1 / 27

Jornadas de Seguridad Caso Práctico de Ataque

Jornadas de Seguridad Caso Práctico de Ataque. Francisco Jesús Monserrat Coll IRIS-CERT, RedIRIS - Red.es 14 Octubre 2004. Indice. Indice: IRIS-CERT, el grupo de seguridad de RedIRIS Evolución de los ataques de seguridad Ultimas tendencias Caso práctico. RedIRIS.

celine
Download Presentation

Jornadas de Seguridad Caso Práctico de Ataque

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Jornadas de Seguridad Caso Práctico de Ataque Francisco Jesús Monserrat Coll IRIS-CERT, RedIRIS - Red.es 14 Octubre 2004

  2. Indice • Indice: • IRIS-CERT, el grupo de seguridad de RedIRIS • Evolución de los ataques de seguridad • Ultimas tendencias • Caso práctico

  3. RedIRIS • Surge en 1988 para proporcionar conectividad a recursos informáticos y de I+D Españoles • Puesta en marcha de los primeros servicios de Internet en España, DNS, News, etc.. • Conexión basada en un un punto de acceso regional al que se conectan los centros. • Desde Enero de 2004 depende del ente publico empresarial Red.es

  4. IRIS-CERT • Formado en 1995 para gestionar los incidentes de seguridad en los que se vean involucradas redes conectadas a RedIRIS. • Coordinación internacional con otras redes y grupos de seguridad. • Actividades de coordinación y fomento de la seguridad informática dentro de RedIRIS. • Proyectos de seguridad específicos: • PED: Sistema de Máquinas trampas • IRIS-PCA: Autoridad de certificación experimental • Monitorización y control de tráfico

  5. Evolución de los incidentes de seguridad • Sigue aumentando el número de incidentes reportados cada año. • Cambios en los procedimientos hacen que el número de equipos atacados sea mayor. • Modificaciones en la tendencia del tipo de objetivo: usuario final. • Medidas de detección temprana evitan propagación de algunos tipos de ataques. • Mediciones de ataques (escaneos indican mas de 50 ataques/día para una red de 16 equipos)

  6. Año 2000 • Reaparecen los “Gusanos Informáticos” y DDOS • 1989: “El gusano de Morris”. • Diversos gusanos de propagación automática: li0n, ramen,sadmind, • Inicialmente debidos a vulnerabilidades en diversos programas de equipos Linux. • Inicialmente con escasa “carga dañina” , surgen diversas variedades • Problemas de saturación en algunas redes académicas • Surgen versiones “multiplataforma” , como sadmind

  7. Año 2000 (II) • Ataques de Denegación de Servicio. • El Objetivo del ataque no es ni el acceso a un sistema informático ni el robo de información sino la denegación de servicio. • Para que el ataque tenga éxito el atacante debe generar más tráfico de la que puede procesar el atacado. • Mediante la distribución (varios equipos simultáneamente) los atacantes consiguen colapsar a la víctima. • Este año aparecen diversas herramientas que son empleadas para atacar portales famosos: ebay, yahoo, cnn. • Perdidas millonarias (seguros, credibilidad)

  8. Año 2001 • Primeros gusanos en Windows • CodeRed, nimda • Problemas de seguridad en la instalación por defecto del servidor IIS contenido en Windows NT 4 • Escasa cultura de actualización y actualización de equipos • CodeRed: Propagación sin la instalación de binarios ni compromiso del equipo • Nimda: Explotación de diversos fallos de seguridad, dejando puertas abiertas a ataques posteriores. • Problemas de saturación en algunas redes comerciales • Ambos gusanos destinados sobre todo a servidores

  9. Año 2002 • Problemas de seguridad en usuarios finales. • Escasa repercusión de vulnerabilidades importantes en servidores. • Los equipos son actualizados con más frecuencia. • Detección temprana de los ataques. • Mayor concienciación de los problemas de seguridad en las instalaciones. • Diversas vulnerabilidades en programas de correo electrónico ayudan a la propagación del gusanos. • Colapso de servidores de correo electrónico. • Saturación de redes

  10. Año 2003 • Gusanos de propagación masiva. • Surgen diversos gusanos en servicios usados frecuentemente por usuarios finales: • Ms-sql : slammer, sqlnake ,etc. • NetBios: Blaster, nachi, etc. • Microsoft había desarrollado parches para solucionar la vulnerabilidad, pero gran parte de los usuarios domésticos no los habían aplicado. • Gran velocidad de propagación: • Infección de equipos mientras se actualiza • Saturación en algunas redes

  11. Año 2004 • Se confirma la tendencia al ataque a plataformas comunes y usuarios domésticos: • Aumento del ancho de banda y prestaciones de equipos conectados permanentemente. • Baja protección de estos equipos. • Imposibilidad de los grandes proveedores de realizar acciones preventivas • Modificaciones diarias del código de gusanos y ataques • Phatbot, agobot, etc. • Proliferación de las “botnets” , redes de equipos atacados. • Uso para acciones ilegales de estos equipos atacados.

  12. Botnet • Botnet: • Redes de equipos comprometidos (bots) controlados desde un equipo central , empleando frecuentemente protocolos como IRC para controlar los equipos. • Gusanos propagados por correo-e con instalación de puertas falsas. • Refinamiento de botnet • Control remoto • Escaneo y propagación en otras redes. • Encriptación de canales y binarios • Empleo de DNS para la redirección de los ataques

  13. Agobot • Ataca a los equipos a través de diversas vulnerabilidades, permitiendo el control remoto de los equipos atacados a través de IRC. • Código fuente disponible en Internet, lo que genera incontables variantes y modificaciones, que impiden muchas veces una identificación por los antivirus. • Una vez que el equipo es atacado, el gusano se “auto descarga” en la máquina víctima, conectándose automáticamente al servidor IRC de control. • El atacante puede ordenar: • Diversos ataques a redes internas/externas • DCOM, RCP, etc. • Puertas traseras instaladas por otros gusanos (mydoom, beagle) • Servicios Web. Etc.

  14. Agobot (II) • Permite además: • Obtener los códigos de licencia de los productos instalados en el equipo. • Lanzar ataques de denegación de servicio contra otros equipos. • Descargar y actualizar el propio troyano instalado por el atacante. • Los equipos comprometidos pueden ser empleados como proxies anónimos a la hora de atacar otros equipos o ser empleados para acciones ilegales, como SPAM. • No solo enviar correo: • Servidor de DNS • Alojamiento de formularios, etc.

  15. Una botnet típica

  16. Log de un ataque por IRC :[X]|273192!luisnn@192.168.161.31 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.160.210. :[X]|633973!brhzdgnn@192.168.49.248 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.213.8. :[X]|706044!kbjijd@victim3 QUIT :Ping timeout :[X]|528022!tdqvduq@victim2 JOIN :#rxb0t :[X]|472140!jljoxa@victim1 PRIVMSG #rxb0t :[TFTP]: File transfer started to IP: 141.2.119.43 (C:\WINDOWS\System32\wuasdial.exe). :[X]|472140!jljoxa@victim1 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 10.1.119.43. :[X]|472140!jljoxa@victim1 PRIVMSG #rxb0t :[TFTP]: File transfer complete to IP: 10.1.119.43 (C:\WINDOWS\System32\wuasdial.exe). :[X]|528022!tdqvduq@victim2 PRIVMSG #rxb0t :[SCAN]: Random Port Scan started on 150.140.x.x:445 with a delay of 5 seconds for 0 minutes using 100 threads. :[X]|132535!vqypuh@192.168.69.174 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.97.12. :[X]|914760!sfqrmk@victim4 QUIT :Connection reset by peer :[X]|025570!khpjeb@192.168.160.84 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.161.46. :[X]|025570!khpjeb@192.168.160.84 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.101.8. :[X]|408425!lrgoecz@victim5 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 141.51.212.223. :[X]|581473!dusahycr@recien-atacado JOIN :#rxb0t :[X]|273192!luisnn@192.168.161.31 PRIVMSG #rxb0t :[lsass]: Exploiting IP: 192.168.104.59. :[X]|581473!dusahycr@recien-atacado PRIVMSG #rxb0t :[SCAN]: Random Port Scan started on 150.140.x.x:445 with a delay of 5 seconds for 0 minutes using 100 threads.

  17. Ataques a usuarios finales • Principal objetivo de los atacantes. • Equipos sin protecciones • Escaso interés por la información del usuario, aunque es común: • Obtención de licencias de software instalados • Obtención de números de tarjetas de crédito, claves de bancos,etc. • Posibilidad de obtener claves de conexión a los sistemas, correo electrónico, etc. • Por lo general los usuarios finales son empleados como puente a la hora de lanzar ataques a otros sistemas.

  18. Ataques a Empresas • Por el entorno en el que trabaja IRIS-CERT no son muy frecuentes los ataques contra entidades conectadas a RedIRIS: • Denegaciones de Servicio, por motivos políticos. • Cambios de páginas WWW • Intentos de obtención de claves de acceso de usuarios. • Aunque internacionalmente: • Denegaciones de Servicio/ chantajes • Acceso a servicios de comercio electrónico para la obtención de información. • No solo grandes “proveedores” • Obtención de información

  19. Caso Práctico • Basado en un equipo “Linux” , con una distribución estandard, bastante empleado como servidor WWW/correo-e / DNS • Ataque común en el año 2003, en 2004 todavía se detectan alguno escaneos de puertos buscando estos servicios. • La reinstalación de Sistemas Operativos hace que todavía puedan quedar equipos vulnerables. • Aunque existen herramientas en modo gráfico , gran parte de las herramientas empleadas por los atacantes son en modo texto/consola: • Permiten el empleo desde una conexión de terminal remota. • Más “ligeras” de transmitir por la red • Pueden ser automatizadas

  20. Caso práctico de un ataque • Problema de seguridad en servidores SSL (https) • Diversas distribuciones Linux instalaban en el mismo paquete software el servidor WWW normal (HTTP) y el seguro (HTTPS) • Un problema de seguridad permitía a los atacantes acceder al servidor WWW. • Una vez que tenían acceso al equipo los atacantes modificaban el sistema para evitar ser descubiertos por el administrador. • A pesar de la complejidad del ataque diversas “guias” sobre como atacar los equipos permitieron que muchos sistemas fueran atacados • Empleo de los equipos como pasarelas para atacar otros sistemas. • Mucha veces el análisis posterior de la intrusión indicaba el desconocimiento de los atacantes del sistema atacado.

  21. Caso Práctico (II) • Cortafuegos: • Los cortafuegos suelen evitar las conexiones desde el exterior a gran parte de los servidores internos. • Analizan el trafico en algunos protocolos • Http (Web) • Smtp (correo-e) • En muchas configuraciones el tráfico encriptado no es analizado (HTTPS), solamente se permite/deniega al servidor concreto. • Al suponer el equipo protegido por el cortafuegos no se actualiza convenientemente.

  22. ¿Cómo se produce el ataque ? • Los ataques empiezan por un “reconocimiento de puertos”, buscando vulnerabilidades existentes en servidores. • Servicios / vulnerabilidades en este equipo concreto. • Busqueda de equipos con determinado servidor corriendo. • Muchas veces este reconocimiento se hace combinado con la herramienta de ataque, de forma que se consigue atacar/infectar un número alto de máquinas de forma automática. • Otras veces el mismo programa se encarga de automatizar todos los pasos de la intrusión. • El atacante recibe un listado de las máquinas a las que ha podido acceder.

  23. ¿Qué suelen hacer los atacantes ? • Una vez que los atacantes han accedido al equipo: • Intentan conseguir acceso como administrador (root) al sistema • Borran las “trazas” o registros que puedan indicar que se ha producido un ataque. • Modifican los programas del equipo para ocultar su presencia, (rootkit), de forma que el administrador no detecte el ataque. • Instalan puertas traseras (backdoors) , que les permitan volver a conectarse. • Lanzan ataques contra otros sistemas (o intentan seguir dentro de nuestra red)

  24. Detección del ataque • Muchas veces la detección es “externa” (una queja por ataques desde nuestro equipo). • Verificar el sistema • Si es posible después de un arranque desde CDROM • Mediante herramientas de comprobación de binarios • Análisis de los ficheros de logs. • Si se ha producido el ataque (y se quiere investigar): • Copiar la información del equipo. • Análisis Forense del equipo atacado. • Reinstalar y asegurar el sistema.

  25. Soluciones • Usuarios finales. • Concienciación de los existencia de estas amenazas. • Los atacantes muchas veces no buscan equipos concretos. • Las herramientas permiten a los atacantes recopilar información de una forma rápida. • Protección: Principalmente actualización periódica del sistema operativo y programas empleados. • Sistema Operativo. • Antivirus • Cortafuegos domestico

  26. Soluciones (II) • Para empresas: • No existe una solución “única”, que permita evitar cualquier problema de seguridad. • La soluciones se deben basar en diversos niveles de seguridad: • Independientes • Distintos • Auditables. • Cortafuegos (limitación de tráfico) • Bastionado (hacer seguro) los equipo) • Monitorización de tráfico

  27. Referencias • Análisis Forense en Castellano: • http://www.forensic-es.org • http://www.rediris.es/cert/ped/reto • Seguridad en general: • http://www.seguridad.unam.mx • http://www.rediris.es/cert • http://www.alertaantivirus.es

More Related