r3 Tecnico1

Respuesta al
Reto de Anlisis Forense
Informe Tcnico
Marzo de 2006
Germn Martn Boizas
Tabla de Contenidos
0.
INTRODUCCIN .................................................................................................... 1
1.
ENTORNO DE INVESTIGACIN........................................................................ 3
2.
PROCESO DE ANLISIS....................................................................................... 6
3.
CRONOGRAMA DE ACTIVIDADES................................................................. 20
DIAGRAMA TEMPORAL ....................................................................................... 35
3.1.
4.
ANLISIS DE ARTEFACTOS............................................................................. 38
5.
DIRECCIONES IP IMPLICADAS....................................................................... 40
6.
ALCANCE DE LA INTRUSIN .......................................................................... 42
7.
CONCLUSIONES................................................................................................... 44
CONCLUSIN 1................................................................................................... 44
CONCLUSIN 2................................................................................................... 45
CONCLUSIN 3................................................................................................... 45
CONCLUSIN 4................................................................................................... 46
CONCLUSIN 5................................................................................................... 46
CONCLUSIN 6................................................................................................... 46
CONCLUSIN 7................................................................................................... 47
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
8.
RECOMENDACIONES ........................................................................................ 48
9.
REFERENCIAS...................................................................................................... 50
10.
ANEXOS.............................................................................................................. 51
10.1.
10.2.
10.3.
MAILS ENVIADOS A JOHNATAN ...................................................................... 51

REPRODUCCIN DE LA SESIN CON MYSQL DEL ATACANTE ......................... 52
REPRODUCCIN DE LA SESIN WEBERP DEL ATACANTE ............................... 62
Informe tcnico
0. Introduccin
Este documento es el informe tcnico en respuesta al reto de anlisis forense
lanzado por UNAM-CERT y RedIRIS en colaboracin con otras empresas en
Febrero de 2006 a travs de su pgina web
http://www.seguridad.unam.mx/eventos/reto/
El objetivo del mismo es el anlisis de un sistema Windows 2003 previamente
atacado y comprometido. Para ello, como nica informacin, se proporciona una
imagen (o copia) de dicho sistema.
Antecedentes del incidente
Segn se facilita en las normas del reto, la nica informacin con respecto al
sistema a analizar es el siguiente:
El administrador de sistemas de una pequea empresa ha notado que existe una
cuenta que l no cre en su sistema de ERP, por lo que sospecha de algn
ingreso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicacin es un servidor Windows 2003, cuya
principal funcin era proporcionar acceso al sistema ERP a travs de la Web.
Hace poco tiempo que haban migrado al uso de este servidor.
Segn el administrador, trataba de mantener el sistema actualizado por lo que no
sabe cmo pudieron ingresar a su sistema. Sin embargo, tambin mencion que
ms de una persona tiene acceso a cuentas privilegiadas en el sistema y acept
que ocupaban a veces estas cuentas para labores no slo administrativas, sino
tambin personales o para aplicaciones que no requeran ningn tipo de
privilegio para ejecutarse.
Objetivos del reto
Segn las normas, los objetivos son determinar si existi o no un ingreso no
autorizado, cmo ocurri y el alcance del dao al sistema y a la informacin
contenida en l.
En el presente informe se intenta contestar a dichos objetivos, pero manteniendo
un orden tal que su contenido sea lo ms didctico posible. Asimismo, la
limitacin de mantener el informe a un mximo de 50 pginas obliga a realizar
una breve sntesis de todo el trabajo realizada. As pues, el esquema seguido
para contestar al reto consta de los siguientes apartados:
Entorno de Investigacin
El propsito de este captulo es detallar las herramientas empleadas en el
anlisis, as como la construccin del entorno de anlisis forense usado para la
investigacin.
Pg. 1
Informe tcnico
Proceso de anlisis
En este apartado se detalla de forma resumida la secuencia de actividades
llevada a cabo para la obtencin de las evidencias objeto del anlisis. Debido a
la limitacin de espacio, su exposicin es muy sinttica, puesto que relatar en
detalle todas y cada una de las acciones realizadas llevara aparejada mucha
ms informacin.
Cronologa de actividades
El objeto de este captulo es mostrar todas las actividades realizadas por el (los)
atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la
realizacin de la imagen del sistema, aadiendo en cada punto la evidencia que
lo sustenta. Asimismo, a continuacin, se muestra en forma de diagrama una
representacin en el tiempo de la intrusin. Se muestra as de un vistazo qu es
lo que hizo el atacante y cundo lo hizo.
Anlisis de artefactos
En este captulo se analizan todos los ficheros creados en el sistema como
consecuencia del ataque, indicando su objetivo y cualquier otro dato de inters
relativo a los mismos.
Direcciones IP implicadas
Se refleja aqu la informacin obtenida sobre las direcciones IP que de una u otra
manera se han visto implicadas en el incidente, incluyendo la de quien quienes
atacaron el sistema.
Alcance de la intrusin
En este apartado se resume hasta qu punto la intrusin afecto al sistema y a la
informacin en l alojada.
Conclusiones
Este apartado aglutina los principales puntos que se obtienen como consecuencia
del anlisis efectuado.
Recomendaciones
Finalmente, este apartado enumera algunas recomendaciones para solucionar la
actual situacin y para prevenir situaciones similares en el futuro.
Pg. 2
Informe tcnico
1. Entorno de investigacin
Herramientas empleadas
La imagen proporcionada ha sido analizada mediante una combinacin de las
siguientes herramientas:
The Sleuth Kit[1]
Conjunto de herramientas de anlisis forense de libre

distribucin.
Autopsy[2]
Interfaz grfico para The Sleuth Kit. Tambin de libre

distribucin.
VMWare Workstation[3]
Aplicacin comercial que permite emular mquinas

virtuales Intel x86.
EnCase Forensic Edition v 4.22[4]
Herramienta comercial especfica para el anlisis

forense de sistemas informticos.
Red Hat Linux[5]
Muchos de los comandos del sistema constituyen

verdaderas herramientas de anlisis forense.
Mount Image Pro[6]
Utilidad para montar en Windows los archivos de

imgenes, conservando la integridad de la imagen.
Utilidades de sysinternals.com [7]
www.sysinternals.com es una buena fuente de diversas

utilidades de Windows, muy tiles para el anlisis
forense, como Autoruns, Process Explorer, PsLogList
RootkitRevealer.
Utilidades de anlisis forense de

Foundstone[8]
www.foundstone.com proporciona tambin una lista de

herramientas tiles para el investigador, como pasco
galleta.
Panda Titanium 2006 Antivirus +

Antispyware.[9]
Programa antivirus.
CA eTrust PestPatrol 2005.[10]
Programa AntiSpyware
CA eTrust EZ-Antivirus 2005[10]
Programa antivirus
Proactive Password Auditor[11]
Herramienta de crackeo de passwords de Windows,

www.elcomsoft.com/ppa.html
Chntpw[12]
Editor offline de los passwords de Windows.
LADS[13]
Utilidad para la bsqueda de Alternate Data Stream.
Pg. 3
Informe tcnico
Microsoft Excel[14]
Empleado para consolidar las distintas fuentes de

informacin, y hacer filtros sobre la misma.
Google[15]
Buscador de informacin en la web.
Entorno de trabajo
Para facilitar el anlisis del sistema facilitado en forma de imagen, el entorno de
investigacin empleado est basado en emplear VMWare Workstation. En
primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la
imagen proporcionada es suficiente) y en l, tras determinar que la imagen
proporcionada es nicamente una particin y no un disco completo, creamos una
particin con exactamente- el mismo tamao que la imagen del reto. Finalmente,
copiamos con dd la imagen a esta particin recin creada. Con ello se obtiene
un disco virtual que contiene todos los datos del reto.
La ventaja de crear un disco as es que, configurando la mquina virtual de
vmware para acceder al mismo en modo no-persistente, podemos acceder al
mismo cuantas veces queramos despreocupndonos de la posibilidad de alterar
accidentalmente la evidencia proporcionada.
Con acceso a ese disco, creamos varios entornos de trabajo de vmware:
Entorno 1, con Windows XP, y una serie de herramientas de anlisis forense a
emplear, principalmente EnCase y diversas utilidades de sysinternals. Este
entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al
fichero de imagen original mediante un Shared folder. La ventaja del entorno
vmware as creado es que, aunque fusemos descuidados, ningn malware
podr abandonar el entorno.
Entorno 2, con Linux Red Hat, junto con una serie de herramientas de anlisis
forense a emplear, la principal de ellas Sleuthkit y Autopsy.
Entorno 3, en el que, tras verificar que el sistema original era un Windows
2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema
limpio que tuviera acceso al disco del reto, para poder de forma fcil
comparar el sistema analizado con respecto a uno estndar, y en el que
instalamos adems las distintas aplicaciones y hotfixes que fuimos identificando
en la imagen del reto al avanzar el anlisis (Apache, MySQL, etc)
Entorno 4, con un duplicado del reto arrancable. La imagen del reto no es
arrancable, puesto que es una particin y no tiene el sector de boot configurado.
As pues, decidimos configurar ese sector adecuadamente y crear un sistema
virtual que permite hacer anlisis dinmico del sistema. Evidentemente, es crtico
impedir el acceso a la red real de este sistema para evitar posibles infecciones.
Para facilitar dicho anlisis, creamos un CD-ROM con las herramientas de
anlisis en Windows.
El esquema siguiente resume los sistemas virtuales creados:
Pg. 4
Informe tcnico
Entorno 2
Entorno 1
Windows 2003 +
Herramientas
Anlisis Forense
Reto III
(no persistente)
Entorno 3
Linux Red Hat +

Herramientas
Anlisis Forense
Entorno 4
Shared
Folders
Windows 2003
Server SP1
Limpio
Reto III
Bootable
CD-ROM con
Herramientas
Anlisis
Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido
necesario realizar algn cambio) son montados como no persistentes para
evitar cualquier posibilidad de contaminacin de datos.
Para compartir informacin con el sistema host (el PC real sobre el que se
ejecuta vmware), se emplea cuando es necesario los directorios compartidos
(Shared Folders) de vmware.
Pg. 5
Informe tcnico
2. Proceso de anlisis
De forma resumida, el proceso empleado en el anlisis del sistema comprometido
ha sido el siguiente:
Descarga de la imagen y chequeo de integridad.
En esta fase, se descarga la imagen del sistema a travs de Internet y se verifica
el checksum md5 facilitado para ella, garantizando as la integridad de la
evidencia.
Identificacin del tipo de evidencia.
A continuacin, se procede a identificar el tipo de imagen recibido. es un
disco? una particin del mismo? algn otro tipo de imagen?. Simplemente
mirando los primeros bytes con un editor hexadecimal puede verse que
corresponde a la cabecera de un sistema de ficheros NTFS. (v.
http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e4164-862d-dac5418c59481033.mspx ).
Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus
caractersticas:
MIP VIEW:
10233342 Sectors (4996 MB) NTFS
El siguiente paso es averiguar a qu sistema operativo pertenece. Tanto con

Mount Image, como creando un nuevo caso en EnCase1 Autopsy e importando
la imagen como particin NTFS, o simplemente montando la particin en Linux
podemos acceder al sistema de ficheros. Por ejemplo, en Autopsy:
EnCase es una herramienta muy potente, que permite obtener sta y mucha otra informacin, sin ms que
cargar la evidencia y ejecutar el script de Initialize Case. Sin embargo, dado el carcter didctico del reto
forense, y el carcter comercial de EnCase, creo importante entrar en el detalle de cmo obtener la
informacin a travs de otras herramientas ms accesibles al pblico en general.
Pg. 6
Informe tcnico
Una vez con el mismo, podemos acceder al registry accediendo a los ficheros
bajo \Windows\System32\Config. Una vez ah, podemos confirmar la versin
de sistema operativo:
HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: Microsoft Windows
Server 2003 R2
HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: Service Pack 1.
Configuracin del entorno de trabajo

Configuracin del entorno de investigacin, y por tanto de los distintos sistemas
virtuales tal y como se describe en el captulo anterior. El principal problema fue
la creacin del sistema arrancable del reto. Inicialmente, pareca que sera
suficiente con copiar el sector de boot de un sistema Windows 2003 SP1 limpio.
Sin embargo, tras hacer esto, el sistema no arranca correctamente y se produce
un error STOP: 0x0000007B (bluescreen). La causa final de este error es la
inexistencia en el sistema de los drivers necesarios para reconocer correctamente
el disco, puesto que el hardware asociado al sistema ha cambiado. La solucin
es copiar al directorio Windows\System32\Drivers algunos drivers y realizar
alguna modificacin en el registro, tal y como se describe en
http://support.microsoft.com/?kbid=314082. Para hacer estas modificaciones
montamos el disco virtual del reto con capacidades de escritura en nuestro
entorno de investigacin.
Con esto, el sistema ya arranca perfectamente. Sin embargo, an no podemos
entrar en l: no conocemos la password de ninguna cuenta. Llegados a este
punto, hay bsicamente dos opciones:
a) Averiguar los usuarios y passwords del sistema con alguna herramienta de
cracking tipo l0phtcrack.
b) Modificar la password de administrador a alguna conocida por nosotros.
En nuestro caso, y por el factor tiempo, nos inclinamos por esta ltima opcin
empleando el programa chntpw [12], un editor offline disponible en
http://home.eunet.no/pnordah/ntpasswd/:
As, finalmente podemos entrar en el sistema. Una de las primeras cosas que
llama la atencin es que el sistema tiene una licencia de Windows de
Pg. 7
Informe tcnico
evaluacin, y a falta de 4 das para expirar:
Determinacin del huso horario

Antes de analizar cualquier otro detalle de la evidencia, es necesario establecer
cul va a ser nuestra referencia temporal, puesto que la mayora de los datos
estarn referenciados al sistema local. La informacin del timezone, podemos
obtenerla de:
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName:
Pacific Standard Time
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName:
Pacific Daylight Time
Alternativamente, dado que ya tenemos un sistema arrancable, es ms sencillo

mirar directamente en el interfaz grfico de Windows:
Es importante sealar, que, aunque en este instante lo desconocamos, el sistema

fue inicialmente configurado con la hora de Alaska, y no fue hasta el da 2 de
Febrero cuando se cambi a la hora estndar PST. Este dato se obtiene del
Pg. 8
Informe tcnico
System Event Log:
25/01/2006 22:57:40
02/02/2006 12:59:57
Time;
; ; ; ; 3249; 60; 540 Alaskan Standard Time;

; ; ; ; 428323; 60; 480 Pacific Standard
Adems, hay que considerar que, hasta el momento de la instalacin en el que el

administrador fija este dato, el sistema por defecto se inicia con zona GMT. Estos
cambios han de ser tenidos en cuenta a la hora de establecer el cronograma de
actividades correctamente.
Sofware Instalado
El siguiente paso consisti en determinar el software instalado en el sistema. Para
ello, hicimos las comprobaciones pertinentes tanto en nuestro sistema online,
como analizando offline el sistema de ficheros y las entradas del registry
pertinentes, tales como:
HKLM\SOFTWARE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
As pues, la lista del software instalado en el sistema es la siguiente:
Apache HTTP Server 1.3.34
Mozilla Firefox (1.5.0.1)
MSN Messenger 7.5
MySQL Administrator 1.1
MySQL Server 4.1
PHP 4.4.2
PostgreSQL 8.1
Hotfixes KB896422, KB896424, KB896428, KB896358,

KB896727,
KB899587,
KB899589,
KB901017,
Pg. 9
Informe tcnico
KB901214,
KB902400,
KB903235,
KB908519, KB890046 y KB896688.
KB905414,
WebERP
v3.04,
instalado
en
el
directorio
C:\apache\Apache\htdocs\web-erp, es un paquete opensource para la gestin de negocio (ERP) y disponible en
www.weberp.org.
Software de seguridad para el uso del administrador en

C:\Documents
&
Settings\Administrator\My
Documents\Sof7w4r3:
CurrPorts v.1.07 [17], una utilidad para listar los

puertos TCP y UDP abiertos en el sistema, disponible
en http://www.nirsoft.net/utils/cports.html.
TCPView
2.40,
una
utilidad
de
www.sysinternals.com con el mismo propsito que
la anterior.
GFI LANguard Network Security Scanner v6.0 [18],

que aunque presente no lleg a instalarse en el
sistema.
Obtencin de la lista preliminar de ficheros e identificacin de

ficheros relevantes.
A continuacin, es el momento de extraer una lista de todos los ficheros del
sistema, sus tiempos de creacin, acceso y modificacin, listar los ficheros
borrados e intentar recuperar aquello que sea posible. En esta tarea, es evidente
que EnCase hace un trabajo excelente. Alternativamente puede emplearse
Autopsy ntfsflst.exe, una herramienta de NTI para listar esta informacin de un
sistema de ficheros NTFS.
Adicionalmente, resulta muy importante identificar cuanto antes aquellos ficheros
que pertenecen a un sistema operativo normal, y que por lo tanto no tienen
especial inters para el investigador. Para ello, se generan los hashes MD5 de
todo fichero en el sistema y se comparan con alguna lista de ficheros conocidos.
En nuestro caso empleamos la lista de la Nacional Software Reference
Library[19], descargable desde http://www.nsrl.nist.gov en cuatro imgenes de
CDs.
Sin embargo, an as, el nmero de ficheros identificados no fue numeroso, por
lo que decidimos instalar todas las aplicaciones anteriormente listadas en nuestro
sistema Windows limpio (Entorno 3) para generar un checksum de todos los
ficheros y poder comparar.
As, de las 19.617 entradas de EnCase (sin contar elementos del registry), que
incluyen ficheros recuperados, 13.857 fueron identificados como pertenecientes
a alguno de los paquetes software anteriormente mencionados, el ms relevante,
claro, Windows 2003 Server.
Con ello estamos ya en condiciones de obtener un cronograma bsico desde el
punto de vista de sistema de ficheros sobre el que investigar.
Pg. 10
Informe tcnico
Identificacin de cuentas de usuario

Para el correcto anlisis de los ficheros, es imprescindible correlar sus accesos
con las cuentas de usuario existentes. Obtenerlas es tarea sencilla a partir de la
SAM de forma offline, como tambin directamente analizando nuestro sistema en
caliente:
Por ambos mtodos (puesto que en este caso no hay ningn rootkit o similar que
distorsione esta informacin) obtenemos la misma tabla de usuarios:
User name
Description
SUPPORT_388945a0
Full Name: CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description: This is a vendor's account for
the Help and Support Service Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-15-21-278011715
Johnatan
Full Name: Johnatan Tezcatlipoca Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1006 Logon Script: Profile Path: Last Logon:
02/05/06
ernesto
Full Name: Ernesto Snchez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1007 Logon Script: Profile Path: Last Logon:
Unknown Date:
amado
Full Name: Amado Carrillo Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Unknown Date:
maick
Full Name: Gabriel Torres Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
02/04/06 03:11:0
lalo
Full Name: Eduardo Hernndez Account Description: Home Drive Letter: Home Directory: Primary Group Number:
Unknown Date
moni
Full Name: Monica Islas Account Description: Home Drive Letter: Home Directory:
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1011 Logon Script:
Unknown Date:
maru
Full Name: Maria Guadalupe Ramos Account Description: Home Drive Letter: Home Directory: Primary Group Number:
01/26/06
Primary Group Number: 513

Profile Path: Last Logon:
Pg. 11
Informe tcnico
mirna
Full Name: Mirna Casillas Account Description: Home Drive Letter: Home Directory:
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1013 Logon Script:
Unknown Date:
Primary Group Number: 513

Profile Path: Last Logon:
katy
Full Name: Katalina Rodriguez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Unknown Dat
caracheo
Full Name: Jorge Caracheo Mota Account Description: Home Drive Letter: Home Directory: Primary Group Number:
Unknown Da
ovejas
Full Name: Eduardo Roldn Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Unknown Date:
reno
Full Name: Israel Robledo Gonzles Account Description: Home Drive Letter: Home Directory: Primary Group Number:
02/03/0
pili
Full Name: Elizabet Herrera Zamora Account Description: Home Drive Letter: Home Directory: Primary Group Number:
Unknow
zamorano
Full Name: Rolando Zamorategui Account Description: Home Drive Letter: Home Directory: Primary Group Number:
Unknown Da
mpenelope
Full Name: Mari Carmen Penelope Account Description: Home Drive Letter: Home Directory: Primary Group Number:
Unknown D
postgres
Full Name: postgres Account Description: PostgreSQL service account Home Drive Letter: Home Directory: Primary
Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1023 Logon Script: Profile Path:
Last Logon:
ver0k
Full Name:
Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier:
S-1-5-21-2780117151-1340924567-2512508698-1024 Logon Script: Profile Path: Last Logon: 02/05/06 09:47:21
Unknown Date
Administrator
Full Name:
Account Description: Built-in account for administering the computer/domain Home Drive Letter: Home
Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-500 Logon
Script: Profile Pat
Aunque todas las cuentas de usuario estn dentro del grupo Administrators,
inmediatamente llama la atencin una cuenta sobre las dems: ver0k, por dos
motivos: es la nica sin nombre completo asociado y tiene el caracterstico
cambio de una vocal por nmeros, tan popular en la comunidad hacker. En este
punto lanzamos tambin la recuperacin/crackeo de passwords mediante la
herramienta Proactive Password Auditor, que permiti recuperar (entre otras) la
password de ver0k: password.
Bsqueda de malware
El siguiente paso en la investigacin, consisti en la bsqueda sistemtica de
malware, esto es virii, herramientas de hacking, rootkits y dems.
Para ello, empleamos la siguientes tcnicas:
a) Ejecucin de herramientas antivirus y antispyware. En nuestro caso,
analizamos el sistema de ficheros con las siguientes herramientas, con las
firmas debidamente actualizadas a febrero de 2006:
Panda Titanium 2006 Antivirus + Antispyware.
CA eTrust EZ-Antivirus 2005.
CA eTrust PestPatrol 2005.
El resultado de la ejecucin de las mismas, fue la deteccin de una serie

de cookies consideradas espas, pero no la aparicin de algn fichero
realmente daino.
b) Ejecucin de herramientas anti-rootkit. En concreto, empleamos
RootkitRevealer una herramienta disponible en www.sysinternals.com .
Pg. 12
Informe tcnico
Tampoco fue capaz de identificar ningn tipo de rootkit a nivel de kernel.
c)
Obtencin y revisin de la lista de servicios y programas auto-arrancables en

el inicio del sistema. Esta revisin puede hacerse a mano, pero es ms
sencillo emplear una herramienta especfica para ello, como es Autorun [7]:
d) Bsqueda de Alternate Data Streams, una facilidad de Windows que suele

emplearse para almacenar informacin de forma escondida a un usuario.
Para ello, empleamos la herramienta LADS [13]:
LADS - Freeware version 4.00
(C) Copyright 1998-2004 Frank Heyne Software
(http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!
Scanning directory C:\ with subdirectories
size ADS in file
---------- --------------------------------0 C:\Documents and Settings\Johnatan\My
Documents\imagenes\Thumbs.db:encryptable
Pg. 13
Informe tcnico
0 bytes in 1 ADS listed
Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el

sistema operativo Windows (ver http://www.accessdata.com/media/en_US/
print/papers/wp.Thumbs_DB_Files.en_us.pdf ).
e) Anlisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto
que tenemos las herramientas cports y TCPView ya accesibles, las
empleamos despus de comprobar mediante hash que no han sido alteradas.
Enseguida nos llama la atencin que el puerto TCP 3389 est accesible. Este
puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y
permite el acceso remoto al sistema. Comprobamos que efectivamente, est as
configurado, a pesar de que no se activa por defecto en la instalacin
(posteriormente determinamos que fue el atacante el que activ este servicio):
Pg. 14
Informe tcnico
f)
Anlisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad
sigcheck de sysinternals. Su ejecucin determina si hay programas no
firmados digitalmente que pudieran corresponder a algn malware. Sin
embargo, tampoco encuentra informacin significativa:
A:> sigcheck -u -e c:\windows\system32
Sigcheck v1.3
Copyright (C) 2004-2006 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\windows\system32\sirenacm.dll:
Verified:
Unsigned
File date:
12:11 a.m. 13/10/2005
Publisher:
Microsoft Corp.
Description:
MSN Messenger Audio Codec
Product:
MSN Messenger Audio Codec
Version:
7.5.0311.0
File version: 7.5.0311.0
C:\windows\system32\UNWISE.EXE:
Verified:
Unsigned
File date:
10:55 a.m. 25/06/1999
Publisher:
n/a
Description:
n/a
Product:
n/a
Version:
n/a
File version: n/a
Se comprueba a travs de google que ambos ficheros no son maliciosos. Por

ejemplo, ver
http://research.pestpatrol.com/Search/FileInfoResults.asp?PVT=203306186
Anlisis de la sesin de MSN Messenger

En un momento del anlisis, se determin que el atacante estableci una sesin
de MSN Messenger y fue necesario analizarla. Para ello, encontramos una serie
de ficheros temporales bajo C:\Documents and Settings\ver0k\Application
Data\Microsoft\MSN Messenger\3817870080, donde este ltimo nmero es el
UserID generado a partir del nombre del usuario. Investigando en la web [21],
se averigua que este userID se genera de la siguiente forma:
int getUserId(LPTSTR user)
{
unsigned int x = 0;
for (int i = 0; i < strlen(user); i++) {
x = x * 101;
x = x + towlower(user[i]);
}
return x;
}
As pues, aunque no es posible obtener el nombre de usuario a partir del UserID,

s es posible comprobar si una determinada direccin de correo genera ese
mismo UserID; en consecuencia, obtuvimos del disco todas las direcciones de
correo con ayua de un script de EnCase (ms de 20.000 vlidas) y procedimos
a hacer un programa para generar el UserID de todos los casos. Para uno de
ellos tuvimos un match: h4ckIII@hotmail.com, lo que unido al nombre tan
sospechoso utilizado- nos confirma que fue sta la cuenta empleada por el
atacante. Ello se confirma adems por el hecho de encontrar en el fichero
Pg. 15
Informe tcnico
C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada:
Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com
Buscando la cadena h4ckIII en el disco se obtiene del fichero pagefile.sys una
gran cantidad de informacin sobre la sesin de Messenger, comenzando por:
INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0
To: <msnmsgr:h4ckiii-2@hotmail.com>
(lo que indica que el destino de la comunicacin fue el usuario h4ckiii2@hotmail.com) y siguiendo con toda la sesin, con intercambios tipo:
MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0
To: <msnmsgr:h4ckiii-2@hotmail.com>
From: <msnmsgr:h4ckIII@hotmail.com>
Via: MSNSLP/1.0/TLP ;branch={6A2ADFE7-7AA9-4B77-9752-5A8033E6B0EB}
CSeq: 0
Call-ID: {93B356C3-6109-4C3E-9D4F-DF9EB0D5DF07}
Max-Forwards: 0
Content-Type: application/x-msnmsgr-sessionreqbody
Content-Length: 329
Lo que permite reconstruir la sesin completa de Messenger. Anlogamente,

pueden buscarse las cadenas MSNMSGR: y/o MSNSLP.
Consolidacin de otras fuentes de informacin

Adems de los distintos tiempos de cada fichero, existen otras muchas fuentes de
informacin en el sistema con fecha y hora asociada, que hay que considerar:
a) Event logs, en sus tres grupos de System, Security y Applications. En
concreto, el log de Security proporciona una gran cantidad de informacin,
por cuanto el sistema de auditora de Windows est configurado para
registrar la mxima cantidad de informacin, como por ejemplo la creacin
y fin de cualquier proceso en el sistema, el logon y logout de un usuario, etc:
Los event logs pueden analizarse ms fcilmente si, en lugar de acceder a los
Pg. 16
Informe tcnico
mismos con las herramientas de Windows se descargan a un fichero en formato
texto. EnCase lo hace automticamente, aunque tambin puede emplearse para
esa tarea la utilidad dumpel del NT Resource Kit, PsLogList de sysinternals.
b) Los logs del servidor web Apache, tanto de acceso como de error, bajo
C:\apache\Apache\logs.
c)
Los logs de la base de datos MySQL, counters.log y counters.err, bajo

C:\apache\Apache\mysql\data\, accesibles tambin mediante el interfaz
de usuario, a la que podemos conectarnos sin problemas, pues no tiene una
password de acceso:
d) Los
ficheros
de
log
de
PostgreSQL,
bajo
C:\Program
Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos
que slo existen entradas de dos tipos:
Arranque / parada
Autovacuum (limpieza) de la base de datos, lo que es algo normal

(v.http://www.postgresql.org/docs/current/static/maintenance.html
#ROUTINE-VACUUMING )
La conexin a PostgreSQL con psql como con pgadmin inicialmente no es

posible, puesto que es necesario un password que desconocemos. Sin
embargo, en el directorio C:\Documents and Settings\Administrator\My
Documents\Sof7w4r3\postgresql-8.1.0-2 encontramos el log de instalacin
(postgresql-8.1.log) que contiene, entre otras cosas, la password de
administracin: SERVICEPASSWORD = p0stgr3ssql. Con ella, podemos
acceder al interfaz de usuario, en la que vemos que existe una nica base de
datos, postgres, en la que no hay creada ninguna tabla.
En consecuencia, podemos en principio ignorar la actividad de PostgreSQL.
Pg. 17
Informe tcnico
e) Los ficheros index.dat de los distintos usuarios, que proporcionan

informacin muy til sobre el acceso a determinadas URLs, el uso de cookies
y la fecha de todo ello. Estos ficheros no estn en formato texto, pero EnCase
proporciona de forma muy sencilla esta informacin, que puede tambin
extraerse empleando una herramienta como pasco, una utilidad gratuita
descargable desde www.foundstone.com.
Todas estas fuentes de informacin, junto con el primer cronograma de tiempos
de los ficheros y otro similar incluyendo los tiempos de creacin de las entradas
del registry, fue puesta en un formato de fecha y hora comn y consolidada en
un nico fichero Excel. La ventaja de un Excel as, es la facilidad de determinar
la actividad del sistema en un determinado momento.
A modo de ejemplo, en la figura podemos ver la informacin obtenida para el 5
de Febrero a partir de las 12:44:
Pg. 18
Informe tcnico
Siguientes pasos
A partir de aqu, el trabajo se vuelve bastante manual. Es evidente que hay
mucha actividad y cambios en el sistema que son normales y no corresponden a
actividad de ataque alguna, como instalacin del sistema, escritura en ficheros
de log, acceso normal a WebERP, etc... que aade mucho ruido a las evidencias
recogidas. Resulta muy complicado detallar todas y cada una de las actividades
realizadas, incluyendo bastantes bsquedas de palabras clave dentro de todo el
disco.
Simplemente sealar que nuestro siguiente punto de investigacin fue comprobar
cmo y cundo se cre la cuenta ver0k y a partir de ah ir desenredando la
madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se
expone en los siguientes captulos.
Finalmente, indicar que, como siempre, una de las mayores herramientas de
ayuda a cualquier anlisis forense es Google, http://www.google.com .
Pg. 19
Informe tcnico
3. Cronograma de actividades
A continuacin se presenta, en forma de tabla, un sumario del cronograma de
las actividades ms destacables detectadas en el sistema, junto con la evidencia
asociada. Para el anlisis temporal hemos intentado siempre corroborar
cualquier hiptesis desde varias fuentes, si bien en esta tabla y por razones de
espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las
horas estn referidas al huso horario del Pacfico (PST, GMT-8) aunque la
evidencia en ocasiones est asociada a GMT Alaska (GMT-9), como ya hemos
comentado.
Fecha y Hora
Evento
25-ene-06 23:56:44 PST
Se instala el sistema operativo
Evidencias asociadas:
26-ene-06 08:27:21
Entrada del registry HKLM\Software\Microsoft\Windows\CurrentVersion\InstallDate: 0x43d872ac => 26 Ene 06

07:56:44 UTC => 23:56:44 PST
Se pone el nombre de la mquina COUNTERS: SYS Event Log 25/Jan/2006 22:26:03 MACHINENAME; COUNTERS;
System Event Log: 25/01/2006 22:57:36 winlogon.exe; COUNTERS; Operating System: Upgrade (Planned);
0x80020003; restart; Windows setup has completed, and the computer must restart.; NT AUTHORITY\SYSTEM;
System Event Log: 25/01/2006 22:57:40 ; ; ; ; 3249; 60; 540 Alaskan Standard Time; (Permanecer el sistema con
este huso horario hasta el 2 de Febrero)
MySQL preparado para conexiones.
Evidencias asociadas: MySQL Error Log

26-ene-06 12:37:19
26/01/2006
7:27:21 C:\apache\Apache\mysql\bin\mysqld-nt: ready for connections.
Se ha instalado con una versin de evaluacin de Windows Server, y sin

embargo no se ha activado. Quedan 14 das para hacerlo.
Evidencias asociadas: Application Event Log: 26/01/2006 11:37:19 Windows Product Activation
26-ene-06 14:53:23
a 15:04:33
Instalacin de los hotfixes
Evidencias asociadas: System Event Log
26/01/2006 13:53:23
System Event Log
26/01/2006 14:04:33
COUNTERS\Administrator;
26-ene-06 18:00
Warning 14;
NtServicePack
Explorer.EXE; COUNTERS; Security issue; 0x84050013; restart; ;
Instalacin del servidor Web Apache.
Evidencias asociadas: Tiempo de creacin de los directorios C:\apache, y los directorios bin, lib, conf, etc.. bajo C:\apache\Apache
26-ene-06 18:39
Instalacin de MySQL
Evidencias asociadas: Tiempo de creacin de los directorios bin, lib, etc.. bajo C:\apache\Apache\mysql.
26-ene-06 18:47
Instalacin de WebERP
Evidencias asociadas: Tiempo de creacin del directorio C:\apache\Apache\htdocs\web-erp

29-ene-06 18:01
Se hace una primera prueba externa de seguridad del servidor web, que deja
una curiosa entrada en el log:
Evidencias asociadas: Apache error log:
Sun Jan 29 17:01:43 134.186.42.18

RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFi
30-ene-06 18:28:30
a 18:31:43
client sent HTTP/1.1 request without hostname (see

(v. http://isc.sans.org/diary.php?storyid=900)
Escaneo de vulnerabilidades del servidor apache desde la direccin IP

192.168.100.144 (dentro pues de la red privada) con la herramienta nikto
Pg. 20
Informe tcnico
[22] (ver http://www.cirt.net/code/nikto.shtml )

Evidencias asociadas: Entradas en el Apache error log:
Mon Jan 30 17:28:30 [error] 192.168.100.144

d3ng4mwwxva0fqq8.htm
Mon Jan 30 17:28:30 [error] 192.168.100.144
Y varios cientos ms
30-ene-06 18:28:34
File does not exist: c:/apache/apache/htdocs/nikto-1.35File does not exist: c:/apache/apache/htdocs/cgi.cgi/
Intento de ataque singular desde 132.248.124.144, buscando un problema

conocido con cgi-bin/excite, sin consecuencias.
Evidencias asociadas: Apache error log
Mon Jan 30
17:28:34 132.248.124.144 request failed: erroneous characters after
protocol string: GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\";
1-feb-06 18:53:00
a 18:53:45
Otro escaneo con nikto, esta vez desde 192.168.5.32
Evidencias asociadas: Apache error log:
Wed Feb 01 17:53:03 192.168.5.32 File does not exist: c:/apache/apache/htdocs/nikto-1.35-hrzububfwsfi.htm

Wed Feb 01 17:53:45 192.168.5.32 (2)No such file or directory: script not found or unable to stat:
c:/apache/apache/cgi-bin/where.pl
2-feb-06 12:59:57
Se pone como nuevo timezone la hora estndar del Pacfico (PST)
Evidencias asociadas: System EventLog:

2-feb-06 18:34:18
a 18:45:35
02/02/2006 12:59:57
; ; ; ; 428323; 60; 480 Pacific Standard Time;
El usuario reno copia 514 ficheros bajo C:\Documents and Settings en los
directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones
Powerpoint, PDFs e imgenes pornogrficas en formato jpg.
Evidencias asociadas: Security Event Log: Account Used for Logon by reno 02/02/2006 18:34:18
Tiempo de creacin de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el nico que
tiene todos los permisos):
File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Sti_Trace.log
File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Start
Menu\Programs\Accessories\Accessibility\Utility Manager.lnk
File Creation 02/02/2006 18:45:35 C:Documents and Settings\Johnatan\My

Documents\imagenes\overlay_2_2005112211034.jpg
En total, se copian 173.079.187 bytes en 11 minutos y 17 segundos, lo que nos permite deducir que la velocidad de
conexin para la copia fue de 2Mbits.
4-feb-06 14:04:43
a 14:26:54
Escaneo de vulnerabilidades del servidor web desde 84.18.17.15. En esta

ocasin si que parece un ataque real, por cuanto es una IP externa y no se usa
nikto.
Sat Feb 04
14:04:43 84.18.17.15
Apache error log

Sat Feb 04
14:26:54 84.18.17.15
c:/apache/apache/htdocs/scripts/comments.php
4-feb-06 14:19:14
a 14:19:19
Invalid method in request
\\x80.\\x01
File does not exist:
En paralelo, otro ataque tipo denegacin de servicio desde 4.18.17.15.
Sat Feb 04
14:19:14 4.18.17.15
(38)Filename too long: Possible DoS attempt?
Path=c:/apache/apache/htdocs///////////////////////////
(unas 300 lneas iguales)
Sat Feb 04
14:19:19 4.18.17.15
4-feb-06 14:45:44
a 14:47:07
Instalacin de PostgreSQL.
Evidencias asociadas: File Access
04/02/2006 14:45:44
C\Program Files\PostgreSQL\8.1\bin\libpq.dll
File Access
04/02/2006 14:45:45
C\Program Files\PostgreSQL\8.1\bin\initdb.exe
Sec Event Log

04/02/2006 14:46:23
User Account Created -- New Account Name - postgres; New
Domain - COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1023}; Caller User
Pg. 21
Informe tcnico
Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres;
App Event Log
04/02/2006 14:47:07
MsiInstaller
4-ene-06 14:47:30
El administrador crea el directorio C:\Documents and

settings\Administrator\Sof7w4r3...
Evidencias asociadas: File Creation

4-ene-06 14:59:43
Sof7w4r3 14:47:30
y copia dentro los ficheros y copia dentro los ficheros Tcpview.exe,

languardnss6.exe y cports.exe.
Evidencias asociadas: Tiempo de creacin de los ficheros.

4-ene-06 15:01:32
a 15:03:42
Tambin genera todos los ficheros bajo C\Documents and

Settings\Administrator\My Documents\My Videos, y en general todos los ficheros
bajo My Documents, lo que incluye imgenes, animaciones flash y ficheros excel
(117 ficheros)
Evidencias asociadas: Tiempo de creacin de los ficheros:

File Creation
File Creation
4-feb-06 15:28:25
15:01:32
Lista1.xls
15:03:42
El administrador genera el directorio Crea el directorio C:\Documents and

Settings\Administrator\My Documents\update que contiene algunos hotfixes a
instalar.
Evidencias asociadas: File Creation

File
File
File
File
File
File
5-feb-06 12:11:13
arbitrogay.wmv
Creation
Creation
Creation
Creation
Creation
Creation
updates 15:28:25
Blaster Windows2000-KB823980-x86-ESN.exe
15:28:25
Buffer Overrun Windows2000-KB824146-x86-ESN.exe
15:28:26
Netbios Windows2000-KB824105-x86-ESN.exe
15:28:27
w2k ntdll iis.EXE
15:28:27
Windows2000-KB828741-x86-ESN.EXE 15:28:27
Windows2000-KB835732-x86-ESN.EXE 15:28:32
Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta
conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada,
mediante la cual tiene previsto conseguir acceso al sistema.
Evidencias asociadas: Del disco, en zonas no asignadas a ningn fichero, se ha recuperado el siguiente e-mail:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
jonathan.tezca@yahoo.com
Urgente!!
Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Johnny:
Por favor baja el catalogo que esta en
http://70.107.249.150/clientes.wmf
Alberto Lopez
Director General
Electronica y Computacion S.A. de C.V.
Se trata de un correo tipo phishing en el que intenta engaar a Johnatan, hacindose pasar por alguien por l conocido
(Alberto Lpez) para darle confianza.
5-feb-06 12:23:09
El usuario Johnatan hace login en el sistema. Es particularmente importante porque

es este usuario y en esta sesin el que va a sufrir el ataque.
Evidencias asociadas: Security Event Log
05/02/2006 12:23:09
Successful Logon -- Username - Johnatan; Domain - COUNTERS;
Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package
- Negotiate; Workstation - COUNTERS; - -;
Pg. 22
Informe tcnico
5-feb-06 12:23:49
Johnatan arranca el Internet Explorer. (con Process ID 3128)
05/02/2006 12:23:49
New Process Has Been Created -- New Process ID - 3128; Image
File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan;
Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:26:46
Johnatan se conecta a mail.yahoo.com. para leer su correo.
Evidencias asociadas: De Documents and Settings\Johnatan\Local Settings\History\History.IE5\index.dat::

05/02/2006 12:26:46
5-feb-06 12:28:11
Link :2006020520060206: Johnatan@http://mail.yahoo.com
..Intenta hacer login en mail.yahoo.com...

05/02/2006 12:28:11
5-feb-06 12:28:49
Link Visited: Johnatan@https://login.yahoo.com/config/login?
...y lo consigue.
05/02/2006 12:28:49
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=73875
5-feb-06 12:40:36
Primer intento de ataque. Johnatan accede al correo anteriormente mostrado
Evidencias asociadas: .index.dat :
05/02/2006 12:40:36
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=4224_0_22_1148_155_0_2_1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE
X6EcqA
5-feb-06 12:41:30
Primer intento de ataque. Johnatan ha cado en la trampa y accede a

http://70.107.249.150/clientes.wmf. Sin embargo, el exploit falla y no hay
consecuencias aparentes.
Evidencias asociadas: index.dat 05/02/2006 12:41:30

5-feb-06 12:42:47
Link Visited: Johnatan@http://70.107.249.150/clientes.wmf
El atacante reacciona viendo que la cosa no ha funcionado, e inmediatamente

construye y enva un nuevo e-mail, intentando explicar el fallo y que Johnatan lo
intente de nuevo.
Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary
Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de
creacin del mismo:
De:
alopez@eycsa.com.mx
Para:
Asunto: Urgente!! (correccion)
Fecha:
Sun, 5 Feb 2006 14:42:47 -0600 (CST)
Johnny:
Esta es la liga correcta,
http://70.107.249.150:8080/clientes.wmf
Alberto Lopez
Director General
Ntese cmo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http.
5-feb-06 12:43:44
Johnatan abre el correo con el nuevo mensaje
Evidencias asociadas: index.dat:
05/02/2006 12:43:44
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp
kyR
Pg. 23
Informe tcnico
Tiempo de creacin del fichero temporal CAU1CDC1.htm antes mencionado.
5-feb-06 12:43:50
Intenta abrir el nuevo link a clientes.wmf; Internet explorer advierte a Johnatan

de que el contenido ha sido bloqueado. Pero ste ignora la advertencia y sigue
adelante

5-feb-06 12:44:10
05/02/2006 12:43:50
Se accede realmente a http://70.107.249.150:8080/clientes.wmf y

5-feb-06 12:44:11
Windows XP Pop-up Blocked.wav
Link Visited: Johnatan@http://70.107.249.150:8080/clientes.wmf
EXPLOIT!!! El atacante arranca un intrprete de comandos en el sistema

accesible desde el exterior. Adems, como Johnatan pertenece al grupo
Administrators, con privilegios de Administrador.
Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan)
Iexplorer index.dat 05/02/2006 12:44:11

Link Visited:
Johnatan@http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6
do1Z/e9zhOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff
Sec Event Log
05/02/2006 12:44:11
New Process Has Been Created -- New Process ID - 884; Image File
Name - C:\WINDOWS\system32\rundll32.exe; Creator Process ID Domain - 3128; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 12:44:12
File Name - C:\WINDOWS\system32\cmd.exe; Creator Process ID Domain - 884; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
La vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yest descrita en el boletn :
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
El exploit empleado es uno disponible dentro del Framework de Metasploit [23]
http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile
El cual aprovecha un bug en la function Escape para ejecutar cdigo arbitrario a travs del procedimiento SetAbortProc
de la librera GDI. Adems, el exploit genera una URL random y un fichero .tif tambin random que contiene el exploit,
para evitar las firmas de los IDS.
El empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder
al stream WMF:
http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9z
hOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff
Y por la existencia de dicho fichero .tif entre los que son recuperables dentro de los ficheros temporales de Internet. En
concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet
Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff.
Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre s, y
en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares.
5-feb-06 12:45:30
El atacante aade la cuenta ver0k, con 'net user ver0k password /ADD'.
Evidencias asociadas: El password empleado es precisamente password, averiguado al crackear las cuentas con Proactive Password Auditor.
Ntese que el Creator Process ID es 3376, correspondiente al proceso cmd.exe.

Security Event Log:
05/02/2006 12:45:30
New Process Has Been Created -- New Process ID - 2988; Image File Name C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS;
Logon ID - (0x0,0x3DF69A);
05/02/2006 12:45:30
New Process Has Been Created -- New Process ID - 3700; Image File Name C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2988; Username - Johnatan; Domain - COUNTERS;
05/02/2006 12:45:30
User Account Created -- New Account Name - ver0k; New Domain COUNTERS; New Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); Privileges - -; - ver0k;
05/02/2006 12:45:30
User Account Password Set -- Target Account Name - ver0k; Target Domain COUNTERS; Target Account ID - %{S-1-5-21-2780117151-1340924567-2512508698-1024}; Caller User Name Johnatan; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x3DF69A); - -;
Pg. 24
Informe tcnico
5-feb-06 12:45:53
Luego aade la cuenta ver0k al grupo Administrators, con el comando 'net group
"Administrators" ver0k /ADD '
Evidencias asociadas: Security Event Log:
05/02/2006 12:45:53
New Process Has Been Created -- New Process ID - 2744; Image File Name C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS;
05/02/2006 12:45:53
New Process Has Been Created -- New Process ID - 2576; Image File Name C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2744; Username - Johnatan; Domain - COUNTERS;
05/02/2006 12:45:53
Local Group Member Added -- Member - -; Target Account Name - %{S-1-5-212780117151-1340924567-2512508698-1024}; Target Domain - Administrators; Target Account ID - Builtin; Caller
User Name - %{S-1-5-32-544}; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - File Access
05/02/2006 12:45:53
net.exe
C\WINDOWS\system32\net.exe
5-feb-06 12:46:23
Y finalmente, el atacante cambia las entradas del registry que permiten el acceso
remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal
Server\fDenyTSConenctions =0) con Terminal Remoto: REG ADD
HKLM\System\CurrentControlSet\Control\Terminal Server /v
fDenyTSConnections /t REG_DWORD /d 0 /f
Evidencias asociadas: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server tiene fecha de modificacin exactamente 12:46:23
File Access
05/02/2006 12:46:23
C\WINDOWS\system32\reg.exe
Security Event Log
05/02/2006 12:46:23
File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:46:54
a 12:47:21
El atacante (en adelante usaremos su alias ver0k) se conecta por Terminal

Remoto al sistema desde la IP 70.107.249.155, distinta de la anterior. (v.
apartado direcciones IP implicadas)
Evidencias asociadas: File Access:
05/02/2006 12:46:54
C\WINDOWS\system32\winlogon.exe
Security Event Log: 05/02/2006 12:46:54
File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$;
Domain - WORKGROUP; Logon ID - (0x0,0x3E7);
File Access :
Un montn de fonts bajo C:\WINDOWS\Fonts
Logon Process Registered -- Logon Process Name Winlogon\MSGina;
Sec Event Log:
05/02/2006 12:47:21
Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon
ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS;
- -;
La IP la obtenemos viendo el log en el momento de la desconexin, 1 hora y cuarto despus: Sec Event Log 05/02/2006
14:00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation - 70.107.249.155;
5-feb-06 12:47:46
y 12:48:02
Johnatan hace un par de pings, presumiblemente mosqueado porque no le

contesta el servidor a su peticin del fichero clientes.wmf "ping
70.107.249.150". Han pasado ms de 3 minutos desde el exploit
Evidencias asociadas: Security Event Log:
05/02/2006 12:47:46
Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
File Access:
05/02/2006 12:48:02
C\WINDOWS\system32\ping.exe
File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:48:17
ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no
hay password de acceso. Presumiblemente busca informacin sobre las bases de
datos configuradas y averigua que WebERP es la principal. Asimismo puede
Pg. 25
Informe tcnico
acceder a los logs de Error y General de MySQL.

05/02/2006 12:48:17
C\Documents and Settings\All Users\Start
Menu\Programs\MySQL\MySQL Administrator.lnk
Security Event Log
05/02/2006 12:48:17
File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
5-feb-06 12:49:50
ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/weberp/AccountGroups.php, presumiblemente busca informacin de cuentas de
usuario y passwords de acceso a WebERP.
05/02/2006 12:49:50
Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 3100; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
File Access:
05/02/2006 12:49:51
C\WINDOWS\Fonts\cour.ttf
Iexplorer index.dat: 05/02/2006 12:49:51
Link Visited: ver0k@file:///C:/apache/Apache/htdocs/weberp/AccountGroups.php
Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe
5-feb-06 12:49:53
y lo para 3 segundos despus! Ha comprobado que el fichero no contiene

informacin de cuentas de usuario. En realidad, ese fichero es idntico al del
paquete WebERP original, como verifica el hash MD5.
Evidencias asociadas: Sec Event Log
05/Feb/2006
12:49:53 ver0k
Process Has Exited -- Process ID - 520; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 12:50:02
As que ahora edita C:/apache/Apache/htdocs/web-erp/config.php. All ve el

usuario y password (ninguno) de acceso a la base de datos.
05/02/2006 12:50:02
File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Link :2006020520060206:
ver0k@file:///C:/apache/Apache/htdocs/web-erp/config.php
Contenidos del fichero config.php (entre otros):
// sql user & password
$dbuser = 'weberp_us';
$dbpassword = '';"
5-feb-06 12:51:00
ver0k comprueba que se conecta sin problemas a la base de datos.
Evidencias asociadas: :File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_
options.xml
File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_
connections.xml
MySQL General Log:
05/02/2006 12:51:00
1386 Connect
weberp_us@localhost as anonymous on
05/02/2006 12:51:00
1386 Query
SET SESSION interactive_timeout=1000000
05/02/2006 12:51:00
1386 Query
SELECT @@sql_mode
05/02/2006 12:51:00
1386 Query
SET SESSION sql_mode='ANSI_QUOTES'
05/02/2006 12:51:00
1386 Query
SET NAMES utf8
File Access
05/02/2006 12:51:01
MySQLAdministrator.exe
MySQL General Log:
05/02/2006 12:51:01
1387 Connect
05/02/2006 12:51:01
1387 Query
SET SESSION interactive_timeout=1000000
05/02/2006 12:51:01
1387 Query
SELECT @@sql_mode
05/02/2006 12:51:01
1387 Query
SET SESSION sql_mode='ANSI_QUOTES'
05/02/2006 12:51:01
1387 Query
SET NAMES utf8
05/02/2006 12:51:01
1387 Quit
5-feb-06 12:51:16
a 13:01:22
Ver0k arranca una sesin interactive de MySQL, y comienza a recabar un montn

de informacin sobre la misma: Entre otras cosas, los usuarios que tienen acceso
Pg. 26
Informe tcnico
al sistema, sus nombres reales y su nivel de acceso.

Desafortunadamente para l, los passwords estn cifrados con SHA1. Tambin
obtiene toda la informacin sobre clientes. (la sesin completa y su resultado
puede verse como apndice). La informacin de la sesin la copia con la ayuda
de dos notepad a los ficheros C:\clientes.txt y C:\users.txt, con la informacin
de clientes y usuarios respectivamente.
05/02/2006 12:51:16
C\apache\Apache\mysql\bin\mysql.exe
Sec Event Log
05/02/2006 12:51:16
Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain - 2320; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
"MySQL General Log:
060205 12:51:20 1388 Connect
060205 12:51:34 1388 Query
show tables
060205 12:51:41 1388 Query
show databases
060205 12:51:48 1388 Query
SELECT DATABASE()
1388 Init DB
weberp
060205 12:51:53 1388 Query
show tables
(ver apndice para el detalle de la sesin).
060205 13:01:22 1388 Quit"
Sec Event Log
05/02/2006 13:00:57
File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:02
Process Has Exited -- Process ID - 3024; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:15
File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:19
Termina la sesin de mysql:
Sec Event Log
05/02/2006 13:01:22
Process Has Exited -- Process ID 392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19
(La evidencia relative a los ficheros clientes.txt y users.txt se comenta ms adelante)
5-feb-06 13:03:12
ver0k arranca MSN Messenger. Windows intenta encontrar la ruta ms

adecuada.
05/02/2006 13:03:12
C\Program Files\MSN Messenger
Sec Event Log
05/02/2006 13:03:12
File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k;
Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
System Event Log
05/02/2006 13:03:18
Service Control Manager
WinHTTP Web Proxy Auto-Discovery
Service; start;
System Event Log
05/02/2006 13:03:18
Service Control Manager
WinHTTP Web Proxy Auto-Discovery
Service; running;
5-feb-06 13:03:29
a 13:04:15
Johnatan da por finalizado su intento de acceder al fichero de clientes, y vuelve a

su buzn de entrada, volviendo de nuevo a abrir el ltimo mensaje de Alberto
Lopez.
Evidencias asociadas: index.dat: 05/02/2006 13:03:29
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=55973&order=down&sort=d
ate&pos=0&view=a&head=b
index.dat 05/02/2006 13:04:12
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=32562&order=down&sort=d
ate&pos=0&view=a&head=b
index.dat 05/02/2006 13:04:15
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp
Pg. 27
Informe tcnico
kyR
5-feb-06 13:04:20
El messenger de ver0k accede a las urls de bienvenida iniciales a nuevos usuarios

de messenger
Link Visited:
ver0k@http://messenger.msn.com/redirs/FIRST_TIME_EX.asp?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=
MX&BrandID=msmsgs&Build=7.5.0311&OS=Win&Version=7.5
index.dat 05/02/2006 13:04:20
Link Visited: ver0k@http://g.msn.com/5mees_mx/162
index.dat 05/02/2006 13:04:21
Link Visited:
ver0k@http://g.msn.com/5meen_us/153?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=MX&BrandID=msms
gs&Build=7.5.0311&OS=Win&Version=7.5
File Access de un montn de ficheros temporales de explorer. Todos ellos correspondientes a la pgina de bienvenida de
MSN, por ejemplo: 05/02/2006 13:04:22
C\Documents and Settings\ver0k\Local Settings\Temporary Internet
Files\Content.IE5\0B8EC9X6\audio[1].jpg
5-feb-06 13:04:29
a 13:05:10
Johnatan compone y enva un correo de respuesta a alopez@eycsa.com.mx,

presumiblemente indicndole que no ha sido capaz de descargar el catlogo.
05/02/2006 13:04:29
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?box=%40B%40Bulk&Mid=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4
05/02/2006 13:05:10
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?YY=11490&order=down&sort=date&pos=0&view=a&Idx=0
05/02/2006 13:05:26
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?SEND=1&YY=7706&order=down&sort=date&pos=0&view=a
&Idx=0
Y, entre los ficheros temporales de internet encontramos:
C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm:
<form name="AddAddresses" target="_top"
action="http://address.mail.yahoo.com/yab/e1/?v=YM&A=a&.intl=e1&cp=1" method="post">
<input type="hidden" name="e" value="alopez@eycsa.com.mx,">
C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm:
<br><br><b><i>alopez@eycsa.com.mx</i></b> escribi:
5-feb-06 13:04:31
Mientras tanto, ver0k termina de arrancar el messenger
Link :2006020520060206: ver0k@:Host: rad.msn.com

index.dat 05/02/2006 13:04:38
Link :2006020520060206: ver0k@http://imaginemsn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX
index.dat 05/02/2006 13:04:38
Link :2006020520060206: ver0k@:Host: imagine-msn.com
index.dat 05/02/2006 13:04:38
Link Visited: ver0k@http://imaginemsn.com/messenger/runonce/v75/mosaic.aspx?locale=es-MX
5-feb-06 13:05:56
y lo configura con la cuenta h4ckiii@hotmail.com, enviando los ficheros

clientes.txt y users.txt a su cuenta h4ckiii-2@hotmail.com
Evidencias asociadas: 05/02/2006 13:05:56
Link Visited: ver0k@file:///C:/clientes.txt

05/02/2006 13:06:37
Link Visited: ver0k@file:///C:/users.txt
En el fichero C:\Documents and Settings\ver0k\NTUSER.DAT encontramos la entrada:
que indica que ver0k ha empleado esta direccin como su identificador en Messenger. Adicionalmente, se comprueba que
ese nombre de usuario en MSN Messenger genera como UserID el nmero 3817870080, que coincide con el directorio
creado: C:\Documents and Settings\ver0k\Application Data\Microsoft\MSN Messenger\3817870080.
Asimismo, buscando la cadena h4ckIII, clientes.txt y users.txt (tanto ASCII como Unicode) en el disco, encontramos,
entre otra, la siguiente informacin en distintos lugares del fichero de swap pagefile.sys:
INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0 To: <msnmsgr:h4ckiii-2@hotmail.com>
(Conectado) <h4ckiii-2@hotmail.com>
Usuariox enva C:\clientes.txt
Dest: h4ckiii-2@hotmail.com
clientes.txtm@(8( B(h207.46.0.148kg
&h4ckIII@hotmail.com (Nota: IP 207.46.0.148 00==> baym-sb8.msgr.hotmail.com)
Se complet la transferencia de "clientes.txt"
Pg. 28
Informe tcnico
Igualmente:
complet la transferencia de "users.txt
5-feb-06 13:06:52
Johnatan vuelve a su buzn de yahoo, sale del mismo y mata el Internet Explorer
sobre el que se inici el ataque. Esta es la ltima actividad de Johnatan durante
ms de una hora Una hiptesis, dada la hora, es que se fue a comer.
05/02/2006 13:06:52
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=Inbox&reset=1&YY=6697&order=&sort=&pos=0&view=a
&YN=1
05/02/2006 13:06:57
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Logout?YY=59215&inc=25&order=down&sort=date&pos=0&view=a&he
ad=b&box=Inbox&YY=59215
05/02/2006 13:07:07
Link Visited:
Johnatan@http://login.yahoo.com/config/exit?&.src=ym&.lg=e1&.intl=e1&.done=http%3a%2f%2flogin.yahoo.com%2fcon
fig%2fmail%3f.intl%3de1%26.lg%3de1
Sec Event Log
05/02/2006 13:07:10
Process Has Exited -- Process ID - 3128; Username - C:\Program
Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 13:10:40
ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba
la salida de sus comandos sql
Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S-1-5-21-2780117151-1340924567-25125086981024\Dc2.txt, en el que aparecen las salidas de la sesin mysql como por ejemplo:
mysql> show columns from custbranch;
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key |"
File Access 5-feb-06 13:10:40 Dc2.txt
Aunque borrado, encontramos en el slack del fichero INFO2:
00 00 00 02 00 00 00 60 0B 2D A0 98 2 C6 01 00 50 00 00 C:\users.txt
borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb-2006 13:10:44
(el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en http://www.efense.com/helix/Docs/Recycler_Bin_Record_Reconstruction.pdf )
5-feb-06 13:12:36
a 13:17:31
lo que indica la hora de
ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las
imgenes pornogrficas que hay en el directorio de Johnatan(los 25 ficheros
jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un
fichero wmv). La fecha de creacin de todas ellas es anterior a la intrusin.
05/02/2006 13:12:36
1_2005121110036.jpg
C\Documents and
Settings\Johnatan\My Documents\imagenes\1_2005121110036.jpg
index.dat 05/02/2006 13:12:36
Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/1_2005121110036.jpg
index.dat 05/02/2006 13:12:52
Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/2_2005121110036.jpg
File Access
05/02/2006 13:13:01
3_2005121110036.jpg
C\Documents and
Settings\Johnatan\My Documents\imagenes\3_2005121110036.jpg
Y un largo etc.
Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/overlay_por_20060201100
07_20060201224249.jpg
5-feb-06 13:17:49
y continua con los ficheros bajo C\Documents and Settings\Johnatan\My

Documents\Dr. Salamo. Sin embargo, no est Microsoft Excel instalado en el
sistema, as que no puede abrir ver el fichero CUADRO GRAI.xls y sigue con otros
directorios.
Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\CUADRO GRAl.xls
Pg. 29
Informe tcnico
De 5-feb-06 13:18:05
a13:19:05
Ahora mira los ficheros bajo C:\Documents and Settings\Administrator\My

Documents, comenzando por a017.jpg, index.html y las fotos bajo My
Videos/modelos
Evidencias asociadas: Iexplorer index.dat
05/02/2006 13:18:05
Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/a017.jpg
File Access
05/02/2006 13:18:16
overlay_por_2006020107034_20060201190204.jpg.lnk

Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/My%20Videos/modelos/nm06082
003.jpeg
5-feb-06 13:21:15
a 13:28:30
A partir de este momento, ver0k se dedica a la bsqueda y edicin de ficheros

(en particular los ficheros .doc) bajo Documents and Settings.
Evidencias asociadas: Mchsima. A modo de ejemplo:
Sec Event Log

05/02/2006 13:21:15
38753,55642
ver0k
New Process Has Been Created -New Process ID - 2544; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process
ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:21:51
38753,55684
ver0k
Process Has Exited -- Process ID 2544; Username - C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; (0x0,0x3F4E19);
File Access
05/Feb/2006
13:23:43 Reglamento_aprobado_por_el_CP.doc
C\Documents and
Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc
File Access
05/Feb/2006
13:23:44 GEN 13 Segundo Informe del Comit de Programa.doc
C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc
Sec Event Log

05/Feb/2006
13:23:47 ver0k
New Process Has Been Created -- New Process ID - 652;
Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720;
Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Iexplorer index.dat 05/Feb/2006
13:23:47 Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc
13:23:47 Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/Boletin11.doc
File Access
05/Feb/2006
13:24:01 Boletin11.doc
C\Documents and Settings\reno\My
Documents\Boletin11.doc
Sec Event Log
05/Feb/2006
13:24:04 ver0k
Process Has Exited -- Process ID - 652; Username File Access
05/Feb/2006
13:24:05 Cap02c.DOC
Documents\Cap02c.DOC
File Access
05/Feb/2006
13:24:06 CO-0863r1_e.doc C\Documents and Settings\reno\My
Documents\CO-0863r1_e.doc
File Access
05/Feb/2006
13:24:07 bases_software.doc C\Documents and Settings\reno\My
Documents\bases_software.doc
File Access
05/Feb/2006
13:24:08 HMC_11.doc
Documents\HMC_11.doc
File Access
05/Feb/2006
13:24:10 inesC.V10-2-05F.doc
C\Documents and
Settings\reno\My Documents\inesC.V10-2-05F.doc
Sec Event Log

05/Feb/2006
13:26:39 ver0k
New Process Has Been Created -- New Process ID 2220; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720;
13:26:39 Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/reno/My%20Documents/concha.doc
File Access
05/Feb/2006
13:28:30 nm06082003.jpeg C\Documents and Settings\Administrator\My
Documents\My Videos\modelos\nm06082003.jpeg
5-feb-06 13:28:35
a 13:40:05
Ahora son las animaciones flash las que despiertan el inters de ver0k y procede
a ejecutarlas de forma sistemtica. Como nota interesante, una de ellas le abre
automticamente un Internet explorer a www.huevocartoon.com al cerrase.
Pg. 30
Informe tcnico
05/Feb/2006
13:28:35 el huevo tenorio.exe C\Documents and Settings\Administrator\My
Documents\My Videos\cartoons\el huevo tenorio.exe
Sec Event Log
05/Feb/2006
13:28:37 ver0k
New Process Has Been Created -- New Process ID 2796; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el
antro.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
File Access
05/Feb/2006
13:28:38 fiesta en el antro.exe C\Documents and Settings\Administrator\My
Documents\My Videos\cartoons\fiesta en el antro.exe
Sec Event Log

05/Feb/2006
13:30:21 ver0k
New Process Has Been Created -- New Process ID 3688; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\Muchos
Huevos.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/Feb/2006
13:30:26 postgres New Process Has Been Created -- New Process ID 2020; Image File Name - C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Creator Process ID Domain - 2664;
Username - postgres; Domain - COUNTERS; Logon ID - (0x0,0x2B8206);
Sec Event Log
05/Feb/2006
13:30:26 postgres Process Has Exited -- Process ID - 2020; Username C:\Program Files\PostgreSQL\8.1\bin\postgres.exe; Domain - postgres; Logon ID - COUNTERS; - (0x0,0x2B8206);
Sec Event Log
05/Feb/2006
13:30:45 ver0k
New Process Has Been Created -- New Process ID 3672; Image File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 3688;
ver0k@http://www.huevocartoon.com/home_contry.asp
Sec Event Log

05/Feb/2006
13:40:05 ver0k
Process Has Exited -- Process ID - 3724; Username C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\unbaileparati.exe; Domain - ver0k; Logon
ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 12:26:46
Ver0k contina sistemticamente con la edicin de ficheros .doc, hasta que su

atencin se vuelve hacia Apache.
05/Feb/2006
13:40:16 ver0k
New Process Has Been Created -- New Process ID 4072; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720;
13:40:16 Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc
File Access
05/Feb/2006
13:40:17 30SEP_bolecart-book.doc
C\Documents and
Settings\Administrator\My Documents\30SEP_bolecart-book.doc

13:40:45 Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/formulario.doc
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/formulario.doc
File Access
05/Feb/2006
13:41:16 Indice Pormenorizado.doc
C\Documents and
Settings\Administrator\My Documents\Indice Pormenorizado.doc
Sec Event Log
05/Feb/2006
13:41:20 ver0k
Process Has Exited -- Process ID - 1136; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);

13:53:46 Link :2006020520060206:
ver0k@file:///C:/apache/Apache/ABOUT_APACHE.TXT
ver0k@file:///C:/apache/Apache/ABOUT_APACHE.TXT
Sec Event Log
05/Feb/2006
13:55:36 ver0k
5-feb-06 13:57:37
a 14:00:59
ver0k se conecta de forma remota a la aplicacin WebERP desde la IP

70.107.249.150. All busca (y encuentra) la forma de aadir un nuevo usuario a
la aplicacin. Aade un nuevo usuario de nombre admin con privilegios de
administrador (con un intento fallido de por medio) y sale de la misma. (ver una
reproduccin completa de la sesin web en los anexos). Fin de la intrusin.
Pg. 31
Informe tcnico
Evidencias asociadas:
Apache Access Log 05/02/2006 13:57:37

70.107.249.150 GET /web-erp/ HTTP/1.1
y hace login en la aplicacin, como usuario 'acontreras' y password 'c0ntr3t0'.

En MySQL General Log:
060205 13:57:51 1389 Connect
1389 Init DB
weberp
1389 Query
SELECT www_users.fullaccess, ..
FROM www_users
WHERE www_users.userid='acontreras'
AND (www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee'
OR www_users.password='c0ntr3t0')
1389 Query
UPDATE www_users SET lastvisitdate='2006-02-05 13:57:51'
WHERE www_users.userid='acontreras'
AND www_users.password='067f1396a8434994b5c1c69edfd29c17571993ee'
Cmo sabe ver0k un usuario y password para entrar? La nica explicacin es que ha encontrado el usuario y el password
en el log accesible desde SQL Administrator, en una sesin previa con fecha de 5 Feb 10:41:

70.107.249.150 GET /web-erp/PDFDeliveryDifferences.php?
HTTP/1.1
70.107.249.150 GET /web-erp/SystemParameters.php?
HTTP/1.1
70.107.249.150 GET /web-erp/WWW_Users.php? HTTP/1.1

70.107.249.150 POST /web-erp/WWW_Users.php?
HTTP/1.1
Del General Log de MySQL:
060205 14:00:15 1398 Connect
1398 Init DB
weberp
1398 Query
SELECT secroleid, secrolename FROM securityroles ORDER BY secroleid
1398 Query
INSERT INTO www_users (userid, realname,customerid,branchcode,password,
phone,email,pagesize,fullaccess,defaultlocation,modulesallowed,displayrecordsmax,theme,
language)
VALUES ('admin','admin', '', '', '5542a545f7178b48162c1725ddf2090e22780e25', '', '',
'A4',8,'AGS','1,1,1,1,1,1,1,1,', 50,'fresh', 'en_GB')"
70.107.249.150 GET /web-erp/Logout.php? HTTP/1.1
5-feb-06 14:00:10
Ver0k se desconecta del terminal remoto, en mitad de la sesin web anterior.

Pg. 32
Informe tcnico
05/02/2006 14:00:10
Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation 70.107.249.155;
5-feb-06 14:18:21
El usuario Johnatan vuelve al trabajo. A accede a la aplicacin weberp con el

usuario acontreras y navega un poco por ella
Evidencias asociadas: Iexplorer index.dat::

05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
5-feb-06 14:19:37
14:18:21
14:18:42
14:19:04
14:19:17
14:19:24
14:19:29
14:19:32
14:19:33
14:19:36
Link
Link
Link
Link
Link
Link
Link
Link
Link
Visited: Johnatan@http://127.0.0.1/web-erp
Visited: Johnatan@http://127.0.0.1/web-erp/index.php
Visited: Johnatan@http://localhost/web-erp
Visited: Johnatan@http://localhost/web-erp/index.php
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=stock
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=PO
Visited: Johnatan@http://localhost/web-erp/index.php?
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=orders
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=system
Hasta que lista los usuarios de web-erp y de forma inmediata sale de la

aplicacin. Probablemente, ha visto el usuario admin creado por ver0k.
05/02/2006 14:19:37
Link Visited: Johnatan@http://localhost/web-erp/WWW_Users.php?
127.0.0.1
GET /web-erp/Logout.php? HTTP/1.1
index.dat 05/02/2006 14:20:06
Link Visited: Johnatan@http://localhost/web-erp/Logout.php?
5-feb-06 14:21:01
As que, concluye que es vctima de una intrusin y reacciona. Inserta un CD

autoarrancable y arranca un intrprete de comando, desde el que lanza un
comando dd. Sin duda, intenta copiar el disco o parte de l. Pero el comando
va mal y acaba en escasos 5 segundos
05/02/2006 14:21:01
File Name - D:\PTStart.exe; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID (0x0,0x3DF69A);
Link Visited: Johnatan@file:///D:/index.html
Sec Event Log
05/02/2006 14:22:25
File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:22:56
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:23:01
Process Has Exited -- Process ID - 3348; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:25:37
Lo intenta de nuevo. Esta vez parece que ha ido mejor, pues el comando acaba
en 29 segundos, pero no es suficiente.
05/02/2006 14:25:37
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:26:08
Process Has Exited -- Process ID - 3644; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:26:57
Pide entonces ayuda al administrador, que se conecta al sistema para hacerlo l.

Pero ste no tiene mejor fortuna. As que salen del sistema tanto l como Johnatan,
presumiblemente para dejarle la consola libre.
05/02/2006 14:26:57
38753,60205
Sec Event Log
05/02/2006 14:26:58
Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 836; Username - COUNTERS$; Domain WORKGROUP; Logon ID - (0x0,0x3E7);
Sec Event Log
05/02/2006 14:27:29
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 176; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50D2D6);
Pg. 33
Informe tcnico
Sec Event Log

05/02/2006 14:27:31
Process Has Exited -- Process ID - 2280; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50D2D6);
Sec Event Log
05/02/2006 14:28:28
User Logoff -- Username - Administrator; Domain - COUNTERS; Logon
ID - (0x0,0x50D2D6); Method - Logon Occurred on This Machine;
Sec Event Log
05/02/2006 14:28:41
User Logoff -- Username - Johnatan; Domain - COUNTERS; Logon ID (0x0,0x3DF69A); Method - Logon Occurred on This Machine;
5-feb-06 14:29:01
As que el administrador se conecta de nuevo (con algn error previo al poner el

nombre de usuario) y lo intenta. Pero ni con mltiples intentos de dd ni con wdd
consigue copiar el disco.
05/02/2006 14:29:01
Unknown Username or Bad Password -- Username - adminstrator;
Domain - COUNTERS; Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package Negotiate; - COUNTERS;
Sec Event Log
05/02/2006 14:29:16
Successful Logon -- Username - Administrator; Domain - COUNTERS;
Logon ID - (0x0,0x50ED34); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package
- Negotiate; Workstation - COUNTERS; - -;
Sec Event Log
05/02/2006 14:29:47
File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 3120; Username - Administrator;
Domain - COUNTERS; Logon ID - (0x0,0x50ED34);
Sec Event Log
05/02/2006 14:30:27
Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3640; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
Y varias lneas similares
Sec Event Log

05/02/2006 15:35:01
File Name - D:\win32\wdd.exe; Creator Process ID Domain - 2536; Username - Administrator; Domain - COUNTERS;
Logon ID - (0x0,0x50ED34);
Sec Event Log
05/02/2006 15:35:04
Process Has Exited -- Process ID - 3516; Username D:\win32\wdd.exe; Domain - Administrator; Logon ID - COUNTERS; - (0x0,0x50ED34);
5-feb-06 15:35:12
El administrador no tiene muy claro como funciona el cd, as que busca

documentacion. Eso nos permite averiguar qu estaba usando. Se trata de FIRE
(http://fire.dmzs.com/) Forensics & Incident Response Environment Bootable CD,
un conocido CD de recuperacin ante incidentes o alguno similar basado en l.

5-feb-06 15:35:48
05/02/2006 15:35:12
Link Visited: Administrator@http://fire.dmzs.com/news.html
El administrador intenta averiguar informacin sobre la situacin a base de

ejecutar unos cuantos comandos desde el CD, como ls pstat.
05/02/2006 15:35:48
File Name - D:\statbins\win32\LS.EXE; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
Sec Event Log
05/02/2006 15:42:11
File Name - D:\win32\sysinternals\pslist.exe; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
5-feb-06 15:43:54
Finalmente, el administrador decide iniciar un shutdown para evitar males mayores

y decidir con calma qu hacer.
Evidencias asociadas: SYS Event Log
05/02/2006 15:43:54
Application Popup Windows; Other people are logged on to this
computer. Shutting down Windows might cause them to lose data.
Shutdown Sec Event Log
05/02/2006 15:44:17
System Shutdown
5-feb-06 15:44:32
Ultima hora de shutdown reportada por el registry
Evidencias asociadas: HKLM\System\CurrentControlSet\Control\Windows\ShutdownTime:
C7 10 C8 1C AE 2A C6 01
Pg. 34
Informe tcnico
3.1. Diagrama temporal

De forma grfica y esquemtica, sealando slo los eventos importantes, nos
queda pues el siguiente diagrama temporal, en el que se han asociado imgenes
reproduciendo la actividad de forma similar a como la veran los protagonistas:
25/01/2006
Hasta esta fecha, instalacin de aplicaciones,

ficheros y funcionamiento normal del sistema
(incluyendo algn intento de intrusin) via web
05/02/2006
05/02/2006 12:11:13
El usuario Johnatan hace login en el sistema
05/02/2006 12:41:30
05/02/2006 12:42:47
intenta seguir el enlace a clientes.wmf y
El atacante enva un primer correo a Johnatan, como viniendo de

alopez@eycsa.com.mx invitndole a ver el fichero de clientes.
05/02/2006 12:23:09
05/02/2006 12:26:46
Johnatan abre el nuevo correo
Instalacin y puesta en marcha del sistema Windows

Server 2003 con licencia demo
Johnatan se conecta a su correo en

yahoo.com
Lee el correo y sigue el enlace a

http://70.107.249.150/clientes.wmf, pero no hay consecuencias.
Se enva un segundo correo de phishing, corrigiendo el enlace

anterior.
05/02/2006 12:43:44
05/02/2006 12:43:50
Pg. 35
Informe tcnico
EL EXPLOIT HA ACTUADO. Se arranca el proceso

cmd.exe 3376, PPID 884 (run32dll32.exe, hijo de 3128,
Internet explorer)
05/02/2006 12:44:11
El atacante tiene una shell de administrador en el sistema

Y, mientras tanto, Johnatan espera pacientemente a que el fichero de
clientes se cargue
El atacante se crea una cuenta de usuario de nombre ver0k,
password password, la aade al grupo administrador y cambia
las entradas del registry para permitir el acceso remoto
05/02/2006 12:45:53
05/02/2006 12:46:54
Johnatan intenta averiguar por qu el servidor no le

responde, empleando el comando ping.
Y voil, el atacante accede con el Terminal remoto al

sistema recin comprometido
05/02/2006 12:47:46
05/02/2006 12:48:17
Ver0k, mediante SQL Administrator y averiguando

cmo acceder leyendo los ficheros de configuracin,
accede a la base de datos WebERP. Obtiene tambin un
usuario y un password de acceso a WebERP de los logs
Pg. 36
Informe tcnico
En una sesin interactiva con MySQL, el atacante consigue toda

la informacin de clientes y de usuarios del sistema, copindola
a los ficheros c:\users.txt y c:\clientes.txt
05/02/2006 12:51:16
05/02/2006 13:03:12
Mientras Johnatan ha dado ya por innacesible el fichero

de clientes y manda un correo a Antonio Lpez
pidindole explicaciones
05/02/2006 13:03:29
05/02/2006 13:05:46
Ver0k se dedica entonces durante 45 minutos a ver los

diferentes documentos que hay en el sistema bajo
C:\Documents and Settings, tanto imgenes .jpg, como
algn documento en formato .doc y animaciones flash.
para enviar por messenger los ficheros users.txt y

clientes.txt a su sesin como h4ckiii-2@hotmail.com y
posteriormente borrarlos.
05/02/2006 13:12:36
05/02/2006 13:57:37
Johnatan entra en WebERP y al cabo de un rato,

descubre la cuenta admin
Ver0k arranca MSN Messenger con el identificador

h4ckiii@hotmail.com
Ver0k entra en WebERP con el usuario acontreras que ha

obtenido en su sesin con MySQL Administrator y se crea una
cuenta con privilegios de administracin de nombre admin
para despus salir. (v.apndice para la sesin completa),
05/02/2006 14:18:21
05/02/2006 14:21:01
05/02/2006 15:44:32
Se reacciona a la intrusin, intentando cuanto antes copiar una

imagen de la situacin actual. Para ello, se emplea el CD de
F.I.R.E. (http://fire.dmzs.com/) Forensics & Incident Response
Environment Bootable CD o uno similar basado en l. Hay
mltiples intentos de copia con dd y wdd, hasta que finalmente
se produce
la parada final del sistema
Pg. 37
Informe tcnico
4.
Anlisis de artefactos
Se denomina artefacto a cada uno de los ficheros que quedan en el sistema

como consecuencia de una intrusin. En este incidente, a diferencia de lo que
acontece en un caracterstico atacke de hacking no encontramos las tpicas
herramientas para atacar otros sistemas (ms exploits herramientas de
scanning) y para esconder su actividad tipo rootkit. As pues, aunque ya se han
comentado las principales evidencias, podemos agrupar los ficheros encontrados
de la siguiente forma:
a) Ficheros generados como consecuencia del engao via e-mail y ejecucin del
exploit. Son los ficheros que podemos recuperar bajo C:\Documents and
Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5. De
entre todos ellos destacan:
Fichero
CAU1CDC1.htm
LQ9ClubsIAJKIa2jdYtSFExez4sR
y[2].tiff
MD5 / Descripcin
f238a1d6ff2f7568b140dda49f231356
Trozo del cdigo html de Yahoo mail que nos permite recuperar uno de los correos del ataque.
C0dc2dca150342f4122075afdaffa61a
Se trata del fichero .tiff generado de forma random por el exploit de metasploit.
CAMA58OV.htm
Compose[1].htm
Compose[1].htm
WWW_Users[1].htm
d1b2f9a7901a7f936dca606ebc5d5976
6cecce95b4910cd17d106f737fbbfb79
a7a4d51a60ad93f51eaf75f0a3beb0a0
Los ficheros .html que permiten afirmar que Johnatan respondi a los correos de ver0k.
bc1c99d09d2955af08cf4e3213a9ce76
Fichero con la salida de usuarios en WebERP que obtuvo Johnatan y donde puede verse el usuario
admin. Fue en este momento cuando se descubri la intrusin.
b) Ficheros generados de forma directa y consciente por ver0k: los ya

comentados C:\clientes.txt y C:\users.txt, en los que guard la informacin
obtenida de la base de datos mediante su sesin con MySQL. De los dos,
nicamente clientes.txt ha podido ser recuperado:
Fichero
Dc2.txt
MD5 / Descripcin
eceec975c1202ad4cbcee92c5ca9a937
Recuperado de C:\RECYCLER\S-1-5-21-2780117151-1340924567-25125086981024\Dc2.txt, y que, segn el fichero INFO2 en ese mismo directorio corresponde a clientes.txt
c)
Ficheros generados y/o modificados por la actividad de ver0k, tales como

ficheros temporales de Internet, de Messenger, logs de los distintos servicios,
entradas del registry, etc que son los que constituyen la evidencia de su
actividad. De entre ellos, destacan todos aquellos bajo C:\Documents and
Pg. 38
Informe tcnico
Settings\ver0k, y en particular:
Fichero
Index.dat
MD5 / Descripcin
aa59ffdfc41075d0b8f1bd5b981286ef
NTUSER.dat
Fichero de histrico de Internet Explorer en C:\Documents and Settings\ver0k\Local

Settings\History\History.IE5\index.dat, que permite ver todos los accesos de ver0k durante su
actividad.
aa59ffdfc41075d0b8f1bd5b981286ef
Fichero C:\Documents and Settings\ver0k\NTUSER.DAT, que contiene la configuracin
especfica del usuario en formato registry y que nos permite, por ejemplo, saber su identidad en
MSN Messenger:
Pg. 39
Informe tcnico
5. Direcciones IP implicadas
A continuacin se muestra la informacin de registro de algunas direcciones IP
implicadas en el ataque analizado. Evidentemente, toda esta informacin
corresponde a la actualidad (Marzo 2006), dado que no existe un registro que
permita conocer la trayectoria histrica de cada direccin IP, sino slo las
asignaciones actuales.
En los casos en los que ha sido posible, se ha aadido informacin obtenida de
DShield [25](www.dshield.org) y/o Google (www.google.com).
Direccin IP
134.186.42.18
Razn de inters / Informacin de registro

Posible intento de ataque al web Server, el 29 de Enero a las 18:01:43 segn
access.log:
client sent HTTP/1.1 request without hostname (see RFC2616
section 14.23): /w00tw00t.at.ISC.SANS.DFi
Sin traduccin DNS, asociada a www.teale.ca.gov/
Informacin
de registro:
OrgName:
StateProv:
Country:
NetRange:
NetName:
Teale Data Center

CA
US
134.186.0.0 - 134.186.255.255
CSGNET
132.248.124.144 Intento de ataque al web Server, el 30 de Enero, a las 18:28:34

request failed: erroneous characters after protocol string:
GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\";
HostName: cert.seguridad.unam.mx
Informacin
de registro:
84.18.17.15
132.248/16
assigned
Universidad Nacional Autonoma de
MX
Escaneo de vulnerabilidades del web Server, el 4 de Febrero a las14:04:43

HostName: 84-18-17-15.usul.arrakis.es
Asociada a un ISP de Espaa: www.arrakis.es
Informacin
de registro:
4.18.17.15
inetnum:
status:
owner:
Mexico
country:
inetnum:
org:
netname:
descr:
descr:
comunicaciones,
country:
84.18.0.0 - 84.18.31.255
ORG-ASyc1-RIPE
ES-ARRAKIS-20040805
Provider Local Registry
Arrakis, Servicios y
S.L.
ES
Escaneo de vulnerabilidades Sat Feb 04
14:19:14.

HostName: 4-18-17-15.atcf.net
Asociada a un ISP Wireless: www.atcf.net
Informacin
de registro:
OrgName:
OrgID:
StateProv:
Country:
NetRange:
Level 3 Communications, Inc.

LVLT
CO
US
4.0.0.0 - 4.255.255.255
Pg. 40
Informe tcnico
Direccin IP
Razn de inters / Informacin de registro
70.107.249.150 Estas son las direcciones IP asociadas al atacante2 .
y 70.107.249.155 HostNames: static-70-107-249-150.ny325.east.verizon.net
static-70-107-249-155.ny325.east.verizon.net
Asociadas a un ISP de USA (Verizon Internet Services Inc): www.verizon.net.
Informacin
de registro:
OrgName:
OrgID:
Country:
NetRange:
Verizon Internet Services Inc.

VRIS
US
70.104.0.0 - 70.111.255.255
192.168.100.144 Escaneo de vulnerabilidades del web Server con nikto.

192.168.5.32
Se trata de direcciones de la red privada a la que perteneca el sistema
atacado, puesto que la subred 192.168.0.0 est reservada para ello, segn el
RFC1918.
192.168.5.5
La propia direccin IP del sistema atacado, obtenida de

HKLM\System\ControlSet001\Services\{5269ADEB-9E6D-4673-B8984238F085972C}\Parameters\Tcpip\IPAddress, tambin dentro de esa misma
subred privada.
A partir de las evidencias, se puede determinar que hay dos direcciones IP implicadas directamente
en el ataque:
a)
70.107.249.150, direccin en la que el atacante pone un falso servidor web (ver index.dat del
usuario Johnatan) desde el que se ejecuta el exploit, y tambin desde la que se accede a
WebERP para crear una cuenta de administracin (ver logs de acceso de apache), y, por otro
lado
b)
70.107.249.155, direccin desde la que se lanza el Terminal remoto segn el event log:
Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client
Username - LUFERFU; Workstation - 70.107.249.155;
y a la que se envan los ficheros clientes.txt y cuentas.txt mediante MSN Messenger, de acuerdo
con la informacin hallada en pagefile.sys:
MSNSLP/1.0 200 OK
To: <msnmsgr:h4ckIII@hotmail.com>
From: <msnmsgr:h4ckiii-2@hotmail.com>
Via: MSNSLP/1.0/TLP ;branch={BFB61937-F8A2-41DC-A6BF-321A6447A639}
CSeq: 1
Call-ID: {4E399059-6930-4A0B-8061-0580E9EEAA68}
Max-Forwards: 0
Content-Type: application/x-msnmsgr-transrespbody
Content-Length: 178
Bridge: TCPv1
Listening: true
Hashed-Nonce: {A6A0D33D-2E7C-BD32-C296-AA8BB1AACC45}
IPv4Internal-Addrs: 192.168.182.1 192.168.225.1 70.107.249.155
Buscando adems las dos direcciones IP en formato hexadecimal, esto es, 0x466bf996
(70.107.249.150) y 0x466bf99b (70.107.249.155) podemos encontrar tambin en pagefile.sys
esta ltima junto a la cadena Microsoft RDP 5.2, hasta en 3 ocasiones, lo que nos
permite confirmar que ver0k emple la IP 70.107.249.155 para acceder al sistema mediante
Terminal remoto (Remote Desktop Protocol).
No existe forma de determinar si se trata de dos sistemas distintos controlados por el atacante un
nico sistema que emplea algn tipo de NAT para determinados puertos (por ejemplo, para el trfico
http en los puertos 80 y 8080).
Pg. 41
Informe tcnico
6. Alcance de la intrusin
A partir de las evidencias encontradas, podemos concluir que la intrusin sufrida
por el sistema COUNTERS, ha tenido como alcance el siguiente:
a) Compromiso total del sistema operativo, con la creacin y uso de una cuenta
de administracin no autorizada (ver0k).
b) Compromiso de la base de datos MySQL, de la cual se ha revelado al
exterior la informacin correspondiente tanto a clientes como a cuentas de
usuario. En particular, se ha revelado toda la informacin que se encuentra
en las tablas www_users y custbranch de dicha base de datos.
c)
Compromiso de la aplicacin WebERP que hace uso de dicha base de

datos, con la creacin de una cuenta de administracin no autorizada
(admin).
d) Compromiso de los ficheros bajo C:\Documents and Settings. De ellos, los

ficheros .jpg y animaciones grficas han sido observadas por el atacante, si
bien no parece que ello plantee ningn problema de confidencialidad. Los
ficheros en formatos .xls, .pdf ppt, aunque su revelacin pudiera tener
algn problema, no han sido copiados fuera del sistema, y no han podido
ser observados por cuanto no exista aplicacin alguna para hacerlo.No
ocurre as con los ficheros en formato .DOC, los cuales s pueden acarrear
un problema al haber sido revelada la informacin total o parcialmente. En
concreto, de los 109 ficheros .DOC bajo C:\Documents and Settings,
nicamente 28 han sido comprometidos, conforme a la fecha de acceso:
Documento
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
Fecha de acceso
Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc
Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc
Settings\reno\My Documents\Boletin11.doc
Settings\reno\My Documents\Cap02c.DOC
Settings\reno\My Documents\CO-0863r1_e.doc
Settings\reno\My Documents\bases_software.doc
Settings\reno\My Documents\HMC_11.doc
Settings\reno\My Documents\inesC.V10-2-05F.doc
Settings\reno\My Documents\2004-bAUDITORIA 4.doc
Settings\reno\My Documents\guiapce.doc
Settings\reno\My Documents\CuartoPeriodo-INFORME DEL RELATOR.doc
Settings\reno\My Documents\concha.doc
Settings\reno\My Documents\11013834211TIC_y_reduccion_pobreza_de_la_pobreza_en_ALC.doc
Settings\reno\My Documents\CP11591S08.doc
Settings\reno\My Documents\formato-jitel.doc
Settings\reno\My Documents\fap.doc
Settings\reno\My Documents\plantilla.doc
Settings\reno\My Documents\S03-WSIS-DOC-0004!!MSW-S.doc
Settings\Administrator\My Documents\30SEP_bolecart-book.doc
Settings\Administrator\My Documents\Indice Pormenorizado.doc
Settings\reno\My Documents\conConicyt.doc
Settings\reno\My Documents\congreso8.doc
Settings\reno\My Documents\20060126masercisaproyecto609.doc
Settings\reno\My Documents\Juego de las parejas para pulsador.doc
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
13:23
13:23
13:24
13:24
13:24
13:24
13:24
13:24
13:26
13:26
13:26
13:26
13:27
13:27
13:27
13:27
13:27
13:27
13:40
13:41
13:57
13:57
13:57
13:57
Pg. 42
Informe tcnico
Documents
Documents
Documents
Documents
Documents
and
and
and
and
and
Documents\formulario.doc
Documents\Notas.doc
Documents\NDICE DOCTORADO.doc
Documents\RRGEPNotas.doc
Documents\RRGEPPortadas.doc
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
14:39
14:39
14:39
14:39
14:39
Pg. 43
Informe tcnico
7. Conclusiones
Las siguientes conclusiones pueden ser extradas de la investigacin de este
incidente.
7.1. Conclusin 1
De forma global, a partir de los datos disponibles el incidente se puede resumir
en los siguientes hechos:
El sistema atacado es un Windows 2003 Server SP1, con licencia de

evaluacin de 14 das, de nombre COUNTERS.
Dicho sistema fue instalado y conectado a la red el 25 de enero de 2006.
El 26 de enero se instalaron en el sistema algunas aplicaciones, destacando

entre ellas el sistema ERP de cdigo abierto WebERP (www.weberp.org)
que a su vez emplea el servidor web Apache y la base de datos MySQL.
Desde dicha fecha hasta el 5 de febrero, el sistema mantuvo una actividad

que puede considerarse como normal, incluyendo algunos intentos de
ataque al servidor web sin mayores consecuencias, la instalacin de alguna
nueva aplicacin como PostGreSQL, y la copia de mltiples ficheros de
Microsoft Word, Powerpoint, Excel, documentos PDF e imgenes
pornogrficas en formato JPEG por parte de algn usuario.
El 5 de febrero, un atacante logr acceso con privilegios de administracin

al sistema. Para ello, emple mtodos de ingeniera social, enviando un
correo a un usuario del sistema con privilegios de administrador (Johnatan)
a su cuenta en yahoo.com, incitndole a acceder con su navegador a una
URL en la que el atacante tena preparada un exploit.
Dicho exploit consista en aprovechar una vulnerabilidad recientemente

descubierta en la librera GDI (Graphics Device Interface) existente en varias
versiones de Windows, y entre ellas 2003 server (ver boletn de Microsoft
en
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx)
[24]; esta librera se emplea para la generacin y presentacin de grficos
en el sistema, y el exploit se ejecut al acceder a un fichero grfico
Windows Metafile (WMF) que no era tal sino que en realidad carg un
cdigo (payload) que abri una lnea de comando al atacante sin que el
usuario victima del engao se diera cuenta.
A continuacin, y una vez lograda una ventana como administrador, de

forma inmediata el atacante procedi a crear una cuenta de nombre
ver0k, dotndola de privilegios de administracin, y a modificar el sistema
para permitir el acceso remoto al mismo.
Accediendo con Terminal remoto y con la cuenta recin creada, el atacante

accedi a la base de datos de la aplicacin WebERP, mediante el interfaz
de administracin de MySQL y extrajo directamente de las tablas la
informacin disponible sobre clientes y sobre cuentas de usuario. Esta
informacin fue enviada al exterior mediante MSN Messenger a la cuenta
hackIII-2@hotmail.com.
Pg. 44
Informe tcnico
Posteriormente el atacante procedi a buscar y visualizar los diferentes

ficheros existentes bajo C:\Documents and Settings, incluyendo imgenes
en formato JPEG, algn video, y con especial atencin archivos en formato
.DOC. No pudo visualizar ficheros Excel, aunque lo intent, por cuanto esta
aplicacin no estaba instalada en el sistema. Ficheros en otros formatos
(Powerpoint PDF) no fueron accedidos.
Finalmente, procedi a determinar cmo acceder a la aplicacin WebERP

para desde ella crear una nueva cuenta de usuario de la propia aplicacin
(de nombre admin y privilegios de administracin de la misma) que le
permitiera el acceso a la aplicacin en el futuro, para despus abandonar
el sistema.
Los reponsables del sistema COUNTERS determinaron de forma muy rpida

la presencia de algn intruso en el sistema, al detectar una cuenta no
autorizada, y procediendo velozmente a intentar realizar una copia del
disco, empleando para ello utilidades disponibles en el CD-ROM de F.I.R.E.
(Forensics and Incident Response Environment Bootable CD, descargable en
http://fire.dmzs.com/) o uno similar basado en ste. Despus de bastantes
intentos de copia con el sistema en vivo al parecer infructuosos,
procedieron a la parada final del sistema el 5 de Febrero de 2006 a las
15:44.
7.2. Conclusin 2
El ataque al sistema se realiz con una cierta planificacin y con carcter
especfico hacia este sistema en particular. Esta conclusin est basada en los
siguientes datos:
El correo enviado al usuario Johnatan a su cuenta para conseguir su

colaboracin indirecta est escrito en castellano, as como simula ser un
contacto habitual del mismo (Alberto Lpez, Director General de
Electrnica y Computacin S.A.). Adems, es en un segundo correo
cuando se produce la intrusin real.
Una vez conseguido el acceso, y creado un usuario para su uso posterior,

el atacante analiza muchos de los documentos existentes en el servidor.
Parece conocer bien que webERP es la principal aplicacin del sistema, y

es la que ataca. Otra base de datos instalada, PostGreSQL, no merece la
ms mnima atencin del atacante.
No instala ningn tipo de herramienta de rootkit, o de hacking en

general como hara un atacante genrico que simplemente buscase
nuevas bases de ataque.
Tras conseguir crear un usuario administrador en el aplicativo webERP,

finaliza toda su actividad.
7.3. Conclusin 3
El ataque fue posible a pesar de que el sistema estaba, en general, bastante bien
configurado y a un alto nivel de parcheo. Aunque es cierto que se utiliz una
vulnerabilidad de reciente descubrimiento, fue el uso indebido del servidor para
navegar de forma genrica por Internet, especialmente grave cuando el usuario
Pg. 45
Informe tcnico
empleado para ello tiene privilegios de administracin, lo que posibilit el
ataque.
7.4. Conclusin 4
El anlisis del sistema ha podido ser muy detallado gracias a que el
administrador del mismo se preocup de configurar en un alto nivel de detalle el
sistema de auditora de Windows, lo que demuestra la importancia de estar
preparado por anticipado ante un posible ataque.
7.5. Conclusin 5
En general, da la impresin de que el sistema no era un sistema en produccin
real, sino un servidor preparado para generar una imagen que fuera posible usar
en un reto de anlisis forense. Esta conclusin est basada en los siguientes
datos:
El sistema est instalado y en marcha con una licencia de evaluacin de

Windows 2003 Server, nicamente vlida para 14 das, y a la que le
quedaban nicamente 4 das para la activacin final que nunca se
produjo.
En el sistema estn creados 16 cuentas de usuarios (adems del

administrador y la que crea el atacante) de las cuales nicamente se han
empleado 4.
En el servidor se copiaron una gran cantidad de ficheros de Microsoft

Excel, PowerPoint y Adobe PDF; sin embargo, ninguna de estas
aplicaciones est instalada. Aunque podra pensarse que los ficheros
podran ser accedidos desde la red, no fue as en realidad tal y como
revelan las fechas de creacin y acceso.
La primera reaccin de los administradores ante la creacin final de las

cuentas del atacante en webERP y en el sistema, es intentar generar de
forma inmediata una imagen del sistema, ms que analizar exactamente
qu estaba ocurriendo, o detener/desconectar de la red el sistema para
minimizar el dao.
Algunas de las cuentas de correo de clientes almacenadas dentro del

sistema WebERP corresponden a dominios actualmente inexistentes en la
realidad.
7.6. Conclusin 6
Preservar la evidencia es crucial para cualquier investigacin forense.
En incidentes informticos, como en incidentes de la vida real, la preservacin de
la evidencia juega un papel fundamental en el proceso para asegurar el xito de
la investigacin. En este incidente, mucha de la informacin ha sido posible
obtenerla porque se dispona de una imagen binaria de la particin primaria del
sistema en un instante de tiempo cercano al incidente y sin demasiadas
modificaciones inducidas por el propio administrador del sistema. Si el
administrador, cuando entr en el sistema para generar las copias, hubiera
Pg. 46
Informe tcnico
empezado a lanzar comandos para "investigar", muchas de las pruebas habran
desaparecido.
No modificar en absoluto la evidencia no es posible en la mayora de los casos,
pero siempre se debe intentar que la modificacin sea la menor posible.
7.7. Conclusin 7
Participar en retos de anlisis forense disminuye de forma alarmante las horas de
sueo de los participantes.
Pg. 47
Informe tcnico
8. Recomendaciones
Solucin al incidente
Como consecuencia del ataque, el sistema y la informacin en l contenida han
quedado completamente comprometidas. Aunque se ha identificado el origen de
la intrusin y el detalle de la actividad realizada, no podemos estar
absolutamente seguros de que no haya otros cambios que han pasado
desapercibidos a la investigacin forense. Por tanto, para recuperarse de la
intrusin y conseguir un sistema completamente seguro los pasos recomendables
seran, si ello es posible:
Reinstalar una versin limpia del sistema operativo, siempre sin estar
conectado al exterior.
Deshabilitar los servicios innecesarios.
Instalar todos los hotfixes de seguridad.
Consultar peridicamente las alertas de seguridad en este sistema

operativo.
Recuperar con cuidado datos de usuario de los backups y verificar los

permisos (propietario, etc) de esos ficheros para que slo los usuarios que lo
necesiten puedan acceder a ellos.
Cambiar todos los passwords y, slo entonces, volver a conectarlo a la red

externa.
Una gua detallada de cmo recuperar un sistema de una intrusin puede

encontrarse bajo:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
en http://www.nohack.net/recovery.htm
Alternativamente, como forma ms rpida, si bien carente del 100% de
fiabilidad, la recuperacin de esta intrusin pasara por, con el sistema
desconectado de Internet:
Eliminacin de las cuentas creadas por el atacante.
Cambiar todos los passwords tanto del sistema como de la aplicacin

webERP, y asegurar que dichos passwords cumplen unos estndares
mnimos de seguridad.
Instalacin de los hotfixes de seguridad, especialmente los aplicables a la

vulnerabilidad empleada en este ataque.
Poner passwords para el acceso a MySQL Administrator.
Finalmente, el dao producido por la prdida de confidencialidad en la

informacin (usuarios y clientes de la base de datos) debe mitigarse mediante las
acciones de comunicacin, modificacin y/o legales que los responsables de la
empresa consideren oportuno teniendo en cuenta su situacin comercial y los
requerimientos legales que apliquen.
Pg. 48
Informe tcnico
Recomendaciones finales
De cara a evitar posibles problemas similares a ste en el futuro, se recomiendan
las siguientes acciones:
Instalar de forma inmediata los hotfixes de seguridad de Microsoft, a ser

posible de forma automtica a travs de Windows Update.
Asegurar que se minimiza el nmero de cuentas con privilegios de

administracin existentes, siendo recomendable dejar slo aquellas
estrictamente necesarias.
Instaurar una poltica que asegure que no se emplean servidores en

produccin para actividades personales como navegar por Internet,
consultar el correo o jugar.
Instalar algn sistema antivirus y antispyware, actualmente inexistente.
Instalar algn programa de deteccin de intrusin y/o modificacin de

ficheros clave del sistema operativo.
Formar a los usuarios en la importancia de la seguridad y la existencia de

ataques de ingeniera social ante los que deben estar preparados.
Asegurar que todos los sistemas de administracin (por ejemplo, MySQL)

tienen palabras de acceso adecuadas para restringir su acceso.
Guardar de forma cifrada la informacin de carcter confidencial, para

minimizar la posibilidad de robo de la misma.
Asegurar que existe en la organizacin un sistema de gestin operativa de la

seguridad, que permita la prevencin, deteccin y eficaz reaccin a ataques, en
particular debe existir un adecuado mecanismo de alerta.
Por ltimo, comentar que durante la investigacin se ha encontrado numerosa
informacin correspondiente a correos de aos anteriores (en concreto, la
mayora anteriores a 2004 y pertenecientes a la empresa eycsaa.com.mx,
dedicada a la formacin a travs de internet). Para evitar que este tipo de
informacin se de a conocer, es una buena prctica borrar completamente con
una herramienta especfica el contenido del disco antes de reinstalar el sistema
operativo (por ejemplo, con SDelete, de sysinternals [7]).
Pg. 49
Informe tcnico
9. Referencias
[1] The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php
[2] Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php.
[3] Vmware workstation software. http://www.vmware.com
[4] Encase Forensic, de Guidance Software. http://www.guidancesoftware.com
[5] RedHat Linux. http://www.redhat.com/.
[6] Mount Image Pro. http://www.mountimage.com
[7] Sysinternals web site. http://www.sysinternals.com
[8] Foundstone free forensic tools. http://www.founstone.com
[9] Panda Antivirus + Antispyware. http://www.pandasoftware.com
[10] eTrust PestPatrol y EZ-Antivirus. http://www.ca.com
[11] Proactive Password Auditor. http://www.elcomsoft.com
[12] Chntpw. http://home.eunet.no/pnordah/ntpasswd/
[13] LADS. List Alternate Data Streams. http://www.heysoft.de/nt/ep-lads.htm
[14] Microsoft Excel. http://www.microsoft.com
[15] Google. http://www.google.com/.
[16] NTFS file system description
http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e-4164-862ddac5418c59481033.mspx
[17] CurrPorts. http://www.nirsoft.net/utils/cports.html
[18] GFI LANguard Network Security Scanner v6.0 http://www.gfi.com
[19] Nacional Software Referente Library. http://www.nsrl.nist.gov
[20] Microsoft Windows Remote Desktop Protocol.
http://www.microsoft.com/technet/prodtechnol/Win2KTS/evaluate/featfunc/rdpfperf.
mspx
[21] How to Calculate the MSN Messenger Passport User Id.
http://www.msnfanatic.com/articles/how-to-calculate-the-msn-messenger-6-xpassport-user-id-173.html
[22] Nikto web scanner. http://www.cirt.net/code/nikto.shtml
[23] Metasploit WMF vulnerability and exploit.
http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile
[24] Microsoft Security Bulletin ms06-001.
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
[25] Distributed Intrusion Detection System, http://www.dshield.org/
Pg. 50
Informe tcnico
10. Anexos
10.1. Mails enviados a Johnatan
Estos son los correos recuperados con los que el atacante enga al usuario
Johnatan, enviados a su cuenta en yahoo.com:
Primer correo, que no tiene para el atacante el xito deseado, recuperado de
zonas no asignadas del disco:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
Urgente!!
Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Johnny:
http://70.107.249.150/clientes.wmf
Alberto Lopez
Director General
Segundo correo, en el que la URL se ha modificado para acceder al puerto
8080, recuperado de los ficheros temporales de Internet Explorer:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
Urgente!! (correccion)
Sun, 5 Feb 2006 14:42:47 -0600 (CST)
Johnny:
Esta es la liga correcta,
http://70.107.249.150:8080/clientes.wmf
Alberto Lopez
Director General
Pg. 51
Informe tcnico
10.2.Reproduccin de la sesin con MySQL del

atacante
A continuacin se muestra una reproduccin de la sesin interactiva con la base de datos que tuvo el
atacante con la intencin de extraer informacin de cuentas de la misma. Los errores que aparecen son
consecuencia de comandos mal escritos por ver0k. En negrita aparecen las sentencias tal y como las
escribi el atacante.
mysql> show tables;
ERROR 1046 (3D000): No database selected
mysql> show databases;
+----------+
| Database |
+----------+
| mysql
|
| test
|
| weberp
|
+----------+
3 rows in set (0.00 sec)
mysql> use weberp;
Database changed
mysql> show tables;
+-----------------------------+
| Tables_in_weberp
|
+-----------------------------+
| accountgroups
|
| accountsection
|
| areas
|
| bankaccounts
|
| banktrans
|
| bom
|
| buckets
|
| chartdetails
|
| chartmaster
|
| cogsglpostings
|
| companies
|
| config
|
| contractbom
|
| contractreqts
|
| contracts
|
| currencies
|
| custallocns
|
| custbranch
|
| debtorsmaster
|
| debtortrans
|
| debtortranstaxes
|
| discountmatrix
|
| edi_orders_seg_groups
|
| edi_orders_segs
|
| ediitemmapping
|
| edimessageformat
|
| freightcosts
|
| gltrans
|
| grns
|
| holdreasons
|
| lastcostrollup
|
| locations
|
| locstock
|
| loctransfers
|
| orderdeliverydifferenceslog |
| paymentmethods
|
| paymentterms
|
| periods
|
| prices
|
Pg. 52
Informe tcnico
| purchdata
|
| purchorderdetails
|
| purchorders
|
| recurringsalesorders
|
| recurrsalesorderdetails
|
| reportcolumns
|
| reportheaders
|
| salesanalysis
|
| salescat
|
| salescatprod
|
| salesglpostings
|
| salesman
|
| salesorderdetails
|
| salesorders
|
| salestypes
|
| scripts
|
| securitygroups
|
| securityroles
|
| securitytokens
|
| shipmentcharges
|
| shipments
|
| shippers
|
| stockcategory
|
| stockcheckfreeze
|
| stockcounts
|
| stockmaster
|
| stockmoves
|
| stockmovestaxes
|
| stockserialitems
|
| stockserialmoves
|
| suppallocs
|
| suppliercontacts
|
| suppliers
|
| supptrans
|
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
mysql> select columns from www_users;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near 'columns from www_users' at line 1
mysql> show columns from www_users;
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| varchar(55) | YES |
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
| displayrecordsmax | int(11)
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
Pg. 53
Informe tcnico
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
mysql> select userid,password,realname,fullaccess from www_users;
+------------+------------------------------------------+-------------------------------+------------+
| userid
| password
| realname
| fullaccess |
+------------+------------------------------------------+-------------------------------+------------+
| acontreras | 067f1396a8434994b5c1c69edfd29c17571993ee | Alberto Contreras Zacaras
|
8 |
| amed
| ef8085fc0990de00dbfd958373ed769f7b2c93a8 | Antonio Medina Ocaa
|
11 |
| amirac
| e3ddf21db44f98f4d9e38d14aff077d753c35f0e | Astrid Miranda Acua
|
18 |
| andre
| 933f868ccf7ece7601793d3887f5522fbb341418 | Andrea Escalera Nava
|
17 |
| carsel
| 752c944261fa72cb17fd8ab40362952a60dbc30e | Carmen Serrano Luna
|
9 |
| chtorret
| 617d0fd33bb15d60efadd04f41e1686e930cd69b | Chema Torret
|
9 |
| dizav
| 933f868ccf7ece7601793d3887f5522fbb341418 | Diego Zrate Vite
|
10 |
| eduajt
| 12ef46f8a2edfd221263e4dd48d5d505818b3f0b | Eduardo Jimnez Tapia
|
10 |
| egavilan
| a53956bf4c747c5959e63d92ecb885c123935668 | Ernesto Gaviln
|
8 |
| gabsa
| b7c40b9c66bc88d38a59e554c639d743e77f1b65 | Gabriela Sandoval Portillo
|
11 |
| gruvalcaba | b9677421e4bebddda761f32ec2ed52e3425f0fa2 | Gumaro Ruvalcaba
|
11 |
| Jehern
| edefeffa1514cc1783e88f83eddc338686c60618 | Jess Hernandez Cuevas
|
11 |
| juma
| 14993032bd035408dd9ab6f6e6ad0b023eced296 | Juan Morales Fierro
|
12 |
| ladelga
| 25f92a2263b2c1a75077f257aeacd1376ed4f391 | Luis Ignacio Aguiaga Delgado |
10 |
| majogar
| 906e1bdf102a0d2338ff5d1fafabc33a72824868 | Mara Jos Garca Rubio
|
11 |
| mamuria
| bb1c9637c5dfdfcbc5ed60b46c2d0247a8832c8d | Miguel Angel Muria Torres
|
11 |
| maubaro
| cbfdac6008f9cab4083784cbd1874f76618d2a97 | Mauricio Barrios Santiago
|
11 |
| mavep
| 75222f68d4dab93e5ff408018a28a1b19ceff3e5 | Mayra Velzquez Prieto
|
11 |
| ncanes
| 1d68c2efb2a2085f25412feef3e3a245d743019f | Napolen Canes
|
22 |
| rodid
| 8a0c0d37c6bc713a3ae67b7a797c39ba865787d4 | Rodrigo Ibarra Daz
|
8 |
| roxar
| 9fd05e35784808bc7513b62710b57f272cc11f70 | Roxana Aguilar de la Riva
|
8 |
| sarnua
| 01c037d306292acce46e3dc08e75ab0702324636 | Sara Nez Aldana
|
9 |
+------------+------------------------------------------+-------------------------------+------------+
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
Pg. 54
Informe tcnico
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
mysql> show tables;
+-----------------------------+
| Tables_in_weberp
|
+-----------------------------+
| accountgroups
|
| accountsection
|
| areas
|
| bankaccounts
|
| banktrans
|
| bom
|
| buckets
|
| chartdetails
|
| chartmaster
|
| cogsglpostings
|
| companies
|
| config
|
| contractbom
|
| contractreqts
|
| contracts
|
| currencies
|
| custallocns
|
| custbranch
|
| debtorsmaster
|
| debtortrans
|
| debtortranstaxes
|
| discountmatrix
|
| edi_orders_seg_groups
|
| edi_orders_segs
|
| ediitemmapping
|
| edimessageformat
|
| freightcosts
|
| gltrans
|
| grns
|
| holdreasons
|
| lastcostrollup
|
| locations
|
| locstock
|
| loctransfers
|
| orderdeliverydifferenceslog |
| paymentmethods
|
| paymentterms
|
| periods
|
| prices
|
| purchdata
|
| purchorderdetails
|
| purchorders
|
| recurringsalesorders
|
| recurrsalesorderdetails
|
| reportcolumns
|
| reportheaders
|
| salesanalysis
|
| salescat
|
| salescatprod
|
| salesglpostings
|
| salesman
|
| salesorderdetails
|
| salesorders
|
| salestypes
|
| scripts
|
| securitygroups
|
| securityroles
|
| securitytokens
|
| shipmentcharges
|
Pg. 55
Informe tcnico
| shipments
|
| shippers
|
| stockcategory
|
| stockcheckfreeze
|
| stockcounts
|
| stockmaster
|
| stockmoves
|
| stockmovestaxes
|
| stockserialitems
|
| stockserialmoves
|
| suppallocs
|
| suppliercontacts
|
| suppliers
|
| supptrans
|
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
| estdeliverydays | smallint(6) |
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| defaultlocation | varchar(5) |
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
| defaultshipvia | int(11)
|
| MUL | 1
|
|
| deliverblind
| tinyint(1) | YES |
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
| custbranchcode | varchar(30) |
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
mysql> show tables;
+-----------------------------+
| Tables_in_weberp
|
+-----------------------------+
| accountgroups
|
| accountsection
|
Pg. 56
Informe tcnico
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
areas
bankaccounts
banktrans
bom
buckets
chartdetails
chartmaster
cogsglpostings
companies
config
contractbom
contractreqts
contracts
currencies
custallocns
custbranch
debtorsmaster
debtortrans
debtortranstaxes
discountmatrix
edi_orders_seg_groups
edi_orders_segs
ediitemmapping
edimessageformat
freightcosts
gltrans
grns
holdreasons
lastcostrollup
locations
locstock
loctransfers
orderdeliverydifferenceslog
paymentmethods
paymentterms
periods
prices
purchdata
purchorderdetails
purchorders
recurringsalesorders
recurrsalesorderdetails
reportcolumns
reportheaders
salesanalysis
salescat
salescatprod
salesglpostings
salesman
salesorderdetails
salesorders
salestypes
scripts
securitygroups
securityroles
securitytokens
shipmentcharges
shipments
shippers
stockcategory
stockcheckfreeze
stockcounts
stockmaster
stockmoves
stockmovestaxes
stockserialitems
stockserialmoves
suppallocs
suppliercontacts
suppliers
supptrans
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pg. 57
Informe tcnico
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
mysql> show columns from custallocns;
+-------------------+---------------+------+-----+------------+----------------+
| Field
| Type
| Null | Key | Default
| Extra
|
+-------------------+---------------+------+-----+------------+----------------+
| id
| int(11)
|
| PRI | NULL
| auto_increment |
| amt
| decimal(20,4) |
|
| 0.0000
|
|
| datealloc
| date
|
| MUL | 0000-00-00 |
|
| transid_allocfrom | int(11)
|
| MUL | 0
|
|
| transid_allocto
| int(11)
|
| MUL | 0
|
|
+-------------------+---------------+------+-----+------------+----------------+
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
|
| MUL | 1
|
|
| deliverblind
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
mysql> select branchcode,brname from custbranch;
+------------+-----------------------------------+
| branchcode | brname
|
+------------+-----------------------------------+
| ANGRYFL
| Angus Rouledge - Florida
|
| ANGRY
| Angus Rouledge - Toronto
|
| DUMBLE
| Dumbledoor McGonagal & Co
|
| FACTORY
| FACTORY Computadoras
|
Pg. 58
Informe tcnico
| IMRAMG
| IMRAMG de America
|
| JRAMIREZ
| Jacobo Ramirez Alcantara
|
| JOLOMU
| Lorrima Productions Inc
|
| MAXICOMP
| MAXICOMP de Mexico
|
| NOSTRON
| NOSTRON SA de CV
|
| QUARTER
| Quarter Back to Back
|
| RSAVALA
| Ramon Savala Rincon
|
| SAMICE
| SAMICE Semiconductores
|
| SAME
| Samicon Electronics
|
| SAMS
| SAMS Tiendas departamentales
|
| SANCOMP
| SANCOMP de Colombia
|
| SUMICOM
| SUMICOM de Chile
|
| ULATINA
| Universidad Latina
|
| UNIVTEC
| Universidad Tecnologica de Mexico |
+------------+-----------------------------------+
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
|
| MUL | 1
|
|
| deliverblind
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
mysql> select * from custbranch;
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
| branchcode | debtorno | brname
| braddress1
|
braddress2
| braddress3 | braddress4
| braddress5 | braddress6 |
estdeliverydays | area | salesman | fwddate | phoneno
| faxno
| contactname
| email
| defaultlocation | taxgroupid | defaultshipvia | deliverblind |
disabletrans | brpostaddr1
| brpostaddr2 | brpostaddr3 | brpostaddr4 |
brpostaddr5 | brpostaddr6 | custbranchcode |
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+--------------
Pg. 59
Informe tcnico
+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
| ANGRY
| ANGRY
| Angus Rouledge - Toronto
| P O Box 67
|
Gowerbridge
| Upperton
| Toronto Canada |
|
|
3 | TR
| ERI
|
0 | 0422 2245 2213 | 0422 2245 2215 | Granville Thomas
|
graville@angry.com
| DEN
|
2 |
8 |
1 |
0 |
|
|
|
|
|
|
|
| ANGRYFL
| ANGRY
| Angus Rouledge - Florida
| 1821 Sunnyside
|
Ft Lauderdale
| Florida
| 42554
|
|
|
3 | FL
| PHO
|
0 | 2445 2232 524 | 2445 2232 522
| Wendy Blowers
|
wendy@angry.com
| DEN
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| DUMBLE
| DUMBLE
| Dumbledoor McGonagal & Co
| Hogwarts castle
|
Platform 9.75
|
|
|
|
|
1 | TR
| ERI
|
0 | Owls only
| Owls only
| Minerva McGonagal
|
mmgonagal@hogwarts.edu.uk | TOR
|
3 |
10 |
1 |
0 |
|
|
|
|
|
|
|
| FACTORY
| FACTORY | FACTORY Computadoras
| Municipio Libre 12 - Brasilia, Brasil
|
|
|
|
|
|
1 | FL
| GPA
|
0 |
89371908402
| 7198r457293
| Jose Roberto Donacimentos
| jr@factorycom.com.br
| TIJ
|
1 |
8 |
1 |
0 |
|
|
|
|
|
|
|
| IMRAMG
| IMRAMG
| IMRAMG de America
| Conocido
|
|
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
| AGS
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| JOLOMU
| JOLOMU
| Lorrima Productions Inc
| 3215 Great Western Highway
|
Blubberhouses
| Yorkshire | England
|
|
|
20 | FL
| PHO
|
0 | +44 812 211456 | +44 812 211 554 | Jo Lomu
|
jolomu@lorrima.co.uk
| TOR
|
3 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| JRAMIREZ
| JRAMIREZ | Jacobo Ramirez Alcantara
| Paseo de los gerrilleros 840-1
|
La Paz, Bolivia
|
|
|
|
|
5 | DF
| AHP
|
10 | 01694307293
| 01694307293
| Carol Frank Gipser Skole
|
contact@cilkru.com
| DEN
|
1 |
1 |
1 |
0 | Paseo de los gerrilleros 840-1
|
|
|
|
|
|
|
| MAXICOMP
| MAXICOMP | MAXICOMP de Mexico
| Calle Billinghurst, 25 - 8 Mexico
|
|
|
|
|
|
1 | FL
| GPA
|
0 |
|
|
|
| DF
|
2 |
11 |
2 |
0 |
|
|
|
|
|
|
|
| NOSTRON
| NOSTRON | NOSTRON SA de CV
| Ayutla 21 - Madrid, Espaa
|
|
|
|
|
|
1 | MD
| JVE
|
0 |
|
|
|
| DEN
|
2 |
8 |
2 |
0 | Conocido
|
|
|
|
|
|
|
| QUARTER
| QUARTER | Quarter Back to Back
| 1356 Union Drive
|
Holborn
| England
|
|
|
|
5 | FL
| ERI
|
0 | 123456
| 1234567
|
|
| TOR
|
3 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| RSAVALA
| RSAVALA | Ramon Savala Rincon
| Camino Real 23
|
Rincon del alma
|
|
|
|
|
1 | GL
| ART
|
0 |
|
|
|
juan@savala.org.ar
| DEN
|
2 |
8 |
2 |
0 |
|
|
|
|
|
|
|
| SAME
| SAME
| Samicon Electronics
| Rep. del salvador 564
|
|
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
| AGS
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| SAMICE
| SAMICE
| SAMICE Semiconductores
| Atlanta 12 - Mexico DF
|
Frente a la Universidad Latina |
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
Pg. 60
Informe tcnico
| AGS
|
2 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| SAMS
| SAMS
| SAMS Tiendas departamentales
| Conocido
|
|
|
|
|
|
2 | AC
| AHP
|
3 |
53123123
| 12314212
|
| carlomagno@samstiendas.com | AGS
|
1 |
1 |
1 |
0 | Conocido
|
|
|
|
|
|
|
| SANCOMP
| SANCOMP | SANCOMP de Colombia
| Av. Carlo Magno 23, Bogota Colombia
|
|
|
|
|
|
6 | FL
| ICB
|
12 |
19203012
| 19203012
| Karla Santiago Bocado
|
| DF
|
1 |
1 |
1 |
0 | Av. Carlo Magno 23, Bogota Colombia
|
|
|
|
|
|
|
| SUMICOM
| SUMICOM | SUMICOM de Chile
| Intermedio14 - 23 km 2 Autopista Fed 23 |
|
|
|
|
|
1 | OX
| PHO
|
0 |
617684982
| 14782439
|
| ventas@sumicom.com.cl
| DF
|
1 |
8 |
1 |
0 | Intermedio14 - 23 km 2 Autopista Fed 23 |
|
|
|
|
| 3123
|
| ULATINA
| ULATINA | Universidad Latina
| Engerios 827 - Cli, Colombia
|
|
|
|
|
|
1 | FL
| PZF
|
0 |
|
|
|
| DF
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| UNIVTEC
| UNIVTEC | Universidad Tecnologica de Mexico | Ricardo Flores 921 Mexico DF
|
cp. 02319
|
|
|
|
|
12 | DF
| ERI
|
2 | 9473701029
| 9473791030
| Luis Fernando Flores Almaguer |
lflores@unitemex.com.mx
| DF
|
1 |
12 |
1 |
0 | Ricardo Flores 921 Mexico DF
|
|
|
|
|
|
|
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
mysql> quit
Pg. 61
Informe tcnico
10.3.Reproduccin de la sesin WebERP del

atacante
A continuacin, se presenta una reproduccin de la actividad del atacante al
acceder a WebERP, obtenida a partir de la evidencia encontrada en los ficheros
de log de Apache y de MySQL:
13:57:37 ver0k accede a la ventana inicial de

Login de la aplicacin,
y hace login con el

Usuario acontreras, password c0ntr3t0.
13:57:52 login satisfactorio como usuario

acontreras
13:57:54 Y accede a la opcin del men Order

delivery Differences Report, dentro de Inquiries
and Reports.
Pg. 62
Informe tcnico
13:57:57 No es lo que estaba buscando, as que

vuelve al men principal, pulsando la opcin
Main Menu.
13:58:00 Accede a la opcin 'Setup' en el men

superior dentro de la pgina principal.
13:58:02 Desde all, accede a la opcin

'Configuration Settings' dentro del men
'General'.
13:58:06 No. Tampoco es esto lo que busca.

Vuelta al men principal.
13:58:10 Veamos. Tiene que ser esta opcin de

'User Accounts' dentro de 'General'.
Pg. 63
Informe tcnico
13:59:44 Efectivamente es aqu donde quiere ir.

Desde esta pgina, adems de ver todos los
usuarios existentes, se pueden crear otros nuevos.
As que intenta crear una nueva cuenta con
capacidades de administracin
pero algo falla!. Tiene que haber sido alguna

de estas posibilidades:
- user ID < 4 chars
- password <5
- password con caracteres prohibidos ('&+"\ espacio).
- password que contiene el user ID.
- customer code sin branch code.
14:00:15 As que lo intenta de nuevo
Pg. 64
Informe tcnico
y esta vez s. Ya tiene una puerta trasera en el

sistema como usuario admin.
14:00:59 Con su trabajo ya hecho, slo le queda

salir de la aplicacin
dando por concluida su sesin web-erp.
Pg. 65

r3 Tecnico1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

r3 Tecnico1

Cargado por

Copyright:

Formatos disponibles

Respuesta al

Reto de Anlisis Forense

Germn Martn Boizas

ALCANCE DE LA INTRUSIN .......................................................................... 42

MAILS ENVIADOS A JOHNATAN ...................................................................... 51

The Sleuth Kit[1]

Conjunto de herramientas de anlisis forense de libre

Interfaz grfico para The Sleuth Kit. Tambin de libre

Aplicacin comercial que permite emular mquinas

EnCase Forensic Edition v 4.22[4]

Herramienta comercial especfica para el anlisis

Red Hat Linux[5]

Muchos de los comandos del sistema constituyen

Mount Image Pro[6]

Utilidad para montar en Windows los archivos de

Utilidades de sysinternals.com [7]

www.sysinternals.com es una buena fuente de diversas

Utilidades de anlisis forense de

www.foundstone.com proporciona tambin una lista de

Panda Titanium 2006 Antivirus +

CA eTrust PestPatrol 2005.[10]

CA eTrust EZ-Antivirus 2005[10]

Proactive Password Auditor[11]

Herramienta de crackeo de passwords de Windows,

Editor offline de los passwords de Windows.

Utilidad para la bsqueda de Alternate Data Stream.

Empleado para consolidar las distintas fuentes de

Buscador de informacin en la web.

Linux Red Hat +

El siguiente paso es averiguar a qu sistema operativo pertenece. Tanto con

Configuracin del entorno de trabajo

Determinacin del huso horario

Alternativamente, dado que ya tenemos un sistema arrancable, es ms sencillo

Es importante sealar, que, aunque en este instante lo desconocamos, el sistema

; ; ; ; 3249; 60; 540 Alaskan Standard Time;

Adems, hay que considerar que, hasta el momento de la instalacin en el que el

As pues, la lista del software instalado en el sistema es la siguiente:

Apache HTTP Server 1.3.34

Mozilla Firefox (1.5.0.1)

MSN Messenger 7.5

MySQL Administrator 1.1

MySQL Server 4.1

Hotfixes KB896422, KB896424, KB896428, KB896358,

Software de seguridad para el uso del administrador en

CurrPorts v.1.07 [17], una utilidad para listar los

GFI LANguard Network Security Scanner v6.0 [18],

Obtencin de la lista preliminar de ficheros e identificacin de

Identificacin de cuentas de usuario

Primary Group Number: 513

Primary Group Number: 513

Panda Titanium 2006 Antivirus + Antispyware.

CA eTrust EZ-Antivirus 2005.

CA eTrust PestPatrol 2005.

El resultado de la ejecucin de las mismas, fue la deteccin de una serie

Obtencin y revisin de la lista de servicios y programas auto-arrancables en

d) Bsqueda de Alternate Data Streams, una facilidad de Windows que suele

Unicamente encontramos como ADS el fichero Thumbs.db, lo que es normal en el

Se comprueba a travs de google que ambos ficheros no son maliciosos. Por

Anlisis de la sesin de MSN Messenger

As pues, aunque no es posible obtener el nombre de usuario a partir del UserID,

Lo que permite reconstruir la sesin completa de Messenger. Anlogamente,

Consolidacin de otras fuentes de informacin

Los logs de la base de datos MySQL, counters.log y counters.err, bajo