AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDO

Transcripción

1 AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDO Trucos y técnicas para la realización de Un Análisis Forense extremo Pedro Sánchez

2

3 Agenda Autopsia forense 1.- Repaso actual de la seguridad 2.-Caso real de una ataque APT 3.- Análisis 4.- Monitorización 5.-Medidas

4 Repaso del estado actual de la seguridad 1#

5 Repaso del estado actual de la seguridad ANTES Virus Dispositivo Extraíble Script Kiddies Gusanos de correo Gusanos exploit Rootkits Troyanos de puerta trasera Adjuntos de correo Clientes de Mensajería Instantánea

6 Repaso del estado actual de la seguridad AHORA Fuentes de ataque Hackers Tipos de amenazas Virus Gusanos de correo Gusanos exploit Medios de Proliferación Sitios Web Multimedia Legítimos Comprometidos Clientes de Mensajería Instantánea Crimen organizado Gusanos P2P Gusanos IM Phishing Redes P2P Dispositivos extraíbles Empresas Legítimas Rootkits Troyanos de puerta trasera Dispositivos Móviles Redes Públicas Wi-Fi Adjuntos de Correo SPAM Spyware Adware Gobiernos extranjeros Greyware Aplicaciones Web 2.0

7 Repaso del estado actual de la seguridad APT

8 2# Mecanismos de ataque Características Son invisibles e indetectables Los antivirus lo ven como algo propio del sistema Actúan en ciertos casos que el programador ha definido. Pueden estar años en el sistema Utilizan ingeniería inversa Utilizan comandos legítimos del sistema Utilizan aplicaciones como pasarela de datos Cifran las comunicaciones Interactúan con SCADA y otros elementos de Hardware También están en los móviles

9 2# Mecanismos de ataque Cómo se detectan? Ante un fallo de la aplicación que provoca algún tipo de evento o alerta En revisiones rutinarias de logs (Fw, Routers, etc.) Monitorizando servicios y/o aplicaciones Ante sospecha del administrador de sistemas Ante la evidencia de un fallo repetitivo o fantasma Con un SIEM y correladores de registros Ante un fraude

10 Repaso del estado actual de la seguridad DEMO BANCA-APT No intrusivo

11 2# Caso real de un ataque APT Forensics PowerTools 2#

12 2# Caso real de un ataque APT 110 Empleados 24 Servidores ACME es una empresa de Zaragoza dedicada al mundo de la química. Especializada en detergentes, papel, construcción, pinturas, tratamiento de aguas, materias primas de productos industriales; campos que cubren aplicaciones tanto en la industria como en los bienes de consumo. 140 Puestos Movilidad DbOracle / sap /mssql BRASIL MEXICO CHILE EEUU

13 2# Caso real de un ataque APT -FASE I El director de la empresa ACME recibe un correo electrónico de una consultora colaboradora (DynCorp), con una lista de precios en una aplicación en EXCEL.

14 2# Caso real de un ataque APT FASE II Código QR Iframe

15 2# Caso real de un ataque APT CASO REAL APT Exfiltraciónde datos

16 2# PASOS A REALIZAR 1.- PRESERVAR - CADENA DE CUSTODIA -REQUERIMIENTO NOTARIAL -CLONADO EXACTO COPIAS - ORIGINAL EN CUSTODIA - APERTURA DE ACTA - ETIQUETADO DE MATERIAL - VOLCADO DE MEMORIA

17 2# PASOS A REALIZAR 2.- CONTENCION - ACTUALIZACION DE MOTORES DE ANTIVIRUS - ESTABLECIMIENTO DE PROXY - INSERCION DE SONDAS DE DETECCIÓN

18 2# PASOS A REALIZAR 3.- MONITORIZAR - REGISTROS DE ACCESO - SALIDA HACIA INTERNET - TRAFICO DE RED - PROCESOS EN MEMORIA - CREACIÓN DE FICHEROS

19 3# Análisis Forensics PowerTools 3#

20 3# Cómo llegamos a la solución? Lista de productos Ejecución de macros Llamada a procedimiento remoto Technical_Center.xls: Hoja de cálculo en Excel que contiene: Macros (ofuscadas) en VBA Realizan una descarga desde internet de entre 5 y 7 ficheros EXCEL.EXE 4.EXE, 4.DLL 5.EXE S.EXE S.DLL R.EXE Y.EXE Tras la descarga se ejecuta EXCEL.EXE

21 3# Cómo llegamos a la solución? ARTEFACTOS FORENSES

24 3# Caso real de un ataque APT -Procesos Tras la ejecución de la aplicación en EXCEL se observan distintos procesos:

25 3# Caso real de un ataque APT -Procesos 5.exe: Se crea una ruta. En este caso: $ Se descarga los ficheros netsvcs.exe, netsvcs_ko.dll y vcmon.exe Agrega las claves del registro para hacerlo persistente. Comienza a: Realizar la búsqueda de documentos ofimáticos : Docx, xls, ppt, mdb, pdf Una de las características es que busca certificados Los clasifica en carpetas temporales asociadas a temporales de word Establece una transferencia de archivos por teamviewer!!

