\reno\My Documents\HMC_11.doc File Access 05/Feb/ :24:10 inesc.v f.doc C\Documents and Settings\reno\My Documents\inesC.V F.doc Sec Event Log 05/Feb/ :26:39 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :26:39 Link : : ver0k@file:///c:/documents%20and%20settings/reno/my%20documents/concha.doc File Access 05/Feb/ :28:30 nm jpeg C\Documents and Settings\Administrator\My Documents\My Videos\modelos\nm jpeg 5-feb-06 13:21:15 a 13:28:30 5-feb-06 13:28:35 a 13:40:05 Ahora son las animaciones flash las que despiertan el interés de ver0k y procede a ejecutarlas de forma sistemática. Como nota interesante, una de ellas le abre automáticamente un Internet explorer a al cerrase. Pág. 30

33 Evidencias asociadas: File Access 05/Feb/ :28:35 el huevo tenorio.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\el huevo tenorio.exe Sec Event Log 05/Feb/ :28:37 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); File Access 05/Feb/ :28:38 fiesta en el antro.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe Sec Event Log 05/Feb/ :30:21 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\Muchos Huevos.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/Feb/ :30:26 postgres New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Creator Process ID Domain ; Username - postgres; Domain - COUNTERS; Logon ID - (0x0,0x2B8206); Sec Event Log 05/Feb/ :30:26 postgres Process Has Exited -- Process ID ; Username - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Domain - postgres; Logon ID - COUNTERS; - (0x0,0x2B8206); Sec Event Log 05/Feb/ :30:45 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :30:53 Link Visited: ver0k@ Sec Event Log 05/Feb/ :40:05 ver0k Process Has Exited -- Process ID ; Username - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\unbaileparati.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); 5-feb-06 12:26:46 Ver0k continúa sistemáticamente con la edición de ficheros.doc, hasta que su atención se vuelve hacia Apache. Evidencias asociadas: Sec Event Log 05/Feb/ :40:16 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :40:16 Link : : ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/30sep_bolecart-book.doc Iexplorer index.dat 05/Feb/ :40:16 Link Visited: ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/30sep_bolecart-book.doc File Access 05/Feb/ :40:17 30SEP_bolecart-book.doc C\Documents and Settings\Administrator\My Documents\30SEP_bolecart-book.doc Iexplorer index.dat 05/Feb/ :40:45 Link : : ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/formulario.doc Iexplorer index.dat 05/Feb/ :40:45 Link Visited: ver0k@file:///c:/documents%20and%20settings/administrator/my%20documents/formulario.doc File Access 05/Feb/ :41:16 Indice Pormenorizado.doc C\Documents and Settings\Administrator\My Documents\Indice Pormenorizado.doc Sec Event Log 05/Feb/ :41:20 ver0k Process Has Exited -- Process ID ; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :53:46 Link : : ver0k@file:///c:/apache/apache/about_apache.txt Iexplorer index.dat 05/Feb/ :53:46 Link Visited: ver0k@file:///c:/apache/apache/about_apache.txt Sec Event Log 05/Feb/ :55:36 ver0k Process Has Exited -- Process ID - 592; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); 5-feb-06 13:57:37 a 14:00:59 ver0k se conecta de forma remota a la aplicación WebERP desde la IP Allí busca (y encuentra) la forma de añadir un nuevo usuario a la aplicación. Añade un nuevo usuario de nombre admin con privilegios de administrador (con un intento fallido de por medio) y sale de la misma. (ver una reproducción completa de la sesión web en los anexos). Fin de la intrusión. Pág. 31

34 Evidencias asociadas: Apache Access Log 05/02/ :57: GET /web-erp/ HTTP/1.1 y hace login en la aplicación, como usuario 'acontreras' y password 'c0ntr3t0'. En MySQL General Log: :57: Connect weberp_us@localhost as anonymous on 1389 Init DB weberp 1389 Query SELECT www_users.fullaccess,.. FROM www_users WHERE www_users.userid='acontreras' AND (www_users.password='067f1396a b5c1c69edfd29c ee' OR www_users.password='c0ntr3t0') 1389 Query UPDATE www_users SET lastvisitdate=' :57:51' WHERE www_users.userid='acontreras' AND www_users.password='067f1396a b5c1c69edfd29c ee' Cómo sabe ver0k un usuario y password para entrar? La única explicación es que ha encontrado el usuario y el password en el log accesible desde SQL Administrator, en una sesión previa con fecha de 5 Feb 10:41: Apache Access Log 05/02/ :57: GET /web-erp/pdfdeliverydifferences.php? HTTP/1.1 Apache Access Log 05/02/ :58: GET /web-erp/systemparameters.php? HTTP/1.1 Apache Access Log 05/02/ :58: GET /web-erp/www_users.php? HTTP/1.1 Apache Access Log 05/02/ :00: POST /web-erp/www_users.php? HTTP/1.1 Del General Log de MySQL: :00: Connect weberp_us@localhost as anonymous on 1398 Init DB weberp 1398 Query SELECT secroleid, secrolename FROM securityroles ORDER BY secroleid 1398 Query INSERT INTO www_users (userid, realname,customerid,branchcode,password, phone, ,pagesize,fullaccess,defaultlocation,modulesallowed,displayrecordsmax,theme, language) VALUES ('admin','admin', '', '', '5542a545f7178b48162c1725ddf2090e22780e25', '', '', 'A4',8,'AGS','1,1,1,1,1,1,1,1,', 50,'fresh', 'en_gb')" Apache Access Log 05/02/ :00: GET /web-erp/logout.php? HTTP/1.1 5-feb-06 14:00:10 Ver0k se desconecta del terminal remoto, en mitad de la sesión web anterior. Pág. 32

35 Evidencias asociadas: Sec Event Log 05/02/ :00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; 5-feb-06 14:18:21 El usuario Johnatan vuelve al trabajo. A accede a la aplicación weberp con el usuario acontreras y navega un poco por ella Evidencias asociadas: Iexplorer index.dat:: 05/02/ :18:21 Link Visited: Johnatan@ 05/02/ :18:42 Link Visited: Johnatan@ 05/02/ :19:04 Link Visited: Johnatan@ 05/02/ :19:17 Link Visited: Johnatan@ 05/02/ :19:24 Link Visited: Johnatan@ 05/02/ :19:29 Link Visited: Johnatan@ 05/02/ :19:32 Link Visited: Johnatan@ 05/02/ :19:33 Link Visited: Johnatan@ 05/02/ :19:36 Link Visited: Johnatan@ 5-feb-06 14:19:37 Hasta que lista los usuarios de web-erp y de forma inmediata sale de la aplicación. Probablemente, ha visto el usuario admin creado por ver0k. Evidencias asociadas: Iexplorer index.dat 05/02/ :19:37 Link Visited: Johnatan@ 5-feb-06 14:21:01 Apache Access Log 05/02/ :20: GET /web-erp/logout.php? HTTP/1.1 index.dat 05/02/ :20:06 Link Visited: Johnatan@ Así que, concluye que es víctima de una intrusión y reacciona. Inserta un CD autoarrancable y arranca un intérprete de comando, desde el que lanza un comando dd. Sin duda, intenta copiar el disco o parte de él. Pero el comando va mal y acaba en escasos 5 segundos Evidencias asociadas: Sec Event Log 05/02/ :21:01 New Process Has Been Created -- New Process ID ; Image File Name - D:\PTStart.exe; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Iexplorer index.dat 05/02/ :21:15 Link Visited: Johnatan@file:///D:/index.html Sec Event Log 05/02/ :22:25 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :22:56 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :23:01 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); Lo intenta de nuevo. Esta vez parece que ha ido mejor, pues el comando acaba en 29 segundos, pero no es suficiente. Evidencias asociadas: Sec Event Log 05/02/ :25:37 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :26:08 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); Pide entonces ayuda al administrador, que se conecta al sistema para hacerlo él. Pero éste no tiene mejor fortuna. Así que salen del sistema tanto él como Johnatan, presumiblemente para dejarle la consola libre. Evidencias asociadas: Sec Event Log 05/02/ :26: ,60205 Sec Event Log 05/02/ :26:58 New Process Has Been Created -- New Process ID - 176; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 836; Username - COUNTERS$; Domain - WORKGROUP; Logon ID - (0x0,0x3E7); Sec Event Log 05/02/ :27:29 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 176; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50D2D6); 5-feb-06 14:25:37 5-feb-06 14:26:57 Pág. 33

36 5-feb-06 14:29:01 Sec Event Log 05/02/ :27:31 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50D2D6); Sec Event Log 05/02/ :28:28 User Logoff -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50D2D6); Method - Logon Occurred on This Machine; Sec Event Log 05/02/ :28:41 User Logoff -- Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Así que el administrador se conecta de nuevo (con algún error previo al poner el nombre de usuario) y lo intenta. Pero ni con múltiples intentos de dd ni con wdd consigue copiar el disco. Evidencias asociadas: Sec Event Log 05/02/ :29:01 Unknown Username or Bad Password -- Username - adminstrator; Domain - COUNTERS; Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; - COUNTERS; Sec Event Log 05/02/ :29:16 Successful Logon -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; Sec Event Log 05/02/ :29:47 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :30:27 New Process Has Been Created -- New Process ID - 860; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Y varias líneas similares Sec Event Log 05/02/ :35:01 New Process Has Been Created -- New Process ID ; Image File Name - D:\win32\wdd.exe; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :35:04 Process Has Exited -- Process ID ; Username - D:\win32\wdd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50ED34); El administrador no tiene muy claro como funciona el cd, así que busca documentacion. Eso nos permite averiguar qué estaba usando. Se trata de FIRE ( Forensics & Incident Response Environment Bootable CD, un conocido CD de recuperación ante incidentes o alguno similar basado en él. Evidencias asociadas: Iexplorer index.dat 05/02/ :35:12 Link Visited: Administrator@ 5-feb-06 15:35:12 El administrador intenta averiguar información sobre la situación a base de ejecutar unos cuantos comandos desde el CD, como ls ó pstat. Evidencias asociadas: Sec Event Log 05/02/ :35:48 New Process Has Been Created -- New Process ID ; Image File Name - D:\statbins\win32\LS.EXE; Creator Process ID Domain - 384; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :42:11 New Process Has Been Created -- New Process ID ; Image File Name - D:\win32\sysinternals\pslist.exe; Creator Process ID Domain - 384; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Finalmente, el administrador decide iniciar un shutdown para evitar males mayores y decidir con calma qué hacer. Evidencias asociadas: SYS Event Log 05/02/ :43:54 Application Popup Windows; Other people are logged on to this computer. Shutting down Windows might cause them to lose data. Shutdown Sec Event Log 05/02/ :44:17 System Shutdown Ultima hora de shutdown reportada por el registry Evidencias asociadas: HKLM\System\CurrentControlSet\Control\Windows\ShutdownTime: C7 10 C8 1C AE 2A C feb-06 15:35:48 5-feb-06 15:43:54 5-feb-06 15:44:32. Pág. 34

37 3.1. Diagrama temporal De forma gráfica y esquemática, señalando sólo los eventos importantes, nos queda pues el siguiente diagrama temporal, en el que se han asociado imágenes reproduciendo la actividad de forma similar a como la verían los protagonistas: Hasta esta fecha, instalación de aplicaciones, ficheros y funcionamiento normal del sistema (incluyendo algún intento de intrusión) via web El usuario Johnatan hace login en el sistema 25/01/ /02/ /02/ :11:13 05/02/ :23:09 05/02/ :26:46 Instalación y puesta en marcha del sistema Windows Server 2003 con licencia demo El atacante envía un primer correo a Johnatan, como viniendo de alopez@eycsa.com.mx invitándole a ver el fichero de clientes. Johnatan se conecta a su correo en yahoo.com 05/02/ :41:30 Lee el correo y sigue el enlace a pero no hay consecuencias. 05/02/ :42:47 Se envía un segundo correo de phishing, corrigiendo el enlace anterior. Johnatan abre el nuevo correo 05/02/ :43:44 intenta seguir el enlace a clientes.wmf y 05/02/ :43:50 Pág. 35

38 EL EXPLOIT HA ACTUADO. Se arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo de 3128, Internet explorer) 05/02/ :44:11 El atacante tiene una shell de administrador en el sistema El atacante se crea una cuenta de usuario de nombre ver0k, password password, la añade al grupo administrador y cambia las entradas del registry para permitir el acceso remoto 05/02/ :45:53 Y, mientras tanto, Johnatan espera pacientemente a que el fichero de clientes se cargue 05/02/ :46:54 Y voilà, el atacante accede con el Terminal remoto al sistema recién comprometido Johnatan intenta averiguar por qué el servidor no le responde, empleando el comando ping. 05/02/ :47:46 05/02/ :48:17 Ver0k, mediante SQL Administrator y averiguando cómo acceder leyendo los ficheros de configuración, accede a la base de datos WebERP. Obtiene también un usuario y un password de acceso a WebERP de los logs Pág. 36

39 En una sesión interactiva con MySQL, el atacante consigue toda la información de clientes y de usuarios del sistema, copiándola a los ficheros c:\users.txt y c:\clientes.txt 05/02/ :51:16 05/02/ :03:12 Ver0k arranca MSN Messenger con el identificador h4ckiii@hotmail.com Mientras Johnatan ha dado ya por innacesible el fichero de clientes y manda un correo a Antonio López pidiéndole explicaciones 05/02/ :03:29 05/02/ :05:46 para enviar por messenger los ficheros users.txt y clientes.txt a su sesión como h4ckiii-2@hotmail.com y posteriormente borrarlos. Ver0k se dedica entonces durante 45 minutos a ver los diferentes documentos que hay en el sistema bajo C:\Documents and Settings, tanto imágenes.jpg, como algún documento en formato.doc y animaciones flash. 05/02/ :12:36 05/02/ :57:37 Ver0k entra en WebERP con el usuario acontreras que ha obtenido en su sesión con MySQL Administrator y se crea una cuenta con privilegios de administración de nombre admin para después salir. (v.apéndice para la sesión completa), Johnatan entra en WebERP y al cabo de un rato, descubre la cuenta admin 05/02/ :18:21 05/02/ :21:01 Se reacciona a la intrusión, intentando cuanto antes copiar una imagen de la situación actual. Para ello, se emplea el CD de F.I.R.E. ( Forensics & Incident Response Environment Bootable CD o uno similar basado en él. Hay múltiples intentos de copia con dd y wdd, hasta que finalmente se produce 05/02/ :44:32 la parada final del sistema Pág. 37

40 4. Análisis de artefactos Se denomina artefacto a cada uno de los ficheros que quedan en el sistema como consecuencia de una intrusión. En este incidente, a diferencia de lo que acontece en un característico atacke de hacking no encontramos las típicas herramientas para atacar otros sistemas (más exploits ó herramientas de scanning) y para esconder su actividad tipo rootkit. Así pues, aunque ya se han comentado las principales evidencias, podemos agrupar los ficheros encontrados de la siguiente forma: a) Ficheros generados como consecuencia del engaño via y ejecución del exploit. Son los ficheros que podemos recuperar bajo C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5. De entre todos ellos destacan: Fichero CAU1CDC1.htm LQ9ClubsIAJKIa2jdYtSFExez4sR y[2].tiff MD5 / Descripción f238a1d6ff2f7568b140dda49f Trozo del código html de Yahoo mail que nos permite recuperar uno de los correos del ataque. C0dc2dca150342f afdaffa61a Se trata del fichero.tiff generado de forma random por el exploit de metasploit. CAMA58OV.htm Compose[1].htm Compose[1].htm WWW_Users[1].htm d1b2f9a7901a7f936dca606ebc5d5976 6cecce95b4910cd17d106f737fbbfb79 a7a4d51a60ad93f51eaf75f0a3beb0a0 Los ficheros.html que permiten afirmar que Johnatan respondió a los correos de ver0k. bc1c99d09d2955af08cf4e3213a9ce76 Fichero con la salida de usuarios en WebERP que obtuvo Johnatan y donde puede verse el usuario admin. Fue en este momento cuando se descubrió la intrusión. b) Ficheros generados de forma directa y consciente por ver0k: los ya comentados C:\clientes.txt y C:\users.txt, en los que guardó la información obtenida de la base de datos mediante su sesión con MySQL. De los dos, únicamente clientes.txt ha podido ser recuperado: Fichero Dc2.txt MD5 / Descripción eceec975c1202ad4cbcee92c5ca9a937 Recuperado de C:\RECYCLER\S \Dc2.txt, y que, según el fichero INFO2 en ese mismo directorio corresponde a clientes.txt c) Ficheros generados y/o modificados por la actividad de ver0k, tales como ficheros temporales de Internet, de Messenger, logs de los distintos servicios, entradas del registry, etc que son los que constituyen la evidencia de su actividad. De entre ellos, destacan todos aquellos bajo C:\Documents and Pág. 38

41 Settings\ver0k, y en particular: Fichero Index.dat NTUSER.dat MD5 / Descripción aa59ffdfc41075d0b8f1bd5b981286ef Fichero de histórico de Internet Explorer en C:\Documents and Settings\ver0k\Local Settings\History\History.IE5\index.dat, que permite ver todos los accesos de ver0k durante su actividad. aa59ffdfc41075d0b8f1bd5b981286ef Fichero C:\Documents and Settings\ver0k\NTUSER.DAT, que contiene la configuración específica del usuario en formato registry y que nos permite, por ejemplo, saber su identidad en MSN Messenger: Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com Pág. 39

