Respuesta al. Reto de Análisis Forense. Informe Técnico. Marzo de Germán Martín Boizas

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Respuesta al. Reto de Análisis Forense. Informe Técnico. Marzo de 2006. Germán Martín Boizas"

Transcripción

1 Respuesta al Reto de Análisis Forense Informe Técnico Marzo de 2006 Germán Martín Boizas

2 Tabla de Contenidos 0. INTRODUCCIÓN ENTORNO DE INVESTIGACIÓN PROCESO DE ANÁLISIS CRONOGRAMA DE ACTIVIDADES DIAGRAMA TEMPORAL ANÁLISIS DE ARTEFACTOS DIRECCIONES IP IMPLICADAS ALCANCE DE LA INTRUSIÓN CONCLUSIONES CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN CONCLUSIÓN RECOMENDACIONES REFERENCIAS ANEXOS MAILS ENVIADOS A JOHNATAN REPRODUCCIÓN DE LA SESIÓN CON MYSQL DEL ATACANTE REPRODUCCIÓN DE LA SESIÓN WEBERP DEL ATACANTE... 62

3 0. Introducción Este documento es el informe técnico en respuesta al reto de análisis forense lanzado por UNAM-CERT y RedIRIS en colaboración con otras empresas en Febrero de 2006 a través de su página web El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imagen (o copia) de dicho sistema. Antecedentes del incidente Según se facilita en las normas del reto, la única información con respecto al sistema a analizar es el siguiente: El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance. El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor. Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse. Objetivos del reto Según las normas, los objetivos son determinar si existió o no un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él. En el presente informe se intenta contestar a dichos objetivos, pero manteniendo un orden tal que su contenido sea lo más didáctico posible. Asimismo, la limitación de mantener el informe a un máximo de 50 páginas obliga a realizar una breve síntesis de todo el trabajo realizada. Así pues, el esquema seguido para contestar al reto consta de los siguientes apartados: Entorno de Investigación El propósito de este capítulo es detallar las herramientas empleadas en el análisis, así como la construcción del entorno de análisis forense usado para la investigación. Pág. 1

4 Proceso de análisis En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtención de las evidencias objeto del análisis. Debido a la limitación de espacio, su exposición es muy sintética, puesto que relatar en detalle todas y cada una de las acciones realizadas llevaría aparejada mucha más información. Cronología de actividades El objeto de este capítulo es mostrar todas las actividades realizadas por el (los) atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la realización de la imagen del sistema, añadiendo en cada punto la evidencia que lo sustenta. Asimismo, a continuación, se muestra en forma de diagrama una representación en el tiempo de la intrusión. Se muestra así de un vistazo qué es lo que hizo el atacante y cuándo lo hizo. Análisis de artefactos En este capítulo se analizan todos los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo y cualquier otro dato de interés relativo a los mismos. Direcciones IP implicadas Se refleja aquí la información obtenida sobre las direcciones IP que de una u otra manera se han visto implicadas en el incidente, incluyendo la de quien ó quienes atacaron el sistema. Alcance de la intrusión En este apartado se resume hasta qué punto la intrusión afecto al sistema y a la información en él alojada. Conclusiones Este apartado aglutina los principales puntos que se obtienen como consecuencia del análisis efectuado. Recomendaciones Finalmente, este apartado enumera algunas recomendaciones para solucionar la actual situación y para prevenir situaciones similares en el futuro. Pág. 2

5 1. Entorno de investigación Herramientas empleadas La imagen proporcionada ha sido analizada mediante una combinación de las siguientes herramientas: The Sleuth Kit [1] Autopsy [2] VMWare Workstation [3] EnCase Forensic Edition v 4.22 [4] Red Hat Linux [5] Mount Image Pro [6] Utilidades de sysinternals.com [7] Utilidades de análisis forense de Foundstone [8] Panda Titanium 2006 Antivirus + Antispyware. [9] CA etrust PestPatrol [10] CA etrust EZ-Antivirus 2005 [10] Proactive Password Auditor [11] Chntpw [12] LADS [13] Conjunto de herramientas de análisis forense de libre distribución. Interfaz gráfico para The Sleuth Kit. También de libre distribución. Aplicación comercial que permite emular máquinas virtuales Intel x86. Herramienta comercial específica para el análisis forense de sistemas informáticos. Muchos de los comandos del sistema constituyen verdaderas herramientas de análisis forense. Utilidad para montar en Windows los archivos de imágenes, conservando la integridad de la imagen. es una buena fuente de diversas utilidades de Windows, muy útiles para el análisis forense, como Autoruns, Process Explorer, PsLogList ó RootkitRevealer. proporciona también una lista de herramientas útiles para el investigador, como pasco ó galleta. Programa antivirus. Programa AntiSpyware Programa antivirus Herramienta de crackeo de passwords de Windows, Editor offline de los passwords de Windows. Utilidad para la búsqueda de Alternate Data Stream. Pág. 3

6 Microsoft Excel [14] Google [15] Empleado para consolidar las distintas fuentes de información, y hacer filtros sobre la misma. Buscador de información en la web. Entorno de trabajo Para facilitar el análisis del sistema facilitado en forma de imagen, el entorno de investigación empleado está basado en emplear VMWare Workstation. En primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la imagen proporcionada es suficiente) y en él, tras determinar que la imagen proporcionada es únicamente una partición y no un disco completo, creamos una partición con exactamente- el mismo tamaño que la imagen del reto. Finalmente, copiamos con dd la imagen a esta partición recién creada. Con ello se obtiene un disco virtual que contiene todos los datos del reto. La ventaja de crear un disco así es que, configurando la máquina virtual de vmware para acceder al mismo en modo no-persistente, podemos acceder al mismo cuantas veces queramos despreocupándonos de la posibilidad de alterar accidentalmente la evidencia proporcionada. Con acceso a ese disco, creamos varios entornos de trabajo de vmware: Entorno 1, con Windows XP, y una serie de herramientas de análisis forense a emplear, principalmente EnCase y diversas utilidades de sysinternals. Este entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al fichero de imagen original mediante un Shared folder. La ventaja del entorno vmware así creado es que, aunque fuésemos descuidados, ningún malware podrá abandonar el entorno. Entorno 2, con Linux Red Hat, junto con una serie de herramientas de análisis forense a emplear, la principal de ellas Sleuthkit y Autopsy. Entorno 3, en el que, tras verificar que el sistema original era un Windows 2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema limpio que tuviera acceso al disco del reto, para poder de forma fácil comparar el sistema analizado con respecto a uno estándar, y en el que instalamos además las distintas aplicaciones y hotfixes que fuimos identificando en la imagen del reto al avanzar el análisis (Apache, MySQL, etc ) Entorno 4, con un duplicado del reto arrancable. La imagen del reto no es arrancable, puesto que es una partición y no tiene el sector de boot configurado. Así pues, decidimos configurar ese sector adecuadamente y crear un sistema virtual que permite hacer análisis dinámico del sistema. Evidentemente, es crítico impedir el acceso a la red real de este sistema para evitar posibles infecciones. Para facilitar dicho análisis, creamos un CD-ROM con las herramientas de análisis en Windows. El esquema siguiente resume los sistemas virtuales creados: Pág. 4

7 Entorno 1 Entorno 2 Windows Herramientas Análisis Forense Reto III (no persistente) Linux Red Hat + Herramientas Análisis Forense Entorno 3 Entorno 4 Shared Folders Windows 2003 Server SP1 Limpio Reto III Bootable CD-ROM con Herramientas Análisis Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido necesario realizar algún cambio) son montados como no persistentes para evitar cualquier posibilidad de contaminación de datos. Para compartir información con el sistema host (el PC real sobre el que se ejecuta vmware), se emplea cuando es necesario los directorios compartidos (Shared Folders) de vmware. Pág. 5

8 2. Proceso de análisis De forma resumida, el proceso empleado en el análisis del sistema comprometido ha sido el siguiente: Descarga de la imagen y chequeo de integridad. En esta fase, se descarga la imagen del sistema a través de Internet y se verifica el checksum md5 facilitado para ella, garantizando así la integridad de la evidencia. Identificación del tipo de evidencia. A continuación, se procede a identificar el tipo de imagen recibido. es un disco? una partición del mismo? ó algún otro tipo de imagen?. Simplemente mirando los primeros bytes con un editor hexadecimal puede verse que corresponde a la cabecera de un sistema de ficheros NTFS. (v d-dac5418c mspx ). Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus características: MIP VIEW: Sectors (4996 MB) NTFS El siguiente paso es averiguar a qué sistema operativo pertenece. Tanto con Mount Image, como creando un nuevo caso en EnCase 1 ó Autopsy e importando la imagen como partición NTFS, o simplemente montando la partición en Linux podemos acceder al sistema de ficheros. Por ejemplo, en Autopsy: 1 EnCase es una herramienta muy potente, que permite obtener ésta y mucha otra información, sin más que cargar la evidencia y ejecutar el script de Initialize Case. Sin embargo, dado el carácter didáctico del reto forense, y el carácter comercial de EnCase, creo importante entrar en el detalle de cómo obtener la información a través de otras herramientas más accesibles al público en general. Pág. 6

9 Una vez con el mismo, podemos acceder al registry accediendo a los ficheros bajo \Windows\System32\Config. Una vez ahí, podemos confirmar la versión de sistema operativo: HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: Microsoft Windows Server 2003 R2 HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: Service Pack 1. Configuración del entorno de trabajo Configuración del entorno de investigación, y por tanto de los distintos sistemas virtuales tal y como se describe en el capítulo anterior. El principal problema fue la creación del sistema arrancable del reto. Inicialmente, parecía que sería suficiente con copiar el sector de boot de un sistema Windows 2003 SP1 limpio. Sin embargo, tras hacer esto, el sistema no arranca correctamente y se produce un error STOP: 0x B (bluescreen). La causa final de este error es la inexistencia en el sistema de los drivers necesarios para reconocer correctamente el disco, puesto que el hardware asociado al sistema ha cambiado. La solución es copiar al directorio Windows\System32\Drivers algunos drivers y realizar alguna modificación en el registro, tal y como se describe en Para hacer estas modificaciones montamos el disco virtual del reto con capacidades de escritura en nuestro entorno de investigación. Con esto, el sistema ya arranca perfectamente. Sin embargo, aún no podemos entrar en él: no conocemos la password de ninguna cuenta. Llegados a este punto, hay básicamente dos opciones: a) Averiguar los usuarios y passwords del sistema con alguna herramienta de cracking tipo l0phtcrack. b) Modificar la password de administrador a alguna conocida por nosotros. En nuestro caso, y por el factor tiempo, nos inclinamos por esta última opción empleando el programa chntpw [12], un editor offline disponible en Así, finalmente podemos entrar en el sistema. Una de las primeras cosas que llama la atención es que el sistema tiene una licencia de Windows de Pág. 7

10 evaluación, y a falta de 4 días para expirar: Determinación del huso horario Antes de analizar cualquier otro detalle de la evidencia, es necesario establecer cuál va a ser nuestra referencia temporal, puesto que la mayoría de los datos estarán referenciados al sistema local. La información del timezone, podemos obtenerla de: HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName: Pacific Standard Time HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName: Pacific Daylight Time Alternativamente, dado que ya tenemos un sistema arrancable, es más sencillo mirar directamente en el interfaz gráfico de Windows: Es importante señalar, que, aunque en este instante lo desconocíamos, el sistema fue inicialmente configurado con la hora de Alaska, y no fue hasta el día 2 de Febrero cuando se cambió a la hora estándar PST. Este dato se obtiene del Pág. 8

11 System Event Log: 25/01/ :57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; 02/02/ :59:57 ; ; ; ; ; 60; 480 Pacific Standard Time; Además, hay que considerar que, hasta el momento de la instalación en el que el administrador fija este dato, el sistema por defecto se inicia con zona GMT. Estos cambios han de ser tenidos en cuenta a la hora de establecer el cronograma de actividades correctamente. Sofware Instalado El siguiente paso consistió en determinar el software instalado en el sistema. Para ello, hicimos las comprobaciones pertinentes tanto en nuestro sistema online, como analizando offline el sistema de ficheros y las entradas del registry pertinentes, tales como: HKLM\SOFTWARE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Así pues, la lista del software instalado en el sistema es la siguiente: Apache HTTP Server Mozilla Firefox ( ) MSN Messenger 7.5 MySQL Administrator 1.1 MySQL Server 4.1 PHP PostgreSQL 8.1 Hotfixes KB896422, KB896424, KB896428, KB896358, KB896727, KB899587, KB899589, KB901017, Pág. 9

12 KB901214, KB902400, KB903235, KB905414, KB908519, KB y KB WebERP v3.04, instalado en el directorio C:\apache\Apache\htdocs\web-erp, es un paquete opensource para la gestión de negocio (ERP) y disponible en Software de seguridad para el uso del administrador en C:\Documents & Settings\Administrator\My Documents\Sof7w4r3: CurrPorts v.1.07 [17], una utilidad para listar los puertos TCP y UDP abiertos en el sistema, disponible en TCPView 2.40, una utilidad de con el mismo propósito que la anterior. GFI LANguard Network Security Scanner v6.0 [18], que aunque presente no llegó a instalarse en el sistema. Obtención de la lista preliminar de ficheros e identificación de ficheros relevantes. A continuación, es el momento de extraer una lista de todos los ficheros del sistema, sus tiempos de creación, acceso y modificación, listar los ficheros borrados e intentar recuperar aquello que sea posible. En esta tarea, es evidente que EnCase hace un trabajo excelente. Alternativamente puede emplearse Autopsy ó ntfsflst.exe, una herramienta de NTI para listar esta información de un sistema de ficheros NTFS. Adicionalmente, resulta muy importante identificar cuanto antes aquellos ficheros que pertenecen a un sistema operativo normal, y que por lo tanto no tienen especial interés para el investigador. Para ello, se generan los hashes MD5 de todo fichero en el sistema y se comparan con alguna lista de ficheros conocidos. En nuestro caso empleamos la lista de la Nacional Software Reference Library [19], descargable desde en cuatro imágenes de CDs. Sin embargo, aún así, el número de ficheros identificados no fue numeroso, por lo que decidimos instalar todas las aplicaciones anteriormente listadas en nuestro sistema Windows limpio (Entorno 3) para generar un checksum de todos los ficheros y poder comparar. Así, de las entradas de EnCase (sin contar elementos del registry), que incluyen ficheros recuperados, fueron identificados como pertenecientes a alguno de los paquetes software anteriormente mencionados, el más relevante, claro, Windows 2003 Server. Con ello estamos ya en condiciones de obtener un cronograma básico desde el punto de vista de sistema de ficheros sobre el que investigar. Pág. 10

13 Identificación de cuentas de usuario Para el correcto análisis de los ficheros, es imprescindible correlar sus accesos con las cuentas de usuario existentes. Obtenerlas es tarea sencilla a partir de la SAM de forma offline, como también directamente analizando nuestro sistema en caliente: User name SUPPORT_388945a0 Johnatan ernesto amado maick lalo moni maru Por ambos métodos (puesto que en este caso no hay ningún rootkit o similar que distorsione esta información) obtenemos la misma tabla de usuarios: Description Full Name: CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description: This is a vendor's account for the Help and Support Service Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Full Name: Johnatan Tezcatlipoca Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/05/06 Full Name: Ernesto Sánchez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Amado Carrillo Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Gabriel Torres Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/04/06 03:11:0 Full Name: Eduardo Hernández Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date Full Name: Monica Islas Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Maria Guadalupe Ramos Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 01/26/06 Pág. 11

14 mirna katy caracheo ovejas reno pili zamorano mpenelope postgres ver0k Administrator Full Name: Mirna Casillas Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Katalina Rodriguez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Dat Full Name: Jorge Caracheo Mota Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Eduardo Roldán Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Israel Robledo Gonzáles Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/03/0 Full Name: Elizabet Herrera Zamora Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknow Full Name: Rolando Zamorategui Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Mari Carmen Penelope Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Unknown D Full Name: postgres Account Description: PostgreSQL service account Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: Full Name: Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Path: Last Logon: 02/05/06 09:47:21 Unknown Date Full Name: Account Description: Built-in account for administering the computer/domain Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S Logon Script: Profile Pat Aunque todas las cuentas de usuario están dentro del grupo Administrators, inmediatamente llama la atención una cuenta sobre las demás: ver0k, por dos motivos: es la única sin nombre completo asociado y tiene el característico cambio de una vocal por números, tan popular en la comunidad hacker. En este punto lanzamos también la recuperación/crackeo de passwords mediante la herramienta Proactive Password Auditor, que permitió recuperar (entre otras) la password de ver0k: password. Búsqueda de malware El siguiente paso en la investigación, consistió en la búsqueda sistemática de malware, esto es virii, herramientas de hacking, rootkits y demás. Para ello, empleamos la siguientes técnicas: a) Ejecución de herramientas antivirus y antispyware. En nuestro caso, analizamos el sistema de ficheros con las siguientes herramientas, con las firmas debidamente actualizadas a febrero de 2006: Panda Titanium 2006 Antivirus + Antispyware. CA etrust EZ-Antivirus CA etrust PestPatrol El resultado de la ejecución de las mismas, fue la detección de una serie de cookies consideradas espías, pero no la aparición de algún fichero realmente dañino. b) Ejecución de herramientas anti-rootkit. En concreto, empleamos RootkitRevealer una herramienta disponible en Pág. 12

15 Tampoco fue capaz de identificar ningún tipo de rootkit a nivel de kernel. c) Obtención y revisión de la lista de servicios y programas auto-arrancables en el inicio del sistema. Esta revisión puede hacerse a mano, pero es más sencillo emplear una herramienta específica para ello, como es Autorun [7]: d) Búsqueda de Alternate Data Streams, una facilidad de Windows que suele emplearse para almacenar información de forma escondida a un usuario. Para ello, empleamos la herramienta LADS [13]: LADS - Freeware version 4.00 (C) Copyright Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk! Scanning directory C:\ with subdirectories size ADS in file C:\Documents and Settings\Johnatan\My Documents\imagenes\Thumbs.db:encryptable Pág. 13

16 0 bytes in 1 ADS listed Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el sistema operativo Windows (ver print/papers/wp.thumbs_db_files.en_us.pdf ). e) Análisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto que tenemos las herramientas cports y TCPView ya accesibles, las empleamos después de comprobar mediante hash que no han sido alteradas. Enseguida nos llama la atención que el puerto TCP 3389 está accesible. Este puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y permite el acceso remoto al sistema. Comprobamos que efectivamente, está así configurado, a pesar de que no se activa por defecto en la instalación (posteriormente determinamos que fue el atacante el que activó este servicio): Pág. 14

17 f) Análisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad sigcheck de sysinternals. Su ejecución determina si hay programas no firmados digitalmente que pudieran corresponder a algún malware. Sin embargo, tampoco encuentra información significativa: A:> sigcheck -u -e c:\windows\system32 Sigcheck v1.3 Copyright (C) Mark Russinovich Sysinternals - C:\windows\system32\sirenacm.dll: Verified: Unsigned File date: 12:11 a.m. 13/10/2005 Publisher: Microsoft Corp. Description: MSN Messenger Audio Codec Product: MSN Messenger Audio Codec Version: File version: C:\windows\system32\UNWISE.EXE: Verified: Unsigned File date: 10:55 a.m. 25/06/1999 Publisher: n/a Description: n/a Product: n/a Version: n/a File version: n/a Se comprueba a través de google que ambos ficheros no son maliciosos. Por ejemplo, ver Análisis de la sesión de MSN Messenger En un momento del análisis, se determinó que el atacante estableció una sesión de MSN Messenger y fue necesario analizarla. Para ello, encontramos una serie de ficheros temporales bajo C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\ , donde este último número es el UserID generado a partir del nombre del usuario. Investigando en la web [21], se averigua que este userid se genera de la siguiente forma: int getuserid(lptstr user) { unsigned int x = 0; } for (int i = 0; i < strlen(user); i++) { x = x * 101; x = x + towlower(user[i]); } return x; Así pues, aunque no es posible obtener el nombre de usuario a partir del UserID, sí es posible comprobar si una determinada dirección de correo genera ese mismo UserID; en consecuencia, obtuvimos del disco todas las direcciones de correo con ayua de un script de EnCase (más de válidas) y procedimos a hacer un programa para generar el UserID de todos los casos. Para uno de ellos tuvimos un match: lo que unido al nombre tan sospechoso utilizado- nos confirma que fue ésta la cuenta empleada por el atacante. Ello se confirma además por el hecho de encontrar en el fichero Pág. 15

18 C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada: Buscando la cadena h4ckiii en el disco se obtiene del fichero pagefile.sys una gran cantidad de información sobre la sesión de Messenger, comenzando por: INVITE MSNSLP/1.0 To: (lo que indica que el destino de la comunicación fue el usuario h4ckiii- ) y siguiendo con toda la sesión, con intercambios tipo: MSNSLP/1.0 To: From: Via: MSNSLP/1.0/TLP ;branch={6a2adfe7-7aa9-4b a8033e6b0eb} CSeq: 0 Call-ID: {93B356C C3E-9D4F-DF9EB0D5DF07} Max-Forwards: 0 Content-Type: application/x-msnmsgr-sessionreqbody Content-Length: 329 Lo que permite reconstruir la sesión completa de Messenger. Análogamente, pueden buscarse las cadenas MSNMSGR: y/o MSNSLP. Consolidación de otras fuentes de información Además de los distintos tiempos de cada fichero, existen otras muchas fuentes de información en el sistema con fecha y hora asociada, que hay que considerar: a) Event logs, en sus tres grupos de System, Security y Applications. En concreto, el log de Security proporciona una gran cantidad de información, por cuanto el sistema de auditoría de Windows está configurado para registrar la máxima cantidad de información, como por ejemplo la creación y fin de cualquier proceso en el sistema, el logon y logout de un usuario, etc: Los event logs pueden analizarse más fácilmente si, en lugar de acceder a los Pág. 16

19 mismos con las herramientas de Windows se descargan a un fichero en formato texto. EnCase lo hace automáticamente, aunque también puede emplearse para esa tarea la utilidad dumpel del NT Resource Kit, ó PsLogList de sysinternals. b) Los logs del servidor web Apache, tanto de acceso como de error, bajo C:\apache\Apache\logs. c) Los logs de la base de datos MySQL, counters.log y counters.err, bajo C:\apache\Apache\mysql\data\, accesibles también mediante el interfaz de usuario, a la que podemos conectarnos sin problemas, pues no tiene una password de acceso: d) Los ficheros de log de PostgreSQL, bajo C:\Program Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos que sólo existen entradas de dos tipos: Arranque / parada Autovacuum (limpieza) de la base de datos, lo que es algo normal (v.http://www.postgresql.org/docs/current/static/maintenance.html #ROUTINE-VACUUMING ) La conexión a PostgreSQL con psql como con pgadmin inicialmente no es posible, puesto que es necesario un password que desconocemos. Sin embargo, en el directorio C:\Documents and Settings\Administrator\My Documents\Sof7w4r3\postgresql encontramos el log de instalación (postgresql-8.1.log) que contiene, entre otras cosas, la password de administración: SERVICEPASSWORD = p0stgr3ssql. Con ella, podemos acceder al interfaz de usuario, en la que vemos que existe una única base de datos, postgres, en la que no hay creada ninguna tabla. En consecuencia, podemos en principio ignorar la actividad de PostgreSQL. Pág. 17

20 e) Los ficheros index.dat de los distintos usuarios, que proporcionan información muy útil sobre el acceso a determinadas URLs, el uso de cookies y la fecha de todo ello. Estos ficheros no están en formato texto, pero EnCase proporciona de forma muy sencilla esta información, que puede también extraerse empleando una herramienta como pasco, una utilidad gratuita descargable desde Todas estas fuentes de información, junto con el primer cronograma de tiempos de los ficheros y otro similar incluyendo los tiempos de creación de las entradas del registry, fue puesta en un formato de fecha y hora común y consolidada en un único fichero Excel. La ventaja de un Excel así, es la facilidad de determinar la actividad del sistema en un determinado momento. A modo de ejemplo, en la figura podemos ver la información obtenida para el 5 de Febrero a partir de las 12:44: Pág. 18

21 Siguientes pasos A partir de aquí, el trabajo se vuelve bastante manual. Es evidente que hay mucha actividad y cambios en el sistema que son normales y no corresponden a actividad de ataque alguna, como instalación del sistema, escritura en ficheros de log, acceso normal a WebERP, etc... que añade mucho ruido a las evidencias recogidas. Resulta muy complicado detallar todas y cada una de las actividades realizadas, incluyendo bastantes búsquedas de palabras clave dentro de todo el disco. Simplemente señalar que nuestro siguiente punto de investigación fue comprobar cómo y cuándo se creó la cuenta ver0k y a partir de ahí ir desenredando la madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se expone en los siguientes capítulos. Finalmente, indicar que, como siempre, una de las mayores herramientas de ayuda a cualquier análisis forense es Google, Pág. 19

22 3. Cronograma de actividades A continuación se presenta, en forma de tabla, un sumario del cronograma de las actividades más destacables detectadas en el sistema, junto con la evidencia asociada. Para el análisis temporal hemos intentado siempre corroborar cualquier hipótesis desde varias fuentes, si bien en esta tabla y por razones de espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las horas están referidas al huso horario del Pacífico (PST, ó GMT-8) aunque la evidencia en ocasiones esté asociada a GMT ó Alaska (GMT-9), como ya hemos comentado. Fecha y Hora Evento 25-ene-06 23:56:44 PST Se instala el sistema operativo Evidencias asociadas: Entrada del registry HKLM\Software\Microsoft\Windows\CurrentVersion\InstallDate: 0x43d872ac => 26 Ene 06 07:56:44 UTC => 23:56:44 PST Se pone el nombre de la máquina COUNTERS: SYS Event Log 25/Jan/ :26:03 MACHINENAME; COUNTERS; System Event Log: 25/01/ :57:36 winlogon.exe; COUNTERS; Operating System: Upgrade (Planned); 0x ; restart; Windows setup has completed, and the computer must restart.; NT AUTHORITY\SYSTEM; System Event Log: 25/01/ :57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; (Permanecerá el sistema con este huso horario hasta el 2 de Febrero) 26-ene-06 08:27:21 MySQL preparado para conexiones. Evidencias asociadas: MySQL Error Log 26/01/2006 7:27:21 C:\apache\Apache\mysql\bin\mysqld-nt: ready for connections. Se ha instalado con una versión de evaluación de Windows Server, y sin embargo no se ha activado. Quedan 14 días para hacerlo. Evidencias asociadas: Application Event Log: 26/01/ :37:19 Windows Product Activation Warning 14; 26-ene-06 12:37:19 26-ene-06 14:53:23 a 15:04:33 Instalación de los hotfixes Evidencias asociadas: System Event Log 26/01/ :53:23 NtServicePack System Event Log 26/01/ :04:33 Explorer.EXE; COUNTERS; Security issue; 0x ; restart; ; COUNTERS\Administrator; 26-ene-06 18:00 Instalación del servidor Web Apache. Evidencias asociadas: Tiempo de creación de los directorios C:\apache, y los directorios bin, lib, conf, etc.. bajo C:\apache\Apache 26-ene-06 18:39 Instalación de MySQL Evidencias asociadas: Tiempo de creación de los directorios bin, lib, etc.. bajo C:\apache\Apache\mysql. 26-ene-06 18:47 Instalación de WebERP Evidencias asociadas: Tiempo de creación del directorio C:\apache\Apache\htdocs\web-erp 29-ene-06 18:01 Se hace una primera prueba externa de seguridad del servidor web, que deja una curiosa entrada en el log: Evidencias asociadas: Apache error log: Sun Jan 29 17:01: client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfi (v. 30-ene-06 18:28:30 a 18:31:43 Escaneo de vulnerabilidades del servidor apache desde la dirección IP (dentro pues de la red privada) con la herramienta nikto Pág. 20

23 [22] (ver ) Evidencias asociadas: Entradas en el Apache error log: Mon Jan 30 17:28:30 [error] File does not exist: c:/apache/apache/htdocs/nikto d3ng4mwwxva0fqq8.htm Mon Jan 30 17:28:30 [error] File does not exist: c:/apache/apache/htdocs/cgi.cgi/ Y varios cientos más 30-ene-06 18:28:34 Intento de ataque singular desde , buscando un problema conocido con cgi-bin/excite, sin consecuencias. Evidencias asociadas: Apache error log Mon Jan 30 17:28: request failed: erroneous characters after protocol string: GET /cgi-bin/excite;ifs=\\\\\\"$\\\\\\"; 1-feb-06 18:53:00 a 18:53:45 Otro escaneo con nikto, esta vez desde Evidencias asociadas: Apache error log: Wed Feb 01 17:53: File does not exist: c:/apache/apache/htdocs/nikto-1.35-hrzububfwsfi.htm Wed Feb 01 17:53: (2)No such file or directory: script not found or unable to stat: c:/apache/apache/cgi-bin/where.pl 2-feb-06 12:59:57 Se pone como nuevo timezone la hora estándar del Pacífico (PST) Evidencias asociadas: System EventLog: 02/02/ :59:57 ; ; ; ; ; 60; 480 Pacific Standard Time; El usuario reno copia 514 ficheros bajo C:\Documents and Settings en los directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones Powerpoint, PDFs e imágenes pornográficas en formato jpg. Evidencias asociadas: Security Event Log: Account Used for Logon by reno 02/02/ :34:18 Tiempo de creación de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el único que 2-feb-06 18:34:18 a 18:45:35 4-feb-06 14:04:43 a 14:26:54 tiene todos los permisos): File Creation 02/02/ :34:18 C:Documents and Settings\reno\Sti_Trace.log File Creation 02/02/ :34:18 C:Documents and Settings\reno\Start Menu\Programs\Accessories\Accessibility\Utility Manager.lnk File Creation 02/02/ :45:35 C:Documents and Settings\Johnatan\My Documents\imagenes\overlay_2_ jpg En total, se copian bytes en 11 minutos y 17 segundos, lo que nos permite deducir que la velocidad de conexión para la copia fue de 2Mbits. Escaneo de vulnerabilidades del servidor web desde En esta ocasión si que parece un ataque real, por cuanto es una IP externa y no se usa nikto. Evidencias asociadas: Apache error log Sat Feb 04 14:04: Invalid method in request \\x80.\\x01 Apache error log Sat Feb 04 14:26: File does not exist: c:/apache/apache/htdocs/scripts/comments.php En paralelo, otro ataque tipo denegación de servicio desde feb-06 14:19:14 a 14:19:19 Evidencias asociadas: Apache error log Sat Feb 04 14:19: (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// (unas 300 líneas iguales) Sat Feb 04 14:19: (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// 4-feb-06 14:45:44 a 14:47:07 Instalación de PostgreSQL. Evidencias asociadas: File Access 04/02/ :45:44 C\Program Files\PostgreSQL\8.1\bin\libpq.dll File Access 04/02/ :45:45 C\Program Files\PostgreSQL\8.1\bin\initdb.exe Sec Event Log 04/02/ :46:23 User Account Created -- New Account Name - postgres; New Domain - COUNTERS; New Account ID - %{S }; Caller User Pág. 21

24 4-ene-06 14:47:30 Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres; App Event Log 04/02/ :47:07 MsiInstaller El administrador crea el directorio C:\Documents and settings\administrator\sof7w4r3... Evidencias asociadas: File Creation Sof7w4r3 14:47:30 y copia dentro los ficheros y copia dentro los ficheros Tcpview.exe, languardnss6.exe y cports.exe. Evidencias asociadas: Tiempo de creación de los ficheros. 4-ene-06 14:59:43 También genera todos los ficheros bajo C\Documents and Settings\Administrator\My Documents\My Videos, y en general todos los ficheros bajo My Documents, lo que incluye imágenes, animaciones flash y ficheros excel (117 ficheros) Evidencias asociadas: Tiempo de creación de los ficheros: File Creation arbitrogay.wmv 15:01:32 File Creation Lista1.xls 15:03:42 4-ene-06 15:01:32 a 15:03:42 El administrador genera el directorio Crea el directorio C:\Documents and Settings\Administrator\My Documents\update que contiene algunos hotfixes a instalar. Evidencias asociadas: File Creation updates 15:28:25 File Creation Blaster Windows2000-KB x86-ESN.exe 15:28:25 File Creation Buffer Overrun Windows2000-KB x86-ESN.exe 15:28:26 File Creation Netbios Windows2000-KB x86-ESN.exe 15:28:27 File Creation w2k ntdll iis.exe 15:28:27 File Creation Windows2000-KB x86-ESN.EXE 15:28:27 File Creation Windows2000-KB x86-ESN.EXE 15:28:32 Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada, mediante la cual tiene previsto conseguir acceso al sistema. 4-feb-06 15:28:25 5-feb-06 12:11:13 Evidencias asociadas: Del disco, en zonas no asignadas a ningún fichero, se ha recuperado el siguiente De: Para: Asunto: Urgente!! Fecha: Sun, 5 Feb :11: (CST) Johnny: Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Se trata de un correo tipo phishing en el que intenta engañar a Johnatan, haciéndose pasar por alguien por él conocido (Alberto López) para darle confianza. El usuario Johnatan hace login en el sistema. Es particularmente importante porque es este usuario y en esta sesión el que va a sufrir el ataque. Evidencias asociadas: Security Event Log 05/02/ :23:09 Successful Logon -- Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; 5-feb-06 12:23:09 Pág. 22

25 5-feb-06 12:23:49 Johnatan arranca el Internet Explorer. (con Process ID 3128) Evidencias asociadas: Security Event Log 05/02/ :23:49 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:26:46 Johnatan se conecta a mail.yahoo.com. para leer su correo. Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :26:46 Link : : 5-feb-06 12:28:11..Intenta hacer login en mail.yahoo.com... Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :28:11 Link Visited: 5-feb-06 12:28:49...y lo consigue. Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat:: 05/02/ :28:49 Link Visited: 5-feb-06 12:40:36 Primer intento de ataque. Johnatan accede al correo anteriormente mostrado Evidencias asociadas:.index.dat : 05/02/ :40:36 Link Visited: 1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE X6EcqA 5-feb-06 12:41:30 Primer intento de ataque. Johnatan ha caído en la trampa y accede a Sin embargo, el exploit falla y no hay consecuencias aparentes. Evidencias asociadas: index.dat 05/02/ :41:30 Link Visited: 5-feb-06 12:42:47 El atacante reacciona viendo que la cosa no ha funcionado, e inmediatamente construye y envía un nuevo , intentando explicar el fallo y que Johnatan lo intente de nuevo. Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de creación del mismo: De: Para: Asunto: Urgente!! (correccion) Fecha: Sun, 5 Feb :42: (CST) Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Nótese cómo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http. Johnatan abre el correo con el nuevo mensaje Evidencias asociadas: index.dat: 05/02/ :43:44 Link Visited: 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp kyr 5-feb-06 12:43:44 Pág. 23

26 Tiempo de creación del fichero temporal CAU1CDC1.htm antes mencionado. Intenta abrir el nuevo link a clientes.wmf; Internet explorer advierte a Johnatan de que el contenido ha sido bloqueado. Pero éste ignora la advertencia y sigue adelante Evidencias asociadas: File Access 05/02/ :43:50 Windows XP Pop-up Blocked.wav Se accede realmente a y Evidencias asociadas: index.dat 05/02/ :44:10 Link Visited: 5-feb-06 12:43:50 5-feb-06 12:44:10 EXPLOIT!!! El atacante arranca un intérprete de comandos en el sistema accesible desde el exterior. Además, como Johnatan pertenece al grupo Administrators, con privilegios de Administrador. Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan) Iexplorer index.dat 05/02/ :44:11 Link Visited: do1z/e9zhoemq052zywsu5oi/auwwcki2mu/lq9clubslajkia2jdytsfexez4sryl.tiff Sec Event Log 05/02/ :44:11 New Process Has Been Created -- New Process ID - 884; Image File Name - C:\WINDOWS\system32\rundll32.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :44:12 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\cmd.exe; Creator Process ID Domain - 884; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:44:11 La vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yestá descrita en el boletín : El exploit empleado es uno disponible dentro del Framework de Metasploit [23] El cual aprovecha un bug en la function Escape para ejecutar código arbitrario a través del procedimiento SetAbortProc de la librería GDI. Además, el exploit genera una URL random y un fichero.tif también random que contiene el exploit, para evitar las firmas de los IDS. El empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder al stream WMF: hoemq052zywsu5oi/auwwcki2mu/lq9clubslajkia2jdytsfexez4sryl.tiff Y por la existencia de dicho fichero.tif entre los que son recuperables dentro de los ficheros temporales de Internet. En concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff. Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre sí, y en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares. El atacante añade la cuenta ver0k, con 'net user ver0k password /ADD'. Evidencias asociadas: El password empleado es precisamente password, averiguado al crackear las cuentas con Proactive Password Auditor. Nótese que el Creator Process ID es 3376, correspondiente al proceso cmd.exe. Security Event Log: 05/02/ :45:30 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:30 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net1.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:30 User Account Created -- New Account Name - ver0k; New Domain - COUNTERS; New Account ID - %{S }; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); Privileges - -; - ver0k; 05/02/ :45:30 User Account Password Set -- Target Account Name - ver0k; Target Domain - COUNTERS; Target Account ID - %{S }; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); - -; 5-feb-06 12:45:30 Pág. 24

27 Luego añade la cuenta ver0k al grupo Administrators, con el comando 'net group "Administrators" ver0k /ADD ' Evidencias asociadas: Security Event Log: 05/02/ :45:53 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:53 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\net1.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/ :45:53 Local Group Member Added -- Member - -; Target Account Name - %{S }; Target Domain - Administrators; Target Account ID - Builtin; Caller User Name - %{S }; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - - File Access 05/02/ :45:53 net.exe C\WINDOWS\system32\net.exe Y finalmente, el atacante cambia las entradas del registry que permiten el acceso remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal Server\fDenyTSConenctions =0) con Terminal Remoto: REG ADD HKLM\System\CurrentControlSet\Control\Terminal Server /v fdenytsconnections /t REG_DWORD /d 0 /f Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificación exactamente 12:46:23 File Access 05/02/ :46:23 C\WINDOWS\system32\reg.exe Security Event Log 05/02/ :46:23 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:45:53 5-feb-06 12:46:23 El atacante (en adelante usaremos su alias ver0k ) se conecta por Terminal Remoto al sistema desde la IP , distinta de la anterior. (v. apartado direcciones IP implicadas) Evidencias asociadas: File Access: 05/02/ :46:54 C\WINDOWS\system32\winlogon.exe Security Event Log: 05/02/ :46:54 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$; 5-feb-06 12:46:54 a 12:47:21 Domain - WORKGROUP; Logon ID - (0x0,0x3E7); File Access : Un montón de fonts bajo C:\WINDOWS\Fonts Security Event Log: 05/02/ :46:56 Logon Process Registered -- Logon Process Name - Winlogon\MSGina; Sec Event Log: 05/02/ :47:21 Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; La IP la obtenemos viendo el log en el momento de la desconexión, 1 hora y cuarto después: Sec Event Log 05/02/ :00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; Johnatan hace un par de pings, presumiblemente mosqueado porque no le contesta el servidor a su petición del fichero clientes.wmf "ping ". Han pasado más de 3 minutos desde el exploit Evidencias asociadas: Security Event Log: 05/02/ :47:46 New Process Has Been Created -- New Process ID - 200; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); File Access: 05/02/ :48:02 C\WINDOWS\system32\ping.exe Security Event Log: 05/02/ :48:02 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 5-feb-06 12:47:46 y 12:48:02 5-feb-06 12:48:17 ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no hay password de acceso. Presumiblemente busca información sobre las bases de datos configuradas y averigua que WebERP es la principal. Asimismo puede Pág. 25

28 acceder a los logs de Error y General de MySQL. Evidencias asociadas: File Access 05/02/ :48:17 C\Documents and Settings\All Users\Start Menu\Programs\MySQL\MySQL Administrator.lnk Security Event Log 05/02/ :48:17 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); 5-feb-06 12:49:50 ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/weberp/AccountGroups.php, presumiblemente busca información de cuentas de usuario y passwords de acceso a WebERP. Evidencias asociadas: Security Event Log 05/02/ :49:50 New Process Has Been Created -- New Process ID - 520; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); 5-feb-06 12:49:53 File Access: 05/02/ :49:51 C\WINDOWS\Fonts\cour.ttf Iexplorer index.dat: 05/02/ :49:51 Link Visited: Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe y lo para 3 segundos después! Ha comprobado que el fichero no contiene información de cuentas de usuario. En realidad, ese fichero es idéntico al del paquete WebERP original, como verifica el hash MD5. Evidencias asociadas: Sec Event Log 05/Feb/ :49:53 ver0k Process Has Exited -- Process ID - 520; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Así que ahora edita C:/apache/Apache/htdocs/web-erp/config.php. Allí ve el usuario y password (ninguno) de acceso a la base de datos. Evidencias asociadas: Sec Event Log 05/02/ :50:02 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/02/ :50:02 Link : : Contenidos del fichero config.php (entre otros): // sql user & password $dbuser = 'weberp_us'; $dbpassword = '';" ver0k comprueba que se conecta sin problemas a la base de datos. Evidencias asociadas: :File Access 05/02/ :51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_ options.xml File Access 05/02/ :51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_ connections.xml MySQL General Log: 05/02/ :51: Connect as anonymous on 05/02/ :51: Query SET SESSION interactive_timeout= /02/ :51: Query SELECT 05/02/ :51: Query SET SESSION sql_mode='ansi_quotes' 05/02/ :51: Query SET NAMES utf8 File Access 05/02/ :51:01 MySQLAdministrator.exe MySQL General Log: 05/02/ :51: Connect as anonymous on 05/02/ :51: Query SET SESSION interactive_timeout= /02/ :51: Query SELECT 05/02/ :51: Query SET SESSION sql_mode='ansi_quotes' 05/02/ :51: Query SET NAMES utf8 05/02/ :51: Quit 5-feb-06 12:50:02 5-feb-06 12:51:00 5-feb-06 12:51:16 a 13:01:22 Ver0k arranca una sesión interactive de MySQL, y comienza a recabar un montón de información sobre la misma: Entre otras cosas, los usuarios que tienen acceso Pág. 26

29 al sistema, sus nombres reales y su nivel de acceso. Desafortunadamente para él, los passwords están cifrados con SHA1. También obtiene toda la información sobre clientes. (la sesión completa y su resultado puede verse como apéndice). La información de la sesión la copia con la ayuda de dos notepad a los ficheros C:\clientes.txt y C:\users.txt, con la información de clientes y usuarios respectivamente. Evidencias asociadas: File Access 05/02/ :51:16 C\apache\Apache\mysql\bin\mysql.exe Sec Event Log 05/02/ :51:16 New Process Has Been Created -- New Process ID - 392; Image File Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); "MySQL General Log: :51: Connect as anonymous on :51: Query show tables :51: Query show databases :51: Query SELECT DATABASE() 1388 Init DB weberp :51: Query show tables (ver apéndice para el detalle de la sesión) :01: Quit" Sec Event Log 05/02/ :00:57 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:02 Process Has Exited -- Process ID ; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:15 New Process Has Been Created -- New Process ID ; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :01:19 Process Has Exited -- Process ID ; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Termina la sesión de mysql: Sec Event Log 05/02/ :01:22 Process Has Exited -- Process ID - 392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19 5-feb-06 13:03:12 (La evidencia relative a los ficheros clientes.txt y users.txt se comenta más adelante) ver0k arranca MSN Messenger. Windows intenta encontrar la ruta más adecuada. Evidencias asociadas: File Access 05/02/ :03:12 C\Program Files\MSN Messenger Sec Event Log 05/02/ :03:12 New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); System Event Log 05/02/ :03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; start; System Event Log 05/02/ :03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; running; 5-feb-06 13:03:29 a 13:04:15 Johnatan da por finalizado su intento de acceder al fichero de clientes, y vuelve a su buzón de entrada, volviendo de nuevo a abrir el último mensaje de Alberto Lopez. Evidencias asociadas: index.dat: 05/02/ :03:29 Link Visited: ate&pos=0&view=a&head=b index.dat 05/02/ :04:12 Link Visited: ate&pos=0&view=a&head=b index.dat 05/02/ :04:15 Link Visited: 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp Pág. 27

30 5-feb-06 13:04:20 kyr El messenger de ver0k accede a las urls de bienvenida iniciales a nuevos usuarios de messenger Evidencias asociadas: index.dat 05/02/ :04:20 Link Visited: MX&BrandID=msmsgs&Build= &OS=Win&Version=7.5 index.dat 05/02/ :04:20 Link Visited: index.dat 05/02/ :04:21 Link Visited: gs&build= &os=win&version=7.5 File Access de un montón de ficheros temporales de explorer. Todos ellos correspondientes a la página de bienvenida de MSN, por ejemplo: 05/02/ :04:22 C\Documents and Settings\ver0k\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\audio[1].jpg Johnatan compone y envía un correo de respuesta a presumiblemente indicándole que no ha sido capaz de descargar el catálogo. Evidencias asociadas: index.dat: 05/02/ :04:29 Link Visited: 1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4 05/02/ :05:10 Link Visited: 05/02/ :05:26 Link Visited: &Idx=0 Y, entre los ficheros temporales de internet encontramos: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm: <form name="addaddresses" target="_top" action="http://address.mail.yahoo.com/yab/e1/?v=ym&a=a&.intl=e1&cp=1" method="post"> <input type="hidden" name="e" C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm: escribió: Mientras tanto, ver0k termina de arrancar el messenger 5-feb-06 13:04:29 a 13:05:10 5-feb-06 13:04:31 Evidencias asociadas: index.dat 05/02/ :04:31 Link : : rad.msn.com index.dat 05/02/ :04:38 Link : : index.dat 05/02/ :04:38 Link : : imagine-msn.com index.dat 05/02/ :04:38 Link Visited: 5-feb-06 13:05:56 y lo configura con la cuenta enviando los ficheros clientes.txt y users.txt a su cuenta Evidencias asociadas: 05/02/ :05:56 Link Visited: 05/02/ :06:37 Link Visited: En el fichero C:\Documents and Settings\ver0k\NTUSER.DAT encontramos la entrada: que indica que ver0k ha empleado esta dirección como su identificador en Messenger. Adicionalmente, se comprueba que ese nombre de usuario en MSN Messenger genera como UserID el número , que coincide con el directorio creado: C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\ Asimismo, buscando la cadena h4ckiii, clientes.txt y users.txt (tanto ASCII como Unicode) en el disco, encontramos, entre otra, la siguiente información en distintos lugares del fichero de swap pagefile.sys : INVITE MSNSLP/1.0 To: ( C o n e c t a d o ) < h 4 c k i i i - h o t m a i l. c o m > U s u a r i o x e n v í a C : \ c l i e n t e s. t x t D e s t : h 4 c k i i i - h o t m a i l. c o m c l i e n t e s. t x t ( 8 ( B( h Ê k g & (Nota: IP ==> baym-sb8.msgr.hotmail.com) S e c o m p l e t ó l a t r a n s f e r e n c i a d e " c l i e n t e s. t x t " Pág. 28

31 5-feb-06 13:06:52 Igualmente: c o m p l e t ó l a t r a n s f e r e n c i a d e " u s e r s. t x t Johnatan vuelve a su buzón de yahoo, sale del mismo y mata el Internet Explorer sobre el que se inició el ataque. Esta es la última actividad de Johnatan durante más de una hora Una hipótesis, dada la hora, es que se fue a comer. Evidencias asociadas: index.dat: 05/02/ :06:52 Link Visited: &YN=1 05/02/ :06:57 Link Visited: ad=b&box=inbox&yy= /02/ :07:07 Link Visited: fig%2fmail%3f.intl%3de1%26.lg%3de1 Sec Event Log 05/02/ :07:10 Process Has Exited -- Process ID ; Username - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba la salida de sus comandos sql Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S \Dc2.txt, en el que aparecen las salidas de la sesión mysql como por ejemplo: mysql> show columns from custbranch; Field Type Null Key " File Access 5-feb-06 13:10:40 Dc2.txt Aunque borrado, encontramos en el slack del fichero INFO2: B 2D A0 98 2ª C C:\users.txt lo que indica la hora de borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb :10:44 (el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en ) 5-feb-06 13:10:40 ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las imágenes pornográficas que hay en el directorio de Johnatan (los 25 ficheros jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un fichero wmv). La fecha de creación de todas ellas es anterior a la intrusión. Evidencias asociadas: File Access 05/02/ :12:36 1_ jpg C\Documents and 5-feb-06 13:12:36 a 13:17:31 Settings\Johnatan\My Documents\imagenes\1_ jpg index.dat 05/02/ :12:36 Link Visited: index.dat 05/02/ :12:52 Link : : File Access 05/02/ :13:01 3_ jpg C\Documents and Settings\Johnatan\My Documents\imagenes\3_ jpg Y un largo etc. Iexplorer index.dat 05/02/ :17:31 Link : : 07_ jpg y continua con los ficheros bajo C\Documents and Settings\Johnatan\My Documents\Dr. Salamo. Sin embargo, no está Microsoft Excel instalado en el sistema, así que no puede abrir ver el fichero CUADRO GRAI.xls y sigue con otros directorios. Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\cuadro GRAl.xls 5-feb-06 13:17:49 Pág. 29