26 3# Caso real de un ataque APT -TeamViewer netsvcs.exe - el cliente TeamViewer modificado netsvcs_ko.dll - Biblioteca de recursos de cliente TeamViewer vcmon.exe - instalación / arranque Se crea el servicio "Servicio de acceso remoto", ajustado para iniciarse en C:\Windows\System32\vcmon.exe al iniciar el sistema. Cada vez que elvcmon.exese ejecuta, deshabilita el firewall y pone a cero siguientes valores del registro: HKLM\SOFTWARE\odhin\V3_365\InternetSec UseFw= 0 UseIps= 0

27 3# Caso real de un ataque APT -Tráfico

28 3# Caso real de un ataque APT -TeamViewer

31 3# Caso real de un ataque APT -TeamViewer Y.EXE y.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo. Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,rundllinstall

32 3# Caso real de un ataque APT -TeamViewer S.EXE y S.DLL

33 3# Caso real de un ataque APT -TeamViewer 4.EXE y 4.DLL Es el programa 7zip

34 3# Caso real de un ataque APT -TeamViewer IAM.EXE IAM.DLL / I.EXE I.DLL Los ficheros 'iam.exe' e 'iam.dll' no son exactamente malware y pertenecen a un conjunto de herramientas de la empresa CORE SECURITY. Estos ficheros (según se indica en la web) permite cambiar en memoria las credenciales NTLM asociados con la sesión actual de Windows, es decir el nombre de usuario, dominio y hashes. Todo apunta a que este 'raro-ware' esta pensado para robar las credenciales de los usuarios.

36 3# Caso real de un ataque APT

37 3# Caso real de un ataque APT Por lo tanto Suplantación en un correo dirigido a la empresa (Ingeniería social). Acceso a puestos de trabajo. (Entrada al perímetro de red) Envío masivo de phising dirigido (ingeniería social) Acceso a terminales Android. Durante cuanto tiempo? Qué se han llevado? Qué impacto tiene? Volverá a ocurrir? Qué medidas ponemos?

38 3# Caso real de un ataque APT Por lo tanto Suplantación en un correo dirigido a la empresa (Ingeniería social). Acceso a puestos de trabajo. (Entrada al perímetro de red) Envío masivo de phising dirigido (ingeniería social) Acceso a terminales Android. Durante cuanto tiempo? Qué se han llevado? Qué impacto tiene? Volverá a ocurrir? Qué medidas ponemos?

39 4# -Monitorización 4#

40 4# Detección

41 4# Detección OPENIOC OpenIOC establece un estándar para la definición y el intercambio de información tanto interna como externamente en un formato legible. Los indicadores de compromiso se compone de diversos indicadores que se puede identificar en un host o una red, ante una intrusión. Hay 3 atributos principales para escribir un buen COI: Reducir los falsos positivos No es complejo a la hora de crear las reglas. Debe de ser complicado para el atacante eludir los indicadores para llevar a cabo el ataque. El atacante tendría que cambiar la estrategia de ataque, herramientas y procesos de manera significativa para evadir metodología ataque anterior.

42

43 4# -Monitorización wmi

44 4# wmi Es la implementación de WBEM (Web-Based Enterprise Management) de Microsoft, una iniciativa que pretende establecer normas estándar para tener acceso y compartir la información de administración a través de la red de una empresa. WMI proporciona compatibilidad integrada para el Modelo de Información Común (CIM, Common Information Model), :Y que describe los objetos existentes en un entorno de administración.

45 5# MEDIDAS

46 5# Detección Definir indicadores estadísticos que pueden variar dependiendo de cada organización: Esencial disponer de un inventario detallado de los activos/servicios de nuestra red. Tamaño medio paquetes UDP/TCP que entran/salen. Número paquetes por puerto. Distribución de tráfico por servicio. Etc. Revisiones periódicas. Si se detecta uno nuevo se averigüe su origen y se evalúe si supone amenaza. Recomendable habilitar solo aquellos servicios estrictamente necesarios. En caso de equipamiento que esté expuesto en zonas DMZ o que deban ser accedidos desde Internet se deberán tomar medidas adicionales de protección. (Bastionado) Monitorizar el tráfico. Geolocalización. Conocer patrones habituales de conexiones hacia según qué países. Filtrado geográfico IDS/IPS. Darknets. HoneyNets

47 5# Detección Control del servicio DNS a través de Passive DNS. Réplica en pasivo del DNS de nuestra organización. Ayuda a ver qué nombres de dominios maliciosos se están solicitando como medida complementaria para combatir el malware. De gran ayuda en la gestión de incidentes En una APT: tráfico cifrado o a través de Covert Channels Detección perspectiva sencilla Paquetes de firmas. Detección perspectiva compleja Comportamientos anómalos que conlleven una investigación Importante establecer indicadores estadísticos que tras ser superados nos alerten: Aumento considerable y repentino de paquetes ICMP. Aumento de peticiones DNS. Rango horario de las peticiones, regularidad en las mismas, tipo de peticiones

48 5# Detección

49 5# SIEM SIEM SIEM / IDS -IPS

50 Muchas gracias!! Twitter: #conexioninversa Blog: conexioninversa.blogspot.com www: