DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 27 de octubre de 2009

Fugas de Información: ¿donde están los planos?

Hola lectores,

Se ha puesto de moda esto del análisis de tráfico de red.
Lo han explicado perfectamente Juanito en su post, al igual que GigA y Neofito. Yo me sumo a esta campaña de 'analiza el tráfico de tu red' y voy a poner mi granito de arena sobre este tema con un análisis forense en un caso de fuga de información.


CASO: ¿DONDE ESTA MI PLANO?

En este caso vamos a estudiar como recomponer el tráfico con objeto de reproducir la actividad de un individuo que ha realizado desde su puesto de trabajo diversas formas de fuga de información, enviando planos industriales de su departamento de I+D+I a sitios ya acordados con su competencia a cambio de una compensación económica (Fraude).

Pinchamos el sniffer en la salida del tráfico a internet y lo dejamos durante unos días monitorizando las ip's que potencialmente sean sospechosas. También hemos mandado un 'cebo' con un correo al personal técnico de I+D indicando que hemos dejado los nuevos prototipos en una carpeta compartida de red. (carpeta que por supuesto es auditada desde Windows Server).

Una vez pasados los días obtenemos un gran fichero en formato 'pcap'. Calculamos su huella y realizamos una copia con objeto de analizar su contenido.

¡¡Empezamos!!

La utilidad seleccionada para estos avatares es NetWitness investigator.

Este producto, proporciona al investigador un análisis detallado sobre las actividades maliciosas existentes en una red y está diseñado para cubrir las carencias de otros productos de seguridad, llevando a cabo análisis de auditoría y antifraude.

Dispone de una versión gratuita (que vamos a utilizar) y que ofrece todas las funcionalidades de la herramienta comercial. Soporta hasta 25 usuarios simultáneos con un rendimiento de captura de datos de hasta 6 GB.


Lo primero que vamos a realizar tras la importación del fichero 'pcap' es navegar por los datos obtenidos, según la siguiente imagen


pantalla 1

Una vez realizado vemos en la siguiente imagen (hay que ampliar la imagen) datos reveladores de accesos desde la ip sospechosa a rapidshare. Sigamos investigando...


pantalla 2

Esta utilidad tiene la ventaja de filtrar dinámicamente, es decir por los propios resultados obtenidos, existiendo una opción que permite reconstruir los paquetes tal y como fueron utilizados. Tras un buen rato de dejarse los ojos, decidimos aplicar esta opción y vemos (en la pantalla siguiente) que desde la IP sospechosa se accedió a la página de 'upload' de rapidshare, entendemos que con la intención de 'subir' algún archivo


pantalla 3


También incorpora un 'timeline' que permite reconstruir en la misma linea de tiempo todo lo acontecido en ese momento. Como vemos en la siguiente pantalla nos da el mejor dato revelador y es el link que rapidshare proporciona para que los usuarios puedan realizar la descarga


pantalla 4

Ademas viendo esta información vamos a corroborar lo visto filtrando los paquetes de datos buscando la expresión 'POST' y el dominio Rapidshare. Indicativo de que se ha enviado algo hacia ese servidor. Si nos fijamos en la siguiente pantalla nos encontramos con el nombre del fichero que se ha mandado '7777.jpg'


pantalla 5

En vez de exportarlo, cosa que tambien realiza NetWitness, vamos a aceder a la página web que nos proporcionaba el link de la pantalla 4 desde nuestro navegador.

¡¡ e voilà!!. Tenemos el plano fugado.



pantalla 6

Ahora todo queda en manos de la empresa que tramitará su correspondiente denuncia.

También deciros que esta herramienta reproduce las conversaciones del messenger y cualquier aplicación de audio y vídeo

viernes, 16 de octubre de 2009

...Y sensación forense 13


Hola lectores,

En el anterior post comentaba las 12 sensaciones forenses que me producían cuando hablamos a los usuarios sobre seguridad informática.

Tras leer está noticia, me quedo estupefacto y corrobora todo lo dicho...

¡¡ Necesitamos una ley de pruebas electrónicas YA!!

Os dejo el PDF de la noticia aquí.

miércoles, 14 de octubre de 2009

12 Sensaciones forenses

Hola lectores,

Este post no es para nada técnico, pero quiero compartir con vosotros una serie de sensaciones que yo he llamado 'sensaciones forenses'.

Ayer participe en una mesa organizada por la empresa Cybex y en la que se generó amplios debates sobre los delitos económicos utilizando las nuevas tecnologías.

Como ponentes nos encontrábamos:

  • La Ilma. Carmen Ballester Ricart, Fiscal especial antidroga de la Audiencia Nacional
  • El Sr. D. Matías Bevilacqua Trabado, Director Tecnológico de CYBEX
  • El· Sr. D. José Manuel Colodrás Lozano, Inspector de la Oficina de Activos del Cuerpo Nacional de Policía
  • El Sr. D. Juan Salom Clotet ,Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil
  • Yo mismo.

Todos fuimos moderados genialmente por Excmo. Sr. D. José Manuel Maza Martín, Magistrado de la Sala II del Tribunal Supremo.

En la mesa se hablo de las soluciones contra el cibercrimen y todo el esfuerzo que el estado y empresas privadas hacen al respecto, pero en la ronda de preguntas explique un caso que expongo a continuación y que genero mucho debate y alguna que otra controversia entre el publico asistente, en su mayoría despachos de abogados y fuerzas del estado.

EL CASO

Análisis forense a un equipo de una empresa en la que se sospecha que un empleado ha realizado fugas importantes de dinero a cuentas en el extranjero. En el previo análisis se descubre que esta infectado por troyanos (entre ellos el URLZone), en la investigación mas profunda se ven cientos de ficheros con pornografía infantil, de estos ficheros nos comunica la dirección de la empresa que el usuario dice no conocer su existencia. Dice que tiene el típico programa P2P, pero que desconoce que se hubiera bajado algún archivo de estas características. Empieza a llorar, te dice que tiene dos hijos pequeños y que el no consentiría estos casos bajo ningún pretexto. Lógicamente tenemos que tramitar una denuncia.

De este caso se ve claramente la poca rigidez en políticas de acceso de esta empresa al permitir la ejecución de programas en un principio de uso dudable, también el poco control de la empresa sobre lo que debe y no debe de hacer los empleados.

Por otro lado la 'honorabilidad' del empleado queda en duda dado que podría darse el caso de que el propio troyano utilizara el equipo infectado para el envío de pornografía infantil y que el usuario no hubiera tenido nada que ver. Todo esto generó gran discusión entre los asistentes.

Por experiencia quise dar una serie de sensaciones que profesionalmente me vienen acompañando en los trabajos que desempeño sobre análisis forense informático

No se si estaréis de acuerdo, pero así me recorren estas sensaciones

12 SENSACIONES FORENSES

1. Sensación: Algunos usuarios (y lo digo desde el respeto y la experiencia de haberlo visto) son potencialmente peligrosos. No atienden a ninguna norma, disponiendo de malos hábitos de navegación y accediendo a descargas de películas y mp3 desde sitios ya de por si peligrosos, más cuando tienen el sistema operativo pirata o sin actualizar. Algunos tienen crakeado el antivirus. Sin comentarios.

2. Sensación: Los antivirus no valen para casi nada, solo para lo conocido, siendo mucho más lo que 'no se detecta'. Existen troyanos con un detalle de programación exquisito, indetectable y capaz de mutar tantas veces como sospeche de que ha sido detectado. Simplemente magnifico

3. Sensación: La época del Hacker ha pasado, cada vez son los menos que a través de exploits consiguen acceder a un equipo y seamos sinceros en esto Microsoft se ha puesto las pilas, es más fácil destripar de serie un sitio con PHP que desarrollado en .NET

4. Sensación: Es la hora de las mafias organizadas. Consiguen mas dinero y no hay muertes por el medio. Estos son los que desarrollan esos curiosos troyanos-roba-dineros. Tienen equipos de desarrollo y les motiva el dinero ¿que raro, verdad?

5. Sensación: Los equipos de respuesta ante incidentes solo valen para detectar a muleros, en el caso de detectar por ejemplo un phising, te las ves y te las deseas para cerrar el sitio. Si tienes que analizar un troyano se puede ir el caso a meses. Es como decir que pillamos al drogadicto pero no al que distribuye la droga.

6. Sensación: En España hemos creado un sistema de impunidad para el malo. Si denuncias y el caso viene por ejemplo de Rumania, las fuerzas del estado español se tienen que comunicar con sus colegas de Rumania con lo que se demora ampliamente las diligencias. Por su puesto el dinero ha desaparecido. Las fuerzas de seguridad están sobrepasadas

7. Sensación: Nuestras fuerzas de seguridad son verdaderamente especializadas en comparación con otros países, pero nuestras leyes no están acorde a las nuevas formas de cometer delincuencia utilizando las nuevas tecnológicas. El legislador debe de estar a la altura y modificar las leyes en esta materia

8. Sensación: No se denuncia o no se toma en serio todo lo que ocurre en cuanto a la seguridad informática. No se llega a denunciar, bien por imagen institucional, por miedo o por lo que sea, pero según la memoria 2009 de la Fiscalía General de Estado los delitos que utilizan las nuevas tecnologías han crecido, duplicado o cuadruplicado en diferentes comunidades autónomas, respecto al año 2008.

9. Sensación: Falta formación a la magistratura, fiscalía y abogacía, aunque poco a poco se están especializando (muy poco a poco...)

10. Sensación: Hay empresas que piensan que están bien por que se han auditado los servidores, las redes y aplicaciones. Craso error. El peligro comienza el día después de la auditoría, bien por relajación o bien por no realizarla continuamente.

11. Sensación: Hay empresas que 'están al día' y 'actualizadas'. Craso error, ¿como actualizas una aplicación web, que te ha creado un tercero?

12. Sensación: Todavía en las empresas se piensa que la seguridad es un gasto, no es productiva ni la ven como herramienta de venta. Señores(as), la seguridad es calidad, las auditorías, los preventivos forenses ahorran mucho dinero a la empresa. ¿Cuanto vale descubrir que has evitado una exposición de datos a raíz de una auditoría en un ataque de SQL inyection en tu base de datos?.¿cuanto valdría una multa de la AGPD? Como dice el anuncio, para todo lo demás Mastercard.

En fin se me ocurren algunas más...pero esto lo dejo a vuestra experiencia, yo por mi parte creo que deje algo pensativa a mi audiencia.

domingo, 4 de octubre de 2009

Análisis forenses a dispositivos ANDROID (Parte II)

Hola lectores,

Vamos a continuar con el anterior post.

Una vez que tenemos todos los ficheros vamos a verificar la huella proporcionada por nandroid, ya que nos ha creado un archivo 'nandroid.md5' con las huellas de cada fichero.



Como hemos apreciado en la pantalla anterior, esta todo correcto.

La lista de ficheros que proporciona el backup anterior es:

  • boot.img:
    Contiene datos relativos al inicio del sistema operativo. Nada relevante para nuestra revisión
  • cache.img:
    Contiene los datos volátiles que estaban en memoria en el momento de volcarlos a disco. Importante su análisis.
  • data.img:
    Contiene todos los datos relativos al móvil, agendas, tareas, llamadas. Muy importante
  • misc.img:
    Contiene datos relativos a las aplicaciones instaladas. Importante también.
  • recovery.img:
    Contiene los datos del proceso que utiliza recovery. Irrelevante
  • system.img:
    Contiene los datos relativos a configuración del sistema. Importante.

Es el momento de empezar a trabajar estos ficheros

¡¡EMPEZAMOS!!

Los ficheros que vamos a tratar como interesantes por su contenido son: data.img y cache.img.

Vamos a convertirlos en un formato que podamos revisar, como siempre vamos a utilizar el comando 'strings' y en con expresiones regulares. Veamos algunos ejemplos.

Buscamos parámetros de sitios visitados:
strings data.img | grep -oE "((mailto\:|(news|(ht|f)tp(s?))\://){1}\S+)"



Sitios donde se ha realizado inicios de sesión
strings data.img | grep -n10 "login">login.html

Buscamos correos electrónicos
strings data.img | egrep "[a-z A-Z_\-\.]+@[a-z A-Z\-\.]+\.[a-z A-Z\-\.]+"



Números de teléfono
strings data.img | grep -oE "\b[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]\b"
o strings data.img | grep -oE "([0-9]{9})"

Imágenes JPG
strings data.img | grep -oE "(.*\.jpe?g|.*\.JPE?G)"



Paquetes de programas instalados
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Ficheros MP3
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Dominios visitados
strings data.img | grep -oE "^[a-zA-Z0-9\-\.]+\.(es|com|org|net|mil|edu|COM|ORG|NET|MIL|EDU)$"



Búsqueda de tarjetas de crédito
strings data.img | grep -oE "^((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}$"

Comandos SQL
strings data.img | grep -oE "(NOT)?(\s*\(*)\s*(\w+)\s*(=LIKE|IN)\s*(\(([^\)]*)\)|'([^']*)'|(-?\d*\.?\d+))(\s*\)*\s*)(AND|OR)?"

Si abrimos directamente el fichero 'data.img' nos encontramos con información muy valiosa como la siguiente:

Direcciones MAC

cache.wifi 00:22:2d:0a:ae:d0 00:1a:2b:3d:50:8f

Estado de la configuración

NETWORK_UP
NETWORK_UPNetworkInfo: type: MOBILE, state: CONNECTED/CONNECTED, reason: gprsAttached, extra: movistar.es, failover: false, isAvailable: true CHECKIN_SUCCESS PHONE_GPRS_CONNECTED HTTP_STATUS:Android-YouTube/0.8 (dream PLAT-1.0_gms-141395):200 PHONE_GSM_REGISTERED

Datos del operador

ro.serialno=HT947NG01989
ro.baseband=2.22.16.19
ro.carrier=TELEF-Spain

Parámetros del móvil




Datos de la red WIFI



Vídeos visualizados



Como nota interesante decir que también se puede analizar utilizando PTK o bien FTK Imager con objeto de obtener la misma información.

viernes, 2 de octubre de 2009

Esos colegas...

Hace poco di un curso de Análisis Forense a un grupo de Hackers de verdad. De esos que mi amigo juanillo diría que 'quitan er sentio'. Gente joven. Con ganas y animo de hacer las cosas bien hechas. Hackers buenos en el buen sentido de la palabra, enemigos del lado oscuro y con muy buena proyección empresarial.

Aunque no soy muy proclive a poner ni dar nombres de empresas, he de reconocer que el Tiger Team de ecija es realmente bueno. Pude verlos en acción y me gusto mucho como se involucraban y el compañerismo existente (del mas nuevo al mas viejo del equipo, todos eran iguales.)

El curso fue intenso y se combino con marrones on-line (que tuvieron que arreglar en el momento), ejercicios forenses y humor, mucho humor.(también se mezclo la calor y el olor a vinagrillo que despedíamos todos en ese aula).

Vuelvo a decir que en España y Sudamerica hay muy buenos profesionales, que aunque (todavía) no están en la primera linea internacional, si que juegan en primera división, y tiempo al tiempo que más de uno destacará.





Y luego dicen que los que nos dedicamos a la seguridad no somos sexys...

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...