Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe Tcnico
Marzo de 2006
Tabla de Contenidos
0.
INTRODUCCIN .................................................................................................... 1
1.
ENTORNO DE INVESTIGACIN........................................................................ 3
2.
PROCESO DE ANLISIS....................................................................................... 6
3.
CRONOGRAMA DE ACTIVIDADES................................................................. 20
DIAGRAMA TEMPORAL ....................................................................................... 35
3.1.
4.
ANLISIS DE ARTEFACTOS............................................................................. 38
5.
DIRECCIONES IP IMPLICADAS....................................................................... 40
6.
7.
CONCLUSIONES................................................................................................... 44
CONCLUSIN 1................................................................................................... 44
CONCLUSIN 2................................................................................................... 45
CONCLUSIN 3................................................................................................... 45
CONCLUSIN 4................................................................................................... 46
CONCLUSIN 5................................................................................................... 46
CONCLUSIN 6................................................................................................... 46
CONCLUSIN 7................................................................................................... 47
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
8.
RECOMENDACIONES ........................................................................................ 48
9.
REFERENCIAS...................................................................................................... 50
10.
ANEXOS.............................................................................................................. 51
10.1.
10.2.
10.3.
Informe tcnico
0. Introduccin
Este documento es el informe tcnico en respuesta al reto de anlisis forense
lanzado por UNAM-CERT y RedIRIS en colaboracin con otras empresas en
Febrero de 2006 a travs de su pgina web
http://www.seguridad.unam.mx/eventos/reto/
El objetivo del mismo es el anlisis de un sistema Windows 2003 previamente
atacado y comprometido. Para ello, como nica informacin, se proporciona una
imagen (o copia) de dicho sistema.
Antecedentes del incidente
Segn se facilita en las normas del reto, la nica informacin con respecto al
sistema a analizar es el siguiente:
El administrador de sistemas de una pequea empresa ha notado que existe una
cuenta que l no cre en su sistema de ERP, por lo que sospecha de algn
ingreso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicacin es un servidor Windows 2003, cuya
principal funcin era proporcionar acceso al sistema ERP a travs de la Web.
Hace poco tiempo que haban migrado al uso de este servidor.
Segn el administrador, trataba de mantener el sistema actualizado por lo que no
sabe cmo pudieron ingresar a su sistema. Sin embargo, tambin mencion que
ms de una persona tiene acceso a cuentas privilegiadas en el sistema y acept
que ocupaban a veces estas cuentas para labores no slo administrativas, sino
tambin personales o para aplicaciones que no requeran ningn tipo de
privilegio para ejecutarse.
Objetivos del reto
Segn las normas, los objetivos son determinar si existi o no un ingreso no
autorizado, cmo ocurri y el alcance del dao al sistema y a la informacin
contenida en l.
En el presente informe se intenta contestar a dichos objetivos, pero manteniendo
un orden tal que su contenido sea lo ms didctico posible. Asimismo, la
limitacin de mantener el informe a un mximo de 50 pginas obliga a realizar
una breve sntesis de todo el trabajo realizada. As pues, el esquema seguido
para contestar al reto consta de los siguientes apartados:
Entorno de Investigacin
El propsito de este captulo es detallar las herramientas empleadas en el
anlisis, as como la construccin del entorno de anlisis forense usado para la
investigacin.
Pg. 1
Informe tcnico
Proceso de anlisis
En este apartado se detalla de forma resumida la secuencia de actividades
llevada a cabo para la obtencin de las evidencias objeto del anlisis. Debido a
la limitacin de espacio, su exposicin es muy sinttica, puesto que relatar en
detalle todas y cada una de las acciones realizadas llevara aparejada mucha
ms informacin.
Cronologa de actividades
El objeto de este captulo es mostrar todas las actividades realizadas por el (los)
atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la
realizacin de la imagen del sistema, aadiendo en cada punto la evidencia que
lo sustenta. Asimismo, a continuacin, se muestra en forma de diagrama una
representacin en el tiempo de la intrusin. Se muestra as de un vistazo qu es
lo que hizo el atacante y cundo lo hizo.
Anlisis de artefactos
En este captulo se analizan todos los ficheros creados en el sistema como
consecuencia del ataque, indicando su objetivo y cualquier otro dato de inters
relativo a los mismos.
Direcciones IP implicadas
Se refleja aqu la informacin obtenida sobre las direcciones IP que de una u otra
manera se han visto implicadas en el incidente, incluyendo la de quien quienes
atacaron el sistema.
Alcance de la intrusin
En este apartado se resume hasta qu punto la intrusin afecto al sistema y a la
informacin en l alojada.
Conclusiones
Este apartado aglutina los principales puntos que se obtienen como consecuencia
del anlisis efectuado.
Recomendaciones
Finalmente, este apartado enumera algunas recomendaciones para solucionar la
actual situacin y para prevenir situaciones similares en el futuro.
Pg. 2
Informe tcnico
1. Entorno de investigacin
Herramientas empleadas
La imagen proporcionada ha sido analizada mediante una combinacin de las
siguientes herramientas:
Autopsy[2]
VMWare Workstation[3]
Programa antivirus.
Programa AntiSpyware
Programa antivirus
Chntpw[12]
LADS[13]
Pg. 3
Informe tcnico
Microsoft Excel[14]
Google[15]
Entorno de trabajo
Para facilitar el anlisis del sistema facilitado en forma de imagen, el entorno de
investigacin empleado est basado en emplear VMWare Workstation. En
primer lugar, creamos un disco virtual de 5Gb (con que sea algo mayor a la
imagen proporcionada es suficiente) y en l, tras determinar que la imagen
proporcionada es nicamente una particin y no un disco completo, creamos una
particin con exactamente- el mismo tamao que la imagen del reto. Finalmente,
copiamos con dd la imagen a esta particin recin creada. Con ello se obtiene
un disco virtual que contiene todos los datos del reto.
La ventaja de crear un disco as es que, configurando la mquina virtual de
vmware para acceder al mismo en modo no-persistente, podemos acceder al
mismo cuantas veces queramos despreocupndonos de la posibilidad de alterar
accidentalmente la evidencia proporcionada.
Con acceso a ese disco, creamos varios entornos de trabajo de vmware:
Entorno 1, con Windows XP, y una serie de herramientas de anlisis forense a
emplear, principalmente EnCase y diversas utilidades de sysinternals. Este
entorno tiene acceso tanto al disco virtual con el reto antes mencionado, como al
fichero de imagen original mediante un Shared folder. La ventaja del entorno
vmware as creado es que, aunque fusemos descuidados, ningn malware
podr abandonar el entorno.
Entorno 2, con Linux Red Hat, junto con una serie de herramientas de anlisis
forense a emplear, la principal de ellas Sleuthkit y Autopsy.
Entorno 3, en el que, tras verificar que el sistema original era un Windows
2003 Server SP1, creamos un sistema virtual vmware con ese mismo sistema
limpio que tuviera acceso al disco del reto, para poder de forma fcil
comparar el sistema analizado con respecto a uno estndar, y en el que
instalamos adems las distintas aplicaciones y hotfixes que fuimos identificando
en la imagen del reto al avanzar el anlisis (Apache, MySQL, etc)
Entorno 4, con un duplicado del reto arrancable. La imagen del reto no es
arrancable, puesto que es una particin y no tiene el sector de boot configurado.
As pues, decidimos configurar ese sector adecuadamente y crear un sistema
virtual que permite hacer anlisis dinmico del sistema. Evidentemente, es crtico
impedir el acceso a la red real de este sistema para evitar posibles infecciones.
Para facilitar dicho anlisis, creamos un CD-ROM con las herramientas de
anlisis en Windows.
El esquema siguiente resume los sistemas virtuales creados:
Pg. 4
Informe tcnico
Entorno 2
Entorno 1
Windows 2003 +
Herramientas
Anlisis Forense
Reto III
(no persistente)
Entorno 3
Entorno 4
Shared
Folders
Windows 2003
Server SP1
Limpio
Reto III
Bootable
CD-ROM con
Herramientas
Anlisis
Todos los discos virtuales (excepto en aquellas situaciones en las que ha sido
necesario realizar algn cambio) son montados como no persistentes para
evitar cualquier posibilidad de contaminacin de datos.
Para compartir informacin con el sistema host (el PC real sobre el que se
ejecuta vmware), se emplea cuando es necesario los directorios compartidos
(Shared Folders) de vmware.
Pg. 5
Informe tcnico
2. Proceso de anlisis
De forma resumida, el proceso empleado en el anlisis del sistema comprometido
ha sido el siguiente:
Descarga de la imagen y chequeo de integridad.
En esta fase, se descarga la imagen del sistema a travs de Internet y se verifica
el checksum md5 facilitado para ella, garantizando as la integridad de la
evidencia.
Identificacin del tipo de evidencia.
A continuacin, se procede a identificar el tipo de imagen recibido. es un
disco? una particin del mismo? algn otro tipo de imagen?. Simplemente
mirando los primeros bytes con un editor hexadecimal puede verse que
corresponde a la cabecera de un sistema de ficheros NTFS. (v.
http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e4164-862d-dac5418c59481033.mspx ).
Efectivamente, con Mount Image Pro, se comprueba que es un disco NTFS y sus
caractersticas:
MIP VIEW:
10233342 Sectors (4996 MB) NTFS
EnCase es una herramienta muy potente, que permite obtener sta y mucha otra informacin, sin ms que
cargar la evidencia y ejecutar el script de Initialize Case. Sin embargo, dado el carcter didctico del reto
forense, y el carcter comercial de EnCase, creo importante entrar en el detalle de cmo obtener la
informacin a travs de otras herramientas ms accesibles al pblico en general.
Pg. 6
Informe tcnico
Una vez con el mismo, podemos acceder al registry accediendo a los ficheros
bajo \Windows\System32\Config. Una vez ah, podemos confirmar la versin
de sistema operativo:
HKLM\SOFTWARE\Microsoft\Windows NT\ProductName: Microsoft Windows
Server 2003 R2
HKLM\SOFTWARE\Microsoft\Windows NT\CSDVersion: Service Pack 1.
As, finalmente podemos entrar en el sistema. Una de las primeras cosas que
llama la atencin es que el sistema tiene una licencia de Windows de
Pg. 7
Informe tcnico
evaluacin, y a falta de 4 das para expirar:
Pg. 8
Informe tcnico
System Event Log:
25/01/2006 22:57:40
02/02/2006 12:59:57
Time;
PHP 4.4.2
PostgreSQL 8.1
Pg. 9
Informe tcnico
KB901214,
KB902400,
KB903235,
KB908519, KB890046 y KB896688.
KB905414,
WebERP
v3.04,
instalado
en
el
directorio
C:\apache\Apache\htdocs\web-erp, es un paquete opensource para la gestin de negocio (ERP) y disponible en
www.weberp.org.
TCPView
2.40,
una
utilidad
de
www.sysinternals.com con el mismo propsito que
la anterior.
Pg. 10
Informe tcnico
Por ambos mtodos (puesto que en este caso no hay ningn rootkit o similar que
distorsione esta informacin) obtenemos la misma tabla de usuarios:
User name
Description
SUPPORT_388945a0
Full Name: CN=Microsoft Corporation,L=Redmond,S=Washington,C=US Account Description: This is a vendor's account for
the Help and Support Service Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier: S-15-21-278011715
Johnatan
Full Name: Johnatan Tezcatlipoca Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1006 Logon Script: Profile Path: Last Logon:
02/05/06
ernesto
Full Name: Ernesto Snchez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1007 Logon Script: Profile Path: Last Logon:
Unknown Date:
amado
Full Name: Amado Carrillo Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1008 Logon Script: Profile Path: Last Logon:
Unknown Date:
maick
Full Name: Gabriel Torres Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1009 Logon Script: Profile Path: Last Logon:
02/04/06 03:11:0
lalo
Full Name: Eduardo Hernndez Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1010 Logon Script: Profile Path: Last Logon:
Unknown Date
moni
Full Name: Monica Islas Account Description: Home Drive Letter: Home Directory:
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1011 Logon Script:
Unknown Date:
maru
Full Name: Maria Guadalupe Ramos Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1012 Logon Script: Profile Path: Last Logon:
01/26/06
Pg. 11
Informe tcnico
mirna
Full Name: Mirna Casillas Account Description: Home Drive Letter: Home Directory:
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1013 Logon Script:
Unknown Date:
katy
Full Name: Katalina Rodriguez Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1014 Logon Script: Profile Path: Last Logon:
Unknown Dat
caracheo
Full Name: Jorge Caracheo Mota Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1015 Logon Script: Profile Path: Last Logon:
Unknown Da
ovejas
Full Name: Eduardo Roldn Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513
Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1016 Logon Script: Profile Path: Last Logon:
Unknown Date:
reno
Full Name: Israel Robledo Gonzles Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1017 Logon Script: Profile Path: Last Logon:
02/03/0
pili
Full Name: Elizabet Herrera Zamora Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1018 Logon Script: Profile Path: Last Logon:
Unknow
zamorano
Full Name: Rolando Zamorategui Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1019 Logon Script: Profile Path: Last Logon:
Unknown Da
mpenelope
Full Name: Mari Carmen Penelope Account Description: Home Drive Letter: Home Directory: Primary Group Number:
513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1020 Logon Script: Profile Path: Last Logon:
Unknown D
postgres
Full Name: postgres Account Description: PostgreSQL service account Home Drive Letter: Home Directory: Primary
Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-1023 Logon Script: Profile Path:
Last Logon:
ver0k
Full Name:
Account Description: Home Drive Letter: Home Directory: Primary Group Number: 513 Security Identifier:
S-1-5-21-2780117151-1340924567-2512508698-1024 Logon Script: Profile Path: Last Logon: 02/05/06 09:47:21
Unknown Date
Administrator
Full Name:
Account Description: Built-in account for administering the computer/domain Home Drive Letter: Home
Directory: Primary Group Number: 513 Security Identifier: S-1-5-21-2780117151-1340924567-2512508698-500 Logon
Script: Profile Pat
Aunque todas las cuentas de usuario estn dentro del grupo Administrators,
inmediatamente llama la atencin una cuenta sobre las dems: ver0k, por dos
motivos: es la nica sin nombre completo asociado y tiene el caracterstico
cambio de una vocal por nmeros, tan popular en la comunidad hacker. En este
punto lanzamos tambin la recuperacin/crackeo de passwords mediante la
herramienta Proactive Password Auditor, que permiti recuperar (entre otras) la
password de ver0k: password.
Bsqueda de malware
El siguiente paso en la investigacin, consisti en la bsqueda sistemtica de
malware, esto es virii, herramientas de hacking, rootkits y dems.
Para ello, empleamos la siguientes tcnicas:
a) Ejecucin de herramientas antivirus y antispyware. En nuestro caso,
analizamos el sistema de ficheros con las siguientes herramientas, con las
firmas debidamente actualizadas a febrero de 2006:
Pg. 12
Informe tcnico
Tampoco fue capaz de identificar ningn tipo de rootkit a nivel de kernel.
c)
Pg. 13
Informe tcnico
0 bytes in 1 ADS listed
Enseguida nos llama la atencin que el puerto TCP 3389 est accesible. Este
puerto corresponde al servicio Remote Display Protocol [20] (Terminal Server) y
permite el acceso remoto al sistema. Comprobamos que efectivamente, est as
configurado, a pesar de que no se activa por defecto en la instalacin
(posteriormente determinamos que fue el atacante el que activ este servicio):
Pg. 14
Informe tcnico
f)
Anlisis de las firmas de las DLL bajo C:\Windows con ayuda de la utilidad
sigcheck de sysinternals. Su ejecucin determina si hay programas no
firmados digitalmente que pudieran corresponder a algn malware. Sin
embargo, tampoco encuentra informacin significativa:
A:> sigcheck -u -e c:\windows\system32
Sigcheck v1.3
Copyright (C) 2004-2006 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\windows\system32\sirenacm.dll:
Verified:
Unsigned
File date:
12:11 a.m. 13/10/2005
Publisher:
Microsoft Corp.
Description:
MSN Messenger Audio Codec
Product:
MSN Messenger Audio Codec
Version:
7.5.0311.0
File version: 7.5.0311.0
C:\windows\system32\UNWISE.EXE:
Verified:
Unsigned
File date:
10:55 a.m. 25/06/1999
Publisher:
n/a
Description:
n/a
Product:
n/a
Version:
n/a
File version: n/a
Pg. 15
Informe tcnico
C:\Documents and Settings\ver0k\NTUSER.DAT la siguiente entrada:
Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com
Buscando la cadena h4ckIII en el disco se obtiene del fichero pagefile.sys una
gran cantidad de informacin sobre la sesin de Messenger, comenzando por:
INVITE MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0
To: <msnmsgr:h4ckiii-2@hotmail.com>
(lo que indica que el destino de la comunicacin fue el usuario h4ckiii2@hotmail.com) y siguiendo con toda la sesin, con intercambios tipo:
MSNMSGR:h4ckiii-2@hotmail.com MSNSLP/1.0
To: <msnmsgr:h4ckiii-2@hotmail.com>
From: <msnmsgr:h4ckIII@hotmail.com>
Via: MSNSLP/1.0/TLP ;branch={6A2ADFE7-7AA9-4B77-9752-5A8033E6B0EB}
CSeq: 0
Call-ID: {93B356C3-6109-4C3E-9D4F-DF9EB0D5DF07}
Max-Forwards: 0
Content-Type: application/x-msnmsgr-sessionreqbody
Content-Length: 329
Los event logs pueden analizarse ms fcilmente si, en lugar de acceder a los
Pg. 16
Informe tcnico
mismos con las herramientas de Windows se descargan a un fichero en formato
texto. EnCase lo hace automticamente, aunque tambin puede emplearse para
esa tarea la utilidad dumpel del NT Resource Kit, PsLogList de sysinternals.
b) Los logs del servidor web Apache, tanto de acceso como de error, bajo
C:\apache\Apache\logs.
c)
d) Los
ficheros
de
log
de
PostgreSQL,
bajo
C:\Program
Files\PostgreSQL\8.1\data\pg_log. No obstante, enseguida determinamos
que slo existen entradas de dos tipos:
Arranque / parada
Pg. 17
Informe tcnico
Pg. 18
Informe tcnico
Siguientes pasos
A partir de aqu, el trabajo se vuelve bastante manual. Es evidente que hay
mucha actividad y cambios en el sistema que son normales y no corresponden a
actividad de ataque alguna, como instalacin del sistema, escritura en ficheros
de log, acceso normal a WebERP, etc... que aade mucho ruido a las evidencias
recogidas. Resulta muy complicado detallar todas y cada una de las actividades
realizadas, incluyendo bastantes bsquedas de palabras clave dentro de todo el
disco.
Simplemente sealar que nuestro siguiente punto de investigacin fue comprobar
cmo y cundo se cre la cuenta ver0k y a partir de ah ir desenredando la
madeja de las actividades que tuvieron lugar en el ataque, cuyo detalle se
expone en los siguientes captulos.
Finalmente, indicar que, como siempre, una de las mayores herramientas de
ayuda a cualquier anlisis forense es Google, http://www.google.com .
Pg. 19
Informe tcnico
3. Cronograma de actividades
A continuacin se presenta, en forma de tabla, un sumario del cronograma de
las actividades ms destacables detectadas en el sistema, junto con la evidencia
asociada. Para el anlisis temporal hemos intentado siempre corroborar
cualquier hiptesis desde varias fuentes, si bien en esta tabla y por razones de
espacio, se muestran las evidencias de forma abreviada. Asimismo, todas las
horas estn referidas al huso horario del Pacfico (PST, GMT-8) aunque la
evidencia en ocasiones est asociada a GMT Alaska (GMT-9), como ya hemos
comentado.
Fecha y Hora
Evento
Evidencias asociadas:
26-ene-06 08:27:21
26/01/2006
Evidencias asociadas: Application Event Log: 26/01/2006 11:37:19 Windows Product Activation
26-ene-06 14:53:23
a 15:04:33
26/01/2006 13:53:23
System Event Log
26/01/2006 14:04:33
COUNTERS\Administrator;
26-ene-06 18:00
Warning 14;
NtServicePack
Explorer.EXE; COUNTERS; Security issue; 0x84050013; restart; ;
Evidencias asociadas: Tiempo de creacin de los directorios C:\apache, y los directorios bin, lib, conf, etc.. bajo C:\apache\Apache
26-ene-06 18:39
Instalacin de MySQL
Evidencias asociadas: Tiempo de creacin de los directorios bin, lib, etc.. bajo C:\apache\Apache\mysql.
26-ene-06 18:47
Instalacin de WebERP
Se hace una primera prueba externa de seguridad del servidor web, que deja
una curiosa entrada en el log:
30-ene-06 18:28:30
a 18:31:43
Pg. 20
Informe tcnico
30-ene-06 18:28:34
Mon Jan 30
17:28:34 132.248.124.144 request failed: erroneous characters after
protocol string: GET /cgi-bin/excite;IFS=\\\\\\"$\\\\\\";
1-feb-06 18:53:00
a 18:53:45
2-feb-06 12:59:57
02/02/2006 12:59:57
El usuario reno copia 514 ficheros bajo C:\Documents and Settings en los
directorios de distintos usuarios incluyendo ficheros Excel, Word, presentaciones
Powerpoint, PDFs e imgenes pornogrficas en formato jpg.
Evidencias asociadas: Security Event Log: Account Used for Logon by reno 02/02/2006 18:34:18
Tiempo de creacin de los distintos ficheros creados, junto con el propietario de los mismos (el usuario reno es el nico que
tiene todos los permisos):
File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Sti_Trace.log
File Creation 02/02/2006 18:34:18 C:Documents and Settings\reno\Start
Menu\Programs\Accessories\Accessibility\Utility Manager.lnk
4-feb-06 14:04:43
a 14:26:54
Sat Feb 04
14:04:43 84.18.17.15
4-feb-06 14:19:14
a 14:19:19
\\x80.\\x01
Sat Feb 04
14:19:14 4.18.17.15
(38)Filename too long: Possible DoS attempt?
Path=c:/apache/apache/htdocs///////////////////////////
(unas 300 lneas iguales)
Sat Feb 04
14:19:19 4.18.17.15
(38)Filename too long: Possible DoS attempt?
Path=c:/apache/apache/htdocs///////////////////////////
4-feb-06 14:45:44
a 14:47:07
Instalacin de PostgreSQL.
04/02/2006 14:45:44
C\Program Files\PostgreSQL\8.1\bin\libpq.dll
File Access
04/02/2006 14:45:45
C\Program Files\PostgreSQL\8.1\bin\initdb.exe
Pg. 21
Informe tcnico
Name - Administrator; Caller Domain - COUNTERS; Caller Logon ID - (0x0,0x2266BA); Privileges - -; - postgres;
App Event Log
04/02/2006 14:47:07
MsiInstaller
4-ene-06 14:47:30
Sof7w4r3 14:47:30
File Creation
4-feb-06 15:28:25
15:01:32
Lista1.xls
15:03:42
5-feb-06 12:11:13
arbitrogay.wmv
Creation
Creation
Creation
Creation
Creation
Creation
updates 15:28:25
Blaster Windows2000-KB823980-x86-ESN.exe
15:28:25
Buffer Overrun Windows2000-KB824146-x86-ESN.exe
15:28:26
Netbios Windows2000-KB824105-x86-ESN.exe
15:28:27
w2k ntdll iis.EXE
15:28:27
Windows2000-KB828741-x86-ESN.EXE 15:28:27
Windows2000-KB835732-x86-ESN.EXE 15:28:32
Comienzo del ataque. Alguien, en algun lugar, crea un correo con el que intenta
conseguir que un usuario del sistema (Johnatan) acceda a una URL determinada,
mediante la cual tiene previsto conseguir acceso al sistema.
Evidencias asociadas: Del disco, en zonas no asignadas a ningn fichero, se ha recuperado el siguiente e-mail:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
jonathan.tezca@yahoo.com
Urgente!!
Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Johnny:
Por favor baja el catalogo que esta en
http://70.107.249.150/clientes.wmf
Alberto Lopez
Director General
Electronica y Computacion S.A. de C.V.
Se trata de un correo tipo phishing en el que intenta engaar a Johnatan, hacindose pasar por alguien por l conocido
(Alberto Lpez) para darle confianza.
5-feb-06 12:23:09
05/02/2006 12:23:09
Successful Logon -- Username - Johnatan; Domain - COUNTERS;
Logon ID - (0x0,0x3DF69A); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package
- Negotiate; Workstation - COUNTERS; - -;
Pg. 22
Informe tcnico
5-feb-06 12:23:49
05/02/2006 12:23:49
New Process Has Been Created -- New Process ID - 3128; Image
File Name - C:\Program Files\Internet Explorer\IEXPLORE.EXE; Creator Process ID Domain - 904; Username - Johnatan;
Domain - COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:26:46
5-feb-06 12:28:11
5-feb-06 12:28:49
...y lo consigue.
05/02/2006 12:28:49
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=73875
5-feb-06 12:40:36
05/02/2006 12:40:36
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=4224_0_22_1148_155_0_2_1_0_oSOYkYn4Ur6Rg9WuJfSMZ.S0.uvayXRfGrM2uUrhW6pLq2i23AwNvYWj6yTqLtjnJep.68tz2gZTICCFkrOwX9D.5_ilzE
X6EcqA
5-feb-06 12:41:30
Evidencias asociadas: Del disco, se ha recuperado el siguiente fichero borrado: C:\Documents and Settings\Johnatan\Local Settings\Temporary
Internet Files\Content.IE5\0B8EC9X6\CAU1CDC1.htm, que contiene el segundo correo y en la cabecera la fecha de
creacin del mismo:
De:
alopez@eycsa.com.mx
Para:
jonathan.tezca@yahoo.com
Asunto: Urgente!! (correccion)
Fecha:
Sun, 5 Feb 2006 14:42:47 -0600 (CST)
Johnny:
Esta es la liga correcta,
Por favor baja el catalogo que esta en
http://70.107.249.150:8080/clientes.wmf
Alberto Lopez
Director General
Electronica y Computacion S.A. de C.V.
Ntese cmo ha cambiado la URL para que ahora vaya al puerto 8080, en lugar del 80 por defecto de http.
5-feb-06 12:43:44
05/02/2006 12:43:44
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp
kyR
Pg. 23
Informe tcnico
5-feb-06 12:43:50
05/02/2006 12:43:50
Evidencias asociadas: Arranca el proceso cmd.exe 3376, PPID 884 (run32dll32.exe, hijo a su vez de 3128, el internet explorer de Johnatan)
La vulnerabilidad aprovechada se basa en un mal tratamiento de los ficheros WMF yest descrita en el boletn :
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
El exploit empleado es uno disponible dentro del Framework de Metasploit [23]
http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile
El cual aprovecha un bug en la function Escape para ejecutar cdigo arbitrario a travs del procedimiento SetAbortProc
de la librera GDI. Adems, el exploit genera una URL random y un fichero .tif tambin random que contiene el exploit,
para evitar las firmas de los IDS.
El empleo de este exploit o uno muy similar puede confiirmarse por la URL a la que es direccionado Johnatan para acceder
al stream WMF:
http://70.107.249.150:8080/GPlw9OgYR6/uSvcCeC1V18W/bfKJ0KMsfYBZnaFKx6dZs/FHBwenHfCEt6do1Z/e9z
hOEMQ052zYwSU5Oi/AUWWckI2mU/LQ9ClubslAJKIa2jdYtSFExez4sRyL.tiff
Y por la existencia de dicho fichero .tif entre los que son recuperables dentro de los ficheros temporales de Internet. En
concreto, lo encontramos en C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet
Files\Content.IE5\LQ9ClubsIAJKIa2jdYtSFExez4sRyL[2].tiff.
Asimismo, hemos reproducido en varias ocasiones el ataque, con ayuda de dos sesiones VMWare conectadas entre s, y
en todas ellas tanto las marcas de tiempo como los ficheros temporales generados son muy similares.
5-feb-06 12:45:30
El atacante aade la cuenta ver0k, con 'net user ver0k password /ADD'.
Evidencias asociadas: El password empleado es precisamente password, averiguado al crackear las cuentas con Proactive Password Auditor.
Pg. 24
Informe tcnico
5-feb-06 12:45:53
Luego aade la cuenta ver0k al grupo Administrators, con el comando 'net group
"Administrators" ver0k /ADD '
05/02/2006 12:45:53
New Process Has Been Created -- New Process ID - 2744; Image File Name C:\WINDOWS\system32\net.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain - COUNTERS;
Logon ID - (0x0,0x3DF69A);
05/02/2006 12:45:53
New Process Has Been Created -- New Process ID - 2576; Image File Name C:\WINDOWS\system32\net1.exe; Creator Process ID Domain - 2744; Username - Johnatan; Domain - COUNTERS;
Logon ID - (0x0,0x3DF69A);
05/02/2006 12:45:53
Local Group Member Added -- Member - -; Target Account Name - %{S-1-5-212780117151-1340924567-2512508698-1024}; Target Domain - Administrators; Target Account ID - Builtin; Caller
User Name - %{S-1-5-32-544}; Caller Domain - Johnatan; Caller Logon ID - COUNTERS; Privileges - (0x0,0x3DF69A); - File Access
05/02/2006 12:45:53
net.exe
C\WINDOWS\system32\net.exe
5-feb-06 12:46:23
Y finalmente, el atacante cambia las entradas del registry que permiten el acceso
remoto al sistema (En particular, HKLM\SYSTEM\CurrentControlSet\Terminal
Server\fDenyTSConenctions =0) con Terminal Remoto: REG ADD
HKLM\System\CurrentControlSet\Control\Terminal Server /v
fDenyTSConnections /t REG_DWORD /d 0 /f
File Access
05/02/2006 12:46:23
C\WINDOWS\system32\reg.exe
Security Event Log
05/02/2006 12:46:23
New Process Has Been Created -- New Process ID - 3984; Image
File Name - C:\WINDOWS\system32\reg.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:46:54
a 12:47:21
05/02/2006 12:46:54
C\WINDOWS\system32\winlogon.exe
Security Event Log: 05/02/2006 12:46:54
New Process Has Been Created -- New Process ID - 1668; Image
File Name - C:\WINDOWS\system32\winlogon.exe; Creator Process ID Domain - 284; Username - COUNTERS$;
Domain - WORKGROUP; Logon ID - (0x0,0x3E7);
File Access :
Un montn de fonts bajo C:\WINDOWS\Fonts
Security Event Log: 05/02/2006 12:46:56
Logon Process Registered -- Logon Process Name Winlogon\MSGina;
Sec Event Log:
05/02/2006 12:47:21
Successful Logon -- Username - ver0k; Domain - COUNTERS; Logon
ID - (0x0,0x3F4E19); Method - ; Logon Process - User32 ; Authentication Package - Negotiate; Workstation - COUNTERS;
- -;
La IP la obtenemos viendo el log en el momento de la desconexin, 1 hora y cuarto despus: Sec Event Log 05/02/2006
14:00:10 Session disconnected from winstation -- Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation - 70.107.249.155;
5-feb-06 12:47:46
y 12:48:02
05/02/2006 12:47:46
New Process Has Been Created -- New Process ID - 200; Image File
Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
File Access:
05/02/2006 12:48:02
C\WINDOWS\system32\ping.exe
Security Event Log: 05/02/2006 12:48:02
New Process Has Been Created -- New Process ID - 2208; Image
File Name - C:\WINDOWS\system32\ping.exe; Creator Process ID Domain - 3376; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
5-feb-06 12:48:17
ver0k arranca MySQL Administrador. Puede entrar sin problemas, puesto que no
hay password de acceso. Presumiblemente busca informacin sobre las bases de
datos configuradas y averigua que WebERP es la principal. Asimismo puede
Pg. 25
Informe tcnico
05/02/2006 12:48:17
C\Documents and Settings\All Users\Start
Menu\Programs\MySQL\MySQL Administrator.lnk
Security Event Log
05/02/2006 12:48:17
New Process Has Been Created -- New Process ID - 2320; Image
File Name - C:\Program Files\MySQL\MySQL Administrator 1.1\MySQLAdministrator.exe; Creator Process ID Domain 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
5-feb-06 12:49:50
ver0k edita con wordpad el fichero C:/apache/Apache/htdocs/weberp/AccountGroups.php, presumiblemente busca informacin de cuentas de
usuario y passwords de acceso a WebERP.
05/02/2006 12:49:50
New Process Has Been Created -- New Process ID - 520; Image File
Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 3100; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
File Access:
05/02/2006 12:49:51
C\WINDOWS\Fonts\cour.ttf
Iexplorer index.dat: 05/02/2006 12:49:51
Link Visited: ver0k@file:///C:/apache/Apache/htdocs/weberp/AccountGroups.php
Modificada la entrada del registry Classes\php_auto_file\shell\open\command ---> wordpad.exe
5-feb-06 12:49:53
05/Feb/2006
12:49:53 ver0k
Process Has Exited -- Process ID - 520; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 12:50:02
05/02/2006 12:50:02
New Process Has Been Created -- New Process ID - 3092; Image
File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720; Username ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Iexplorer index.dat 05/02/2006 12:50:02
Link :2006020520060206:
ver0k@file:///C:/apache/Apache/htdocs/web-erp/config.php
Contenidos del fichero config.php (entre otros):
// sql user & password
$dbuser = 'weberp_us';
$dbpassword = '';"
5-feb-06 12:51:00
Evidencias asociadas: :File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_common_
options.xml
File Access 05/02/2006 12:51:00 C\Documents and Settings\ver0k\Application Data\MySQL\mysqlx_user_
connections.xml
MySQL General Log:
05/02/2006 12:51:00
1386 Connect
weberp_us@localhost as anonymous on
05/02/2006 12:51:00
1386 Query
SET SESSION interactive_timeout=1000000
05/02/2006 12:51:00
1386 Query
SELECT @@sql_mode
05/02/2006 12:51:00
1386 Query
SET SESSION sql_mode='ANSI_QUOTES'
05/02/2006 12:51:00
1386 Query
SET NAMES utf8
File Access
05/02/2006 12:51:01
MySQLAdministrator.exe
MySQL General Log:
05/02/2006 12:51:01
1387 Connect
weberp_us@localhost as anonymous on
05/02/2006 12:51:01
1387 Query
SET SESSION interactive_timeout=1000000
05/02/2006 12:51:01
1387 Query
SELECT @@sql_mode
05/02/2006 12:51:01
1387 Query
SET SESSION sql_mode='ANSI_QUOTES'
05/02/2006 12:51:01
1387 Query
SET NAMES utf8
05/02/2006 12:51:01
1387 Quit
5-feb-06 12:51:16
a 13:01:22
Pg. 26
Informe tcnico
05/02/2006 12:51:16
C\apache\Apache\mysql\bin\mysql.exe
Sec Event Log
05/02/2006 12:51:16
New Process Has Been Created -- New Process ID - 392; Image File
Name - C:\apache\Apache\mysql\bin\mysql.exe; Creator Process ID Domain - 2320; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
"MySQL General Log:
060205 12:51:20 1388 Connect
weberp_us@localhost as anonymous on
060205 12:51:34 1388 Query
show tables
060205 12:51:41 1388 Query
show databases
060205 12:51:48 1388 Query
SELECT DATABASE()
1388 Init DB
weberp
060205 12:51:53 1388 Query
show tables
(ver apndice para el detalle de la sesin).
060205 13:01:22 1388 Quit"
Sec Event Log
05/02/2006 13:00:57
New Process Has Been Created -- New Process ID - 3024; Image
File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:02
Process Has Exited -- Process ID - 3024; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:15
New Process Has Been Created -- New Process ID - 2436; Image
File Name - C:\WINDOWS\system32\notepad.exe; Creator Process ID Domain - 720; Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19);
Sec Event Log
05/02/2006 13:01:19
Process Has Exited -- Process ID - 2436; Username C:\WINDOWS\system32\notepad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
Termina la sesin de mysql:
Sec Event Log
05/02/2006 13:01:22
Process Has Exited -- Process ID 392; Username - C:\apache\Apache\mysql\bin\mysql.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19
(La evidencia relative a los ficheros clientes.txt y users.txt se comenta ms adelante)
5-feb-06 13:03:12
05/02/2006 13:03:12
C\Program Files\MSN Messenger
Sec Event Log
05/02/2006 13:03:12
New Process Has Been Created -- New Process ID - 2448; Image
File Name - C:\Program Files\MSN Messenger\msnmsgr.exe; Creator Process ID Domain - 720; Username - ver0k;
Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
System Event Log
05/02/2006 13:03:18
Service Control Manager
WinHTTP Web Proxy Auto-Discovery
Service; start;
System Event Log
05/02/2006 13:03:18
Service Control Manager
WinHTTP Web Proxy Auto-Discovery
Service; running;
5-feb-06 13:03:29
a 13:04:15
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=55973&order=down&sort=d
ate&pos=0&view=a&head=b
index.dat 05/02/2006 13:04:12
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=%40B%40Bulk&reset=1&YY=32562&order=down&sort=d
ate&pos=0&view=a&head=b
index.dat 05/02/2006 13:04:15
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowLetter?MsgId=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4qQW.jWwp
Pg. 27
Informe tcnico
kyR
5-feb-06 13:04:20
Link Visited:
ver0k@http://messenger.msn.com/redirs/FIRST_TIME_EX.asp?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=
MX&BrandID=msmsgs&Build=7.5.0311&OS=Win&Version=7.5
index.dat 05/02/2006 13:04:20
Link Visited: ver0k@http://g.msn.com/5mees_mx/162
index.dat 05/02/2006 13:04:21
Link Visited:
ver0k@http://g.msn.com/5meen_us/153?GeoID=000000a6&Plcid=0c0a&CLCID=080a&Country=MX&BrandID=msms
gs&Build=7.5.0311&OS=Win&Version=7.5
File Access de un montn de ficheros temporales de explorer. Todos ellos correspondientes a la pgina de bienvenida de
MSN, por ejemplo: 05/02/2006 13:04:22
C\Documents and Settings\ver0k\Local Settings\Temporary Internet
Files\Content.IE5\0B8EC9X6\audio[1].jpg
5-feb-06 13:04:29
a 13:05:10
05/02/2006 13:04:29
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?box=%40B%40Bulk&Mid=6084_0_553_1161_187_0_4_1_0_oSOYkYn4Ur6Rg9SuJfSMZylawvafl_ZIeGfzYTPKxPtBv1w5lalEg_wancdKNiXSzdaV.JLnI3Unfrc9E7gE_iM4
05/02/2006 13:05:10
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?YY=11490&order=down&sort=date&pos=0&view=a&Idx=0
05/02/2006 13:05:26
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Compose?SEND=1&YY=7706&order=down&sort=date&pos=0&view=a
&Idx=0
Y, entre los ficheros temporales de internet encontramos:
C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\4XMNST6B\Compose[1].htm:
<form name="AddAddresses" target="_top"
action="http://address.mail.yahoo.com/yab/e1/?v=YM&A=a&.intl=e1&cp=1" method="post">
<input type="hidden" name="e" value="alopez@eycsa.com.mx,">
C:\Documents and Settings\Johnatan\Local Settings\Temporary Internet Files\Content.IE5\0B8EC9X6\CAMA58OV.htm:
<br><br><b><i>alopez@eycsa.com.mx</i></b> escribi:
5-feb-06 13:04:31
5-feb-06 13:05:56
Pg. 28
Informe tcnico
Igualmente:
complet la transferencia de "users.txt
5-feb-06 13:06:52
Johnatan vuelve a su buzn de yahoo, sale del mismo y mata el Internet Explorer
sobre el que se inici el ataque. Esta es la ltima actividad de Johnatan durante
ms de una hora Una hiptesis, dada la hora, es que se fue a comer.
05/02/2006 13:06:52
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/ShowFolder?rb=Inbox&reset=1&YY=6697&order=&sort=&pos=0&view=a
&YN=1
05/02/2006 13:06:57
Link Visited:
Johnatan@http://e1.f376.mail.yahoo.com/ym/Logout?YY=59215&inc=25&order=down&sort=date&pos=0&view=a&he
ad=b&box=Inbox&YY=59215
05/02/2006 13:07:07
Link Visited:
Johnatan@http://login.yahoo.com/config/exit?&.src=ym&.lg=e1&.intl=e1&.done=http%3a%2f%2flogin.yahoo.com%2fcon
fig%2fmail%3f.intl%3de1%26.lg%3de1
Sec Event Log
05/02/2006 13:07:10
Process Has Exited -- Process ID - 3128; Username - C:\Program
Files\Internet Explorer\IEXPLORE.EXE; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 13:10:40
ver0k manda a la papelera los ficheros clientes.txt y users.txt en los que guardaba
la salida de sus comandos sql
Evidencias asociadas: Recuperado de la papellera el fichero C\RECYCLER\S-1-5-21-2780117151-1340924567-25125086981024\Dc2.txt, en el que aparecen las salidas de la sesin mysql como por ejemplo:
mysql> show columns from custbranch;
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key |"
File Access 5-feb-06 13:10:40 Dc2.txt
Aunque borrado, encontramos en el slack del fichero INFO2:
00 00 00 02 00 00 00 60 0B 2D A0 98 2 C6 01 00 50 00 00 C:\users.txt
borrado: 0x01C62A98A02D0B60 en formato TIMEFILE equivale a 5-feb-2006 13:10:44
(el detalle de los ficheros INFO2 en la papelera y su estructura puede verse en http://www.efense.com/helix/Docs/Recycler_Bin_Record_Reconstruction.pdf )
5-feb-06 13:12:36
a 13:17:31
ver0k se dedica a ver los documentos que hay en el sistema. Comienza por las
imgenes pornogrficas que hay en el directorio de Johnatan(los 25 ficheros
jpeg bajo C\Documents and Settings\Johnatan\My Documents\imagenes\ y un
fichero wmv). La fecha de creacin de todas ellas es anterior a la intrusin.
05/02/2006 13:12:36
1_2005121110036.jpg
C\Documents and
Settings\Johnatan\My Documents\imagenes\1_2005121110036.jpg
index.dat 05/02/2006 13:12:36
Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/1_2005121110036.jpg
index.dat 05/02/2006 13:12:52
Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/2_2005121110036.jpg
File Access
05/02/2006 13:13:01
3_2005121110036.jpg
C\Documents and
Settings\Johnatan\My Documents\imagenes\3_2005121110036.jpg
Y un largo etc.
Iexplorer index.dat 05/02/2006 13:17:31
Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Johnatan/My%20Documents/imagenes/overlay_por_20060201100
07_20060201224249.jpg
5-feb-06 13:17:49
Evidencias asociadas: File Access 05/02/200613:17:49C\Documents and Settings\Johnatan\My Documents\Dr. salamo\CUADRO GRAl.xls
Pg. 29
Informe tcnico
De 5-feb-06 13:18:05
a13:19:05
05/02/2006 13:18:05
Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/a017.jpg
File Access
05/02/2006 13:18:16
overlay_por_2006020107034_20060201190204.jpg.lnk
5-feb-06 13:21:15
a 13:28:30
File Access
05/Feb/2006
13:23:43 Reglamento_aprobado_por_el_CP.doc
C\Documents and
Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc
File Access
05/Feb/2006
13:23:44 GEN 13 Segundo Informe del Comit de Programa.doc
C\Documents and Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc
File Access
05/Feb/2006
13:28:30 nm06082003.jpeg C\Documents and Settings\Administrator\My
Documents\My Videos\modelos\nm06082003.jpeg
5-feb-06 13:28:35
a 13:40:05
Ahora son las animaciones flash las que despiertan el inters de ver0k y procede
a ejecutarlas de forma sistemtica. Como nota interesante, una de ellas le abre
automticamente un Internet explorer a www.huevocartoon.com al cerrase.
Pg. 30
Informe tcnico
Evidencias asociadas: File Access
05/Feb/2006
13:28:35 el huevo tenorio.exe C\Documents and Settings\Administrator\My
Documents\My Videos\cartoons\el huevo tenorio.exe
Sec Event Log
05/Feb/2006
13:28:37 ver0k
New Process Has Been Created -- New Process ID 2796; Image File Name - C:\Documents and Settings\Administrator\My Documents\My Videos\cartoons\fiesta en el
antro.exe; Creator Process ID Domain - 720; Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
File Access
05/Feb/2006
13:28:38 fiesta en el antro.exe C\Documents and Settings\Administrator\My
Documents\My Videos\cartoons\fiesta en el antro.exe
5-feb-06 12:26:46
05/Feb/2006
13:40:16 ver0k
New Process Has Been Created -- New Process ID 4072; Image File Name - C:\Program Files\Windows NT\Accessories\wordpad.exe; Creator Process ID Domain - 720;
Username - ver0k; Domain - COUNTERS; Logon ID - (0x0,0x3F4E19);
Iexplorer index.dat 05/Feb/2006
13:40:16 Link :2006020520060206:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc
Iexplorer index.dat 05/Feb/2006
13:40:16 Link Visited:
ver0k@file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/30SEP_bolecart-book.doc
File Access
05/Feb/2006
13:40:17 30SEP_bolecart-book.doc
C\Documents and
Settings\Administrator\My Documents\30SEP_bolecart-book.doc
File Access
05/Feb/2006
13:41:16 Indice Pormenorizado.doc
C\Documents and
Settings\Administrator\My Documents\Indice Pormenorizado.doc
Sec Event Log
05/Feb/2006
13:41:20 ver0k
Process Has Exited -- Process ID - 1136; Username C:\Program Files\Windows NT\Accessories\wordpad.exe; Domain - ver0k; Logon ID - COUNTERS; - (0x0,0x3F4E19);
5-feb-06 13:57:37
a 14:00:59
Informe tcnico
Evidencias asociadas:
Informe tcnico
Evidencias asociadas: Sec Event Log
05/02/2006 14:00:10
Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client Username - LUFERFU; Workstation 70.107.249.155;
5-feb-06 14:18:21
5-feb-06 14:19:37
14:18:21
14:18:42
14:19:04
14:19:17
14:19:24
14:19:29
14:19:32
14:19:33
14:19:36
Link
Link
Link
Link
Link
Link
Link
Link
Link
Visited: Johnatan@http://127.0.0.1/web-erp
Visited: Johnatan@http://127.0.0.1/web-erp/index.php
Visited: Johnatan@http://localhost/web-erp
Visited: Johnatan@http://localhost/web-erp/index.php
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=stock
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=PO
Visited: Johnatan@http://localhost/web-erp/index.php?
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=orders
Visited: Johnatan@http://localhost/web-erp/index.php?&Application=system
05/02/2006 14:19:37
Link Visited: Johnatan@http://localhost/web-erp/WWW_Users.php?
Apache Access Log 05/02/2006 14:20:06
127.0.0.1
GET /web-erp/Logout.php? HTTP/1.1
index.dat 05/02/2006 14:20:06
Link Visited: Johnatan@http://localhost/web-erp/Logout.php?
5-feb-06 14:21:01
05/02/2006 14:21:01
New Process Has Been Created -- New Process ID - 3844; Image
File Name - D:\PTStart.exe; Creator Process ID Domain - 904; Username - Johnatan; Domain - COUNTERS; Logon ID (0x0,0x3DF69A);
Iexplorer index.dat 05/02/2006 14:21:15
Link Visited: Johnatan@file:///D:/index.html
Sec Event Log
05/02/2006 14:22:25
New Process Has Been Created -- New Process ID - 3656; Image
File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 904; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:22:56
New Process Has Been Created -- New Process ID - 3348; Image
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:23:01
Process Has Exited -- Process ID - 3348; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:25:37
Lo intenta de nuevo. Esta vez parece que ha ido mejor, pues el comando acaba
en 29 segundos, pero no es suficiente.
05/02/2006 14:25:37
New Process Has Been Created -- New Process ID - 3644; Image
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3656; Username - Johnatan; Domain COUNTERS; Logon ID - (0x0,0x3DF69A);
Sec Event Log
05/02/2006 14:26:08
Process Has Exited -- Process ID - 3644; Username D:\kit_de_respuesta\win2k_xp\dd.exe; Domain - Johnatan; Logon ID - COUNTERS; - (0x0,0x3DF69A);
5-feb-06 14:26:57
05/02/2006 14:26:57
38753,60205
Sec Event Log
05/02/2006 14:26:58
New Process Has Been Created -- New Process ID - 176; Image File
Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 836; Username - COUNTERS$; Domain WORKGROUP; Logon ID - (0x0,0x3E7);
Sec Event Log
05/02/2006 14:27:29
New Process Has Been Created -- New Process ID - 2280; Image
File Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 176; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50D2D6);
Pg. 33
Informe tcnico
05/02/2006 14:29:01
Unknown Username or Bad Password -- Username - adminstrator;
Domain - COUNTERS; Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package Negotiate; - COUNTERS;
Sec Event Log
05/02/2006 14:29:16
Successful Logon -- Username - Administrator; Domain - COUNTERS;
Logon ID - (0x0,0x50ED34); Method - Logon Occurred on This Machine; Logon Process - User32 ; Authentication Package
- Negotiate; Workstation - COUNTERS; - -;
Sec Event Log
05/02/2006 14:29:47
New Process Has Been Created -- New Process ID - 3640; Image
File Name - D:\kit_de_respuesta\win2k_xp\CMD.EXE; Creator Process ID Domain - 3120; Username - Administrator;
Domain - COUNTERS; Logon ID - (0x0,0x50ED34);
Sec Event Log
05/02/2006 14:30:27
New Process Has Been Created -- New Process ID - 860; Image File
Name - D:\kit_de_respuesta\win2k_xp\dd.exe; Creator Process ID Domain - 3640; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
Y varias lneas similares
5-feb-06 15:35:12
05/02/2006 15:35:12
05/02/2006 15:35:48
New Process Has Been Created -- New Process ID - 3616; Image
File Name - D:\statbins\win32\LS.EXE; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
Sec Event Log
05/02/2006 15:42:11
New Process Has Been Created -- New Process ID - 2548; Image
File Name - D:\win32\sysinternals\pslist.exe; Creator Process ID Domain - 384; Username - Administrator; Domain COUNTERS; Logon ID - (0x0,0x50ED34);
5-feb-06 15:43:54
05/02/2006 15:43:54
Application Popup Windows; Other people are logged on to this
computer. Shutting down Windows might cause them to lose data.
Shutdown Sec Event Log
05/02/2006 15:44:17
System Shutdown
5-feb-06 15:44:32
C7 10 C8 1C AE 2A C6 01
Pg. 34
Informe tcnico
25/01/2006
05/02/2006
05/02/2006 12:11:13
05/02/2006 12:41:30
05/02/2006 12:42:47
05/02/2006 12:23:09
05/02/2006 12:26:46
05/02/2006 12:43:44
05/02/2006 12:43:50
Pg. 35
Informe tcnico
05/02/2006 12:44:11
05/02/2006 12:45:53
05/02/2006 12:46:54
05/02/2006 12:47:46
05/02/2006 12:48:17
Pg. 36
Informe tcnico
05/02/2006 12:51:16
05/02/2006 13:03:12
05/02/2006 13:03:29
05/02/2006 13:05:46
05/02/2006 13:12:36
05/02/2006 13:57:37
05/02/2006 14:18:21
05/02/2006 14:21:01
05/02/2006 15:44:32
Pg. 37
Informe tcnico
4.
Anlisis de artefactos
Fichero
CAU1CDC1.htm
LQ9ClubsIAJKIa2jdYtSFExez4sR
y[2].tiff
MD5 / Descripcin
f238a1d6ff2f7568b140dda49f231356
Trozo del cdigo html de Yahoo mail que nos permite recuperar uno de los correos del ataque.
C0dc2dca150342f4122075afdaffa61a
Se trata del fichero .tiff generado de forma random por el exploit de metasploit.
CAMA58OV.htm
Compose[1].htm
Compose[1].htm
WWW_Users[1].htm
d1b2f9a7901a7f936dca606ebc5d5976
6cecce95b4910cd17d106f737fbbfb79
a7a4d51a60ad93f51eaf75f0a3beb0a0
Los ficheros .html que permiten afirmar que Johnatan respondi a los correos de ver0k.
bc1c99d09d2955af08cf4e3213a9ce76
Fichero con la salida de usuarios en WebERP que obtuvo Johnatan y donde puede verse el usuario
admin. Fue en este momento cuando se descubri la intrusin.
Fichero
Dc2.txt
MD5 / Descripcin
eceec975c1202ad4cbcee92c5ca9a937
Recuperado de C:\RECYCLER\S-1-5-21-2780117151-1340924567-25125086981024\Dc2.txt, y que, segn el fichero INFO2 en ese mismo directorio corresponde a clientes.txt
c)
Pg. 38
Informe tcnico
Settings\ver0k, y en particular:
Fichero
Index.dat
MD5 / Descripcin
aa59ffdfc41075d0b8f1bd5b981286ef
NTUSER.dat
Software\Microsoft\CurrentVersion\UnreadMail\h4ckIII@hotmail.com
Pg. 39
Informe tcnico
5. Direcciones IP implicadas
A continuacin se muestra la informacin de registro de algunas direcciones IP
implicadas en el ataque analizado. Evidentemente, toda esta informacin
corresponde a la actualidad (Marzo 2006), dado que no existe un registro que
permita conocer la trayectoria histrica de cada direccin IP, sino slo las
asignaciones actuales.
En los casos en los que ha sido posible, se ha aadido informacin obtenida de
DShield [25](www.dshield.org) y/o Google (www.google.com).
Direccin IP
134.186.42.18
Informacin
de registro:
OrgName:
StateProv:
Country:
NetRange:
NetName:
HostName: cert.seguridad.unam.mx
Informacin
de registro:
84.18.17.15
132.248/16
assigned
Universidad Nacional Autonoma de
MX
Informacin
de registro:
4.18.17.15
inetnum:
status:
owner:
Mexico
country:
inetnum:
org:
netname:
descr:
descr:
comunicaciones,
country:
84.18.0.0 - 84.18.31.255
ORG-ASyc1-RIPE
ES-ARRAKIS-20040805
Provider Local Registry
Arrakis, Servicios y
S.L.
ES
14:19:14.
HostName: 4-18-17-15.atcf.net
Asociada a un ISP Wireless: www.atcf.net
Informacin
de registro:
OrgName:
OrgID:
StateProv:
Country:
NetRange:
Pg. 40
Informe tcnico
Direccin IP
Razn de inters / Informacin de registro
70.107.249.150 Estas son las direcciones IP asociadas al atacante2 .
y 70.107.249.155 HostNames: static-70-107-249-150.ny325.east.verizon.net
static-70-107-249-155.ny325.east.verizon.net
Asociadas a un ISP de USA (Verizon Internet Services Inc): www.verizon.net.
Informacin
de registro:
OrgName:
OrgID:
Country:
NetRange:
A partir de las evidencias, se puede determinar que hay dos direcciones IP implicadas directamente
en el ataque:
a)
70.107.249.150, direccin en la que el atacante pone un falso servidor web (ver index.dat del
usuario Johnatan) desde el que se ejecuta el exploit, y tambin desde la que se accede a
WebERP para crear una cuenta de administracin (ver logs de acceso de apache), y, por otro
lado
b)
70.107.249.155, direccin desde la que se lanza el Terminal remoto segn el event log:
Session disconnected from winstation -- Username - ver0k; Domain COUNTERS; Logon ID - (0x0,0x3F4E19); Mode - RDP-Tcp#1; Client
Username - LUFERFU; Workstation - 70.107.249.155;
y a la que se envan los ficheros clientes.txt y cuentas.txt mediante MSN Messenger, de acuerdo
con la informacin hallada en pagefile.sys:
MSNSLP/1.0 200 OK
To: <msnmsgr:h4ckIII@hotmail.com>
From: <msnmsgr:h4ckiii-2@hotmail.com>
Via: MSNSLP/1.0/TLP ;branch={BFB61937-F8A2-41DC-A6BF-321A6447A639}
CSeq: 1
Call-ID: {4E399059-6930-4A0B-8061-0580E9EEAA68}
Max-Forwards: 0
Content-Type: application/x-msnmsgr-transrespbody
Content-Length: 178
Bridge: TCPv1
Listening: true
Hashed-Nonce: {A6A0D33D-2E7C-BD32-C296-AA8BB1AACC45}
IPv4Internal-Addrs: 192.168.182.1 192.168.225.1 70.107.249.155
Buscando adems las dos direcciones IP en formato hexadecimal, esto es, 0x466bf996
(70.107.249.150) y 0x466bf99b (70.107.249.155) podemos encontrar tambin en pagefile.sys
esta ltima junto a la cadena Microsoft RDP 5.2, hasta en 3 ocasiones, lo que nos
permite confirmar que ver0k emple la IP 70.107.249.155 para acceder al sistema mediante
Terminal remoto (Remote Desktop Protocol).
No existe forma de determinar si se trata de dos sistemas distintos controlados por el atacante un
nico sistema que emplea algn tipo de NAT para determinados puertos (por ejemplo, para el trfico
http en los puertos 80 y 8080).
Pg. 41
Informe tcnico
6. Alcance de la intrusin
A partir de las evidencias encontradas, podemos concluir que la intrusin sufrida
por el sistema COUNTERS, ha tenido como alcance el siguiente:
a) Compromiso total del sistema operativo, con la creacin y uso de una cuenta
de administracin no autorizada (ver0k).
b) Compromiso de la base de datos MySQL, de la cual se ha revelado al
exterior la informacin correspondiente tanto a clientes como a cuentas de
usuario. En particular, se ha revelado toda la informacin que se encuentra
en las tablas www_users y custbranch de dicha base de datos.
c)
Documento
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
Documents
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
and
Fecha de acceso
Settings\reno\My Documents\Reglamento_aprobado_por_el_CP.doc
Settings\reno\My Documents\GEN 13 Segundo Informe del Comit de Programa.doc
Settings\reno\My Documents\Boletin11.doc
Settings\reno\My Documents\Cap02c.DOC
Settings\reno\My Documents\CO-0863r1_e.doc
Settings\reno\My Documents\bases_software.doc
Settings\reno\My Documents\HMC_11.doc
Settings\reno\My Documents\inesC.V10-2-05F.doc
Settings\reno\My Documents\2004-bAUDITORIA 4.doc
Settings\reno\My Documents\guiapce.doc
Settings\reno\My Documents\CuartoPeriodo-INFORME DEL RELATOR.doc
Settings\reno\My Documents\concha.doc
Settings\reno\My Documents\11013834211TIC_y_reduccion_pobreza_de_la_pobreza_en_ALC.doc
Settings\reno\My Documents\CP11591S08.doc
Settings\reno\My Documents\formato-jitel.doc
Settings\reno\My Documents\fap.doc
Settings\reno\My Documents\plantilla.doc
Settings\reno\My Documents\S03-WSIS-DOC-0004!!MSW-S.doc
Settings\Administrator\My Documents\30SEP_bolecart-book.doc
Settings\Administrator\My Documents\Indice Pormenorizado.doc
Settings\reno\My Documents\conConicyt.doc
Settings\reno\My Documents\congreso8.doc
Settings\reno\My Documents\20060126masercisaproyecto609.doc
Settings\reno\My Documents\Juego de las parejas para pulsador.doc
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
13:23
13:23
13:24
13:24
13:24
13:24
13:24
13:24
13:26
13:26
13:26
13:26
13:27
13:27
13:27
13:27
13:27
13:27
13:40
13:41
13:57
13:57
13:57
13:57
Pg. 42
Informe tcnico
Documents
Documents
Documents
Documents
Documents
and
and
and
and
and
Settings\Administrator\My
Settings\Administrator\My
Settings\Administrator\My
Settings\Administrator\My
Settings\Administrator\My
Documents\formulario.doc
Documents\Notas.doc
Documents\NDICE DOCTORADO.doc
Documents\RRGEPNotas.doc
Documents\RRGEPPortadas.doc
05/02/2006
05/02/2006
05/02/2006
05/02/2006
05/02/2006
14:39
14:39
14:39
14:39
14:39
Pg. 43
Informe tcnico
7. Conclusiones
Las siguientes conclusiones pueden ser extradas de la investigacin de este
incidente.
7.1. Conclusin 1
De forma global, a partir de los datos disponibles el incidente se puede resumir
en los siguientes hechos:
Pg. 44
Informe tcnico
7.2. Conclusin 2
El ataque al sistema se realiz con una cierta planificacin y con carcter
especfico hacia este sistema en particular. Esta conclusin est basada en los
siguientes datos:
7.3. Conclusin 3
El ataque fue posible a pesar de que el sistema estaba, en general, bastante bien
configurado y a un alto nivel de parcheo. Aunque es cierto que se utiliz una
vulnerabilidad de reciente descubrimiento, fue el uso indebido del servidor para
navegar de forma genrica por Internet, especialmente grave cuando el usuario
Pg. 45
Informe tcnico
empleado para ello tiene privilegios de administracin, lo que posibilit el
ataque.
7.4. Conclusin 4
El anlisis del sistema ha podido ser muy detallado gracias a que el
administrador del mismo se preocup de configurar en un alto nivel de detalle el
sistema de auditora de Windows, lo que demuestra la importancia de estar
preparado por anticipado ante un posible ataque.
7.5. Conclusin 5
En general, da la impresin de que el sistema no era un sistema en produccin
real, sino un servidor preparado para generar una imagen que fuera posible usar
en un reto de anlisis forense. Esta conclusin est basada en los siguientes
datos:
7.6. Conclusin 6
Preservar la evidencia es crucial para cualquier investigacin forense.
En incidentes informticos, como en incidentes de la vida real, la preservacin de
la evidencia juega un papel fundamental en el proceso para asegurar el xito de
la investigacin. En este incidente, mucha de la informacin ha sido posible
obtenerla porque se dispona de una imagen binaria de la particin primaria del
sistema en un instante de tiempo cercano al incidente y sin demasiadas
modificaciones inducidas por el propio administrador del sistema. Si el
administrador, cuando entr en el sistema para generar las copias, hubiera
Pg. 46
Informe tcnico
empezado a lanzar comandos para "investigar", muchas de las pruebas habran
desaparecido.
No modificar en absoluto la evidencia no es posible en la mayora de los casos,
pero siempre se debe intentar que la modificacin sea la menor posible.
7.7. Conclusin 7
Participar en retos de anlisis forense disminuye de forma alarmante las horas de
sueo de los participantes.
Pg. 47
Informe tcnico
8. Recomendaciones
Solucin al incidente
Como consecuencia del ataque, el sistema y la informacin en l contenida han
quedado completamente comprometidas. Aunque se ha identificado el origen de
la intrusin y el detalle de la actividad realizada, no podemos estar
absolutamente seguros de que no haya otros cambios que han pasado
desapercibidos a la investigacin forense. Por tanto, para recuperarse de la
intrusin y conseguir un sistema completamente seguro los pasos recomendables
seran, si ello es posible:
Reinstalar una versin limpia del sistema operativo, siempre sin estar
conectado al exterior.
Pg. 48
Informe tcnico
Recomendaciones finales
De cara a evitar posibles problemas similares a ste en el futuro, se recomiendan
las siguientes acciones:
Pg. 49
Informe tcnico
9. Referencias
[1] The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php
[2] Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php.
[3] Vmware workstation software. http://www.vmware.com
[4] Encase Forensic, de Guidance Software. http://www.guidancesoftware.com
[5] RedHat Linux. http://www.redhat.com/.
[6] Mount Image Pro. http://www.mountimage.com
[7] Sysinternals web site. http://www.sysinternals.com
[8] Foundstone free forensic tools. http://www.founstone.com
[9] Panda Antivirus + Antispyware. http://www.pandasoftware.com
[10] eTrust PestPatrol y EZ-Antivirus. http://www.ca.com
[11] Proactive Password Auditor. http://www.elcomsoft.com
[12] Chntpw. http://home.eunet.no/pnordah/ntpasswd/
[13] LADS. List Alternate Data Streams. http://www.heysoft.de/nt/ep-lads.htm
[14] Microsoft Excel. http://www.microsoft.com
[15] Google. http://www.google.com/.
[16] NTFS file system description
http://technet2.microsoft.com/WindowsServer/en/Library/8cc5891d-bf8e-4164-862ddac5418c59481033.mspx
[17] CurrPorts. http://www.nirsoft.net/utils/cports.html
[18] GFI LANguard Network Security Scanner v6.0 http://www.gfi.com
[19] Nacional Software Referente Library. http://www.nsrl.nist.gov
[20] Microsoft Windows Remote Desktop Protocol.
http://www.microsoft.com/technet/prodtechnol/Win2KTS/evaluate/featfunc/rdpfperf.
mspx
[21] How to Calculate the MSN Messenger Passport User Id.
http://www.msnfanatic.com/articles/how-to-calculate-the-msn-messenger-6-xpassport-user-id-173.html
[22] Nikto web scanner. http://www.cirt.net/code/nikto.shtml
[23] Metasploit WMF vulnerability and exploit.
http://www.metasploit.com/projects/Framework/exploits.html#ie_xp_pfv_metafile
[24] Microsoft Security Bulletin ms06-001.
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
[25] Distributed Intrusion Detection System, http://www.dshield.org/
Pg. 50
Informe tcnico
10. Anexos
10.1. Mails enviados a Johnatan
Estos son los correos recuperados con los que el atacante enga al usuario
Johnatan, enviados a su cuenta en yahoo.com:
Primer correo, que no tiene para el atacante el xito deseado, recuperado de
zonas no asignadas del disco:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
jonathan.tezca@yahoo.com
Urgente!!
Sun, 5 Feb 2006 14:11:13 -0600 (CST)
Johnny:
Por favor baja el catalogo que esta en
http://70.107.249.150/clientes.wmf
Alberto Lopez
Director General
Electronica y Computacion S.A. de C.V.
Segundo correo, en el que la URL se ha modificado para acceder al puerto
8080, recuperado de los ficheros temporales de Internet Explorer:
De:
Para:
Asunto:
Fecha:
alopez@eycsa.com.mx
jonathan.tezca@yahoo.com
Urgente!! (correccion)
Sun, 5 Feb 2006 14:42:47 -0600 (CST)
Johnny:
Esta es la liga correcta,
Por favor baja el catalogo que esta en
http://70.107.249.150:8080/clientes.wmf
Alberto Lopez
Director General
Electronica y Computacion S.A. de C.V.
Pg. 51
Informe tcnico
Pg. 52
Informe tcnico
| purchdata
|
| purchorderdetails
|
| purchorders
|
| recurringsalesorders
|
| recurrsalesorderdetails
|
| reportcolumns
|
| reportheaders
|
| salesanalysis
|
| salescat
|
| salescatprod
|
| salesglpostings
|
| salesman
|
| salesorderdetails
|
| salesorders
|
| salestypes
|
| scripts
|
| securitygroups
|
| securityroles
|
| securitytokens
|
| shipmentcharges
|
| shipments
|
| shippers
|
| stockcategory
|
| stockcheckfreeze
|
| stockcounts
|
| stockmaster
|
| stockmoves
|
| stockmovestaxes
|
| stockserialitems
|
| stockserialmoves
|
| suppallocs
|
| suppliercontacts
|
| suppliers
|
| supptrans
|
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
85 rows in set (0.00 sec)
mysql> select columns from www_users;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near 'columns from www_users' at line 1
mysql> show columns from www_users;
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| varchar(55) | YES |
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
| displayrecordsmax | int(11)
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
Pg. 53
Informe tcnico
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
16 rows in set (0.01 sec)
mysql> show columns from www_users;
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| varchar(55) | YES |
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
| displayrecordsmax | int(11)
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
16 rows in set (0.00 sec)
mysql> select userid,password,realname,fullaccess from www_users;
+------------+------------------------------------------+-------------------------------+------------+
| userid
| password
| realname
| fullaccess |
+------------+------------------------------------------+-------------------------------+------------+
| acontreras | 067f1396a8434994b5c1c69edfd29c17571993ee | Alberto Contreras Zacaras
|
8 |
| amed
| ef8085fc0990de00dbfd958373ed769f7b2c93a8 | Antonio Medina Ocaa
|
11 |
| amirac
| e3ddf21db44f98f4d9e38d14aff077d753c35f0e | Astrid Miranda Acua
|
18 |
| andre
| 933f868ccf7ece7601793d3887f5522fbb341418 | Andrea Escalera Nava
|
17 |
| carsel
| 752c944261fa72cb17fd8ab40362952a60dbc30e | Carmen Serrano Luna
|
9 |
| chtorret
| 617d0fd33bb15d60efadd04f41e1686e930cd69b | Chema Torret
|
9 |
| dizav
| 933f868ccf7ece7601793d3887f5522fbb341418 | Diego Zrate Vite
|
10 |
| eduajt
| 12ef46f8a2edfd221263e4dd48d5d505818b3f0b | Eduardo Jimnez Tapia
|
10 |
| egavilan
| a53956bf4c747c5959e63d92ecb885c123935668 | Ernesto Gaviln
|
8 |
| gabsa
| b7c40b9c66bc88d38a59e554c639d743e77f1b65 | Gabriela Sandoval Portillo
|
11 |
| gruvalcaba | b9677421e4bebddda761f32ec2ed52e3425f0fa2 | Gumaro Ruvalcaba
|
11 |
| Jehern
| edefeffa1514cc1783e88f83eddc338686c60618 | Jess Hernandez Cuevas
|
11 |
| juma
| 14993032bd035408dd9ab6f6e6ad0b023eced296 | Juan Morales Fierro
|
12 |
| ladelga
| 25f92a2263b2c1a75077f257aeacd1376ed4f391 | Luis Ignacio Aguiaga Delgado |
10 |
| majogar
| 906e1bdf102a0d2338ff5d1fafabc33a72824868 | Mara Jos Garca Rubio
|
11 |
| mamuria
| bb1c9637c5dfdfcbc5ed60b46c2d0247a8832c8d | Miguel Angel Muria Torres
|
11 |
| maubaro
| cbfdac6008f9cab4083784cbd1874f76618d2a97 | Mauricio Barrios Santiago
|
11 |
| mavep
| 75222f68d4dab93e5ff408018a28a1b19ceff3e5 | Mayra Velzquez Prieto
|
11 |
| ncanes
| 1d68c2efb2a2085f25412feef3e3a245d743019f | Napolen Canes
|
22 |
| rodid
| 8a0c0d37c6bc713a3ae67b7a797c39ba865787d4 | Rodrigo Ibarra Daz
|
8 |
| roxar
| 9fd05e35784808bc7513b62710b57f272cc11f70 | Roxana Aguilar de la Riva
|
8 |
| sarnua
| 01c037d306292acce46e3dc08e75ab0702324636 | Sara Nez Aldana
|
9 |
+------------+------------------------------------------+-------------------------------+------------+
23 rows in set (0.00 sec)
mysql> show columns from www_users;
+-------------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-------------------+-------------+------+-----+---------+-------+
| userid
| varchar(20) |
| PRI |
|
|
| password
| text
|
|
|
|
|
| realname
| varchar(35) |
|
|
|
|
| customerid
| varchar(10) |
| MUL |
|
|
| phone
| varchar(30) |
|
|
|
|
| email
| varchar(55) | YES |
| NULL
|
|
| defaultlocation
| varchar(5) |
| MUL |
|
|
| fullaccess
| int(11)
|
|
| 1
|
|
| lastvisitdate
| datetime
| YES |
| NULL
|
|
| branchcode
| varchar(10) |
|
|
|
|
| pagesize
| varchar(20) |
|
| A4
|
|
Pg. 54
Informe tcnico
| modulesallowed
| varchar(20) |
|
|
|
|
| blocked
| tinyint(4) |
|
| 0
|
|
| displayrecordsmax | int(11)
|
|
| 0
|
|
| theme
| varchar(30) |
|
| fresh
|
|
| language
| varchar(5) |
|
| en_GB
|
|
+-------------------+-------------+------+-----+---------+-------+
16 rows in set (0.00 sec)
mysql> show tables;
+-----------------------------+
| Tables_in_weberp
|
+-----------------------------+
| accountgroups
|
| accountsection
|
| areas
|
| bankaccounts
|
| banktrans
|
| bom
|
| buckets
|
| chartdetails
|
| chartmaster
|
| cogsglpostings
|
| companies
|
| config
|
| contractbom
|
| contractreqts
|
| contracts
|
| currencies
|
| custallocns
|
| custbranch
|
| debtorsmaster
|
| debtortrans
|
| debtortranstaxes
|
| discountmatrix
|
| edi_orders_seg_groups
|
| edi_orders_segs
|
| ediitemmapping
|
| edimessageformat
|
| freightcosts
|
| gltrans
|
| grns
|
| holdreasons
|
| lastcostrollup
|
| locations
|
| locstock
|
| loctransfers
|
| orderdeliverydifferenceslog |
| paymentmethods
|
| paymentterms
|
| periods
|
| prices
|
| purchdata
|
| purchorderdetails
|
| purchorders
|
| recurringsalesorders
|
| recurrsalesorderdetails
|
| reportcolumns
|
| reportheaders
|
| salesanalysis
|
| salescat
|
| salescatprod
|
| salesglpostings
|
| salesman
|
| salesorderdetails
|
| salesorders
|
| salestypes
|
| scripts
|
| securitygroups
|
| securityroles
|
| securitytokens
|
| shipmentcharges
|
Pg. 55
Informe tcnico
| shipments
|
| shippers
|
| stockcategory
|
| stockcheckfreeze
|
| stockcounts
|
| stockmaster
|
| stockmoves
|
| stockmovestaxes
|
| stockserialitems
|
| stockserialmoves
|
| suppallocs
|
| suppliercontacts
|
| suppliers
|
| supptrans
|
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
85 rows in set (0.00 sec)
mysql> show columns from custbranch;
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
| estdeliverydays | smallint(6) |
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| defaultlocation | varchar(5) |
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
| defaultshipvia | int(11)
|
| MUL | 1
|
|
| deliverblind
| tinyint(1) | YES |
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
| custbranchcode | varchar(30) |
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
29 rows in set (0.05 sec)
mysql> show tables;
+-----------------------------+
| Tables_in_weberp
|
+-----------------------------+
| accountgroups
|
| accountsection
|
Pg. 56
Informe tcnico
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
areas
bankaccounts
banktrans
bom
buckets
chartdetails
chartmaster
cogsglpostings
companies
config
contractbom
contractreqts
contracts
currencies
custallocns
custbranch
debtorsmaster
debtortrans
debtortranstaxes
discountmatrix
edi_orders_seg_groups
edi_orders_segs
ediitemmapping
edimessageformat
freightcosts
gltrans
grns
holdreasons
lastcostrollup
locations
locstock
loctransfers
orderdeliverydifferenceslog
paymentmethods
paymentterms
periods
prices
purchdata
purchorderdetails
purchorders
recurringsalesorders
recurrsalesorderdetails
reportcolumns
reportheaders
salesanalysis
salescat
salescatprod
salesglpostings
salesman
salesorderdetails
salesorders
salestypes
scripts
securitygroups
securityroles
securitytokens
shipmentcharges
shipments
shippers
stockcategory
stockcheckfreeze
stockcounts
stockmaster
stockmoves
stockmovestaxes
stockserialitems
stockserialmoves
suppallocs
suppliercontacts
suppliers
