r3 Tecnico1

Respuesta al
Reto de Anlisis Forense
Informe Tcnico
Marzo de 2006
Germn Martn Boizas
Tabla de Contenidos
0. 1. 2. 3. 4. 5. 6. 7.
INTRODUCCIN .................................................................................................... 1 ENTORNO DE INVESTIGACIN........................................................................ 3 PROCESO DE ANLISIS....................................................................................... 6 CRONOGRAMA DE ACTIVIDADES................................................................. 20 3.1. DIAGRAMA TEMPORAL ....................................................................................... 35 ANLISIS DE ARTEFACTOS............................................................................. 38 DIRECCIONES IP IMPLICADAS....................................................................... 40 ALCANCE DE LA INTRUSIN .......................................................................... 42 CONCLUSIONES................................................................................................... 44 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. CONCLUSIN 1................................................................................................... 44 CONCLUSIN 2................................................................................................... 45 CONCLUSIN 3................................................................................................... 45 CONCLUSIN 4................................................................................................... 46 CONCLUSIN 5................................................................................................... 46 CONCLUSIN 6................................................................................................... 46 CONCLUSIN 7................................................................................................... 47
8. 9. 10.
RECOMENDACIONES ........................................................................................ 48 REFERENCIAS...................................................................................................... 50 ANEXOS.............................................................................................................. 51 MAILS ENVIADOS A JOHNATAN ...................................................................... 51 REPRODUCCIN DE LA SESIN CON MYSQL DEL ATACANTE ......................... 52 REPRODUCCIN DE LA SESIN WEBERP DEL ATACANTE ............................... 62 10.1. 10.2. 10.3.
Informe tcnico
0. Introduccin
Este documento es el informe tcnico en respuesta al reto de anlisis forense lanzado por UNAM-CERT y RedIRIS en colaboracin con otras empresas en Febrero de 2006 a travs de su pgina web http://www.seguridad.unam.mx/eventos/reto/ El objetivo del mismo es el anlisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como nica informacin, se proporciona una imagen (o copia) de dicho sistema. Antecedentes del incidente Segn se facilita en las normas del reto, la nica informacin con respecto al sistema a analizar es el siguiente: El administrador de sistemas de una pequea empresa ha notado que existe una cuenta que l no cre en su sistema de ERP, por lo que sospecha de algn ingreso no autorizado, del que desconoce el alcance. El sistema en que se ejecuta la aplicacin es un servidor Windows 2003, cuya principal funcin era proporcionar acceso al sistema ERP a travs de la Web. Hace poco tiempo que haban migrado al uso de este servidor. Segn el administrador, trataba de mantener el sistema actualizado por lo que no sabe cmo pudieron ingresar a su sistema. Sin embargo, tambin mencion que ms de una persona tiene acceso a cuentas privilegiadas en el sistema y acept que ocupaban a veces estas cuentas para labores no slo administrativas, sino tambin personales o para aplicaciones que no requeran ningn tipo de privilegio para ejecutarse. Objetivos del reto Segn las normas, los objetivos son determinar si existi o no un ingreso no autorizado, cmo ocurri y el alcance del dao al sistema y a la informacin contenida en l. En el presente informe se intenta contestar a dichos objetivos, pero manteniendo un orden tal que su contenido sea lo ms didctico posible. Asimismo, la limitacin de mantener el informe a un mximo de 50 pginas obliga a realizar una breve sntesis de todo el trabajo realizada. As pues, el esquema seguido para contestar al reto consta de los siguientes apartados:
Entorno de Investigacin El propsito de este captulo es detallar las herramientas empleadas en el anlisis, as como la construccin del entorno de anlisis forense usado para la investigacin.
Pg. 1
Informe tcnico Proceso de anlisis En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtencin de las evidencias objeto del anlisis. Debido a la limitacin de espacio, su exposicin es muy sinttica, puesto que relatar en detalle todas y cada una de las acciones realizadas llevara aparejada mucha ms informacin. Cronologa de actividades El objeto de este captulo es mostrar todas las actividades realizadas por el (los) atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la realizacin de la imagen del sistema, aadiendo en cada punto la evidencia que lo sustenta. Asimismo, a continuacin, se muestra en forma de diagrama una representacin en el tiempo de la intrusin. Se muestra as de un vistazo qu es lo que hizo el atacante y cundo lo hizo. Anlisis de artefactos En este captulo se analizan todos los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo y cualquier otro dato de inters relativo a los mismos. Direcciones IP implicadas Se refleja aqu la informacin obtenida sobre las direcciones IP que de una u otra manera se han visto implicadas en el incidente, incluyendo la de quien quienes atacaron el sistema. Alcance de la intrusin En este apartado se resume hasta qu punto la intrusin afecto al sistema y a la informacin en l alojada. Conclusiones Este apartado aglutina los principales puntos que se obtienen como consecuencia del anlisis efectuado. Recomendaciones Finalmente, este apartado enumera algunas recomendaciones para solucionar la actual situacin y para prevenir situaciones similares en el futuro.
Pg. 2
Informe tcnico
1. Entorno de investigacin
Herramientas empleadas La imagen proporcionada ha sido analizada mediante una combinacin de las siguientes herramientas:
The Sleuth Kit[1] Autopsy[2] VMWare Workstation[3] EnCase Forensic Edition v 4.22[4] Red Hat Linux[5] Mount Image Pro[6] Utilidades de sysinternals.com [7]
Conjunto de herramientas de anlisis forense de libre distribucin. Interfaz grfico para The Sleuth Kit. Tambin de libre distribucin. Aplicacin comercial que permite emular mquinas virtuales Intel x86. Herramienta comercial especfica para el anlisis forense de sistemas informticos. Muchos de los comandos del sistema constituyen verdaderas herramientas de anlisis forense. Utilidad para montar en Windows los archivos de imgenes, conservando la integridad de la imagen. www.sysinternals.com es una buena fuente de diversas utilidades de Windows, muy tiles para el anlisis forense, como Autoruns, Process Explorer, PsLogList RootkitRevealer. www.foundstone.com proporciona tambin una lista de herramientas tiles para el investigador, como pasco galleta. Programa antivirus. Programa AntiSpyware Programa antivirus Herramienta de crackeo de passwords de Windows, www.elcomsoft.com/ppa.html Editor offline de los passwords de Windows. Utilidad para la bsqueda de Alternate Data Stream.
Utilidades de anlisis forense de Foundstone[8] Panda Titanium 2006 Antivirus + Antispyware.[9] CA eTrust PestPatrol 2005.[10] CA eTrust EZ-Antivirus 2005[10] Proactive Password Auditor[11] Chntpw[12] LADS[13]
Pg. 3
Informe tcnico
Microsoft Excel[14] Google[15]
Empleado para consolidar las distintas fuentes de informacin, y hacer filtros sobre la misma. Buscador de informacin en la web.
Entorno de trabajo Para facilitar el anlisis del sistema facilitado en forma de imagen, el entorno de investigacin empleado est basado en emplear VMWare Workstation. En primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la imagen proporcionada es suficiente) y en l, tras determinar que la imagen proporcionada es nicamente una particin y no un disco completo, creamos una particin con exactamente- el mismo tamao que la imagen del reto. Finalmente, copiamos con dd la imagen a esta particin recin creada. Con ello se obtiene un disco virtual que contiene todos los datos del reto. La ventaja de crear un disco as es que, configurando la mquina virtual de vmware para acceder al mismo en modo no-persistente, podemos acceder al mismo cuantas veces queramos despreocupndonos de la posibilidad de alterar accidentalmente la evidencia proporcionada. Con acceso a ese disco, creamos varios entornos de trabajo de vmware: Entorno 1, con Windows XP, y una serie de herramientas de anlisis forense a emplear, principalmente EnCase y diversas utilidades de sysinternals. Este entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al fichero de imagen original mediante un Shared folder. La ventaja del entorno vmware as creado es que, aunque fusemos descuidados, ningn malware podr abandonar el entorno. Entorno 2, con Linux Red Hat, junto con una serie de herramientas de anlisis forense a emplear, la principal de ellas Sleuthkit y Autopsy. Entorno 3, en el que, tras verificar que el sistema original era un Windows 2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema limpio que tuviera acceso al disco del reto, para poder de forma fcil comparar el sistema analizado con respecto a uno estndar, y en el que instalamos adems las distintas aplicaciones y hotfixes que fuimos identificando en la imagen del reto al avanzar el anlisis (Apache, MySQL, etc) Entorno 4, con un duplicado del reto arrancable. La imagen del reto no es arrancable, puesto que es una particin y no tiene el sector de boot configurado. As pues, decidimos configurar ese sector adecuadamente y crear un sistema virtual que permite hacer anlisis dinmico del sistema. Evidentemente, es crtico impedir el acceso a la red real de este sistema para evitar posibles infecciones. Para facilitar dicho anlisis, creamos un CD-ROM con las herramientas de anlisis en Windows. El esquema siguiente resume los sistemas virtuales creados:
Pg. 4
Informe tcnico
Entorno 1
Entorno 2
Windows 2003 + Herramientas Anlisis Forense
Reto III (no persistente)
Linux Red Hat + Herramientas Anlisis Forense
Entorno 3
Shared Folders
Entorno 4
Windows 2003 Server SP1 Limpio
Reto III Bootable
CD-ROM con Herramientas Anlisis
Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido necesario realizar algn cambio) son montados como no persistentes para evitar cualquier posibilidad de contaminacin de datos. Para compartir informacin con el sistema host (el PC real sobre el que se ejecuta vmware), se emplea cuando es necesario los directorios compartidos (Shared Folders) de vmware.
Pg. 5
Informe tcnico
2. Proceso de anlisis
De forma resumida, el proceso empleado en el anlisis del sistema comprometido ha sido el siguiente: Descarga de la imagen y chequeo de integridad. En esta fase, se descarga la imagen del sistema a travs de Internet y se verifica el checksum md5 facilitado para ella, garantizando as la integridad de la evidencia. Identificacin del tipo de evidencia. A continuacin, se procede a identificar el tipo de imagen recibido. es un disco? una particin del mismo? algn otro tipo de imagen?. Simplemente mirando los primeros bytes con un editor hexadecimal puede verse que corresponde a la cabecera de un sistema de ficheros NTFS. (v. http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e4164-862d-dac5418c59481033.mspx ). Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus caractersticas:
MIP VIEW: 10233342 Sectors (4996 MB) NTFS
El siguiente paso es averiguar a qu sistema operativo pertenece. Tanto con Mount Image, como creando un nuevo caso en EnCase1 Autopsy e importando la imagen como particin NTFS, o simplemente montando la particin en Linux podemos acceder al sistema de ficheros. Por ejemplo, en Autopsy:
EnCase es una herramienta muy potente, que permite obtener sta y mucha otra informacin, sin ms que cargar la evidencia y ejecutar el script de Initialize Case. Sin embargo, dado el carcter didctico del reto forense, y el carcter comercial de EnCase, creo importante entrar en el detalle de cmo obtener la informacin a travs de otras herramientas ms accesibles al pblico en general.
Pg. 6
Informe tcnico Una vez con el mismo, podemos acceder al registry accediendo a los ficheros bajo \Windows\System32\Config. Una vez ah, podemos confirmar la versin de sistema operativo:
HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: Microsoft Windows Server 2003 R2 HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: Service Pack 1.
Configuracin del entorno de trabajo Configuracin del entorno de investigacin, y por tanto de los distintos sistemas virtuales tal y como se describe en el captulo anterior. El principal problema fue la creacin del sistema arrancable del reto. Inicialmente, pareca que sera suficiente con copiar el sector de boot de un sistema Windows 2003 SP1 limpio. Sin embargo, tras hacer esto, el sistema no arranca correctamente y se produce un error STOP: 0x0000007B (bluescreen). La causa final de este error es la inexistencia en el sistema de los drivers necesarios para reconocer correctamente el disco, puesto que el hardware asociado al sistema ha cambiado. La solucin es copiar al directorio Windows\System32\Drivers algunos drivers y realizar alguna modificacin en el registro, tal y como se describe en http://support.microsoft.com/?kbid=314082. Para hacer estas modificaciones montamos el disco virtual del reto con capacidades de escritura en nuestro entorno de investigacin. Con esto, el sistema ya arranca perfectamente. Sin embargo, an no podemos entrar en l: no conocemos la password de ninguna cuenta. Llegados a este punto, hay bsicamente dos opciones: a) Averiguar los usuarios y passwords del sistema con alguna herramienta de cracking tipo l0phtcrack. b) Modificar la password de administrador a alguna conocida por nosotros. En nuestro caso, y por el factor tiempo, nos inclinamos por esta ltima opcin empleando el programa chntpw [12], un editor offline disponible en http://home.eunet.no/pnordah/ntpasswd/:
As, finalmente podemos entrar en el sistema. Una de las primeras cosas que llama la atencin es que el sistema tiene una licencia de Windows de
Pg. 7
Informe tcnico evaluacin, y a falta de 4 das para expirar:
Determinacin del huso horario Antes de analizar cualquier otro detalle de la evidencia, es necesario establecer cul va a ser nuestra referencia temporal, puesto que la mayora de los datos estarn referenciados al sistema local. La informacin del timezone, podemos obtenerla de:
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName: Pacific Standard Time HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName: Pacific Daylight Time
Alternativamente, dado que ya tenemos un sistema arrancable, es ms sencillo mirar directamente en el interfaz grfico de Windows:
Es importante sealar, que, aunque en este instante lo desconocamos, el sistema fue inicialmente configurado con la hora de Alaska, y no fue hasta el da 2 de Febrero cuando se cambi a la hora estndar PST. Este dato se obtiene del
Pg. 8
Informe tcnico System Event Log:

25/01/2006 22:57:40 02/02/2006 12:59:57 Time; ; ; ; ; 3249; 60; 540 Alaskan Standard Time; ; ; ; ; 428323; 60; 480 Pacific Standard
Adems, hay que considerar que, hasta el momento de la instalacin en el que el administrador fija este dato, el sistema por defecto se inicia con zona GMT. Estos cambios han de ser tenidos en cuenta a la hora de establecer el cronograma de actividades correctamente. Sofware Instalado El siguiente paso consisti en determinar el software instalado en el sistema. Para ello, hicimos las comprobaciones pertinentes tanto en nuestro sistema online, como analizando offline el sistema de ficheros y las entradas del registry pertinentes, tales como: HKLM\SOFTWARE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
As pues, la lista del software instalado en el sistema es la siguiente: Apache HTTP Server 1.3.34 Mozilla Firefox (1.5.0.1) MSN Messenger 7.5 MySQL Administrator 1.1 MySQL Server 4.1 PHP 4.4.2 PostgreSQL 8.1 Hotfixes KB896422, KB896424, KB896428, KB896358, KB896727, KB899587, KB899589, KB901017,
Pg. 9
Informe tcnico KB901214, KB902400, KB903235, KB908519, KB890046 y KB896688. KB905414,
WebERP v3.04, instalado en el directorio C:\apache\Apache\htdocs\web-erp, es un paquete opensource para la gestin de negocio (ERP) y disponible en www.weberp.org. Software de seguridad para el uso del administrador en C:\Documents & Settings\Administrator\My Documents\Sof7w4r3: CurrPorts v.1.07 [17], una utilidad para listar los puertos TCP y UDP abiertos en el sistema, disponible en http://www.nirsoft.net/utils/cports.html. TCPView 2.40, una utilidad de www.sysinternals.com con el mismo propsito que la anterior. GFI LANguard Network Security Scanner v6.0 [18], que aunque presente no lleg a instalarse en el sistema.
Obtencin de la lista preliminar de ficheros e identificacin de ficheros relevantes. A continuacin, es el momento de extraer una lista de todos los ficheros del sistema, sus tiempos de creacin, acceso y modificacin, listar los ficheros borrados e intentar recuperar aquello que sea posible. En esta tarea, es evidente que EnCase hace un trabajo excelente. Alternativamente puede emplearse Autopsy ntfsflst.exe, una herramienta de NTI para listar esta informacin de un sistema de ficheros NTFS. Adicionalmente, resulta muy importante identificar cuanto antes aquellos ficheros que pertenecen a un sistema operativo normal, y que por lo tanto no tienen especial inters para el investigador. Para ello, se generan los hashes MD5 de todo fichero en el sistema y se comparan con alguna lista de ficheros conocidos. En nuestro caso empleamos la lista de la Nacional Software Reference Library[19], descargable desde http://www.nsrl.nist.gov en cuatro imgenes de CDs. Sin embargo, an as, el nmero de ficheros identificados no fue numeroso, por lo que decidimos instalar todas las aplicaciones anteriormente listadas en nuestro sistema Windows limpio (Entorno 3) para generar un checksum de todos los ficheros y poder comparar. As, de las 19.617 entradas de EnCase (sin contar elementos del registry), que incluyen ficheros recuperados, 13.857 fueron identificados como pertenecientes a alguno de los paquetes software anteriormente mencionados, el ms relevante, claro, Windows 2003 Server. Con ello estamos ya en condiciones de obtener un cronograma bsico desde el punto de vista de sistema de ficheros sobre el que investigar.
Pg. 10
Informe tcnico
Identificacin de cuentas de usuario Para el correcto anlisis de los ficheros, es imprescindible correlar sus accesos con las cuentas de usuario existentes. Obtenerlas es tarea sencilla a partir de la SAM de forma offline, como tambin directamente analizando nuestro sistema en caliente:
Por ambos mtodos (puesto que en este caso no hay ningn rootkit o similar que distorsione esta informacin) obtenemos la misma tabla de usuarios:
User name SUPPORT_388945a0 Johnatan ernesto amado maick lalo moni maru
Description
Full Name: CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description: This is a vendor's account for the Help and Support Service Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-15-21-278011715 Full Name: Johnatan Tezcatlipoca Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1006 Logon Script: Profile Path: Last Logon: 02/05/06 Full Name: Ernesto Snchez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1007 Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Amado Carrillo Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1008 Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Gabriel Torres Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1009 Logon Script: Profile Path: Last Logon: 02/04/06 03:11:0 Full Name: Eduardo Hernndez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1010 Logon Script: Profile Path: Last Logon: Unknown Date Full Name: Monica Islas Account Description: Home Drive Letter: Home Directory: Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1011 Logon Script: Unknown Date: Primary Group Number: 513 Profile Path: Last Logon:
Full Name: Maria Guadalupe Ramos Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1012 Logon Script: Profile Path: Last Logon: 01/26/06
Pg. 11
Informe tcnico
mirna katy caracheo ovejas reno pili zamorano mpenelope postgres ver0k Administrator
Full Name: Mirna Casillas Account Description: Home Drive Letter: Home Directory: Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1013 Logon Script: Unknown Date:
Primary Group Number: 513 Profile Path: Last Logon:
Full Name: Katalina Rodriguez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1014 Logon Script: Profile Path: Last Logon: Unknown Dat Full Name: Jorge Caracheo Mota Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1015 Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Eduardo Roldn Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1016 Logon Script: Profile Path: Last Logon: Unknown Date: Full Name: Israel Robledo Gonzles Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1017 Logon Script: Profile Path: Last Logon: 02/03/0 Full Name: Elizabet Herrera Zamora Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1018 Logon Script: Profile Path: Last Logon: Unknow Full Name: Rolando Zamorategui Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1019 Logon Script: Profile Path: Last Logon: Unknown Da Full Name: Mari Carmen Penelope Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1020 Logon Script: Profile Path: Last Logon: Unknown D Full Name: postgres Account Description: PostgreSQL service account Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1023 Logon Script: Profile Path: Last Logon: Full Name: Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1024 Logon Script: Profile Path: Last Logon: 02/05/06 09:47:21 Unknown Date Full Name: Account Description: Built-in account for administering the computer/domain Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-500 Logon Script: Profile Pat
Aunque todas las cuentas de usuario estn dentro del grupo Administrators, inmediatamente llama la atencin una cuenta sobre las dems: ver0k, por dos motivos: es la nica sin nombre completo asociado y tiene el caracterstico cambio de una vocal por nmeros, tan popular en la comunidad hacker. En este punto lanzamos tambin la recuperacin/crackeo de passwords mediante la herramienta Proactive Password Auditor, que permiti recuperar (entre otras) la password de ver0k: password. Bsqueda de malware El siguiente paso en la investigacin, consisti en la bsqueda sistemtica de malware, esto es virii, herramientas de hacking, rootkits y dems. Para ello, empleamos la siguientes tcnicas: a) Ejecucin de herramientas antivirus y antispyware. En nuestro caso, analizamos el sistema de ficheros con las siguientes herramientas, con las firmas debidamente actualizadas a febrero de 2006: Panda Titanium 2006 Antivirus + Antispyware. CA eTrust EZ-Antivirus 2005. CA eTrust PestPatrol 2005.
El resultado de la ejecucin de las mismas, fue la deteccin de una serie de cookies consideradas espas, pero no la aparicin de algn fichero realmente daino. b) Ejecucin de herramientas anti-rootkit. En concreto, empleamos RootkitRevealer una herramienta disponible en www.sysinternals.com .
Pg. 12
Informe tcnico Tampoco fue capaz de identificar ningn tipo de rootkit a nivel de kernel.
c)
Obtencin y revisin de la lista de servicios y programas auto-arrancables en el inicio del sistema. Esta revisin puede hacerse a mano, pero es ms sencillo emplear una herramienta especfica para ello, como es Autorun [7]:
d) Bsqueda de Alternate Data Streams, una facilidad de Windows que suele emplearse para almacenar informacin de forma escondida a un usuario. Para ello, empleamos la herramienta LADS [13]:
LADS - Freeware version 4.00 (C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de) This program lists files with alternate data streams (ADS) Use LADS on your own risk! Scanning directory C:\ with subdirectories size ADS in file ---------- --------------------------------0 C:\Documents and Settings\Johnatan\My Documents\imagenes\Thumbs.db:encryptable
Pg. 13
Informe tcnico
0 bytes in 1 ADS listed
Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el sistema operativo Windows (ver http://www.accessdata.com/media/en_US/ print/papers/wp.Thumbs_DB_Files.en_us.pdf ). e) Anlisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto que tenemos las herramientas cports y TCPView ya accesibles, las empleamos despus de comprobar mediante hash que no han sido alteradas.
Enseguida nos llama la atencin que el puerto TCP 3389 est accesible. Este puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y permite el acceso remoto al sistema. Comprobamos que efectivamente, est as configurado, a pesar de que no se activa por defecto en la instalacin (posteriormente determinamos que fue el atacante el que activ este servicio):
Pg. 14
Informe tcnico f) Anlisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad sigcheck de sysinternals. Su ejecucin determina si hay programas no firmados digitalmente que pudieran corresponder a algn malware. Sin embargo, tampoco encuentra informacin significativa:
A:> sigcheck -u -e c:\windows\system32 Sigcheck v1.3 Copyright (C) 2004-2006 Mark Russinovich Sysinternals - www.sysinternals.com C:\windows\system32\sirenacm.dll: Verified: Unsigned File date: 12:11 a.m. 13/10/2005 Publisher: Microsoft Corp. Description: MSN Messenger Audio Codec Product: MSN Messenger Audio Codec Version: 7.5.0311.0 File version: 7.5.0311.0 C:\windows\system32\UNWISE.EXE: Verified: Unsigned File date: 10:55 a.m. 25/06/1999 Publisher: n/a Description: n/a Product: n/a Version: n/a File version: n/a
Se comprueba a travs de google que ambos ficheros no son maliciosos. Por ejemplo, ver http://research.pestpatrol.com/Search/FileInfoResults.asp?PVT=203306186
Anlisis de la sesin de MSN Messenger En un momento del anlisis, se determin que el atacante estableci una sesin de MSN Messenger y fue necesario analizarla. Para ello, encontramos una serie de ficheros temporales bajo C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\3817870080, donde este ltimo nmero es el UserID generado a partir del nombre del usuario. Investigando en la web [21], se averigua que este userID se genera de la siguiente forma:
int getUserId(LPTSTR user) { unsigned int x = 0; for (int i = 0; i < strlen(user); i++) { x = x * 101; x = x + towlower(user[i]); } return x; }
As pues, aunque no es posible obtener el nombre de usuario a partir del UserID, s es posible comprobar si una determinada direccin de correo genera ese mismo UserID; en consecuencia, obtuvimos del disco todas las direcciones de correo con ayua de un script de EnCase (ms de 20.000 vlidas) y procedimos a hacer un programa para generar el UserID de todos los casos. Para uno de ellos tuvimos un match: h4ckIII@hotmail.com, lo que unido al nombre tan sospechoso utilizado- nos confirma que fue sta la cuenta empleada por el atacante. Ello se confirma adems por el hecho de encontrar en el fichero
Pg. 15
Informe tcnico C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada: Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com Buscando la cadena h4ckIII en el disco se obtiene del fichero pagefile.sys una gran cantidad de informacin sobre la sesin de Messenger, comenzando por:
INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com>
(lo que indica que el destino de la comunicacin fue el usuario h4ckiii2@hotmail.com) y siguiendo con toda la sesin, con intercambios tipo:
MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> From: <msnmsgr:h4ckIII@hotmail.com> Via: MSNSLP/1.0/TLP ;branch={6A2ADFE7-7AA9-4B77-9752-5A8033E6B0EB} CSeq: 0 Call-ID: {93B356C3-6109-4C3E-9D4F-DF9EB0D5DF07} Max-Forwards: 0 Content-Type: application/x-msnmsgr-sessionreqbody Content-Length: 329
Lo que permite reconstruir la sesin completa de Messenger. Anlogamente, pueden buscarse las cadenas MSNMSGR: y/o MSNSLP.
Consolidacin de otras fuentes de informacin Adems de los distintos tiempos de cada fichero, existen otras muchas fuentes de informacin en el sistema con fecha y hora asociada, que hay que considerar: a) Event logs, en sus tres grupos de System, Security y Applications. En concreto, el log de Security proporciona una gran cantidad de informacin, por cuanto el sistema de auditora de Windows est configurado para registrar la mxima cantidad de informacin, como por ejemplo la creacin y fin de cualquier proceso en el sistema, el logon y logout de un usuario, etc:
Los event logs pueden analizarse ms fcilmente si, en lugar de acceder a los
Pg. 16
Informe tcnico mismos con las herramientas de Windows se descargan a un fichero en formato texto. EnCase lo hace automticamente, aunque tambin puede emplearse para esa tarea la utilidad dumpel del NT Resource Kit, PsLogList de sysinternals. b) Los logs del servidor web Apache, tanto de acceso como de error, bajo C:\apache\Apache\logs. c) Los logs de la base de datos MySQL, counters.log y counters.err, bajo C:\apache\Apache\mysql\data\, accesibles tambin mediante el interfaz de usuario, a la que podemos conectarnos sin problemas, pues no tiene una password de acceso:
d) Los ficheros de log de PostgreSQL, bajo C:\Program Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos que slo existen entradas de dos tipos: Arranque / parada Autovacuum (limpieza) de la base de datos, lo que es algo normal (v.http://www.postgresql.org/docs/current/static/maintenance.html #ROUTINE-VACUUMING )
La conexin a PostgreSQL con psql como con pgadmin inicialmente no es posible, puesto que es necesario un password que desconocemos. Sin embargo, en el directorio C:\Documents and Settings\Administrator\My Documents\Sof7w4r3\postgresql-8.1.0-2 encontramos el log de instalacin (postgresql-8.1.log) que contiene, entre otras cosas, la password de administracin: SERVICEPASSWORD = p0stgr3ssql. Con ella, podemos acceder al interfaz de usuario, en la que vemos que existe una nica base de datos, postgres, en la que no hay creada ninguna tabla. En consecuencia, podemos en principio ignorar la actividad de PostgreSQL.
Pg. 17
Informe tcnico
e) Los ficheros index.dat de los distintos usuarios, que proporcionan informacin muy til sobre el acceso a determinadas URLs, el uso de cookies y la fecha de todo ello. Estos ficheros no estn en formato texto, pero EnCase proporciona de forma muy sencilla esta informacin, que puede tambin extraerse empleando una herramienta como pasco, una utilidad gratuita descargable desde www.foundstone.com. Todas estas fuentes de informacin, junto con el primer cronograma de tiempos de los ficheros y otro similar incluyendo los tiempos de creacin de las entradas del registry, fue puesta en un formato de fecha y hora comn y consolidada en un nico fichero Excel. La ventaja de un Excel as, es la facilidad de determinar la actividad del sistema en un determinado momento. A modo de ejemplo, en la figura podemos ver la informacin obtenida para el 5 de Febrero a partir de las 12:44:
Pg. 18
Informe tcnico Siguientes pasos A partir de aqu, el trabajo se vuelve bastante manual. Es evidente que hay mucha actividad y cambios en el sistema que son normales y no corresponden a actividad de ataque alguna, como instalacin del sistema, escritura en ficheros de log, acceso normal a WebERP, etc... que aade mucho ruido a las evidencias recogidas. Resulta muy complicado detallar todas y cada una de las actividades realizadas, incluyendo bastantes bsquedas de palabras clave dentro de todo el disco. Simplemente sealar que nuestro siguiente punto de investigacin fue comprobar cmo y cundo se cre la cuenta ver0k y a partir de ah ir desenredando la madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se expone en los siguientes captulos. Finalmente, indicar que, como siempre, una de las mayores herramientas de ayuda a cualquier anlisis forense es Google, http://www.google.com .
Pg. 19
Informe tcnico
3. Cronograma de actividades
A continuacin se presenta, en forma de tabla, un sumario del cronograma de las actividades ms destacables detectadas en el sistema, junto con la evidencia asociada. Para el anlisis temporal hemos intentado siempre corroborar cualquier hiptesis desde varias fuentes, si bien en esta tabla y por razones de espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las horas estn referidas al huso horario del Pacfico (PST, GMT-8) aunque la evidencia en ocasiones est asociada a GMT Alaska (GMT-9), como ya hemos comentado.
Fecha y Hora
25-ene-06 23:56:44 PST
Evento
Se instala el sistema operativo

Entrada del registry HKLM\Software\Microsoft\Windows\CurrentVersion\InstallDate: 0x43d872ac => 26 Ene 06 07:56:44 UTC => 23:56:44 PST Se pone el nombre de la mquina COUNTERS: SYS Event Log 25/Jan/2006 22:26:03 MACHINENAME; COUNTERS; System Event Log: 25/01/2006 22:57:36 winlogon.exe; COUNTERS; Operating System: Upgrade (Planned); 0x80020003; restart; Windows setup has completed, and the computer must restart.; NT AUTHORITY\SYSTEM; System Event Log: 25/01/2006 22:57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; (Permanecer el sistema con este huso horario hasta el 2 de Febrero)
Evidencias asociadas:
26-ene-06 08:27:21
MySQL preparado para conexiones.

26/01/2006 7:27:21 C:\apache\Apache\mysql\bin\mysqld-nt: ready for connections.
Evidencias asociadas: MySQL Error Log

26-ene-06 12:37:19
Se ha instalado con una versin de evaluacin de Windows Server, y sin embargo no se ha activado. Quedan 14 das para hacerlo.
Warning 14;
Evidencias asociadas: Application Event Log: 26/01/2006 11:37:19 Windows Product Activation
26-ene-06 14:53:23 a 15:04:33
Instalacin de los hotfixes

26/01/2006 13:53:23 System Event Log 26/01/2006 14:04:33 COUNTERS\Administrator; NtServicePack Explorer.EXE; COUNTERS; Security issue; 0x84050013; restart; ;
Evidencias asociadas: System Event Log
26-ene-06 18:00
Instalacin del servidor Web Apache. Instalacin de MySQL Instalacin de WebERP Se hace una primera prueba externa de seguridad del servidor web, que deja una curiosa entrada en el log:
Sun Jan 29 17:01:43 134.186.42.18 RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFi client sent HTTP/1.1 request without hostname (see (v. http://isc.sans.org/diary.php?storyid=900)
Evidencias asociadas: Tiempo de creacin de los directorios C:\apache, y los directorios bin, lib, conf, etc.. bajo C:\apache\Apache
26-ene-06 18:39 26-ene-06 18:47
Evidencias asociadas: Tiempo de creacin de los directorios bin, lib, etc.. bajo C:\apache\Apache\mysql. Evidencias asociadas: Tiempo de creacin del directorio C:\apache\Apache\htdocs\web-erp
29-ene-06 18:01
Evidencias asociadas: Apache error log:

30-ene-06 18:28:30 a 18:31:43
Escaneo de vulnerabilidades del servidor apache desde la direccin IP 192.168.100.144 (dentro pues de la red privada) con la herramienta nikto
Pg. 20
Informe tcnico
[22] (ver http://www.cirt.net/code/nikto.shtml )

Evidencias asociadas: Entradas en el Apache error log:
Mon Jan 30 17:28:30 [error] 192.168.100.144 d3ng4mwwxva0fqq8.htm Mon Jan 30 17:28:30 [error] 192.168.100.144 Y varios cientos ms File does not exist: c:/apache/apache/htdocs/nikto-1.35File does not exist: c:/apache/apache/htdocs/cgi.cgi/
30-ene-06 18:28:34
Intento de ataque singular desde 132.248.124.144, buscando un problema conocido con cgi-bin/excite, sin consecuencias.
Mon Jan 30 17:28:34 132.248.124.144 request failed: erroneous characters after protocol string: GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\";
Evidencias asociadas: Apache error log

1-feb-06 18:53:00 a 18:53:45
Otro escaneo con nikto, esta vez desde 192.168.5.32

Wed Feb 01 17:53:03 192.168.5.32 File does not exist: c:/apache/apache/htdocs/nikto-1.35-hrzububfwsfi.htm Wed Feb 01 17:53:45 192.168.5.32 (2)No such file or directory: script not found or unable to stat: c:/apache/apache/cgi-bin/where.pl
Evidencias asociadas: Apache error log:
2-feb-06 12:59:57 2-feb-06 18:34:18 a 18:45:35
Se pone como nuevo timezone la hora estndar del Pacfico (PST)

02/02/2006 12:59:57 ; ; ; ; 428323; 60; 480 Pacific Standard Time;
Evidencias asociadas: System EventLog:
El usuario reno copia 514 ficheros bajo C:\Documents and Settings en los directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones Powerpoint, PDFs e imgenes pornogrficas en formato jpg.
Tiempo de creacin de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el nico que tiene todos los permisos): File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Sti_Trace.log File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Start Menu\Programs\Accessories\Accessibility\Utility Manager.lnk File Creation 02/02/2006 18:45:35 C:Documents and Settings\Johnatan\My Documents\imagenes\overlay_2_2005112211034.jpg En total, se copian 173.079.187 bytes en 11 minutos y 17 segundos, lo que nos permite deducir que la velocidad de conexin para la copia fue de 2Mbits.
Evidencias asociadas: Security Event Log: Account Used for Logon by reno 02/02/2006 18:34:18
4-feb-06 14:04:43 a 14:26:54
Escaneo de vulnerabilidades del servidor web desde 84.18.17.15. En esta ocasin si que parece un ataque real, por cuanto es una IP externa y no se usa nikto.
Sat Feb 04 14:04:43 84.18.17.15 Apache error log Sat Feb 04 14:26:54 84.18.17.15 c:/apache/apache/htdocs/scripts/comments.php Invalid method in request File does not exist:
\\x80.\\x01
4-feb-06 14:19:14 a 14:19:19
En paralelo, otro ataque tipo denegacin de servicio desde 4.18.17.15.

Sat Feb 04 14:19:14 4.18.17.15 (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs/////////////////////////// (unas 300 lneas iguales) Sat Feb 04 14:19:19 4.18.17.15 (38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs///////////////////////////
4-feb-06 14:45:44 a 14:47:07
Instalacin de PostgreSQL.
04/02/2006 14:45:44 C\Program Files\PostgreSQL\8.1\bin\libpq.dll File Access 04/02/2006 14:45:45 C\Program Files\PostgreSQL\8.1\bin\initdb.exe Sec Event Log 04/02/2006 14:46:23 User Account Created -- New Account Name - postgres; New Domain - COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1023}; Caller User
Evidencias asociadas: File Access
Pg. 21
Informe tcnico
Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres; App Event Log 04/02/2006 14:47:07 MsiInstaller 4-ene-06 14:47:30
El administrador crea el directorio C:\Documents and settings\Administrator\Sof7w4r3...

Sof7w4r3 14:47:30
Evidencias asociadas: File Creation

4-ene-06 14:59:43
y copia dentro los ficheros y copia dentro los ficheros Tcpview.exe, languardnss6.exe y cports.exe. Tambin genera todos los ficheros bajo C\Documents and Settings\Administrator\My Documents\My Videos, y en general todos los ficheros bajo My Documents, lo que incluye imgenes, animaciones flash y ficheros excel (117 ficheros)
File Creation File Creation arbitrogay.wmv 15:01:32 15:03:42
Evidencias asociadas: Tiempo de creacin de los ficheros.

4-ene-06 15:01:32 a 15:03:42
Evidencias asociadas: Tiempo de creacin de los ficheros:

Lista1.xls
4-feb-06 15:28:25
El administrador genera el directorio Crea el directorio C:\Documents and Settings\Administrator\My Documents\update que contiene algunos hotfixes a instalar.
File File File File File File Creation Creation Creation Creation Creation Creation updates 15:28:25 Blaster Windows2000-KB823980-x86-ESN.exe 15:28:25 Buffer Overrun Windows2000-KB824146-x86-ESN.exe 15:28:26 Netbios Windows2000-KB824105-x86-ESN.exe 15:28:27 w2k ntdll iis.EXE 15:28:27 Windows2000-KB828741-x86-ESN.EXE 15:28:27 Windows2000-KB835732-x86-ESN.EXE 15:28:32
Evidencias asociadas: File Creation
5-feb-06 12:11:13
Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada, mediante la cual tiene previsto conseguir acceso al sistema.
De: Para: Asunto: Fecha: Johnny: Por favor baja el catalogo que esta en http://70.107.249.150/clientes.wmf Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Se trata de un correo tipo phishing en el que intenta engaar a Johnatan, hacindose pasar por alguien por l conocido (Alberto Lpez) para darle confianza. alopez@eycsa.com.mx jonathan.tezca@yahoo.com Urgente!! Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Evidencias asociadas: Del disco, en zonas no asignadas a ningn fichero, se ha recuperado el siguiente e-mail:
5-feb-06 12:23:09
El usuario Johnatan hace login en el sistema. Es particularmente importante porque es este usuario y en esta sesin el que va a sufrir el ataque.
05/02/2006 12:23:09 Successful Logon -- Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -;
Evidencias asociadas: Security Event Log
Pg. 22
Informe tcnico
5-feb-06 12:23:49
Johnatan arranca el Internet Explorer. (con Process ID 3128)

05/02/2006 12:23:49 New Process Has Been Created -- New Process ID - 3128; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:26:46
Johnatan se conecta a mail.yahoo.com. para leer su correo.

05/02/2006 12:26:46 Link :2006020520060206: Johnatan@http://mail.yahoo.com
Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

5-feb-06 12:28:11
..Intenta hacer login en mail.yahoo.com...

05/02/2006 12:28:11 Link Visited: Johnatan@https://login.yahoo.com/config/login?

5-feb-06 12:28:49
...y lo consigue.
05/02/2006 12:28:49 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=73875
5-feb-06 12:40:36
Primer intento de ataque. Johnatan accede al correo anteriormente mostrado

05/02/2006 12:40:36 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=4224_0_22_1148_155_0_2_1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE X6EcqA
Evidencias asociadas: .index.dat :
5-feb-06 12:41:30
Primer intento de ataque. Johnatan ha cado en la trampa y accede a http://70.107.249.150/clientes.wmf. Sin embargo, el exploit falla y no hay consecuencias aparentes.
Link Visited: Johnatan@http://70.107.249.150/clientes.wmf
Evidencias asociadas: index.dat 05/02/2006 12:41:30

5-feb-06 12:42:47
El atacante reacciona viendo que la cosa no ha funcionado, e inmediatamente construye y enva un nuevo e-mail, intentando explicar el fallo y que Johnatan lo intente de nuevo.
Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de creacin del mismo: De: alopez@eycsa.com.mx Para: jonathan.tezca@yahoo.com Asunto: Urgente!! (correccion) Fecha: Sun, 5 Feb 2006 14:42:47 -0600 (CST) Johnny: Esta es la liga correcta, Por favor baja el catalogo que esta en http://70.107.249.150:8080/clientes.wmf Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Ntese cmo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http.
Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary
5-feb-06 12:43:44
Johnatan abre el correo con el nuevo mensaje

05/02/2006 12:43:44 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp kyR
Evidencias asociadas: index.dat:
Pg. 23
Informe tcnico
Tiempo de creacin del fichero temporal CAU1CDC1.htm antes mencionado.
5-feb-06 12:43:50
Intenta abrir el nuevo link a clientes.wmf; Internet explorer advierte a Johnatan de que el contenido ha sido bloqueado. Pero ste ignora la advertencia y sigue adelante
05/02/2006 12:43:50 Windows XP Pop-up Blocked.wav

5-feb-06 12:44:10
Se accede realmente a http://70.107.249.150:8080/clientes.wmf y

Link Visited: Johnatan@http://70.107.249.150:8080/clientes.wmf

5-feb-06 12:44:11
EXPLOIT!!! El atacante arranca un intrprete de comandos en el sistema accesible desde el exterior. Adems, como Johnatan pertenece al grupo Administrators, con privilegios de Administrador.
Iexplorer index.dat 05/02/2006 12:44:11 Link Visited: Johnatan@http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6 do1Z/e9zhOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff Sec Event Log 05/02/2006 12:44:11 New Process Has Been Created -- New Process ID - 884; Image File Name - C:\WINDOWS\system32\rundll32.exe; Creator Process ID Domain - 3128; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/2006 12:44:12 New Process Has Been Created -- New Process ID - 3376; Image File Name - C:\WINDOWS\system32\cmd.exe; Creator Process ID Domain - 884; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan)
La vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yest descrita en el boletn : http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx El exploit empleado es uno disponible dentro del Framework de Metasploit [23] http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile El cual aprovecha un bug en la function Escape para ejecutar cdigo arbitrario a travs del procedimiento SetAbortProc de la librera GDI. Adems, el exploit genera una URL random y un fichero .tif tambin random que contiene el exploit, para evitar las firmas de los IDS. El empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder al stream WMF: http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9z hOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff Y por la existencia de dicho fichero .tif entre los que son recuperables dentro de los ficheros temporales de Internet. En concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff. Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre s, y en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares. 5-feb-06 12:45:30
El atacante aade la cuenta ver0k, con 'net user ver0k password /ADD'.
Ntese que el Creator Process ID es 3376, correspondiente al proceso cmd.exe. Security Event Log: 05/02/2006 12:45:30 New Process Has Been Created -- New Process ID - 2988; Image File Name C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:30 New Process Has Been Created -- New Process ID - 3700; Image File Name C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2988; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:30 User Account Created -- New Account Name - ver0k; New Domain COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); Privileges - -; - ver0k; 05/02/2006 12:45:30 User Account Password Set -- Target Account Name - ver0k; Target Domain COUNTERS; Target Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); - -;
Evidencias asociadas: El password empleado es precisamente password, averiguado al crackear las cuentas con Proactive Password Auditor.
Pg. 24
Informe tcnico
5-feb-06 12:45:53
Luego aade la cuenta ver0k al grupo Administrators, con el comando 'net group "Administrators" ver0k /ADD '
05/02/2006 12:45:53 New Process Has Been Created -- New Process ID - 2744; Image File Name C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:53 New Process Has Been Created -- New Process ID - 2576; Image File Name C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2744; Username - Johnatan; Domain - COUNTERS; Logon ID - (0x0,0x3DF69A); 05/02/2006 12:45:53 Local Group Member Added -- Member - -; Target Account Name - %{S-1-5-212780117151-1340924567-2512508698-1024}; Target Domain - Administrators; Target Account ID - Builtin; Caller User Name - %{S-1-5-32-544}; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - File Access 05/02/2006 12:45:53 net.exe C\WINDOWS\system32\net.exe
Evidencias asociadas: Security Event Log:
5-feb-06 12:46:23
Y finalmente, el atacante cambia las entradas del registry que permiten el acceso remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal Server\fDenyTSConenctions =0) con Terminal Remoto: REG ADD HKLM\System\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
File Access 05/02/2006 12:46:23 C\WINDOWS\system32\reg.exe Security Event Log 05/02/2006 12:46:23 New Process Has Been Created -- New Process ID - 3984; Image File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificacin exactamente 12:46:23
5-feb-06 12:46:54 a 12:47:21
El atacante (en adelante usaremos su alias ver0k) se conecta por Terminal Remoto al sistema desde la IP 70.107.249.155, distinta de la anterior. (v. apartado direcciones IP implicadas)
05/02/2006 12:46:54 C\WINDOWS\system32\winlogon.exe Security Event Log: 05/02/2006 12:46:54 New Process Has Been Created -- New Process ID - 1668; Image File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$; Domain - WORKGROUP; Logon ID - (0x0,0x3E7); File Access : Un montn de fonts bajo C:\WINDOWS\Fonts Security Event Log: 05/02/2006 12:46:56 Logon Process Registered -- Logon Process Name Winlogon\MSGina; Sec Event Log: 05/02/2006 12:47:21 Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; La IP la obtenemos viendo el log en el momento de la desconexin, 1 hora y cuarto despus: Sec Event Log 05/02/2006 14:00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation - 70.107.249.155;
Evidencias asociadas: File Access:
5-feb-06 12:47:46 y 12:48:02
Johnatan hace un par de pings, presumiblemente mosqueado porque no le contesta el servidor a su peticin del fichero clientes.wmf "ping 70.107.249.150". Han pasado ms de 3 minutos desde el exploit
05/02/2006 12:47:46 New Process Has Been Created -- New Process ID - 200; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A); File Access: 05/02/2006 12:48:02 C\WINDOWS\system32\ping.exe Security Event Log: 05/02/2006 12:48:02 New Process Has Been Created -- New Process ID - 2208; Image File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Evidencias asociadas: Security Event Log:
5-feb-06 12:48:17
ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no hay password de acceso. Presumiblemente busca informacin sobre las bases de datos configuradas y averigua que WebERP es la principal. Asimismo puede
Pg. 25
Informe tcnico
acceder a los logs de Error y General de MySQL.

05/02/2006 12:48:17 C\Documents and Settings\All Users\Start Menu\Programs\MySQL\MySQL Administrator.lnk Security Event Log 05/02/2006 12:48:17 New Process Has Been Created -- New Process ID - 2320; Image File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
5-feb-06 12:49:50
ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/weberp/AccountGroups.php, presumiblemente busca informacin de cuentas de usuario y passwords de acceso a WebERP.
05/02/2006 12:49:50 New Process Has Been Created -- New Process ID - 520; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 3100; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); File Access: 05/02/2006 12:49:51 C\WINDOWS\Fonts\cour.ttf Iexplorer index.dat: 05/02/2006 12:49:51 Link Visited: ver0k@file:///C:/apache/Apache/htdocs/weberp/AccountGroups.php Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe
5-feb-06 12:49:53
y lo para 3 segundos despus! Ha comprobado que el fichero no contiene informacin de cuentas de usuario. En realidad, ese fichero es idntico al del paquete WebERP original, como verifica el hash MD5.
05/Feb/2006 12:49:53 ver0k Process Has Exited -- Process ID - 520; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
Evidencias asociadas: Sec Event Log
5-feb-06 12:50:02
As que ahora edita C:/apache/Apache/htdocs/web-erp/config.php. All ve el usuario y password (ninguno) de acceso a la base de datos.
05/02/2006 12:50:02 New Process Has Been Created -- New Process ID - 3092; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/02/2006 12:50:02 Link :2006020520060206: ver0k@file:///C:/apache/Apache/htdocs/web-erp/config.php Contenidos del fichero config.php (entre otros): // sql user & password $dbuser = 'weberp_us'; $dbpassword = '';"
5-feb-06 12:51:00
ver0k comprueba que se conecta sin problemas a la base de datos.

options.xml File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_ connections.xml MySQL General Log: 05/02/2006 12:51:00 1386 Connect weberp_us@localhost as anonymous on 05/02/2006 12:51:00 1386 Query SET SESSION interactive_timeout=1000000 05/02/2006 12:51:00 1386 Query SELECT @@sql_mode 05/02/2006 12:51:00 1386 Query SET SESSION sql_mode='ANSI_QUOTES' 05/02/2006 12:51:00 1386 Query SET NAMES utf8 File Access 05/02/2006 12:51:01 MySQLAdministrator.exe MySQL General Log: 05/02/2006 12:51:01 1387 Connect weberp_us@localhost as anonymous on 05/02/2006 12:51:01 1387 Query SET SESSION interactive_timeout=1000000 05/02/2006 12:51:01 1387 Query SELECT @@sql_mode 05/02/2006 12:51:01 1387 Query SET SESSION sql_mode='ANSI_QUOTES' 05/02/2006 12:51:01 1387 Query SET NAMES utf8 05/02/2006 12:51:01 1387 Quit
Evidencias asociadas: :File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_
5-feb-06 12:51:16 a 13:01:22
Ver0k arranca una sesin interactive de MySQL, y comienza a recabar un montn de informacin sobre la misma: Entre otras cosas, los usuarios que tienen acceso
Pg. 26
Informe tcnico
al sistema, sus nombres reales y su nivel de acceso. Desafortunadamente para l, los passwords estn cifrados con SHA1. Tambin obtiene toda la informacin sobre clientes. (la sesin completa y su resultado puede verse como apndice). La informacin de la sesin la copia con la ayuda de dos notepad a los ficheros C:\clientes.txt y C:\users.txt, con la informacin de clientes y usuarios respectivamente.
05/02/2006 12:51:16 C\apache\Apache\mysql\bin\mysql.exe Sec Event Log 05/02/2006 12:51:16 New Process Has Been Created -- New Process ID - 392; Image File Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain - 2320; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); "MySQL General Log: 060205 12:51:20 1388 Connect weberp_us@localhost as anonymous on 060205 12:51:34 1388 Query show tables 060205 12:51:41 1388 Query show databases 060205 12:51:48 1388 Query SELECT DATABASE() 1388 Init DB weberp 060205 12:51:53 1388 Query show tables (ver apndice para el detalle de la sesin). 060205 13:01:22 1388 Quit" Sec Event Log 05/02/2006 13:00:57 New Process Has Been Created -- New Process ID - 3024; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/2006 13:01:02 Process Has Exited -- Process ID - 3024; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Sec Event Log 05/02/2006 13:01:15 New Process Has Been Created -- New Process ID - 2436; Image File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/2006 13:01:19 Process Has Exited -- Process ID - 2436; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Termina la sesin de mysql: Sec Event Log 05/02/2006 13:01:22 Process Has Exited -- Process ID 392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19 (La evidencia relative a los ficheros clientes.txt y users.txt se comenta ms adelante) 5-feb-06 13:03:12
ver0k arranca MSN Messenger. Windows intenta encontrar la ruta ms adecuada.

05/02/2006 13:03:12 C\Program Files\MSN Messenger Sec Event Log 05/02/2006 13:03:12 New Process Has Been Created -- New Process ID - 2448; Image File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); System Event Log 05/02/2006 13:03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; start; System Event Log 05/02/2006 13:03:18 Service Control Manager WinHTTP Web Proxy Auto-Discovery Service; running;
5-feb-06 13:03:29 a 13:04:15
Johnatan da por finalizado su intento de acceder al fichero de clientes, y vuelve a su buzn de entrada, volviendo de nuevo a abrir el ltimo mensaje de Alberto Lopez.
Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=55973&order=down&sort=d ate&pos=0&view=a&head=b index.dat 05/02/2006 13:04:12 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=32562&order=down&sort=d ate&pos=0&view=a&head=b index.dat 05/02/2006 13:04:15 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp
Evidencias asociadas: index.dat: 05/02/2006 13:03:29
Pg. 27
Informe tcnico
kyR 5-feb-06 13:04:20
El messenger de ver0k accede a las urls de bienvenida iniciales a nuevos usuarios de messenger
Link Visited: ver0k@http://messenger.msn.com/redirs/FIRST_TIME_EX.asp?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country= MX&BrandID=msmsgs&Build=7.5.0311&OS=Win&Version=7.5 index.dat 05/02/2006 13:04:20 Link Visited: ver0k@http://g.msn.com/5mees_mx/162 index.dat 05/02/2006 13:04:21 Link Visited: ver0k@http://g.msn.com/5meen_us/153?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=MX&BrandID=msms gs&Build=7.5.0311&OS=Win&Version=7.5 File Access de un montn de ficheros temporales de explorer. Todos ellos correspondientes a la pgina de bienvenida de MSN, por ejemplo: 05/02/2006 13:04:22 C\Documents and Settings\ver0k\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\audio[1].jpg
5-feb-06 13:04:29 a 13:05:10
Johnatan compone y enva un correo de respuesta a alopez@eycsa.com.mx, presumiblemente indicndole que no ha sido capaz de descargar el catlogo.
05/02/2006 13:04:29 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?box=%40B%40Bulk&Mid=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4 05/02/2006 13:05:10 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?YY=11490&order=down&sort=date&pos=0&view=a&Idx=0 05/02/2006 13:05:26 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?SEND=1&YY=7706&order=down&sort=date&pos=0&view=a &Idx=0 Y, entre los ficheros temporales de internet encontramos: C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm: <form name="AddAddresses" target="_top" action="http://address.mail.yahoo.com/yab/e1/?v=YM&A=a&.intl=e1&cp=1" method="post"> <input type="hidden" name="e" value="alopez@eycsa.com.mx,"> C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm: <br><br><b><i>alopez@eycsa.com.mx</i></b> escribi:
5-feb-06 13:04:31
Mientras tanto, ver0k termina de arrancar el messenger

Link :2006020520060206: ver0k@:Host: rad.msn.com index.dat 05/02/2006 13:04:38 Link :2006020520060206: ver0k@http://imaginemsn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX index.dat 05/02/2006 13:04:38 Link :2006020520060206: ver0k@:Host: imagine-msn.com index.dat 05/02/2006 13:04:38 Link Visited: ver0k@http://imaginemsn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX
5-feb-06 13:05:56
y lo configura con la cuenta h4ckiii@hotmail.com, enviando los ficheros clientes.txt y users.txt a su cuenta h4ckiii-2@hotmail.com
Link Visited: ver0k@file:///C:/clientes.txt 05/02/2006 13:06:37 Link Visited: ver0k@file:///C:/users.txt En el fichero C:\Documents and Settings\ver0k\NTUSER.DAT encontramos la entrada: Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com que indica que ver0k ha empleado esta direccin como su identificador en Messenger. Adicionalmente, se comprueba que ese nombre de usuario en MSN Messenger genera como UserID el nmero 3817870080, que coincide con el directorio creado: C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\3817870080. Asimismo, buscando la cadena h4ckIII, clientes.txt y users.txt (tanto ASCII como Unicode) en el disco, encontramos, entre otra, la siguiente informacin en distintos lugares del fichero de swap pagefile.sys: INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com> (Conectado) <h4ckiii-2@hotmail.com> Usuariox enva C:\clientes.txt Dest: h4ckiii-2@hotmail.com clientes.txtm@(8( B(h207.46.0.148kg &h4ckIII@hotmail.com (Nota: IP 207.46.0.148 00==> baym-sb8.msgr.hotmail.com) Se complet la transferencia de "clientes.txt"
Evidencias asociadas: 05/02/2006 13:05:56
Pg. 28
Informe tcnico
Igualmente: complet la transferencia de "users.txt 5-feb-06 13:06:52
Johnatan vuelve a su buzn de yahoo, sale del mismo y mata el Internet Explorer sobre el que se inici el ataque. Esta es la ltima actividad de Johnatan durante ms de una hora Una hiptesis, dada la hora, es que se fue a comer.
05/02/2006 13:06:52 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=Inbox&reset=1&YY=6697&order=&sort=&pos=0&view=a &YN=1 05/02/2006 13:06:57 Link Visited: Johnatan@http://e1.f376.mail.yahoo.com/ym/Logout?YY=59215&inc=25&order=down&sort=date&pos=0&view=a&he ad=b&box=Inbox&YY=59215 05/02/2006 13:07:07 Link Visited: Johnatan@http://login.yahoo.com/config/exit?&.src=ym&.lg=e1&.intl=e1&.done=http%3a%2f%2flogin.yahoo.com%2fcon fig%2fmail%3f.intl%3de1%26.lg%3de1 Sec Event Log 05/02/2006 13:07:10 Process Has Exited -- Process ID - 3128; Username - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 13:10:40
ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba la salida de sus comandos sql
1024\Dc2.txt, en el que aparecen las salidas de la sesin mysql como por ejemplo: mysql> show columns from custbranch; +-----------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key |" File Access 5-feb-06 13:10:40 Dc2.txt Aunque borrado, encontramos en el slack del fichero INFO2: 00 00 00 02 00 00 00 60 0B 2D A0 98 2 C6 01 00 50 00 00 C:\users.txt borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb-2006 13:10:44 (el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en http://www.efense.com/helix/Docs/Recycler_Bin_Record_Reconstruction.pdf )
Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S-1-5-21-2780117151-1340924567-2512508698-
lo que indica la hora de
5-feb-06 13:12:36 a 13:17:31
ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las imgenes pornogrficas que hay en el directorio de Johnatan(los 25 ficheros jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un fichero wmv). La fecha de creacin de todas ellas es anterior a la intrusin.
05/02/2006 13:12:36 1_2005121110036.jpg C\Documents and Settings\Johnatan\My Documents\imagenes\1_2005121110036.jpg index.dat 05/02/2006 13:12:36 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/1_2005121110036.jpg index.dat 05/02/2006 13:12:52 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/2_2005121110036.jpg File Access 05/02/2006 13:13:01 3_2005121110036.jpg C\Documents and Settings\Johnatan\My Documents\imagenes\3_2005121110036.jpg Y un largo etc. Iexplorer index.dat 05/02/2006 13:17:31 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/overlay_por_20060201100 07_20060201224249.jpg
5-feb-06 13:17:49
y continua con los ficheros bajo C\Documents and Settings\Johnatan\My Documents\Dr. Salamo. Sin embargo, no est Microsoft Excel instalado en el sistema, as que no puede abrir ver el fichero CUADRO GRAI.xls y sigue con otros directorios.
Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\CUADRO GRAl.xls
Pg. 29
Informe tcnico
De 5-feb-06 13:18:05 a13:19:05
Ahora mira los ficheros bajo C:\Documents and Settings\Administrator\My Documents, comenzando por a017.jpg, index.html y las fotos bajo My Videos/modelos
05/02/2006 13:18:05 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/a017.jpg File Access 05/02/2006 13:18:16 overlay_por_2006020107034_20060201190204.jpg.lnk Iexplorer index.dat 05/02/2006 13:19:05 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/My%20Videos/modelos/nm06082 003.jpeg
Evidencias asociadas: Iexplorer index.dat
5-feb-06 13:21:15 a 13:28:30
A partir de este momento, ver0k se dedica a la bsqueda y edicin de ficheros (en particular los ficheros .doc) bajo Documents and Settings.
Sec Event Log 05/02/2006 13:21:15 38753,55642 ver0k New Process Has Been Created -New Process ID - 2544; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/02/2006 13:21:51 38753,55684 ver0k Process Has Exited -- Process ID 2544; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; (0x0,0x3F4E19); File Access 05/Feb/2006 13:23:43 Reglamento_aprobado_por_el_CP.doc C\Documents and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc File Access 05/Feb/2006 13:23:44 GEN 13 Segundo Informe del Comit de Programa.doc C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc Sec Event Log 05/Feb/2006 13:23:47 ver0k New Process Has Been Created -- New Process ID - 652; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:23:47 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc Iexplorer index.dat 05/Feb/2006 13:23:47 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc File Access 05/Feb/2006 13:24:01 Boletin11.doc C\Documents and Settings\reno\My Documents\Boletin11.doc Sec Event Log 05/Feb/2006 13:24:04 ver0k Process Has Exited -- Process ID - 652; Username File Access 05/Feb/2006 13:24:05 Cap02c.DOC C\Documents and Settings\reno\My Documents\Cap02c.DOC File Access 05/Feb/2006 13:24:06 CO-0863r1_e.doc C\Documents and Settings\reno\My Documents\CO-0863r1_e.doc File Access 05/Feb/2006 13:24:07 bases_software.doc C\Documents and Settings\reno\My Documents\bases_software.doc File Access 05/Feb/2006 13:24:08 HMC_11.doc C\Documents and Settings\reno\My Documents\HMC_11.doc File Access 05/Feb/2006 13:24:10 inesC.V10-2-05F.doc C\Documents and Settings\reno\My Documents\inesC.V10-2-05F.doc Sec Event Log 05/Feb/2006 13:26:39 ver0k New Process Has Been Created -- New Process ID 2220; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:26:39 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/concha.doc File Access 05/Feb/2006 13:28:30 nm06082003.jpeg C\Documents and Settings\Administrator\My Documents\My Videos\modelos\nm06082003.jpeg
Evidencias asociadas: Mchsima. A modo de ejemplo:
5-feb-06 13:28:35 a 13:40:05
Ahora son las animaciones flash las que despiertan el inters de ver0k y procede a ejecutarlas de forma sistemtica. Como nota interesante, una de ellas le abre automticamente un Internet explorer a www.huevocartoon.com al cerrase.
Pg. 30
Informe tcnico
05/Feb/2006 13:28:35 el huevo tenorio.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\el huevo tenorio.exe Sec Event Log 05/Feb/2006 13:28:37 ver0k New Process Has Been Created -- New Process ID 2796; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); File Access 05/Feb/2006 13:28:38 fiesta en el antro.exe C\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el antro.exe Sec Event Log 05/Feb/2006 13:30:21 ver0k New Process Has Been Created -- New Process ID 3688; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\Muchos Huevos.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Sec Event Log 05/Feb/2006 13:30:26 postgres New Process Has Been Created -- New Process ID 2020; Image File Name - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Creator Process ID Domain - 2664; Username - postgres; Domain - COUNTERS; Logon ID - (0x0,0x2B8206); Sec Event Log 05/Feb/2006 13:30:26 postgres Process Has Exited -- Process ID - 2020; Username C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Domain - postgres; Logon ID - COUNTERS; - (0x0,0x2B8206); Sec Event Log 05/Feb/2006 13:30:45 ver0k New Process Has Been Created -- New Process ID 3672; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 3688; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:30:53 Link Visited: ver0k@http://www.huevocartoon.com/home_contry.asp Sec Event Log 05/Feb/2006 13:40:05 ver0k Process Has Exited -- Process ID - 3724; Username C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\unbaileparati.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 12:26:46
Ver0k contina sistemticamente con la edicin de ficheros .doc, hasta que su atencin se vuelve hacia Apache.
05/Feb/2006 13:40:16 ver0k New Process Has Been Created -- New Process ID 4072; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:40:16 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc Iexplorer index.dat 05/Feb/2006 13:40:16 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc File Access 05/Feb/2006 13:40:17 30SEP_bolecart-book.doc C\Documents and Settings\Administrator\My Documents\30SEP_bolecart-book.doc Iexplorer index.dat 05/Feb/2006 13:40:45 Link :2006020520060206: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/formulario.doc Iexplorer index.dat 05/Feb/2006 13:40:45 Link Visited: ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/formulario.doc File Access 05/Feb/2006 13:41:16 Indice Pormenorizado.doc C\Documents and Settings\Administrator\My Documents\Indice Pormenorizado.doc Sec Event Log 05/Feb/2006 13:41:20 ver0k Process Has Exited -- Process ID - 1136; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19); Iexplorer index.dat 05/Feb/2006 13:53:46 Link :2006020520060206: ver0k@file:///C:/apache/Apache/ABOUT_APACHE.TXT Iexplorer index.dat 05/Feb/2006 13:53:46 Link Visited: ver0k@file:///C:/apache/Apache/ABOUT_APACHE.TXT Sec Event Log 05/Feb/2006 13:55:36 ver0k Process Has Exited -- Process ID - 592; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 13:57:37 a 14:00:59
ver0k se conecta de forma remota a la aplicacin WebERP desde la IP 70.107.249.150. All busca (y encuentra) la forma de aadir un nuevo usuario a la aplicacin. Aade un nuevo usuario de nombre admin con privilegios de administrador (con un intento fallido de por medio) y sale de la misma. (ver una reproduccin completa de la sesin web en los anexos). Fin de la intrusin.
Pg. 31
Informe tcnico
Evidencias asociadas:
Apache Access Log 05/02/2006 13:57:37 70.107.249.150 GET /web-erp/ HTTP/1.1 y hace login en la aplicacin, como usuario 'acontreras' y password 'c0ntr3t0'. En MySQL General Log: 060205 13:57:51 1389 Connect weberp_us@localhost as anonymous on 1389 Init DB weberp 1389 Query SELECT www_users.fullaccess, .. FROM www_users WHERE www_users.userid='acontreras' AND (www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' OR www_users.password='c0ntr3t0') 1389 Query UPDATE www_users SET lastvisitdate='2006-02-05 13:57:51' WHERE www_users.userid='acontreras' AND www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee' Cmo sabe ver0k un usuario y password para entrar? La nica explicacin es que ha encontrado el usuario y el password en el log accesible desde SQL Administrator, en una sesin previa con fecha de 5 Feb 10:41:
Apache Access Log 05/02/2006 13:57:54 70.107.249.150 GET /web-erp/PDFDeliveryDifferences.php? HTTP/1.1 Apache Access Log 05/02/2006 13:58:02 70.107.249.150 GET /web-erp/SystemParameters.php? HTTP/1.1 Apache Access Log 05/02/2006 13:58:10 70.107.249.150 GET /web-erp/WWW_Users.php? HTTP/1.1 Apache Access Log 05/02/2006 14:00:15 70.107.249.150 POST /web-erp/WWW_Users.php? HTTP/1.1 Del General Log de MySQL: 060205 14:00:15 1398 Connect weberp_us@localhost as anonymous on 1398 Init DB weberp 1398 Query SELECT secroleid, secrolename FROM securityroles ORDER BY secroleid 1398 Query INSERT INTO www_users (userid, realname,customerid,branchcode,password, phone,email,pagesize,fullaccess,defaultlocation,modulesallowed,displayrecordsmax,theme, language) VALUES ('admin','admin', '', '', '5542a545f7178b48162c1725ddf2090e22780e25', '', '', 'A4',8,'AGS','1,1,1,1,1,1,1,1,', 50,'fresh', 'en_GB')" Apache Access Log 05/02/2006 14:00:59 70.107.249.150 GET /web-erp/Logout.php? HTTP/1.1 5-feb-06 14:00:10
Ver0k se desconecta del terminal remoto, en mitad de la sesin web anterior.

Pg. 32
Informe tcnico
05/02/2006 14:00:10 Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation 70.107.249.155;
5-feb-06 14:18:21
El usuario Johnatan vuelve al trabajo. A accede a la aplicacin weberp con el usuario acontreras y navega un poco por ella
05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 14:18:21 14:18:42 14:19:04 14:19:17 14:19:24 14:19:29 14:19:32 14:19:33 14:19:36 Link Link Link Link Link Link Link Link Link Visited: Johnatan@http://127.0.0.1/web-erp Visited: Johnatan@http://127.0.0.1/web-erp/index.php Visited: Johnatan@http://localhost/web-erp Visited: Johnatan@http://localhost/web-erp/index.php Visited: Johnatan@http://localhost/web-erp/index.php?&Application=stock Visited: Johnatan@http://localhost/web-erp/index.php?&Application=PO Visited: Johnatan@http://localhost/web-erp/index.php? Visited: Johnatan@http://localhost/web-erp/index.php?&Application=orders Visited: Johnatan@http://localhost/web-erp/index.php?&Application=system
Evidencias asociadas: Iexplorer index.dat::
5-feb-06 14:19:37
Hasta que lista los usuarios de web-erp y de forma inmediata sale de la aplicacin. Probablemente, ha visto el usuario admin creado por ver0k.
05/02/2006 14:19:37 Link Visited: Johnatan@http://localhost/web-erp/WWW_Users.php? Apache Access Log 05/02/2006 14:20:06 127.0.0.1 GET /web-erp/Logout.php? HTTP/1.1 index.dat 05/02/2006 14:20:06 Link Visited: Johnatan@http://localhost/web-erp/Logout.php?
5-feb-06 14:21:01
As que, concluye que es vctima de una intrusin y reacciona. Inserta un CD autoarrancable y arranca un intrprete de comando, desde el que lanza un comando dd. Sin duda, intenta copiar el disco o parte de l. Pero el comando va mal y acaba en escasos 5 segundos
05/02/2006 14:21:01 New Process Has Been Created -- New Process ID - 3844; Image File Name - D:\PTStart.exe; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID (0x0,0x3DF69A); Iexplorer index.dat 05/02/2006 14:21:15 Link Visited: Johnatan@file:///D:/index.html Sec Event Log 05/02/2006 14:22:25 New Process Has Been Created -- New Process ID - 3656; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/2006 14:22:56 New Process Has Been Created -- New Process ID - 3348; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/2006 14:23:01 Process Has Exited -- Process ID - 3348; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:25:37
Lo intenta de nuevo. Esta vez parece que ha ido mejor, pues el comando acaba en 29 segundos, pero no es suficiente.
05/02/2006 14:25:37 New Process Has Been Created -- New Process ID - 3644; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A); Sec Event Log 05/02/2006 14:26:08 Process Has Exited -- Process ID - 3644; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:26:57
Pide entonces ayuda al administrador, que se conecta al sistema para hacerlo l. Pero ste no tiene mejor fortuna. As que salen del sistema tanto l como Johnatan, presumiblemente para dejarle la consola libre.
05/02/2006 14:26:57 38753,60205 Sec Event Log 05/02/2006 14:26:58 New Process Has Been Created -- New Process ID - 176; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 836; Username - COUNTERS$; Domain WORKGROUP; Logon ID - (0x0,0x3E7); Sec Event Log 05/02/2006 14:27:29 New Process Has Been Created -- New Process ID - 2280; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 176; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50D2D6);
Pg. 33
Informe tcnico
Sec Event Log 05/02/2006 14:27:31 Process Has Exited -- Process ID - 2280; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50D2D6); Sec Event Log 05/02/2006 14:28:28 User Logoff -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50D2D6); Method - Logon Occurred on This Machine; Sec Event Log 05/02/2006 14:28:41 User Logoff -- Username - Johnatan; Domain - COUNTERS; Logon ID (0x0,0x3DF69A); Method - Logon Occurred on This Machine; 5-feb-06 14:29:01
As que el administrador se conecta de nuevo (con algn error previo al poner el nombre de usuario) y lo intenta. Pero ni con mltiples intentos de dd ni con wdd consigue copiar el disco.
05/02/2006 14:29:01 Unknown Username or Bad Password -- Username - adminstrator; Domain - COUNTERS; Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package Negotiate; - COUNTERS; Sec Event Log 05/02/2006 14:29:16 Successful Logon -- Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS; - -; Sec Event Log 05/02/2006 14:29:47 New Process Has Been Created -- New Process ID - 3640; Image File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 3120; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/2006 14:30:27 New Process Has Been Created -- New Process ID - 860; Image File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3640; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34); Y varias lneas similares Sec Event Log 05/02/2006 15:35:01 New Process Has Been Created -- New Process ID - 3516; Image File Name - D:\win32\wdd.exe; Creator Process ID Domain - 2536; Username - Administrator; Domain - COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/2006 15:35:04 Process Has Exited -- Process ID - 3516; Username D:\win32\wdd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50ED34);
5-feb-06 15:35:12
El administrador no tiene muy claro como funciona el cd, as que busca documentacion. Eso nos permite averiguar qu estaba usando. Se trata de FIRE (http://fire.dmzs.com/) Forensics & Incident Response Environment Bootable CD, un conocido CD de recuperacin ante incidentes o alguno similar basado en l.
05/02/2006 15:35:12 Link Visited: Administrator@http://fire.dmzs.com/news.html

5-feb-06 15:35:48
El administrador intenta averiguar informacin sobre la situacin a base de ejecutar unos cuantos comandos desde el CD, como ls pstat.
05/02/2006 15:35:48 New Process Has Been Created -- New Process ID - 3616; Image File Name - D:\statbins\win32\LS.EXE; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34); Sec Event Log 05/02/2006 15:42:11 New Process Has Been Created -- New Process ID - 2548; Image File Name - D:\win32\sysinternals\pslist.exe; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
5-feb-06 15:43:54
Finalmente, el administrador decide iniciar un shutdown para evitar males mayores y decidir con calma qu hacer.
05/02/2006 15:43:54 Application Popup Windows; Other people are logged on to this computer. Shutting down Windows might cause them to lose data. Shutdown Sec Event Log 05/02/2006 15:44:17 System Shutdown
Evidencias asociadas: SYS Event Log
5-feb-06 15:44:32
Ultima hora de shutdown reportada por el registry

C7 10 C8 1C AE 2A C6 01
Evidencias asociadas: HKLM\System\CurrentControlSet\Control\Windows\ShutdownTime:
Pg. 34
Informe tcnico
3.1. Diagrama temporal

