Página principal

Reto Forense Episodio III informe Técnico


Descargar 156.66 Kb.
Fecha de conversión18.07.2016
Tamaño156.66 Kb.




Reto Forense Episodio III




Informe Técnico

Ruben Recabarren rrecabarren@snsecurity.com

Rossana Ludeña rludena@snsecurity.com

Leandro Leoncini lleoncini@snsecurity.com



Caracas - Venezuela


Introducción
En este informe se presentan la metodología, las herramientas utilizadas y las conclusiones obtenidas para llevar a cabo el desafío “Reto Forense, 2006”.
El documento consta de once secciones en donde se detallan los procedimientos llevados a cabo por nuestro equipo de investigación y los resultados obtenidos.
En la primera sección se describen los antecedentes del incidente, el escenario del reto, el objetivo de la investigación, y el procedimiento general a ser llevado a cabo. En la segunda sección, se detalla la forma de acopiar la información, preservarla, y protegerla para su posterior análisis. En la siguiente sección, se describe la evidencia en detalle con la idea de especificar su alcance y su utilidad para realizar inferencias sobre los hechos. En la cuarta sección se describen las herramientas utilizadas y la forma en que se utilizan para elaborar conclusiones. En la quinta sección se lleva a cabo el análisis de la evidencia, pasando por la descripción del sistema analizado, y la metodología. La sexta sección contiene una descripción de los hallazgos y la forma en que contribuyen para las inferencias y conclusiones de la investigación. En la siguiente sección se realiza un análisis de los artefactos encontrados relacionados o no directamente al caso en investigación. Finalmente, en la penúltima sección se presenta una cronología de los hechos que preceden, suceden y ocurren simultáneamente con el incidente de seguridad. En la ultima sección se elaboran las conclusiones finales y se presentan las referencias y anexos de este informe.
Antecedentes del incidente
El escenario que se plantea para este desafío es el típico incidente de seguridad de una pequeña empresa.
Se conoce que los administradores del sistema han detectado un evento irregular y que han tratado de recopilar los elementos que han juzgado pertinentes para realizar una investigación forense. Estos elementos consisten básicamente en una descripción del escenario previo a la detección del evento regular, y una imagen del disco duro que alojaba el sistema aparentemente vulnerado.
Adicionalmente, se conoce que el sistema en estudio había sido recientemente migrado a la nueva plataforma, y que sus administradores trataban de mantener al día con sus parches y actualizaciones de seguridad.
El sistema se describe como una aplicación de “Enterprise Resource Planning” (ERP) genérica, sin dar detalles de su arquitectura o del valor de los datos que almacena está aplicación.
Los objetivos de esta investigación son enmarcados por la solicitud de los agraviados. Esta consiste en determinar si hubo o no un incidente de seguridad, y el alcance que esta haya podido tener. Adicionalmente, existen los objetivos y peculiaridades artificiales propias de un escenario de competencia y de un caso de estudio educacional más que corporativo.

Recolección de los datos
La imagen del sistema a ser analizado fue descargada del link:
ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz
provisto por los representantes del Reto Forense III. Los hashes MD5 de esta imagen fueron comparados con los que se encuentran en el siguiente link:
ftp://escitala.seguridad.unam.mx/reto/firmas.txt
y con las firmas enviadas, en el correo electrónico remitido por los organizadores del evento donde se describe el escenario y se proporciona información adicional sobre el evento. Nótese que se trata de comparar los hashes de la imagen de un origen lo más remoto con el sitio de donde se ha descargado la imagen.
Esto es con la idea de que si alguien logra modificar la imagen en un servidor, no representaría mucho esfuerzo modificar las firmas también.
Por lo tanto, una comparación de las firmas bajadas desde el mismo dominio de donde se descarga la imagen es muy poco útil para garantizar la integridad esperada.
Todos los datos recopilados en esta investigación están relacionados directamente con esta imagen, y la información que esta contiene. Es importante mencionar que es posible extender la investigación a fronteras más allá de sistemas vulnerados por estar relacionados con el incidente. Sin embargo, nosotros hemos preferido abstenernos de tal práctica por considerarla fuera de los márgenes legales y morales. Por lo tanto, toda la información que involucra sistemas ajenos a esta imagen descargada, es información que se considera pública y de dominio público. Bajo ningún motivo hemos intentado seguir la pista analizando las vulnerabilidades de la maquina atacante, o ningún otro dato que pueda vulnerar los derechos de privacidad de terceros.

Descripción de la evidencia
La evidencia recopilada consiste principalmente en las bitácoras obtenidas de la imagen provista. Se presume que esta información no ha sido alterada por que ha probado ser consistente con el entorno en que funcionaba, y porque confiamos en la buena fe de los administradores que la recolectaron al tener el primer contacto con la escena. Sin embargo, no se descarta la posibilidad de manipulación de estas bitácoras por el atacante ni ningún otro ente malicioso que no tenga los mismos objetivos que los investigadores o los responsables del sistema.
Los resultados de la investigación proveen evidencia que en efecto existió una conexión no autorizada al sistema ERP. Esta evidencia está en forma de las bitácoras generadas por los dos principales sistemas responsables de hacer funcionar el sistema ERP, a saber, apache y MySQL.
Apache es un servidor web GPL, muy popular por su robustez y por la gran comunidad que continuamente lo usa y lo hace crecer. Este sistema mantiene bitácoras detalladas de la hora y origen de todas las peticiones de páginas Web que se le hacen al servidor.
Por otro lado, MySQL es un manejador de bases de datos, también muy popular por su sofisticación y confiabilidad. Esta aplicación también mantiene bitácoras muy detalladas de cada una de las transacciones que son efectuadas, con que privilegios, el origen de las conexiones, y a que hora se realiza cada transacción.
Adicionalmente, el sistema ERP funciona como un “guardián” para sus usuarios. Esto significa que ningún usuario jamás realiza una conexión directa con el servidor de base de datos, si no que por el contrario, presenta sus credenciales de autenticación al sistema Web, y este se encarga de hacer las transacciones necesarias con la base de datos. Este es un esquema típico, pero no necesariamente el más seguro. Esto quiere decir, que aunque las bitácoras del servidor MySQL graban el origen de la conexión, estas son siempre la misma maquina, el servidor ERP.
Por lo tanto, las bitácoras de estos dos sistemas por separado, no son suficientes para determinar el origen de la intrusión. Sin embargo, la correlación de los hechos de estas dos bitácoras si lo es.
Consecuentemente, la evidencia recolectada tiene la siguiente naturaleza:
Se tiene una dirección IP, que hizo una petición al servidor Web, a la misma hora y fecha, en que se realizo una conexión local a la base de datos, con las credenciales del usuario acontreras. Este usuario pertenece al grupo de administradores, y que tan solo unas horas antes había realizado una conexión remota, de forma insegura al mismo sistema. Esta dirección IP se presume es la base utilizada por el atacante, para unos minutos después realizar otra petición al servidor Web, que produciría la creación de una cuenta (userid admin) también perteneciente al grupo de administradores, y con los máximos privilegios en la aplicación.
Toda esta información proviene de las bitácoras del sistema debidamente validadas con la consistencia de los demás logs del sistema y demás eventos fácilmente verificables.
Estos hechos son la base y justificación de las conclusiones alcanzadas y que son descritas en las siguientes secciones.
Entorno del análisis
Se realiza la investigación en dos frentes. El primero es recuperar de manera cruda toda la información contenida en la imagen descargada. Esto es con la idea de establecer tanto una línea de acontecimientos como de recuperar información que posiblemente haya sido eliminada deliberadamente por el atacante. En lo subsiguiente, nos referiremos a este entorno como “análisis en frio”.
El segundo frente de análisis consiste en devolver a la vida al sistema implicado. Este tipo de análisis “en caliente” permite recuperar con mayor facilidad la información que usualmente se encuentra en formatos propietarios o información excesivamente resguardada por el sistema operativo. Esto es una particularidad del hecho que la imagen pertenece a un sistema Operativo Windows 2003.
Ambos frentes se enfocan con prioridades distintas con respecto a preservación de evidencias e identificación de eventos. Sin embargo, la información obtenida de ambos se complementa adecuadamente para sintetizar conclusiones que por separado seria imposible fabricar.
Consecuentemente, para cada frente se utilizaron distintos tipos de herramientas que detallamos a continuación:
Descripción de las herramientas
Para el frente del “análisis en frió”, se utilizaron las herramientas más populares en el mundo del software libre:


  • SleuthKit, herramienta de análisis forense nativa para sistemas operativos Unix.

  • Autopsy, interfaz grafica para el SleuthKit.

  • Un servidor Fedora Core 2, para montar la imagen y procesarla principalmente con las herramientas anteriores.

  • Adicionalmente se utilizaron todas las herramientas del shell de linux como grep, find, etc. Estas se usaron para buscar patrones específicos o eventos de interés.

  • Se utilizó también el antivirus Clamav, para buscar malware en la imagen en frió. Esto tiene la ventaja de que en caso que exista un malware destinado a alterar el funcionamiento del antivirus en el sistema operativo nativo, se vea totalmente inutilizado en el análisis bajo linux.

Para el frente del “análisis en caliente”, se utilizaron otras herramientas que no son de carácter libre, pero que se pueden obtener sus versiones de evaluación, o que se pueden usar en forma gratuita, pero que no se tiene el código fuente:




  • VMware, software de emulación para revivir la imagen de la computadora penetrada.

  • Winhex, analizador hexadecimal que permite analizar las imágenes en forma de disco y recuperar la información.

  • Testdisk, es la única herramienta libre en este frente, y se utilizó para recuperar la geometría y otros datos de las particiones que tenia el hardware original.

  • Winimage, otra aplicación que permite el análisis y modificación de imágenes en Windows.

  • P2V, asistente para la creación de imágenes virtuales a partir de imágenes de disco.

  • Herramientas de Sysinternals: autoruns, RootkitRevealer, psloglist, etc.

  • Versiones de prueba de los antivirus mas comunes: AVG, Windows Defender Beta, etc.

  • OllyDbg, debugger libre para windows.



Análisis de la evidencia

Información del sistema analizado

I. Características del SO




  • Windows 2003 Server R2, Enterprise Edition, Copia de Evaluacion, build 3790.

  • Service Pack 1.

  • Nombre de Dominio: Counters.