32 De 5-feb-06 13:18:05 a13:19:05 Ahora mira los ficheros bajo C:\Documents and Settings\Administrator\My Documents, comenzando por a017.jpg, index.html y las fotos bajo My Videos/modelos Evidencias asociadas: Iexplorer index.dat 05/02/ :18:05 Link Visited: File Access 05/02/ :18:16 overlay_por_ _ jpg.lnk Iexplorer index.dat 05/02/ :19:05 Link Visited: 003.jpeg A partir de este momento, ver0k se dedica a la búsqueda y edición de ficheros (en particular los ficheros.doc) bajo Documents and Settings. Evidencias asociadas: Múchísima. A modo de ejemplo: Sec Event Log 05/02/ :21: ,55642 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/ :21: ,55684 ver0k Process Has Exited -- Process ID ; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); File Access 05/Feb/ :23:43 Reglamento_aprobado_por_el_CP.doc C\Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc File Access 05/Feb/ :23:44 GEN 13 Segundo Informe del Comité de Programa.doc C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comité de Programa.doc Sec Event Log 05/Feb/ :23:47 ver0k New Process Has Been Created -- New Process ID - 652; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :23:47 Link : : Iexplorer index.dat 05/Feb/ :23:47 Link Visited: File Access 05/Feb/ :24:01 Boletin11.doc C\Documents and Settings\reno\My Documents\Boletin11.doc Sec Event Log 05/Feb/ :24:04 ver0k Process Has Exited -- Process ID - 652; Username - File Access 05/Feb/ :24:05 Cap02c.DOC C\Documents and Settings\reno\My Documents\Cap02c.DOC File Access 05/Feb/ :24:06 CO-0863r1_e.doc C\Documents and Settings\reno\My Documents\CO-0863r1_e.doc File Access 05/Feb/ :24:07 bases_software.doc C\Documents and Settings\reno\My Documents\bases_software.doc File Access 05/Feb/ :24:08 HMC_11.doc C\Documents and Settings\reno\My Documents\HMC_11.doc File Access 05/Feb/ :24:10 inesc.v f.doc C\Documents and Settings\reno\My Documents\inesC.V F.doc Sec Event Log 05/Feb/ :26:39 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :26:39 Link : : File Access 05/Feb/ :28:30 nm jpeg C\Documents and Settings\Administrator\My Documents\My Videos\modelos\nm jpeg 5-feb-06 13:21:15 a 13:28:30 5-feb-06 13:28:35 a 13:40:05 Ahora son las animaciones flash las que despiertan el interés de ver0k y procede a ejecutarlas de forma sistemática. Como nota interesante, una de ellas le abre automáticamente un Internet explorer a al cerrase. Pág. 30

33 Evidencias asociadas: File Access 05/Feb/ :28:35 el huevo tenorio.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\el huevo tenorio.exe Sec Event Log 05/Feb/ :28:37 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); File Access 05/Feb/ :28:38 fiesta en el antro.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe Sec Event Log 05/Feb/ :30:21 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\Muchos Huevos.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/Feb/ :30:26 postgres New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Creator Process ID Domain ; Username - postgres; Domain - COUNTERS; Logon ID - (0x0,0x2B8206); Sec Event Log 05/Feb/ :30:26 postgres Process Has Exited -- Process ID ; Username - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Domain - postgres; Logon ID - COUNTERS; - (0x0,0x2B8206); Sec Event Log 05/Feb/ :30:45 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain ; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :30:53 Link Visited: Sec Event Log 05/Feb/ :40:05 ver0k Process Has Exited -- Process ID ; Username - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\unbaileparati.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); 5-feb-06 12:26:46 Ver0k continúa sistemáticamente con la edición de ficheros.doc, hasta que su atención se vuelve hacia Apache. Evidencias asociadas: Sec Event Log 05/Feb/ :40:16 ver0k New Process Has Been Created -- New Process ID ; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :40:16 Link : : Iexplorer index.dat 05/Feb/ :40:16 Link Visited: File Access 05/Feb/ :40:17 30SEP_bolecart-book.doc C\Documents and Settings\Administrator\My Documents\30SEP_bolecart-book.doc Iexplorer index.dat 05/Feb/ :40:45 Link : : Iexplorer index.dat 05/Feb/ :40:45 Link Visited: File Access 05/Feb/ :41:16 Indice Pormenorizado.doc C\Documents and Settings\Administrator\My Documents\Indice Pormenorizado.doc Sec Event Log 05/Feb/ :41:20 ver0k Process Has Exited -- Process ID ; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/ :53:46 Link : : Iexplorer index.dat 05/Feb/ :53:46 Link Visited: Sec Event Log 05/Feb/ :55:36 ver0k Process Has Exited -- Process ID - 592; Username - C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); 5-feb-06 13:57:37 a 14:00:59 ver0k se conecta de forma remota a la aplicación WebERP desde la IP Allí busca (y encuentra) la forma de añadir un nuevo usuario a la aplicación. Añade un nuevo usuario de nombre admin con privilegios de administrador (con un intento fallido de por medio) y sale de la misma. (ver una reproducción completa de la sesión web en los anexos). Fin de la intrusión. Pág. 31

34 Evidencias asociadas: Apache Access Log 05/02/ :57: GET /web-erp/ HTTP/1.1 y hace login en la aplicación, como usuario 'acontreras' y password 'c0ntr3t0'. En MySQL General Log: :57: Connect as anonymous on 1389 Init DB weberp 1389 Query SELECT www_users.fullaccess,.. FROM www_users WHERE www_users.userid='acontreras' AND (www_users.password='067f1396a b5c1c69edfd29c ee' OR www_users.password='c0ntr3t0') 1389 Query UPDATE www_users SET lastvisitdate=' :57:51' WHERE www_users.userid='acontreras' AND www_users.password='067f1396a b5c1c69edfd29c ee' Cómo sabe ver0k un usuario y password para entrar? La única explicación es que ha encontrado el usuario y el password en el log accesible desde SQL Administrator, en una sesión previa con fecha de 5 Feb 10:41: Apache Access Log 05/02/ :57: GET /web-erp/pdfdeliverydifferences.php? HTTP/1.1 Apache Access Log 05/02/ :58: GET /web-erp/systemparameters.php? HTTP/1.1 Apache Access Log 05/02/ :58: GET /web-erp/www_users.php? HTTP/1.1 Apache Access Log 05/02/ :00: POST /web-erp/www_users.php? HTTP/1.1 Del General Log de MySQL: :00: Connect as anonymous on 1398 Init DB weberp 1398 Query SELECT secroleid, secrolename FROM securityroles ORDER BY secroleid 1398 Query INSERT INTO www_users (userid, realname,customerid,branchcode,password, phone, ,pagesize,fullaccess,defaultlocation,modulesallowed,displayrecordsmax,theme, language) VALUES ('admin','admin', '', '', '5542a545f7178b48162c1725ddf2090e22780e25', '', '', 'A4',8,'AGS','1,1,1,1,1,1,1,1,', 50,'fresh', 'en_gb')" Apache Access Log 05/02/ :00: GET /web-erp/logout.php? HTTP/1.1 5-feb-06 14:00:10 Ver0k se desconecta del terminal remoto, en mitad de la sesión web anterior. Pág. 32

35 Evidencias asociadas: Sec Event Log 05/02/ :00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; 5-feb-06 14:18:21 El usuario Johnatan vuelve al trabajo. A accede a la aplicación weberp con el usuario acontreras y navega un poco por ella Evidencias asociadas: Iexplorer index.dat:: 05/02/ :18:21 Link Visited: 05/02/ :18:42 Link Visited: 05/02/ :19:04 Link Visited: 05/02/ :19:17 Link Visited: 05/02/ :19:24 Link Visited: 05/02/ :19:29 Link Visited: 05/02/ :19:32 Link Visited: 05/02/ :19:33 Link Visited: 05/02/ :19:36 Link Visited: 5-feb-06 14:19:37 Hasta que lista los usuarios de web-erp y de forma inmediata sale de la aplicación. Probablemente, ha visto el usuario admin creado por ver0k. Evidencias asociadas: Iexplorer index.dat 05/02/ :19:37 Link Visited: 5-feb-06 14:21:01 Apache Access Log 05/02/ :20: GET /web-erp/logout.php? HTTP/1.1 index.dat 05/02/ :20:06 Link Visited: Así que, concluye que es víctima de una intrusión y reacciona. Inserta un CD autoarrancable y arranca un intérprete de comando, desde el que lanza un comando dd. Sin duda, intenta copiar el disco o parte de él. Pero el comando va mal y acaba en escasos 5 segundos Evidencias asociadas: Sec Event Log 05/02/ :21:01 New Process Has Been Created -- New Process ID ; Image File Name - D:\PTStart.exe; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Iexplorer index.dat 05/02/ :21:15 Link Visited: Sec Event Log 05/02/ :22:25 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :22:56 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :23:01 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); Lo intenta de nuevo. Esta vez parece que ha ido mejor, pues el comando acaba en 29 segundos, pero no es suficiente. Evidencias asociadas: Sec Event Log 05/02/ :25:37 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/ :26:08 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A); Pide entonces ayuda al administrador, que se conecta al sistema para hacerlo él. Pero éste no tiene mejor fortuna. Así que salen del sistema tanto él como Johnatan, presumiblemente para dejarle la consola libre. Evidencias asociadas: Sec Event Log 05/02/ :26: ,60205 Sec Event Log 05/02/ :26:58 New Process Has Been Created -- New Process ID - 176; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 836; Username - COUNTERS$; Domain - WORKGROUP; Logon ID - (0x0,0x3E7); Sec Event Log 05/02/ :27:29 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 176; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50D2D6); 5-feb-06 14:25:37 5-feb-06 14:26:57 Pág. 33

36 5-feb-06 14:29:01 Sec Event Log 05/02/ :27:31 Process Has Exited -- Process ID ; Username - D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50D2D6); Sec Event Log 05/02/ :28:28 User Logoff -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50D2D6); Method - Logon Occurred on This Machine; Sec Event Log 05/02/ :28:41 User Logoff -- Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Así que el administrador se conecta de nuevo (con algún error previo al poner el nombre de usuario) y lo intenta. Pero ni con múltiples intentos de dd ni con wdd consigue copiar el disco. Evidencias asociadas: Sec Event Log 05/02/ :29:01 Unknown Username or Bad Password -- Username - adminstrator; Domain - COUNTERS; Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; - COUNTERS; Sec Event Log 05/02/ :29:16 Successful Logon -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; Sec Event Log 05/02/ :29:47 New Process Has Been Created -- New Process ID ; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :30:27 New Process Has Been Created -- New Process ID - 860; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Y varias líneas similares Sec Event Log 05/02/ :35:01 New Process Has Been Created -- New Process ID ; Image File Name - D:\win32\wdd.exe; Creator Process ID Domain ; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :35:04 Process Has Exited -- Process ID ; Username - D:\win32\wdd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50ED34); El administrador no tiene muy claro como funciona el cd, así que busca documentacion. Eso nos permite averiguar qué estaba usando. Se trata de FIRE (http://fire.dmzs.com/) Forensics & Incident Response Environment Bootable CD, un conocido CD de recuperación ante incidentes o alguno similar basado en él. Evidencias asociadas: Iexplorer index.dat 05/02/ :35:12 Link Visited: 5-feb-06 15:35:12 El administrador intenta averiguar información sobre la situación a base de ejecutar unos cuantos comandos desde el CD, como ls ó pstat. Evidencias asociadas: Sec Event Log 05/02/ :35:48 New Process Has Been Created -- New Process ID ; Image File Name - D:\statbins\win32\LS.EXE; Creator Process ID Domain - 384; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/ :42:11 New Process Has Been Created -- New Process ID ; Image File Name - D:\win32\sysinternals\pslist.exe; Creator Process ID Domain - 384; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Finalmente, el administrador decide iniciar un shutdown para evitar males mayores y decidir con calma qué hacer. Evidencias asociadas: SYS Event Log 05/02/ :43:54 Application Popup Windows; Other people are logged on to this computer. Shutting down Windows might cause them to lose data. Shutdown Sec Event Log 05/02/ :44:17 System Shutdown Ultima hora de shutdown reportada por el registry Evidencias asociadas: HKLM\System\CurrentControlSet\Control\Windows\ShutdownTime: C7 10 C8 1C AE 2A C feb-06 15:35:48 5-feb-06 15:43:54 5-feb-06 15:44:32. Pág. 34

37 3.1. Diagrama temporal De forma gráfica y esquemática, señalando sólo los eventos importantes, nos queda pues el siguiente diagrama temporal, en el que se han asociado imágenes reproduciendo la actividad de forma similar a como la verían los protagonistas: Hasta esta fecha, instalación de aplicaciones, ficheros y funcionamiento normal del sistema (incluyendo algún intento de intrusión) via web El usuario Johnatan hace login en el sistema 25/01/ /02/ /02/ :11:13 05/02/ :23:09 05/02/ :26:46 Instalación y puesta en marcha del sistema Windows Server 2003 con licencia demo El atacante envía un primer correo a Johnatan, como viniendo de invitándole a ver el fichero de clientes. Johnatan se conecta a su correo en yahoo.com 05/02/ :41:30 Lee el correo y sigue el enlace a pero no hay consecuencias. 05/02/ :42:47 Se envía un segundo correo de phishing, corrigiendo el enlace anterior. Johnatan abre el nuevo correo 05/02/ :43:44 intenta seguir el enlace a clientes.wmf y 05/02/ :43:50 Pág. 35

38 EL EXPLOIT HA ACTUADO. Se arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo de 3128, Internet explorer) 05/02/ :44:11 El atacante tiene una shell de administrador en el sistema El atacante se crea una cuenta de usuario de nombre ver0k, password password, la añade al grupo administrador y cambia las entradas del registry para permitir el acceso remoto 05/02/ :45:53 Y, mientras tanto, Johnatan espera pacientemente a que el fichero de clientes se cargue 05/02/ :46:54 Y voilà, el atacante accede con el Terminal remoto al sistema recién comprometido Johnatan intenta averiguar por qué el servidor no le responde, empleando el comando ping. 05/02/ :47:46 05/02/ :48:17 Ver0k, mediante SQL Administrator y averiguando cómo acceder leyendo los ficheros de configuración, accede a la base de datos WebERP. Obtiene también un usuario y un password de acceso a WebERP de los logs Pág. 36

39 En una sesión interactiva con MySQL, el atacante consigue toda la información de clientes y de usuarios del sistema, copiándola a los ficheros c:\users.txt y c:\clientes.txt 05/02/ :51:16 05/02/ :03:12 Ver0k arranca MSN Messenger con el identificador Mientras Johnatan ha dado ya por innacesible el fichero de clientes y manda un correo a Antonio López pidiéndole explicaciones 05/02/ :03:29 05/02/ :05:46 para enviar por messenger los ficheros users.txt y clientes.txt a su sesión como y posteriormente borrarlos. Ver0k se dedica entonces durante 45 minutos a ver los diferentes documentos que hay en el sistema bajo C:\Documents and Settings, tanto imágenes.jpg, como algún documento en formato.doc y animaciones flash. 05/02/ :12:36 05/02/ :57:37 Ver0k entra en WebERP con el usuario acontreras que ha obtenido en su sesión con MySQL Administrator y se crea una cuenta con privilegios de administración de nombre admin para después salir. (v.apéndice para la sesión completa), Johnatan entra en WebERP y al cabo de un rato, descubre la cuenta admin 05/02/ :18:21 05/02/ :21:01 Se reacciona a la intrusión, intentando cuanto antes copiar una imagen de la situación actual. Para ello, se emplea el CD de F.I.R.E. (http://fire.dmzs.com/) Forensics & Incident Response Environment Bootable CD o uno similar basado en él. Hay múltiples intentos de copia con dd y wdd, hasta que finalmente se produce 05/02/ :44:32 la parada final del sistema Pág. 37

40 4. Análisis de artefactos Se denomina artefacto a cada uno de los ficheros que quedan en el sistema como consecuencia de una intrusión. En este incidente, a diferencia de lo que acontece en un característico atacke de hacking no encontramos las típicas herramientas para atacar otros sistemas (más exploits ó herramientas de scanning) y para esconder su actividad tipo rootkit. Así pues, aunque ya se han comentado las principales evidencias, podemos agrupar los ficheros encontrados de la siguiente forma: a) Ficheros generados como consecuencia del engaño via y ejecución del exploit. Son los ficheros que podemos recuperar bajo C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5. De entre todos ellos destacan: Fichero CAU1CDC1.htm LQ9ClubsIAJKIa2jdYtSFExez4sR y[2].tiff MD5 / Descripción f238a1d6ff2f7568b140dda49f Trozo del código html de Yahoo mail que nos permite recuperar uno de los correos del ataque. C0dc2dca150342f afdaffa61a Se trata del fichero.tiff generado de forma random por el exploit de metasploit. CAMA58OV.htm Compose[1].htm Compose[1].htm WWW_Users[1].htm d1b2f9a7901a7f936dca606ebc5d5976 6cecce95b4910cd17d106f737fbbfb79 a7a4d51a60ad93f51eaf75f0a3beb0a0 Los ficheros.html que permiten afirmar que Johnatan respondió a los correos de ver0k. bc1c99d09d2955af08cf4e3213a9ce76 Fichero con la salida de usuarios en WebERP que obtuvo Johnatan y donde puede verse el usuario admin. Fue en este momento cuando se descubrió la intrusión. b) Ficheros generados de forma directa y consciente por ver0k: los ya comentados C:\clientes.txt y C:\users.txt, en los que guardó la información obtenida de la base de datos mediante su sesión con MySQL. De los dos, únicamente clientes.txt ha podido ser recuperado: Fichero Dc2.txt MD5 / Descripción eceec975c1202ad4cbcee92c5ca9a937 Recuperado de C:\RECYCLER\S \Dc2.txt, y que, según el fichero INFO2 en ese mismo directorio corresponde a clientes.txt c) Ficheros generados y/o modificados por la actividad de ver0k, tales como ficheros temporales de Internet, de Messenger, logs de los distintos servicios, entradas del registry, etc que son los que constituyen la evidencia de su actividad. De entre ellos, destacan todos aquellos bajo C:\Documents and Pág. 38

41 Settings\ver0k, y en particular: Fichero Index.dat NTUSER.dat MD5 / Descripción aa59ffdfc41075d0b8f1bd5b981286ef Fichero de histórico de Internet Explorer en C:\Documents and Settings\ver0k\Local Settings\History\History.IE5\index.dat, que permite ver todos los accesos de ver0k durante su actividad. aa59ffdfc41075d0b8f1bd5b981286ef Fichero C:\Documents and Settings\ver0k\NTUSER.DAT, que contiene la configuración específica del usuario en formato registry y que nos permite, por ejemplo, saber su identidad en MSN Messenger: Pág. 39

42 5. Direcciones IP implicadas A continuación se muestra la información de registro de algunas direcciones IP implicadas en el ataque analizado. Evidentemente, toda esta información corresponde a la actualidad (Marzo 2006), dado que no existe un registro que permita conocer la trayectoria histórica de cada dirección IP, sino sólo las asignaciones actuales. En los casos en los que ha sido posible, se ha añadido información obtenida de DShield [25](www.dshield.org) y/o Google (www.google.com). Dirección IP Razón de interés / Información de registro Posible intento de ataque al web Server, el 29 de Enero a las 18:01:43 según access.log: client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfi Sin traducción DNS, asociada a Información OrgName: Teale Data Center StateProv: CA de registro: Country: US NetRange: NetName: CSGNET Intento de ataque al web Server, el 30 de Enero, a las 18:28:34 request failed: erroneous characters after protocol string: GET /cgi-bin/excite;ifs=\\\\\\"$\\\\\\"; HostName: cert.seguridad.unam.mx Información inetnum: /16 status: assigned de registro: owner: Universidad Nacional Autonoma de Mexico country: MX Escaneo de vulnerabilidades del web Server, el 4 de Febrero a las14:04:43 HostName: usul.arrakis.es Asociada a un ISP de España: Información inetnum: org: ORG-ASyc1-RIPE de registro: netname: ES-ARRAKIS descr: Provider Local Registry descr: Arrakis, Servicios y comunicaciones, S.L. country: ES Escaneo de vulnerabilidades Sat Feb 04 14:19:14. (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// HostName: atcf.net Asociada a un ISP Wireless: Información OrgName: Level 3 Communications, Inc. OrgID: LVLT de registro: StateProv: CO Country: US NetRange: Pág. 40

43 Dirección IP y Razón de interés / Información de registro Estas son las direcciones IP asociadas al atacante 2. HostNames: static ny325.east.verizon.net static ny325.east.verizon.net Asociadas a un ISP de USA (Verizon Internet Services Inc): Información de registro: OrgName: Verizon Internet Services Inc. OrgID: VRIS Country: US NetRange: Escaneo de vulnerabilidades del web Server con nikto. Se trata de direcciones de la red privada a la que pertenecía el sistema atacado, puesto que la subred está reservada para ello, según el RFC La propia dirección IP del sistema atacado, obtenida de HKLM\System\ControlSet001\Services\{5269ADEB-9E6D-4673-B F085972C}\Parameters\Tcpip\IPAddress, también dentro de esa misma subred privada. 2 A partir de las evidencias, se puede determinar que hay dos direcciones IP implicadas directamente en el ataque: a) , dirección en la que el atacante pone un falso servidor web (ver index.dat del usuario Johnatan) desde el que se ejecuta el exploit, y también desde la que se accede a WebERP para crear una cuenta de administración (ver logs de acceso de apache), y, por otro lado b) , dirección desde la que se lanza el Terminal remoto según el event log: Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation ; y a la que se envían los ficheros clientes.txt y cuentas.txt mediante MSN Messenger, de acuerdo con la información hallada en pagefile.sys: MSNSLP/ OK To: From: Via: MSNSLP/1.0/TLP ;branch={bfb61937-f8a2-41dc-a6bf-321a6447a639} CSeq: 1 Call-ID: {4E A0B E9EEAA68} Max-Forwards: 0 Content-Type: application/x-msnmsgr-transrespbody Content-Length: 178 Bridge: TCPv1 Listening: true Hashed-Nonce: {A6A0D33D-2E7C-BD32-C296-AA8BB1AACC45} IPv4Internal-Addrs: Buscando además las dos direcciones IP en formato hexadecimal, esto es, 0x466bf996 ( ) y 0x466bf99b ( ) podemos encontrar también en pagefile.sys esta última junto a la cadena M i c r o s o f t R D P 5. 2, hasta en 3 ocasiones, lo que nos permite confirmar que ver0k empleó la IP para acceder al sistema mediante Terminal remoto (Remote Desktop Protocol). No existe forma de determinar si se trata de dos sistemas distintos controlados por el atacante ó un único sistema que emplea algún tipo de NAT para determinados puertos (por ejemplo, para el tráfico http en los puertos 80 y 8080). Pág. 41

44 6. Alcance de la intrusión A partir de las evidencias encontradas, podemos concluir que la intrusión sufrida por el sistema COUNTERS, ha tenido como alcance el siguiente: a) Compromiso total del sistema operativo, con la creación y uso de una cuenta de administración no autorizada (ver0k). b) Compromiso de la base de datos MySQL, de la cual se ha revelado al exterior la información correspondiente tanto a clientes como a cuentas de usuario. En particular, se ha revelado toda la información que se encuentra en las tablas www_users y custbranch de dicha base de datos. c) Compromiso de la aplicación WebERP que hace uso de dicha base de datos, con la creación de una cuenta de administración no autorizada (admin). d) Compromiso de los ficheros bajo C:\Documents and Settings. De ellos, los ficheros.jpg y animaciones gráficas han sido observadas por el atacante, si bien no parece que ello plantee ningún problema de confidencialidad. Los ficheros en formatos.xls,.pdf ó ppt, aunque su revelación pudiera tener algún problema, no han sido copiados fuera del sistema, y no han podido ser observados por cuanto no existía aplicación alguna para hacerlo.no ocurre así con los ficheros en formato.doc, los cuales sí pueden acarrear un problema al haber sido revelada la información total o parcialmente. En concreto, de los 109 ficheros.doc bajo C:\Documents and Settings, únicamente 28 han sido comprometidos, conforme a la fecha de acceso: Documento Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comité de Programa.doc Documents and Settings\reno\My Documents\Boletin11.doc Documents and Settings\reno\My Documents\Cap02c.DOC Documents and Settings\reno\My Documents\CO-0863r1_e.doc Documents and Settings\reno\My Documents\bases_software.doc Documents and Settings\reno\My Documents\HMC_11.doc Documents and Settings\reno\My Documents\inesC.V F.doc Documents and Settings\reno\My Documents\2004-bAUDITORIA 4.doc Documents and Settings\reno\My Documents\guiapce.doc Documents and Settings\reno\My Documents\CuartoPeriodo-INFORME DEL RELATOR.doc Documents and Settings\reno\My Documents\concha.doc Documents and Settings\reno\My Documents\ TIC_y_reduccion_pobreza_de_la_pobreza_en_ALC.doc Documents and Settings\reno\My Documents\CP11591S08.doc Documents and Settings\reno\My Documents\formato-jitel.doc Documents and Settings\reno\My Documents\fap.doc Documents and Settings\reno\My Documents\plantilla.doc Documents and Settings\reno\My Documents\S03-WSIS-DOC-0004!!MSW-S.doc Documents and Settings\Administrator\My Documents\30SEP_bolecart-book.doc Documents and Settings\Administrator\My Documents\Indice Pormenorizado.doc Documents and Settings\reno\My Documents\conConicyt.doc Documents and Settings\reno\My Documents\congreso8.doc Documents and Settings\reno\My Documents\ masercisaproyecto609.doc Documents and Settings\reno\My Documents\Juego de las parejas para pulsador.doc Fecha de acceso 05/02/ :23 05/02/ :23 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :24 05/02/ :26 05/02/ :26 05/02/ :26 05/02/ :26 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :27 05/02/ :40 05/02/ :41 05/02/ :57 05/02/ :57 05/02/ :57 05/02/ :57 Pág. 42

45 Documents and Settings\Administrator\My Documents\formulario.doc Documents and Settings\Administrator\My Documents\Notas.doc Documents and Settings\Administrator\My Documents\ÍNDICE DOCTORADO.doc Documents and Settings\Administrator\My Documents\RRGEPNotas.doc Documents and Settings\Administrator\My Documents\RRGEPPortadas.doc 05/02/ :39 05/02/ :39 05/02/ :39 05/02/ :39 05/02/ :39 Pág. 43

46 7. Conclusiones Las siguientes conclusiones pueden ser extraídas de la investigación de este incidente Conclusión 1 De forma global, a partir de los datos disponibles el incidente se puede resumir en los siguientes hechos: El sistema atacado es un Windows 2003 Server SP1, con licencia de evaluación de 14 días, de nombre COUNTERS. Dicho sistema fue instalado y conectado a la red el 25 de enero de El 26 de enero se instalaron en el sistema algunas aplicaciones, destacando entre ellas el sistema ERP de código abierto WebERP (www.weberp.org) que a su vez emplea el servidor web Apache y la base de datos MySQL. Desde dicha fecha hasta el 5 de febrero, el sistema mantuvo una actividad que puede considerarse como normal, incluyendo algunos intentos de ataque al servidor web sin mayores consecuencias, la instalación de alguna nueva aplicación como PostGreSQL, y la copia de múltiples ficheros de Microsoft Word, Powerpoint, Excel, documentos PDF e imágenes pornográficas en formato JPEG por parte de algún usuario. El 5 de febrero, un atacante logró acceso con privilegios de administración al sistema. Para ello, empleó métodos de ingeniería social, enviando un correo a un usuario del sistema con privilegios de administrador (Johnatan) a su cuenta en yahoo.com, incitándole a acceder con su navegador a una URL en la que el atacante tenía preparada un exploit. Dicho exploit consistía en aprovechar una vulnerabilidad recientemente descubierta en la librería GDI (Graphics Device Interface) existente en varias versiones de Windows, y entre ellas 2003 server (ver boletín de Microsoft en [24]; esta librería se emplea para la generación y presentación de gráficos en el sistema, y el exploit se ejecutó al acceder a un fichero gráfico Windows Metafile (WMF) que no era tal sino que en realidad cargó un código (payload) que abrió una línea de comando al atacante sin que el usuario victima del engaño se diera cuenta. A continuación, y una vez lograda una ventana como administrador, de forma inmediata el atacante procedió a crear una cuenta de nombre ver0k, dotándola de privilegios de administración, y a modificar el sistema para permitir el acceso remoto al mismo. Accediendo con Terminal remoto y con la cuenta recién creada, el atacante accedió a la base de datos de la aplicación WebERP, mediante el interfaz de administración de MySQL y extrajo directamente de las tablas la información disponible sobre clientes y sobre cuentas de usuario. Esta información fue enviada al exterior mediante MSN Messenger a la cuenta Pág. 44

47 Posteriormente el atacante procedió a buscar y visualizar los diferentes ficheros existentes bajo C:\Documents and Settings, incluyendo imágenes en formato JPEG, algún video, y con especial atención archivos en formato.doc. No pudo visualizar ficheros Excel, aunque lo intentó, por cuanto esta aplicación no estaba instalada en el sistema. Ficheros en otros formatos (Powerpoint ó PDF) no fueron accedidos. Finalmente, procedió a determinar cómo acceder a la aplicación WebERP para desde ella crear una nueva cuenta de usuario de la propia aplicación (de nombre admin y privilegios de administración de la misma) que le permitiera el acceso a la aplicación en el futuro, para después abandonar el sistema. Los reponsables del sistema COUNTERS determinaron de forma muy rápida la presencia de algún intruso en el sistema, al detectar una cuenta no autorizada, y procediendo velozmente a intentar realizar una copia del disco, empleando para ello utilidades disponibles en el CD-ROM de F.I.R.E. (Forensics and Incident Response Environment Bootable CD, descargable en o uno similar basado en éste. Después de bastantes intentos de copia con el sistema en vivo al parecer infructuosos, procedieron a la parada final del sistema el 5 de Febrero de 2006 a las 15: Conclusión 2 El ataque al sistema se realizó con una cierta planificación y con carácter específico hacia este sistema en particular. Esta conclusión está basada en los siguientes datos: El correo enviado al usuario Johnatan a su cuenta para conseguir su colaboración indirecta está escrito en castellano, así como simula ser un contacto habitual del mismo (Alberto López, Director General de Electrónica y Computación S.A.). Además, es en un segundo correo cuando se produce la intrusión real. Una vez conseguido el acceso, y creado un usuario para su uso posterior, el atacante analiza muchos de los documentos existentes en el servidor. Parece conocer bien que weberp es la principal aplicación del sistema, y es la que ataca. Otra base de datos instalada, PostGreSQL, no merece la más mínima atención del atacante. No instala ningún tipo de herramienta de rootkit, o de hacking en general como haría un atacante genérico que simplemente buscase nuevas bases de ataque. Tras conseguir crear un usuario administrador en el aplicativo weberp, finaliza toda su actividad Conclusión 3 El ataque fue posible a pesar de que el sistema estaba, en general, bastante bien configurado y a un alto nivel de parcheo. Aunque es cierto que se utilizó una vulnerabilidad de reciente descubrimiento, fue el uso indebido del servidor para navegar de forma genérica por Internet, especialmente grave cuando el usuario Pág. 45

48 empleado para ello tiene privilegios de administración, lo que posibilitó el ataque Conclusión 4 El análisis del sistema ha podido ser muy detallado gracias a que el administrador del mismo se preocupó de configurar en un alto nivel de detalle el sistema de auditoría de Windows, lo que demuestra la importancia de estar preparado por anticipado ante un posible ataque Conclusión 5 En general, da la impresión de que el sistema no era un sistema en producción real, sino un servidor preparado para generar una imagen que fuera posible usar en un reto de análisis forense. Esta conclusión está basada en los siguientes datos: El sistema está instalado y en marcha con una licencia de evaluación de Windows 2003 Server, únicamente válida para 14 días, y a la que le quedaban únicamente 4 días para la activación final que nunca se produjo. En el sistema están creados 16 cuentas de usuarios (además del administrador y la que crea el atacante) de las cuales únicamente se han empleado 4. En el servidor se copiaron una gran cantidad de ficheros de Microsoft Excel, PowerPoint y Adobe PDF; sin embargo, ninguna de estas aplicaciones está instalada. Aunque podría pensarse que los ficheros podrían ser accedidos desde la red, no fue así en realidad tal y como revelan las fechas de creación y acceso. La primera reacción de los administradores ante la creación final de las cuentas del atacante en weberp y en el sistema, es intentar generar de forma inmediata una imagen del sistema, más que analizar exactamente qué estaba ocurriendo, o detener/desconectar de la red el sistema para minimizar el daño. Algunas de las cuentas de correo de clientes almacenadas dentro del sistema WebERP corresponden a dominios actualmente inexistentes en la realidad Conclusión 6 Preservar la evidencia es crucial para cualquier investigación forense. En incidentes informáticos, como en incidentes de la vida real, la preservación de la evidencia juega un papel fundamental en el proceso para asegurar el éxito de la investigación. En este incidente, mucha de la información ha sido posible obtenerla porque se disponía de una imagen binaria de la partición primaria del sistema en un instante de tiempo cercano al incidente y sin demasiadas modificaciones inducidas por el propio administrador del sistema. Si el administrador, cuando entró en el sistema para generar las copias, hubiera Pág. 46

49 empezado a lanzar comandos para "investigar", muchas de las pruebas habrían desaparecido. No modificar en absoluto la evidencia no es posible en la mayoría de los casos, pero siempre se debe intentar que la modificación sea la menor posible Conclusión 7 Participar en retos de análisis forense disminuye de forma alarmante las horas de sueño de los participantes. Pág. 47

50 8. Recomendaciones Solución al incidente Como consecuencia del ataque, el sistema y la información en él contenida han quedado completamente comprometidas. Aunque se ha identificado el origen de la intrusión y el detalle de la actividad realizada, no podemos estar absolutamente seguros de que no haya otros cambios que han pasado desapercibidos a la investigación forense. Por tanto, para recuperarse de la intrusión y conseguir un sistema completamente seguro los pasos recomendables serían, si ello es posible: Reinstalar una versión limpia del sistema operativo, siempre sin estar conectado al exterior. Deshabilitar los servicios innecesarios. Instalar todos los hotfixes de seguridad. Consultar periódicamente las alertas de seguridad en este sistema operativo. Recuperar con cuidado datos de usuario de los backups y verificar los permisos (propietario, etc) de esos ficheros para que sólo los usuarios que lo necesiten puedan acceder a ellos. Cambiar todos los passwords y, sólo entonces, volver a conectarlo a la red externa. Una guía detallada de cómo recuperar un sistema de una intrusión puede encontrarse bajo: ó en Alternativamente, como forma más rápida, si bien carente del 100% de fiabilidad, la recuperación de esta intrusión pasaría por, con el sistema desconectado de Internet: Eliminación de las cuentas creadas por el atacante. Cambiar todos los passwords tanto del sistema como de la aplicación weberp, y asegurar que dichos passwords cumplen unos estándares mínimos de seguridad. Instalación de los hotfixes de seguridad, especialmente los aplicables a la vulnerabilidad empleada en este ataque. Poner passwords para el acceso a MySQL Administrator. Finalmente, el daño producido por la pérdida de confidencialidad en la información (usuarios y clientes de la base de datos) debe mitigarse mediante las acciones de comunicación, modificación y/o legales que los responsables de la empresa consideren oportuno teniendo en cuenta su situación comercial y los requerimientos legales que apliquen. Pág. 48

51 Recomendaciones finales De cara a evitar posibles problemas similares a éste en el futuro, se recomiendan las siguientes acciones: Instalar de forma inmediata los hotfixes de seguridad de Microsoft, a ser posible de forma automática a través de Windows Update. Asegurar que se minimiza el número de cuentas con privilegios de administración existentes, siendo recomendable dejar sólo aquellas estrictamente necesarias. Instaurar una política que asegure que no se emplean servidores en producción para actividades personales como navegar por Internet, consultar el correo o jugar. Instalar algún sistema antivirus y antispyware, actualmente inexistente. Instalar algún programa de detección de intrusión y/o modificación de ficheros clave del sistema operativo. Formar a los usuarios en la importancia de la seguridad y la existencia de ataques de ingeniería social ante los que deben estar preparados. Asegurar que todos los sistemas de administración (por ejemplo, MySQL) tienen palabras de acceso adecuadas para restringir su acceso. Guardar de forma cifrada la información de carácter confidencial, para minimizar la posibilidad de robo de la misma. Asegurar que existe en la organización un sistema de gestión operativa de la seguridad, que permita la prevención, detección y eficaz reacción a ataques, en particular debe existir un adecuado mecanismo de alerta. Por último, comentar que durante la investigación se ha encontrado numerosa información correspondiente a correos de años anteriores (en concreto, la mayoría anteriores a 2004 y pertenecientes a la empresa eycsaa.com.mx, dedicada a la formación a través de internet). Para evitar que este tipo de información se de a conocer, es una buena práctica borrar completamente con una herramienta específica el contenido del disco antes de reinstalar el sistema operativo (por ejemplo, con SDelete, de sysinternals [7]). Pág. 49

52 9. Referencias [1] The Sleuth Kit. [2] Autopsy Forensics Browser. [3] Vmware workstation software. [4] Encase Forensic, de Guidance Software. [5] RedHat Linux. [6] Mount Image Pro. [7] Sysinternals web site. [8] Foundstone free forensic tools. [9] Panda Antivirus + Antispyware. [10] etrust PestPatrol y EZ-Antivirus. [11] Proactive Password Auditor. [12] Chntpw. [13] LADS. List Alternate Data Streams. [14] Microsoft Excel. [15] Google. [16] NTFS file system description [17] CurrPorts. [18] GFI LANguard Network Security Scanner v6.0 [19] Nacional Software Referente Library. [20] Microsoft Windows Remote Desktop Protocol. mspx [21] How to Calculate the MSN Messenger Passport User Id. [22] Nikto web scanner. [23] Metasploit WMF vulnerability and exploit. [24] Microsoft Security Bulletin ms [25] Distributed Intrusion Detection System, Pág. 50

53 10. Anexos Mails enviados a Johnatan Estos son los correos recuperados con los que el atacante engañó al usuario Johnatan, enviados a su cuenta en yahoo.com: Primer correo, que no tiene para el atacante el éxito deseado, recuperado de zonas no asignadas del disco: De: Para: Asunto: Urgente!! Fecha: Sun, 5 Feb :11: (CST) Johnny: Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Segundo correo, en el que la URL se ha modificado para acceder al puerto 8080, recuperado de los ficheros temporales de Internet Explorer: De: Para: Asunto: Urgente!! (correccion) Fecha: Sun, 5 Feb :42: (CST) Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Pág. 51

54 10.2. Reproducción de la sesión con MySQL del atacante A continuación se muestra una reproducción de la sesión interactiva con la base de datos que tuvo el atacante con la intención de extraer información de cuentas de la misma. Los errores que aparecen son consecuencia de comandos mal escritos por ver0k. En negrita aparecen las sentencias tal y como las escribió el atacante. mysql> show tables; ERROR 1046 (3D000): No database selected mysql> show databases; Database mysql test weberp rows in set (0.00 sec) mysql> use weberp; Database changed mysql> show tables; Tables_in_weberp accountgroups accountsection areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices Pág. 52

55 purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> select columns from www_users; ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'columns from www_users' at line 1 mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh Pág. 53

56 language varchar(5) en_gb rows in set (0.01 sec) mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh language varchar(5) en_gb rows in set (0.00 sec) mysql> select userid,password,realname,fullaccess from www_users; userid password realname fullaccess acontreras 067f1396a b5c1c69edfd29c ee Alberto Contreras Zacarías 8 amed ef8085fc0990de00dbfd958373ed769f7b2c93a8 Antonio Medina Ocaña 11 amirac e3ddf21db44f98f4d9e38d14aff077d753c35f0e Astrid Miranda Acuña 18 andre 933f868ccf7ece d3887f5522fbb Andrea Escalera Nava 17 carsel 752c944261fa72cb17fd8ab a60dbc30e Carmen Serrano Luna 9 chtorret 617d0fd33bb15d60efadd04f41e1686e930cd69b Chema Torret 9 dizav 933f868ccf7ece d3887f5522fbb Diego Zárate Vite 10 eduajt 12ef46f8a2edfd221263e4dd48d5d505818b3f0b Eduardo Jiménez Tapia 10 egavilan a53956bf4c747c5959e63d92ecb885c Ernesto Gavilán 8 gabsa b7c40b9c66bc88d38a59e554c639d743e77f1b65 Gabriela Sandoval Portillo 11 gruvalcaba b e4bebddda761f32ec2ed52e3425f0fa2 Gumaro Ruvalcaba 11 Jehern edefeffa1514cc1783e88f83eddc338686c60618 Jesús Hernandez Cuevas 11 juma bd035408dd9ab6f6e6ad0b023eced296 Juan Morales Fierro 12 ladelga 25f92a2263b2c1a75077f257aeacd1376ed4f391 Luis Ignacio Aguiñaga Delgado 10 majogar 906e1bdf102a0d2338ff5d1fafabc33a María José García Rubio 11 mamuria bb1c9637c5dfdfcbc5ed60b46c2d0247a8832c8d Miguel Angel Muria Torres 11 maubaro cbfdac6008f9cab cbd1874f76618d2a97 Mauricio Barrios Santiago 11 mavep 75222f68d4dab93e5ff408018a28a1b19ceff3e5 Mayra Velázquez Prieto 11 ncanes 1d68c2efb2a2085f25412feef3e3a245d743019f Napoleón Canes 22 rodid 8a0c0d37c6bc713a3ae67b7a797c39ba865787d4 Rodrigo Ibarra Díaz 8 roxar 9fd05e bc7513b62710b57f272cc11f70 Roxana Aguilar de la Riva 8 sarnua 01c037d306292acce46e3dc08e75ab Sara Núñez Aldana rows in set (0.00 sec) mysql> show columns from www_users; Field Type Null Key Default Extra userid varchar(20) PRI password text realname varchar(35) customerid varchar(10) MUL phone varchar(30) varchar(55) YES NULL defaultlocation varchar(5) MUL fullaccess int(11) 1 lastvisitdate datetime YES NULL branchcode varchar(10) pagesize varchar(20) A4 Pág. 54

57 modulesallowed varchar(20) blocked tinyint(4) 0 displayrecordsmax int(11) 0 theme varchar(30) fresh language varchar(5) en_gb rows in set (0.00 sec) mysql> show tables; Tables_in_weberp accountgroups accountsection areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges Pág. 55

58 shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.05 sec) mysql> show tables; Tables_in_weberp accountgroups accountsection Pág. 56

59 areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans Pág. 57

60 supptranstaxes systypes taxauthorities taxauthrates taxcategories taxgroups taxgrouptaxes taxprovinces unitsofmeasure workcentres worksorders www_users rows in set (0.00 sec) mysql> show columns from custallocns; Field Type Null Key Default Extra id int(11) PRI NULL auto_increment amt decimal(20,4) datealloc date MUL transid_allocfrom int(11) MUL 0 transid_allocto int(11) MUL rows in set (0.11 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.00 sec) mysql> select branchcode,brname from custbranch; branchcode brname ANGRYFL Angus Rouledge - Florida ANGRY Angus Rouledge - Toronto DUMBLE Dumbledoor McGonagal & Co FACTORY FACTORY Computadoras Pág. 58

61 IMRAMG IMRAMG de America JRAMIREZ Jacobo Ramirez Alcantara JOLOMU Lorrima Productions Inc MAXICOMP MAXICOMP de Mexico NOSTRON NOSTRON SA de CV QUARTER Quarter Back to Back RSAVALA Ramon Savala Rincon SAMICE SAMICE Semiconductores SAME Samicon Electronics SAMS SAMS Tiendas departamentales SANCOMP SANCOMP de Colombia SUMICOM SUMICOM de Chile ULATINA Universidad Latina UNIVTEC Universidad Tecnologica de Mexico rows in set (0.02 sec) mysql> show columns from custbranch; Field Type Null Key Default Extra branchcode varchar(10) PRI debtorno varchar(10) PRI brname varchar(40) MUL braddress1 varchar(40) braddress2 varchar(40) braddress3 varchar(40) braddress4 varchar(50) braddress5 varchar(20) braddress6 varchar(15) estdeliverydays smallint(6) 1 area varchar(2) MUL salesman varchar(4) MUL fwddate smallint(6) 0 phoneno varchar(20) faxno varchar(20) contactname varchar(30) varchar(55) defaultlocation varchar(5) MUL taxgroupid tinyint(4) MUL 1 defaultshipvia int(11) MUL 1 deliverblind tinyint(1) YES 1 disabletrans tinyint(4) 0 brpostaddr1 varchar(40) brpostaddr2 varchar(40) brpostaddr3 varchar(30) brpostaddr4 varchar(20) brpostaddr5 varchar(20) brpostaddr6 varchar(15) custbranchcode varchar(30) rows in set (0.00 sec) mysql> select * from custbranch; branchcode debtorno brname braddress1 braddress2 braddress3 braddress4 braddress5 braddress6 estdeliverydays area salesman fwddate phoneno faxno contactname defaultlocation taxgroupid defaultshipvia deliverblind disabletrans brpostaddr1 brpostaddr2 brpostaddr3 brpostaddr4 brpostaddr5 brpostaddr6 custbranchcode Pág. 59

62 ANGRY ANGRY Angus Rouledge - Toronto P O Box 67 Gowerbridge Upperton Toronto Canada 3 TR ERI Granville Thomas DEN ANGRYFL ANGRY Angus Rouledge - Florida 1821 Sunnyside Ft Lauderdale Florida FL PHO Wendy Blowers DEN DUMBLE DUMBLE Dumbledoor McGonagal & Co Hogwarts castle Platform TR ERI 0 Owls only Owls only Minerva McGonagal TOR FACTORY FACTORY FACTORY Computadoras Municipio Libre 12 - Brasilia, Brasil 1 FL GPA r Jose Roberto Donacimentos TIJ IMRAMG IMRAMG IMRAMG de America Conocido 1 AC AHP 0 AGS JOLOMU JOLOMU Lorrima Productions Inc 3215 Great Western Highway Blubberhouses Yorkshire England 20 FL PHO Jo Lomu TOR JRAMIREZ JRAMIREZ Jacobo Ramirez Alcantara Paseo de los gerrilleros La Paz, Bolivia 5 DF AHP Carol Frank Gipser Skole DEN Paseo de los gerrilleros MAXICOMP MAXICOMP MAXICOMP de Mexico Calle Billinghurst, 25-8 Mexico 1 FL GPA 0 DF NOSTRON NOSTRON NOSTRON SA de CV Ayutla 21 - Madrid, España 1 MD JVE 0 DEN Conocido QUARTER QUARTER Quarter Back to Back 1356 Union Drive Holborn England 5 FL ERI TOR RSAVALA RSAVALA Ramon Savala Rincon Camino Real 23 Rincon del alma 1 GL ART 0 DEN SAME SAME Samicon Electronics Rep. del salvador AC AHP 0 AGS SAMICE SAMICE SAMICE Semiconductores Atlanta 12 - Mexico DF Frente a la Universidad Latina 1 AC AHP 0 Pág. 60

63 AGS SAMS SAMS SAMS Tiendas departamentales Conocido 2 AC AHP AGS Conocido SANCOMP SANCOMP SANCOMP de Colombia Av. Carlo Magno 23, Bogota Colombia 6 FL ICB Karla Santiago Bocado DF Av. Carlo Magno 23, Bogota Colombia SUMICOM SUMICOM SUMICOM de Chile Intermedio14-23 km 2 Autopista Fed 23 1 OX PHO DF Intermedio14-23 km 2 Autopista Fed ULATINA ULATINA Universidad Latina Engerios Cáli, Colombia 1 FL PZF 0 DF UNIVTEC UNIVTEC Universidad Tecnologica de Mexico Ricardo Flores 921 Mexico DF cp DF ERI Luis Fernando Flores Almaguer DF Ricardo Flores 921 Mexico DF rows in set (0.02 sec) mysql> quit Pág. 61

64 10.3. Reproducción de la sesión WebERP del atacante A continuación, se presenta una reproducción de la actividad del atacante al acceder a WebERP, obtenida a partir de la evidencia encontrada en los ficheros de log de Apache y de MySQL: 13:57:37 ver0k accede a la ventana inicial de Login de la aplicación, y hace login con el Usuario acontreras, password c0ntr3t0. 13:57:52 login satisfactorio como usuario acontreras 13:57:54 Y accede a la opción del menú Order delivery Differences Report, dentro de Inquiries and Reports. Pág. 62

65 13:57:57 No es lo que estaba buscando, así que vuelve al menú principal, pulsando la opción Main Menu. 13:58:00 Accede a la opción 'Setup' en el menú superior dentro de la página principal. 13:58:02 Desde allí, accede a la opción 'Configuration Settings' dentro del menú 'General'. 13:58:06 No. Tampoco es esto lo que busca. Vuelta al menú principal. 13:58:10 Veamos. Tiene que ser esta opción de 'User Accounts' dentro de 'General'. Pág. 63

66 13:59:44 Efectivamente es aquí donde quiere ir. Desde esta página, además de ver todos los usuarios existentes, se pueden crear otros nuevos. Así que intenta crear una nueva cuenta con capacidades de administración pero algo falla!. Tiene que haber sido alguna de estas posibilidades: - user ID < 4 chars - password <5 - password con caracteres prohibidos (- '&+"\ ó espacio). - password que contiene el user ID. - customer code sin branch code. 14:00:15 Así que lo intenta de nuevo Pág. 64

67 y esta vez sí. Ya tiene una puerta trasera en el sistema como usuario admin. 14:00:59 Con su trabajo ya hecho, sólo le queda salir de la aplicación dando por concluida su sesión web-erp. Pág. 65

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas Respuesta al Reto de Análisis Forense Resumen ejecutivo Marzo de 2006 Germán Martín Boizas Introducción Este documento es el resumen ejecutivo en respuesta al reto de análisis forense lanzado por UNAM-CERT

Más detalles

RETO FORENSE EPISODIO III Informe Técnico

RETO FORENSE EPISODIO III Informe Técnico RETO FORENSE EPISODIO III Informe Técnico José Antonio Valero Sánchez javalero@gmail.com Zaragoza, España 2006 Antecedentes del incidente... 3 Recolección de los datos... 3 Descripción de la evidencia...

