un caso forense: la red y la memoria ram
DESCRIPTION
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A CoruñaTRANSCRIPT
![Page 1: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/1.jpg)
Francisco Alonso Alejandro Ramos
Security By Default
![Page 2: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/2.jpg)
Manager del TigerTeam de SIA Profesor en el MOSTIC de UEM Editor de
SecurityByDefault.com Blah Blah…
Security Researcher Hardening Ethical Hacking en Banca y
Telecomunicaciones Colaborador de la revista
hakin9 y cryptome.org ¡Mercenario a tiempo
completo!
2 SbD
![Page 3: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/3.jpg)
![Page 4: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/4.jpg)
Análisis forense de disco duro (/home) No existe un único objetivo en el juego Desde el 6 de Octubre hasta el 15 de Octubre Existen hasta 4 hallazgos importantes «¿Cuál es el título de la película?» http://noconname.org/concursos/okin.dd.bz2
4 SbD
![Page 5: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/5.jpg)
md5sum okin.dd && cat okin.md5 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd 9c9a5e0d25dd57db10c99e84d9b03d48 okin.dd mkdir okin_fs sudo mount -o loop,ro,noexec,nodev okin.dd
okin_fs/ find okin_fs/ . -exec file {} \; find okin_fs/ . -exec ls -l --full-time {} \; -exec file {} \;
5 SbD
![Page 6: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/6.jpg)
SbD 6
![Page 7: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/7.jpg)
SbD 7
![Page 8: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/8.jpg)
SbD 8
-----BEGIN PGP MESSAGE----- Charset: ISO-8859-1 Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ hQEOA78AQh2Ts7oPEAP+OtZIwwX2Uo92a7sCwko4DwbzmGQ64yIp6cqkTVoa+sF/ 6addCvMmIMey7UyNFzU2+qL3GD+4EO0c+v+/KYDRGr6sfUYVvsDfWwOUtKeKxZ4k rYlKmWmn5yGPVbgD5KZLUD85Bvoo375fzK2IpWNUhNUhMfj/oZk1ssuzKPpbFFwD /iR6Wrwf/dtwii+49Cca7Pi1flVXBAtm14941nNKT+DVvw0Jci1eUc5tBseai0Yp 56AlWE3J7CjpL7Jngc8YGrvPbPMxYS8gz73fvnffPURMRLEt3Joqb2G3OOZcwC0N 82iXk10nMDJbCVahG/P8agbQupZ0hfnvPplA/dJmm6Xw0sBsAVUsw03nV1qcV8l6 2ORFd8qPIxrR/LULWxMVzXMtIjR+SjZzeGhSF2LEVurGO4JECjr6T6OFpOpFOzT3 Bll2bytuTE7ALH+KEL9bpUkCebVoezvSqQn+Jvm7CiQQfv/7KfShJSFol4QSqffz 6/UK4WjA1RtN/iaN2Y2w6u+uCnrt0ACPLwnLSMHjpIxrDOIedXk6XBG6PM+xYkHd iXx9dR5tZ+pZ2A6GttCopsSaLEFNmBDfjMICaoP8z9UNLGvg+t9lRtlzn5ylvFzy 7gsyyDGm/waEmddZjJKwMVQuFkGA82syibBGELB7YZJXYMXhghxEJQxnEDfSwKyi p1h2J0xMtW0wouZIRNMTGAD64rO0SYDXyMliVz7vUn8iK5z5uaFH3Isq89HAeGzu =3D5zru -----END PGP MESSAGE-----
![Page 9: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/9.jpg)
Fichero con contraseña Se prueban las encontradas en el
.bash_history No sirve ninguna :-( ¿Fuerza bruta? (suponemos que no)
SbD 9
![Page 10: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/10.jpg)
SbD 10
![Page 11: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/11.jpg)
for i in `cat inodes`; do icat -r okin.dd $i >$i; echo $i; done
SbD 11
![Page 12: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/12.jpg)
SbD 12
![Page 13: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/13.jpg)
SbD 13
![Page 14: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/14.jpg)
SbD 14
![Page 15: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/15.jpg)
SbD 15
![Page 16: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/16.jpg)
SbD 16
![Page 17: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/17.jpg)
“El cuerpo humano genera más bioelectricidad que una pila de ciento veinte voltios y más de veinticinco mil Julios de calor corporal Combinado con una forma de fusión, las máquinas
habían encontrado toda la energía que podían necesitar Existen campos, Neo interminables campos donde los seres humanos ya
no nacemos Se nos cultiva “
SbD 17
![Page 18: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/18.jpg)
SbD 18
![Page 19: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/19.jpg)
![Page 20: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/20.jpg)
Multidisciplinario
tareas organizativas
tecnológicas
legales
Individual o hasta 5 personas Desde el 6/09 hasta el 5/10 Requisito: estar inscrito en la NcN
20 SbD
![Page 21: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/21.jpg)
1. Irina pide ayuda a su primo Sergei, para vengarse de su novio (Andres) que trabaja en un banco
2. Sergei adquiere un 0day y un panel de control a dos personas. Fabricando un malware
3. Irina manda el malware como foto a su ex-novio Andrés.
4. 20 personas son infectadas cuando la foto es reenviada por email
5. El servicio de HelpDesk del banco detecta actividad anómala en el puerto 80 y activa las alarmas. 21 SbD
![Page 22: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/22.jpg)
Contención del incidente Identificación de evidencias Análisis de la causa raíz Determinación de controles que han fallado Identificación de medidas preventivas Planificación en tiempos de la implantación
de soluciones
22 SbD
![Page 23: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/23.jpg)
Volcado de memoria Captura de red (pcap) Mapa de red Elementos tecnológicos
http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz 23 SbD
![Page 24: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/24.jpg)
24 SbD
![Page 25: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/25.jpg)
SbD 25
![Page 26: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/26.jpg)
http://irinarubitaru.heyup.me/irina.jpeg http://213.27.212.99/s/main/bt_version_check
er.php?guid=ANRES!WS001!C4510E2C&ver=10070&stat=ONLINE&cpu=37&ccrc=30C670B2
http://213.27.212.99/s/formgrabber/websitecheck.php
SbD 26
![Page 27: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/27.jpg)
SbD 27
![Page 28: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/28.jpg)
13:39:53 - Error 404 en el portal heyup.me (acceso no valido)
13:43:31 - Usuario Andres realiza búsqueda en Bing en IE searchbox "restaurantes italiano vía augusta"
13:44:22 - Usuario Andres accede a portal www.eltenedor.es como resultado de la búsqueda anterior
14:10:00 - El perito accede a mdd.sourceforge.net y procede a su descarga
14:16:51 - Una vez finalizado el memdump el bot continua funcionando y siguen existiendo peticiones
SbD 28
![Page 29: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/29.jpg)
SbD 29
No, no hay Exif ¬¬
![Page 30: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/30.jpg)
Filtrar el destino en elementos de red (firewalls y proxy) (IP: 213.27.212.99 y 209.190.24.4/irinarubitaru.heyup.me)
Comprobar sistemas antivirus en SMTP y HTTP
Envío de muestra a compañía antivirus
30 SbD
![Page 31: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/31.jpg)
«strings» de sysinternals
USERNAME=andres
USERPROFILE=C:\Users\andres
Fichero temporal sospehcoso C:\Users\andres\AppData\Local\Temp\Temp3_irina[1].zip\irina.jpeg
http://213.27.212.99/s/formgrabber/websitecheck.php
http://213.27.212.99/s/main/bt_getexe.php
31 SbD
![Page 32: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/32.jpg)
SbD 32
<b>Warning</b>: mysql_close(): supplied argument is not a valid MySQL-Link resource in <b>/mnt/sdb/home/irodriguez/spy/s/formgrabber/mod_dbasep.php</b> on line <b>28</b><br />
![Page 33: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/33.jpg)
Procesos en ejecución Conexiones abiertas DLLs cargadas por proceso Ficheros abiertos por proceso Descriptores abiertos por el registro Módulos del kernel Extracción de ejecutables Plugins
33 SbD https://www.volatilesystems.com/default/volatility
![Page 34: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/34.jpg)
- Windows Symbol Package (Windows Vista) http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx
PDBparse, Open-source parser for Microsoft debug symbols (PDB files) http://code.google.com/p/pdbparse/
Ultima version de Volatility svn Modulo Construct como dependencia para pdbparse Generar el fichero de definicion de simbolos,
ntkrnlmp.pdb, (Windows Vista Kernel) Crear el profile de WindowsVistaSP0 y lanzar Volatility
con su parametro -profile SbD 34
![Page 35: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/35.jpg)
SbD 35
![Page 36: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/36.jpg)
SbD 36
![Page 37: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/37.jpg)
SbD 37
Similar a ZeuS (competencia directa) Creador ruso «magic» C++, ring3 Keylogging Kill Zeus! Se actualiza automáticamente Se configura según config.bin
www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393
![Page 38: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/38.jpg)
SbD 38
![Page 39: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/39.jpg)
Realización de script para la eliminación manual del malware - ¿dominio?
Inyección de contenido basura en el «form_grabber»
Verificar política de parches ¡¡Usar Patriot NG!!! Ehm… ¡pwning! =]
39 SbD
![Page 40: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/40.jpg)
<? # Database define('DB_SERVER', 'localhost'); define('DB_NAME', 'sp'); define('DB_USER', 'sp'); define('DB_PASSWORD', 'aabbcc'); # Admin define('ADMIN_PASSWORD', 'tocame'); # Config define('CONFIG_FILE', 'bin/config.bin'); # Setting timezone for php //putenv("TZ=US/Eastern"); //hmmm .... timezone_identifier // or ... "date.timezone = UTC" in php.ini ?>
SbD 40
![Page 41: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/41.jpg)
Mantener la cadena de custodia Llevar a cabo análisis forense por un tercero Cursar denuncia con cuerpos de seguridad
41 SbD
![Page 42: Un caso Forense: La Red y la Memoria RAM](https://reader033.vdocuments.mx/reader033/viewer/2022060123/559706151a28abbb0e8b45ef/html5/thumbnails/42.jpg)
42 SbD
@revskills @aramosf @secbydefault