Incident Response, Security and Forensics"

.

martes, 27 de octubre de 2009

Fugas de Información: ¿donde están los planos?

Hola lectores,

Se ha puesto de moda esto del análisis de tráfico de red.
Lo han explicado perfectamente Juanito en su post, al igual que GigA y Neofito. Yo me sumo a esta campaña de 'analiza el tráfico de tu red' y voy a poner mi granito de arena sobre este tema con un análisis forense en un caso de fuga de información.


CASO: ¿DONDE ESTA MI PLANO?

En este caso vamos a estudiar como recomponer el tráfico con objeto de reproducir la actividad de un individuo que ha realizado desde su puesto de trabajo diversas formas de fuga de información, enviando planos industriales de su departamento de I+D+I a sitios ya acordados con su competencia a cambio de una compensación económica (Fraude).

Pinchamos el sniffer en la salida del tráfico a internet y lo dejamos durante unos días monitorizando las ip's que potencialmente sean sospechosas. También hemos mandado un 'cebo' con un correo al personal técnico de I+D indicando que hemos dejado los nuevos prototipos en una carpeta compartida de red. (carpeta que por supuesto es auditada desde Windows Server).

Una vez pasados los días obtenemos un gran fichero en formato 'pcap'. Calculamos su huella y realizamos una copia con objeto de analizar su contenido.

¡¡Empezamos!!

La utilidad seleccionada para estos avatares es NetWitness investigator.

Este producto, proporciona al investigador un análisis detallado sobre las actividades maliciosas existentes en una red y está diseñado para cubrir las carencias de otros productos de seguridad, llevando a cabo análisis de auditoría y antifraude.

Dispone de una versión gratuita (que vamos a utilizar) y que ofrece todas las funcionalidades de la herramienta comercial. Soporta hasta 25 usuarios simultáneos con un rendimiento de captura de datos de hasta 6 GB.


Lo primero que vamos a realizar tras la importación del fichero 'pcap' es navegar por los datos obtenidos, según la siguiente imagen


pantalla 1

Una vez realizado vemos en la siguiente imagen (hay que ampliar la imagen) datos reveladores de accesos desde la ip sospechosa a rapidshare. Sigamos investigando...


pantalla 2

Esta utilidad tiene la ventaja de filtrar dinámicamente, es decir por los propios resultados obtenidos, existiendo una opción que permite reconstruir los paquetes tal y como fueron utilizados. Tras un buen rato de dejarse los ojos, decidimos aplicar esta opción y vemos (en la pantalla siguiente) que desde la IP sospechosa se accedió a la página de 'upload' de rapidshare, entendemos que con la intención de 'subir' algún archivo


pantalla 3


También incorpora un 'timeline' que permite reconstruir en la misma linea de tiempo todo lo acontecido en ese momento. Como vemos en la siguiente pantalla nos da el mejor dato revelador y es el link que rapidshare proporciona para que los usuarios puedan realizar la descarga


pantalla 4

Ademas viendo esta información vamos a corroborar lo visto filtrando los paquetes de datos buscando la expresión 'POST' y el dominio Rapidshare. Indicativo de que se ha enviado algo hacia ese servidor. Si nos fijamos en la siguiente pantalla nos encontramos con el nombre del fichero que se ha mandado '7777.jpg'


pantalla 5

En vez de exportarlo, cosa que tambien realiza NetWitness, vamos a aceder a la página web que nos proporcionaba el link de la pantalla 4 desde nuestro navegador.

¡¡ e voilà!!. Tenemos el plano fugado.



pantalla 6

Ahora todo queda en manos de la empresa que tramitará su correspondiente denuncia.

También deciros que esta herramienta reproduce las conversaciones del messenger y cualquier aplicación de audio y vídeo

4 comentarios:

Hmm, no conocía el netWitness, por lo que leo y veo facilita la reconstrucción del tráfico de red y establece un timeline al menos más sencillo de ver que el de Wireshark. La apunto ^^

Salu2

Sí, yo también usaba el Wireshark, mucho mejor y más fácil el netWitness. Grácias.

EvidenceCrawler
http://evidenciasdigitales.blogspot.com

Ya he entrado más a fonde en el NetWintess, dada la gran información que te da (conversaciones messenger, correos etz..) És legal usar esa información? no infringe la LOPD? ya que, en cierta parte, és una invasión de la intimidad.

Hola ECrawler, te respondo en mi siguiente post, dado que están surgiendo muchas dudas al respecto.

Gracias!!