  • Usuarios: Administrador, amado, caracheo, ernesto, Guest, Johnatan, katy, lalo, maick, maru, mirna, moni, mpenelope, ovejas, pili, postgres, reno, support_388945ª0, ver0k, zamorano.

  • Usuarios con privilegios de administrativos: Administrador: ver0k, maru, Johnatan, ernesto.

  • Firewall de Windows activado con las siguientes excepciones: Apache, Bittorrent, File Printer Sharing, MSN Messenger 7.5, postgres, Remote Desktop, UPnP Framework. Todos abriendo los puertos default de las aplicaciones que tienen el nombre de la excepción.

II. Aplicaciones




  • Apache http Server 1.3.34

  • Mozilla Firefox (1.5.0.1)

  • MSN Messenger 7.5

  • MySQL Administrador 1.1

  • MySQL Server 4.1

  • PHP 4.4.2

  • PostgrSQL 8.1

III. Servicios


Los servicios encontrados se listan y describen en los anexos de este reporte.
IV. Vulnerabilidades


  • Se permiten conexiones externas al servidor MySQL.

  • Se permiten conexiones externas a la cuenta weberp_us de la base de datos MySQL.

  • La cuenta weberp_us de la base de datos MySQL no tiene password.

  • La cuenta de root de la base de datos MySQL no tiene password.

  • La aplicación weberp esta plagada de posibles SQL inyection por no sanitizar el input del usuario.

  • La aplicación Postgresql esta instalada y no se usa para nada.

  • Las políticas del firewall permiten acceso a servicios que no están destinados al publico.

  • Se permite la utilización del servidor como estación de trabajo para usos personales como web browsing, chatting, videos, fotos, almacén de documentos, etc.

  • Se encontró malware entre los documentos de la cuenta administrador.

  • No se tiene instalado ningún antivirus.

  • Existen muchos usuarios con privilegios de administración muy posiblemente innecesariamente.


Metodología
Análisis de la imagen en frió:


  • Se monto la imagen en frio utilizando la opción loopback de mount en linux.

  • Se instalo autopsy y sleuthkit utilizando los rpms correspondientes a Fedora C2.

  • Se siguió el procedimiento estándar para abrir un caso en autopsy, generar los timelines, y recuperar los archivos borrados.

  • Cada vez que se necesitara consultar un archivo original, se recurría a esta instalación.

Análisis de la imagen en caliente:




  • Se instalo la versión de prueba de VMware en un sistema anfitrión windows. Esto con la finalidad de facilitar el testing de todas las herramientas en un sistema nativo antes de usarlas en la maquina virtual.

  • Se instalo el Asistente P2V para reconfigurar la imagen en el sistema anfitrión.

  • Se creo una nueva maquina virtual con Sistema Windows 2003 Enterprise Edition, para tener un sistema prueba parecido a la imagen a ser estudiada.

  • Se instalo Winhex, en la maquina virtual para montar aquí la imagen.

  • Se creo un disco duro extra de 8 gigas de espacio, en donde se recrearía la imagen en estudio. Se formateo y se dejo listo para recibir los archivos.

  • Se utilizo Winhex para analizar la imagen, surfear por sus archivos, y ver que todo estaba correcto.

  • Se restauraron todos los archivos en el disco duro virtual extra.

  • Se reinicio la maquina virtual, sin el disco inicial, pero esta vez con una imagen del Boot CD recovery en el dispositivo del CDrom, para bootear la mini-instalación de linux destinada eliminar el password de administrador de la instalación de windows recuperada.

  • Se volvio a reiniciar la maquina virtual, esta vez con el dispositivo de CDrom nativo enlazado a la maquina virtual, pero con el CD de instalación de Windows 2003.

  • Se booteo en modo de recuperación, y se activo la instalación de windows, se recupero el bootdisk, y se hizo la partición de windows como predefinida para el arranque.

  • En este momento la imagen estaba lista, pero no es booteable. El hardware ha cambiado demasiado. En particular el dispositivo de booteo, ya no es el mismo que antes.

  • Se corrió el asistente P2V de VMware para reconfigurar la imagen del disco duro recuperado y actualizar la instalación de windows para que reconociera el nuevo hardware virtual.

  • Finalmente se reinicio la imagen virtual, y se dejo que booteara la imagen recuperada. Nótese como la imagen original fue modificada sensiblemente. Esta modificación sin embargo, es solamente en la base del sistema operativo y no en los datos o aplicaciones existentes.

  • El servidor MySQL no pudo arrancar inmediatamente, pues le hacían falta unos archivos que no fueron recuperados por el winhex. Estos tenían longitud cero según se verifico en la imagen en frió. Simplemente se crearon estos archivos y se recupero totalmente el servidor MySQL y con el, la aplicación ERP.

  • Después de hacer todos los estudios de la aplicación, se procedió a buscar artefactos y malware utilizando los antivirus y las herramientas mencionadas en la sección anterior.


Descripción de los hallazgos

Utilizando los archivos de la imagen en frió, y usando las facilidades de strings que tiene autopsy, se revisaron cada uno de los archivos de configuración del servidor MySQL. En estos archivos se encontró que el usuario de root de MySQL no tenía password. Por lo tanto, se paso a la imagen en caliente, y se ejecuto el administrador MySQL con credenciales de root. De aquí se observaron las bitácoras de MySQL ordenadamente y en su forma nativa.


Adicionalmente, utilizamos una ventana de comandos y una conexión directa al servidor MySQL para quitar momentáneamente el password de alguna cuenta administrativa del sistema ERP. Con esta cuenta, accesamos al sistema ERP, y pudimos ver lo que los administradores detectaron como un posible incidente, y por aquí se comenzó la verdadera investigación de los hechos. Se encontró una cuenta (userid admin) perteneciente al grupo de administradores y con los mas altos privilegios en la aplicación. Adicionalmente, los datos personales de esta cuenta no estaban llenados. Esto nos condujo a deducir que en efecto esta era la cuenta que estábamos buscando. Se regreso el password a la cuenta del sistema ERP por completitud.

Huellas de la Intrusión
Se prosiguió a analizar las bitácoras del servidor MySQL para determinar cuando se había hecho la transacción que dio origen a tal cuenta. Esta búsqueda dio como resultado la siguiente entrada en los logs:


060205 14:00:15 1398 Connect weberp_us@localhost as anonymous on

1398 Init DB weberp

1398 Query SELECT secroleid, secrolename FROM securityroles ORDER BY secroleid

1398 Query INSERT INTO www_users (userid,

realname,

customerid,

branchcode,

password,

phone,


email,

pagesize,

fullaccess,

defaultlocation,

modulesallowed,

displayrecordsmax,

theme,

language)



VALUES ('admin',

'admin',


'',

'', '5542a545f7178b48162c1725ddf2090e22780e25',

'',

'',


'A4',

8,

'AGS',



'1,1,1,1,1,1,1,1,',

50,


'fresh',

'en_GB')

1398 Query SELECT userid,

realname,

phone,

email,


customerid,

branchcode,

lastvisitdate,

fullaccess,

pagesize

FROM www_users

1398 Query SELECT loccode, locationname FROM locations

1398 Quit




como la principal sospechosa. Seguidamente, se comparo con las bitácoras de Apache para saber el origen de la transacción, buscando el post correspondiente a la aplicación responsable de tal acción en la aplicación ERP:




70.107.249.150 - - [05/Feb/2006:13:59:44 -0800] "POST /web-erp/WWW_Users.php? HTTP/1.1" 200 14760

70.107.249.150 - - [05/Feb/2006:14:00:15 -0800] "POST /web-erp/WWW_Users.php? HTTP/1.1" 200 14951




Origen y Alcance de la intrusión
Esto nos da el origen de la transacción como el IP 70.107.249.150 que según los registros públicos de Internet corresponde al proveedor de Internet Verizon. Adicionalmente, esta dirección IP esta geográficamente localizada en la ciudad del Bronx, en New Cork, USA. No hay evidencia que el origen del atacante sea esta misma localidad, pues como es típico en estos casos, el atacante oculta su verdadero origen utilizando maquinas penetradas previamente.
La hipótesis del robo de password cobra vida pues observamos que la aplicación ERP, no establece una comunicación encriptada para pasar el login y passwords de los usuarios. Por lo tanto, es necesario tener presente que existió la posibilidad que las credenciales de esta persona hubieran viajado por algún medio inseguro previamente a este incidente.
Evidencia de este hecho se buscó de nuevo en los logs de apache y se encontraron las siguientes entradas en las bitácoras de los sistemas. De nuevo se correlacionan las entradas del MySQL y las de apache:


060205 7:03:46 651 Connect weberp_us@localhost as anonymous on

201.141.62.222 - - [05/Feb/2006:07:03:47 -0800] "POST /web-erp/index.php HTTP/1.1" 200 76

Esto implica que ese mismo día, el usuario acontreras se conecto a la aplicación ERP desde fuera de la red local de la empresa. Esto no implica inmediatamente que este haya sido el momento en que se haya robado la contraseña. Sin embargo, sustenta la evidencia en soporte de la hipótesis del robo de identidad.

Finalmente, no se observan más conexiones desde este IP, y tampoco se observan transacciones similarmente sospechosas. En las bitácoras solamente se puede observar algunas conexiones al sistema ERP desde la computadora local, se presume que en este momento se detecto la intrusión.

Por lo tanto, se concluye que el incidente tuvo un alcance limitado, pero fue potencialmente devastador.



Análisis de artefactos

Se encontró malware que no parecía tener que ver con el incidente, pero se estudio de todas maneras. El malware consistía de un archivo ejecutable auto-descomprimible. El archivo contenía 3 archivos, que fueron reconocidos por los antivirus como malware genérico. Los archivos presentes en este archive, tenían los nombres de: a.exe, y.exe y dr-1/exe.

Estos archivos fueron submitidos al sandbox de norman para su evaluación la cual no pudo obtener mas que los siguientes resultados:

a.exe : Not detected by sandbox (Signature: W32/PurityScan.OS)

* File length: 141312 bytes.

* MD5 hash: ab02e85887de9148703365de8ba6f4a5.


y.exe : Not detected by sandbox (Signature: W32/Agent.TCI)

* File length: 141312 bytes.

* MD5 hash: ea0f635bae90c94add5c5c01db171058.
dr-1.exe : W32/Adload.H (Signature: W32/Adload.H)

* File length: 23936 bytes.

* MD5 hash: 40dd2b5d697211c81ae7ad736a5dc832.
[ Process/window information ]

* Creates a COM object with CLSID {E93AD7C1-C347-11D1-A3E2-00A0C90AEA82} : VBRuntime6.




Con la ayuda del OllyDbg, se ejecutaron cada uno de estos artefactos, y se llego a las siguientes conclusiones sobre su funcionamiento:

a.exe:


I) Se instala en el registro, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con la clave a.exe y el valor de donde fue ejecutado la aplicacion

II) Trata de visitar el URL http://www.sp4m.info/a.html

y.exe:

I) Se instala en el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con la clave y.exe y el valor de donde fue ejecutado la aplicacion



II) Trata de visitar el URL http://www.sp4m.info/y.html

dr-1.exe:

Solo se trata de bajar otro archivo:

http://content.dollarrevenue.com/bundle/drsmartload.exe y lo guarda en C:\drsmartload1.exe

Ninguna de estas evidencias fue encontrada en la imagen, por lo que se concluye que esto no es parte del incidente de seguridad. Adicionalmente, se presume que no fueron ejecutadas en el sistema anfitrión, puesto que el en análisis forense no se encontraron ningún rastro de esta actividad.



Cronología de la intrusión

Según las evidencias descritas en las secciones anteriores, se puede concluir la siguiente cronología de la intrusión:



  • 7:03:46 El usuario acontreras inicia una conexión al sistema ERP desde el IP 201.141.62.222. Se presume que este es el momento en que ocurre el robo de identidad puesto que la conexión se realiza desde una localidad remota a la empresa, y adicionalmente, se hace con una conexión no asegurada con criptografía fuerte.

  • En este momento, o en algún otro anterior el login y password de esta cuenta es interceptada por el intruso.

  • 10:41:15 el usuario acontreras inicia otra sesión en el sistema ERP, y trabaja normalmente. Esta vez, la sesión es iniciada desde la red local de la empresa.

  • 13:57:51 el atacante utiliza las credenciales de acontreras para iniciar una sesión. Esta conexión parece provenir de una maquina localizada en la ciudad del Bronx, USA.

  • En esta conexión, el atacante visita la página de usuarios de la aplicación ERP, que también provee una interfaz para crear nuevos usuarios.

  • 13:59:44 el atacante crea una nueva cuenta con userid admin, y le otorga los máximos privilegios de acceso.

  • Después de esta transacción, el atacante decide no realizar ninguna otra acción.

  • A los pocos minutos, la nueva cuenta es notada por los administradores y se hace una última conexión al sistema ERP, desde el mismo servidor.

  • 14:19:37 Se verifica efectivamente en el servidor la creación de una nueva cuenta con privilegios del grupo de administradores y se procede a llevar a cabo los procedimientos pertinentes en caso de un incidente de seguridad informática.


Conclusiones

Considerando esta evidencia, y las vulnerabilidades encontradas en el sistema, es posible concluir que el alcance de la intrusión a pesar de haber sido limitado, fue potencialmente devastador.

El hecho de que muchas cuentas de la base de datos no hayan estado protegidas por ningún password es realmente alarmante. Esto quiere decir que cualquier atacante local tenía la capacidad de comprometer subrepticiamente el sistema completo, sin posibilidad de detección.

Adicionalmente, se puede establecer con plena certeza que la creación de la cuenta encontrada por los administradores fue un producto de una intrusión. La intrusión se llevo a cabo mediante la utilización de las credenciales robadas de uno de los administradores del sistema. Esto fue posible pues era una practica común realizar conexiones al sistema de una forma insegura sin utilizar protocolos de encriptamiento para proteger la comunicación.

Los administradores fueron capaces de detectar la intrusión a tiempo y muy posiblemente evitaron que el impacto de la intrusión fuera mayor. Sin embargo, es necesario revisar las políticas, normas y procedimientos con las que se lleva a cabo la administración de los servidores de esta organización. Aunque la intrusión parece haber sido producida por una vulnerabilidad de implementada en la aplicación, se encontraron artefactos de cierta peligrosidad en la imagen investigada. Aunque no se pudo relacionar estos artefactos a la intrusión, no es nada difícil que en el futuro, estas practicas propicien futuros incidentes de seguridad. El eslabón más débil siempre es el humano.

Recomendaciones específicas


  • Agregar un modulo al sistema ERP, para que todos los usuarios sean forzados a cambiar su contraseña en el siguiente intento de abrir sesión.

  • Activar el modulo de SSL en apache y educar a sus usuarios sobre los intríngulis de los sistemas de autenticación de doble vía.

  • Utilizar password crackers como John The Ripper, para probar periódicamente la fortaleza de las contraseñas de todos los sistemas de la empresa.

  • Eliminar el privilegio de la cuenta weberp_us para establecer conexiones desde fuera de la maquina local.

  • Eliminar las cuentas que no sean estrictamente necesarias para la administración del servidor, y educar a los administradores a no utilizar este recurso para usos personales.

  • Bloquear en el firewall todos los puertos inbound excpeto para el puerto 443 y 80 TCP.

  • Instalar cualquier opción de antivirus, uno excepcionalmente bueno es el AVG.



Referencias
http://www.sleuthkit.org/

http://vmware.com/

http://www.sysinternals.com/

http://www.mysql.com/

http://www.php.net/

http://norman.sandbox.no/

http://www.avg-antivirus.de/

http://www.clamav.net

http://www.ollydbg.de/


  • Carvey, Harlan. “Windows Forensics and Incident Recovery”. Addison Wesley, 2004.




  • Carrier, Brian. “File System Forensic Analysis”. Addison Wesley, 2005.




  • Farmer, Dan and Venema, Wietse. “Forensic Computer Analysis: An Introduction.” Dr. Dobb’s Journal. September, 2000.



Anexos
Servicios encontrados en el sistema operativo de la imagen en estudio:

HKLM\System\CurrentControlSet\Services

AeLookupSvc

Processes application compatibility lookup requests for applications as they are launched.

Microsoft Corporation

c:\windows\system32\svchost.exe

Alerter

Notifies selected users and computers of administrative alerts. If the service is stopped, programs that use administrative alerts will not receive them. If this service is disabled, any services that explicitly depend on it will fail to start.



Microsoft Corporation

c:\windows\system32\svchost.exe

Apache

Apache/1.3.34 (Win32)



c:\apache\apache\apache.exe

AudioSrv


Manages audio devices for Windows-based programs. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

BITS


Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.

Microsoft Corporation

c:\windows\system32\svchost.exe

Browser


Maintains an updated list of computers on the network and supplies this list to computers designated as browsers. If this service is stopped, this list will not be updated or maintained. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

CiSvc


Indexes contents and properties of files on local and remote computers; provides rapid access to files through flexible querying language.

Microsoft Corporation

c:\windows\system32\cisvc.exe

CryptSvc


Provides three management services: Catalog Database Service, which confirms the signatures of Windows files; Protected Root Service, which adds and removes Trusted Root Certification Authority certificates from this computer; and Key Service, which helps enroll this computer for certificates. If this service is stopped, these management services will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

DcomLaunch

Provides launch functionality for DCOM services.

Microsoft Corporation

c:\windows\system32\svchost.exe

Dfs


Integrates disparate file shares into a single, logical namespace and manages these logical volumes distributed across a local or wide area network. If this service is stopped, users will be unable to access file shares. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\dfssvc.exe

Dhcp


Registers and updates IP addresses and DNS records for this computer. If this service is stopped, this computer will not receive dynamic IP addresses and DNS updates. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

dmserver


Detects and monitors new hard disk drives and sends disk volume information to Logical Disk Manager Administrative Service for configuration. If this service is stopped, dynamic disk status and configuration information may become out of date. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

DNS


Enables DNS clients to resolve DNS names by answering DNS queries and dynamic DNS update requests. If this service is stopped, DNS updates will not occur. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\dns.exe

Dnscache


Resolves and caches Domain Name System (DNS) names for this computer. If this service is stopped, this computer will not be able to resolve DNS names and locate Active Directory domain controllers. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

ERSvc


Collects, stores, and reports unexpected application crashes to Microsoft. If this service is stopped, then Error Reporting will occur only for kernel faults and some types of user mode faults. If this service is disabled, any services that explicitly depend on it will not start.

Microsoft Corporation

c:\windows\system32\svchost.exe

Eventlog


Enables event log messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped.

Microsoft Corporation

c:\windows\system32\services.exe

EventSystem

Supports System Event Notification Service (SENS), which provides automatic distribution of events to subscribing Component Object Model (COM) components. If the service is stopped, SENS will close and will not be able to provide logon and logoff notifications. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

helpsvc


Enables Help and Support Center to run on this computer. If this service is stopped, Help and Support Center will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

HTTPFilter

This service implements the secure hypertext transfer protocol (HTTPS) for the HTTP service, using the Secure Socket Layer (SSL). If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\lsass.exe

kdc


On domain controllers this service enables users to log on to the network using the Kerberos authentication protocol. If this service is stopped on a domain controller, users will be unable to log on to the network. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\lsass.exe

lanmanserver

Supports file, print, and named-pipe sharing over the network for this computer. If this service is stopped, these functions will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

lanmanworkstation

Creates and maintains client network connections to remote servers. If this service is stopped, these connections will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

LmHosts


Provides support for the NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution for clients on the network, therefore enabling users to share files, print, and log on to the network. If this service is stopped, these functions might be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

MSDTC


Coordinates transactions that span multiple resource managers, such as databases, message queues, and file systems. If this service is stopped, these transactions will not occur. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\msdtc.exe

MySQL


c:\apache\apache\mysql\bin\mysqld-nt.exe

pgsql-8.1

PostgreSQL Database Server (postmaster)

PostgreSQL Global Development Group

c:\program files\postgresql\8.1\bin\pg_ctl.exe

PlugPlay


Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.

Microsoft Corporation

c:\windows\system32\services.exe

PolicyAgent

Provides end-to-end security between clients and servers on TCP/IP networks. If this service is stopped, TCP/IP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\lsass.exe

ProtectedStorage

Protects storage of sensitive information, such as private keys, and prevents access by unauthorized services, processes, or users. If this service is stopped, protected storage will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\lsass.exe

RDSessMgr

Manages and controls Remote Assistance. If this service is stopped, Remote Assistance will be unavailable. Before stopping this service, see the Dependencies tab of the Properties dialog box.

Microsoft Corporation

c:\windows\system32\sessmgr.exe

RemoteRegistry

Enables remote users to modify registry settings on this computer. If this service is stopped, the registry can be modified only by users on this computer. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

RpcSs


Serves as the endpoint mapper and COM Service Control Manager. If this service is stopped or disabled, programs using COM or Remote Procedure Call (RPC) services will not function properly.

Microsoft Corporation

c:\windows\system32\svchost.exe

SamSs


The startup of this service signals other services that the Security Accounts Manager (SAM) is ready to accept requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled.

Microsoft Corporation

c:\windows\system32\lsass.exe

Schedule


Enables a user to configure and schedule automated tasks on this computer. If this service is stopped, these tasks will not be run at their scheduled times. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

seclogon


Enables starting processes under alternate credentials. If this service is stopped, this type of logon access will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

SENS


Monitors system events and notifies subscribers to COM+ Event System of these events. If this service is stopped, COM+ Event System subscribers will not receive system event notifications. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

SharedAccess

Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.

Microsoft Corporation

c:\windows\system32\svchost.exe

ShellHWDetection

Provides notifications for AutoPlay hardware events.

Microsoft Corporation

c:\windows\system32\svchost.exe

Spooler


Manages all local and network print queues and controls all printing jobs. If this service is stopped, printing on the local machine will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\spoolsv.exe

SysmonLog

Collects performance data from local or remote computers based on preconfigured schedule parameters, then writes the data to a log or triggers an alert. If this service is stopped, performance information will not be collected. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\smlogsvc.exe

TapiSrv


Provides Telephony API (TAPI) support for clients using programs that control telephony devices and IP-based voice connections. If this service is stopped, the function of all dependent programs will be impaired. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

TrkWks


Enables client programs to track linked files that are moved within an NTFS volume, to another NTFS volume on the same computer, or to an NTFS volume on another computer. If this service is stopped, the links on this computer will not be maintained or tracked. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

VMTools


Provides support for synchronizing objects between the host and guest operating systems.

VMware, Inc.

c:\program files\vmware\vmware tools\vmwareservice.exe

W32Time


Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

WinDefend

Helps protect users from spyware and other potentially unwanted software

Microsoft Corporation

c:\program files\windows defender\msmpeng.exe

winmgmt


Provides a common interface and object model to access management information about operating system, devices, applications and services. If this service is stopped, most Windows-based software will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe

wuauserv


Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.

Microsoft Corporation

c:\windows\system32\svchost.exe

WZCSVC


Enables automatic configuration for IEEE 802.11 adapters. If this service is stopped, automatic configuration will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\svchost.exe
HKLM\System\CurrentControlSet\Services

ACPI


ACPI Driver for NT

Microsoft Corporation

c:\windows\system32\drivers\acpi.sys

aec


Microsoft Acoustic Echo Canceller

Microsoft Corporation

c:\windows\system32\drivers\aec.sys

AFD


AFD Networking Support Environment

Microsoft Corporation

c:\windows\system32\drivers\afd.sys

agp440


440 NT AGP Filter

Microsoft Corporation

c:\windows\system32\drivers\agp440.sys

AsyncMac


RAS Asynchronous Media Driver

Microsoft Corporation

c:\windows\system32\drivers\asyncmac.sys

atapi


IDE/ATAPI Port Driver

Microsoft Corporation

c:\windows\system32\drivers\atapi.sys

Atmarpc


ATM ARP Client Protocol

Microsoft Corporation

c:\windows\system32\drivers\atmarpc.sys

audstub


AudStub Driver

Microsoft Corporation

c:\windows\system32\drivers\audstub.sys

Cdrom


SCSI CD-ROM Driver

Microsoft Corporation

c:\windows\system32\drivers\cdrom.sys

CmBatt


Control Method Battery Driver

Microsoft Corporation

c:\windows\system32\drivers\cmbatt.sys

Compbatt


Composite Battery Driver

Microsoft Corporation

c:\windows\system32\drivers\compbatt.sys

crcdisk


Disk Block Verification Filter Driver

Microsoft Corporation

c:\windows\system32\drivers\crcdisk.sys

Disk


PnP Disk Driver

Microsoft Corporation

c:\windows\system32\drivers\disk.sys

dmio


NT Disk Manager I/O Driver

Microsoft Corporation

c:\windows\system32\drivers\dmio.sys

dmload


NT Disk Manager Startup Driver

Microsoft Corporation

c:\windows\system32\drivers\dmload.sys

DMusic


Microsoft Kernel DLS Synthesizer

Microsoft Corporation

c:\windows\system32\drivers\dmusic.sys

drmkaud


Microsoft Kernel DRM Audio Descrambler Filter

Microsoft Corporation

c:\windows\system32\drivers\drmkaud.sys

EL90XBC


3Com EtherLink PCI Driver

3Com Corporation

c:\windows\system32\drivers\el90xbc5.sys

Fdc


Floppy Disk Controller Driver

Microsoft Corporation

c:\windows\system32\drivers\fdc.sys

Flpydisk


Floppy Driver

Microsoft Corporation

c:\windows\system32\drivers\flpydisk.sys

Ftdisk


FT Disk Driver

Microsoft Corporation

c:\windows\system32\drivers\ftdisk.sys

gameenum


Game Port Enumerator

Microsoft Corporation

c:\windows\system32\drivers\gameenum.sys

Gpc


Generic Packet Classifier

Microsoft Corporation

c:\windows\system32\drivers\msgpc.sys

HTTP


This service implements the hypertext transfer protocol (HTTP). If this service is disabled, any services that explicitly depend on it will fail to start.

Microsoft Corporation

c:\windows\system32\drivers\http.sys

i8042prt


i8042 Port Driver

Microsoft Corporation

c:\windows\system32\drivers\i8042prt.sys

imapi


IMAPI Kernel Driver

Microsoft Corporation

c:\windows\system32\drivers\imapi.sys

IntelIde


Intel PCI IDE Driver

Microsoft Corporation

c:\windows\system32\drivers\intelide.sys

intelppm


Processor Device Driver

Microsoft Corporation

c:\windows\system32\drivers\intelppm.sys

Ip6Fw


Provides intrusion prevention service for a home or small office network.

Microsoft Corporation

c:\windows\system32\drivers\ip6fw.sys

IpFilterDriver

IP Traffic Filter Driver

Microsoft Corporation

c:\windows\system32\drivers\ipfltdrv.sys

IpInIp


IP in IP Tunnel Driver

File not found: system32\DRIVERS\ipinip.sys

IpNat

IP Network Address Translator



Microsoft Corporation

c:\windows\system32\drivers\ipnat.sys

IPSec

IPSEC driver



Microsoft Corporation

c:\windows\system32\drivers\ipsec.sys

isapnp

PNP ISA Bus Driver



Microsoft Corporation

c:\windows\system32\drivers\isapnp.sys

Kbdclass

Keyboard Class Driver

Microsoft Corporation

c:\windows\system32\drivers\kbdclass.sys

kmixer

Kernel Mode Audio Mixer



Microsoft Corporation

c:\windows\system32\drivers\kmixer.sys

Mouclass

Mouse Class Driver

Microsoft Corporation

c:\windows\system32\drivers\mouclass.sys

MSKSSRV

MS KS Server



Microsoft Corporation

c:\windows\system32\drivers\mskssrv.sys

MSPCLOCK

MS Proxy Clock

Microsoft Corporation

c:\windows\system32\drivers\mspclock.sys

MSPQM

MS Proxy Quality Manager



Microsoft Corporation

c:\windows\system32\drivers\mspqm.sys

mssmbios

System Management BIOS Driver

Microsoft Corporation

c:\windows\system32\drivers\mssmbios.sys

NdisTapi

Remote Access NDIS TAPI Driver

Microsoft Corporation

c:\windows\system32\drivers\ndistapi.sys

Ndisuio

NDIS Usermode I/O Protocol



Microsoft Corporation

c:\windows\system32\drivers\ndisuio.sys

NdisWan

Remote Access NDIS WAN Driver



Microsoft Corporation

c:\windows\system32\drivers\ndiswan.sys

NetBT

NetBios over Tcpip



Microsoft Corporation

c:\windows\system32\drivers\netbt.sys

P3

Processor Device Driver



Microsoft Corporation

c:\windows\system32\drivers\p3.sys

Parport

Parallel Port Driver



Microsoft Corporation

c:\windows\system32\drivers\parport.sys

Parvdm

VDM Parallel Driver



Microsoft Corporation

c:\windows\system32\drivers\parvdm.sys

PCI

NT Plug and Play PCI Enumerator



Microsoft Corporation

c:\windows\system32\drivers\pci.sys

PCnet

NDIS 5.0 driver



AMD Inc.

c:\windows\system32\drivers\pcntpci5.sys

PptpMiniport

WAN Miniport (PPTP)

Microsoft Corporation

c:\windows\system32\drivers\raspptp.sys

Ptilink

Direct Parallel Link Driver



Parallel Technologies, Inc.

c:\windows\system32\drivers\ptilink.sys

RasAcd

Remote Access Auto Connection Driver



Microsoft Corporation

c:\windows\system32\drivers\rasacd.sys

Rasl2tp

WAN Miniport (L2TP)



Microsoft Corporation

c:\windows\system32\drivers\rasl2tp.sys

RasPppoe

Remote Access PPPOE Driver

Microsoft Corporation

c:\windows\system32\drivers\raspppoe.sys

Raspti

Direct Parallel



Microsoft Corporation

c:\windows\system32\drivers\raspti.sys

RDPCDD

RDP Miniport



Microsoft Corporation

c:\windows\system32\drivers\rdpcdd.sys

rdpdr

Microsoft RDP Device redirector



Microsoft Corporation

c:\windows\system32\drivers\rdpdr.sys

redbook

Redbook Audio Filter Driver



Microsoft Corporation

c:\windows\system32\drivers\redbook.sys

rtl8139

Realtek RTL8139 NDIS 5.0 Driver



Realtek Semiconductor Corporation

c:\windows\system32\drivers\rtl8139.sys

Secdrv

SafeDisc driver



Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.

c:\windows\system32\drivers\secdrv.sys

serenum

Serial Port Enumerator



Microsoft Corporation

c:\windows\system32\drivers\serenum.sys








La base de datos está protegida por derechos de autor ©espanito.com 2016
enviar mensaje