Más detalles

Reto Forense Episodio III - Resumen Ejecutivo José Salvador González Rivera Puebla, México / Marzo 2006

Reto Forense Episodio III - Resumen Ejecutivo José Salvador González Rivera Puebla, México / Marzo 2006 Reto Forense Episodio III - Resumen Ejecutivo José Salvador González Rivera Puebla, México / Marzo 2006 Introducción La idea de este resumen ejecutivo es mostrar los resultados de la investigación sobre

Más detalles

RETO FORENSE EPISODIO III Resumen Ejecutivo

RETO FORENSE EPISODIO III Resumen Ejecutivo RETO FORENSE EPISODIO III Resumen Ejecutivo José Antonio Valero Sánchez javalero@gmail.com Zaragoza, España 2006 Motivos de la intrusión. Después de analizar la imagen del sistema cabe destacar que el

Más detalles

WDpStats Procedimiento de instalación

WDpStats Procedimiento de instalación WDpStats Procedimiento de instalación Tabla de contenidos WDpStats... 1 Procedimiento de instalación... 1 Tabla de contenidos... 1 Resumen... 2 Requisitos... 2 Instalación... 2 Dificultades... 6 Ejecución...

Más detalles

Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del 2006. José Luis Rivas López TEAXUL. jlrivas@teaxul.com

Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del 2006. José Luis Rivas López TEAXUL. jlrivas@teaxul.com Forense Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net

Más detalles

The Ultimate Virtual Machine.

The Ultimate Virtual Machine. The Ultimate Virtual Machine. Bien, este proyecto consiste en crear la maquina más segura posible sin utilidades del tipo proxy, tan solo queremos tener nuestro Windows lo bastante seguro contra virus,

Más detalles

REQUISITOS DEL SISTEMA. Software Servidor. Cliente. Hardware Servidor. Cliente

REQUISITOS DEL SISTEMA. Software Servidor. Cliente. Hardware Servidor. Cliente MANUAL TECNICO INSTALACIÓN Y CONFIGURACIÓN DEL SISTEMA AARON A QUIEN VA DIRIGIDO El siguiente manual está dirigido al administrador encargado de la instalación y configuración del Sistema AARON. PRÓLOGO

Más detalles

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 1: Tareas Iniciales. Instalación Servidor

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 1: Tareas Iniciales. Instalación Servidor Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows Módulo 1: Tareas Iniciales. Instalación Servidor Aulas en red. Aplicaciones y servicios. Windows Windows Server 2008 En este apartado de

Más detalles

Manual de instalación del servidor Sierra

Manual de instalación del servidor Sierra Manual de instalación del servidor Sierra 1. Contenido y preparación de la instalación...1 2. Instalación de PostgreSQL con PostGIS para el soporte de datos espaciales.... 2 3. Instalación de Apache Geronimo...3

Más detalles

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio 1nsloo.cl REDES DE COMPUTADORES Laboratorio Práctica 1: Emulación de redes con NetGUI. 1. OBJETIVOS. El objetivo de esta práctica es aprender a utilizar la herramienta de emulación de redes Netkit / NetGUI,

Más detalles

CAPITULO 7. MS SQL Server Express Edition

CAPITULO 7. MS SQL Server Express Edition CAPITULO 7 MS SQL Server Express Edition 7.1 Requerimientos Previos El proceso de instalación de Microsoft SQL Server 2008 no es complejo y es de gran importancia tener en cuenta que se está realizando

Más detalles

Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows)

Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows) Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows) Versión de Dr.Web ESS: 6.0.4 Última actualización: 28/11/2013 2013 IREO Mayorista de ITSM y Seguridad Guía de Implantación Dr.Web

Más detalles

Panda Managed Office Protection Visita a la Consola web de Administración

Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita Guiada a la Consola Web de Administración Centralizada Marzo 2009 Tabla de contenidos 1.

Más detalles

Instalación de MySQL 5.1 en Windows

Instalación de MySQL 5.1 en Windows Instalación de MySQL 5.1 en Windows Aspectos importantes antes de la instalación. 1. Determinar si la plataforma donde se desea hacer la instalación está soportada. 2. Elegir la distribución que se instalará.

Más detalles

INSTALACIÓN DE ABIES 2 WEB PARA REALIZAR CONSULTAS SÓLO DESDE ORDENADORES DEL CENTRO ESCOLAR...5

INSTALACIÓN DE ABIES 2 WEB PARA REALIZAR CONSULTAS SÓLO DESDE ORDENADORES DEL CENTRO ESCOLAR...5 DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONA INSTITUTO DE TECNOLOGÍAS EDUCATIVAS MANUAL DE ABIES 2 WEB CREDITOS: Versión 2.0 Fecha 13/10/2009 Autor/es

Más detalles

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/05/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD 1. Instrucciones Generales de Presentación de Propuestas, Sección

Más detalles

si por el contrario, queremos compilarlo, tendremos que realizar los siguientes pasos: cd netinvent./configure make make install

si por el contrario, queremos compilarlo, tendremos que realizar los siguientes pasos: cd netinvent./configure make make install Manual de usuario NetInvent (servidor) Netinvent se proporciona en una paquete comprimido en formato netinvent.tar.gz. Este formato es uno de los comúnmente utilizados para distribuir los programas bajos

Más detalles

INTERNET INFORMATION SERVICES (IIS)

INTERNET INFORMATION SERVICES (IIS) INTERNET INFORMATION SERVICES (IIS) INSTALACION DE LOS SERVICIOS Y CREAR UN SITIO WEB BASICO AUTORES Simón García Sánchez y Antonio Paños Rodríguez 24-10-2010 ENUNCIADO INSTALAR INTERNET INFORMATION SERVICES

Más detalles

UNIDAD DIDACTICA 15 CONVERTIR UN EQUIPO LINUX SERVER EN CONTROLADOR DE DOMINIO

UNIDAD DIDACTICA 15 CONVERTIR UN EQUIPO LINUX SERVER EN CONTROLADOR DE DOMINIO UNIDAD DIDACTICA 15 CONVERTIR UN EQUIPO LINUX SERVER EN CONTROLADOR DE DOMINIO Eduard Lara 1 1. CONVERTIR UN LINUX SERVER EN CONTROLADOR DE DOMINIO En Linux Server, a diferencia de Windows Server, no existe

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

SQL Data Export for PS/PSS

SQL Data Export for PS/PSS Version 2.3.5 MANUAL DE INSTRUCCIONES (M98232701-01-13B) CIRCUTOR, SA ÍNDICE 1.- INSTALACIÓN DEL SOFTWARE SQL DATA EXPORT... 3 1.1.- HABILITAR CONEXIONES REMOTAS DEL SERVIDOR SQL SERVER... 14 1.2.- DESINSTALAR

Más detalles

Al igual que HTTP, FTP se basa en el envío de comandos codificados mediante ASCII, es decir, en texto plano.

Al igual que HTTP, FTP se basa en el envío de comandos codificados mediante ASCII, es decir, en texto plano. FTP (FILE TRANSFER PROTOCOL) FTP es un programa que se utiliza para transferir información, almacenada en ficheros, de una máquina remota a otra local, o viceversa (RFC 959). Para poder realizar esta operación

Más detalles

Instalación y configuración de Filezilla Server

Instalación y configuración de Filezilla Server Instalación y configuración de Filezilla Server OBJETIVOS Instalar y configurar un servidor FTP open source (Filezilla Server). Administrar y crear usuarios y grupos en Filezilla Server. Configurar y establecer

Más detalles

INTRANET: MANUAL DE INSTALACIÓN

INTRANET: MANUAL DE INSTALACIÓN INTRANET: MANUAL DE INSTALACIÓN 1 de 15 INDICE 1 Requisitos mínimos... 3 2 Instalación... 4 2.1 Instalación de los ficheros de la Intranet... 4 2.2 Registro de las librerías... 4 2.3 Configuración del

Más detalles

CONTENIDO. Capítulo 1. Capítulo 2. Contenido. Sobre el autor 4 Prólogo 5 El libro de un vistazo 6 Introducción 14

CONTENIDO. Capítulo 1. Capítulo 2. Contenido. Sobre el autor 4 Prólogo 5 El libro de un vistazo 6 Introducción 14 CONTENIDO Sobre el autor 4 Prólogo 5 El libro de un vistazo 6 Introducción 14 Capítulo 1 INTERFAZ DE USUARIO StyleXP 16 Cambiar la pantalla de sesión de Windows 17 Cambiar la pantalla de booteo 18 Creación

Más detalles

GUIA RAPIDA DE CONFIGURACION DE IP DINAMICA

GUIA RAPIDA DE CONFIGURACION DE IP DINAMICA GUIA RAPIDA DE CONFIGURACION DE IP DINAMICA INTRODUCCION La siguiente guia esta basada en el servicio gratuito No-IP en http://www.no-ip.com/ Este servicio puede ser tambien de otras empresas como DYNDNS.org.

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

Criptografía y Seguridad en Redes de Comunicaciones Profesor: Álvaro Alesanco Iglesias (revisado 12-05-2010)

Criptografía y Seguridad en Redes de Comunicaciones Profesor: Álvaro Alesanco Iglesias (revisado 12-05-2010) Seguridad en Redes de Comunicaciones Criptografía y Seguridad en Redes de Comunicaciones Profesor: Álvaro Alesanco Iglesias (revisado 12-05-2010) 1 Objetivos Se pretende que la práctica sea una demostración

Más detalles

PROYECTO ADMINISTRACIÓN ORACLE ENTERPRISE MANAGER

PROYECTO ADMINISTRACIÓN ORACLE ENTERPRISE MANAGER PROYECTO ADMINISTRACIÓN ORACLE ENTERPRISE MANAGER Proyecto de administración avanzada Alejandro Romero Abadía 1 Este proyecto consiste en una explicación de las funciones que ofrece la consola web de administración

Más detalles

FOC-ELEN20. Manual de FileZilla Server. 3.- Configuración

FOC-ELEN20. Manual de FileZilla Server. 3.- Configuración Manual de FileZilla Server 3.- Configuración La configuración del servidor se realiza mediante la utilidad "FileZilla Server Interface" del grupo de programas de FileZilla Server. Para poder usarla deberemos

Más detalles

Uso del servidor gráfico X en los servidores del CESGA mediante PuTTY y Cygwin

Uso del servidor gráfico X en los servidores del CESGA mediante PuTTY y Cygwin Uso del servidor gráfico X en los servidores del CESGA mediante PuTTY y Cygwin Contenido Introducción... 2 Obtención e instalación del software necesario... 2 Configuración de PuTTY para su uso con Cygwin...

Más detalles

Instalando y Activando Smaart v7

Instalando y Activando Smaart v7 Instalando y Activando Smaart v7 La instalación de Smaart v7 de Rational Acoustics en un proceso de dos partes. La primera es la instalación del software en sí y la segunda es el registro y activación

Más detalles

Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes

Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes FANAL Fábrica Nacional de Licores Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes Elaborado por: Fecha de Creación: Lic. Gilberto Arroyo Morera Enero-2010. Fecha Versión

Más detalles

VIRTUALIZACIÓN: VMWare Workstation

VIRTUALIZACIÓN: VMWare Workstation INDICE Qué es VMWare? Y a mí para qué me sirve VMWare? Si ejecuto un archivo malicioso en la máquina virtual, le ocurrirá algo a mi PC? Qué necesito para poder crear una máquina virtual en VMWare? Instalación

Más detalles

Acronis Backup & Recovery 10 Workstation. Update 5. Guía de instalación

Acronis Backup & Recovery 10 Workstation. Update 5. Guía de instalación Acronis Backup & Recovery 10 Workstation Update 5 Guía de instalación Contenido 1 Antes de la instalación...3 1.1 Componentes de Acronis Backup & Recovery 10... 3 1.1.1 Agente para Windows... 3 1.1.2 Management

Más detalles

Administración de Sistemas. Curso 1999-2000

Administración de Sistemas. Curso 1999-2000 Configuración de Indice: 1.- Qué es? 1 2.- Instalación de. 2 3.- Configuración de. 3 4.- Instalación/Configuración de swat. 4 5.- Niveles de seguridad 5 6.- Configuración de con el nivel de seguridad domain.

Más detalles

FAMILIA DE SERVIDORES WINDOWS 2000

FAMILIA DE SERVIDORES WINDOWS 2000 FAMILIA DE SERVIDORES WINDOWS 2000 La familia de servidores Windows 2000 esta formada por tres versiones las cuales son: Server, Advanced y Datacenter; nosotros utilizaremos Server. Server. Esta versión

Más detalles

Manual de Instalación del sistema administrativo PremiumSoft Extended 7

Manual de Instalación del sistema administrativo PremiumSoft Extended 7 1 P á g i n a M a n u a l d e I n s t a l a c i ó n d e l s i s t e m a a d m i n i s t r a t i v o Manual de Instalación del sistema administrativo PremiumSoft Extended 7 X Realizado por: Enrique Tancredi

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

Instalación de FileZilla FTP Server

Instalación de FileZilla FTP Server Instalación de FileZilla FTP Server [Ir a Página principal] El proceso de instalación es muy sencillo, solamente en algunos pasos tendremos que realizar acciones como elegir el tipo de instalación o de

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

BBVA emarkets. Solución de problemas y requisitos mínimos del sistema

BBVA emarkets. Solución de problemas y requisitos mínimos del sistema BBVA emarkets Solución de problemas y requisitos mínimos del sistema 2012 Solución de problemas Si experimentas alguno los siguientes problemas, por favor busca una solución en la tabla de abajo. Problema

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Ayuda de Active System Console

Ayuda de Active System Console Ayuda de Active System Console Introducción... 1 Instalación... 2 Visualización de la información del sistema... 4 Umbrales de monitoreo del sistema... 5 Configuración de notificaciones por correo electrónico...

Más detalles

Acronis Backup & Recovery 10 Server for Windows. Guía de instalación

Acronis Backup & Recovery 10 Server for Windows. Guía de instalación Acronis Backup & Recovery 10 Server for Windows Guía de instalación Contenido 1 Antes de la instalación...3 1.1 Componentes de Acronis Backup & Recovery 10... 3 1.1.1 Agente de Windows... 3 1.1.2 Management

Más detalles

Datacycle Reporting Guía de Instalación. Versión 8.1

Datacycle Reporting Guía de Instalación. Versión 8.1 Datacycle Reporting Guía de Instalación Versión 8.1 A P E S O F T Guía de instalación y actualización DataCycle Reporting ApeSoft Parc Tecnològic del Vallès Tel: 93 5820258 www.apesoft.com Índice INTRODUCCIÓN...4

Más detalles

CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? CUALES SON LAS PRINCIPALES CARACTERÍSTICAS Y FUNCIONES?

CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? CUALES SON LAS PRINCIPALES CARACTERÍSTICAS Y FUNCIONES? MANUAL DE USUARIO DE Firewall PC PARA EMPRESAS CAPITULO 1: CUÁLES SON LAS PRINCIPALES CARACTERÍSTICAS DE Firewall PC? QUÉ ES FIREWALL PC? Telefónica de España le proporciona Firewall PC como servicio de

Más detalles

TPGT-DOC-20090001-01

TPGT-DOC-20090001-01 DOCUMENTACIÓN Manual de Instalación Elaborado por TecnoPortales Desarrollo de Software 2009 TPGT-DOC-20090001-01 http://www.tecnoportales.com.ar info@tecnoportales.com.ar Page 1 of 29 Contents Requerimientos

Más detalles

Guía de instalación de Presto 2015.01 (20/07/2015)

Guía de instalación de Presto 2015.01 (20/07/2015) Guía de instalación de Presto 2015.01 (20/07/2015) Guía de instalación 1 Requisitos del sistema 1 Permisos necesarios 1 Presto 2 Instalación de Presto: Monopuesto 2 Instalación de Presto: Servidor de red

Más detalles

Instalación y configuración del servidor FTP Filezilla en Windows 2003 Server. Vicente Sánchez Patón I.E.S Gregorio Prieto.

Instalación y configuración del servidor FTP Filezilla en Windows 2003 Server. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 5 SRI Instalación y configuración del servidor FTP Filezilla en Windows 2003 Server Vicente Sánchez Patón I.E.S Gregorio Prieto Tema 5 SRI Lo primero será descargarse el filezilla sever, desde su

Más detalles

Instalación de Oracle 9i

Instalación de Oracle 9i Instalación de Oracle 9i versión para Windows Esta obra está bajo una licencia de Creative Commons. Autor: Jorge Sánchez Asenjo (año 2004) http://www.jorgesanchez.net email:info@jorgesanchez.net Esta obra

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

Winternals Administrator's Pak & ERD Commander & NTFSDOS Pro

Winternals Administrator's Pak & ERD Commander & NTFSDOS Pro 1 de 25 01/12/2007 1:53 Winternals Administrator's Pak & ERD Commander & NTFSDOS Pro Winternals Administrator's Pack, Brevemente vemos como se instala este 'tesoro' y para que sirve, posteriormente nos

Más detalles

Introducción (I) SAMBA esta formado por un conjunto de aplicaciones que utilizan:

Introducción (I) SAMBA esta formado por un conjunto de aplicaciones que utilizan: Introducción (I) SAMBA esta formado por un conjunto de aplicaciones que utilizan: El protocolo de aplicación Server Message Block. El protocolo de sesión NetBIOS. SAMBA permite: Compartir sistemas de archivos

Más detalles

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos?

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Para que las páginas web puedan estar

Más detalles

Monitoreo de redes. Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9

Monitoreo de redes. Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9 Monitoreo de redes Ing. Diego Córdoba www.linuxinstitute.com.ar Pagina 1 de 9 HIDS: Host Intrusion Detection System OSSEC es un Host Intrusion Detection System, cuya principal función es realizar controles

Más detalles

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 4: Servicios de Internet. FTP

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 4: Servicios de Internet. FTP Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows Módulo 4: Servicios de Internet. FTP Aulas en red. Aplicaciones y servicios. Windows Servicio FTP Con anterioridad, en este mismo módulo

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Mail Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX. Nicolás Botero Botero Juan Manuel Velásquez Isaza

INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX. Nicolás Botero Botero Juan Manuel Velásquez Isaza INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX Nicolás Botero Botero Juan Manuel Velásquez Isaza Universidad Tecnológica de Pereira Facultad de Ingenierías Ingeniería

Más detalles

Retrospect 7.7 Apéndice de la Guía del usuario

Retrospect 7.7 Apéndice de la Guía del usuario Retrospect 7.7 Apéndice de la Guía del usuario 2011 Retrospect, Inc. Portions 1989-2010 EMC Corporation. Todos los derechos reservados. Guía del usuario de Retrospect 7.7, primera edición. El uso de este

Más detalles

Pasos Instalación de OnGuard 6.3.249 (Versión beta 0.1)

Pasos Instalación de OnGuard 6.3.249 (Versión beta 0.1) Pasos Instalación de OnGuard 6.3.249 (Versión beta 0.1) Instalación de Windows (Servidor y cliente) Sistemas Soportados (Indispensable) 1 Windows XP Professional SP2 2 Windows 2003 Server SP1 y R2 3 Windows

Más detalles

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN CICLO: 02/2013 GUIA DE LABORATORIO #1 Nombre de la Práctica: Adquisición de servicio webhosting Lugar de Ejecución: Centro

Más detalles

Manual de la Consola de Administración Remota The Hacker Antivirus INDICE I. INTRODUCCION A LA CONSOLA DE ADMINISTRACION REMOTA..

Manual de la Consola de Administración Remota The Hacker Antivirus INDICE I. INTRODUCCION A LA CONSOLA DE ADMINISTRACION REMOTA.. INDICE I. INTRODUCCION A LA CONSOLA DE ADMINISTRACION REMOTA.. 1 II. CARACTERISTICAS PRINCIPALES. 2 III. REQUERIMIENTOS DE HARDWARE Y SOFTWARE... 3 IV. INSTALACION PASO A PASO 4 V. ADMINISTRACION DE LA

Más detalles

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 6: Servicio Copias de seguridad

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 6: Servicio Copias de seguridad Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows Módulo 6: Servicio Copias de seguridad Aulas en red. Aplicaciones y servicios. Windows Servicio Copias de Seguridad En este instante ya

Más detalles

Configuración ewon y Talk2M por ethernet con ecatcher Free+ Tutorial

Configuración ewon y Talk2M por ethernet con ecatcher Free+ Tutorial Configuración ewon y Talk2M por ethernet con ecatcher Free+ Tutorial Contenido: Familia: Autor: Revisión: Este tutorial explica cómo añadir un ewon a la cuenta de Talk2M Free+ por ethernet y registrarlo

Más detalles

UNIDAD DIDACTICA 18 INTEGRACIÓN DE CLIENTES WINDOWS EN UN CONTROLADOR DE DOMINIO LINUX SERVER

UNIDAD DIDACTICA 18 INTEGRACIÓN DE CLIENTES WINDOWS EN UN CONTROLADOR DE DOMINIO LINUX SERVER UNIDAD DIDACTICA 18 INTEGRACIÓN DE CLIENTES Eduard Lara 1 1. INTRODUCCIÓN Qué hemos hecho hasta ahora? - Instalado samba, para compartir recursos de manera elemental, pero sin ningún tipo de control de

Más detalles

Diferencias de sistemas operativos WINDOWS XP (2002) Soporta hasta un máximo de 4 GB de RAM REQUISITOS DE INSTALACION WINDOWS XP.

Diferencias de sistemas operativos WINDOWS XP (2002) Soporta hasta un máximo de 4 GB de RAM REQUISITOS DE INSTALACION WINDOWS XP. Diferencias de sistemas operativos WINDOWS XP (2002) Home Versión creada específicamente para uso casero (home use) Professional hasta un máximo de 4 GB de RAM Media Center Grabar desde TV Professional

Más detalles

Instalación y configuración de VMware Server

Instalación y configuración de VMware Server 1 de 19 01/12/2007 1:47 Instalación y configuración de VMware Server VMware Server 1.0.3, En este procedimiento se explica un producto de VMware, llamado VMware Server. Es un software que corre sobre un

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Introducción. Mensaje de los Desarrolladores

Introducción. Mensaje de los Desarrolladores Introducción En Aspec System estamos preocupados por los cabios tecnológicos de la vida cotidiana así como las integraciones de la tecnologías de la información en el llamado tele gobierno que está integrando

Más detalles

Instalación de SQL Server 2008 (Katmai)

Instalación de SQL Server 2008 (Katmai) Instalación de SQL Server 2008 (Katmai) Por: Gustavo Larriera, Solid Quality Mentors http://blogs.solidq.com/es/glarriera Septiembre 3, 2008 Acerca de esta serie La próxima versión de Microsoft SQL Server,

Más detalles

Table of Contents DNS. Samba. Usuarios. Equipos. Configuración de red. Añadir equipo al dominio. Recursos Compartidos.

Table of Contents DNS. Samba. Usuarios. Equipos. Configuración de red. Añadir equipo al dominio. Recursos Compartidos. Table of Contents DNS Samba Usuarios Equipos Configuración de red Añadir equipo al dominio Recursos Compartidos Compartir carpeta Perfiles móviles DNS Un Servidor de Nombres, o Domain Name Server es un

Más detalles

General. Definición de análisis forense. Evidencia Digital. RFC3227 (Recolección y manejo de evidencias) Buenas prácticas a la hora de analizar datos

General. Definición de análisis forense. Evidencia Digital. RFC3227 (Recolección y manejo de evidencias) Buenas prácticas a la hora de analizar datos Este documento no pretende ni tiene la finalidad de convertirse en manual de referencia. Este documento relata los aspectos básicos relacionados en el campo de la informática forense, explicando de una

Más detalles

Resumen. DESlock+ Guía Básica de Configuración. Requerimientos del Sistema:

Resumen. DESlock+ Guía Básica de Configuración. Requerimientos del Sistema: DESlock+ Guía Básica de Configuración Resumen DESlock+ Enterprise server incluye varias soluciones de encriptación que pueden distribuirse a cada equipo a través de la consola Enterprise Server + DESlock.

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for File Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

EXAMEN FINAL. Virtual. P C v i r t u a l

EXAMEN FINAL. Virtual. P C v i r t u a l EXAMEN FINAL Realizar una configuración de una Red LAN, donde la computadora que hará el papel de servidor tenga instalado un software libre y haya una PC real y otra PC virtual. La PC real contara con

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 7. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 7. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 7 Materia: Sistema Operativo II Facilitador: José Doñe TEMA 7 INDICE 1. Introducción 2. Administrando

Más detalles

TRABAJO PRÁCTICO Nº 4. DFS: Distributed File System

TRABAJO PRÁCTICO Nº 4. DFS: Distributed File System Universidad Nacional del Noroeste de Buenos Aires TRABAJO PRÁCTICO Nº 4 DFS: Distributed File System Universidad: UNOOBA. Cátedra: Sistemas Operativos II Docentes: - Matías Zabaljáuregui - Javier Charne

Más detalles

Anexo 2. Realización de los escenarios de ataque

Anexo 2. Realización de los escenarios de ataque Anexo 2 Realización de los escenarios de ataque 1. Requisitos para el ataque Para la elaboración de los ataques se trabajó con los siguientes elementos: Archivos ejecutables de Slacker y Timestomp, conextensión.exe.

Más detalles

Guía Rápida 1&1 CLOUD SERVER. Crear copias de seguridad. para Windows

Guía Rápida 1&1 CLOUD SERVER. Crear copias de seguridad. para Windows Guía Rápida 1&1 CLOUD SERVER Crear copias de seguridad para Windows 1&1 Internet España S.L.U. Narciso Serra, 14 28007 Madrid España www.1and1.es Fecha: Julio 2015 Copyright 2015 1&1 Internet España S.L.U.

Más detalles

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. Finalmente en este último capítulo se conocen los resultados, las pruebas y las conclusiones finales de la aplicación Web para el monitoreo

Más detalles

Manual Web host Manager ( WHM )

Manual Web host Manager ( WHM ) Manual Web host Manager ( WHM ) 1) Introducción Web host Manager ( WHM ) es un panel de control a través del cual cada revendedor de Unlugar puede crear y gestionar las distintas cuentas de alojamiento

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Exchange. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Instalación segura de Firebird en Win 2003 Server

Instalación segura de Firebird en Win 2003 Server FoxPress Enero 2005 Instalación segura de Firebird en Win 2003 Server Por Simon Carter TECT Software Ltd http://www.tectsoft.net/ Instala Firebird 1.5.x. (para más información sobre si instalar la versión

Más detalles

Instalación de un servidor de correo

Instalación de un servidor de correo 1 de 8 Ver índice Instalación de un servidor de correo Un servidor de correo El servidor de correo Mercury Mail puede descargarse www.pmail.com o bien instalar directamente el fichero m32-462.exe que encontrarás

Más detalles

ADMINISTRACIÓN DE SISTEMAS OPERATIVOS. 2º ASIR. CURSO 14/15 SAMBA... 2 INTRODUCCIÓN... 2 HISTORIA... 2 CARACTERISTICAS... 3 INSTALACIÓN...

ADMINISTRACIÓN DE SISTEMAS OPERATIVOS. 2º ASIR. CURSO 14/15 SAMBA... 2 INTRODUCCIÓN... 2 HISTORIA... 2 CARACTERISTICAS... 3 INSTALACIÓN... CONTENIDO SAMBA... 2 INTRODUCCIÓN.... 2 HISTORIA.... 2 CARACTERISTICAS.... 3 INSTALACIÓN.... 3 CONFIGURANDO SAMBA.... 3 SMB.CONF... 3 PUBLICACION DE CARPETAS DE FORMA ANONIMA. NO RECOMENDADA.... 4 PUBLICACION

Más detalles

REQUERIMIENTOS HARDWARE Y SOFTWARE QWEBDOCUMENTS VERSION 4

REQUERIMIENTOS HARDWARE Y SOFTWARE QWEBDOCUMENTS VERSION 4 Pág. 1 de 6 Ambiente centralizado SERVIDOR UNICO Servidor Hardware Procesador CORE Duo 4 GHz Memoria Ram 4 GB. 2 GB solo para la aplicación y los otros 2 GB para Base de datos, S.O y otro software necesario

Más detalles

Windows 2008 Server ServidorW200854

Windows 2008 Server ServidorW200854 Windows 2008 Server ServidorW200854 Practica Instalación del servidor FTP Filezilla en Windows Se accede a la web de filezilla (http://filezilla-project.org/) y se descarga el servidor FTP. O en la dirección:

Más detalles

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes 1 Objetivos Ingeniería Técnica Informática de Sistemas Curso 2003/2004 En la presente sesión se pretende familiarizar al alumno

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

PECO-GRAPH Manual de Usuario

PECO-GRAPH Manual de Usuario ESPAÑOL PECO-GRAPH Manual de Usuario Software para la gestión gráfica de datos de conteo ÍNDICE 1 INTRODUCCIÓN...3 2 INSTALACIÓN...4 2.1 REQUISITOS...4 2.2 INSTALACIÓN Y EJECUCIÓN...4 3 FUNCIONALIDAD Y

Más detalles

TEMA: DESCARGA DE DRIVERS DE HARDWARE Y APLICACIONES UTILITARIAS.

TEMA: DESCARGA DE DRIVERS DE HARDWARE Y APLICACIONES UTILITARIAS. Empremática, Guía 2 1 TEMA: DESCARGA DE DRIVERS DE HARDWARE Y APLICACIONES UTILITARIAS. Objetivos Conocer los diferentes drivers que se utilizan en una computadora. Aprender a descargar las aplicaciones

Más detalles

Ejemplo práctico de instalación del programa JCLIC en red

Ejemplo práctico de instalación del programa JCLIC en red Ejemplo práctico de instalación del programa JCLIC en red Una red local permite optimizar los recursos, tanto en relación al espacio (los programas se pueden colocar en el disco duro del servidor y ser

Más detalles

Instrucciones para la configuración del acceso a SIA-GAIA

Instrucciones para la configuración del acceso a SIA-GAIA Instrucciones para la configuración del acceso a SIA-GAIA Configuración hardware del puesto. Configuración recomendada del PC: o Procesador Intel Pentium Dual Core o 2 Gb de memoria RAM o Teclado con lector

Más detalles

Índice de contenido. Manual de administración de hospedaje para administradores de dominios

Índice de contenido. Manual de administración de hospedaje para administradores de dominios Índice de contenido 1. Webmin...2 1.1 Cambio de idioma y tema...2 2. Otros...3 2.1 Cargas y descargas...3 2.2 Conexión Telnet / SSH...4 2.3 Directorios Web Protegidos...5 2.4 Administrador de archivos...6

Más detalles

VRM Monitor. Ayuda en línea

VRM Monitor. Ayuda en línea VRM Monitor es Ayuda en línea VRM Monitor Índice es 3 Índice 1 Introducción 3 2 Descripción del sistema 3 3 Getting started 4 3.1 Inicio de VRM Monitor 4 3.2 Inicio de Configuration Manager 4 4 Configuración

Más detalles

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 3: Gestión de equipos. Servicio WDS

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 3: Gestión de equipos. Servicio WDS Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows Módulo 3: Gestión de equipos. Servicio WDS Aulas en red. Aplicaciones y servicios. Windows Equipos Clientes del Dominio En este apartado

Más detalles