Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DETECCIN DE INTRUSOS
PROYECTO DE GRADO
PAGINA DE AGRADECIMIENTOS
A mis padres por la paciencia y el apoyo que me han ofrecido durante todo el
proceso que han sido mis estudios, a mi directora del proyecto la ingeniera
Anglica Flrez Abril por toda la asesora y paciencia recibida durante el proceso y
desarrollo de este proyecto, a mi compaero de proyecto y a todas aquellas
personas que de alguna u otra forma ayudaron en el desarrollo de la investigacin,
mi ms sincero agradecimiento.
lvaro Ernesto Robles Rincn.
CONTENIDO
pg.
INTRODUCCIN ...................................................................................................20
1.
2.
JUSTIFICACIN .............................................................................................22
3.
OBJETIVOS ....................................................................................................23
4.
3.1.
3.2.
4.2.
4.4.
4.5.
4.5.1.
4.5.2.
Sguil. ..................................................................................................35
4.5.3.
Prelude. ..............................................................................................35
4
4.5.4.
4.6.
TROYANOS ..............................................................................................36
4.6.1.
4.6.2.
Poison Ivy...........................................................................................37
4.6.3.
Bifrost. ................................................................................................37
4.6.4.
Spy-net. ..............................................................................................38
4.7.
4.7.1.
4.7.2.
4.7.3.
4.8.
5.
Snort...................................................................................................35
ANTIVIRUS ...............................................................................................40
5.1.1.
Darkcomet. .........................................................................................44
5.1.2.
Poison Ivy...........................................................................................47
5.1.3.
Bifrost. ................................................................................................50
5.1.4.
Spy-net. ..............................................................................................54
5.2.
5.2.1.
5.2.2.
5.3.
5.3.1.
5.3.2.
5.3.3.
5.3.4.
5.4.
6.
Conexin inversa................................................................................57
5.4.1.
5.4.2.
5.4.3.
5.4.4.
5.4.5.
CARACTERIZACIN ......................................................................................75
6.1.
6.1.1.
6.1.2.
6.1.3.
6.1.4.
6.2.
7.
7.2.
7.3.
7.4.
7.5.
CONCLUSIONES
LISTA DE FIGURAS
pg.
Figura 34. Creacin llave de registro por medio de Darkcomet no detectada por
Sguil. .................................................................................................................... 126
Figura 35. Conexin exitosa de Spy-Net detectada por Sguil .............................. 129
Figura 36. Creacin llave de registro por medio de Spy-Net no detectada por Sguil.
............................................................................................................................. 131
Figura 37. Conexin exitosa de Darkcomet y detectada por Prelude de Spy-Net141
Figura 38. Advertencia obtenida al eliminar el archivo win.ini en los registros de
sucesos del agente OSSEC en Windows con Darkcomet ................................... 142
Figura 39. Falso positivo por actividades legtimas de usuario emitido por Prelude
en las pruebas de Darkcomet .............................................................................. 142
Figura 40. Escaneo remoto de puertos con Darkcomet al computador analizado
por Prelude .......................................................................................................... 143
Figura 41. Alerta emitida ante la instalacin de un software en Prelude con Bifrost
............................................................................................................................. 144
Figura 42. Conexin exitosa de Bifrost y detectada por Prelude ......................... 145
Figura 43. Falso positivo por actividades legtimas de usuario emitido por Prelude
en las pruebas de Bifrost. .................................................................................... 146
Figura 44. Conexin exitosa de Spy-Net y detectada por Prelude....................... 148
Figura 45. Alerta generada por cambio en el checksum por Prelude con Spy-Net
............................................................................................................................. 149
Figura 46. Falso positivo por actividades legtimas de usuario emitido por Prelude
en las pruebas de Spy-net ................................................................................... 149
10
Figura 47. Conexin exitosa de Poison Ivy y detectada por Prelude ................... 151
Figura 48. Alerta generada por cambio en el checksum por Prelude con Poison Ivy
............................................................................................................................. 151
Figura 49. Falso positivo por actividades legtimas de usuario emitido por Prelude
en las pruebas de Poison Ivy ............................................................................... 152
Figura 50. Conexin exitosa de Spy-Net modificado y detectada por Prelude ... 162
Figura 51. Consola remota abierta por medio de Spy-Net modificado no detectada
por Prelude .......................................................................................................... 164
Figura 52. Creacin llave de registro por medio de Darkcomet modificado no
detectada por Prelude .......................................................................................... 166
Figura 53. Conexin exitosa de Darkcomet modificado y detectada por Prelude
............................................................................................................................. 167
Figura 54. Conexin exitosa de Bifrost modificado y detectada por Prelude ...... 171
Figura 55. Ejecucin de Bifrost como proceso del computador analizado por
Prelude................................................................................................................. 173
Figura 56. Creacin llave de registro por medio de Poison Ivy modificado no
detectada por Prelude .......................................................................................... 175
Figura 57. Conexin exitosa de Poison Ivy modificado no detectado por Prelude
............................................................................................................................. 175
Figura 58. Escaneo remoto de puertos con Poison Ivy modificado no detectado por
Prelude................................................................................................................. 177
11
12
LISTA DE GRFICAS
pg.
13
LISTA DE TABLAS
pg.
15
Tabla 32. Pruebas de parmetros aplicadas a Prelude con el troyano Poison Ivy
............................................................................................................................. 150
Tabla 33. Puntaje total obtenido por Prelude ....................................................... 154
Tabla 34. Puntajes y clasificacin final de los IDS ............................................... 156
Tabla 35. Parmetros en comn de Prelude para las pruebas con los troyanos
modificados .......................................................................................................... 160
Tabla 36. Pruebas de parmetros aplicadas a Prelude con el troyano Spy-Net
modificado............................................................................................................ 161
Tabla 37. Pruebas de parmetros aplicadas a Prelude con el troyano Darkcomet
modificado............................................................................................................ 165
Tabla 38. Pruebas de parmetros aplicadas a Prelude con el troyano Bifrost
modificado............................................................................................................ 170
Tabla 39. Pruebas de parmetros aplicadas a Prelude con el troyano Poison Ivy
modificado............................................................................................................ 174
Tabla 40. Puntaje total obtenido por Prelude con los troyanos modificados ........ 178
16
LISTA DE ANEXOS
pg.
Marcador
no
definido.
ANEXO C. Instalacin del servidor de OSSEC en LinuxError!
Marcador
no
definido.
ANEXO D. Instalacin del agente OSSEC en Windows XPError!
Marcador
no
definido.
ANEXO E. Instalacin del IDS Prelude con agente OSSECError! Marcador no
definido.
ANEXO F. Instalacin del servidor de Sguil en Security OnionError! Marcador no
definido.
ANEXO G. Instalacin del agente Sguil en Windows XPError!
Marcador
no
definido.
ANEXO H. Instalacin de la WIU del servidor de OSSEC en Linux ................Error!
Marcador no definido.
ANEXO I. Rubrica para evaluar el desempeo de las herramientas IDS .......Error!
Marcador no definido.
ANEXO J. Ejemplo creacin de reglas para Snort y SguilError!
definido.
17
Marcador
no
18
Marcador
TITULO:
AUTOR(ES):
FACULTAD:
Ingeniera Informtica
DIRECTOR(A):
RESUMEN
Este proyecto tiene como objetivo caracterizar las respuestas de un grupo de
herramientas de deteccin de intrusos, permitiendo establecer cules presentan
mejor rendimiento frente a diferentes acciones realizadas por medio de troyanos
tipo backdoor. En el documento se presentan las herramientas de deteccin de
intrusos, seleccionadas en base a unos requerimientos establecidos; de la misma
manera se analiza la arquitectura interna de funcionamiento y atributos de cada
una de las herramientas, junto con sus ventajas. Adems, se presentan los
criterios de seleccin tomados para la eleccin de los troyanos tipo backdoor, las
caractersticas de cada uno de ellos y las diversas funciones que ofrecen.
Conjuntamente se desarrollan actividades como la caracterizacin de los
parmetros que permitirn efectuar la evaluacin de cada una de las
herramientas. El resultado final del proyecto es el anlisis de cada una de las
repuestas brindadas por las herramientas de deteccin de intrusos dentro de la
ejecucin de las pruebas, y el estudio de los parmetros de los diferentes
troyanos, permitiendo identificar qu parmetros son ms comunes o no a ser
detectados por las herramientas de deteccin de intrusos.
PALABRAS CLAVES: Herramienta de deteccin de intrusos, troyanos backdoor,
arquitectura, funciones, parmetros.
V B DIRECTOR DE TRABAJO DE GRADO
19
TITLE:
AUTHORS:
FACULTY:
Computing Engineering
DIRECTOR:
ABSTRACT
This project aims to characterize the replies from a group of tools for intruders
detection, allowing to establish which has a better efficiency against different
actions performed by Trojans backdoors kind. The document presents the tools of
intruders detection selected through requirements established; in the same way
analyzing the inner architecture about operation and attributes from each tool,
along with their benefits. Moreover, it presents the selection criteria taken to
election of Trojans backdoor kind, their characteristics and several functions they
offer. Jointly activities are developed as parameters characterization which will
perform the evaluation of each tools. The end project result is the analysis of each
replies submitted by intruders detection tools through performing tests and the
study the parameters of different Trojans, enabling to identify which parameters are
most common or not to be detected by detector intruders tools.
KEY WORDS: Intruders Detection Tool, backdoor Trojans, architecture, functions,
parameters.
20
INTRODUCCIN
21
1.
SITUACIN PROBLEMA
Los IDS son una herramienta utilizada para la seguridad informtica, pero poseen
algunos problemas como: la generacin de falsos positivos y los falsos negativos
sobre la efectividad real de las mismas, razn por lo que algunas personas u
organizaciones toman la decisin de no utilizarlos. Adicionalmente su efectividad
tambin depende de la experiencia y conocimiento que posea el administrador
sobre la herramienta IDS al momento de configurarla y de crear las reglas y
patrones a detectar.
Con la utilizacin de datos sintticos1 se espera lograr conocer qu IDS es capaz
de encontrar menos falsos negativos y poder reportar ms ataques generados por
actividades ilegitimas al emplear malware tipo troyanos, hallando posiblemente un
IDS que sea capaz de detectar los patrones de una forma efectiva.
Son datos producidos que se pueden aplicar a situaciones dadas y que no se pueden obtener por
medicin directa.
22
2.
JUSTIFICACIN
23
3.
3.1.
OBJETIVOS
OBJETIVO GENERAL
3.2.
OBJETIVOS ESPECFICOS
24
detectados y no
4.
4.1.
MARCO TERICO
Los ataques informticos efectuados por troyanos son los ms utilizados y pueden
generar preocupacin en las empresas, las cuales podran ser vctimas en
cualquier momento por este tipo de malware. Estudios publicados en
Evilfingers.com (portal web especializado en seguridad informtica) han
demostrado que aproximadamente el 80% de los ataques informticos son
ejecutados mediante troyanos [1]; el ataque ms frecuente con troyanos es la
obtencin de informacin privada de cuentas de correo electrnico de clientes de
alguna compaa; tambin se encuentran los casos en donde se utilizan los
troyanos para conseguir contraseas de computadores, de correo electrnico, y
en el peor de los casos claves de cuentas bancarias.
En la actualidad existen personas que ofrecen troyanos como un producto
comercial, estas personas brindan actualizaciones y/o mantenimiento al troyano.
Los troyanos, al igual que cualquier programa, solo funcionan cuando son
activados, en este caso por la vctima, la cual en la mayora de los casos
desconoce lo que est sucediendo, por esta razn el atacante se vale de cualquier
mtodo para que su ataque tenga xito [2].
Los ataques con troyanos logran su objetivo debido a las diversas opciones que
les permiten camuflarse. Un estudio reciente detect una red de computadores
zombies2 que fue creada por medio de un troyano derivado de uno llamado Zeus,
Zombie: Nombre otorgado a un computador que ha sido infectado por algn tipo de malware, sin
25
tareas
que
son
controlados
de
manera
remota
[http://www.eset.es/centro-de-alertas/diccionario-amenazas]
26
desde
un
centro
de
comando.
8,53% 8,64%
Adware
9,12%
10,41%
Otros
Troyano
Virus
Gusanos
69,3 %
En el caso de Mariposa, es un malware que se propag por gran parte del mundo
creciendo de manera alarmante e infectando principalmente direcciones IP de
pases como la India, Brasil, Mxico y Colombia (ver Grfica No. 2) creando una
gran botnet con computadores a lo largo del planeta. Mariposa fue descubierto por
la empresa Canadiense Defence Intelligence, quien a su vez se asoci con otras
compaas de seguridad como Panda Security con el propsito de desmantelar la
botnet conformada por ste malware. La primera accin fue recoger toda la
informacin que permitiera encontrar las subredes que manejaba y encontrar los
paneles de control que posea, y de esta manera observar el comportamiento que
DNS: Sigla de Domain Name System en Espaol Sistema de Nombres de Dominio, sistema que
permite relacionar direcciones de internet expresada en lenguaje natural con una direccin IP.
[http://technet.microsoft.com/es-es/library/cc787920%28WS.10%29.aspx]
27
tena Mariposa. Una de las funciones principales de ste malware era alquilar
subredes controladas y ofrecer servicios de spam, adems ofreca servicios a
ciberdelincuentes para robar cuentas de correo con sus respectivas contraseas,
nmero de tarjetas de crdito y sus contraseas.
El modo de operacin que tena Mariposa era por medio de una conexin VPN
(Virtual Private Network)5, impidiendo descubrir la verdadera direccin IP que
utilizaban. En el momento que Defence Intelligence, despus de una larga
investigacin, tom el control de todos los centros de comando que utilizaba
Mariposa, el administrador de la botnet intent recuperar el control sobre estos,
pero era demasiado tarde y en su afn de recobrar el control sobre la botnet se
conect desde el computador de su hogar sin abrir la conexin VPN que le
permita permanecer annimo, de esta manera se logr descubrir la direccin IP
desde la cual se conectaba. El administrador de la botnet logr recuperar un
centro de comando desde el cual realiz un ataque de denegacin de servicio
(DoS) a Defence Intelligence, como consecuencia dej por horas sin servicio a
este proveedor de servicios de internet (ISP)6.
VPN: Red Virtual Privada realizada dentro de una red o infraestructura pblica permitiendo
Proveedor de Servicios de Internet (ISP): en ingles Internet Service Provider, empresa encargada
28
18%
Brasil
32%
Republica de Corea
Colombia
18%
Rusia
Egipto
2%
2%
3% 3%
7%
5%
7%
Malasia
Ucrania
Pakistan
3%
29
en ocasiones son indetectables para los antivirus. Tambin existen los ataques
llamados da cero los cuales pueden causar grandes daos a empresas y
hogares porque se aprovechan de vulnerabilidades que an no son conocidas por
los desarrolladores de software antivirus.
4.3.
10
8
Valores en miles
10,9
5,7
Windows XP SP3
Windows Vista SP 2
Windows 7 SP1
1,8
32
30
Windows 7
20
Windows Vista
10
Mac OSX
iOS
Otros
Meses del ao
Tamao de la muestra: 15 millones de paginas web al rededor del mundo
4.4.
Deben ser HIDS (Host-Base Intrusion Detection System). Sabiendo que las
pruebas a realizar con los troyanos van a tener lugar en un computador
especfico, de este modo poder monitorizar los cambios que ocurran en l.
34
4.5.
HERRAMIENTAS IDS
Las herramientas que se optaron por implementar y que posee las caractersticas
mencionadasen la seccin 4.4 son:
GPL (General Public License): En espaol Licencia Publica General, es una licencia que est
dirigida a proteger la distribucin, modificacin y uso de software libre con el objetivo de protegerlo
de apropiacin que limite a los usuarios de esas opciones.
35
4.5.3. Prelude.
4.5.4. Snort. Es uno de los IDS libre ms usado en el mundo porque brinda la
facilidad de poder utilizarlo en la mayora de sistemas operativos. Otra
caracterstica importante es que trabaja con licencias de GPL, cuenta con ms de
TCL/TK (Tool Command Language/Tool Kit) Es un lenguaje de programacin dinmico, con una
NIDS: Sigla de Network Intrusion Detection System, en espaol Sistema de Deteccin de Intrusos
de Red, Es una herramienta que se encarga de monitorizar el trfico de informacin que circula por
una
red
en
bsqueda
de
accesos
[http://studies.ac.upc.edu/FIB/CASO/seminaris/2q0304/M6.pdf]
36
no
autorizados.
4.6.
TROYANOS
4.6.1. Darkcomet RAT. Es un troyano tipo backdoor que posee entorno grfico
de fcil uso. Aunque es comn encontrarlo clasificado como una herramienta de
administracin remota, su uso ms frecuente es el de troyano y es detectado
como tal por las herramientas antivirus, debido a las funciones que incorpora en l
[19].
37
Resultado de
Resultado de
nmeros de
nmeros de
nmeros de
Palabras de
sitios con
sitios con
sitios con
bsqueda
Altavista
Bing
(Enero 2011)
(Enero 2011)
(Enero 2011)
91.500
277
1.500
52.700
61.80
8.260
Troyano
Spy-net
troyano spy-net
42.600
30.300
5.350
Bifrost
troyano bifrost
34.600
15.200
18.700
4.6.2. Poison Ivy. Es una herramienta de control remoto usada como troyano,
posee caractersticas para implantarse en el sistema y pasar desapercibido por el
antivirus. Desde el ao 2008 no existen actualizaciones ni nuevas versiones
oficiales, pero an es utilizado, a pesar de ser detectado por los antivirus, debido a
que con tcnicas de cifrado y ocultacin se puede camuflar dentro del computador
[20].
38
4.6.4. Spy-net. Troyano que permite el uso de equipos de forma remota, tiene
capacidades similares a otros troyanos tipo backdoor, con la posibilidad de crear
conexin directa con el servidor utilizando la arquitectura cliente/servidor; permite
la creacin de plugins para que el troyano se conecte directamente a un servidor
FTP10 o web: adems, ofrece un entorno estticamente amigable y moderno para
el usuario.
4.7.
Mdulo de seguridad
Mdulo de dao
Mdulo de comunicacin
10
FTP: En ingles File Transfer Protocol, es un servicio utilizado para transferir archivos entre dos
computadores.
39
11
Polimorfismo: Tcnica usada por algunos tipos de malware para cambiar algunas secciones de
40
4.7.3. Mdulo de Comunicacin. Para lograr los propsitos del troyano, ste
necesita comunicarse para enviar la informacin que ha encontrado o recolectado
de la vctima o vctimas, para ello el creador del troyano puede tener un servidor
de correo el cual le permita enviar y recibir informacin, o solo obtener la
informacin cuando la vctima y el ciberdelincuente se encuentren online; adems,
es importante tener una direccin IP oculta, de esta forma ser difcil rastrearlo.
Otro aspecto a tener en cuenta en el mdulo de comunicacin es el cifrado de la
informacin ya que el programador del troyano debe evitar que los datos
conseguidos viajen por Internet sin ser codificados permitiendo que cualquier
persona pueda accederlos de manera fcil.
4.8.
ANTIVIRUS
41
Descripcin
Boot Time
Scan Time
User Interface Launch Mediciones del tiempo que toma cargar la interfaz grfica
Time
de usuario de la herramienta antivirus.
Memory Usage during Cantidad de memoria RAM utilizada por la herramienta
antivirus en estado de reposo y sin escanear.
System Idle
Adicionalmente reconoce
los
recursos que la
42
Browse Time
Installation Time
Installation of Third Party Tiempo que se requiere para instalar y/o desinstalar
Applications
software de terceros.
Tiempo que toma descargar diversos formatos de
Network Throughput
archivos como imgenes, videos, documentos de texto,
(previously named
etc., por medio del navegador de internet IE7 con el
Binary Download Test)
antivirus ejecutndose.
File Format Conversion
43
Puntos obtenidos
154
112
103
Avast! Anti-Virus
100
Antivirus
El estudio realizado por PassMark demostr que entre las herramientas antivirus
libres, Avira se destac, obteniendo resultados satisfactorios comparados con
otras herramientas antivirus libres y comerciales evaluadas en el mismo estudio.
Entre las pruebas obtenidas por Avira se destacan la creacin mnima de llaves de
registro que produce al SO en su instalacin, el bajo consumo de memoria RAM
cuando se encuentra en espera, el tiempo que necesita para inicializarse en el SO,
el tiempo que toma instalar alguna aplicacin de terceros con Avira analizando el
proceso de instalacin, entre otros.
PassMark demostr a travs del estudio comparativo la efectividad que posee
Avira como herramienta antivirus, con base a ese estudio y, en la necesidad de
tener una herramienta antivirus en el proyecto, Avira ser la herramienta antivirus
seleccionada.
44
5.
5.1.
5.1.1. Darkcomet.
amigable y de fcil uso el cual tiene una gama de funcionalidades en los tres
mdulos de su arquitectura, permitindole al ciberdelincuente tener una
herramienta con una interfaz grfica intuitiva y de fcil uso, tambin permite la
personalizacin del troyano, entre otras posibilidades.
Mdulo de Seguridad. En ste mdulo Darkcomet ofrece varias opciones para
protegerse (ver figura 2), las cuales van desde escoger la ubicacin en la cual se
desea camuflar el troyano hasta la posibilidad de nombrarlo como un proceso
normal del SO.
Figura 2. Panel de inicio Darkcomet
45
Permite ejecutarse como un programa de inicio del SO, de tal forma que, siempre
que el usuario se encuentre trabajando en el computador, el ciberdelincuente
desde el cliente pueda acceder a l sin ningn problema y adems sin tener que
volver a enviar el servidor a la vctima, de ste modo puede camuflarse como un
servicio o proceso nativo del SO y as intentar eludir las posibles protecciones del
computador.
La proteccin que ofrece Darkcomet permite configurar persistencia (ver figura 3)
logrando mantenerse instalado en el SO aunque se intente eliminar, de esta forma
asegura que pueda estar el mayor tiempo posible en l. Tambin posee opciones
para deshabilitar algunas caractersticas de seguridad del SO como el firewall, el
editor de registros del computador, el administrador de tareas, y el control de
cuentas de usuario. Como opciones adicionales puede tambin deshabilitar las
actualizaciones del SO, el panel de control, entre otros.
Figura 3. Opciones de proteccin de Darkcomet
46
2
3
47
5.1.2. Poison Ivy. ste troyano creado en el ao 2006 con actualizaciones hasta
el ao 2008 an en el 2012 sigue siendo funcional. Su entorno grfico es simple y
fcil para el usuario, su arquitectura es cliente/servidor.
Mdulo de Seguridad. Ofrece diversas opciones de configuracin (ver figura 5)
para la conexin, proteccin y acceso del troyano, una de ellas es establecer una
contrasea que garantice el uso del servidor por parte del ciberdelincuente.
Figura 5. Panel de configuracin servidor Poison Ivy
48
Poison Ivy define una funcin que le permite pasar como proceso legtimo, como
el de Internet Explorer, Messenger, Firefox, o cualquiera que sea utilizado
normalmente por los usuarios, logrando engaar a la vctima al momento de
revisar las aplicaciones que estn ejecutndose, evitando que sea eliminado de
manera fcil. No obstante, tambin tiene la opcin de escoger el tipo de shellcode
que va a tener el troyano (ver figura 7), aunque la opcin seleccionada por omisin
es Binario, el ciberdelincuente puede seleccionar entre algunos lenguajes como C,
Delphi y Phyton.
49
Mdulo de Dao.
como: descargar archivos (1), modificar el editor de registros (2), ofrece la opcin
de revisar procesos que la vctima tiene (3), los servicios que est utilizando (4),
eliminar algn software instalado (5), entre otros. Por otra parte, tiene las opciones
de mirar los puertos abiertos del sistema para poder utilizarlos (6), trabajar con la
consola de Windows (7) sin que la vctima lo advierta, mirar las contraseas que el
sistema maneja, como las de las cuentas de usuarios y hasta las contraseas de
la red WiFi (8). As mismo, como espa, ste troyano ofrece opciones bsicas de
otros troyanos, permite mirar lo que el usuario est haciendo, permite poder
controlar el mouse y el teclado. Ofrece un keylogger (9) que solo funciona si
ambas partes estn conectados. Tambin posee la opcin capturar el sonido por
medio del micrfono (10) y capturar imgenes de la cmara web (11) si la vctima
posee.
50
1
2
3
3
54
5
6
7
9
10
1
11
8
1
Mdulo de comunicacin.
comunicacin como otros troyanos, pero tiene la opcin de mirar los puertos que
tiene abiertos el computador y de esta forma establecer algn tipo de
comunicacin entre los dos. Tambin permite compartir el servidor, es decir, que
otro cliente pueda conectarse a l.
presenta la opcin de asignarle una contrasea (ver figura 9) para que solo se
conecte con el ciberdelincuente.
Mdulo de dao. Bifrost brinda opciones tales como (ver figura 12): verificar los
procesos que est ejecutando el SO, transferencia de archivos desde el cliente al
servidor y del servidor al cliente, sustraer informacin, agregar programas o
archivos que afecten el correcto funcionamiento del SO.
53
Posee un keylogger que puede trabajar offline sin necesidad de tener un servidor
para que enve la informacin a ste, sencillamente guarda lo escrito en el mismo
computador para que cuando se realice la conexin al servidor del troyano pueda
ser descargado, asimismo tiene la opcin de keylogger online para capturar lo que
el usuario est digitando en tiempo real.
Figura 12. Interfaz cliente Bifrost
Este troyano incorpora capturas de pantalla en tiempo real para espiar lo que la
otra persona est realizando en el computador donde est instalado el servidor,
pero solo puede observar, no puede tomar el control de l; por ste motivo
incorpora un Remote Shell para poder manipular el SO de forma imperceptible al
usuario.
Mdulo comunicacin. Bifrost no cuenta con un mdulo de comunicacin como
el de los otros troyanos que buscan alguna vulnerabilidad del SO para realizar
conexiones estables. Por esto, l utiliza conexiones TOR (The Onion Router) (ver
figura 13), la cual es una herramienta que permite realizar conexiones de manera
annima a travs de internet, y en sistemas operativos como Microsoft Windows y
Apple Mac OS [23].
54
Al
Mdulo de dao.
56
Mdulo de comunicacin.
57
5.2.
5.2.1. Conexin directa. Es una forma de conexin del cliente al servidor (ver
figura 17); aunque es bsica en su funcionamiento es implementada en troyanos
antiguos, tiene como desventaja ser restringida por los firewall que protegen las
redes haciendo ms difcil la comunicacin entre el cliente y el servidor.
Figura 17. Tipo de conexin directa
58
5.3.
59
Generador de Eventos o E-Boxes. Son los sensores del IDS, estn encargados
de recopilar la informacin que est pasando por la red o el host, generando
eventos de los datos obtenidos.
Motor de Anlisis o A-Boxes. Es uno de los componentes claves para el IDS, es
el ncleo del mismo, se encarga de tomar los datos generados por el E-boxes y
generar nuevos eventos. Los A-Boxes se pueden clasificar segn el tipo de
deteccin, por ejemplo, sistemas estadsticos de profiling12, reconocedores de
patrones, entre otros, por ende se requiere estar en constante desarrollo y
actualizacin de los A-Boxes para lograr un buen funcionamiento del mismo.
Unidades de Almacenaje o D-Boxes. En este caso se toman los eventos
generados por A-boxes y E-boxes, obteniendo una base de datos que contenga
las inferencias del motor de anlisis. En consecuencia, es un componente
importante a la hora de aplicar ingeniera forense o minera de datos.
Unidades de Respuesta o R-Boxes. En esta unidad se analizan los datos
obtenidos para generar una respuesta segn el evento encontrado, ya sea por
unas firmas o por acciones detectadas como maliciosas.
12
60
dinmicos13 (3) para realizar anlisis y lanzar las alertas o respuestas (4)
pertinentes segn las reglas. El servidor (5) puede estar en el mismo computador
o en uno externo para que trabaje junto con el sensor, y un cliente (6) al que se le
monitorizar el trfico que entre o salga de l, al igual que monitorizar los
cambios que han surgido en archivos estipulados para ser analizados.
2
4
13
61
62
7) Personalizacin de reglas. Editar y/o crear reglas segn las necesidades del
administrador haciendo ms sencilla la monitorizacin del computador, adems
de permitir seleccionar un grupo de reglas con las que se desean trabajar.
63
5
4
Ataques Rootkit. Emitir una alerta si encuentra que el sistema est siendo
atacado por un Rootkit, indicando en dicha alerta la ubicacin dentro del
computador y mostrando los cambios o daos si los ha realizado.
64
Syslog remoto.
syslog del IDS desde un equipo remoto y poder observar los eventos ocurridos.
14
65
3
4
Aunque
66
El cliente en Linux cuenta con Prelude Admin (6) encargado de registrar el cliente
simultneamente con el Prelude Manager (1) del servidor, al igual que el servidor
el cliente posee Prelude-lml (7) como sensor que emite las alertas y Prelude
Correlator (8) para interpretarlas, y enviarlas al Prelude Correlator (3) del servidor.
Para los clientes que no hacen parte de Prelude existen dos formas de
configuracin: la primera es que el IDS (9) que se va a instalar tenga
compatibilidad nativa con Prelude y solo se necesite realizar algunas
configuraciones especficas; la segunda forma es que no tenga compatibilidad
nativa con Prelude, para ello se requiere descargar las libreras (10) y soportes
especficos para ese IDS.
67
8
4
1
2
6
3
10
9
5.4.
INSTALACIONES Y CONFIGURACIONES
una cuenta en Snort para realizar algunas descargas, si se debe tener en cuenta
descargar las reglas correspondientes a la versin de Snort que se tenga, esto se
debe a que puede generar conflicto en el momento de instalacin de las mismas
(Anexo A).
Para que Snort trabaje en entrono grfico requiere de: un servidor web, PHP,
ADODB, PHPlot y ACID.
instalar
elementos
de
compatibilidad
del
lenguaje
de
programacin para la pgina web, por ejemplo PHP y cualquier otro archivo o
herramienta que se necesite para el correcto funcionamiento del mismo. El
servidor web servir para centralizar la informacin recolectada y poder tener
acceso a travs de internet desde cualquier lugar.
Para llevar a cabo la instalacin del servidor web en el proyecto se utiliz el
servidor Apache por la compatibilidad que posee con las herramientas que se
necesitan para la instalacin del IDS.
Algunos aspectos a tener en cuenta en la configuracin de Snort son: el archivo
snort.conf el cual contiene la variable var HOME_NET donde debe colocarse la
direccin IP del computador que se desea analizar; tener un gestor de Base de
Datos, para ste proyecto se utilizar MySql; adems, se necesitar el usuario y la
70
INT
UNSIGNED
NOT
NULL,
cambiarla
por
71
De esta forma sern creados todos los esquemas necesarios para que Snort
pueda almacenar en la base de datos todos los eventos; si Snort se instal en una
ruta diferente, es necesario remplazarla en los comandos de ejemplo.
Las guas realizadas para la instalacin de OSSEC son bastante completas, los
errores que se podran cometer son pequeos pero no dejan de ser importantes.
Se recomienda en el momento de extraer la llave para el cliente de OSSEC
verificar que se copi de manera correcta la llave, tambin revisar la direccin IP
del servidor y del cliente o los clientes. Se debe tener en cuenta el levantar los
servicios en Linux para el servidor y en Windows reiniciar el cliente para que
tomen efecto los cambios realizados.
Al momento de poner en funcionamiento el servidor puede surgir un error OSSEC
analysisd: Testing rules failed. Configuration error.. Para solucionar este problema
se requiere hacer un enlace simblico para OSSEC desde una terminal con el
comando:
ln -s /var/ossec/bin/ossec-logtest/ var/ossec/ossec logtest-
73
es para la distribucin
Redhat, el cual utiliza la compilacin por medio de los comandos make y makefile;
aunque el comando make de Debian realiza las mismas funciones que se
ejecutaran al compilar con los comandos make y makefile de la distribucin
RedHat, dicho comando make de Debian no compil correctamente; adems,
algunos paquetes/libreras no estn disponibles para Debian y/o algunos no son
compatibles. No obstante, se realizaron bsquedas para dar solucin a ste
inconveniente logrando encontrar la distribucin de Linux llamada Security Onion
orientada a trabajar nicamente con IDS, por lo tanto se instal el servidor del IDS
en dicha distribucin. Security Onion es una distribucin de Linux basada en
Xubuntu que ofrece la posibilidad de interactuar con varios IDS preconfigurados
como Snort, Sguil, entre otros, evitando as conflictos de compatibilidad y errores
de configuracin [33].
74
75
6.
6.1.
