Informe peritaje
Páginas: 7 (1563 palabras)
Publicado: 26 de noviembre de 2011
RETO FORENSE EPISODIO III
Resumen Ejecutivo
José Antonio Valero Sánchez
javalero@gmail.com
Zaragoza, España 2006
Motivos de la intrusión.
Después de analizar la imagen del sistema cabe destacar que el motivo principal de la intrusión ha sido el espionaje industrial, siendo el principal objetivo del atacante la obtención de los datos de los usuarios de la aplicación ERP de la empresa ylos clientes existentes en la misma aplicación. Añadiendo además a los objetivos principales la creación de un usuario administrador tanto en el servidor como en la aplicación ERP para futuros usos.
En vista de cómo se ha desarrollado la intrusión cabe destacar que el atacante poseía una serie de conocimientos sobre el personal que utilizaba la aplicación y quienes tenían privilegios deadministrador en la maquina atacada, lo que nos hace suponer que pudiera existir algún tipo de relación con la empresa atacada.
Desarrollo de la intrusión
Vamos ha dividir la intrusión en tres apartados:
• Entrada en el sistema.
• Obtención de datos e información, espionaje industrial.
• Intrusión en la aplicación ERP.
La intrusión tuvo lugar el 5 de febrero del2006.
Entrada en el sistema
El intruso aprovechó una vulnerabilidad existente en los sistemas Windows, en concreto: “MS06-001, una vulnerabilidad en el motor de procesamiento de gráficos podría permitir la ejecución remota de código (912919)” reportada en enero de este año.
Esta vulnerabilidad es crítica en la mayoría de los sistemas de Microsoft.
Para poder entrar en el sistema, el atacantenecesitó la ayuda inconsciente de un usuario interno del sistema.
El atacante envió un correo electrónico a jonathan.tezca@yahoo.com, en el que se hacia pasar por el director general de Electrónica y Computación, Alberto López. El correo incluía un enlace a un fichero llamado clientes.wmf.
El usuario Jonathan (es el nombre del usuario en el sistema atacado), al abrir el enlace, le concedió alatacante un cmd remoto por medio de una imagen tiff trampa en la maquina atacada.
Esto ocurre a las 20:44:10 UTC del dia 5 de febrero del 2006.
Por las características de ataque y el fichero utilizado, el atacante hizo uso de la herramienta metasploit para llevar a cabo la intrusión.
La intrusión se llevo a cabo desde la IP 70.107.249.150.
Una vez que el usuario atacante dispuso de un cmdremoto, procedió a crear un usuario local en la máquina atacada con privilegios de administrador. A este usuario lo llamó ver0k y le estableció la contraseña password.
Después de tener el usuario creado, procedió a habilitar en la maquina atacada la posibilidad de acceder por medio de un escritorio remoto mediante el servicio Terminal Server de Windows 2003.
Desde que el atacante entró al sistemahasta que termino de habilitar el Terminal Server apenas pasaron poco más de dos minutos.
Con el cmd remoto no realizó ninguna otra acción destacable, pero al finalizar esta fase el atacante había habilitado un usuario con privilegios y la posibilidad de conectarse a la maquina atacada por medio de un cliente de escritorio remoto.
A partir de este momento, el atacante pasa al segundo apartado delataque.
Obtención de datos e información, espionaje industrial.
El atacante se conectó a las 20:47:21 UTC horas al sistema por medio de un cliente de escritorio remoto, utilizando el usuario ver0k que acababa de crear y que disponía de privilegios de administrador.
El atacante se conectó desde la IP 70.107.249.155.
Por los pasos que realiza después, el usuario sabe lo que esta buscando ydónde buscarlo. El atacante está interesado en los datos de usuarios y clientes de la aplicación ERP instalada en la maquina.
El atacante revisa los ficheros de configuración de la aplicación ERP para obtener un usuario con el que poder acceder a la base de datos que utiliza la aplicación ERP. Además, estos ficheros le permiten conocer el tipo de cifrado utilizado para las contraseñas de la...
Resumen Ejecutivo
José Antonio Valero Sánchez
javalero@gmail.com
Zaragoza, España 2006
Motivos de la intrusión.
Después de analizar la imagen del sistema cabe destacar que el motivo principal de la intrusión ha sido el espionaje industrial, siendo el principal objetivo del atacante la obtención de los datos de los usuarios de la aplicación ERP de la empresa ylos clientes existentes en la misma aplicación. Añadiendo además a los objetivos principales la creación de un usuario administrador tanto en el servidor como en la aplicación ERP para futuros usos.
En vista de cómo se ha desarrollado la intrusión cabe destacar que el atacante poseía una serie de conocimientos sobre el personal que utilizaba la aplicación y quienes tenían privilegios deadministrador en la maquina atacada, lo que nos hace suponer que pudiera existir algún tipo de relación con la empresa atacada.
Desarrollo de la intrusión
Vamos ha dividir la intrusión en tres apartados:
• Entrada en el sistema.
• Obtención de datos e información, espionaje industrial.
• Intrusión en la aplicación ERP.
La intrusión tuvo lugar el 5 de febrero del2006.
Entrada en el sistema
El intruso aprovechó una vulnerabilidad existente en los sistemas Windows, en concreto: “MS06-001, una vulnerabilidad en el motor de procesamiento de gráficos podría permitir la ejecución remota de código (912919)” reportada en enero de este año.
Esta vulnerabilidad es crítica en la mayoría de los sistemas de Microsoft.
Para poder entrar en el sistema, el atacantenecesitó la ayuda inconsciente de un usuario interno del sistema.
El atacante envió un correo electrónico a jonathan.tezca@yahoo.com, en el que se hacia pasar por el director general de Electrónica y Computación, Alberto López. El correo incluía un enlace a un fichero llamado clientes.wmf.
El usuario Jonathan (es el nombre del usuario en el sistema atacado), al abrir el enlace, le concedió alatacante un cmd remoto por medio de una imagen tiff trampa en la maquina atacada.
Esto ocurre a las 20:44:10 UTC del dia 5 de febrero del 2006.
Por las características de ataque y el fichero utilizado, el atacante hizo uso de la herramienta metasploit para llevar a cabo la intrusión.
La intrusión se llevo a cabo desde la IP 70.107.249.150.
Una vez que el usuario atacante dispuso de un cmdremoto, procedió a crear un usuario local en la máquina atacada con privilegios de administrador. A este usuario lo llamó ver0k y le estableció la contraseña password.
Después de tener el usuario creado, procedió a habilitar en la maquina atacada la posibilidad de acceder por medio de un escritorio remoto mediante el servicio Terminal Server de Windows 2003.
Desde que el atacante entró al sistemahasta que termino de habilitar el Terminal Server apenas pasaron poco más de dos minutos.
Con el cmd remoto no realizó ninguna otra acción destacable, pero al finalizar esta fase el atacante había habilitado un usuario con privilegios y la posibilidad de conectarse a la maquina atacada por medio de un cliente de escritorio remoto.
A partir de este momento, el atacante pasa al segundo apartado delataque.
Obtención de datos e información, espionaje industrial.
El atacante se conectó a las 20:47:21 UTC horas al sistema por medio de un cliente de escritorio remoto, utilizando el usuario ver0k que acababa de crear y que disponía de privilegios de administrador.
El atacante se conectó desde la IP 70.107.249.155.
Por los pasos que realiza después, el usuario sabe lo que esta buscando ydónde buscarlo. El atacante está interesado en los datos de usuarios y clientes de la aplicación ERP instalada en la maquina.
El atacante revisa los ficheros de configuración de la aplicación ERP para obtener un usuario con el que poder acceder a la base de datos que utiliza la aplicación ERP. Además, estos ficheros le permiten conocer el tipo de cifrado utilizado para las contraseñas de la...
Leer documento completo
Regístrate para leer el documento completo.