De forma grfica y esquemtica, sealando slo los eventos importantes, nos queda pues el siguiente diagrama temporal, en el que se han asociado imgenes reproduciendo la actividad de forma similar a como la veran los protagonistas:
25/01/2006
Instalacin y puesta en marcha del sistema Windows Server 2003 con licencia demo
Hasta esta fecha, instalacin de aplicaciones, ficheros y funcionamiento normal del sistema (incluyendo algn intento de intrusin) via web
05/02/2006
05/02/2006 12:11:13
El atacante enva un primer correo a Johnatan, como viniendo de alopez@eycsa.com.mx invitndole a ver el fichero de clientes.
El usuario Johnatan hace login en el sistema
05/02/2006 12:23:09
05/02/2006 12:26:46
Johnatan se conecta a su correo en yahoo.com
05/02/2006 12:41:30
Lee el correo y sigue el enlace a http://70.107.249.150/clientes.wmf, pero no hay consecuencias.
05/02/2006 12:42:47
Se enva un segundo correo de phishing, corrigiendo el enlace anterior.
Johnatan abre el nuevo correo
05/02/2006 12:43:44
intenta seguir el enlace a clientes.wmf y
05/02/2006 12:43:50
Pg. 35
Informe tcnico
EL EXPLOIT HA ACTUADO. Se arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo de 3128, Internet explorer)
05/02/2006 12:44:11
El atacante tiene una shell de administrador en el sistema Y, mientras tanto, Johnatan espera pacientemente a que el fichero de clientes se cargue El atacante se crea una cuenta de usuario de nombre ver0k, password password, la aade al grupo administrador y cambia las entradas del registry para permitir el acceso remoto
05/02/2006 12:45:53
05/02/2006 12:46:54
Y voil, el atacante accede con el Terminal remoto al sistema recin comprometido
Johnatan intenta averiguar por qu el servidor no le responde, empleando el comando ping.
05/02/2006 12:47:46
05/02/2006 12:48:17
Ver0k, mediante SQL Administrator y averiguando cmo acceder leyendo los ficheros de configuracin, accede a la base de datos WebERP. Obtiene tambin un usuario y un password de acceso a WebERP de los logs
Pg. 36
Informe tcnico
En una sesin interactiva con MySQL, el atacante consigue toda la informacin de clientes y de usuarios del sistema, copindola a los ficheros c:\users.txt y c:\clientes.txt
05/02/2006 12:51:16
05/02/2006 13:03:12
Ver0k arranca MSN Messenger con el identificador h4ckiii@hotmail.com
Mientras Johnatan ha dado ya por innacesible el fichero de clientes y manda un correo a Antonio Lpez pidindole explicaciones
05/02/2006 13:03:29
05/02/2006 13:05:46
para enviar por messenger los ficheros users.txt y clientes.txt a su sesin como h4ckiii-2@hotmail.com y posteriormente borrarlos.
Ver0k se dedica entonces durante 45 minutos a ver los diferentes documentos que hay en el sistema bajo C:\Documents and Settings, tanto imgenes .jpg, como algn documento en formato .doc y animaciones flash.
05/02/2006 13:12:36
05/02/2006 13:57:37
Ver0k entra en WebERP con el usuario acontreras que ha obtenido en su sesin con MySQL Administrator y se crea una cuenta con privilegios de administracin de nombre admin para despus salir. (v.apndice para la sesin completa),
Johnatan entra en WebERP y al cabo de un rato, descubre la cuenta admin
05/02/2006 14:18:21
05/02/2006 14:21:01
Se reacciona a la intrusin, intentando cuanto antes copiar una imagen de la situacin actual. Para ello, se emplea el CD de F.I.R.E. (http://fire.dmzs.com/) Forensics & Incident Response Environment Bootable CD o uno similar basado en l. Hay mltiples intentos de copia con dd y wdd, hasta que finalmente se produce
05/02/2006 15:44:32
la parada final del sistema
Pg. 37
Informe tcnico
4.
Anlisis de artefactos
Se denomina artefacto a cada uno de los ficheros que quedan en el sistema como consecuencia de una intrusin. En este incidente, a diferencia de lo que acontece en un caracterstico atacke de hacking no encontramos las tpicas herramientas para atacar otros sistemas (ms exploits herramientas de scanning) y para esconder su actividad tipo rootkit. As pues, aunque ya se han comentado las principales evidencias, podemos agrupar los ficheros encontrados de la siguiente forma: a) Ficheros generados como consecuencia del engao via e-mail y ejecucin del exploit. Son los ficheros que podemos recuperar bajo C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5. De entre todos ellos destacan:
Fichero
CAU1CDC1.htm LQ9ClubsIAJKIa2jdYtSFExez4sR y[2].tiff
MD5 / Descripcin f238a1d6ff2f7568b140dda49f231356 Trozo del cdigo html de Yahoo mail que nos permite recuperar uno de los correos del ataque. C0dc2dca150342f4122075afdaffa61a Se trata del fichero .tiff generado de forma random por el exploit de metasploit.
CAMA58OV.htm Compose[1].htm Compose[1].htm WWW_Users[1].htm
d1b2f9a7901a7f936dca606ebc5d5976 6cecce95b4910cd17d106f737fbbfb79 a7a4d51a60ad93f51eaf75f0a3beb0a0 Los ficheros .html que permiten afirmar que Johnatan respondi a los correos de ver0k. bc1c99d09d2955af08cf4e3213a9ce76 Fichero con la salida de usuarios en WebERP que obtuvo Johnatan y donde puede verse el usuario admin. Fue en este momento cuando se descubri la intrusin.
b) Ficheros generados de forma directa y consciente por ver0k: los ya comentados C:\clientes.txt y C:\users.txt, en los que guard la informacin obtenida de la base de datos mediante su sesin con MySQL. De los dos, nicamente clientes.txt ha podido ser recuperado:
Fichero
Dc2.txt
MD5 / Descripcin eceec975c1202ad4cbcee92c5ca9a937 Recuperado de C:\RECYCLER\S-1-5-21-2780117151-1340924567-25125086981024\Dc2.txt, y que, segn el fichero INFO2 en ese mismo directorio corresponde a clientes.txt
c)
Ficheros generados y/o modificados por la actividad de ver0k, tales como ficheros temporales de Internet, de Messenger, logs de los distintos servicios, entradas del registry, etc que son los que constituyen la evidencia de su actividad. De entre ellos, destacan todos aquellos bajo C:\Documents and
Pg. 38
Informe tcnico Settings\ver0k, y en particular:
Fichero
Index.dat
MD5 / Descripcin aa59ffdfc41075d0b8f1bd5b981286ef Fichero de histrico de Internet Explorer en C:\Documents and Settings\ver0k\Local Settings\History\History.IE5\index.dat, que permite ver todos los accesos de ver0k durante su actividad. aa59ffdfc41075d0b8f1bd5b981286ef Fichero C:\Documents and Settings\ver0k\NTUSER.DAT, que contiene la configuracin especfica del usuario en formato registry y que nos permite, por ejemplo, saber su identidad en MSN Messenger:
NTUSER.dat
Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com
Pg. 39
Informe tcnico
5. Direcciones IP implicadas
A continuacin se muestra la informacin de registro de algunas direcciones IP implicadas en el ataque analizado. Evidentemente, toda esta informacin corresponde a la actualidad (Marzo 2006), dado que no existe un registro que permita conocer la trayectoria histrica de cada direccin IP, sino slo las asignaciones actuales. En los casos en los que ha sido posible, se ha aadido informacin obtenida de DShield [25](www.dshield.org) y/o Google (www.google.com).
Direccin IP 134.186.42.18
Razn de inters / Informacin de registro Posible intento de ataque al web Server, el 29 de Enero a las 18:01:43 segn access.log: Sin traduccin DNS, asociada a www.teale.ca.gov/
client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFi OrgName: StateProv: Country: NetRange: NetName: Teale Data Center CA US 134.186.0.0 - 134.186.255.255 CSGNET
Informacin de registro:
132.248.124.144 Intento de ataque al web Server, el 30 de Enero, a las 18:28:34 HostName: cert.seguridad.unam.mx
request failed: erroneous characters after protocol string: GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\"; inetnum: status: owner: Mexico country: 132.248/16 assigned Universidad Nacional Autonoma de MX
84.18.17.15
Escaneo de vulnerabilidades del web Server, el 4 de Febrero a las14:04:43 HostName: 84-18-17-15.usul.arrakis.es Asociada a un ISP de Espaa: www.arrakis.es
inetnum: org: netname: descr: descr: comunicaciones, country:
84.18.0.0 - 84.18.31.255 ORG-ASyc1-RIPE ES-ARRAKIS-20040805 Provider Local Registry Arrakis, Servicios y S.L. ES
4.18.17.15
Escaneo de vulnerabilidades Sat Feb 04 HostName: 4-18-17-15.atcf.net Asociada a un ISP Wireless: www.atcf.net
14:19:14.
(38)Filename too long: Possible DoS attempt? Path=c:/apache/apache/htdocs///////////////////////////
OrgName: OrgID: StateProv: Country: NetRange:
Level 3 Communications, Inc. LVLT CO US 4.0.0.0 - 4.255.255.255
Pg. 40
Informe tcnico
Direccin IP Razn de inters / Informacin de registro 70.107.249.150 Estas son las direcciones IP asociadas al atacante2 . y 70.107.249.155 HostNames: static-70-107-249-150.ny325.east.verizon.net static-70-107-249-155.ny325.east.verizon.net Asociadas a un ISP de USA (Verizon Internet Services Inc): www.verizon.net.
OrgName: OrgID: Country: NetRange:
Verizon Internet Services Inc. VRIS US 70.104.0.0 - 70.111.255.255
192.168.100.144 Escaneo de vulnerabilidades del web Server con nikto. 192.168.5.32 Se trata de direcciones de la red privada a la que perteneca el sistema atacado, puesto que la subred 192.168.0.0 est reservada para ello, segn el RFC1918. 192.168.5.5 La propia direccin IP del sistema atacado, obtenida de HKLM\System\ControlSet001\Services\{5269ADEB-9E6D-4673-B8984238F085972C}\Parameters\Tcpip\IPAddress, tambin dentro de esa misma subred privada.
A partir de las evidencias, se puede determinar que hay dos direcciones IP implicadas directamente en el ataque: a) 70.107.249.150, direccin en la que el atacante pone un falso servidor web (ver index.dat del usuario Johnatan) desde el que se ejecuta el exploit, y tambin desde la que se accede a WebERP para crear una cuenta de administracin (ver logs de acceso de apache), y, por otro lado 70.107.249.155, direccin desde la que se lanza el Terminal remoto segn el event log: Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation - 70.107.249.155; y a la que se envan los ficheros clientes.txt y cuentas.txt mediante MSN Messenger, de acuerdo con la informacin hallada en pagefile.sys: MSNSLP/1.0 200 OK To: <msnmsgr:h4ckIII@hotmail.com> From: <msnmsgr:h4ckiii-2@hotmail.com> Via: MSNSLP/1.0/TLP ;branch={BFB61937-F8A2-41DC-A6BF-321A6447A639} CSeq: 1 Call-ID: {4E399059-6930-4A0B-8061-0580E9EEAA68} Max-Forwards: 0 Content-Type: application/x-msnmsgr-transrespbody Content-Length: 178 Bridge: TCPv1 Listening: true Hashed-Nonce: {A6A0D33D-2E7C-BD32-C296-AA8BB1AACC45} IPv4Internal-Addrs: 192.168.182.1 192.168.225.1 70.107.249.155 Buscando adems las dos direcciones IP en formato hexadecimal, esto es, 0x466bf996 (70.107.249.150) y 0x466bf99b (70.107.249.155) podemos encontrar tambin en pagefile.sys esta ltima junto a la cadena Microsoft RDP 5.2, hasta en 3 ocasiones, lo que nos permite confirmar que ver0k emple la IP 70.107.249.155 para acceder al sistema mediante Terminal remoto (Remote Desktop Protocol). No existe forma de determinar si se trata de dos sistemas distintos controlados por el atacante un nico sistema que emplea algn tipo de NAT para determinados puertos (por ejemplo, para el trfico http en los puertos 80 y 8080).
b)
Pg. 41
Informe tcnico
6. Alcance de la intrusin
A partir de las evidencias encontradas, podemos concluir que la intrusin sufrida por el sistema COUNTERS, ha tenido como alcance el siguiente: a) Compromiso total del sistema operativo, con la creacin y uso de una cuenta de administracin no autorizada (ver0k). b) Compromiso de la base de datos MySQL, de la cual se ha revelado al exterior la informacin correspondiente tanto a clientes como a cuentas de usuario. En particular, se ha revelado toda la informacin que se encuentra en las tablas www_users y custbranch de dicha base de datos. c) Compromiso de la aplicacin WebERP que hace uso de dicha base de datos, con la creacin de una cuenta de administracin no autorizada (admin).
d) Compromiso de los ficheros bajo C:\Documents and Settings. De ellos, los ficheros .jpg y animaciones grficas han sido observadas por el atacante, si bien no parece que ello plantee ningn problema de confidencialidad. Los ficheros en formatos .xls, .pdf ppt, aunque su revelacin pudiera tener algn problema, no han sido copiados fuera del sistema, y no han podido ser observados por cuanto no exista aplicacin alguna para hacerlo.No ocurre as con los ficheros en formato .DOC, los cuales s pueden acarrear un problema al haber sido revelada la informacin total o parcialmente. En concreto, de los 109 ficheros .DOC bajo C:\Documents and Settings, nicamente 28 han sido comprometidos, conforme a la fecha de acceso:
Documento
Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents Documents and and and and and and and and and and and and and and and and and and and and and and and and Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc Settings\reno\My Documents\Boletin11.doc Settings\reno\My Documents\Cap02c.DOC Settings\reno\My Documents\CO-0863r1_e.doc Settings\reno\My Documents\bases_software.doc Settings\reno\My Documents\HMC_11.doc Settings\reno\My Documents\inesC.V10-2-05F.doc Settings\reno\My Documents\2004-bAUDITORIA 4.doc Settings\reno\My Documents\guiapce.doc Settings\reno\My Documents\CuartoPeriodo-INFORME DEL RELATOR.doc Settings\reno\My Documents\concha.doc Settings\reno\My Documents\11013834211TIC_y_reduccion_pobreza_de_la_pobreza_en_ALC.doc Settings\reno\My Documents\CP11591S08.doc Settings\reno\My Documents\formato-jitel.doc Settings\reno\My Documents\fap.doc Settings\reno\My Documents\plantilla.doc Settings\reno\My Documents\S03-WSIS-DOC-0004!!MSW-S.doc Settings\Administrator\My Documents\30SEP_bolecart-book.doc Settings\Administrator\My Documents\Indice Pormenorizado.doc Settings\reno\My Documents\conConicyt.doc Settings\reno\My Documents\congreso8.doc Settings\reno\My Documents\20060126masercisaproyecto609.doc Settings\reno\My Documents\Juego de las parejas para pulsador.doc
Fecha de acceso
05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006 13:23 13:23 13:24 13:24 13:24 13:24 13:24 13:24 13:26 13:26 13:26 13:26 13:27 13:27 13:27 13:27 13:27 13:27 13:40 13:41 13:57 13:57 13:57 13:57
Pg. 42
Informe tcnico
Documents Documents Documents Documents Documents
and and and and and
Settings\Administrator\My Settings\Administrator\My Settings\Administrator\My Settings\Administrator\My Settings\Administrator\My
Documents\formulario.doc Documents\Notas.doc Documents\NDICE DOCTORADO.doc Documents\RRGEPNotas.doc Documents\RRGEPPortadas.doc
05/02/2006 05/02/2006 05/02/2006 05/02/2006 05/02/2006
14:39 14:39 14:39 14:39 14:39
Pg. 43
Informe tcnico
7. Conclusiones
Las siguientes conclusiones pueden ser extradas de la investigacin de este incidente.
7.1. Conclusin 1
De forma global, a partir de los datos disponibles el incidente se puede resumir en los siguientes hechos: El sistema atacado es un Windows 2003 Server SP1, con licencia de evaluacin de 14 das, de nombre COUNTERS. Dicho sistema fue instalado y conectado a la red el 25 de enero de 2006. El 26 de enero se instalaron en el sistema algunas aplicaciones, destacando entre ellas el sistema ERP de cdigo abierto WebERP (www.weberp.org) que a su vez emplea el servidor web Apache y la base de datos MySQL. Desde dicha fecha hasta el 5 de febrero, el sistema mantuvo una actividad que puede considerarse como normal, incluyendo algunos intentos de ataque al servidor web sin mayores consecuencias, la instalacin de alguna nueva aplicacin como PostGreSQL, y la copia de mltiples ficheros de Microsoft Word, Powerpoint, Excel, documentos PDF e imgenes pornogrficas en formato JPEG por parte de algn usuario. El 5 de febrero, un atacante logr acceso con privilegios de administracin al sistema. Para ello, emple mtodos de ingeniera social, enviando un correo a un usuario del sistema con privilegios de administrador (Johnatan) a su cuenta en yahoo.com, incitndole a acceder con su navegador a una URL en la que el atacante tena preparada un exploit. Dicho exploit consista en aprovechar una vulnerabilidad recientemente descubierta en la librera GDI (Graphics Device Interface) existente en varias versiones de Windows, y entre ellas 2003 server (ver boletn de Microsoft en http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx) [24]; esta librera se emplea para la generacin y presentacin de grficos en el sistema, y el exploit se ejecut al acceder a un fichero grfico Windows Metafile (WMF) que no era tal sino que en realidad carg un cdigo (payload) que abri una lnea de comando al atacante sin que el usuario victima del engao se diera cuenta. A continuacin, y una vez lograda una ventana como administrador, de forma inmediata el atacante procedi a crear una cuenta de nombre ver0k, dotndola de privilegios de administracin, y a modificar el sistema para permitir el acceso remoto al mismo. Accediendo con Terminal remoto y con la cuenta recin creada, el atacante accedi a la base de datos de la aplicacin WebERP, mediante el interfaz de administracin de MySQL y extrajo directamente de las tablas la informacin disponible sobre clientes y sobre cuentas de usuario. Esta informacin fue enviada al exterior mediante MSN Messenger a la cuenta hackIII-2@hotmail.com.
Pg. 44
Informe tcnico Posteriormente el atacante procedi a buscar y visualizar los diferentes ficheros existentes bajo C:\Documents and Settings, incluyendo imgenes en formato JPEG, algn video, y con especial atencin archivos en formato .DOC. No pudo visualizar ficheros Excel, aunque lo intent, por cuanto esta aplicacin no estaba instalada en el sistema. Ficheros en otros formatos (Powerpoint PDF) no fueron accedidos. Finalmente, procedi a determinar cmo acceder a la aplicacin WebERP para desde ella crear una nueva cuenta de usuario de la propia aplicacin (de nombre admin y privilegios de administracin de la misma) que le permitiera el acceso a la aplicacin en el futuro, para despus abandonar el sistema. Los reponsables del sistema COUNTERS determinaron de forma muy rpida la presencia de algn intruso en el sistema, al detectar una cuenta no autorizada, y procediendo velozmente a intentar realizar una copia del disco, empleando para ello utilidades disponibles en el CD-ROM de F.I.R.E. (Forensics and Incident Response Environment Bootable CD, descargable en http://fire.dmzs.com/) o uno similar basado en ste. Despus de bastantes intentos de copia con el sistema en vivo al parecer infructuosos, procedieron a la parada final del sistema el 5 de Febrero de 2006 a las 15:44.
7.2. Conclusin 2
El ataque al sistema se realiz con una cierta planificacin y con carcter especfico hacia este sistema en particular. Esta conclusin est basada en los siguientes datos:
El correo enviado al usuario Johnatan a su cuenta para conseguir su colaboracin indirecta est escrito en castellano, as como simula ser un contacto habitual del mismo (Alberto Lpez, Director General de Electrnica y Computacin S.A.). Adems, es en un segundo correo cuando se produce la intrusin real. Una vez conseguido el acceso, y creado un usuario para su uso posterior, el atacante analiza muchos de los documentos existentes en el servidor. Parece conocer bien que webERP es la principal aplicacin del sistema, y es la que ataca. Otra base de datos instalada, PostGreSQL, no merece la ms mnima atencin del atacante. No instala ningn tipo de herramienta de rootkit, o de hacking en general como hara un atacante genrico que simplemente buscase nuevas bases de ataque. Tras conseguir crear un usuario administrador en el aplicativo webERP, finaliza toda su actividad.
7.3. Conclusin 3
El ataque fue posible a pesar de que el sistema estaba, en general, bastante bien configurado y a un alto nivel de parcheo. Aunque es cierto que se utiliz una vulnerabilidad de reciente descubrimiento, fue el uso indebido del servidor para navegar de forma genrica por Internet, especialmente grave cuando el usuario
Pg. 45
Informe tcnico empleado para ello tiene privilegios de administracin, lo que posibilit el ataque.
7.4. Conclusin 4
El anlisis del sistema ha podido ser muy detallado gracias a que el administrador del mismo se preocup de configurar en un alto nivel de detalle el sistema de auditora de Windows, lo que demuestra la importancia de estar preparado por anticipado ante un posible ataque.
7.5. Conclusin 5
En general, da la impresin de que el sistema no era un sistema en produccin real, sino un servidor preparado para generar una imagen que fuera posible usar en un reto de anlisis forense. Esta conclusin est basada en los siguientes datos:
El sistema est instalado y en marcha con una licencia de evaluacin de Windows 2003 Server, nicamente vlida para 14 das, y a la que le quedaban nicamente 4 das para la activacin final que nunca se produjo. En el sistema estn creados 16 cuentas de usuarios (adems del administrador y la que crea el atacante) de las cuales nicamente se han empleado 4. En el servidor se copiaron una gran cantidad de ficheros de Microsoft Excel, PowerPoint y Adobe PDF; sin embargo, ninguna de estas aplicaciones est instalada. Aunque podra pensarse que los ficheros podran ser accedidos desde la red, no fue as en realidad tal y como revelan las fechas de creacin y acceso. La primera reaccin de los administradores ante la creacin final de las cuentas del atacante en webERP y en el sistema, es intentar generar de forma inmediata una imagen del sistema, ms que analizar exactamente qu estaba ocurriendo, o detener/desconectar de la red el sistema para minimizar el dao. Algunas de las cuentas de correo de clientes almacenadas dentro del sistema WebERP corresponden a dominios actualmente inexistentes en la realidad.
7.6. Conclusin 6
Preservar la evidencia es crucial para cualquier investigacin forense. En incidentes informticos, como en incidentes de la vida real, la preservacin de la evidencia juega un papel fundamental en el proceso para asegurar el xito de la investigacin. En este incidente, mucha de la informacin ha sido posible obtenerla porque se dispona de una imagen binaria de la particin primaria del sistema en un instante de tiempo cercano al incidente y sin demasiadas modificaciones inducidas por el propio administrador del sistema. Si el administrador, cuando entr en el sistema para generar las copias, hubiera
Pg. 46
Informe tcnico empezado a lanzar comandos para "investigar", muchas de las pruebas habran desaparecido. No modificar en absoluto la evidencia no es posible en la mayora de los casos, pero siempre se debe intentar que la modificacin sea la menor posible.
7.7. Conclusin 7
Participar en retos de anlisis forense disminuye de forma alarmante las horas de sueo de los participantes.
Pg. 47
Informe tcnico
8. Recomendaciones
Solucin al incidente Como consecuencia del ataque, el sistema y la informacin en l contenida han quedado completamente comprometidas. Aunque se ha identificado el origen de la intrusin y el detalle de la actividad realizada, no podemos estar absolutamente seguros de que no haya otros cambios que han pasado desapercibidos a la investigacin forense. Por tanto, para recuperarse de la intrusin y conseguir un sistema completamente seguro los pasos recomendables seran, si ello es posible: Reinstalar una versin limpia del sistema operativo, siempre sin estar conectado al exterior. Deshabilitar los servicios innecesarios. Instalar todos los hotfixes de seguridad. Consultar peridicamente las alertas de seguridad en este sistema operativo. Recuperar con cuidado datos de usuario de los backups y verificar los permisos (propietario, etc) de esos ficheros para que slo los usuarios que lo necesiten puedan acceder a ellos. Cambiar todos los passwords y, slo entonces, volver a conectarlo a la red externa.
Una gua detallada de cmo recuperar un sistema de una intrusin puede encontrarse bajo: http://www.cert.org/tech_tips/win-UNIX-system_compromise.html en http://www.nohack.net/recovery.htm Alternativamente, como forma ms rpida, si bien carente del 100% de fiabilidad, la recuperacin de esta intrusin pasara por, con el sistema desconectado de Internet: Eliminacin de las cuentas creadas por el atacante. Cambiar todos los passwords tanto del sistema como de la aplicacin webERP, y asegurar que dichos passwords cumplen unos estndares mnimos de seguridad. Instalacin de los hotfixes de seguridad, especialmente los aplicables a la vulnerabilidad empleada en este ataque. Poner passwords para el acceso a MySQL Administrator.
Finalmente, el dao producido por la prdida de confidencialidad en la informacin (usuarios y clientes de la base de datos) debe mitigarse mediante las acciones de comunicacin, modificacin y/o legales que los responsables de la empresa consideren oportuno teniendo en cuenta su situacin comercial y los requerimientos legales que apliquen.
Pg. 48
Informe tcnico
Recomendaciones finales De cara a evitar posibles problemas similares a ste en el futuro, se recomiendan las siguientes acciones: Instalar de forma inmediata los hotfixes de seguridad de Microsoft, a ser posible de forma automtica a travs de Windows Update. Asegurar que se minimiza el nmero de cuentas con privilegios de administracin existentes, siendo recomendable dejar slo aquellas estrictamente necesarias. Instaurar una poltica que asegure que no se emplean servidores en produccin para actividades personales como navegar por Internet, consultar el correo o jugar. Instalar algn sistema antivirus y antispyware, actualmente inexistente. Instalar algn programa de deteccin de intrusin y/o modificacin de ficheros clave del sistema operativo. Formar a los usuarios en la importancia de la seguridad y la existencia de ataques de ingeniera social ante los que deben estar preparados. Asegurar que todos los sistemas de administracin (por ejemplo, MySQL) tienen palabras de acceso adecuadas para restringir su acceso. Guardar de forma cifrada la informacin de carcter confidencial, para minimizar la posibilidad de robo de la misma.
Asegurar que existe en la organizacin un sistema de gestin operativa de la seguridad, que permita la prevencin, deteccin y eficaz reaccin a ataques, en particular debe existir un adecuado mecanismo de alerta. Por ltimo, comentar que durante la investigacin se ha encontrado numerosa informacin correspondiente a correos de aos anteriores (en concreto, la mayora anteriores a 2004 y pertenecientes a la empresa eycsaa.com.mx, dedicada a la formacin a travs de internet). Para evitar que este tipo de informacin se de a conocer, es una buena prctica borrar completamente con una herramienta especfica el contenido del disco antes de reinstalar el sistema operativo (por ejemplo, con SDelete, de sysinternals [7]).
Pg. 49
Informe tcnico
9. Referencias
[1] The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php [2] Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php. [3] Vmware workstation software. http://www.vmware.com [4] Encase Forensic, de Guidance Software. http://www.guidancesoftware.com [5] RedHat Linux. http://www.redhat.com/. [6] Mount Image Pro. http://www.mountimage.com [7] Sysinternals web site. http://www.sysinternals.com [8] Foundstone free forensic tools. http://www.founstone.com [9] Panda Antivirus + Antispyware. http://www.pandasoftware.com [10] eTrust PestPatrol y EZ-Antivirus. http://www.ca.com [11] Proactive Password Auditor. http://www.elcomsoft.com [12] Chntpw. http://home.eunet.no/pnordah/ntpasswd/ [13] LADS. List Alternate Data Streams. http://www.heysoft.de/nt/ep-lads.htm [14] Microsoft Excel. http://www.microsoft.com [15] Google. http://www.google.com/. [16] NTFS file system description http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e-4164-862ddac5418c59481033.mspx [17] CurrPorts. http://www.nirsoft.net/utils/cports.html [18] GFI LANguard Network Security Scanner v6.0 http://www.gfi.com [19] Nacional Software Referente Library. http://www.nsrl.nist.gov [20] Microsoft Windows Remote Desktop Protocol. http://www.microsoft.com/technet/prodtechnol/Win2KTS/evaluate/featfunc/rdpfperf. mspx [21] How to Calculate the MSN Messenger Passport User Id. http://www.msnfanatic.com/articles/how-to-calculate-the-msn-messenger-6-xpassport-user-id-173.html [22] Nikto web scanner. http://www.cirt.net/code/nikto.shtml [23] Metasploit WMF vulnerability and exploit. http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile [24] Microsoft Security Bulletin ms06-001. http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx [25] Distributed Intrusion Detection System, http://www.dshield.org/
Pg. 50
Informe tcnico
10. Anexos
10.1. Mails enviados a Johnatan
Estos son los correos recuperados con los que el atacante enga al usuario Johnatan, enviados a su cuenta en yahoo.com: Primer correo, que no tiene para el atacante el xito deseado, recuperado de zonas no asignadas del disco:
De: Para: Asunto: Fecha:

Johnny:
alopez@eycsa.com.mx jonathan.tezca@yahoo.com Urgente!! Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Por favor baja el catalogo que esta en http://70.107.249.150/clientes.wmf Alberto Lopez Director General Electronica y Computacion S.A. de C.V. Segundo correo, en el que la URL se ha modificado para acceder al puerto 8080, recuperado de los ficheros temporales de Internet Explorer:
De: Para: Asunto: Fecha:

Johnny:
alopez@eycsa.com.mx jonathan.tezca@yahoo.com Urgente!! (correccion) Sun, 5 Feb 2006 14:42:47 -0600 (CST)
Esta es la liga correcta, Por favor baja el catalogo que esta en http://70.107.249.150:8080/clientes.wmf Alberto Lopez Director General Electronica y Computacion S.A. de C.V.
Pg. 51
Informe tcnico
10.2.Reproduccin de la sesin con MySQL del atacante

A continuacin se muestra una reproduccin de la sesin interactiva con la base de datos que tuvo el atacante con la intencin de extraer informacin de cuentas de la misma. Los errores que aparecen son consecuencia de comandos mal escritos por ver0k. En negrita aparecen las sentencias tal y como las escribi el atacante.
mysql> show tables; ERROR 1046 (3D000): No database selected mysql> show databases; +----------+ | Database | +----------+ | mysql | | test | | weberp | +----------+ 3 rows in set (0.00 sec) mysql> use weberp; Database changed mysql> show tables; +-----------------------------+ | Tables_in_weberp | +-----------------------------+ | accountgroups | | accountsection | | areas | | bankaccounts | | banktrans | | bom | | buckets | | chartdetails | | chartmaster | | cogsglpostings | | companies | | config | | contractbom | | contractreqts | | contracts | | currencies | | custallocns | | custbranch | | debtorsmaster | | debtortrans | | debtortranstaxes | | discountmatrix | | edi_orders_seg_groups | | edi_orders_segs | | ediitemmapping | | edimessageformat | | freightcosts | | gltrans | | grns | | holdreasons | | lastcostrollup | | locations | | locstock | | loctransfers | | orderdeliverydifferenceslog | | paymentmethods | | paymentterms | | periods | | prices |
Pg. 52
Informe tcnico
| purchdata | | purchorderdetails | | purchorders | | recurringsalesorders | | recurrsalesorderdetails | | reportcolumns | | reportheaders | | salesanalysis | | salescat | | salescatprod | | salesglpostings | | salesman | | salesorderdetails | | salesorders | | salestypes | | scripts | | securitygroups | | securityroles | | securitytokens | | shipmentcharges | | shipments | | shippers | | stockcategory | | stockcheckfreeze | | stockcounts | | stockmaster | | stockmoves | | stockmovestaxes | | stockserialitems | | stockserialmoves | | suppallocs | | suppliercontacts | | suppliers | | supptrans | | supptranstaxes | | systypes | | taxauthorities | | taxauthrates | | taxcategories | | taxgroups | | taxgrouptaxes | | taxprovinces | | unitsofmeasure | | workcentres | | worksorders | | www_users | +-----------------------------+ 85 rows in set (0.00 sec) mysql> select columns from www_users; ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'columns from www_users' at line 1 mysql> show columns from www_users; +-------------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-------------------+-------------+------+-----+---------+-------+ | userid | varchar(20) | | PRI | | | | password | text | | | | | | realname | varchar(35) | | | | | | customerid | varchar(10) | | MUL | | | | phone | varchar(30) | | | | | | email | varchar(55) | YES | | NULL | | | defaultlocation | varchar(5) | | MUL | | | | fullaccess | int(11) | | | 1 | | | lastvisitdate | datetime | YES | | NULL | | | branchcode | varchar(10) | | | | | | pagesize | varchar(20) | | | A4 | | | modulesallowed | varchar(20) | | | | | | blocked | tinyint(4) | | | 0 | | | displayrecordsmax | int(11) | | | 0 | | | theme | varchar(30) | | | fresh | |
Pg. 53
Informe tcnico
| language | varchar(5) | | | en_GB | | +-------------------+-------------+------+-----+---------+-------+ 16 rows in set (0.01 sec) mysql> show columns from www_users; +-------------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-------------------+-------------+------+-----+---------+-------+ | userid | varchar(20) | | PRI | | | | password | text | | | | | | realname | varchar(35) | | | | | | customerid | varchar(10) | | MUL | | | | phone | varchar(30) | | | | | | email | varchar(55) | YES | | NULL | | | defaultlocation | varchar(5) | | MUL | | | | fullaccess | int(11) | | | 1 | | | lastvisitdate | datetime | YES | | NULL | | | branchcode | varchar(10) | | | | | | pagesize | varchar(20) | | | A4 | | | modulesallowed | varchar(20) | | | | | | blocked | tinyint(4) | | | 0 | | | displayrecordsmax | int(11) | | | 0 | | | theme | varchar(30) | | | fresh | | | language | varchar(5) | | | en_GB | | +-------------------+-------------+------+-----+---------+-------+ 16 rows in set (0.00 sec) mysql> select userid,password,realname,fullaccess from www_users; +------------+------------------------------------------+-------------------------------+------------+ | userid | password | realname | fullaccess | +------------+------------------------------------------+-------------------------------+------------+ | acontreras | 067f1396a8434994b5c1c69edfd29c17571993ee | Alberto Contreras Zacaras | 8 | | amed | ef8085fc0990de00dbfd958373ed769f7b2c93a8 | Antonio Medina Ocaa | 11 | | amirac | e3ddf21db44f98f4d9e38d14aff077d753c35f0e | Astrid Miranda Acua | 18 | | andre | 933f868ccf7ece7601793d3887f5522fbb341418 | Andrea Escalera Nava | 17 | | carsel | 752c944261fa72cb17fd8ab40362952a60dbc30e | Carmen Serrano Luna | 9 | | chtorret | 617d0fd33bb15d60efadd04f41e1686e930cd69b | Chema Torret | 9 | | dizav | 933f868ccf7ece7601793d3887f5522fbb341418 | Diego Zrate Vite | 10 | | eduajt | 12ef46f8a2edfd221263e4dd48d5d505818b3f0b | Eduardo Jimnez Tapia | 10 | | egavilan | a53956bf4c747c5959e63d92ecb885c123935668 | Ernesto Gaviln | 8 | | gabsa | b7c40b9c66bc88d38a59e554c639d743e77f1b65 | Gabriela Sandoval Portillo | 11 | | gruvalcaba | b9677421e4bebddda761f32ec2ed52e3425f0fa2 | Gumaro Ruvalcaba | 11 | | Jehern | edefeffa1514cc1783e88f83eddc338686c60618 | Jess Hernandez Cuevas | 11 | | juma | 14993032bd035408dd9ab6f6e6ad0b023eced296 | Juan Morales Fierro | 12 | | ladelga | 25f92a2263b2c1a75077f257aeacd1376ed4f391 | Luis Ignacio Aguiaga Delgado | 10 | | majogar | 906e1bdf102a0d2338ff5d1fafabc33a72824868 | Mara Jos Garca Rubio | 11 | | mamuria | bb1c9637c5dfdfcbc5ed60b46c2d0247a8832c8d | Miguel Angel Muria Torres | 11 | | maubaro | cbfdac6008f9cab4083784cbd1874f76618d2a97 | Mauricio Barrios Santiago | 11 | | mavep | 75222f68d4dab93e5ff408018a28a1b19ceff3e5 | Mayra Velzquez Prieto | 11 | | ncanes | 1d68c2efb2a2085f25412feef3e3a245d743019f | Napolen Canes | 22 | | rodid | 8a0c0d37c6bc713a3ae67b7a797c39ba865787d4 | Rodrigo Ibarra Daz | 8 | | roxar | 9fd05e35784808bc7513b62710b57f272cc11f70 | Roxana Aguilar de la Riva | 8 | | sarnua | 01c037d306292acce46e3dc08e75ab0702324636 | Sara Nez Aldana | 9 | +------------+------------------------------------------+-------------------------------+------------+ 23 rows in set (0.00 sec) mysql> show columns from www_users; +-------------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-------------------+-------------+------+-----+---------+-------+ | userid | varchar(20) | | PRI | | | | password | text | | | | | | realname | varchar(35) | | | | | | customerid | varchar(10) | | MUL | | | | phone | varchar(30) | | | | | | email | varchar(55) | YES | | NULL | | | defaultlocation | varchar(5) | | MUL | | | | fullaccess | int(11) | | | 1 | | | lastvisitdate | datetime | YES | | NULL | | | branchcode | varchar(10) | | | | | | pagesize | varchar(20) | | | A4 | |
Pg. 54
Informe tcnico
| modulesallowed | varchar(20) | | | | | | blocked | tinyint(4) | | | 0 | | | displayrecordsmax | int(11) | | | 0 | | | theme | varchar(30) | | | fresh | | | language | varchar(5) | | | en_GB | | +-------------------+-------------+------+-----+---------+-------+ 16 rows in set (0.00 sec) mysql> show tables; +-----------------------------+ | Tables_in_weberp | +-----------------------------+ | accountgroups | | accountsection | | areas | | bankaccounts | | banktrans | | bom | | buckets | | chartdetails | | chartmaster | | cogsglpostings | | companies | | config | | contractbom | | contractreqts | | contracts | | currencies | | custallocns | | custbranch | | debtorsmaster | | debtortrans | | debtortranstaxes | | discountmatrix | | edi_orders_seg_groups | | edi_orders_segs | | ediitemmapping | | edimessageformat | | freightcosts | | gltrans | | grns | | holdreasons | | lastcostrollup | | locations | | locstock | | loctransfers | | orderdeliverydifferenceslog | | paymentmethods | | paymentterms | | periods | | prices | | purchdata | | purchorderdetails | | purchorders | | recurringsalesorders | | recurrsalesorderdetails | | reportcolumns | | reportheaders | | salesanalysis | | salescat | | salescatprod | | salesglpostings | | salesman | | salesorderdetails | | salesorders | | salestypes | | scripts | | securitygroups | | securityroles | | securitytokens | | shipmentcharges |
Pg. 55
Informe tcnico
| shipments | | shippers | | stockcategory | | stockcheckfreeze | | stockcounts | | stockmaster | | stockmoves | | stockmovestaxes | | stockserialitems | | stockserialmoves | | suppallocs | | suppliercontacts | | suppliers | | supptrans | | supptranstaxes | | systypes | | taxauthorities | | taxauthrates | | taxcategories | | taxgroups | | taxgrouptaxes | | taxprovinces | | unitsofmeasure | | workcentres | | worksorders | | www_users | +-----------------------------+ 85 rows in set (0.00 sec) mysql> show columns from custbranch; +-----------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+-------------+------+-----+---------+-------+ | branchcode | varchar(10) | | PRI | | | | debtorno | varchar(10) | | PRI | | | | brname | varchar(40) | | MUL | | | | braddress1 | varchar(40) | | | | | | braddress2 | varchar(40) | | | | | | braddress3 | varchar(40) | | | | | | braddress4 | varchar(50) | | | | | | braddress5 | varchar(20) | | | | | | braddress6 | varchar(15) | | | | | | estdeliverydays | smallint(6) | | | 1 | | | area | varchar(2) | | MUL | | | | salesman | varchar(4) | | MUL | | | | fwddate | smallint(6) | | | 0 | | | phoneno | varchar(20) | | | | | | faxno | varchar(20) | | | | | | contactname | varchar(30) | | | | | | email | varchar(55) | | | | | | defaultlocation | varchar(5) | | MUL | | | | taxgroupid | tinyint(4) | | MUL | 1 | | | defaultshipvia | int(11) | | MUL | 1 | | | deliverblind | tinyint(1) | YES | | 1 | | | disabletrans | tinyint(4) | | | 0 | | | brpostaddr1 | varchar(40) | | | | | | brpostaddr2 | varchar(40) | | | | | | brpostaddr3 | varchar(30) | | | | | | brpostaddr4 | varchar(20) | | | | | | brpostaddr5 | varchar(20) | | | | | | brpostaddr6 | varchar(15) | | | | | | custbranchcode | varchar(30) | | | | | +-----------------+-------------+------+-----+---------+-------+ 29 rows in set (0.05 sec) mysql> show tables; +-----------------------------+ | Tables_in_weberp | +-----------------------------+ | accountgroups | | accountsection |
Pg. 56
Informe tcnico
| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | areas bankaccounts banktrans bom buckets chartdetails chartmaster cogsglpostings companies config contractbom contractreqts contracts currencies custallocns custbranch debtorsmaster debtortrans debtortranstaxes discountmatrix edi_orders_seg_groups edi_orders_segs ediitemmapping edimessageformat freightcosts gltrans grns holdreasons lastcostrollup locations locstock loctransfers orderdeliverydifferenceslog paymentmethods paymentterms periods prices purchdata purchorderdetails purchorders recurringsalesorders recurrsalesorderdetails reportcolumns reportheaders salesanalysis salescat salescatprod salesglpostings salesman salesorderdetails salesorders salestypes scripts securitygroups securityroles securitytokens shipmentcharges shipments shippers stockcategory stockcheckfreeze stockcounts stockmaster stockmoves stockmovestaxes stockserialitems stockserialmoves suppallocs suppliercontacts suppliers supptrans | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
Pg. 57
Informe tcnico
| supptranstaxes | | systypes | | taxauthorities | | taxauthrates | | taxcategories | | taxgroups | | taxgrouptaxes | | taxprovinces | | unitsofmeasure | | workcentres | | worksorders | | www_users | +-----------------------------+ 85 rows in set (0.00 sec) mysql> show columns from custallocns; +-------------------+---------------+------+-----+------------+----------------+ | Field | Type | Null | Key | Default | Extra | +-------------------+---------------+------+-----+------------+----------------+ | id | int(11) | | PRI | NULL | auto_increment | | amt | decimal(20,4) | | | 0.0000 | | | datealloc | date | | MUL | 0000-00-00 | | | transid_allocfrom | int(11) | | MUL | 0 | | | transid_allocto | int(11) | | MUL | 0 | | +-------------------+---------------+------+-----+------------+----------------+ 5 rows in set (0.11 sec) mysql> show columns from custbranch; +-----------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+-------------+------+-----+---------+-------+ | branchcode | varchar(10) | | PRI | | | | debtorno | varchar(10) | | PRI | | | | brname | varchar(40) | | MUL | | | | braddress1 | varchar(40) | | | | | | braddress2 | varchar(40) | | | | | | braddress3 | varchar(40) | | | | | | braddress4 | varchar(50) | | | | | | braddress5 | varchar(20) | | | | | | braddress6 | varchar(15) | | | | | | estdeliverydays | smallint(6) | | | 1 | | | area | varchar(2) | | MUL | | | | salesman | varchar(4) | | MUL | | | | fwddate | smallint(6) | | | 0 | | | phoneno | varchar(20) | | | | | | faxno | varchar(20) | | | | | | contactname | varchar(30) | | | | | | email | varchar(55) | | | | | | defaultlocation | varchar(5) | | MUL | | | | taxgroupid | tinyint(4) | | MUL | 1 | | | defaultshipvia | int(11) | | MUL | 1 | | | deliverblind | tinyint(1) | YES | | 1 | | | disabletrans | tinyint(4) | | | 0 | | | brpostaddr1 | varchar(40) | | | | | | brpostaddr2 | varchar(40) | | | | | | brpostaddr3 | varchar(30) | | | | | | brpostaddr4 | varchar(20) | | | | | | brpostaddr5 | varchar(20) | | | | | | brpostaddr6 | varchar(15) | | | | | | custbranchcode | varchar(30) | | | | | +-----------------+-------------+------+-----+---------+-------+ 29 rows in set (0.00 sec) mysql> select branchcode,brname from custbranch; +------------+-----------------------------------+ | branchcode | brname | +------------+-----------------------------------+ | ANGRYFL | Angus Rouledge - Florida | | ANGRY | Angus Rouledge - Toronto | | DUMBLE | Dumbledoor McGonagal & Co | | FACTORY | FACTORY Computadoras |
Pg. 58
Informe tcnico
| IMRAMG | IMRAMG de America | | JRAMIREZ | Jacobo Ramirez Alcantara | | JOLOMU | Lorrima Productions Inc | | MAXICOMP | MAXICOMP de Mexico | | NOSTRON | NOSTRON SA de CV | | QUARTER | Quarter Back to Back | | RSAVALA | Ramon Savala Rincon | | SAMICE | SAMICE Semiconductores | | SAME | Samicon Electronics | | SAMS | SAMS Tiendas departamentales | | SANCOMP | SANCOMP de Colombia | | SUMICOM | SUMICOM de Chile | | ULATINA | Universidad Latina | | UNIVTEC | Universidad Tecnologica de Mexico | +------------+-----------------------------------+ 18 rows in set (0.02 sec) mysql> show columns from custbranch; +-----------------+-------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+-------------+------+-----+---------+-------+ | branchcode | varchar(10) | | PRI | | | | debtorno | varchar(10) | | PRI | | | | brname | varchar(40) | | MUL | | | | braddress1 | varchar(40) | | | | | | braddress2 | varchar(40) | | | | | | braddress3 | varchar(40) | | | | | | braddress4 | varchar(50) | | | | | | braddress5 | varchar(20) | | | | | | braddress6 | varchar(15) | | | | | | estdeliverydays | smallint(6) | | | 1 | | | area | varchar(2) | | MUL | | | | salesman | varchar(4) | | MUL | | | | fwddate | smallint(6) | | | 0 | | | phoneno | varchar(20) | | | | | | faxno | varchar(20) | | | | | | contactname | varchar(30) | | | | | | email | varchar(55) | | | | | | defaultlocation | varchar(5) | | MUL | | | | taxgroupid | tinyint(4) | | MUL | 1 | | | defaultshipvia | int(11) | | MUL | 1 | | | deliverblind | tinyint(1) | YES | | 1 | | | disabletrans | tinyint(4) | | | 0 | | | brpostaddr1 | varchar(40) | | | | | | brpostaddr2 | varchar(40) | | | | | | brpostaddr3 | varchar(30) | | | | | | brpostaddr4 | varchar(20) | | | | | | brpostaddr5 | varchar(20) | | | | | | brpostaddr6 | varchar(15) | | | | | | custbranchcode | varchar(30) | | | | | +-----------------+-------------+------+-----+---------+-------+ 29 rows in set (0.00 sec) mysql> select * from custbranch; +------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+ | branchcode | debtorno | brname | braddress1 | braddress2 | braddress3 | braddress4 | braddress5 | braddress6 | estdeliverydays | area | salesman | fwddate | phoneno | faxno | contactname | email | defaultlocation | taxgroupid | defaultshipvia | deliverblind | disabletrans | brpostaddr1 | brpostaddr2 | brpostaddr3 | brpostaddr4 | brpostaddr5 | brpostaddr6 | custbranchcode | +------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+--------------
Pg. 59
Informe tcnico
+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+ | ANGRY | ANGRY | Angus Rouledge - Toronto | P O Box 67 | Gowerbridge | Upperton | Toronto Canada | | | 3 | TR | ERI | 0 | 0422 2245 2213 | 0422 2245 2215 | Granville Thomas | graville@angry.com | DEN | 2 | 8 | 1 | 0 | | | | | | | | | ANGRYFL | ANGRY | Angus Rouledge - Florida | 1821 Sunnyside | Ft Lauderdale | Florida | 42554 | | | 3 | FL | PHO | 0 | 2445 2232 524 | 2445 2232 522 | Wendy Blowers | wendy@angry.com | DEN | 1 | 1 | 1 | 0 | | | | | | | | | DUMBLE | DUMBLE | Dumbledoor McGonagal & Co | Hogwarts castle | Platform 9.75 | | | | | 1 | TR | ERI | 0 | Owls only | Owls only | Minerva McGonagal | mmgonagal@hogwarts.edu.uk | TOR | 3 | 10 | 1 | 0 | | | | | | | | | FACTORY | FACTORY | FACTORY Computadoras | Municipio Libre 12 - Brasilia, Brasil | | | | | | 1 | FL | GPA | 0 | 89371908402 | 7198r457293 | Jose Roberto Donacimentos | jr@factorycom.com.br | TIJ | 1 | 8 | 1 | 0 | | | | | | | | | IMRAMG | IMRAMG | IMRAMG de America | Conocido | | | | | | 1 | AC | AHP | 0 | | | | | AGS | 1 | 1 | 1 | 0 | | | | | | | | | JOLOMU | JOLOMU | Lorrima Productions Inc | 3215 Great Western Highway | Blubberhouses | Yorkshire | England | | | 20 | FL | PHO | 0 | +44 812 211456 | +44 812 211 554 | Jo Lomu | jolomu@lorrima.co.uk | TOR | 3 | 1 | 1 | 0 | | | | | | | | | JRAMIREZ | JRAMIREZ | Jacobo Ramirez Alcantara | Paseo de los gerrilleros 840-1 | La Paz, Bolivia | | | | | 5 | DF | AHP | 10 | 01694307293 | 01694307293 | Carol Frank Gipser Skole | contact@cilkru.com | DEN | 1 | 1 | 1 | 0 | Paseo de los gerrilleros 840-1 | | | | | | | | MAXICOMP | MAXICOMP | MAXICOMP de Mexico | Calle Billinghurst, 25 - 8 Mexico | | | | | | 1 | FL | GPA | 0 | | | | | DF | 2 | 11 | 2 | 0 | | | | | | | | | NOSTRON | NOSTRON | NOSTRON SA de CV | Ayutla 21 - Madrid, Espaa | | | | | | 1 | MD | JVE | 0 | | | | | DEN | 2 | 8 | 2 | 0 | Conocido | | | | | | | | QUARTER | QUARTER | Quarter Back to Back | 1356 Union Drive | Holborn | England | | | | 5 | FL | ERI | 0 | 123456 | 1234567 | | | TOR | 3 | 1 | 1 | 0 | | | | | | | | | RSAVALA | RSAVALA | Ramon Savala Rincon | Camino Real 23 | Rincon del alma | | | | | 1 | GL | ART | 0 | | | | juan@savala.org.ar | DEN | 2 | 8 | 2 | 0 | | | | | | | | | SAME | SAME | Samicon Electronics | Rep. del salvador 564 | | | | | | 1 | AC | AHP | 0 | | | | | AGS | 1 | 1 | 1 | 0 | | | | | | | | | SAMICE | SAMICE | SAMICE Semiconductores | Atlanta 12 - Mexico DF | Frente a la Universidad Latina | | | | | 1 | AC | AHP | 0 | | | |
Pg. 60
Informe tcnico
| AGS | 2 | 1 | 1 | 0 | | | | | | | | | SAMS | SAMS | SAMS Tiendas departamentales | Conocido | | | | | | 2 | AC | AHP | 3 | 53123123 | 12314212 | | carlomagno@samstiendas.com | AGS | 1 | 1 | 1 | 0 | Conocido | | | | | | | | SANCOMP | SANCOMP | SANCOMP de Colombia | Av. Carlo Magno 23, Bogota Colombia | | | | | | 6 | FL | ICB | 12 | 19203012 | 19203012 | Karla Santiago Bocado | | DF | 1 | 1 | 1 | 0 | Av. Carlo Magno 23, Bogota Colombia | | | | | | | | SUMICOM | SUMICOM | SUMICOM de Chile | Intermedio14 - 23 km 2 Autopista Fed 23 | | | | | | 1 | OX | PHO | 0 | 617684982 | 14782439 | | ventas@sumicom.com.cl | DF | 1 | 8 | 1 | 0 | Intermedio14 - 23 km 2 Autopista Fed 23 | | | | | | 3123 | | ULATINA | ULATINA | Universidad Latina | Engerios 827 - Cli, Colombia | | | | | | 1 | FL | PZF | 0 | | | | | DF | 1 | 1 | 1 | 0 | | | | | | | | | UNIVTEC | UNIVTEC | Universidad Tecnologica de Mexico | Ricardo Flores 921 Mexico DF | cp. 02319 | | | | | 12 | DF | ERI | 2 | 9473701029 | 9473791030 | Luis Fernando Flores Almaguer | lflores@unitemex.com.mx | DF | 1 | 12 | 1 | 0 | Ricardo Flores 921 Mexico DF | | | | | | | +------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+ 18 rows in set (0.02 sec) mysql> quit
Pg. 61
Informe tcnico
10.3.Reproduccin de la sesin WebERP del atacante

A continuacin, se presenta una reproduccin de la actividad del atacante al acceder a WebERP, obtenida a partir de la evidencia encontrada en los ficheros de log de Apache y de MySQL:
13:57:37 ver0k accede a la ventana inicial de Login de la aplicacin,
y hace login con el Usuario acontreras, password c0ntr3t0.
13:57:52 login satisfactorio como usuario acontreras
13:57:54 Y accede a la opcin del men Order delivery Differences Report, dentro de Inquiries and Reports.
Pg. 62
Informe tcnico
13:57:57 No es lo que estaba buscando, as que vuelve al men principal, pulsando la opcin Main Menu.
13:58:00 Accede a la opcin 'Setup' en el men superior dentro de la pgina principal.
13:58:02 Desde all, accede a la opcin 'Configuration Settings' dentro del men 'General'.
13:58:06 No. Tampoco es esto lo que busca. Vuelta al men principal.
13:58:10 Veamos. Tiene que ser esta opcin de 'User Accounts' dentro de 'General'.
Pg. 63
Informe tcnico
13:59:44 Efectivamente es aqu donde quiere ir. Desde esta pgina, adems de ver todos los usuarios existentes, se pueden crear otros nuevos. As que intenta crear una nueva cuenta con capacidades de administracin
pero algo falla!. Tiene que haber sido alguna de estas posibilidades: - user ID < 4 chars - password <5 - password con caracteres prohibidos ('&+"\ espacio). - password que contiene el user ID. - customer code sin branch code.
14:00:15 As que lo intenta de nuevo
Pg. 64
Informe tcnico
y esta vez s. Ya tiene una puerta trasera en el sistema como usuario admin.
14:00:59 Con su trabajo ya hecho, slo le queda salir de la aplicacin
dando por concluida su sesin web-erp.
Pg. 65

r3 Tecnico1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

r3 Tecnico1

Uploaded by

Copyright:

Available Formats

Respuesta al

Reto de Anlisis Forense

Germn Martn Boizas

Microsoft Excel[14] Google[15]

Windows 2003 + Herramientas Anlisis Forense

Reto III (no persistente)

Linux Red Hat + Herramientas Anlisis Forense

Windows 2003 Server SP1 Limpio

Reto III Bootable

CD-ROM con Herramientas Anlisis

Informe tcnico evaluacin, y a falta de 4 das para expirar:

Informe tcnico System Event Log:

Informe tcnico KB901214, KB902400, KB903235, KB908519, KB890046 y KB896688. KB905414,

Primary Group Number: 513 Profile Path: Last Logon:

Se instala el sistema operativo

MySQL preparado para conexiones.

Evidencias asociadas: MySQL Error Log

Instalacin de los hotfixes

Evidencias asociadas: System Event Log

Evidencias asociadas: Apache error log:

[22] (ver http://www.cirt.net/code/nikto.shtml )

Evidencias asociadas: Apache error log

Otro escaneo con nikto, esta vez desde 192.168.5.32

Evidencias asociadas: Apache error log:

2-feb-06 12:59:57 2-feb-06 18:34:18 a 18:45:35

Se pone como nuevo timezone la hora estndar del Pacfico (PST)

Evidencias asociadas: System EventLog:

4-feb-06 14:04:43 a 14:26:54

Evidencias asociadas: Apache error log

4-feb-06 14:19:14 a 14:19:19

En paralelo, otro ataque tipo denegacin de servicio desde 4.18.17.15.

Evidencias asociadas: Apache error log

4-feb-06 14:45:44 a 14:47:07

Evidencias asociadas: File Access

El administrador crea el directorio C:\Documents and settings\Administrator\Sof7w4r3...

Evidencias asociadas: File Creation

Evidencias asociadas: Tiempo de creacin de los ficheros.

Evidencias asociadas: Tiempo de creacin de los ficheros:

Evidencias asociadas: File Creation

Evidencias asociadas: Security Event Log

Johnatan arranca el Internet Explorer. (con Process ID 3128)

Evidencias asociadas: Security Event Log

Johnatan se conecta a mail.yahoo.com. para leer su correo.

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

..Intenta hacer login en mail.yahoo.com...

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

Primer intento de ataque. Johnatan accede al correo anteriormente mostrado

Evidencias asociadas: .index.dat :

Evidencias asociadas: index.dat 05/02/2006 12:41:30

Johnatan abre el correo con el nuevo mensaje

Evidencias asociadas: index.dat:

Tiempo de creacin del fichero temporal CAU1CDC1.htm antes mencionado.

Evidencias asociadas: File Access

Se accede realmente a http://70.107.249.150:8080/clientes.wmf y

Evidencias asociadas: index.dat 05/02/2006 12:44:10

Evidencias asociadas: Security Event Log:

Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificacin exactamente 12:46:23

5-feb-06 12:46:54 a 12:47:21

Evidencias asociadas: File Access:

5-feb-06 12:47:46 y 12:48:02

Evidencias asociadas: Security Event Log:

acceder a los logs de Error y General de MySQL.