42 5. Direcciones IP implicadas A continuación se muestra la información de registro de algunas direcciones IP implicadas en el ataque analizado. Evidentemente, toda esta información corresponde a la actualidad (Marzo 2006), dado que no existe un registro que permita conocer la trayectoria histórica de cada dirección IP, sino sólo las asignaciones actuales. En los casos en los que ha sido posible, se ha añadido información obtenida de DShield [25]( y/o Google ( Dirección IP Razón de interés / Información de registro Posible intento de ataque al web Server, el 29 de Enero a las 18:01:43 según access.log: client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfi Sin traducción DNS, asociada a Información OrgName: Teale Data Center StateProv: CA de registro: Country: US NetRange: NetName: CSGNET Intento de ataque al web Server, el 30 de Enero, a las 18:28:34 request failed: erroneous characters after protocol string: GET /cgi-bin/excite;ifs=\\\\\\"$\\\\\\"; HostName: cert.seguridad.unam.mx Información inetnum: /16 status: assigned de registro: owner: Universidad Nacional Autonoma de Mexico country: MX Escaneo de vulnerabilidades del web Server, el 4 de Febrero a las14:04:43 HostName: usul.arrakis.es Asociada a un ISP de España: Información inetnum: org: ORG-ASyc1-RIPE de registro: netname: ES-ARRAKIS descr: Provider Local Registry descr: Arrakis, Servicios y comunicaciones, S.L. country: ES Escaneo de vulnerabilidades Sat Feb 04 14:19:14. (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// HostName: atcf.net Asociada a un ISP Wireless: Información OrgName: Level 3 Communications, Inc. OrgID: LVLT de registro: StateProv: CO Country: US NetRange: Pág. 40

43 Dirección IP y Razón de interés / Información de registro Estas son las direcciones IP asociadas al atacante 2. HostNames: static ny325.east.verizon.net static ny325.east.verizon.net Asociadas a un ISP de USA (Verizon Internet Services Inc): Información de registro: OrgName: Verizon Internet Services Inc. OrgID: VRIS Country: US NetRange: Escaneo de vulnerabilidades del web Server con nikto. Se trata de direcciones de la red privada a la que pertenecía el sistema atacado, puesto que la subred está reservada para ello, según el RFC La propia dirección IP del sistema atacado, obtenida de HKLM\System\ControlSet001\Services\{5269ADEB-9E6D-4673-B F085972C}\Parameters\Tcpip\IPAddress, también dentro de esa misma subred privada. 2 A partir de las evidencias, se puede determinar que hay dos direcciones IP implicadas directamente en el ataque: a) , dirección en la que el atacante pone un falso servidor web (ver index.dat del usuario Johnatan) desde el que se ejecuta el exploit, y también desde la que se accede a WebERP para crear una cuenta de administración (ver logs de acceso de apache), y, por otro lado b) , dirección desde la que se lanza el Terminal remoto según el event log: Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; y a la que se envían los ficheros clientes.txt y cuentas.txt mediante MSN Messenger, de acuerdo con la información hallada en pagefile.sys: MSNSLP/ OK To: <msnmsgr:h4ckiii@hotmail.com> From: <msnmsgr:h4ckiii-2@hotmail.com> Via: MSNSLP/1.0/TLP ;branch={bfb61937-f8a2-41dc-a6bf-321a6447a639} CSeq: 1 Call-ID: {4E A0B E9EEAA68} Max-Forwards: 0 Content-Type: application/x-msnmsgr-transrespbody Content-Length: 178 Bridge: TCPv1 Listening: true Hashed-Nonce: {A6A0D33D-2E7C-BD32-C296-AA8BB1AACC45} IPv4Internal-Addrs: Buscando además las dos direcciones IP en formato hexadecimal, esto es, 0x466bf996 ( ) y 0x466bf99b ( ) podemos encontrar también en pagefile.sys esta última junto a la cadena M i c r o s o f t R D P 5. 2, hasta en 3 ocasiones, lo que nos permite confirmar que ver0k empleó la IP para acceder al sistema mediante Terminal remoto (Remote Desktop Protocol). No existe forma de determinar si se trata de dos sistemas distintos controlados por el atacante ó un único sistema que emplea algún tipo de NAT para determinados puertos (por ejemplo, para el tráfico http en los puertos 80 y 8080). Pág. 41

44 6. Alcance de la intrusión A partir de las evidencias encontradas, podemos concluir que la intrusión sufrida por el sistema COUNTERS, ha tenido como alcance el siguiente: a) Compromiso total del sistema operativo, con la creación y uso de una cuenta de administración no autorizada (ver0k). b) Compromiso de la base de datos MySQL, de la cual se ha revelado al exterior la información correspondiente tanto a clientes como a cuentas de usuario. En particular, se ha revelado toda la información que se encuentra en las tablas www_users y custbranch de dicha base de datos. c) Compromiso de la aplicación WebERP que hace uso de dicha base de datos, con la creación de una cuenta de administración no autorizada (admin). d) Compromiso de los ficheros bajo C:\Documents and Settings. De ellos, los ficheros.jpg y animaciones gráficas han sido observadas por el atacante, si bien no parece que ello plantee ningún problema de confidencialidad. Los ficheros en formatos.xls,.pdf ó ppt, aunque su revelación pudiera tener algún problema, no han sido copiados fuera del sistema, y no han podido ser observados por cuanto no existía aplicación alguna para hacerlo.no ocurre así con los ficheros en formato.doc, los cuales sí pueden acarrear un problema al haber sido revelada la información total o parcialmente. En concreto, de los 109 ficheros.doc bajo C:\Documents and Settings, únicamente 28 han sido comprometidos, conforme a la fecha de acceso: Documento Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comité de Programa.doc Documents and Settings\reno\My Documents\Boletin11.doc Documents and Settings\reno\My Documents\Cap02c.DOC Documents and Settings\reno\My Documents\CO-0863r1_e.doc Documents and Settings\reno\My Documents\bases_software.doc Documents and Settings\reno\My Documents\HMC_11.doc Documents and Settings\reno\My Documents\inesC.V F.doc Documents and Settings\reno\My Documents\2004-bAUDITORIA 4.doc Documents and Settings\reno\My Documents\guiapce.doc Documents and Settings\reno\My Documents\CuartoPeriodo-INFORME DEL RELATOR.doc Documents and Settings\reno\My Documents\concha.doc Documents and Settings\reno\My Documents\ TIC_y_reduccion_pobreza_de_la_pobreza_en_ALC.doc Documents and Settings\reno\My Documents\CP11591S08.doc Documents and Settings\reno\My Documents\formato-jitel.doc Documents and Settings\reno\My Documents\fap.doc Documents and Settings\reno\My Documents\plantilla.doc Documents and Settings\reno\My Documents\S03-WSIS-DOC-0004!!MSW-S.doc Documents and Settings\Administrator\My Documents\30SEP_bolecart-book.doc Documents and Settings\Administrator\My Documents\Indice Pormenorizado.doc Documents and Settings\reno\My Documents\conConicyt.doc Documents and Settings\reno\My Documents\congreso8.doc Documents and Settings\reno\My Documents\ masercisaproyecto609.doc Documents and Settings\reno\My Documents\Juego de las parejas para pulsador.doc Fecha de acceso 05/02/ :23 05/02/ :23 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :26 05/02/ :26 05/02/ :26 05/02/ :26 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :40 05/02/ :41 05/02/ :57 05/02/ :57 05/02/ :57 05/02/ :57 Pág. 42

