DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

domingo, 30 de noviembre de 2008

Logo









viernes, 28 de noviembre de 2008

Audit viewer

Audit Viewer

Es una herramienta 'free' en entorno gráfico para Windows y Linux, que permite examinar 'en humano' el resultado de los ficheros XML que crea Memoryze y de la cual ya comente en un anterior post

Para ejecutarla se precisa de Python 2.5 o 2.6 y la librería 'wxPython' instalada

Se puede descargar desde las siguientes url's:

• http://www.python.org
• http://wxpython.org/download.php#binaries

Y el ejecutable del 'Audit Viewer' lo podéis descargar desde aquí

Las ventajas que incorpora son:

Búsqueda de ficheros, procesos, ejecutables que puedan estar alterados (packers), eventos, claves del registro, búsqueda de texto y expresiones regulares. También permite la detección de anomalías y ademas las marca como sospechosas

Vamos que me podía haber evitado horas de prueba, fallo y de trabajo como hice en el post de MEMORYZE contra MALWARE

Aquí tenemos una imagen del producto en cuestión:

jueves, 27 de noviembre de 2008

Creando scripts forenses con LogParser (II)

Identificando ataques por fuerza bruta

Pues eso, el titulo es de lo más sugerente, pero en esta ocasión vamos a utilizar dos scripts.

El primero nos va a contar el número de inicios de sesión incorrectos, de esta forma nos hacemos una idea de la cantidad de 'logones' por usuario. Este es el script y a continuación el resultado






El segundo script va un poco más alla y nos cuenta los logones incorrectos por usuario, horas y por dias.



Con estos dos scripts podemos estudiar si alguno de estos usuarios es utilizado por alguna herramienta automatizada que intenta por medio de diccionario u otro medio entrar al sistema.

En la anterior imagen, podemos comprobar que el Administrador,Anna y Luis, tienen demasiados fallos en el inicio de sesión, por lo que que habría que estudiar cual es el motivo. En el script podemos ajustar el tiempo para que lo muestre por minutos, dandonos una mejor visión.

miércoles, 26 de noviembre de 2008

Creando scripts forenses con LogParser (I)

Monitorizando las actividades de los usuarios

Monitorizar la actividad de los usuarios es un proceso importante en una revisión forense. Revisando la actividad nos puede dar una idea de como esta la política de seguridad de los servidores, también en ocasiones puede ser un indicador de solución de problemas. Casi toda la actividad de los usuarios suele estar reflejada en los ficheros de log's del sistema.

La revisión de los ficheros de extensión EVT (ficheros de bitácoras del sistema o como todos conocemos en Windows, como visor de eventos) es en ocasiones muy tedioso y algo complicado de entender, la codificación de errores, la terminología y los sucesos son muy opacos y poco 'humanos' a la hora de ser estudiados.

Una vez más lo mejor es utilizar la propia utilidad del visor de eventos del sistema o herramientas de terceros para exportar a un sistema de ficheros que podamos agrupar y ver con más claridad. Por ejemplo en Access o Excel.

Yo particularmente y por seguir el post anterior sobre Log parser, vamos a emplear una serie de scripts basados en SQL que nos van a permitir listar de una forma sencilla una lista de inicios de sesión que hayan fallado.

Creando el script para listar los inicios de sesión fallidos

1.- Instalate el Log Parser.

2.- Create con un editor el siguiente fichero 'logones_fallidos.sql' y escribe el siguiente contenido:


3.- En linea de comandos escribe la siguiente orden y pulsa intro:

c:\log parser 2.2>Logparser.exe file:logones_fallidos.sql -i:EVT -o:datagrid

Veras una ventana con la lista filtrada del visor de eventos de seguridad de aquellos usuarios que han realizado intentos fallados de entrada al sistema

Nota:

Los eventos del 529 al 539 que estan en el fichero de 'logones_fallidos.sql', corresponden a eventos relacionados con la siguiente tabla:

Para más referencia visitar: http://technet.microsoft.com/en-us/library/cc787567.aspx

LogParser

Hace unos días que quiero hablar de una herramienta que utilizo muy a menudo, gratuita y muy útil, ella es LogParser.

Log Parser es una fantástica utilidad que permite analizar diversas fuentes de datos o de ficheros log's.

La última versión de Log Parser puede hacer cosas como:

Buscar en los registros de sucesos

Buscar en el sistema de archivos

Buscar objetos en Active Directory

Buscar archivos de registro de cualquier tipo y formato. Por ejemplo, Log Parser puede buscar registros que utilicen el formato de archivo de registro extendido W3C. Los registros que utilizan este formato son: los registros del servidor de seguridad personal; los registros de Microsoft Internet Security and Acceleration (ISA) Server; los registros de Servicios de Windows Media; los registros de seguimiento de Exchange; y los archivos de registro de Protocolo simple de transferencia de correo (SMTP). Y formatos como logs de APACHE

Buscar en los registros de Servicios de Internet Information Server (IIS), en los archivos de captura de Netmon, en el Registro

También utiliza de forma nativa el lenguaje SQL, si estas familiarizado con este lenguaje la curva de aprendizaje no deberia de ser un problema para ti.

Log Parser da solución a preguntas de este estilo:

¿Quieres saber cuántos sucesos de cada tipo de Id. hay en los registros de sucesos? . No hay problema; Log Parser puede hacerlo. También se puede utilizar comandos del tipo ORDER BY o TOP por ejemplo, para mostrar los 10 archivos más grandes del disco duro

Se puede ejecutar Log Parser desde el símbolo del sistema o utilizar los diferentes productos en formato gráfico que hay disponibles desde San Google

La velocidad de ejecución es sorprendente, por ejemplo si queremos buscar en un disco de un terabyte ficheros con extensión MP3, tan solo tarda once segundos.

La verdad es que es una herramienta increíblemente útil (¡y gratuita!)

Para utilizarlo descarga Log Parser y aprende a manejarlo, ¡¡te sorprendera!!

lunes, 24 de noviembre de 2008

MEMORYZE contra Malware

Dice el INTECO que de cada tres ordenadores uno esta infectado con algún tipo de Malware.
Lo que me sorprende es que afecte a servidores, los cuales yo creía que estaban más protegidos.

Esto es un indicador preocupante y en el que los administradores en algunos casos utilizan en extremo la cuenta de administrador para navegar (por donde no se debe) en un servidor o instalar aplicaciones sin ningún tipo de buenas practicas.También indica que no se instalan los antivirus en servidores o no esta correctamente 'parcheado' el sistema.

El caso que vamos a ver hoy es un servidor Windows 2003 con un Rootkit y troyano emisor de Spam y pornografía. El como fue a parar al servidor lo dejamos para la especulación.

Primero comprobamos los procesos activos en memoria, para ello utilizamos las pstools y concretamente pslist., como podemos observar en la pantalla no aparece nada extraño. Pero nos quedamos con la idea de que hay en exceso muchos procesos lanzados por 'svchost'























Para no fiarnos vamos a ver los puertos que tiene activos y donde se conecta, para ello procedemos a ejecutar 'fport'. La sorpresa con la que nos encontramos es que dice que tenemos que ser administrador para ejecutarlo, cuando realmente ya lo somos... caso raro. Empieza a 'oler' mal



Voy a ejecutar el netstat y comprobamos que se conecta a una ip de la red donde pertenece , con terminal server. Tras diversas pruebas vuelvo a ejecutar el netstat y...¡¡.sorpresa!!!, ved vosotros mismos. No aparece nada, y de ahora en adelante ya no volverá a mostrar nada el netstat. Algo o alguien a activado un proceso que me oculta las conexiones.



Voy a volver a ejecutar el pslist para ver si se ha ejecutado un proceso en memoria...y...¡¡¡upss!!!
!!NO FUNCIONA!!.

El comando pslist existe dado que lo baje yo de internet, pero algo lo esta tocando, porque si que lo ejecuta pero no ofrece ninguna salida por pantalla. Tiene toda la pinta de un rootkit, a este paso no me dejara ejecutar ningún comando legitimo.



LLegado a este punto y con toda la probabilidad de que sea un troyano voy a pasarle el rootkit revealer, dado que parece que el NOD32 no se entera. Voy a descargarmelo de sysinternals y otra 'sorpresa' .Ni firefox ni chrome me dejan acceder al anti-rootkit. Muchas sorpresas para este servidor. Sin embargo permite navegar a otras url's.



No queda otro remedio, vamos a estudiar en profundidad los procesos, para ello me decanto por hacer una copia del disco duro y estudiarlo tranquilamente, pero parece que en la empresa todo corre prisa y no se puede apagar el equipo.

Es hora de llamar a nuestro super héroe 'memoryze'.

LA LLEGADA DE MEMORYZE

Memoryze permite llevar a cabo un amplio estudio de lo que se está ejecutando en un sistema o lo que se ejecuta en el. Memoryze puede identificar todos los procesos y controladores cargados. En el caso de los procesos, puede profundizar para encontrar todos los puertos abiertos por un proceso, todas las cadenas utilizadas por un proceso abierto y todos los componentes de un proceso incluido los nombres de archivo, las claves del Registro, y muchos más.

Para descargarnos 'Memoryze' se puede hacer desde aquí. Este software es gratuito y no se dispone del código fuente.

Memoryze dispone de una serie de scripts basados en ficheros bat y xml, que le pasan parámetros a un ejecutable (memoryze.exe) y obtiene los resultados también en formato XML. Cada script tiene una función especifica.

MemoryDD.bat ejecuta AcquireMemory.Batch.xml:
Permite crear una imagen de la memoria

ProcessDD.bat ejecuta AcquireProcessMemory.Batch.xml:
Permite adquirir un proceso especifico como direcciones de memoria, stack, heap, DLLs, EXEs, y ficheros NLSs

DriverDD.bat ejecuta AcquireDriver.Batch.xml:
Permite adquirir un driver de la memoria o todos los drivers

Process.bat ejecuta ProcessAuditMemory.Batch.xml:
Muestra información de puertos abiertos, ficheros,claves del registro y cadenas de texto

DriverWalkList.bat ejecuta DriverAuditModuleList.Batch.xml:
Permite enumerar llamadas al Kernel

HookDetection.bat ejecuta RootkitAudit.Batch.xml:
Permite identificar llamadas al kernel en modo memoria manteniendo la integridad del sistema

Nosotros vamos a ejecutar diversos scripts para ver el resultado que nos dan en la maquina comprometida dado que no puedo apagar el equipo. Lo que expongo a continuación esta en formato resumen, dado que casi todo se encuentra en el manual, sobre todo en cuanto a las configuraciones se refiere.

Proccess.bat

Una vez configurado el fichero Bat, lo lanzamos y después de unos veinte minutos nos ofrece el resultado de procesos, en el aparecen en color amarillo aquellos que pueden resultar sospechosos.



A continuación modificamos el script con los parámetros adecuados para capturar (repito todo esta en el manual) los procesos sospechosos y le indicamos al programa que realice un volcado de 'strings' para ver si podemos observar algo relevante. Una vez realizado, este es el resultado de uno de los procesos que se llama IG95MEM



Para su comprensión mas sencilla, se exporta a texto los procesos y fijaros que cositas nos dice:

Captura como sospechoso entre ciento de otras cosas:

----> Combinación de teclas
----> ¿post? y URL. (De china y con un SQL inyection de caballo)



Vamos a pulsar la combinación Ctrl+Alt+Shift y ¡Guao!

Este es el resultado, aparece en forma residente un programa espía, (que por cierto se salta el antivirus NOD32)



Esta ¿utilidad? es un programa que se puede descargar de 'http://www.monitoring-spy-software.com/' y es un producto con la finalidad de monitorizar y espiar el acceso al equipo.

El producto es comercial y te garantizan tras el pago de 30$ que te dan mantenimiento para que los antivirus no lo detecte.

Estos programas legítimos o no, rompen la barrera de la privacidad, además de no saber muy bien si esos datos viajan a otros ordenadores sin nuestro consentimiento. Particularmente sospecho de este tipo de programas

CONCLUSIONES

Entiendo, que este servidor fue comprometido de forma intencionada con la idea de administrar o espiar. También podría ser como comentaba anteriormente que se hubiera administrado de forma muy relajada o que incluso no hubiera sido un administrador.

Lo curioso del tema es que siguiendo con la investigación te das cuenta de varias cosas:

1.- Todo se ejecuta con cuenta administrador, no hay usuarios ¿?. Quizás sea parte de la actuación del troyano.

2.- Después de revisar el 'timeline', fechas,accesos y creación de ficheros nos damos cuenta que el comando netstat es un fichero BAT que contiene lo siguiente: Es evidente que ha sido sustituido y manipulado.



3.- Memoryze es una buena herramienta para ejecuciones 'en vivo' ya que mostró los procesos extraños y sus entradas, pero además en sucesivas ejecuciones con otros scripts y con diversos parámetros, dedujo que tenia un rootkit 'FU' inyectado en el ejecutable notepad.exe ' Era uno de los procesos del admon de tareas con nombre svchost' (mas tarde se confirmo pasándole un antivirus actualizado después de pasar el NOTEPAD por virustotal)

4.- Ejecutando 'filemon' de sysinternals mostró una entrada 'WRITE' que apunta a un directorio temporal con ficheros con pornografía. (se procedió a realizar una copia de seguridad) :)

5.- Se detecto envío de trafico por el puerto 80 de salida a la dirección IP troyanizada de China anteriormente mostrada. Para analizarlo se capturo el trafico con TCPDUMP para Windows y se dedujo dado el tamaño y contenidos de los paquetes que se enviaban imágenes.

REFLEXION:

En el caso que nos aborda, la desinstalación de este malware es muy complicada, ya que no sabemos que otros programas de la instalación de Windows pueden estar modificados o troyanizados. Lo mejor es formatear y empezar a recuperar datos de la copia de seguridad, dudo mucho de recuperar ficheros ejecutables de la copia, dado que esta puede contener malware embebido en los propios ficheros de Windows.

En fin, me temo que el INTECO esta en la razón de la verdad. Me temo que hay mas casos, mucho mas de lo que se dice o se sabe.

Chiao.

Agradecimientos a José Romero, Administrador de servidores del departamento de sistemas de la Universidad Rey Juan Carlos por proporcionarme todas las comodidades necesarias.

lunes, 17 de noviembre de 2008

Forense en correo electrónicos - Outlook Express

Voy a hablar de un tema quizas más complicado de lo normal, como es el análisis forense en correos electrónicos.

La búsqueda, parametrización y reconstrucción de correos es fundamental ante casos como denuncias, insultos, amenazas, etc. en el que el medio utilizado es el correo electrónico.(por ejemplo esto ha sido clave para la detención del jefe del aparato militar de ETA, 'txeroki')

Pocas herramientas son capaces de reconocer los formatos mas usuales que se utilizan en clientes y servidores de correo electrónico. Quizas la suite comercial más completa es FTK. Mientras que enl mundo Open, son muy pocas las que existen y dan cobertura.

En la siguiente lista vemos las suites comerciales y/o Open Source y los formatos que soportan

Comerciales

FTK: Outlook (PST), Outlook Expres (DBX), AOL, Netscape,Yahoo, Eudora, Hotmail, MSN

Paraben's E-mail: Microsoft Exchange, Lotus Notes (NSF)

Open Source

Eindeutig: Outlook Express

libPST:Outlook

Como vemos casi no hay soporte para servidores de correo como Exchange o Lotus Notes, dos de los más utilizados en las empresas como servidores de correo. Por lo tanto en un análisis de correo es muy importante analizar los clientes, ya que como diria 'Grissom' del CSI: 'todo contacto deja rastro'.


Quiero destacar que si se utiliza un webmail, las técnicas son distintas, poniendo foco en los servidores de correo.

FORENSICO DE OUTLOOK EXPRESS

Outlook y outlook express son unos de los clientes más utilizados en las empresas y particulares dado que viene con el sistema operativo (a excepción de Outlook que viene con el office)

El 'outlook express' se compone de una serie de ficheros con extensión DBX.

¿En que consiste el formato DBX?

Por cada carpeta de mensajes y cada newsgroup en Outlook Express, corresponde un archivo con extensión dbx. Este archivo contiene los mensajes e información adicional para acceder rápidamente a estos.

El nombre de este archivo normalmente coincide con el nombre de la carpeta de mensajes o newsgroup.

Por ejemplo, Inbox.dbx o 'bandeja de Entrada.dbx'corresponde a su carpeta de correo entrante.

Por cada cuenta, todos los archivos dbx son almacenados en un directorio llamado store root directory, que puede ser definido seleccionando el comando:

    Tools | Options | Maintenance | Store folder

También existen otros archivos dbx predeterminados en el store root directory pero no contienen una carpeta dentro del Outlook.

Folders.dbx

almacena una estructura de árbol de las carpetas y otra información.

Offline.dbx

contiene los datos de acceso interactivo a cuentas IMAP y Hotmail si es que estan disponibles para Ud.

Pop3uidl.dbx:

almacena información de los mensajes que residen en un servidor POP3.

Normalmente estos elementos DBX, suele estar en la siguiente ruta 'c:\Documents and Settings\usuario\Local Settings\Aplicattion Data\Identitites\{identificador largo que suele ser alfanúmerico}\Microsoft\Outlook Express\'

La utilidad 'Eindeutig' reconoce este tipo de formatos y permite desde extraer su contenido a exportarlo a hoja de calculo. Una de las ventajas que incorpora es que además de ver la cabecera (DBX ID) y el cuerpo del mensaje, también muestra los adjuntos si estos existen.(prácticamente obtendriamos todo el contenido de los correos).

Esta utilidad 'recupera' los correos electrónicos aunque el usuario los haya eliminado (siempre que exista el fichero DBX)

En la siguiente pantalla se puede observar el fichero '000000.txt'





Si editamos el fichero con cualquier visor y nos fijamos en el apartado 'attachment' vemos que contiene un adjunto, el cual no vemos en formato humano (esta en codificado en base 64) pero si que podemos identificar como una hoja de cálculo, dado que nos indica el tipo de fichero (xls).







La siguiente cuestión es como obtenemos el contenido del adjunto, dado que puede contener información relevante.

Para ello podemos utilizar la herramienta 'munpack' disponible desde aquí y por la cual extraemos el fichero asociado en Base64.(También existen multitud de páginas web que hacen esta función)







Una vez extraido y como podemos ver a continuación ,este es el resultado de la hoja de cálculo:








Mas adelante en otro 'post', analizaremos el rastro por los servidores.

viernes, 14 de noviembre de 2008

Como obtener los contactos y correos de GMAIL

Si recordáis en el post de 'ceregumil concentrado' hacia uso de la herramienta 'pd' para extraer el navegador de la memoria y volcarlo a fichero para a continuación poder encontrar las contraseñas. Esto me dio una idea de lo útil que puede ser para poder encontrar correos, direcciones web, etc, para un análisis forense.

Se me ocurrió jugar con mi cuenta de GMAIL y una utilidad que se llama 'pdgmail' que esta programada en 'python'.

En todos los casos que probé con la utilidad fui capaz de recuperar datos de contacto, el último inicio de sesión , las direcciones IP, cabeceras de correo electrónico, e incluso aun desconectando de gmail comprobe, que aún retenía todos estos datos. Es decir carga todo en memoria.

¿Como se usa?

El primer paso es volcar la memoria del navegador. (ver el post de 'ceregumil') o utilizar la utilidad userdump, según explica mi amigo y colega 'Juanito' en su blog

A continuación extraemos 'el texto' del proceso y se lo redireccionamos a fichero

Ejemplo:

strings -el 11515.dump | python pgdmail.py | > datos.txt

Editamos el fichero y empezamos a ver:

  • contactos
  • último acceso registros
  • Nombres de cuenta de Gmail
  • las cabeceras de los mensajes
  • cuerpos de mensaje

Los contactos se muestran como:

contact: name: "Anna S" email: "micorreo@gmail.com

El último acceso más reciente muestran los inicios de sesión y aparecerá como:

last access: "14 hours ago" from IP "10.15.26.8", most recent access Tue Oct 14 10:57:53 2008 from IP "12.9.4.238"

Los mensajes de correo electrónico son los que peores resultado dan ya que la mayoría de ellos no siempre se ajustan a las normas API y algunos se descuadran

Los encabezados se muestran como:

message header: ["ms","113b0d734737dec4","",4,"Gmail Team ","Gmail Team","mail-noreply@google.com",1184082900000,"Did you know that GMail was voted #2 in PC World's Top 100 products of 2005, ...",["^all","^i"]

En definitiva, una muy buena herramienta para la obtención de aplicaciones y en el caso en concreto de GMAIL.

Os dejo algún extracto de los resultados obtenidos con mi cuenta de correo de GMAIL:

Contactos:




Contenido de correos:




¿Quieres ver el código fuente de Windows?

Pues sí. Microsoft te puede 'dejar' el código fuente de Windows XP y Server 2003 para que lo estudies.

Para ello ha creado un paquete que se llama WRK

El Windows Research Kernel (WRK) es un kit que incluye el código fuente del kernel de Microsoft Windows XP x64/Server 2003 SP1 con un entorno para la creación y test de versiones experimentales del kernel de Windows para su uso con fines docentes y de investigación. El WRK incluye código fuente de gestión de procesos, threads, LPC, memoria virtual, planificador, gestión de objetos, gestión de E/S, sincronización, worker threads, gestión de pila del kernel y otras funcionalidades básicas del S.O. NT.

El WRK es muy útil para el diseño de proyectos que permitan a los estudiantes conocer los principios básicos de arquitectura de Sistemas Operativos utilizando código fuente del kernel de Windows. Es una herramienta para la formación e investigación que permite diseñar proyectos y experimentos mediante la introducción de modificaciones sobre el kernel de Windows, y con ello se consigue, en definitiva, un mejor nivel de comprensión de la arquitectura de Windows y su implementación.

Para utilizar el WRK se exige pertenecer a una institución de enseñanza superior acreditada y desarrollar una actividad directamente vinculada con la formación o la investigación

¿Se pasara al modelo OpenSource?

martes, 11 de noviembre de 2008

La muerte se escribe en PGP

Me hago eco de una noticia que se publica en el correo digital y que reproduzco dado que el tema tiene mucho que ver con la investigación digital y analisis forense informático.

Actualmente la brigada de investigación tecnológica (BIT) realiza un exhaustivo análisis forense de los ordenadores adquiridos para poder obtener información de la infraestructura de la banda.

El articulo en cuestión versa sobre como ETA, utiliza el 'archiconocidisimo' programa PGP.

Ni que decir tiene que poco se puede obtener en un análisis forense (o casi imposible) ante un sistema de cifrado que utilice algoritmos robustos basados en clave publica y privada.

También existe alguna prueba-concepto de obtener datos (no muy probado) sobre discos que utilizan True-Crypt.

A continuación reproduzco parte del articulo, (por si este desapareciera), al cual podeis acceder desde aquí a su contenido completo. (no os perdaís los comentarios)

----------------

Más de una década

ETA usa este sistema desde hace más de una década. En un manual de 2001, la banda dedica varias páginas a instruir a sus militantes en este tipo de redes de comunicación, aunque dedica un capítulo especial al PGP. El autor, que demuestra en todo momento un profundo conocimiento de informática y criptografía, da una serie de directrices sobre el funcionamiento, pero también llega a dudar sobre su efectividad.

La base en la que se sustenta el códice norteamericano es una concepto conocido como criptografía asimétrica. Explicado de una forma sencilla, se basa en la existencia de una doble clave. Una 'pública' -es decir, que conocen las personas que se envían los mensajes o guardan los archivos- y otra privada, que está dentro del propio programa informático.

ETA da una serie de consejos a sus militantes sobre cómo elegir las claves. «El nombre de tu compañer@, la fecha de nacimiento y contraseñas por el estilo son las más sencillas de encontrar. Las mejores contraseñas son las que utilizan una frase, y mejor aún si sólo contiene signos de puntuación o combinaciones especiales de teclas en lugar de signos alfanuméricos», afirma el manual de la banda

Además, les proporciona una serie de consejos, como guardar las claves en disquetes informáticos y no en el ordenador, y les instruye sobre la protección contra virus informáticos que espían la información digital almacenada. En la práctica, según las fuentes consultadas, los miembros de ETA siempre eligen estrofas de canciones en euskera como clave.

El sistema de Zimmermann, por ejemplo, protege el contenido de las conversaciones entre la organización y el Gobierno desarrolladas en 2006.

Cuando la Policía gala detuvo al presunto intermediario de la banda Jon Iurrebaso, encontró un 'pendrive' que no ha podido ser descifrado. Los documentos de la cúpula etarras sobre la extorsión a empresarios también estaban encriptado con el invento americano.

Que estos documentos puedan ser descifrados depende de varios factores; entre ellos, los programas informáticos que ya existen para descodificar mensajes.

Administrador de llaves
Según un experto de las fuerzas de seguridad, para que el empleo del PGP sea eficaz en una organización es necesario que en algún nivel de la estructura exista una persona que controla todas las llaves. «Sin un administrador de las claves, es muy fácil que se pierdan documentos al olvidar una contraseña. Para que el sistema sea eficiente», continúa el experto, «tiene que tener una memoria única que controle todas las informaciones para evitar que una parte importante de la información se destruya».

Sin embargo, toda esta tecnología se enfrenta a veces con el factor humano. En diciembre de 2003, la Policía gala detuvo al que había sido jefe militar de ETA, Ibon Fernández de Iradi, 'Susper'. En su ordenador se encontraron documentos que permitieron detener a 164 personas, además de conseguir valiosa información sobre actuaciones de la organización terrorista. No hubo ningún problema para descifrar los archivos. 'Susper' había escrito las claves en un papel y las guardaba en su mesa trabajo.
----------------
Visto en el correo digital.

lunes, 10 de noviembre de 2008

Informe de seguridad 2008 de Microsoft

El pasado día 3 de Noviembre se libero la quinta versión del Informe de Inteligencia de Seguridad, que entrega una visión del panorama de las amenazas de seguridad basado en datos de millones de ordenadores en todo el mundo (Windows se entiende, aunque en el informe lo compara con otros).

Esta investigación está diseñada para una mejor protección contra delincuentes informáticos y, a pesar de que Microsoft y otros actores relevantes de la industria han mejorado de manera sustancial en la protección de las amenazas en línea, el ecosistema de amenazas continua evolucionando.

Cabe destacar que el 90% de las vulnerabilidades detectadas el primer semestre afectaron aplicaciones y sólo el 10% afectaron a sistemas operativos

Solo deciros que en el mapa que aparece en el reporte, españa esta muy, pero que muy tenuemente 'colorada'. ¿estaremos en peligro?

Para su descarga en castellano pulsar aquí.

Saludos

El caso de la tarea fantasma

Las 13:00h de la tarde. Todos los días, un servidor pone la tarea 'svchost' al 95% de CPU aproximadamente durante tres y siete minutos, durante todos los días desde hace aproximadamente dos semanas. Los administradores se disponen a formatear, dado que han monitorizado practicamente todo, hardware, espacio en disco, trafico de red, etc. etc.

Lo que voy a contar es un caso raro en el que la divina providencia se asomo a mi teclado.

MEDITACION:

Si todos los dias sobre la misma hora se 'pone en marcha' puede que este planificado.
Si se pone al 95% de CPU es que esta trabajando (evidente)

MANOS A LA OBRA:

PASO 1: VER Y PENSAR

Miramos el registro de Windows, exactamente las claves RUN y na de na.

Miramos el planificador de Windows y na de na

Monitorizamos la paginacion y na de na

Monitorizamos el tráfico y ¡¡¡oooppssss!!! na de na ¿o quizas síiii? vamos a ver que se envía y 'tachaaaannn' un monton de datos inconexos y sin sentido humano, ¿estara cifrado?. Lo unico curioso es que intenta una conexión a 'https://tmss.trendmicro.com/dashboard', algo es algo, pensamos que puede ser el antivirus.

PASO 2: DESCARTAR

Procedemos a parar los servicios del antivirus, ¿que ocurrira?, na de na.
Son las 13:05h y todo sigue igual, se pone al 95%. ¡¡Mierd#@!!

Volvemos al principio...voy a proceder a 'dumpear' la memoria.

PASO 3: DESCUBRIMIENTO

Una vez dispongo de la memoria en fichero 'WINSRVFANTASMA.DMP' procedo a utilizar las herramientas de debug ' memparser' en su edición comercial.

Este es el resultado que muestra el comando lsproc para ver los procesos que se estaban ejecutando en memoria:


y vemos especialmente uno que nos llama la atención (PID 820, el nombre 'raro' del proceso lo busque en el google) y que parece ser que es el proceso residente en memoria del antivirus. (Esto casa con el trafico http monitorizado.)

Para ver que hace este proceso procedemos a ejecutar el conado pd en la máquina y nos disponemos a buscar claves como 'trendmicro', 'vir', 'antivi'; En una de esas muestras nos encontramos lo siguiente. Como veis parece revelador


¿Una tarea?, ¿pero si no habia ninguna?. Vamos a repasarlo pero esta vez con todas las sospechas, vamos a ver si estan ocultas con el comando attrib.

JEjE!!, ¡¡con que era eso!! , una tarea oculta en planificador de tareas. Algo tan simple que me podia haber evitado horas de trabajo.

Procedo a revisar las tareas y veo que la tarea culpable es 'x0_001.job', la cual intenta conectarse a los servidores de trendmicro y descargarse una actualización. Por lo que sea no conseguia actualizar y reintentaba la descarga de las firmas sin conseguirlo.

Fue cuestión de eliminar la tarea y... ¡¡¡tachaaaaannn!!! a funcionar normalmente.

La pregunta que me quedo en el aire y que nadie pudo resolver es: ¿quien hizo la tarea para que se actualizara, siendo que el propio antivirus dispone de una clave en el registro que le indica donde se tiene que actualizar?, ¿porque estaba oculta?, ¿quien la oculto?, ¿fue el Windows o un proceso defectuoso?.

Sea lo que sea, se desinstalo el producto y se volvio a instalarlo de nuevo, eso si, se reviso la configuración y ya no aparecio la tarea fantasma....

Seran cosas del día de los santos....o de Halloween.

Conclusion:

Lo que se ve no es lo que es. Todo el mundo miente, hasta el windows.

PD:
Agradecimientos a los administradores del centro de formación de CAI, que me proporcionaron el poder investigar en el servidor.

jueves, 6 de noviembre de 2008

Pack de herramientas FREE

Se acaban de publicar diversas herramientas para el analisis forense, alguna de ellas con muy buena pinta.

NetworkMiner - Herramienta para el análisis de trafico muy parecida en a WireShark peritiendo reensamblar paquetes y para Windows

Stinger y MVC - Herramientas para el analisis on-line de troyanos y virus

MUICacheView - De NirSoft. Permite extraer información cuando una aplicación se ejecuta en Windows, normalmente se tiende a cachear sobre el disco. Esta utilidad permite visualizar y extraer toda la información del fichero, horas de ejecución, ultimos accesos, etc.

USBHistory, Una pequeña herramienta que permite extraer información de los dispositivos USB conectados a un sistema. Muy recomendable.

De todas las que hemos visto ellas destaco la siguiente:

Secunia Software Inspector. Es una utilidad gratuita (para uso personal) y la podeis descargar desde aquí. Esta herramienta permite (tras escanear el disco) analizar las aplicaciones instaladas y avisarnos de si tiene alguna vulnerabilidad. Como sabreis cada vez hay más troyanos que en vez de explotar el sistema operativo Windows (que cada vez vienen más seguros y actualizados) explotan las aplicaciones, ya que casi nunca se actualizan o se 'parchean'.

Por ejemplo ¿cuantos de nosotros actualizamos Java o el reproductor VLC?. Esta herramienta al funcionar de forma residente (como los antivirus) permite revisar el estado del arte de estas aplicaciones.

Un ejemplo de funcionamiento:

miércoles, 5 de noviembre de 2008

Comando DIR, ese amigo desconocido

No es la primera ni la ultima vez que a buen seguro utilice el comando DIR, si, ese tan famoso que pertenece al DOS o MS-DOS. Tan acostumbrados al entorno gráfico o a utilidades en formato ventana, que nos olvidamos de ese gran comando que permite realizar unas busquedas asombrosas y que muy apenas utilizamos. En materia forense es muy socorrido el utilizarlo con muchos parametros que incorpora.

Valga este homenaje para el comando DIR

Los parámetros vendrían a ser así:.

