SbD S13E37: спасению Lorenzo Martínez R. (@lawwait)
[root@localhost ~]# whoami CTO && Founder www.securizame.com! www.securitybydefault.com! Perito Informático Forense Twitter: @lawwait @securizame @secbydefault! Email: lorenzo@securizame.com
Cómo empezó todo Llamada de un colega Disco cifrado? El informático y el backup La dueña y el ataque (+/- 25/11/2013) Sospechas de un insider Peritaje privado Vuelta al informático El presupuesto Lo quiero para ayer
El buen peritaje Cadena de custodia No toques! Pa qué tocas!? Fases Identificar el origen Aisla la máquina Volatilidad Adquisición de evidencias Análisis Documenta
Las misiones Recuperar información Determinar, tras análisis pericial, quién ha sido y cómo lo ha hecho Negociar el ransom!
Laboratorio forense Clonado (o imagen) Caine + NAS Read-only Guyimager + Hashes Montaje de sistema de ficheros RO fdisk -l <image> losetup /dev/loop0 disk.img -o $((OFFSET * 512)) mount -t ntfs /dev/loop0 /mnt/wherever -o
A buscar! Windows 2003 Server SP2 Registro/Hives Máquina (C:\Windows\system32) Usuarios Ficheros de Log SAM Artifacts de navegadores Ficheros de sistema /etc/hosts && /etc/lmhosts Directorios de usuario??
Autopsy + foremost Crear el caso formalmente Añadir evidencias Análisis de ficheros borrados en FS Generación de timeline ordenado cronológicamente -> Muy útil para búsquedas! foremost para carving y recuperación de datos borrado
Procesado de la info Formatos Logs (evt) Hives (MS-Windows Registry) Artifacts Herramientas usadas evtx viewer (Windows Event Log viewer) // File::ReadEvt Visor de eventos de Windows 7 yaru (Yet Another Registry Utility) // regdump o regripper pasco (Analizador de index.dat - MSIE)
Software instalado
Logs de seguridad: usuario admin
Petando las cuentas bkhive <system_hive> <clave.txt> samdump2 <SAM_hive> <clave.txt> http://crackstation.net 20 Usuarios Administradores: 3 (Administrador y admin) Usuarios: Primera letra nombre + Apellido Contraseñas vacías: 3 (1 de ellos admin ) Contraseña 1234: 10 usuarios!!! Usuario admin -> Contraseña vacía // Grupo admin // Último cambio de pass: 21/01/2008
Investigando al usuario admin En C:\Documents & Settings\admin\Mis Documentos ChromeSetup.exe CCleaner.exe NW.rar Fecha de creación del 12/11/2013 en adelante (logs desde el 16/11/2013) jo sóc admin Análisis de actividad en directorio de usuario admin entre 16/11/2013 y 25/11/2013 (Autopsy)
C:\Documents and settings\admin \Configuración local\historial \History.IE5\index.dat
Where are you from, babe?
Round I: Rusia sver.exe -> Framework.NET z.exe -> desde varios sitios (o redirects) jetswap FTP://46.254.18.79/Allyouneed -> Opera + Chrome
Round I: Rusia z.exe -> autoejecutable comprimido Sugiere C:\WINDOWS\system32\drivers\h\ Protegido con contraseña FAIL!
Round I: Rusia C:\Archivos de Programa\ss 1.0K./3/3.bat 37K./3/instsrv.exe 16K./3/srvany.exe 3.5K./3/ss.reg 3.5K./3/ssArchivos.reg 3.5K./3/ssProgramme.reg 3.5K./3/ssProgrammi.reg 72K./3 98K./3.exe 512./auth.txt 15K./block.txt 512./crashes.txt 21M./jet.exe 512./lastsid.txt 1.0K./log.txt 512./prevsid.txt 154K./prtest.exe 1.5K./SafeSurf ABUSE README.txt 446K./safesurf.exe 1.9M./skybound.gecko.dll 21K./surfguard.exe Además un directorio./f/ con: DLLs Chrome Profile
Round I: Rusia Directorio./3/ 3.bat Sobrescribe instany.exe y srvany.exe en %WINDIR%/system32/ Para y elimina Windows Disk Service y Microsoft.NET Framework v5 Instala como servicio %WINDIR%/system32/ srvany.exe Dependiendo del idioma ejecuta un.reg que crea una instancia de app.net a Application"="\"C:\ \Archivos de programa\\ss\\safesurf.exe\
Round I: Rusia Directorio./f/ Perfil de Firefox usado Ficheros: cookies.sqlite // sqlite-shm // sqlite-wal places.sqlite // sqlite-shm //sqlite-wal
Round I: Rusia SafeSurf ABUSE README.txt ENGLISH VERSION BELOW Если вы обнаружили этот файл, на вашем компьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке hwp://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.! If you found this file on your computer installed SafeSurf, designed for browsing by users of the system JetSwap If you own a computer and the program was installed without your consent or knowledge, go to hwp://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx The user will be blocked and the program will be deleted from your computer. We apologize for the acyons of one of our users who abuse the system.
Round I: Rusia http://jetswap.com
Round I: Rusia http://www.jetswap.net
Round I: Rusia Analizando la navegación C:\Documents and Settings\admin\Configuración local\ Datos de programa\google\chrome\user Data\Default\History
Round I: Rusia Neteller sqlite> select * from keyword_search_terms; 2 20 туеуддукюсщь туеуддукюсщь
Round I: Rusia Neteller
Round II: China No accesibles en el momento del análisis Cache IE -> C:\Documents and Settings\admin Configuración local\archivos temporales de Internet\Content.IE5
Round II: China svchost[1].exe %e6%89%ab%e6%8f%8f%e5%99%a8[1].rar C:\Documents and Settings\admin\Mis documentos\ 扫 描 器
Round II: China Haozip -> Como el Winzip pero en chino Liuliangbao_9198.exe C:\Documents and Settings\admin\Datos de programa\liuliangbao y LiuliangbaoEx
Round II: China www.liuliangbao.cn
Round II: China URLConfiguration.xml
Round III: Ransom! Activity Malware para navegación automática Neteller, etc,
Round III: Ransom! work.exe Truecrypt NW.rar admin
Round III: Ransom! My Downloads work.exe -> Autoejecutable con: Firefox Portable Legacy Opera CCleaner ChromePortable.
Round III: спасению R E A D M E.txt Malware para navegación automática Neteller, etc,
Round III: Ransom! Negociando el спасению Malware para navegación automática Neteller, etc,
Foremost Recuperando información
Conclusiones Atacantes: Rusia -> Navegación automática -> Dinero China -> SEO -> Dinero Rusia -> Extorsión -> Dinero Mala seguridad no! muy mala Si la contraseña de admin no se cambió nunca y era vacía cómo aguantó desde 2008 la máquina sin que la atacasen más?
Preguntas? Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault