Вы находитесь на странице: 1из 67

Respuesta al

Reto de Análisis Forense

Respuesta al Reto de Análisis Forense Informe Técnico Marzo de 2006 Germán Martín Boizas

Informe Técnico

Marzo de 2006

Germán Martín Boizas

Tabla de Contenidos

0.

INTRODUCCIÓN

1

1.

ENTORNO DE INVESTIGACIÓN

3

2.

PROCESO DE ANÁLISIS

6

3.

CRONOGRAMA DE ACTIVIDADES

20

3.1.

DIAGRAMA TEMPORAL

35

4.

ANÁLISIS DE ARTEFACTOS

38

5.

DIRECCIONES IP IMPLICADAS

40

6.

ALCANCE DE LA INTRUSIÓN

42

7.

CONCLUSIONES

44

7.1. CONCLUSIÓN 1

44

7.2. CONCLUSIÓN 2

45

7.3. CONCLUSIÓN 3

45

7.4. CONCLUSIÓN 4

46

7.5. CONCLUSIÓN 5

46

7.6. CONCLUSIÓN 6

46

7.7. CONCLUSIÓN 7

47

8.

RECOMENDACIONES

48

9.

REFERENCIAS

50

10.

ANEXOS

51

10.1. MAILS ENVIADOS A JOHNATAN

51

10.2. REPRODUCCIÓN DE LA SESIÓN CON MYSQL DEL ATACANTE

52

10.3. REPRODUCCIÓN DE LA SESIÓN WEBERP DEL ATACANTE

62

Informe técnico

Informe técnico

0. Introducción

Este documento es el informe técnico en respuesta al reto de análisis forense lanzado por UNAM-CERT y RedIRIS en colaboración con otras empresas en Febrero de 2006 a través de su página web

http://www.seguridad.unam.mx/eventos/reto/

El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imagen (o copia) de dicho sistema.

Antecedentes del incidente

Según se facilita en las normas del reto, la única información con respecto al sistema a analizar es el siguiente:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Objetivos del reto

Según las normas, los objetivos son determinar si existió o no un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

En el presente informe se intenta contestar a dichos objetivos, pero manteniendo un orden tal que su contenido sea lo más didáctico posible. Asimismo, la limitación de mantener el informe a un máximo de 50 páginas obliga a realizar una breve síntesis de todo el trabajo realizada. Así pues, el esquema seguido para contestar al reto consta de los siguientes apartados:

Entorno de Investigación

El propósito de este capítulo es detallar las herramientas empleadas en el análisis, así como la construcción del entorno de análisis forense usado para la investigación.

Informe técnico

Informe técnico

Proceso de análisis

En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtención de las evidencias objeto del análisis. Debido a la limitación de espacio, su exposición es muy sintética, puesto que relatar en detalle todas y cada una de las acciones realizadas llevaría aparejada mucha más información.

Cronología de actividades

El objeto de este capítulo es mostrar todas las actividades realizadas por el (los) atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la realización de la imagen del sistema, añadiendo en cada punto la evidencia que lo sustenta. Asimismo, a continuación, se muestra en forma de diagrama una representación en el tiempo de la intrusión. Se muestra así de un vistazo qué es lo que hizo el atacante y cuándo lo hizo.

Análisis de artefactos

En este capítulo se analizan todos los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo y cualquier otro dato de interés relativo a los mismos.

Direcciones IP implicadas

Se refleja aquí la información obtenida sobre las direcciones IP que de una u otra manera se han visto implicadas en el incidente, incluyendo la de quien ó quienes atacaron el sistema.

Alcance de la intrusión

En este apartado se resume hasta qué punto la intrusión afecto al sistema y a la información en él alojada.

Conclusiones

Este apartado aglutina los principales puntos que se obtienen como consecuencia del análisis efectuado.

Recomendaciones

Finalmente, este apartado enumera algunas recomendaciones para solucionar la actual situación y para prevenir situaciones similares en el futuro.

Informe técnico

Informe técnico

1. Entorno de investigación

Herramientas empleadas

La imagen proporcionada ha sido analizada mediante una combinación de las siguientes herramientas:

The Sleuth Kit[1]

Conjunto de herramientas de análisis forense de libre distribución.

Autopsy[2]

Interfaz gráfico para The Sleuth Kit. También de libre distribución.

VMWare Workstation[3]

Aplicación comercial que permite emular máquinas virtuales Intel x86.

EnCase Forensic Edition v 4.22[4]

Herramienta comercial específica para el análisis forense de sistemas informáticos.

Red Hat Linux[5]

Muchos de los comandos del sistema constituyen verdaderas herramientas de análisis forense.

Mount Image Pro[6]

Utilidad para montar en Windows los archivos de imágenes, conservando la integridad de la imagen.

Utilidades de sysinternals.com [7]

www.sysinternals.com es una buena fuente de diversas utilidades de Windows, muy útiles para el análisis forense, como Autoruns, Process Explorer, PsLogList ó RootkitRevealer.

Utilidades de análisis forense de

www.foundstone.com proporciona también una lista de herramientas útiles para el investigador, como pasco ó galleta.

Foundstone[8]

Panda Titanium 2006 Antivirus +

Programa antivirus.

Antispyware.[9]

CA eTrust PestPatrol 2005.[10]

Programa AntiSpyware

CA eTrust EZ-Antivirus 2005[10]

Programa antivirus

Proactive Password Auditor[11]

Herramienta de crackeo de passwords de Windows, www.elcomsoft.com/ppa.html

Chntpw[12]

Editor offline de los passwords de Windows.

LADS[13]

Utilidad para la búsqueda de Alternate Data Stream.

Informe técnico

Informe técnico

Microsoft Excel[14]

Empleado para consolidar las distintas fuentes de información, y hacer filtros sobre la misma.

Google[15]

Buscador de información en la web.

Entorno de trabajo

Para facilitar el análisis del sistema facilitado en forma de imagen, el entorno de investigación empleado está basado en emplear VMWare Workstation. En primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la imagen proporcionada es suficiente) y en él, tras determinar que la imagen proporcionada es únicamente una partición y no un disco completo, creamos una partición con –exactamente- el mismo tamaño que la imagen del reto. Finalmente, copiamos con ‘dd’ la imagen a esta partición recién creada. Con ello se obtiene un disco virtual que contiene todos los datos del reto.

La ventaja de crear un disco así es que, configurando la máquina virtual de vmware para acceder al mismo en modo “no-persistente”, podemos acceder al mismo cuantas veces queramos despreocupándonos de la posibilidad de alterar accidentalmente la evidencia proporcionada.

Con acceso a ese disco, creamos varios entornos de trabajo de vmware:

Entorno 1, con Windows XP, y una serie de herramientas de análisis forense a emplear, principalmente EnCase y diversas utilidades de sysinternals. Este entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al fichero de imagen original mediante un ‘Shared folder’. La ventaja del entorno vmware así creado es que, aunque fuésemos descuidados, ningún ‘malware’ podrá abandonar el entorno.

Entorno 2, con Linux Red Hat, junto con una serie de herramientas de análisis forense a emplear, la principal de ellas Sleuthkit y Autopsy.

Entorno 3, en el que, tras verificar que el sistema original era un Windows 2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema “limpio” que tuviera acceso al disco del reto, para poder de forma fácil comparar el sistema analizado con respecto a uno estándar, y en el que instalamos además las distintas aplicaciones y hotfixes que fuimos identificando en la imagen del reto al avanzar el análisis (Apache, MySQL, etc…)

Entorno 4, con un duplicado del reto arrancable. La “imagen” del reto no es arrancable, puesto que es una partición y no tiene el sector de boot configurado. Así pues, decidimos configurar ese sector adecuadamente y crear un sistema virtual que permite hacer análisis dinámico del sistema. Evidentemente, es crítico impedir el acceso a la red real de este sistema para evitar posibles infecciones. Para facilitar dicho análisis, creamos un CD-ROM con las herramientas de análisis en Windows.

El esquema siguiente resume los sistemas virtuales creados:

Informe técnico

Informe técnico
EntornoEntorno 22 EntornoEntorno 11 Reto III Reto III (no persistente) (no persistente) Linux Red Hat
EntornoEntorno 22
EntornoEntorno 11
Reto III
Reto III
(no persistente)
(no persistente)
Linux Red Hat +
Linux Red Hat +
Windows 2003 +
Windows 2003 +
Herramientas
Herramientas
Herramientas
Herramientas
Análisis Forense
Análisis Forense
Análisis Forense
Análisis Forense
EntornoEntorno 33
EntornoEntorno 44
Shared
Shared
Folders
Folders
Windows 2003
Windows 2003
Reto III
Reto III
CD-ROM con
CD-ROM con
Server SP1
Server SP1
Bootable
Bootable
Herramientas
Herramientas
‘Limpio’
‘Limpio’
Análisis
Análisis

Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido necesario realizar algún cambio) son montados como ‘no persistentes’ para evitar cualquier posibilidad de contaminación de datos.

Para compartir información con el sistema ‘host’ (el PC real sobre el que se ejecuta vmware), se emplea cuando es necesario los directorios compartidos (Shared Folders) de vmware.

Informe técnico

Informe técnico

2. Proceso de análisis

De forma resumida, el proceso empleado en el análisis del sistema comprometido

ha sido el siguiente:

Descarga de la imagen y chequeo de integridad.

En

esta fase, se descarga la imagen del sistema a través de Internet y se verifica

el

checksum md5 facilitado para ella, garantizando así la integridad de la

evidencia.

Identificación del tipo de evidencia.

A continuación, se procede a identificar el tipo de imagen recibido. ¿es un

disco? ¿una partición del mismo? ¿ó algún otro tipo de imagen?. Simplemente

mirando los primeros bytes con un editor hexadecimal puede verse que corresponde a la cabecera de un sistema de ficheros NTFS. (v.

http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e-

4164-862d-dac5418c59481033.mspx ).

Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus características:

MIP VIEW:

10233342 Sectors (4996 MB) NTFS

El siguiente paso es averiguar a qué sistema operativo pertenece. Tanto con

Mount Image, como creando un nuevo caso en EnCase 1 ó Autopsy e importando

la imagen como partición NTFS, o simplemente montando la partición en Linux

podemos acceder al sistema de ficheros. Por ejemplo, en Autopsy:

acceder al sistema de ficheros. Por ejemplo, en Autopsy: 1 EnCase es una herramienta muy potente,

1 EnCase es una herramienta muy potente, que permite obtener ésta y mucha otra información, sin más que cargar la evidencia y ejecutar el script de ‘Initialize Case’. Sin embargo, dado el carácter didáctico del reto forense, y el carácter comercial de EnCase, creo importante entrar en el detalle de cómo obtener la información a través de otras herramientas más accesibles al público en general.

Informe técnico

Informe técnico

Una vez con el mismo, podemos acceder al registry accediendo a los ficheros bajo \Windows\System32\Config. Una vez ahí, podemos confirmar la versión de sistema operativo:

HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: “Microsoft Windows Server 2003 R2” HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: “Service Pack 1”.

Configuración del entorno de trabajo

Configuración del entorno de investigación, y por tanto de los distintos sistemas virtuales tal y como se describe en el capítulo anterior. El principal problema fue la creación del sistema arrancable del reto. Inicialmente, parecía que sería suficiente con copiar el sector de boot de un sistema Windows 2003 SP1 limpio. Sin embargo, tras hacer esto, el sistema no arranca correctamente y se produce un error ‘STOP: 0x0000007B’ (bluescreen). La causa final de este error es la inexistencia en el sistema de los drivers necesarios para reconocer correctamente el disco, puesto que el hardware asociado al sistema ha cambiado. La solución es copiar al directorio Windows\System32\Drivers algunos drivers y realizar alguna modificación en el registro, tal y como se describe en http://support.microsoft.com/?kbid=314082. Para hacer estas modificaciones montamos el disco virtual del reto con capacidades de escritura en nuestro entorno de investigación.

Con esto, el sistema ya arranca perfectamente. Sin embargo, aún no podemos entrar en él: no conocemos la password de ninguna cuenta. Llegados a este punto, hay básicamente dos opciones:

a) Averiguar los usuarios y passwords del sistema con alguna herramienta de cracking tipo l0phtcrack.

b) Modificar la password de administrador a alguna conocida por nosotros.

En nuestro caso, y por el factor tiempo, nos inclinamos por esta última opción

en

empleando

http://home.eunet.no/pnordah/ntpasswd/:

el

programa

chntpw

[12],

un

editor

offline

disponible

: el programa chntpw [12], un editor offline disponible Así, finalmente podemos entrar en el sistema.

Así, finalmente podemos entrar en el sistema. Una de las primeras cosas que llama la atención es que el sistema tiene una licencia de Windows de

Informe técnico

Informe técnico

evaluación, y a falta de 4 días para expirar:

técnico evaluación, y a falta de 4 días para expirar: Determinación del huso horario Antes de

Determinación del huso horario

Antes de analizar cualquier otro detalle de la evidencia, es necesario establecer cuál va a ser nuestra referencia temporal, puesto que la mayoría de los datos estarán referenciados al sistema local. La información del timezone, podemos obtenerla de:

HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName:

‘Pacific Standard Time’

HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName:

‘Pacific Daylight Time’

Alternativamente, dado que ya tenemos un sistema arrancable, es más sencillo mirar directamente en el interfaz gráfico de Windows:

mirar directamente en el interfaz gráfico de Windows: Es importante señalar, que, aunque en este instante

Es importante señalar, que, aunque en este instante lo desconocíamos, el sistema fue inicialmente configurado con la hora de Alaska, y no fue hasta el día 2 de Febrero cuando se cambió a la hora estándar PST. Este dato se obtiene del

Informe técnico

Informe técnico

System Event Log:

25/01/2006 22:57:40 02/02/2006 12:59:57 Time;

; ; ; ; 3249; 60; 540 Alaskan Standard Time; ; ; ; ; 428323; 60; 480 Pacific Standard

Además, hay que considerar que, hasta el momento de la instalación en el que el administrador fija este dato, el sistema por defecto se inicia con zona GMT. Estos cambios han de ser tenidos en cuenta a la hora de establecer el cronograma de actividades correctamente.

Sofware Instalado

El siguiente paso consistió en determinar el software instalado en el sistema. Para ello, hicimos las comprobaciones pertinentes tanto en nuestro sistema online, como analizando offline el sistema de ficheros y las entradas del registry pertinentes, tales como:

HKLM\SOFTWARE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Así pues, la lista del software instalado en el sistema es

Así pues, la lista del software instalado en el sistema es la siguiente:

Apache HTTP Server 1.3.34

Mozilla Firefox (1.5.0.1)

MSN Messenger 7.5

MySQL Administrator 1.1

MySQL Server 4.1

PHP 4.4.2

PostgreSQL 8.1

Hotfixes KB896422, KB896424, KB896428, KB896358, KB896727, KB899587, KB899589, KB901017,

Informe técnico

Informe técnico

KB901214, KB902400, KB903235, KB905414, KB908519, KB890046 y KB896688.

directorio

C:\apache\Apache\htdocs\web-erp, es un paquete open- source para la gestión de negocio (ERP) y disponible en www.weberp.org.

Software de seguridad para el uso del administrador en

WebERP

v3.04,

instalado

en

el

C:\Documents

Documents\Sof7w4r3:

& Settings\Administrator\My

CurrPorts v.1.07 [17], una utilidad para listar los puertos TCP y UDP abiertos en el sistema, disponible en http://www.nirsoft.net/utils/cports.html.

de

www.sysinternals.com con el mismo propósito que la anterior.

GFI LANguard Network Security Scanner v6.0 [18], que aunque presente no llegó a instalarse en el sistema.

Obtención de la lista preliminar de ficheros e identificación de ficheros relevantes.

A continuación, es el momento de extraer una lista de todos los ficheros del

sistema, sus tiempos de creación, acceso y modificación, listar los ficheros borrados e intentar recuperar aquello que sea posible. En esta tarea, es evidente que EnCase hace un trabajo excelente. Alternativamente puede emplearse Autopsy ó ntfsflst.exe, una herramienta de NTI para listar esta información de un

sistema de ficheros NTFS.

Adicionalmente, resulta muy importante identificar cuanto antes aquellos ficheros que pertenecen a un sistema operativo normal, y que por lo tanto no tienen especial interés para el investigador. Para ello, se generan los hashes MD5 de todo fichero en el sistema y se comparan con alguna lista de ficheros conocidos. En nuestro caso empleamos la lista de la Nacional Software Reference Library[19], descargable desde http://www.nsrl.nist.gov en cuatro imágenes de CDs.

Sin embargo, aún así, el número de ficheros identificados no fue numeroso, por

lo que decidimos instalar todas las aplicaciones anteriormente listadas en nuestro

sistema Windows ‘limpio’ (Entorno 3) para generar un checksum de todos los

ficheros y poder comparar.

Así, de las 19.617 entradas de EnCase (sin contar elementos del registry), que incluyen ficheros recuperados, 13.857 fueron identificados como pertenecientes a alguno de los paquetes software anteriormente mencionados, el más relevante, claro, Windows 2003 Server.

Con ello estamos ya en condiciones de obtener un ‘cronograma’ básico desde el punto de vista de sistema de ficheros sobre el que investigar.

TCPView

2.40,

una

utilidad

Informe técnico

Informe técnico

Identificación de cuentas de usuario

Para el correcto análisis de los ficheros, es imprescindible correlar sus accesos con las cuentas de usuario existentes. Obtenerlas es tarea sencilla a partir de la SAM de forma offline, como también directamente analizando nuestro sistema en caliente:

directamente analizando nuestro sistema en caliente: Por ambos métodos (puesto que en este caso no hay

Por ambos métodos (puesto que en este caso no hay ningún rootkit o similar que distorsione esta información) obtenemos la misma tabla de usuarios:

User name

Description

   

Full Name:

CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description:

This is a vendor's account for

the Help and Support Service Home Drive Letter:

Home Directory:

Primary Group Number:

513 Security Identifier:

S-1-

SUPPORT_388945a0

5-21-278011715

   

Full Name:

Johnatan Tezcatlipoca Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1006 Logon Script:

Profile Path:

Last Logon:

Johnatan

02/05/06

   

Full Name:

Ernesto Sánchez Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1007 Logon Script:

Profile Path:

Last Logon:

ernesto

 

Unknown Date:

   

Full Name:

Amado Carrillo Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1008 Logon Script:

Profile Path:

Last Logon:

amado

 

Unknown Date:

   

Full Name:

Gabriel Torres Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1009 Logon Script:

Profile Path:

Last Logon:

maick

02/04/06 03:11:0

   

Full Name:

Eduardo Hernández Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1010 Logon Script:

Profile Path:

Last Logon:

lalo

Unknown Date

   

Full Name:

Monica Islas Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1011 Logon Script:

Profile Path:

Last Logon:

moni

 

Unknown Date:

   

Full Name:

Maria Guadalupe Ramos Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1012 Logon Script:

Profile Path:

Last Logon:

maru

01/26/06

Informe técnico

Informe técnico
   

Full Name:

Mirna Casillas Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1013 Logon Script:

Profile Path:

Last Logon:

 

mirna

 

Unknown Date:

   

Full Name:

Katalina Rodriguez Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1014 Logon Script:

Profile Path:

Last Logon:

katy

 

Unknown Dat

   

Full Name:

Jorge Caracheo Mota Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1015 Logon Script:

Profile Path:

Last Logon:

caracheo

Unknown Da

   

Full Name:

Eduardo Roldán Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1016 Logon Script:

Profile Path:

Last Logon:

 

ovejas

 

Unknown Date:

   

Full Name:

Israel Robledo Gonzáles Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1017 Logon Script:

Profile Path:

Last Logon:

reno

02/03/0

   

Full Name:

Elizabet Herrera Zamora Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1018 Logon Script:

Profile Path:

Last Logon:

pili

Unknow

   

Full Name:

Rolando Zamorategui Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1019 Logon Script:

Profile Path:

Last Logon:

zamorano

Unknown Da

   

Full Name:

Mari Carmen Penelope Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513

Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1020 Logon Script:

Profile Path:

Last Logon:

mpenelope

Unknown D

   

Full Name:

postgres Account Description:

PostgreSQL service account Home Drive Letter:

Home Directory:

Primary

Group Number:

513 Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1023 Logon Script:

Profile Path:

postgres

Last Logon:

   

Full Name:

Account Description:

Home Drive Letter:

Home Directory:

Primary Group Number:

513 Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-1024 Logon Script:

Profile Path:

Last Logon:

02/05/06 09:47:21

 

ver0k

 

Unknown Date

   

Full Name:

Account Description:

Built-in account for administering the computer/domain Home Drive Letter:

Home

Directory:

Primary Group Number:

513 Security Identifier:

S-1-5-21-2780117151-1340924567-2512508698-500 Logon

Administrator

Script:

Profile Pat

Aunque todas las cuentas de usuario están dentro del grupo ‘Administrators’, inmediatamente llama la atención una cuenta sobre las demás: ‘ver0k’, por dos motivos: es la única sin nombre completo asociado y tiene el característico cambio de una vocal por números, tan popular en la comunidad ‘hacker’. En este punto lanzamos también la recuperación/crackeo de passwords mediante la herramienta ‘Proactive Password Auditor’, que permitió recuperar (entre otras) la password de ver0k: ‘password’.

Búsqueda de ‘malware’

El siguiente paso en la investigación, consistió en la búsqueda sistemática de ‘malware’, esto es virii, herramientas de hacking, rootkits y demás.

Para ello, empleamos la siguientes técnicas:

a) Ejecución de herramientas antivirus y antispyware. En nuestro caso, analizamos el sistema de ficheros con las siguientes herramientas, con las firmas debidamente actualizadas a febrero de 2006:

Panda Titanium 2006 Antivirus + Antispyware.

CA eTrust EZ-Antivirus 2005.

CA eTrust PestPatrol 2005.

El resultado de la ejecución de las mismas, fue la detección de una serie de ‘cookies’ consideradas ‘espías’, pero no la aparición de algún fichero realmente dañino.

b) Ejecución de herramientas anti-rootkit. En concreto, empleamos ‘RootkitRevealer’ una herramienta disponible en www.sysinternals.com .

Informe técnico

Informe técnico

Tampoco fue capaz de identificar ningún tipo de rootkit a nivel de kernel.

de identificar ningún tipo de rootkit a nivel de kernel. c) Obtención y revisión de la

c) Obtención y revisión de la lista de servicios y programas auto-arrancables en el inicio del sistema. Esta revisión puede hacerse a mano, pero es más sencillo emplear una herramienta específica para ello, como es ‘Autorun’ [7]:

específica para ello, como es ‘Autorun’ [7]: d) Búsqueda de ‘Alternate Data Streams’, una facilidad

d) Búsqueda de ‘Alternate Data Streams’, una facilidad de Windows que suele emplearse para almacenar información de forma escondida a un usuario. Para ello, empleamos la herramienta LADS [13]:

LADS - Freeware version 4.00 (C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size

ADS in file

---------- ---------------------------------

0 C:\Documents and Settings\Johnatan\My

Documents\imagenes\Thumbs.db:encryptable

Informe técnico

Informe técnico

0 bytes in 1 ADS listed

Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el sistema operativo Windows (ver http://www.accessdata.com/media/en_US/ print/papers/wp.Thumbs_DB_Files.en_us.pdf ).

e) Análisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto que tenemos las herramientas cports y TCPView ya accesibles, las empleamos después de comprobar mediante hash que no han sido alteradas.

de comprobar mediante hash que no han sido alteradas. Enseguida nos llama la atención que el

Enseguida nos llama la atención que el puerto TCP 3389 está accesible. Este puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y permite el acceso remoto al sistema. Comprobamos que efectivamente, está así configurado, a pesar de que no se activa por defecto en la instalación (posteriormente determinamos que fue el atacante el que activó este servicio):

por defecto en la instalación (posteriormente determinamos que fue el atacante el que activó este servicio):

Informe técnico

Informe técnico

f) Análisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad ‘sigcheck’ de sysinternals. Su ejecución determina si hay programas no firmados digitalmente que pudieran corresponder a algún malware. Sin embargo, tampoco encuentra información significativa:

A:> sigcheck -u -e c:\windows\system32 Sigcheck v1.3 Copyright (C) 2004-2006 Mark Russinovich Sysinternals - www.sysinternals.com

C:\windows\system32\sirenacm.dll:

Verified:

Unsigned

File date:

12:11 a.m. 13/10/2005

Publisher:

Microsoft Corp.

Description:

MSN Messenger Audio Codec

Product:

MSN Messenger Audio Codec

Version:

7.5.0311.0

File version: 7.5.0311.0

C:\windows\system32\UNWISE.EXE:

Verified:

Unsigned

File date:

10:55 a.m. 25/06/1999

Publisher:

n/a

Description:

n/a

Product:

n/a

Version:

n/a

File version: n/a

Se comprueba a través de google que ambos ficheros no son maliciosos. Por ejemplo, ver

http://research.pestpatrol.com/Search/FileInfoResults.asp?PVT=203306186

Análisis de la sesión de MSN Messenger

En un momento del análisis, se determinó que el atacante estableció una sesión de MSN Messenger y fue necesario analizarla. Para ello, encontramos una serie de ficheros temporales bajo C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\3817870080, donde este último número es el UserID generado a partir del nombre del usuario. Investigando en la web [21],

se averigua que este userID se genera de la siguiente forma:

int getUserId(LPTSTR user)

{

 

unsigned int x = 0;

for (int i = 0; i < strlen(user); i++) {

 

x

= x * 101;

x

= x + towlower(user[i]);

 

}

return x;

 

}

Así pues, aunque no es posible obtener el nombre de usuario a partir del UserID,

sí es posible comprobar si una determinada dirección de correo genera ese

mismo UserID; en consecuencia, obtuvimos del disco todas las direcciones de

correo con ayua de un script de EnCase (más de 20.000 válidas) y procedimos

a hacer un programa para generar el UserID de todos los casos. Para uno de

ellos tuvimos un match: “h4ckIII@hotmail.com”, lo que –unido al nombre tan sospechoso utilizado- nos confirma que fue ésta la cuenta empleada por el atacante. Ello se confirma además por el hecho de encontrar en el fichero

Informe técnico

Informe técnico

C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada:

Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com

Buscando la cadena ‘h4ckIII’ en el disco se obtiene del fichero pagefile.sys una gran cantidad de información sobre la sesión de Messenger, comenzando por:

INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com>

(lo que indica que el destino de la comunicación fue el usuario ‘h4ckiii- 2@hotmail.com’) y siguiendo con toda la sesión, con intercambios tipo:

MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> From: <msnmsgr:h4ckIII@hotmail.com> Via: MSNSLP/1.0/TLP ;branch={6A2ADFE7-7AA9-4B77-9752-5A8033E6B0EB} CSeq: 0 Call-ID: {93B356C3-6109-4C3E-9D4F-DF9EB0D5DF07} Max-Forwards: 0 Content-Type: application/x-msnmsgr-sessionreqbody Content-Length: 329

Lo que permite reconstruir la sesión completa de Messenger. Análogamente, pueden buscarse las cadenas ‘MSNMSGR:’ y/o ‘MSNSLP’.

Consolidación de otras fuentes de información

Además de los distintos tiempos de cada fichero, existen otras muchas fuentes de información en el sistema con fecha y hora asociada, que hay que considerar:

a) Event logs, en sus tres grupos de System, Security y Applications. En concreto, el log de Security proporciona una gran cantidad de información, por cuanto el sistema de auditoría de Windows está configurado para registrar la máxima cantidad de información, como por ejemplo la creación y fin de cualquier proceso en el sistema, el logon y logout de un usuario, etc:

proceso en el sistema, el logon y logout de un usuario, etc: Los event logs pueden

Los event logs pueden analizarse más fácilmente si, en lugar de acceder a los

Informe técnico

Informe técnico

mismos con las herramientas de Windows se descargan a un fichero en formato texto. EnCase lo hace automáticamente, aunque también puede emplearse para esa tarea la utilidad ‘dumpel’ del NT Resource Kit, ó PsLogList de sysinternals.

Los logs del servidor web Apache, tanto de acceso como de error, bajo C:\apache\Apache\logs.

c) Los logs de la base de datos MySQL, counters.log y counters.err, bajo C:\apache\Apache\mysql\data\, accesibles también mediante el interfaz de usuario, a la que podemos conectarnos sin problemas, pues no tiene una password de acceso:

b)

sin problemas, pues no tiene una password de acceso: b) d) C:\Program Files\PostgreSQL\8.1\data\pg_log. No obstante,

d)

C:\Program

Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos

Los

ficheros

de

log

de

PostgreSQL,

bajo

que sólo existen entradas de dos tipos:

Arranque / parada

Autovacuum (limpieza) de la base de datos, lo que es algo normal (v.http://www.postgresql.org/docs/current/static/maintenance.html #ROUTINE-VACUUMING )

La conexión a PostgreSQL con psql como con pgadmin inicialmente no es posible, puesto que es necesario un password que desconocemos. Sin embargo, en el directorio C:\Documents and Settings\Administrator\My Documents\Sof7w4r3\postgresql-8.1.0-2 encontramos el log de instalación (postgresql-8.1.log) que contiene, entre otras cosas, la password de administración: “SERVICEPASSWORD = p0stgr3ssql”. Con ella, podemos acceder al interfaz de usuario, en la que vemos que existe una única base de datos, ‘postgres’, en la que no hay creada ninguna tabla.

En consecuencia, podemos en principio ignorar la actividad de PostgreSQL.

Informe técnico

Informe técnico
Informe técnico e) Los ficheros ‘index.dat’ de los distintos usuarios, que proporcionan información muy útil sobre

e) Los ficheros ‘index.dat’ de los distintos usuarios, que proporcionan información muy útil sobre el acceso a determinadas URLs, el uso de cookies y la fecha de todo ello. Estos ficheros no están en formato texto, pero EnCase proporciona de forma muy sencilla esta información, que puede también extraerse empleando una herramienta como ‘pasco’, una utilidad gratuita descargable desde www.foundstone.com.

Todas estas fuentes de información, junto con el primer cronograma de tiempos de los ficheros y otro similar incluyendo los tiempos de creación de las entradas del registry, fue puesta en un formato de fecha y hora común y consolidada en un único fichero Excel. La ventaja de un Excel así, es la facilidad de determinar la actividad del sistema en un determinado momento.

A modo de ejemplo, en la figura podemos ver la información obtenida para el 5 de Febrero a partir de las 12:44:

A modo de ejemplo, en la figura podemos ver la información obtenida para el 5 de

Informe técnico

Informe técnico

Siguientes pasos

A partir de aquí, el trabajo se vuelve bastante manual. Es evidente que hay mucha actividad y cambios en el sistema que son normales y no corresponden a

actividad de ataque alguna, como instalación del sistema, escritura en ficheros

que añade mucho ruido a las evidencias

recogidas. Resulta muy complicado detallar todas y cada una de las actividades realizadas, incluyendo bastantes búsquedas de palabras clave dentro de todo el disco.

Simplemente señalar que nuestro siguiente punto de investigación fue comprobar cómo y cuándo se creó la cuenta ‘ver0k’ y a partir de ahí ir desenredando la madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se expone en los siguientes capítulos.

Finalmente, indicar que, como siempre, una de las mayores herramientas de ayuda a cualquier análisis forense es Google, http://www.google.com .

de log, acceso normal a WebERP, etc

Informe técnico

Informe técnico

3. Cronograma de actividades

A continuación se presenta, en forma de tabla, un sumario del cronograma de las actividades más destacables detectadas en el sistema, junto con la evidencia asociada. Para el análisis temporal hemos intentado siempre corroborar cualquier hipótesis desde varias fuentes, si bien en esta tabla y por razones de espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las horas están referidas al huso horario del Pacífico (PST, ó GMT-8) aunque la evidencia en ocasiones esté asociada a GMT ó Alaska (GMT-9), como ya hemos comentado.

Fecha y Hora

Evento

25-ene-06 23:56:44 PST

Se instala el sistema operativo

 
 

Evidencias asociadas:

Entrada del registry HKLM\Software\Microsoft\Windows\CurrentVersion\InstallDate: 0x43d872ac => 26 Ene 06 07:56:44 UTC => 23:56:44 PST Se pone el nombre de la máquina COUNTERS: SYS Event Log 25/Jan/2006 22:26:03 MACHINENAME; COUNTERS; System Event Log: 25/01/2006 22:57:36 winlogon.exe; COUNTERS; Operating System: Upgrade (Planned); 0x80020003; restart; Windows setup has completed, and the computer must restart.; NT AUTHORITY\SYSTEM; System Event Log: 25/01/2006 22:57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; (Permanecerá el sistema con este huso horario hasta el 2 de Febrero)

26-ene-06 08:27:21

MySQL preparado para conexiones.

 
 

Evidencias asociadas: MySQL Error Log

26/01/2006

7:27:21 C:\apache\Apache\mysql\bin\mysqld-nt: ready for connections.

26-ene-06 12:37:19

Se ha instalado con una versión de evaluación de Windows Server, y sin embargo no se ha activado. Quedan 14 días para hacerlo.

 

Evidencias asociadas: Application Event Log: 26/01/2006 11:37:19 Windows Product Activation

Warning 14;

26-ene-06 14:53:23

Instalación de los hotfixes

 

a

15:04:33

Evidencias asociadas: System Event Log

26/01/2006 13:53:23 26/01/2006 14:04:33

NtServicePack Explorer.EXE; COUNTERS; Security issue; 0x84050013; restart; ;

 

System Event Log

COUNTERS\Administrator;

 

26-ene-06 18:00

Instalación del servidor Web Apache.

 
 

Evidencias asociadas: Tiempo de creación de los directorios C:\apache, y los directorios bin, lib, conf, etc

bajo C:\apache\Apache

26-ene-06 18:39

Instalación de MySQL

 
 

Evidencias asociadas: Tiempo de creación de los directorios bin, lib, etc

bajo C:\apache\Apache\mysql.

26-ene-06 18:47

Instalación de WebERP

 
 

Evidencias asociadas: Tiempo de creación del directorio C:\apache\Apache\htdocs\web-erp

29-ene-06 18:01

Se hace una primera prueba externa de seguridad del servidor web, que deja una curiosa entrada en el log:

 

Evidencias asociadas: Apache error log:

Sun Jan 29 17:01:43 134.186.42.18

 

RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFi

client sent HTTP/1.1 request without hostname (see (v. http://isc.sans.org/diary.php?storyid=900)

30-ene-06 18:28:30

Escaneo de vulnerabilidades del servidor apache desde la dirección IP

192.168.100.144 (dentro pues de la red privada) con la herramienta ‘nikto’

a

18:31:43

Informe técnico

Informe técnico
 

[22] (ver http://www.cirt.net/code/nikto.shtml )

 
 

Evidencias asociadas: Entradas en el Apache error log:

 
 

Mon Jan 30 17:28:30 [error] 192.168.100.144

File does not exist: c:/apache/apache/htdocs/nikto-1.35-

d3ng4mwwxva0fqq8.htm

 

Mon Jan 30 17:28:30 [error] 192.168.100.144 Y varios cientos más…

File does not exist: c:/apache/apache/htdocs/cgi.cgi/

30-ene-06 18:28:34

Intento de ataque singular desde 132.248.124.144, buscando un problema conocido con cgi-bin/excite, sin consecuencias.

 

Evidencias asociadas: Apache error log

Mon Jan 30

17:28:34 132.248.124.144 request failed: erroneous characters after

 

protocol string: GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\";

 

1-feb-06 18:53:00

Otro escaneo con nikto, esta vez desde 192.168.5.32

a

18:53:45

Evidencias asociadas: Apache error log:

 
 

Wed Feb 01 17:53:03 192.168.5.32 Wed Feb 01 17:53:45 192.168.5.32 c:/apache/apache/cgi-bin/where.pl

File does not exist: c:/apache/apache/htdocs/nikto-1.35-hrzububfwsfi.htm (2)No such file or directory: script not found or unable to stat:

2-feb-06 12:59:57

Se pone como nuevo ‘timezone’ la hora estándar del Pacífico (PST)

 

Evidencias asociadas: System EventLog:

02/02/2006 12:59:57

; ; ; ; 428323; 60; 480 Pacific Standard Time;

2-feb-06 18:34:18

 

a

18:45:35

El usuario ‘reno’ copia 514 ficheros bajo C:\Documents and Settings en los

directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones Powerpoint, PDFs e imágenes pornográficas en formato ‘jpg’.

Evidencias asociadas: Security Event Log: Account Used for Logon by reno

02/02/2006 18:34:18

 
 

Tiempo de creación de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el único que tiene todos los permisos):

File Creation 02/02/2006 18:34:18 File Creation 02/02/2006 18:34:18

C:Documents and Settings\reno\Sti_Trace.log C:Documents and Settings\reno\Start

Menu\Programs\Accessories\Accessibility\Utility Manager.lnk

 

File Creation 02/02/2006 18:45:35

C:Documents and Settings\Johnatan\My

Documents\imagenes\overlay_2_2005112211034.jpg

 

En total, se copian 173.079.187 bytes en 11 minutos y 17 segundos, lo que nos permite deducir que la velocidad de conexión para la copia fue de 2Mbits.

4-feb-06 14:04:43

Escaneo de vulnerabilidades del servidor web desde 84.18.17.15. En esta

a

14:26:54

ocasión si que parece un ataque real, por cuanto es una IP externa y no se usa ‘nikto’.

Evidencias asociadas: Apache error log

Sat

Feb

04

14:04:43 84.18.17.15

Invalid method in request \\x80.\\x01

 

Apache error log

Sat

Feb

04

14:26:54 84.18.17.15

File does not exist:

c:/apache/apache/htdocs/scripts/comments.php

4-feb-06 14:19:14

En paralelo, otro ataque tipo denegación de servicio desde 4.18.17.15.

a

14:19:19

Evidencias asociadas: Apache error log

Sat Feb 04

14:19:14 4.18.17.15

(38)Filename too long: Possible DoS attempt?

 

Path=c:/apache/apache/htdocs/////////////////////////// (unas 300 líneas iguales)

Sat Feb 04

14:19:19 4.18.17.15

(38)Filename too long: Possible DoS attempt?

Path=c:/apache/apache/htdocs///////////////////////////

 

4-feb-06 14:45:44

Instalación de PostgreSQL.

 

a

14:47:07

Evidencias asociadas: File Access

04/02/2006 14:45:44 04/02/2006 14:45:45

C\Program Files\PostgreSQL\8.1\bin\libpq.dll C\Program Files\PostgreSQL\8.1\bin\initdb.exe

 

File Access

Sec Event Log

04/02/2006 14:46:23

User Account Created -- New Account Name - postgres; New

Domain - COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1023}; Caller User

Informe técnico

Informe técnico
 

Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres;

App Event Log

04/02/2006 14:47:07

MsiInstaller

4-ene-06 14:47:30

El administrador crea el directorio C:\Documents and

 

settings\Administrator\Sof7w4r3

 

Evidencias asociadas: File Creation

Sof7w4r3 14:47:30

4-ene-06 14:59:43

…y copia dentro los ficheros y copia dentro los ficheros languardnss6.exe y cports.exe.

Tcpview.exe,

Evidencias asociadas: Tiempo de creación de los ficheros.

 

4-ene-06 15:01:32

 

a 15:03:42

También genera todos los ficheros bajo C\Documents and Settings\Administrator\My Documents\My Videos, y en general todos los ficheros bajo My Documents, lo que incluye imágenes, animaciones flash y ficheros excel (117 ficheros)

Evidencias asociadas: Tiempo de creación de los ficheros:

 

File Creation

arbitrogay.wmv

15:01:32

File Creation

Lista1.xls

15:03:42

4-feb-06 15:28:25

El administrador genera el directorio Crea el directorio C:\Documents and Settings\Administrator\My Documents\update que contiene algunos hotfixes a instalar.

Evidencias asociadas: File Creation

updates 15:28:25 Blaster Windows2000-KB823980-x86-ESN.exe

 
 

File Creation

15:28:25

File Creation

Buffer Overrun Windows2000-KB824146-x86-ESN.exe

15:28:26

File Creation

Netbios Windows2000-KB824105-x86-ESN.exe

15:28:27

File Creation

w2k ntdll iis.EXE

15:28:27

File Creation

Windows2000-KB828741-x86-ESN.EXE 15:28:27 Windows2000-KB835732-x86-ESN.EXE 15:28:32

 

File Creation

5-feb-06

12:11:13

Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada, mediante la cual tiene previsto conseguir acceso al sistema.

Evidencias asociadas: Del disco, en zonas no asignadas a ningún fichero, se ha recuperado el siguiente e-mail:

 
 

De:

alopez@eycsa.com.mx jonathan.tezca@yahoo.com Urgente!! Sun, 5 Feb 2006 14:11:13 -0600 (CST)

 

Para:

Asunto:

Fecha:

Johnny:

Por favor baja el catalogo que esta en

 

http://70.107.249.150/clientes.wmf

Alberto Lopez Director General Electronica y Computacion S.A. de C.V.

Se trata de un correo tipo ‘phishing’ en el que intenta engañar a Johnatan, haciéndose pasar por alguien por él conocido (Alberto López) para darle confianza.

5-feb-06

12:23:09

El usuario Johnatan hace login en el sistema. Es particularmente importante porque es este usuario y en esta sesión el que va a sufrir el ataque.

Evidencias asociadas: Security Event Log

05/02/2006 12:23:09

Successful Logon -- Username - Johnatan; Domain - COUNTERS;

 

Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -;

Informe técnico

Informe técnico

5-feb-06

12:23:49

Johnatan arranca el Internet Explorer. (con Process ID 3128)

Evidencias asociadas: Security Event Log

05/02/2006 12:23:49

New Process Has Been Created -- New Process ID - 3128; Image

 

File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

5-feb-06

12:26:46

Johnatan se conecta a mail.yahoo.com. para leer su correo.

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

 

05/02/2006 12:26:46

Link :2006020520060206: Johnatan@http://mail.yahoo.com

5-feb-06

12:28:11

Intenta

hacer login en mail.yahoo.com

 

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

 

05/02/2006 12:28:11

Link Visited: Johnatan@https://login.yahoo.com/config/login?

5-feb-06

12:28:49

y

lo consigue.

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

 

05/02/2006 12:28:49

Link Visited:

 

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=73875

5-feb-06

12:40:36

Primer intento de ataque. Johnatan accede al correo anteriormente mostrado…

Evidencias asociadas: .index.dat :

 
 

05/02/2006 12:40:36

Link Visited:

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=4224_0_22_1148_155_0_2_-

1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE

 

X6EcqA

5-feb-06

12:41:30

Primer intento de ataque. Johnatan ha caído en la trampa y accede a http://70.107.249.150/clientes.wmf. Sin embargo, el exploit falla y no hay consecuencias aparentes.

Evidencias asociadas: index.dat 05/02/2006 12:41:30

Link Visited: Johnatan@http://70.107.249.150/clientes.wmf

5-feb-06

12:42:47

El atacante reacciona viendo que la cosa no ha funcionado, e inmediatamente construye y envía un nuevo e-mail, intentando explicar el fallo y que Johnatan lo intente de nuevo.

Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de creación del mismo:

 

De:

alopez@eycsa.com.mx

Para: jonathan.tezca@yahoo.com

Asunto:

Fecha:

Urgente!! (correccion) Sun, 5 Feb 2006 14:42:47 -0600 (CST)

Johnny:

Esta es la liga correcta,

Por favor baja el catalogo que esta en

http://70.107.249.150:8080/clientes.wmf

Alberto Lopez Director General Electronica y Computacion S.A. de C.V.

 

Nótese cómo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http.

5-feb-06

12:43:44

Johnatan abre el correo con el nuevo mensaje…

Evidencias asociadas: index.dat:

 
 

05/02/2006 12:43:44

Link Visited:

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_-

1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp

kyR

Informe técnico

Informe técnico
 

Tiempo de creación del fichero temporal CAU1CDC1.htm antes mencionado.

5-feb-06

12:43:50

…Intenta abrir el nuevo link a clientes.wmf; Internet explorer advierte a Johnatan de que el contenido ha sido bloqueado. Pero éste ignora la advertencia y sigue adelante…

Evidencias asociadas: File Access

05/02/2006 12:43:50

Windows XP Pop-up Blocked.wav

5-feb-06

12:44:10

Se accede realmente a http://70.107.249.150:8080/clientes.wmf … y…

Evidencias asociadas: index.dat 05/02/2006 12:44:10

Link Visited: Johnatan@http://70.107.249.150:8080/clientes.wmf

5-feb-06

12:44:11

¡¡¡EXPLOIT!!! El atacante arranca un intérprete de comandos en el sistema accesible desde el exterior. Además, como Johnatan pertenece al grupo Administrators, con privilegios de Administrador.

Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan)

 

Iexplorer index.dat

05/02/2006 12:44:11

Link Visited:

Johnatan@http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6

do1Z/e9zhOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff

Sec Event Log

05/02/2006 12:44:11

New Process Has Been Created -- New Process ID - 884; Image File

Name - C:\WINDOWS\system32\rundll32.exe; Creator Process ID Domain - 3128; Username - Johnatan; Domain -

COUNTERS; Logon ID - (0x0,0x3DF69A);

 

Sec Event Log

05/02/2006 12:44:12

New Process Has Been Created -- New Process ID - 3376; Image

File Name - C:\WINDOWS\system32\cmd.exe; Creator Process ID Domain - 884; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

La

vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yestá descrita en el boletín :

 

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

 

El

exploit empleado es uno disponible dentro del Framework de Metasploit [23] http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile

El

cual aprovecha un ‘bug’ en la function ‘Escape’ para ejecutar código arbitrario a través del procedimiento SetAbortProc

de la librería GDI. Además, el exploit genera una URL random y un fichero .tif también random que contiene el exploit,

para evitar las firmas de los IDS.

 

El

empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder

al

stream WMF:

http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9z

hOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff

Y

por la existencia de dicho fichero .tif entre los que son recuperables dentro de los ficheros temporales de Internet. En

concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet

Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff.

 

Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre sí, y en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares.

5-feb-06

12:45:30

El atacante añade la cuenta ver0k, con 'net user ver0k password /ADD'.

Evidencias asociadas: El password empleado es precisamente ‘password’, averiguado al ‘crackear’ las cuentas con Proactive Password Auditor. Nótese que el Creator Process ID es 3376, correspondiente al proceso cmd.exe. Security Event Log:

 

05/02/2006 12:45:30

New Process Has Been Created -- New Process ID - 2988; Image File Name -

 

C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

 

05/02/2006 12:45:30

New Process Has Been Created -- New Process ID - 3700; Image File Name -

 

C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2988; Username - Johnatan; Domain - COUNTERS;

Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:30

User Account Created -- New Account Name - ver0k; New Domain -

COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); Privileges - -; - ver0k;

 

05/02/2006 12:45:30

User Account Password Set -- Target Account Name - ver0k; Target Domain -

 

COUNTERS; Target Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name - Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); - -;

Informe técnico

Informe técnico

5-feb-06

12:45:53

Luego añade la cuenta ver0k al grupo Administrators, con el comando 'net group "Administrators" ver0k /ADD '

 

Evidencias asociadas: Security Event Log:

 
 

05/02/2006 12:45:53

New Process Has Been Created -- New Process ID - 2744; Image File Name -

C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS;

Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:53

New Process Has Been Created -- New Process ID - 2576; Image File Name -

C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2744; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

05/02/2006 12:45:53

Local Group Member Added -- Member - -; Target Account Name - %{S-1-5-21-

2780117151-1340924567-2512508698-1024}; Target Domain - Administrators; Target Account ID - Builtin; Caller

User Name - %{S-1-5-32-544}; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - -

File Access

05/02/2006 12:45:53

net.exe

C\WINDOWS\system32\net.exe

5-feb-06

12:46:23

Y finalmente, el atacante cambia las entradas del registry que permiten el acceso remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal Server\fDenyTSConenctions =0) con Terminal Remoto: “REG ADD ‘HKLM\System\CurrentControlSet\Control\Terminal Server’ /v fDenyTSConnections /t REG_DWORD /d 0 /f

 

Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificación exactamente 12:46:23

 

File Access Security Event Log

05/02/2006 12:46:23 05/02/2006 12:46:23

C\WINDOWS\system32\reg.exe

New Process Has Been Created -- New Process ID - 3984; Image

File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

5-feb-06

12:46:54

 

a

12:47:21

El atacante (en adelante usaremos su alias ‘ver0k’) se conecta por Terminal

Remoto al sistema desde la IP 70.107.249.155, distinta de la anterior. (v. apartado direcciones IP implicadas)

Evidencias asociadas: File Access:

05/02/2006 12:46:54 05/02/2006 12:46:54

C\WINDOWS\system32\winlogon.exe

New Process Has Been Created -- New Process ID - 1668; Image

 

Security Event Log:

File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$;

Domain - WORKGROUP; Logon ID - (0x0,0x3E7);

 

File Access :

Un montón de fonts bajo C:\WINDOWS\Fonts

Security Event Log:

05/02/2006 12:46:56

Logon Process Registered -- Logon Process Name -

Winlogon\MSGina; Sec Event Log:

05/02/2006 12:47:21

Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon

ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; La IP la obtenemos viendo el log en el momento de la desconexión, 1 hora y cuarto después: Sec Event Log 05/02/2006 14:00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation - 70.107.249.155;

5-feb-06

12:47:46

 

y

12:48:02

Johnatan hace un par de pings, presumiblemente mosqueado porque no le

contesta el servidor a su petición del fichero clientes.wmf… "ping 70.107.249.150". Han pasado más de 3 minutos desde el exploit…

Evidencias asociadas: Security Event Log:

05/02/2006 12:47:46

New Process Has Been Created -- New Process ID - 200; Image File

 

Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain -

COUNTERS; Logon ID - (0x0,0x3DF69A);

 

File Access:

05/02/2006 12:48:02 05/02/2006 12:48:02

C\WINDOWS\system32\ping.exe

New Process Has Been Created -- New Process ID - 2208; Image

Security Event Log:

File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);

5-feb-06

12:48:17

ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no hay password de acceso. Presumiblemente busca información sobre las bases de datos configuradas y averigua que WebERP es la principal. Asimismo puede

Informe técnico

Informe técnico
 

acceder a los logs de Error y General de MySQL.

 

Evidencias asociadas: File Access

05/02/2006 12:48:17

C\Documents and Settings\All Users\Start

 

Menu\Programs\MySQL\MySQL Administrator.lnk

 

Security Event Log

05/02/2006 12:48:17

New Process Has Been Created -- New Process ID - 2320; Image

File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

5-feb-06

12:49:50

ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/web- erp/AccountGroups.php, presumiblemente busca información de cuentas de usuario y passwords de acceso a WebERP.

 

Evidencias asociadas: Security Event Log

05/02/2006 12:49:50

New Process Has Been Created -- New Process ID - 520; Image File

 

Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 3100; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

File Access:

05/02/2006 12:49:51 05/02/2006 12:49:51

C\WINDOWS\Fonts\cour.ttf Link Visited: ver0k@file:///C:/apache/Apache/htdocs/web-

Iexplorer index.dat:

erp/AccountGroups.php Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe

5-feb-06

12:49:53

y lo para ¡3 segundos después! Ha comprobado que el fichero no contiene información de cuentas de usuario. En realidad, ese fichero es idéntico al del paquete WebERP original, como verifica el hash MD5.

 

Evidencias asociadas: Sec Event Log

05/Feb/2006

12:49:53 ver0k

Process Has Exited -- Process ID - 520; Username -

 

C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);

5-feb-06

12:50:02

Así que ahora edita C:/apache/Apache/htdocs/web-erp/config.php. Allí ve el usuario y password (ninguno) de acceso a la base de datos.

 

Evidencias asociadas: Sec Event Log

05/02/2006 12:50:02

New Process Has Been Created -- New Process ID - 3092; Image

 

File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

Iexplorer index.dat

05/02/2006 12:50:02

Link :2006020520060206:

ver0k@file:///C:/apache/Apache/htdocs/web-erp/config.php

 

Contenidos del fichero config.php (entre otros):

// sql user & password $dbuser = 'weberp_us'; $dbpassword = '';"

5-feb-06

12:51:00

ver0k comprueba que se conecta sin problemas a la base de datos.

 

Evidencias asociadas: :File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_ options.xml File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_ connections.xml MySQL General Log:

 

05/02/2006 12:51:00 05/02/2006 12:51:00 05/02/2006 12:51:00 05/02/2006 12:51:00 05/02/2006 12:51:00

1386 Connect

1386 Query

1386 Query

1386 Query

1386 Query

weberp_us@localhost as anonymous on SET SESSION interactive_timeout=1000000 SELECT @@sql_mode SET SESSION sql_mode='ANSI_QUOTES' SET NAMES utf8

File Access

05/02/2006 12:51:01

MySQLAdministrator.exe

MySQL General Log:

05/02/2006 12:51:01 05/02/2006 12:51:01 05/02/2006 12:51:01

1387 Connect

1387 Query

1387 Query

weberp_us@localhost as anonymous on SET SESSION interactive_timeout=1000000 SELECT @@sql_mode SET SESSION sql_mode='ANSI_QUOTES' SET NAMES utf8

05/02/2006 12:51:01 05/02/2006 12:51:01 05/02/2006 12:51:01

1387 Query

1387 Query

1387 Quit

 

5-feb-06

12:51:16

Ver0k arranca una sesión interactive de MySQL, y comienza a recabar un montón

de información sobre la misma: Entre otras cosas, los usuarios que tienen acceso

 

a

13:01:22

Informe técnico

Informe técnico
 

al sistema, sus nombres reales y su nivel de acceso. Desafortunadamente para él, los passwords están cifrados con SHA1. También obtiene toda la información sobre clientes. (la sesión completa y su resultado puede verse como apéndice). La información de la sesión la copia con la ayuda de dos ‘notepad’ a los ficheros C:\clientes.txt y C:\users.txt, con la información de clientes y usuarios respectivamente.

 

Evidencias asociadas: File Access

05/02/2006 12:51:16 05/02/2006 12:51:16

C\apache\Apache\mysql\bin\mysql.exe New Process Has Been Created -- New Process ID - 392; Image File

 

Sec Event Log

Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain - 2320; Username - ver0k; Domain -

COUNTERS; Logon ID - (0x0,0x3F4E19); "MySQL General Log:

 

060205

12:51:20

1388 Connect

weberp_us@localhost as anonymous on

060205

12:51:34

1388 Query

show tables

060205

12:51:41

1388 Query

show databases

060205

12:51:48

1388 Query 1388 Init DB

SELECT DATABASE() weberp

060205

12:51:53

1388 Query

show tables

… (ver apéndice para el detalle de la sesión).

 

060205

13:01:22

1388 Quit"

Sec Event Log

05/02/2006 13:00:57

New Process Has Been Created -- New Process ID - 3024; Image

File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

Sec Event Log

05/02/2006 13:01:02

Process Has Exited -- Process ID - 3024; Username -

C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);

Sec Event Log

05/02/2006 13:01:15

New Process Has Been Created -- New Process ID - 2436; Image

File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

Sec Event Log

05/02/2006 13:01:19

Process Has Exited -- Process ID - 2436; Username -

C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);

Termina la sesión de mysql:

Sec Event Log

05/02/2006 13:01:22

Process Has Exited -- Process ID -

392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19

(La evidencia relative a los ficheros clientes.txt y users.txt se comenta más adelante)

 

5-feb-06

13:03:12

ver0k arranca MSN Messenger. Windows intenta encontrar la ruta más adecuada.

 

Evidencias asociadas: File Access

05/02/2006 13:03:12 05/02/2006 13:03:12

C\Program Files\MSN Messenger New Process Has Been Created -- New Process ID - 2448; Image

 

Sec Event Log

File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

System Event Log Service; start; System Event Log Service; running;

05/02/2006 13:03:18

Service Control Manager

WinHTTP Web Proxy Auto-Discovery

05/02/2006 13:03:18

Service Control Manager

WinHTTP Web Proxy Auto-Discovery

5-feb-06

13:03:29

 

a

13:04:15

Johnatan da por finalizado su intento de acceder al fichero de clientes, y vuelve a

su buzón de entrada, volviendo de nuevo a abrir el último mensaje de Alberto Lopez.

Evidencias asociadas: index.dat: 05/02/2006 13:03:29

Link Visited:

 
 

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=55973&order=down&sort=d

ate&pos=0&view=a&head=b

 

index.dat 05/02/2006 13:04:12

Link Visited:

 

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=32562&order=down&sort=d

ate&pos=0&view=a&head=b

 

index.dat 05/02/2006 13:04:15

Link Visited:

 

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_-

1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp

Informe técnico

Informe técnico
 

kyR

5-feb-06

13:04:20

El messenger de ver0k accede a las urls de bienvenida iniciales a nuevos usuarios de messenger…

 

Evidencias asociadas: index.dat 05/02/2006 13:04:20

Link Visited:

 
 

ver0k@http://messenger.msn.com/redirs/FIRST_TIME_EX.asp?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=

MX&BrandID=msmsgs&Build=7.5.0311&OS=Win&Version=7.5

index.dat 05/02/2006 13:04:20 index.dat 05/02/2006 13:04:21

Link Visited: ver0k@http://g.msn.com/5mees_mx/162 Link Visited:

ver0k@http://g.msn.com/5meen_us/153?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=MX&BrandID=msms

gs&Build=7.5.0311&OS=Win&Version=7.5

File Access de un montón de ficheros temporales de explorer. Todos ellos correspondientes a la página de bienvenida de

MSN, por ejemplo:

05/02/2006 13:04:22

C\Documents and Settings\ver0k\Local Settings\Temporary Internet

Files\Content.IE5\0B8EC9X6\audio[1].jpg

5-feb-06

13:04:29

Johnatan compone y envía un correo de respuesta a alopez@eycsa.com.mx,

presumiblemente indicándole que no ha sido capaz de descargar el catálogo.

 

a

13:05:10

Evidencias asociadas: index.dat:

 
 

05/02/2006 13:04:29

Link Visited:

Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?box=%40B%40Bulk&Mid=6084_0_553_1161_187_0_4_-

1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4

05/02/2006 13:05:10

Link Visited:

Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?YY=11490&order=down&sort=date&pos=0&view=a&Idx=0

05/02/2006 13:05:26

Link Visited:

Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?SEND=1&YY=7706&order=down&sort=date&pos=0&view=a

&Idx=0

Y, entre los ficheros temporales de internet encontramos:

C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm:

<form name="AddAddresses" target="_top" action="http://address.mail.yahoo.com/yab/e1/?v=YM&A=a&.intl=e1&cp=1" method="post"> <input type="hidden" name="e" value="alopez@eycsa.com.mx,">

C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm:

<br><br><b><i>alopez@eycsa.com.mx</i></b> escribió:

5-feb-06

13:04:31

Mientras tanto, ver0k termina de arrancar el messenger …

 

Evidencias asociadas: index.dat

05/02/2006 13:04:31

 

index.dat 05/02/2006 13:04:38

Link :2006020520060206: ver0k@:Host: rad.msn.com Link :2006020520060206: ver0k@http://imagine-

msn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX

index.dat 05/02/2006 13:04:38 index.dat 05/02/2006 13:04:38

Link :2006020520060206: ver0k@:Host: imagine-msn.com Link Visited: ver0k@http://imagine-

msn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX

5-feb-06

13:05:56

…y lo configura con la cuenta “h4ckiii@hotmail.com”, enviando los ficheros clientes.txt y users.txt a su cuenta “h4ckiii-2@hotmail.com”

 

Evidencias asociadas: 05/02/2006 13:05:56

 

05/02/2006 13:06:37

Link Visited: ver0k@file:///C:/clientes.txt Link Visited: ver0k@file:///C:/users.txt

En el fichero C:\Documents and Settings\ver0k\NTUSER.DAT encontramos la entrada:

Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com

que indica que ver0k ha empleado esta dirección como su identificador en Messenger. Adicionalmente, se comprueba que ese nombre de usuario en MSN Messenger genera como UserID el número 3817870080, que coincide con el directorio creado: C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\3817870080. Asimismo, buscando la cadena ‘h4ckIII’, ‘clientes.txt’ y ‘users.txt’ (tanto ASCII como Unicode) en el disco, encontramos, entre otra, la siguiente información en distintos lugares del fichero de swap ‘pagefile.sys’:

INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> (·C·o·n·e·c·t·a·d·o·)· ·<·h·4·c·k·i·i·i·-·2·@·h·o·t·m·a·i·l·.·c·o·m·> ·U·s·u·a·r·i·o·x· ·e·n·v·í·a· ·C·:·\·c·l·i·e·n·t·e·s·.·t·x·t· D·e·s·t·:· ·h·4·c·k·i·i·i·-·2·@·h·o·t·m·a·i·l·.·c·o·m· ·c·l·i·e·n·t·e·s·.·t·x·t·············m···@·(·················8·(· B(·········h····Ê‡·············207.46.0.148··k·····g···° &·············h4ckIII@hotmail.com (Nota: IP 207.46.0.148 00==> baym-sb8.msgr.hotmail.com) ·S·e· ·c·o·m·p·l·e·t·ó· ·l·a· ·t·r·a·n·s·f·e·r·e·n·c·i·a· ·d·e· ·"·c·l·i·e·n·t·e·s·.·t·x·t·"

Informe técnico

Informe técnico
 

Igualmente:

·c·o·m·p·l·e·t·ó· ·l·a· ·t·r·a·n·s·f·e·r·e·n·c·i·a· ·d·e· ·"·u·s·e·r·s·.·t·x·t·

 

5-feb-06

13:06:52

Johnatan vuelve a su buzón de yahoo, sale del mismo y mata el Internet Explorer sobre el que se inició el ataque. Esta es la última actividad de Johnatan durante más de una hora… Una hipótesis, dada la hora, es que se fue a comer.

Evidencias asociadas: index.dat:

 
 

05/02/2006 13:06:52

Link Visited:

 

Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=Inbox&reset=1&YY=6697&order=&sort=&pos=0&view=a

&YN=1

05/02/2006 13:06:57

Link Visited:

 

Johnatan@http://e1.f376.mail.yahoo.com/ym/Logout?YY=59215&inc=25&order=down&sort=date&pos=0&view=a&he

ad=b&box=Inbox&YY=59215

 

05/02/2006 13:07:07

Link Visited:

 

Johnatan@http://login.yahoo.com/config/exit?&.src=ym&.lg=e1&.intl=e1&.done=http%3a%2f%2flogin.yahoo.com%2fcon

fig%2fmail%3f.intl%3de1%26.lg%3de1

 

Sec Event Log

05/02/2006 13:07:10

Process Has Exited -- Process ID - 3128; Username - C:\Program

Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);

5-feb-06

13:10:40

ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba la salida de sus comandos sql

Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S-1-5-21-2780117151-1340924567-2512508698- 1024\Dc2.txt, en el que aparecen las salidas de la sesión mysql como por ejemplo:

 

mysql> show columns from custbranch; +-----------------+-------------+------+-----+---------+-------+

 

| Field

| Type

| Null | Key |"

File Access 5-feb-06 13:10:40 Dc2.txt Aunque borrado, encontramos en el slack del fichero INFO2:

 

00 00 00 02 00 00 00 60 0B 2D A0 98 2ª C6 01 00 50 00 00 C:\users.txt borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb-2006 13:10:44 (el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en http://www.e- fense.com/helix/Docs/Recycler_Bin_Record_Reconstruction.pdf )

lo que indica la hora de

5-feb-06

13:12:36

ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las imágenes pornográficas que hay en el directorio de Johnatan…(los 25 ficheros jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un fichero wmv). La fecha de creación de todas ellas es anterior a la intrusión.

a 13:17:31

Evidencias asociadas: File Access

05/02/2006 13:12:36

1_2005121110036.jpg

C\Documents and

 

Settings\Johnatan\My Documents\imagenes\1_2005121110036.jpg

index.dat 05/02/2006 13:12:36

Link Visited:

ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/1_2005121110036.jpg

index.dat 05/02/2006 13:12:52

Link :2006020520060206:

 

ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/2_2005121110036.jpg

File Access

05/02/2006 13:13:01

3_2005121110036.jpg

C\Documents and

Settings\Johnatan\My Documents\imagenes\3_2005121110036.jpg Y un largo etc….

Iexplorer index.dat

05/02/2006 13:17:31

Link :2006020520060206:

ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/overlay_por_20060201100

07_20060201224249.jpg

 

5-feb-06

13:17:49

y continua con los ficheros bajo C\Documents and Settings\Johnatan\My Documents\Dr. Salamo. Sin embargo, no está Microsoft Excel instalado en el sistema, así que no puede abrir ver el fichero CUADRO GRAI.xls y sigue con otros directorios.

Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\CUADRO GRAl.xls

Informe técnico

Informe técnico

De 5-feb-06 13:18:05

Ahora mira los ficheros bajo C:\Documents and Settings\Administrator\My Documents, comenzando por a017.jpg, index.html y las fotos bajo My Videos/modelos

 

a13:19:05

 

Evidencias asociadas: Iexplorer index.dat

05/02/2006 13:18:05

Link Visited:

 
 

ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/a017.jpg

File Access

05/02/2006 13:18:16

overlay_por_2006020107034_20060201190204.jpg.lnk

 

 

Iexplorer index.dat

05/02/2006 13:19:05

Link Visited:

 

ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/My%20Videos/modelos/nm06082

003.jpeg

5-feb-06

13:21:15

A partir de este momento, ver0k se dedica a la búsqueda y edición de ficheros

(en particular los ficheros .doc) bajo Documents and Settings.

 

a

13:28:30

Evidencias asociadas: Múchísima. A modo de ejemplo:

 
 

Sec Event Log

05/02/2006 13:21:15

38753,55642

ver0k

New Process Has Been Created --

New Process ID - 2544; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process

ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

Sec Event Log

05/02/2006 13:21:51

38753,55684

ver0k

Process Has Exited -- Process ID -

2544; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; -

(0x0,0x3F4E19);

File Access 05/Feb/2006 13:23:43 Reglamento_aprobado_por_el_CP.doc C\Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc

File Access

05/Feb/2006

13:23:44 GEN 13 Segundo Informe del Comité de Programa.doc

C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comité de Programa.doc

Sec Event Log

05/Feb/2006

13:23:47 ver0k

New Process Has Been Created -- New Process ID - 652;

Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:23:47 Link :2006020520060206:

ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc

Iexplorer index.dat 05/Feb/2006 13:23:47 Link Visited:

 

ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc

File Access 05/Feb/2006 13:24:01 Boletin11.doc C\Documents and Settings\reno\My

Documents\Boletin11.doc

 

Sec Event Log

05/Feb/2006

13:24:04 ver0k

Process Has Exited -- Process ID - 652; Username -

File Access 05/Feb/2006 13:24:05 Cap02c.DOC C\Documents and Settings\reno\My

Documents\Cap02c.DOC

 

File Access 05/Feb/2006 13:24:06 CO-0863r1_e.doc C\Documents and Settings\reno\My

Documents\CO-0863r1_e.doc

 

File Access 05/Feb/2006 13:24:07 bases_software.doc C\Documents and Settings\reno\My Documents\bases_software.doc

File Access 05/Feb/2006 13:24:08 HMC_11.doc C\Documents

and Settings\reno\My

Documents\HMC_11.doc

 

File Access 05/Feb/2006 13:24:10 inesC.V10-2-05F.doc C\Documents and

Settings\reno\My Documents\inesC.V10-2-05F.doc

 

Sec Event Log

05/Feb/2006

13:26:39 ver0k

New Process Has Been Created -- New Process ID -

2220; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720;

Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);

 

Iexplorer index.dat 05/Feb/2006 13:26:39 Link :2006020520060206:

 

ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/concha.doc

File Access 05/Feb/2006 13:28:30 nm06082003.jpeg C\Documents and Settings\Administrator\My

Documents\My Videos\modelos\nm06082003.jpeg

 

5-feb-06