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

Unidad, ruta o ficheros.
D  Directories                R  Read-only files
H Hidden files A Files ready for archiving
S System files - Prefix meaning not
Muestra los ficheros sin ningún tipo de resumen.
Muestra el separador de tamaño (miles) -C lo desactiva (no se que utilidad tiene, la verdad)
Muesra una lista ordenada por columnas.
Otra que vale para poco...activa las mayusculas
Muestra la lista ordenada
N  By name (alphabetic)       S  By size (smallest first)
E By extension (alphabetic) D By date/time (oldest first)
G Group directories first - Prefix to reverse order
Hace una pausa en una lista muy larga
Muestra el propietario de un fichero (Esta si es importante)
Muestra ficheros de forma recursiva por directorios y subdirectorios
(¡¡importante!!) Ordena los ficheros por
C Creation --> creacion
A Last Access --> ultimo acceso
W Last Written -->ultima escritura

¿Y tu sabrias decirme que hace este comando?

dir \ /s |find "i" |more

martes, 4 de noviembre de 2008

Live View Forensics Tool

Live View es un programa de código abierto basado en Java (con entorno gráfico) que permite crear imagenes en formato raw (estilo dd) para ser utilizadas con VMWARE.

Los sistemas que soporta son:

  • Windows 2003, XP, 2000, NT, Me, 98
  • Linux

Esto permite al analista examinar 'el inicio' de forma interactiva y poder interactuar con el entorno a nivel de usuario

Ha sido desarrollado por el CERT del Software Engineering Institute


domingo, 2 de noviembre de 2008

¿Te gusta el análisis forense?. ¡¡Ponte a estudiar!!

Quiero hacer una critica constructiva sobre la profesión de analista de seguridad y más concretamente el de analista forense informático, ya que en España simplemente no existe esa figura.
En otros países de la comunidad europea te exigen que apruebes un examen de investigador privado a la par de sendos certificados en analista forense informática. ¡¡Casi na!!

En Londres por ejemplo cuando realizas un análisis forense (tras las pertinentes acreditaciones) es la propia policía de 'scoland yard' quien te pregunta que herramientas vas a utilizar para el análisis, proporcionándola ellos mismos de una suite que tienen homologada.

En Francia, para realizar un análisis forense se puede optar por tener el certificado ( o la titulación universitaria) de investigador privado, tener los diferentes cursos reconocidos como no oficiales o tener un currículum especializado en la materia, sin esto no puedes realizar un análisis forensico informático. (En España algunas universidades ofrecen graduados y postgrados en esta materia)

Si nos vamos a otros países como por ejemplo Colombia vemos que incluso disponen de jurisdisprudencia según su ley de 'Derecho Probatorio y Medios Electrónicos: Ley 527 de 1999' y en Estados Unidos disponen por el Departamento de Justicia un documento llamado "Forensic Examination on Digital Evidence: A Guide for Law Enforcement”.

Esta es una guía completa sobre cómo manejar la evidencia digital, bajo qué procedimientos y técnicas, etc., donde se resaltan, entre muchas otras cosas, tres principios esenciales en el manejo de la evidencia digital:

  • Las acciones tomadas para recoger la evidencia digital no deben afectar nunca la integridad de la misma.
  • Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin.
  • Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión.
Volviendo a España, cualquiera puede realizar cualquier tipo de trabajo de analista forense o perito informático , sin disponer de ningún tipo de certificación al respecto.

Como ejemplo os diré que en el penúltimo juicio que asistí como parte contratada (contraperitaje) para realizar un análisis forense ante una posible intrusión, me quede estupefacto al escuchar al perito de la parte acusada explicarle al juez lo que 'para el era una vulnerabilidad', dijo 'lindeces' como:

"La empresa no dispone de el DNI Electrónico para asegurar la entrada por (y digo textualmente:) 'la red privada asegurada' (¿querria decir VPN?) que permitiera el acceso."

Otra

"Copiamos los logs y pudimos ver que la ip atacante no provenía del acusado puesto que el tenia contratada la ADSL con telefónica y la ip detectada no es de España (¡¡cagate lorito!!).

En fin como podéis imaginar fue pan comido, pero siempre me siembra la duda, ¿de donde salen estos? ¿han estudiado algo diferente al curso 'master informático' impartido por CCC?.

Ahora en serio. O nos tomamos la profesión con rigor, esfuerzo y transparencia o en España lo tienen muy crudo los jueces.

Volviendo al tema, os recomiendo que si queréis iniciaros o bien ya lo estáis, pensar en certificaros y estudiar.

De los posibles cursos destaco el CHFI de la prestigiosa firma 'e-council' y cuyos representantes en España (creo que los únicos) son la empresa Internet Security Auditors' que preparan estos cursos. Aunque también se pueden preparar por separado y presentarse solo al examen.

En fin, eso es todo por hoy. Simplemente un tema para reflexionar:

Pensemos que 'el trabajo es circunstancial, hoy estas aquí y mañana estás allí, el donde no importa, solo el como y lo que aprendas y hagas en tu profesión es tuyo y te lo podrás llevar a cualquier otra empresa o trabajo que realices'. Se un buen profesional en todo lo que hagas.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...