supptrans
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pg. 57
Informe tcnico
| supptranstaxes
|
| systypes
|
| taxauthorities
|
| taxauthrates
|
| taxcategories
|
| taxgroups
|
| taxgrouptaxes
|
| taxprovinces
|
| unitsofmeasure
|
| workcentres
|
| worksorders
|
| www_users
|
+-----------------------------+
85 rows in set (0.00 sec)
mysql> show columns from custallocns;
+-------------------+---------------+------+-----+------------+----------------+
| Field
| Type
| Null | Key | Default
| Extra
|
+-------------------+---------------+------+-----+------------+----------------+
| id
| int(11)
|
| PRI | NULL
| auto_increment |
| amt
| decimal(20,4) |
|
| 0.0000
|
|
| datealloc
| date
|
| MUL | 0000-00-00 |
|
| transid_allocfrom | int(11)
|
| MUL | 0
|
|
| transid_allocto
| int(11)
|
| MUL | 0
|
|
+-------------------+---------------+------+-----+------------+----------------+
5 rows in set (0.11 sec)
mysql> show columns from custbranch;
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
| estdeliverydays | smallint(6) |
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| defaultlocation | varchar(5) |
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
| defaultshipvia | int(11)
|
| MUL | 1
|
|
| deliverblind
| tinyint(1) | YES |
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
| custbranchcode | varchar(30) |
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
29 rows in set (0.00 sec)
mysql> select branchcode,brname from custbranch;
+------------+-----------------------------------+
| branchcode | brname
|
+------------+-----------------------------------+
| ANGRYFL
| Angus Rouledge - Florida
|
| ANGRY
| Angus Rouledge - Toronto
|
| DUMBLE
| Dumbledoor McGonagal & Co
|
| FACTORY
| FACTORY Computadoras
|
Pg. 58
Informe tcnico
| IMRAMG
| IMRAMG de America
|
| JRAMIREZ
| Jacobo Ramirez Alcantara
|
| JOLOMU
| Lorrima Productions Inc
|
| MAXICOMP
| MAXICOMP de Mexico
|
| NOSTRON
| NOSTRON SA de CV
|
| QUARTER
| Quarter Back to Back
|
| RSAVALA
| Ramon Savala Rincon
|
| SAMICE
| SAMICE Semiconductores
|
| SAME
| Samicon Electronics
|
| SAMS
| SAMS Tiendas departamentales
|
| SANCOMP
| SANCOMP de Colombia
|
| SUMICOM
| SUMICOM de Chile
|
| ULATINA
| Universidad Latina
|
| UNIVTEC
| Universidad Tecnologica de Mexico |
+------------+-----------------------------------+
18 rows in set (0.02 sec)
mysql> show columns from custbranch;
+-----------------+-------------+------+-----+---------+-------+
| Field
| Type
| Null | Key | Default | Extra |
+-----------------+-------------+------+-----+---------+-------+
| branchcode
| varchar(10) |
| PRI |
|
|
| debtorno
| varchar(10) |
| PRI |
|
|
| brname
| varchar(40) |
| MUL |
|
|
| braddress1
| varchar(40) |
|
|
|
|
| braddress2
| varchar(40) |
|
|
|
|
| braddress3
| varchar(40) |
|
|
|
|
| braddress4
| varchar(50) |
|
|
|
|
| braddress5
| varchar(20) |
|
|
|
|
| braddress6
| varchar(15) |
|
|
|
|
| estdeliverydays | smallint(6) |
|
| 1
|
|
| area
| varchar(2) |
| MUL |
|
|
| salesman
| varchar(4) |
| MUL |
|
|
| fwddate
| smallint(6) |
|
| 0
|
|
| phoneno
| varchar(20) |
|
|
|
|
| faxno
| varchar(20) |
|
|
|
|
| contactname
| varchar(30) |
|
|
|
|
| email
| varchar(55) |
|
|
|
|
| defaultlocation | varchar(5) |
| MUL |
|
|
| taxgroupid
| tinyint(4) |
| MUL | 1
|
|
| defaultshipvia | int(11)
|
| MUL | 1
|
|
| deliverblind
| tinyint(1) | YES |
| 1
|
|
| disabletrans
| tinyint(4) |
|
| 0
|
|
| brpostaddr1
| varchar(40) |
|
|
|
|
| brpostaddr2
| varchar(40) |
|
|
|
|
| brpostaddr3
| varchar(30) |
|
|
|
|
| brpostaddr4
| varchar(20) |
|
|
|
|
| brpostaddr5
| varchar(20) |
|
|
|
|
| brpostaddr6
| varchar(15) |
|
|
|
|
| custbranchcode | varchar(30) |
|
|
|
|
+-----------------+-------------+------+-----+---------+-------+
29 rows in set (0.00 sec)
mysql> select * from custbranch;
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
| branchcode | debtorno | brname
| braddress1
|
braddress2
| braddress3 | braddress4
| braddress5 | braddress6 |
estdeliverydays | area | salesman | fwddate | phoneno
| faxno
| contactname
| email
| defaultlocation | taxgroupid | defaultshipvia | deliverblind |
disabletrans | brpostaddr1
| brpostaddr2 | brpostaddr3 | brpostaddr4 |
brpostaddr5 | brpostaddr6 | custbranchcode |
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+--------------
Pg. 59
Informe tcnico
+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
| ANGRY
| ANGRY
| Angus Rouledge - Toronto
| P O Box 67
|
Gowerbridge
| Upperton
| Toronto Canada |
|
|
3 | TR
| ERI
|
0 | 0422 2245 2213 | 0422 2245 2215 | Granville Thomas
|
graville@angry.com
| DEN
|
2 |
8 |
1 |
0 |
|
|
|
|
|
|
|
| ANGRYFL
| ANGRY
| Angus Rouledge - Florida
| 1821 Sunnyside
|
Ft Lauderdale
| Florida
| 42554
|
|
|
3 | FL
| PHO
|
0 | 2445 2232 524 | 2445 2232 522
| Wendy Blowers
|
wendy@angry.com
| DEN
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| DUMBLE
| DUMBLE
| Dumbledoor McGonagal & Co
| Hogwarts castle
|
Platform 9.75
|
|
|
|
|
1 | TR
| ERI
|
0 | Owls only
| Owls only
| Minerva McGonagal
|
mmgonagal@hogwarts.edu.uk | TOR
|
3 |
10 |
1 |
0 |
|
|
|
|
|
|
|
| FACTORY
| FACTORY | FACTORY Computadoras
| Municipio Libre 12 - Brasilia, Brasil
|
|
|
|
|
|
1 | FL
| GPA
|
0 |
89371908402
| 7198r457293
| Jose Roberto Donacimentos
| jr@factorycom.com.br
| TIJ
|
1 |
8 |
1 |
0 |
|
|
|
|
|
|
|
| IMRAMG
| IMRAMG
| IMRAMG de America
| Conocido
|
|
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
| AGS
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| JOLOMU
| JOLOMU
| Lorrima Productions Inc
| 3215 Great Western Highway
|
Blubberhouses
| Yorkshire | England
|
|
|
20 | FL
| PHO
|
0 | +44 812 211456 | +44 812 211 554 | Jo Lomu
|
jolomu@lorrima.co.uk
| TOR
|
3 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| JRAMIREZ
| JRAMIREZ | Jacobo Ramirez Alcantara
| Paseo de los gerrilleros 840-1
|
La Paz, Bolivia
|
|
|
|
|
5 | DF
| AHP
|
10 | 01694307293
| 01694307293
| Carol Frank Gipser Skole
|
contact@cilkru.com
| DEN
|
1 |
1 |
1 |
0 | Paseo de los gerrilleros 840-1
|
|
|
|
|
|
|
| MAXICOMP
| MAXICOMP | MAXICOMP de Mexico
| Calle Billinghurst, 25 - 8 Mexico
|
|
|
|
|
|
1 | FL
| GPA
|
0 |
|
|
|
| DF
|
2 |
11 |
2 |
0 |
|
|
|
|
|
|
|
| NOSTRON
| NOSTRON | NOSTRON SA de CV
| Ayutla 21 - Madrid, Espaa
|
|
|
|
|
|
1 | MD
| JVE
|
0 |
|
|
|
| DEN
|
2 |
8 |
2 |
0 | Conocido
|
|
|
|
|
|
|
| QUARTER
| QUARTER | Quarter Back to Back
| 1356 Union Drive
|
Holborn
| England
|
|
|
|
5 | FL
| ERI
|
0 | 123456
| 1234567
|
|
| TOR
|
3 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| RSAVALA
| RSAVALA | Ramon Savala Rincon
| Camino Real 23
|
Rincon del alma
|
|
|
|
|
1 | GL
| ART
|
0 |
|
|
|
juan@savala.org.ar
| DEN
|
2 |
8 |
2 |
0 |
|
|
|
|
|
|
|
| SAME
| SAME
| Samicon Electronics
| Rep. del salvador 564
|
|
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
| AGS
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| SAMICE
| SAMICE
| SAMICE Semiconductores
| Atlanta 12 - Mexico DF
|
Frente a la Universidad Latina |
|
|
|
|
1 | AC
| AHP
|
0 |
|
|
|
Pg. 60
Informe tcnico
| AGS
|
2 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| SAMS
| SAMS
| SAMS Tiendas departamentales
| Conocido
|
|
|
|
|
|
2 | AC
| AHP
|
3 |
53123123
| 12314212
|
| carlomagno@samstiendas.com | AGS
|
1 |
1 |
1 |
0 | Conocido
|
|
|
|
|
|
|
| SANCOMP
| SANCOMP | SANCOMP de Colombia
| Av. Carlo Magno 23, Bogota Colombia
|
|
|
|
|
|
6 | FL
| ICB
|
12 |
19203012
| 19203012
| Karla Santiago Bocado
|
| DF
|
1 |
1 |
1 |
0 | Av. Carlo Magno 23, Bogota Colombia
|
|
|
|
|
|
|
| SUMICOM
| SUMICOM | SUMICOM de Chile
| Intermedio14 - 23 km 2 Autopista Fed 23 |
|
|
|
|
|
1 | OX
| PHO
|
0 |
617684982
| 14782439
|
| ventas@sumicom.com.cl
| DF
|
1 |
8 |
1 |
0 | Intermedio14 - 23 km 2 Autopista Fed 23 |
|
|
|
|
| 3123
|
| ULATINA
| ULATINA | Universidad Latina
| Engerios 827 - Cli, Colombia
|
|
|
|
|
|
1 | FL
| PZF
|
0 |
|
|
|
| DF
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
| UNIVTEC
| UNIVTEC | Universidad Tecnologica de Mexico | Ricardo Flores 921 Mexico DF
|
cp. 02319
|
|
|
|
|
12 | DF
| ERI
|
2 | 9473701029
| 9473791030
| Luis Fernando Flores Almaguer |
lflores@unitemex.com.mx
| DF
|
1 |
12 |
1 |
0 | Ricardo Flores 921 Mexico DF
|
|
|
|
|
|
|
+------------+----------+-----------------------------------+----------------------------------------+--------------------------------+------------+----------------+------------+------------+----------------+------+----------+---------+----------------+-----------------+-------------------------------+---------------------------+-----------------+------------+----------------+--------------+-------------+-----------------------------------------+-------------+-------------+-------------+-------------+------------+----------------+
18 rows in set (0.02 sec)
mysql> quit
Pg. 61
Informe tcnico
Pg. 62
Informe tcnico
Pg. 63
Informe tcnico
Pg. 64
Informe tcnico
Pg. 65