Caso práctico de gestión de incidente. Convenio CNPIC - INTECO

Transcripción

1 Caso práctico de gestión de incidente Convenio CNPIC - INTECO 05/03/2013

2 Día 0: Detección 2

3 Detección campaña SPAM 3

4 Muestra del correo Fuente: Symantec 4

5 PDF adjunto Fuente: Symantec 5

6 Análisis del adjunto Muestra malware Servidor recepción malware Procesos automáticos Generación de informe Análisis manual 6

7 Análisis del adjunto 7

8 Análisis del adjunto 8

9 Análisis del adjunto 9

10 Análisis del tráfico de red 10

11 Análisis del tráfico de red 11

12 Identificar servidor/es C&C Fuente: Gdata y KasperskyLab 12

13 Alerta temprana 13

14 Cooperación con FCSE Sinkhole del servidor C&C 14

15 Sinkhole Servidores DNS Servidor Web Sistema para monitorización: Registros log servidor web Código propio para obtener mas detalle (POST) 15

16 Día 1: Monitorización, identificación y notificación 16

17 Monitorización 17

18 Identificar bots Parseo de los log Whois interno con contactos privados (empresas, ISP, CERT) $ whois h whois.cert.inteco.es /24 ES Ripe n:incidencias@cert.inteco.es a:nemesys@telefonica.es p:xxx@telefonica.es r:mario.garcia@inteco.es TELEFONICA-DATA- ESPANA TELEFONICA DE ESPANA 18

19 Identificar bots AS IP BGP Prefix CC RIR Abuse Contacts AS Name /22 US Arin INFOLINK-MIA- US - Infolink /18 FR Ripe n:certa-svp@certa.ssi.gouv.fr r:abuse@ovh.net OVH OVH Systems /23 UA Ripe n:cert@cert.gov.ua r:noc@freehost.ua FREEHOST PE Freehost /23 LT Ripe n:cert@cert.lt r:abuse@aleja.lt DC-AS UAB Duomenu Centras /22 BG Ripe n:cert@govcert.bg r:abuse@icn.bg ICN-BG Internet Corporated Networks Ltd /22 UA Ripe n:cert@cert.gov.ua r:abuse@server.ua SERVER-UA-AS SERVER.UA UKRAINE DEDICATED SERVICE /20 DE Ripe n:certbund@bsi.bund.de r:abuse@giga-hosting.biz GIGA- HOSTING Giga-Hosting GmbH /24 ES Ripe n:incidencias@cert.inteco.es a:nemesys@telefonica.es p:xxx@telefonica.es r:mario.garcia@inteco.es TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA /24 HK Apnic n:hkcert@hkcert.org r:hostmaster@sunnyvision.com SUNNYVISION-AS-AP SunnyVision Limited /20 PA Lacnic r:abuse@panamaserver.com Panamaserver.com /23 MT Ripe n:mtcert.mitts@gov.mt r:dave.mifsud@um.edu.mt ASN- CSC-UOM University of Malta 19

20 Notificación Detalle técnico del incidente Reglas para la detección (snort) IOC (Indicators of Compromise) 20

21 Notificación 21

22 Notificación 22

23 Notificación 23

24 Snort 24

25 IOC 25

26 Día 1 y posteriores: Análisis y seguimiento 26

27 Análisis Identificar el/los sistema/s afectado/s, ayudado por: Reglas para la detección (snort) IOC (Indicators of Compromise) Contención: aislando el/los sistema/s y recopilando evidencias de forma segura y adecuada: Copia de memoria Copia del disco duro Análisis del tráfico de red Aportando guías y procedimientos que permitan garantizar la validez de estas evidencias ante un posible proceso judicial. 27

28 Análisis Medidas de mitigación: Detección y filtrado en IPS Detección y filtrado en proxies Detección y filtrado en servidores DNS Análisis forense Aportando guías y procedimientos En caso necesario, con apoyo técnico del CERT 28

29 Seguimiento 29

30 Día 2: nuevos C&C 30

31 Nuevos C&C Como parte del análisis manual y tras descifrar parte del código del malware se detectan nuevos C&C que puede utilizar el malware. Actualización de la alerta temprana Reporte a los afectados para actualizar las medidas de mitigación Coordinación internacional con otros CERT y policías para tratar de bloquearlos o hacer sinkhole 31

32 Cooperación internacional 32

33 Gracias por su atención