Informe Ejecutivo
Páginas: 8 (1876 palabras)
Publicado: 10 de mayo de 2015
Reto Forense Hispano v.2.0
Informe Ejecutivo
José Ignacio Parra joseignacio.parra@gmail.com
Víctor Barahona victor.barahona@gmail.com
Quique López quiquelopezfernandez@gmail.com
Madrid, España
Introducción
El presente informe trata de explicar las circunstancias que se sucedieron para comprometer la
máquina llamada Finanzas, objeto del presente Reto.
El punto de inicio es la descarga de lasimágenes del disco duro de la máquina Finanzas,
supuestamente comprometida por una o varias intrusiones no autorizadas. Todas las horas del
presente informe, son GMT-6 hora de México.
La intrusión
Las investigaciones confirman que se produjo una primera intrusión no autorizada a las
14:58:51h del sábado 29 de enero de 2005 1 . El atacante aprovecho una vulnerabilidad
existente en las libreríasOpenSSL iguales o inferiores a la versión 0.9.6e. En concreto, el
equipo del reto, tenía la versión 0.9.6b, por lo que era vulnerable a cualquier servicio que usara
dichas librerías. En este caso, el atacante entró a través del servidor seguro del apache que
hace uso de estas librerías.
Sin embargo, tras explotar la anterior vulnerabilidad, solo tenia acceso como usuario no
privilegiado, así quenecesito de un segundo exploit, esta vez local que aprovechaba una
vulnerabilidad en los kernels 2.2 y 2.4 al realizar una llamada a la función ptrace(). Por lo tanto,
lo descarga como usuario apache y tras su ejecución, se convirtió en root del sistema
culminando la escalada de privilegios.
dándole control absoluto del mismo a las 15:16:49 del 29 de Enero de 2005.
Esta intrusión dio acceso al intrusoal control total del sistema a las 15:16:49 del 29 de Enero
de 2005 y a que descargara e instalara diversas aplicaciones que comprometieron
profundamente la seguridad de la máquina.
La última actividad realizada por el atacante se produce el día 31 de Enero del 2005 a las
12:03:40. Poco tiempo después, a las 15:38:57, la maquina es apagada.
El intruso
El intruso durante el ataque no hademostrado un alto nivel técnico, ha usado herramientas
creadas por terceros, ni siquiera se ha tomado la molestia de compilarlas y en cuanto han
fallado, tampoco ha sabido como solucionarlo. Simplemente las ha vuelto a reinstalar y cuando
han vuelto a fallar, se ha bajado otra distinta. De hecho, sospechamos que las infecciones con
los virus son totalmente fortuitas y que el atacante desconoce suexistencia y mucho menos
como aprovecharse de ellas. En resumen son lo que comúnmente se conoce como ScriptKiddies, es decir, gente sin alto nivel técnico, que se descargan herramientas y las usan, pero
en esencia no saben como funcionan. Suelen tener todo el tiempo del mundo para probar y
probar y probar…
El atacante instala las herramientas típicas en el proceso de una intrusión (rootkit, backdoor,autorooter para atacar a otras maquinas). La única herramienta ajena a este proceso es el
bouncer de Irc. Los bouncers se suelen usar para mantener el control de canales mientras se
esta desconectado, para ocultar la IP real al resto, para lanzar ataques de DoS, etc. El perfil de
la gente que se mete en estas guerras, suelen ser chicos jóvenes con afán de protagonismo y
un ego alto. Usan el irc paracontar sus hazañas y luchar con grupos rivales, etc. y los bouncer
les ayudan a mantenerse anónimos en estos canales de irc, a atacar a otros y a evitar los
ataques.
1
Los tiempos que indicamos son los registrados en las imágenes de la máquina, que no pueden ser
confirmados ya que carecía de un sistema de sincronizado de tiempo con un servidor fiable.
En cuanto a la nacionalidad, debido a quela mayor parte de las herramientas que instala, se
las baja de un proveedor de alojamiento web gratuito alojado en Rumania y cuyas paginas
están íntegramente en rumano, parece razonable pensar que el atacante era de esa
nacionalidad. Además una de las herramientas manda un mail a una dirección de yahoo cuyo
username era radautiteam. Radauti es una pequeña ciudad rumana (35.000 habitantes) junto...
Informe Ejecutivo
José Ignacio Parra joseignacio.parra@gmail.com
Víctor Barahona victor.barahona@gmail.com
Quique López quiquelopezfernandez@gmail.com
Madrid, España
Introducción
El presente informe trata de explicar las circunstancias que se sucedieron para comprometer la
máquina llamada Finanzas, objeto del presente Reto.
El punto de inicio es la descarga de lasimágenes del disco duro de la máquina Finanzas,
supuestamente comprometida por una o varias intrusiones no autorizadas. Todas las horas del
presente informe, son GMT-6 hora de México.
La intrusión
Las investigaciones confirman que se produjo una primera intrusión no autorizada a las
14:58:51h del sábado 29 de enero de 2005 1 . El atacante aprovecho una vulnerabilidad
existente en las libreríasOpenSSL iguales o inferiores a la versión 0.9.6e. En concreto, el
equipo del reto, tenía la versión 0.9.6b, por lo que era vulnerable a cualquier servicio que usara
dichas librerías. En este caso, el atacante entró a través del servidor seguro del apache que
hace uso de estas librerías.
Sin embargo, tras explotar la anterior vulnerabilidad, solo tenia acceso como usuario no
privilegiado, así quenecesito de un segundo exploit, esta vez local que aprovechaba una
vulnerabilidad en los kernels 2.2 y 2.4 al realizar una llamada a la función ptrace(). Por lo tanto,
lo descarga como usuario apache y tras su ejecución, se convirtió en root del sistema
culminando la escalada de privilegios.
dándole control absoluto del mismo a las 15:16:49 del 29 de Enero de 2005.
Esta intrusión dio acceso al intrusoal control total del sistema a las 15:16:49 del 29 de Enero
de 2005 y a que descargara e instalara diversas aplicaciones que comprometieron
profundamente la seguridad de la máquina.
La última actividad realizada por el atacante se produce el día 31 de Enero del 2005 a las
12:03:40. Poco tiempo después, a las 15:38:57, la maquina es apagada.
El intruso
El intruso durante el ataque no hademostrado un alto nivel técnico, ha usado herramientas
creadas por terceros, ni siquiera se ha tomado la molestia de compilarlas y en cuanto han
fallado, tampoco ha sabido como solucionarlo. Simplemente las ha vuelto a reinstalar y cuando
han vuelto a fallar, se ha bajado otra distinta. De hecho, sospechamos que las infecciones con
los virus son totalmente fortuitas y que el atacante desconoce suexistencia y mucho menos
como aprovecharse de ellas. En resumen son lo que comúnmente se conoce como ScriptKiddies, es decir, gente sin alto nivel técnico, que se descargan herramientas y las usan, pero
en esencia no saben como funcionan. Suelen tener todo el tiempo del mundo para probar y
probar y probar…
El atacante instala las herramientas típicas en el proceso de una intrusión (rootkit, backdoor,autorooter para atacar a otras maquinas). La única herramienta ajena a este proceso es el
bouncer de Irc. Los bouncers se suelen usar para mantener el control de canales mientras se
esta desconectado, para ocultar la IP real al resto, para lanzar ataques de DoS, etc. El perfil de
la gente que se mete en estas guerras, suelen ser chicos jóvenes con afán de protagonismo y
un ego alto. Usan el irc paracontar sus hazañas y luchar con grupos rivales, etc. y los bouncer
les ayudan a mantenerse anónimos en estos canales de irc, a atacar a otros y a evitar los
ataques.
1
Los tiempos que indicamos son los registrados en las imágenes de la máquina, que no pueden ser
confirmados ya que carecía de un sistema de sincronizado de tiempo con un servidor fiable.
En cuanto a la nacionalidad, debido a quela mayor parte de las herramientas que instala, se
las baja de un proveedor de alojamiento web gratuito alojado en Rumania y cuyas paginas
están íntegramente en rumano, parece razonable pensar que el atacante era de esa
nacionalidad. Además una de las herramientas manda un mail a una dirección de yahoo cuyo
username era radautiteam. Radauti es una pequeña ciudad rumana (35.000 habitantes) junto...
Leer documento completo
Regístrate para leer el documento completo.