45 Documents and Settings\Administrator\My Documents\formulario.doc Documents and Settings\Administrator\My Documents\Notas.doc Documents and Settings\Administrator\My Documents\ÍNDICE DOCTORADO.doc Documents and Settings\Administrator\My Documents\RRGEPNotas.doc Documents and Settings\Administrator\My Documents\RRGEPPortadas.doc 05/02/ :39 05/02/ :39 05/02/ :39 05/02/ :39 05/02/ :39 Pág. 43

46 7. Conclusiones Las siguientes conclusiones pueden ser extraídas de la investigación de este incidente Conclusión 1 De forma global, a partir de los datos disponibles el incidente se puede resumir en los siguientes hechos: El sistema atacado es un Windows 2003 Server SP1, con licencia de evaluación de 14 días, de nombre COUNTERS. Dicho sistema fue instalado y conectado a la red el 25 de enero de El 26 de enero se instalaron en el sistema algunas aplicaciones, destacando entre ellas el sistema ERP de código abierto WebERP ( que a su vez emplea el servidor web Apache y la base de datos MySQL. Desde dicha fecha hasta el 5 de febrero, el sistema mantuvo una actividad que puede considerarse como normal, incluyendo algunos intentos de ataque al servidor web sin mayores consecuencias, la instalación de alguna nueva aplicación como PostGreSQL, y la copia de múltiples ficheros de Microsoft Word, Powerpoint, Excel, documentos PDF e imágenes pornográficas en formato JPEG por parte de algún usuario. El 5 de febrero, un atacante logró acceso con privilegios de administración al sistema. Para ello, empleó métodos de ingeniería social, enviando un correo a un usuario del sistema con privilegios de administrador (Johnatan) a su cuenta en yahoo.com, incitándole a acceder con su navegador a una URL en la que el atacante tenía preparada un exploit. Dicho exploit consistía en aprovechar una vulnerabilidad recientemente descubierta en la librería GDI (Graphics Device Interface) existente en varias versiones de Windows, y entre ellas 2003 server (ver boletín de Microsoft en [24]; esta librería se emplea para la generación y presentación de gráficos en el sistema, y el exploit se ejecutó al acceder a un fichero gráfico Windows Metafile (WMF) que no era tal sino que en realidad cargó un código (payload) que abrió una línea de comando al atacante sin que el usuario victima del engaño se diera cuenta. A continuación, y una vez lograda una ventana como administrador, de forma inmediata el atacante procedió a crear una cuenta de nombre ver0k, dotándola de privilegios de administración, y a modificar el sistema para permitir el acceso remoto al mismo. Accediendo con Terminal remoto y con la cuenta recién creada, el atacante accedió a la base de datos de la aplicación WebERP, mediante el interfaz de administración de MySQL y extrajo directamente de las tablas la información disponible sobre clientes y sobre cuentas de usuario. Esta información fue enviada al exterior mediante MSN Messenger a la cuenta hackiii-2@hotmail.com. Pág. 44

47 Posteriormente el atacante procedió a buscar y visualizar los diferentes ficheros existentes bajo C:\Documents and Settings, incluyendo imágenes en formato JPEG, algún video, y con especial atención archivos en formato.doc. No pudo visualizar ficheros Excel, aunque lo intentó, por cuanto esta aplicación no estaba instalada en el sistema. Ficheros en otros formatos (Powerpoint ó PDF) no fueron accedidos. Finalmente, procedió a determinar cómo acceder a la aplicación WebERP para desde ella crear una nueva cuenta de usuario de la propia aplicación (de nombre admin y privilegios de administración de la misma) que le permitiera el acceso a la aplicación en el futuro, para después abandonar el sistema. Los reponsables del sistema COUNTERS determinaron de forma muy rápida la presencia de algún intruso en el sistema, al detectar una cuenta no autorizada, y procediendo velozmente a intentar realizar una copia del disco, empleando para ello utilidades disponibles en el CD-ROM de F.I.R.E. (Forensics and Incident Response Environment Bootable CD, descargable en o uno similar basado en éste. Después de bastantes intentos de copia con el sistema en vivo al parecer infructuosos, procedieron a la parada final del sistema el 5 de Febrero de 2006 a las 15: Conclusión 2 El ataque al sistema se realizó con una cierta planificación y con carácter específico hacia este sistema en particular. Esta conclusión está basada en los siguientes datos: El correo enviado al usuario Johnatan a su cuenta para conseguir su colaboración indirecta está escrito en castellano, así como simula ser un contacto habitual del mismo (Alberto López, Director General de Electrónica y Computación S.A.). Además, es en un segundo correo cuando se produce la intrusión real. Una vez conseguido el acceso, y creado un usuario para su uso posterior, el atacante analiza muchos de los documentos existentes en el servidor. Parece conocer bien que weberp es la principal aplicación del sistema, y es la que ataca. Otra base de datos instalada, PostGreSQL, no merece la más mínima atención del atacante. No instala ningún tipo de herramienta de rootkit, o de hacking en general como haría un atacante genérico que simplemente buscase nuevas bases de ataque. Tras conseguir crear un usuario administrador en el aplicativo weberp, finaliza toda su actividad Conclusión 3 El ataque fue posible a pesar de que el sistema estaba, en general, bastante bien configurado y a un alto nivel de parcheo. Aunque es cierto que se utilizó una vulnerabilidad de reciente descubrimiento, fue el uso indebido del servidor para navegar de forma genérica por Internet, especialmente grave cuando el usuario Pág. 45

