Incident Response, Security and Forensics"

.

lunes, 10 de noviembre de 2008

El caso de la tarea fantasma

Las 13:00h de la tarde. Todos los días, un servidor pone la tarea 'svchost' al 95% de CPU aproximadamente durante tres y siete minutos, durante todos los días desde hace aproximadamente dos semanas. Los administradores se disponen a formatear, dado que han monitorizado practicamente todo, hardware, espacio en disco, trafico de red, etc. etc.

Lo que voy a contar es un caso raro en el que la divina providencia se asomo a mi teclado.

MEDITACION:

Si todos los dias sobre la misma hora se 'pone en marcha' puede que este planificado.
Si se pone al 95% de CPU es que esta trabajando (evidente)

MANOS A LA OBRA:

PASO 1: VER Y PENSAR

Miramos el registro de Windows, exactamente las claves RUN y na de na.

Miramos el planificador de Windows y na de na

Monitorizamos la paginacion y na de na

Monitorizamos el tráfico y ¡¡¡oooppssss!!! na de na ¿o quizas síiii? vamos a ver que se envía y 'tachaaaannn' un monton de datos inconexos y sin sentido humano, ¿estara cifrado?. Lo unico curioso es que intenta una conexión a 'https://tmss.trendmicro.com/dashboard', algo es algo, pensamos que puede ser el antivirus.

PASO 2: DESCARTAR

Procedemos a parar los servicios del antivirus, ¿que ocurrira?, na de na.
Son las 13:05h y todo sigue igual, se pone al 95%. ¡¡Mierd#@!!

Volvemos al principio...voy a proceder a 'dumpear' la memoria.

PASO 3: DESCUBRIMIENTO

Una vez dispongo de la memoria en fichero 'WINSRVFANTASMA.DMP' procedo a utilizar las herramientas de debug ' memparser' en su edición comercial.

Este es el resultado que muestra el comando lsproc para ver los procesos que se estaban ejecutando en memoria:


y vemos especialmente uno que nos llama la atención (PID 820, el nombre 'raro' del proceso lo busque en el google) y que parece ser que es el proceso residente en memoria del antivirus. (Esto casa con el trafico http monitorizado.)

Para ver que hace este proceso procedemos a ejecutar el conado pd en la máquina y nos disponemos a buscar claves como 'trendmicro', 'vir', 'antivi'; En una de esas muestras nos encontramos lo siguiente. Como veis parece revelador


¿Una tarea?, ¿pero si no habia ninguna?. Vamos a repasarlo pero esta vez con todas las sospechas, vamos a ver si estan ocultas con el comando attrib.

JEjE!!, ¡¡con que era eso!! , una tarea oculta en planificador de tareas. Algo tan simple que me podia haber evitado horas de trabajo.

Procedo a revisar las tareas y veo que la tarea culpable es 'x0_001.job', la cual intenta conectarse a los servidores de trendmicro y descargarse una actualización. Por lo que sea no conseguia actualizar y reintentaba la descarga de las firmas sin conseguirlo.

Fue cuestión de eliminar la tarea y... ¡¡¡tachaaaaannn!!! a funcionar normalmente.

La pregunta que me quedo en el aire y que nadie pudo resolver es: ¿quien hizo la tarea para que se actualizara, siendo que el propio antivirus dispone de una clave en el registro que le indica donde se tiene que actualizar?, ¿porque estaba oculta?, ¿quien la oculto?, ¿fue el Windows o un proceso defectuoso?.

Sea lo que sea, se desinstalo el producto y se volvio a instalarlo de nuevo, eso si, se reviso la configuración y ya no aparecio la tarea fantasma....

Seran cosas del día de los santos....o de Halloween.

Conclusion:

Lo que se ve no es lo que es. Todo el mundo miente, hasta el windows.

PD:
Agradecimientos a los administradores del centro de formación de CAI, que me proporcionaron el poder investigar en el servidor.

0 comentarios: