"Security & Pure Forensics"

.

sábado, 7 de enero de 2012

Pávlov el zombie - Un caso de extorsión (I)



Hola lectores,

Arturo y Eli son socios y jóvenes emprendedores dedicados en cuerpo y alma a un proyecto que idearon en la universidad hace cinco años. Se dedican en exclusiva a desarrollar aplicaciones en modo SaaS para empresas en el ámbito de medio ambiente y desde que comenzó el proyecto hoy cuentan con setenta empleados que no es poco en la crisis que vivimos.

El único problema digno de mención surgió hace dos años con un empleado que resaltaba por su brillantez a la hora de programar. Tenia un hueco y futuro en la empresa pero dado su carácter y forma de ser no acepto tener una mujer como responsable de equipo. Con el tiempo las relaciones entre los componentes fueron a peor y Arturo y Eli decidieron tras una gran discusión con este que debería de irse aún perdiendo un estupendo programador. La cosa se hizo de mutuo acuerdo y se despidió.

El tiempo pasa y la vida continua y esta magnífica empresa empieza a dar muy buenos resultados abriendo delegación en Brasil. Arturo y Eli mientras tanto son premiados por la Cámara de Comercio por su buena trayectoria. Deciros que hoy en día esta empresa tiene novios con objeto de ser comprada.

UN ZOMBI EN MI BUZON DE CORREO

El pasado mes de Noviembre Eli recibe un correo con una mala traducción al Español indicando que debe de pagar 90.000€ a una mafia ubicada en Rusia. En caso contrario "Pávlov el Zombie" que es como se hace llamar, le comunica que tras el plazo de siete días procederá a apagar los servidores de la empresa.

Por su puesto Eli, ve en el correo una broma y decide olvidar el asunto hasta que efectivamente al séptimo día y como bien dice ella "se forjo la maldición" y uno de los servidores de Active Directory se apago ordenadamente en plena ebullición de trabajo a las 12:00h.

En estos casos ya sabéis lo que ocurre. El responsable de sistemas empezó a recibir alertas, llamadas de sus compañeros y llamadas desde Brasil. Arturo que es alertado por el móvil no le da importancia y Eli la mínima (estas cosas pasan en todos los días en las empresas, pensó).

Pero la sorpresa fue mayúscula, cuando el administrador  inicio sesión en el servidor y apareció el escritorio, se encontró con una fotografía de Eli con su familia de fondo de pantalla. Algo raro está pasando.

Esa misma mañana deciden reunirse y ver lo ocurrido Eli comenta que fue advertida por un tal "Pávlov" llegando a la conclusión de lo que pensó que era una mal broma la cosa empezaba a convertirse en cruda realidad. Paralelamente en la tarde del suceso Eli recibe más correos de 'Pávlov el Zombie' reclamando el dinero.

Para no hacer muy extenso el post os diré que hasta ahora esto es lo que ocurrió en la empresa y que esto ocurre en Septiembre y que por 'motu' propio de la empresa y tras hablar con sus abogados deciden realizar las siguientes acciones hasta primeros de noviembre:
  • Poner una denuncia. La operativa por parte de las fuerzas de seguridad y tras orden judicial se solicita a Google que de información de esa cuenta de correo. Esto además de ser un proceso arduo y duro viene a costar entres uno y tres meses dependiendo del tipo de maldad o fraude cometido.
  • Analizar las cabeceras de los correos recibidos (que por cierto son de Gmail)
  • Revisar el servidor y puestos de trabajo en busca de troyanos
  • Cambiar las contraseñas de todos los dispositivos, servidor y puestos de trabajo
Pero lo peor estaba por venir  en Noviembre "Pávlov" alias "El zombie" reaparece y anunciaba que si no recibía el pago en cinco días antes de las 12:00h del Viernes, procedería a borrar información aleatoriamente del servidor.

Lo que antes fue una advertencia ahora se convertía en un reto dado que se supone que el control lo tiene la empresa.

ESTORNUDAR ES SIMBOLO DE INFECCION ZOMBIE

Bueno, pues lo dicho aquí es donde entramos a colaborar y allí estamos desde el Miércoles. El escenario que nos encontramos es el siguiente:

  • Cortafuegos Juniper en alta disponibilidad con balanceador de carga y dos servidores Windows 2008 con Active Directory, IIS publicando varias aplicaciones que se gestionan desde ayuntamientos y otras empresas por medio de una VPN. SQL Server 2008 como base de datos y replicadas en Barcelona en sendos servidores Windows Server 2008.
  • Una sospecha por parte de Eli y Arturo, del antiguo empleado que se marcho de la empresa de forma 'poco ejemplar'
  • y tres días solo para la hora 'H'
MIERCOLES

Con objeto de monitorizar se realizó (a la puta carrera) lo siguiente (no recuerdo muy bien el orden):
  • Se puso el Switch en modo 'port mirroring' en dos 'bocas'. En una de ellas se puso un detector de intrusos paralelamente con Wireshark a saco para capturar tráfico. En la otra se puso Spectrum de NetWitness
  • Se aplico una regla en los Juniper con un 'trigger' en log que vigilase todo el tráfico de entrada y salida de los dos servidores y del servidor de OpenVPN.
  • Se aplico una regla en los cortafuegos de Windows que comprobase todo el tráfico de salida con objeto de comparar con los Juniper
  • Se aplico la última actualización de los servidores (solo había una crítica del navegador) 
  • Se desinstalo el antivirus actual y se instalo otro más agresivo y que fuera diferente a los de la red corporativa. Es posible que 'Pávlov' pudiera saltarse la detección del  antivirus si había realizado un malware 'a medida' y mas si sospechamos del antiguo empleado.
  • Se hizo pasar la navegación de los servidores por un proxy con autenticación. De esta forma si el atacante utiliza un malware de upsss 'conexión inversa' con algún puerto no estándar quedaría registrado en el proxy y no tendría efecto.
  • Se deshabilito el servicio de terminal server (empleado solo por los administradores) y se instalo Wireshark en los servidores (si , ya se que fue un poco bruto). Esto se debe a que si el malware utiliza algún tipo de cifrado, nos sería mas sencillo de ver en la capa de red y usuario que es lo que envía y recibe. Por ultimo instalamos varias utilidades para monitorizar los procesos (decidimos no utilizar los propios del sistema operativo por si este estuviera comprometido) entre ellos Restarter y LogLady. También instalamos un syslog para que nos mandara los eventos de Windows a un pc de la instalación.
  • Con el monitor de actividad de SQL Server se comprobó el uso y funcionamiento.
  • Un compañero se dedico 'a saco' a revisar posibles vulnerabilidades en los aplicativos web
  • Tras diversas discusiones y aun sabiendo que no resultaría muy efectivo se virtualizo en VMware los servidores y sin seguir las recomendaciones de Microsoft (ver) (cosas del modo paranoico)

Y así pasamos un bonito Miércoles...

JUEVES

Vuelta a revisar todo de arriba abajo y de abajo arriba, reuniones y modo paranoico en 'ON'.

VIERNES 8:10h

Me llama Arturo y Eli casi simultáneamente indicando que han vuelto ha recibir un email avisando de que se va a proceder al borrado de datos a la hora indicada. Se informa y adjunta el email a la denuncia que se realizó a las fuerzas de seguridad. Vuelta a re-e-e-e actualizar el antivirus y revisar las actualizaciones de Windows

10:00h

Vuelta a revisar todo. Se estudia la posibilidad de avisar a los clientes, se diseña un protocolo y correo que nunca se llega a enviar. Volvemos a cambiar las contraseñas. La locura se hace evidente.  La dirección de la empresa piensa en apagar los sistemas para que no se produzca el borrado. Es decir hacer un 'haraquiri' o auto-denegación de servicio. Cosa por mi parte inadmisible dado que mueves el problema a otra fecha y no lo resuelves, además de perder datos de investigación muy relevantes. Vuelta hacer Backups por si acaso.

11:00h

Todo el mundo atento. Todo el mundo firmes y en posición de batalla, sensores, Log's y nuestra atención al filtrado de los cortafuegos, proxy's e IDS's

11:28h

Silencio total. Todos mirando el monitor. El 'acojone' y los apretones de tripa 'se huelen'

12:00h

Silencio. Todo funciona con normalidad. No se oye nada de vez en cuando un teléfono. La tecla F5 (actualizar) va 'a toda hostia'

12:05h

Revisión de log's, revisión de controles y vuelta a monitorizar

12:30h

Caras de alegría. El tipo no puede entrar. No tiene control. Todo va normal

13:00h

Alegría tensa. Primera reunión después de DEFCON 1. Pensamos que todo ha sido una 'mala pasada' y que si antes tenia el control ahora es evidente que no lo tiene. Pasamos a DEFCON 2. (Perdón por la jerga militar). Esperamos hasta la hora de comer ya hacemos hasta bromas pero no dejamos de mirar las pantallas

14:30h.

Eli y Arturo nos hacen pedir para todos unas Pizzas y coca colas. Hoy todos comemos en la sala de reuniones. La invitación a una comilona se hace palpable, pero hoy no y como dijo José Mota: mañaaaaaaaana. (NOTA: La comida se produjo pero no tan pronto como nos hubiera gustado)

16:00h.

Todos nos relajamos, el Tsunami no llego a serlo. Mas y mas bromas, somos los mejores

16:22h

LOS ZOMBIES NO DISCRIMINAN, TE COMEN SI VAS LENTO

El administrador de dominio en una copia de datos rutinaria le da error la carpeta de origen. Comprueba alertado que los datos no están. Han desaparecido delante de nuestra cara y estupefacto me quedo al comprobarlo.

También faltan las carpetas de "Archivos de Programa" aunque algunos ficheros no se han borrado debido a que están en uso. Entre los desaparecidos están los ficheros raíz y muchos archivos de la carpeta Windows. Aquí el único que se ha enterado es el visor de eventos de Windows que nos ha enviado el evento a una máquina remota.

FAIL!!!

¿Pero que cojones ha ocurrido?, ¿Como es posible?.

Ninguna alerta, ninguna alarma, el IDS's ni se entera. Los logs's de lo Juniper a cero bytes, ningún proceso ha sido creado, nadie ha tocado nada, las conexiones de red las normales con acceso y peticiones http y https. Ningún tráfico de salida desde los dos servidores y aún así este tipo ha conseguido acceso y borrado datos tal y como predijo.

Las preguntas vuelan y la perplejidad de Eli y Arturo que con la mirada lo dicen todo, hacen ver que la derrota es muy amarga. Aunque los datos se han podido recuperar y realmente ha sido lo de menos,  lo que verdaderamente mas me ha dolido en mi orgullo es que he perdido la apuesta (moral) con esta empresa con un 0-2 para 'Pávlov'. La verdad es que me senti derrotado.

Las dudas y mareos 

¿Me estaré enfrentando realmente a un hacker contratado por la mafia?, ¿Se me ha pasado por alto algún control?, ¿dispone 'Pávlov el zombie' de algún 0Day? o he subestimado el potencial de un ex-empleado...

Es momento de volcar la memoria de los servidores, analizar lo poco que tenemos,volver a recapacitar y revisar con mas profundidad los controles. Cuando se toca fondo solo hay un camino y es tirar hacia arriba.

************

Bueno el resultado técnico final y con pantallas lo tendréis para la semana que viene... no os lo perdáis por que la cosa va por SQL SERVER y no es un ataque web, ni de SQL-Injection ni por asomo un 0day, ni malware que se le parezca. También es la historia de un empeño por descubrir que ha pasado

¿Que será?...

En este mundo de Zombies veremos quien caza a quien...

47 comentarios:

Me has dejado enganchado!!! no puedo esperar a la segunda entrega!

Espero que el desenlace sea un tiro en la cabeza al zombie.

Saluodos.

cojonuda trama! ups, nos has dejado con las ganas, se trata de una bomba lógica del ex-empleado¿..? en fin.. enhorabuena por la entrada y deseando ver la segunda parte :P

El problema estaba en SQL Server? Un ensamblado CLR y jobs? A la espera de la próxima parte :)

Excelente y ameno el redactado... y engancha...

Esperaremos impacientes la resolución.


Creo que tienes un typo. Es SaaS, no SAS.

Un saludo.

Que bueno !!!

Felicidades por el post y como está escrito.

A ver cuando llega el segundo episodio !!!

Giuseppe ya lo he cambiado. Gracias a todos

Me ha gustado mucho, esperaré la próxima entrega.

Si por la red no se le ha visto entrar... ¿Será que ya estaba escondido detrás de la nevera antes de levantar el puente sobre el foso?

P.D: friki link de regalo Dead man's switch

Amazing!!! que stress leyéndolo, no quiero ni pensar como sería en vivo y en directo!!

A la espera de más!!!

¬¬ IIS? Lo que no entiendo es por qué continuasteis con los mismos sistemas que podrían estar comprometidos, se tendría que haber limpiado todo.

Y de hecho, lo que no entiendo es por qué no se hizo caso al primer aviso. Como mínimo hubiera estado bien revisar el sistema a fondo...

Comprendo que vuestro trabajo era tratar de asegurar el sistema existente, y que las decisiones técnicas sobre su implantación no fueron vuestras, pero... ¿Windows Server 2008 y SQL Server para un SaaS? ¿En serio? ¿No ha habido en la historia reciente suficientes evidencias sobre sus deficiencias con respecto a las alternativas libres y, encima, gratuitas?

Genial la narración, espero la conclusión... Seguro que toca revisión de código de ensamblados c# y recompilarlos de nuevo, o también puede ser algún Trigger que salte ante cierto dato y ejecute alguna función "perdida", o alguna llamada cmdshell. Revisaría también todos los trabajos, scripts de arranque de SQL Server, etc, así como las BDs de sistema por si ha escondido algo ahí.

Coño, esto no se hace CACA!

¿Y vamos a estar una semana esperando?

Excelente post.

Saludos,

Interesante la estrategia aplicada, será de estar esperando las consecuencias finales.

Mi apuesta es una bomba lógica, sino, estoy descolocado.

Una bomba lógica con mucho tiempo de distancia entre el despido y el ataque "desliga" al empleado.

joder esto no se hace no nos dejeis con las ganas de ver como acaba

No sé si ponerme en la piel de los dueños de la empresa o en la de los que estabais intentando echarles una MANO!!!! Madre mía que acojone!!! Espero que tenga un final feliz!!! Espero la segunda parte con ansiedad.

JCC

¿A quien le van a vender los derechos para hacer la película?

¿Y aunque la historia esta muy buena puedo sugerir que incluya pronunciados escotes y la explosión de un servidor?

Con ganas de leer el desenlace. Seguro fueron momentos tensos pero de esos que mola recordar cuando se han solucionado.

Saludos

motu proprio ... apuesto por un procedimiento almacenado o algo así invocado por una funcionalidad rara de un aplicativo web.

Guapo guapo Pedro, felicidades :-)

Mmmmh...

Como hay logs de todo el tráfico... ¿cómo no se ha detectado ese acceso? Terminal Server desactivado. La VPN monitoreada... Complicado... ¿Una shell desde el SQL Server? Si es así, me remito a mi primera pregunta. Lo de la bomba lógica puede tener sentido, pero colada en el primer ataque.

Esperando la respuesta con impaciencia!!

Que buena esta la historia me que esperando mas super interesante !

El hecho de haber narrado el incidente inicial con el programador rebelde ya revela que él tuvo algo que ver en el asunto. No conozco SQL Server, pero tratándose de una persona con conocimientos profundos como el gevo ese que se fue de la empresa, resulta obligado admitir que todo estaba ya preparado con meses de antelación. Probablemente se tratara de algo muy ingenioso, como una puerta trasera oculta por un rootkit, que el intruso utilizó en el momento de la fecha indicada en que la gente de la empresa debía haber bajado la guardia después de ver que la intrusión no se producía. Lo de la mafia rusa es tan solo un bluff ideado para disimular al verdadero culpable.

Es solo una suposición. Ni qué decir tiene que espero el desenlace con la misma impaciencia que los demás.

Para cuando la proxima entrega. ExcelenteQQQ

Eso mismo me pregunto yo para cuando la proxima entrega??? o pasará lo mismo que la entrega de donde estás-lolisex?

http://conexioninversa.blogspot.com/2010/10/donde-estas-lolisex-parte-i.html

Muy buena la hitoria, me e acordado del informaniaticos. Esperando por la segunda parte. Saludos

¿Para leer el desenlace vamos a tener que enviar un SMS premium o como va esto?

Hola a todos,
La verdad es que os pido un poco de paciencia, estoy con una carga importante de trabajo. Espero sacar el post cuanto antes.

Repito gracias por la paciencia.

Es una historia increible, estoy ansioso por saber el final.

La verdad espero con ansias... digamos que al mirar los rss miro este blog a ver si veo la parte dos... hasta lo he comentado en Twitter.

Apuesto por una SQL...
Que historia nos matara a todos...

Que pasa?!?!?! Para cuando la siguiente entrega??? Seguimos esperando con ansias la continuación, saludos desde Chiapas, México!!!

Cuando llegará el final de la trama? esto es peor que esperar a la peli "Dark knight rises" del verano!!!

interesante el post.
esperando con ancias la segunda parte

muy entretenido.

Sigo pendiente de la segunda parte

Esperando por el desenlace para saber como se coge al malo...

... pero yo apuesto a que el enemigo está dentro de casa.

Bueno, venga, va, dos meses con este blog como página de inicio ya está bien, joder. Desembucha de una vez.

La segunda parte!!! nos dejaron intrigados con la historia :/

Despues de Spartaco - La Venganza, este desenlaze es el mas esperado.

Ya 3 meses y nada, date un tiempo y termina esta intriga porfavor.

Un blog Genial! un saludo desde mamaartista.blogspot.com

L+

Muy bueno el blog, te felicito... Para hacerlo rentable te recomiendo que uses Adweblink ... Obtenes muy buenos ingresos y muchisimas visitas, Gratis. Espero que no te haya molestado mi recomendacion... Saludos !

Buenas Pedro. Esperando el desenlace. Nos vemos en tu próxima charla sobre seguridad por Cáceres.
Un saludo.

Este comentario ha sido eliminado por el autor.

bueno el proble es ke zombi manode la advertencia pero antes ya tenia herramientas listas para apoderarse de la makina komo es esto el primer error fue ke actualizaron windows y se valio de esas actualizaciones para instalarse dentro de tu server sin ke nadie se diera cuanta
acuerdate despues de la calma viene latormenta bueno el caso es ke si no hubieran actualizado poes tendrian una cosa menos por la cual preocuparse pero te aseguro ke tenia 3 o mas herramientas listas por si esa no le salia bueno es malo ke genete asi exista bueno espero te haya servido esta hipoteisi ke tengo

Es muy entretenido y animado leerlo, esto mantiene la tensión como una novela negra. Lo que tengo claro es que se podría hacer una Tv serie de investigaciones y trabajos así......y uffff por supuesto que me gustaría saber cómo acaba esto, pero puede que eso ya sea información sensible y no es posible contarlo, por el momento.