48 empleado para ello tiene privilegios de administración, lo que posibilitó el ataque Conclusión 4 El análisis del sistema ha podido ser muy detallado gracias a que el administrador del mismo se preocupó de configurar en un alto nivel de detalle el sistema de auditoría de Windows, lo que demuestra la importancia de estar preparado por anticipado ante un posible ataque Conclusión 5 En general, da la impresión de que el sistema no era un sistema en producción real, sino un servidor preparado para generar una imagen que fuera posible usar en un reto de análisis forense. Esta conclusión está basada en los siguientes datos: El sistema está instalado y en marcha con una licencia de evaluación de Windows 2003 Server, únicamente válida para 14 días, y a la que le quedaban únicamente 4 días para la activación final que nunca se produjo. En el sistema están creados 16 cuentas de usuarios (además del administrador y la que crea el atacante) de las cuales únicamente se han empleado 4. En el servidor se copiaron una gran cantidad de ficheros de Microsoft Excel, PowerPoint y Adobe PDF; sin embargo, ninguna de estas aplicaciones está instalada. Aunque podría pensarse que los ficheros podrían ser accedidos desde la red, no fue así en realidad tal y como revelan las fechas de creación y acceso. La primera reacción de los administradores ante la creación final de las cuentas del atacante en weberp y en el sistema, es intentar generar de forma inmediata una imagen del sistema, más que analizar exactamente qué estaba ocurriendo, o detener/desconectar de la red el sistema para minimizar el daño. Algunas de las cuentas de correo de clientes almacenadas dentro del sistema WebERP corresponden a dominios actualmente inexistentes en la realidad Conclusión 6 Preservar la evidencia es crucial para cualquier investigación forense. En incidentes informáticos, como en incidentes de la vida real, la preservación de la evidencia juega un papel fundamental en el proceso para asegurar el éxito de la investigación. En este incidente, mucha de la información ha sido posible obtenerla porque se disponía de una imagen binaria de la partición primaria del sistema en un instante de tiempo cercano al incidente y sin demasiadas modificaciones inducidas por el propio administrador del sistema. Si el administrador, cuando entró en el sistema para generar las copias, hubiera Pág. 46

49 empezado a lanzar comandos para "investigar", muchas de las pruebas habrían desaparecido. No modificar en absoluto la evidencia no es posible en la mayoría de los casos, pero siempre se debe intentar que la modificación sea la menor posible Conclusión 7 Participar en retos de análisis forense disminuye de forma alarmante las horas de sueño de los participantes. Pág. 47

50 8. Recomendaciones Solución al incidente Como consecuencia del ataque, el sistema y la información en él contenida han quedado completamente comprometidas. Aunque se ha identificado el origen de la intrusión y el detalle de la actividad realizada, no podemos estar absolutamente seguros de que no haya otros cambios que han pasado desapercibidos a la investigación forense. Por tanto, para recuperarse de la intrusión y conseguir un sistema completamente seguro los pasos recomendables serían, si ello es posible: Reinstalar una versión limpia del sistema operativo, siempre sin estar conectado al exterior. Deshabilitar los servicios innecesarios. Instalar todos los hotfixes de seguridad. Consultar periódicamente las alertas de seguridad en este sistema operativo. Recuperar con cuidado datos de usuario de los backups y verificar los permisos (propietario, etc) de esos ficheros para que sólo los usuarios que lo necesiten puedan acceder a ellos. Cambiar todos los passwords y, sólo entonces, volver a conectarlo a la red externa. Una guía detallada de cómo recuperar un sistema de una intrusión puede encontrarse bajo: ó en Alternativamente, como forma más rápida, si bien carente del 100% de fiabilidad, la recuperación de esta intrusión pasaría por, con el sistema desconectado de Internet: Eliminación de las cuentas creadas por el atacante. Cambiar todos los passwords tanto del sistema como de la aplicación weberp, y asegurar que dichos passwords cumplen unos estándares mínimos de seguridad. Instalación de los hotfixes de seguridad, especialmente los aplicables a la vulnerabilidad empleada en este ataque. Poner passwords para el acceso a MySQL Administrator. Finalmente, el daño producido por la pérdida de confidencialidad en la información (usuarios y clientes de la base de datos) debe mitigarse mediante las acciones de comunicación, modificación y/o legales que los responsables de la empresa consideren oportuno teniendo en cuenta su situación comercial y los requerimientos legales que apliquen. Pág. 48

51 Recomendaciones finales De cara a evitar posibles problemas similares a éste en el futuro, se recomiendan las siguientes acciones: Instalar de forma inmediata los hotfixes de seguridad de Microsoft, a ser posible de forma automática a través de Windows Update. Asegurar que se minimiza el número de cuentas con privilegios de administración existentes, siendo recomendable dejar sólo aquellas estrictamente necesarias. Instaurar una política que asegure que no se emplean servidores en producción para actividades personales como navegar por Internet, consultar el correo o jugar. Instalar algún sistema antivirus y antispyware, actualmente inexistente. Instalar algún programa de detección de intrusión y/o modificación de ficheros clave del sistema operativo. Formar a los usuarios en la importancia de la seguridad y la existencia de ataques de ingeniería social ante los que deben estar preparados. Asegurar que todos los sistemas de administración (por ejemplo, MySQL) tienen palabras de acceso adecuadas para restringir su acceso. Guardar de forma cifrada la información de carácter confidencial, para minimizar la posibilidad de robo de la misma. Asegurar que existe en la organización un sistema de gestión operativa de la seguridad, que permita la prevención, detección y eficaz reacción a ataques, en particular debe existir un adecuado mecanismo de alerta. Por último, comentar que durante la investigación se ha encontrado numerosa información correspondiente a correos de años anteriores (en concreto, la mayoría anteriores a 2004 y pertenecientes a la empresa eycsaa.com.mx, dedicada a la formación a través de internet). Para evitar que este tipo de información se de a conocer, es una buena práctica borrar completamente con una herramienta específica el contenido del disco antes de reinstalar el sistema operativo (por ejemplo, con SDelete, de sysinternals [7]). Pág. 49

52 9. Referencias [1] The Sleuth Kit. [2] Autopsy Forensics Browser. [3] Vmware workstation software. [4] Encase Forensic, de Guidance Software. [5] RedHat Linux. [6] Mount Image Pro. [7] Sysinternals web site. [8] Foundstone free forensic tools. [9] Panda Antivirus + Antispyware. [10] etrust PestPatrol y EZ-Antivirus. [11] Proactive Password Auditor. [12] Chntpw. [13] LADS. List Alternate Data Streams. [14] Microsoft Excel. [15] Google. [16] NTFS file system description [17] CurrPorts. [18] GFI LANguard Network Security Scanner v6.0 [19] Nacional Software Referente Library. [20] Microsoft Windows Remote Desktop Protocol. mspx [21] How to Calculate the MSN Messenger Passport User Id. [22] Nikto web scanner. [23] Metasploit WMF vulnerability and exploit. [24] Microsoft Security Bulletin ms [25] Distributed Intrusion Detection System, Pág. 50

53 10. Anexos Mails enviados a Johnatan Estos son los correos recuperados con los que el atacante engañó al usuario Johnatan, enviados a su cuenta en yahoo.com: Primer correo, que no tiene para el atacante el éxito deseado, recuperado de zonas no asignadas del disco: De: alopez@eycsa.com.mx Para: jonathan.tezca@yahoo.com Asunto: Urgente!! Fecha: Sun, 5 Feb :11: (CST) Johnny: Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Segundo correo, en el que la URL se ha modificado para acceder al puerto 8080, recuperado de los ficheros temporales de Internet Explorer: De: alopez@eycsa.com.mx Para: jonathan.tezca@yahoo.com Asunto: Urgente!! (correccion) Fecha: Sun, 5 Feb :42: (CST) Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Pág. 51

54 10.2. Reproducción de la sesión con MySQL del atacante A continuación se muestra una reproducción de la sesión interactiva con la base de datos que tuvo el atacante con la intención de extraer información de cuentas de la misma. Los errores que aparecen son consecuencia de comandos mal escritos por ver0k. En negrita aparecen las sentencias tal y como las escribió el atacante. mysql> show tables; ERROR 1046 (3D000): No database selected mysql> show databases; Database mysql test weberp rows in set (0.00 sec) mysql> use weberp; Database changed mysql> show tables; Tables_in_weberp accountgroups accountsection areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices Pág. 52

55 purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> select columns from www_users; ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'columns from www_users' at line 1 mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh Pág. 53

56 language varchar(5) en_gb rows in set (0.01 sec) mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh language varchar(5) en_gb rows in set (0.00 sec) mysql> select userid,password,realname,fullaccess from www_users; userid password realname fullaccess acontreras 067f1396a b5c1c69edfd29c ee Alberto Contreras Zacarías 8 amed ef8085fc0990de00dbfd958373ed769f7b2c93a8 Antonio Medina Ocaña 11 amirac e3ddf21db44f98f4d9e38d14aff077d753c35f0e Astrid Miranda Acuña 18 andre 933f868ccf7ece d3887f5522fbb Andrea Escalera Nava 17 carsel 752c944261fa72cb17fd8ab a60dbc30e Carmen Serrano Luna 9 chtorret 617d0fd33bb15d60efadd04f41e1686e930cd69b Chema Torret 9 dizav 933f868ccf7ece d3887f5522fbb Diego Zárate Vite 10 eduajt 12ef46f8a2edfd221263e4dd48d5d505818b3f0b Eduardo Jiménez Tapia 10 egavilan a53956bf4c747c5959e63d92ecb885c Ernesto Gavilán 8 gabsa b7c40b9c66bc88d38a59e554c639d743e77f1b65 Gabriela Sandoval Portillo 11 gruvalcaba b e4bebddda761f32ec2ed52e3425f0fa2 Gumaro Ruvalcaba 11 Jehern edefeffa1514cc1783e88f83eddc338686c60618 Jesús Hernandez Cuevas 11 juma bd035408dd9ab6f6e6ad0b023eced296 Juan Morales Fierro 12 ladelga 25f92a2263b2c1a75077f257aeacd1376ed4f391 Luis Ignacio Aguiñaga Delgado 10 majogar 906e1bdf102a0d2338ff5d1fafabc33a María José García Rubio 11 mamuria bb1c9637c5dfdfcbc5ed60b46c2d0247a8832c8d Miguel Angel Muria Torres 11 maubaro cbfdac6008f9cab cbd1874f76618d2a97 Mauricio Barrios Santiago 11 mavep 75222f68d4dab93e5ff408018a28a1b19ceff3e5 Mayra Velázquez Prieto 11 ncanes 1d68c2efb2a2085f25412feef3e3a245d743019f Napoleón Canes 22 rodid 8a0c0d37c6bc713a3ae67b7a797c39ba865787d4 Rodrigo Ibarra Díaz 8 roxar 9fd05e bc7513b62710b57f272cc11f70 Roxana Aguilar de la Riva 8 sarnua 01c037d306292acce46e3dc08e75ab Sara Núñez Aldana rows in set (0.00 sec) mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 Pág. 54

57 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh language varchar(5) en_gb rows in set (0.00 sec) mysql> show tables; Tables_in_weberp accountgroups accountsection areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges Pág. 55

58 shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.05 sec) mysql> show tables; Tables_in_weberp accountgroups accountsection Pág. 56

59 areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans Pág. 57

60 supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> show columns from custallocns; Field Type Null Key Default Extra id int(11) PRI NULL auto_increment amt decimal(20,4) datealloc date MUL transid_allocfrom int(11) MUL 0 transid_allocto int(11) MUL rows in set (0.11 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.00 sec) mysql> select branchcode,brname from custbranch; branchcode brname ANGRYFL Angus Rouledge - Florida ANGRY Angus Rouledge - Toronto DUMBLE Dumbledoor McGonagal & Co FACTORY FACTORY Computadoras Pág. 58

61 IMRAMG IMRAMG de America JRAMIREZ Jacobo Ramirez Alcantara JOLOMU Lorrima Productions Inc MAXICOMP MAXICOMP de Mexico NOSTRON NOSTRON SA de CV QUARTER Quarter Back to Back RSAVALA Ramon Savala Rincon SAMICE SAMICE Semiconductores SAME Samicon Electronics SAMS SAMS Tiendas departamentales SANCOMP SANCOMP de Colombia SUMICOM SUMICOM de Chile ULATINA Universidad Latina UNIVTEC Universidad Tecnologica de Mexico rows in set (0.02 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.00 sec) mysql> select * from custbranch; branchcode debtorno brname braddress1 braddress2 braddress3 braddress4 braddress5 braddress6 estdeliverydays area salesman fwddate phoneno faxno contactname defaultlocation taxgroupid defaultshipvia deliverblind disabletrans brpostaddr1 brpostaddr2 brpostaddr3 brpostaddr4 brpostaddr5 brpostaddr6 custbranchcode Pág. 59

62 ANGRY ANGRY Angus Rouledge - Toronto P O Box 67 Gowerbridge Upperton Toronto Canada 3 TR ERI Granville Thomas graville@angry.com DEN ANGRYFL ANGRY Angus Rouledge - Florida 1821 Sunnyside Ft Lauderdale Florida FL PHO Wendy Blowers wendy@angry.com DEN DUMBLE DUMBLE Dumbledoor McGonagal & Co Hogwarts castle Platform TR ERI 0 Owls only Owls only Minerva McGonagal mmgonagal@hogwarts.edu.uk TOR FACTORY FACTORY FACTORY Computadoras Municipio Libre 12 - Brasilia, Brasil 1 FL GPA r Jose Roberto Donacimentos jr@factorycom.com.br TIJ IMRAMG IMRAMG IMRAMG de America Conocido 1 AC AHP 0 AGS JOLOMU JOLOMU Lorrima Productions Inc 3215 Great Western Highway Blubberhouses Yorkshire England 20 FL PHO Jo Lomu jolomu@lorrima.co.uk TOR JRAMIREZ JRAMIREZ Jacobo Ramirez Alcantara Paseo de los gerrilleros La Paz, Bolivia 5 DF AHP Carol Frank Gipser Skole contact@cilkru.com DEN Paseo de los gerrilleros MAXICOMP MAXICOMP MAXICOMP de Mexico Calle Billinghurst, 25-8 Mexico 1 FL GPA 0 DF NOSTRON NOSTRON NOSTRON SA de CV Ayutla 21 - Madrid, España 1 MD JVE 0 DEN Conocido QUARTER QUARTER Quarter Back to Back 1356 Union Drive Holborn England 5 FL ERI TOR RSAVALA RSAVALA Ramon Savala Rincon Camino Real 23 Rincon del alma 1 GL ART 0 juan@savala.org.ar DEN SAME SAME Samicon Electronics Rep. del salvador AC AHP 0 AGS SAMICE SAMICE SAMICE Semiconductores Atlanta 12 - Mexico DF Frente a la Universidad Latina 1 AC AHP 0 Pág. 60

63 AGS SAMS SAMS SAMS Tiendas departamentales Conocido 2 AC AHP carlomagno@samstiendas.com AGS Conocido SANCOMP SANCOMP SANCOMP de Colombia Av. Carlo Magno 23, Bogota Colombia 6 FL ICB Karla Santiago Bocado DF Av. Carlo Magno 23, Bogota Colombia SUMICOM SUMICOM SUMICOM de Chile Intermedio14-23 km 2 Autopista Fed 23 1 OX PHO ventas@sumicom.com.cl DF Intermedio14-23 km 2 Autopista Fed ULATINA ULATINA Universidad Latina Engerios Cáli, Colombia 1 FL PZF 0 DF UNIVTEC UNIVTEC Universidad Tecnologica de Mexico Ricardo Flores 921 Mexico DF cp DF ERI Luis Fernando Flores Almaguer lflores@unitemex.com.mx DF Ricardo Flores 921 Mexico DF rows in set (0.02 sec) mysql> quit Pág. 61

64 10.3. Reproducción de la sesión WebERP del atacante A continuación, se presenta una reproducción de la actividad del atacante al acceder a WebERP, obtenida a partir de la evidencia encontrada en los ficheros de log de Apache y de MySQL: 13:57:37 ver0k accede a la ventana inicial de Login de la aplicación, y hace login con el Usuario acontreras, password c0ntr3t0. 13:57:52 login satisfactorio como usuario acontreras 13:57:54 Y accede a la opción del menú Order delivery Differences Report, dentro de Inquiries and Reports. Pág. 62

65 13:57:57 No es lo que estaba buscando, así que vuelve al menú principal, pulsando la opción Main Menu. 13:58:00 Accede a la opción 'Setup' en el menú superior dentro de la página principal. 13:58:02 Desde allí, accede a la opción 'Configuration Settings' dentro del menú 'General'. 13:58:06 No. Tampoco es esto lo que busca. Vuelta al menú principal. 13:58:10 Veamos. Tiene que ser esta opción de 'User Accounts' dentro de 'General'. Pág. 63

66 13:59:44 Efectivamente es aquí donde quiere ir. Desde esta página, además de ver todos los usuarios existentes, se pueden crear otros nuevos. Así que intenta crear una nueva cuenta con capacidades de administración pero algo falla!. Tiene que haber sido alguna de estas posibilidades: - user ID < 4 chars - password <5 - password con caracteres prohibidos (- '&+"\ ó espacio). - password que contiene el user ID. - customer code sin branch code. 14:00:15 Así que lo intenta de nuevo Pág. 64

67 y esta vez sí. Ya tiene una puerta trasera en el sistema como usuario admin. 14:00:59 Con su trabajo ya hecho, sólo le queda salir de la aplicación dando por concluida su sesión web-erp. Pág. 65