15 sept 2015

[Solución] Reto: Me muevo y siempre llegas tarde, pero ¿Qué soy? ¿Dejo rastro?

Tenemos ganador del reto y su nombre es Lucas Duarte Wulfert, también conocido como @p4dawan. La solución que Lucas nos ha proporcionado es de muy alto nivel de documentación, currándose un script para solucionar el reto. Cada frase del reto escondía algo que hacía que tú pensarás y te montaras tu película. Recordemos el texto.

“Me muevo a mis anchas por toda tu organización, ¿Quieres encontrarme? Quizá necesites un equipo dedicado, el cual te diga por dónde estuve, un instante, un suspiro, unos milisegundos… me creo y me destruyo, pero resido en tu ciberespacio privado” 

La organización Botijos S.A tiene una brecha de seguridad que ha hecho que la información de clientes y socios quede expuesta en Internet. La pregunta, generalmente, más difícil de contestar, ¿Cómo entraron? Una vulnerabilidad en un sistema perimetral, mala gestión de la política de actualizaciones y el que estaba fuera, ahora está dentro. El CISO de Botijos S.A tiene muchas cosas que explicar, pero antes necesitará tener respuestas a las cientos de preguntas que se le pasan por la mente. 

¿Cómo el atacante pudo saltar de la máquina perimetral a una dónde se encontraba información sensible de clientes y socios? Movimientos dentro de la organización de un usuario no autorizado. 

Una llamada, como si fuera el teléfono rojo, una necesidad de recoger las explicaciones necesarias. Digamos que existe un fichero que debe ser analizado, una máquina parece ser el objetivo de dicho ataque, y los atacantes consiguieron llegar a ella. Parece que todo fue un ataque planeado y puntual, ¿O quizá no? ¿Quieres revisar el fichero? ¿Eres del análisis forense o eres un usuario ofensivo?

¿Qué solución ha enviado Lucas? La enlazamos aquí para que puedas verla completamente, son 21 páginas llenas de descripción. Ciertamente, en el reto el participante no conocía a ciencia cierta qué buscaba, pero algo estaba claro, si el curso es de Metasploit, el reto estaba relacionado con algo de Metasploit, o varias cosas... 

En primer lugar Lucas muestra como se puede echar un ojo al archivo que acabamos de descargar, el archivo proof.evtx. 


El ganador nos explica en el documento que esta herramienta tiene 8 campos:

  • Type: el tipo de evento, que puede ser Information, Error, Warning 
  • Date: fecha del evento 
  • Time: Hora del evento 
  • Event: Id del evento 
  • Source: Fuente del evento 
  • Category: Sub-id del evento 
  • User: Usuario que genero el evento 
  • Computer: PC donde se generó el evento
Al convertir el archivo en XML se encontrarán más campos.


Los campos interesantes son: Param1, Param2 y Binary, es decir, lo que se encuentra dentro de EventData. Aplicando los filtros adecuados, por ejemplo con la aplicación Event Log Explorer, se pueden revisar los logs adecuados. Lucas recalca en el documento esto "Luego de analizar varios tipos de eventos, sin ningún tipo de resultado, decido buscar por ciertas cadenas de palabras, por ejemplo: cmd.exe, powershell.exe, meterpreter.exe, metsvc.exe. De esta forma llegamos a los indicios."

El primer indicio encontrado y reportado es este: 


Otro indicio es: 


Otro indicio es:


Otro indicio, muy curioso utilizando Powershell para ejecutar un, ¿Meterpreter?


Os dejamos el documento aquí colgado para que le echéis un ojo. Felicidades a Lucas por su solución. Nos vemos en el curso!

Curso

Documento

4 comentarios:

  1. Tan solo comentar que el enlace al documento apunta al curso. Muchas gracias.

    ResponderEliminar
  2. Sigue apuntando hacia el curso.... Slds

    ResponderEliminar
  3. Camilo, el link DOCUMENTO apunta aquí: http://www.mediafire.com/view/rxfx5jtsvntrxaw/Informe_Fluproject.pdf ;)

    Un saludo.

    ResponderEliminar