CARACTERIZACIN
Las reglas para un IDS son el conjunto de instrucciones que le indican qu tipo de
acciones deben ser consideradas como intrusiones o accesos no autorizados al
computador. Cada IDS determina cul debe ser el protocolo a seguir segn sus
reglas para generar una alerta, incidiendo en la forma en que se caracterizan los
IDS.
Descripcin
77
6.1.2. Identificacin de reglas en OSSEC para host Las reglas para OSSEC
estn conformadas por reglas atmicas y reglas compuestas, para ambos casos el
mtodo o protocolo que se utiliza para enviar el mensaje cuando se genera una
alerta es el mismo, OSSEC puede utilizar el protocolo UDP o el protocolo o TCP.
Por omisin, OSSEC trabajar con el protocolo TCP debido a la ventaja que ste
protocolo ofrece en la confirmacin del mensaje emitido entre el servidor y el
agente [35].
Reglas Atmicas: Generan alertas enviadas al servidor sin ser analizadas por
el preprocesador del IDS, de esta forma se obtendr una alerta por cada
evento que est relacionado con una regla que se tenga configurada; por
ejemplo, intentar acceder como root al SO sin serlo, en este caso se enviarn
el mismo nmero de alertas de acuerdo al nmero de intentos de ingresar al
SO, como consecuencia se recibir una cantidad considerable e innecesaria
de alertas del mismo tipo al administrador del IDS.
78
en el tipo de alerta
OSSEC maneja niveles de alertas tanto para las reglas atmicas como para las
compuestas, estos niveles toman valores entre 0 y 15, siendo 0 el valor menos
significativo y 15 el valor ms significativo con el que se puede representar una
alerta (ver tabla 4) .
Descripcin
Nivel 0
Nivel 2
Nivel 3
Nivel 4
79
Nivel 5
Nivel 6
Nivel 9
Nivel 10
Nivel 12
Nivel 13
Nivel 14
Nivel 15
80
Syslog. Toma los eventos ocurridos del SO como la autenticacin de las cuentas
de usuarios, cambios del kernel15, errores de instalacin de software, conexiones
exitosas con el SO, entre otros.
Syscheck alerts. Las alertas syscheck son aquellas que se generan al momento
de realizar la conexin entre el servidor y el agente, y ste ltimo encuentra
errores o diferencias en los archivos monitorizados por el agente. Por omisin las
reglas para OSSEC son almacenadas en la ruta /var/OSSEC/rules/ y se pueden
reconocer por el nombre que tienen; por ejemplo: para apache se llama
apache_rules.xml,
as
mismo
para
otro
software
como
MySql
sera
mysql_rules.xml.
15
81
Por otra parte, el agente realiza una suma de comprobacin con MD5/SHA1 a los
archivos del SO que tiene por omisin, de esta forma mira el tamao del archivo,
los cambios que se hayan generado como permisos, o cualquier alteracin en la
suma, tomando como referencia el valor que tena en el momento de la
configuracin o instalacin del agente
Para la comprobacin de archivos, OSSEC por omisin comprueba los archivos
de la carpeta System32 en el SO Windows; para Linux utiliza la ruta /etc/usr/bin,
/usr/sbin, y /sbin. OSSEC permite agregar o quitar rutas a ser analizadas [27].
A continuacin se muestra parte del cdigo de configuracin de OSSEC donde se
encuentran los directorios que sern analizados:
<syscheck>
<directories check_all=yes>/etc,/usr/bin,/usr/sbin</directories>
<directories check_all=yes>/bin,/sbin</directories>
</syscheck>
<syscheck>
<directories check_all=yes>%WINDIR%/system32</directories>
</syscheck>
No obstante, las reglas en OSSEC poseen un ID o identificador que va desde
010000 hasta 109999 dependiendo del tipo de regla, los ID para Windows estn
entre 1810018499 llamados Windows system rules, los ID que se encuentran
desde la 00000 hasta 00999 son reglas reservadas y propias para OSSEC por lo
tanto no se recomienda modificarlas.
En la figura 25 se muestra el funcionamiento de OSSEC cuando analiza el
computador donde se encuentra el agente y lo que ocurre al enviar los mensajes
al servidor y cmo ste interpreta los mensajes. Primero, el Agente OSSEC (1)
toma la informacin que tiene sobre el computador que se est analizando y enva
la informacin al servidor para que la decodifique (2), despus la analice (3), y por
82
ltimo genere una alerta (4) para que el administrador tome medidas segn el tipo
de alerta.
Figura 25. Flujo de registros de sucesos en OSSEC
Prelude al igual que Snort maneja alertas syslog para analizar los
cambios y/o eventos ocurridos en el SO. El syslog opera bajo las mismas reglas
de Snort (ver tabla 5) y utiliza IDMEF para enviar los mensajes al servidor por
medio de prelude-lml para que Prelude Correlator determine el nivel de amenaza.
83
Descripcin
Alerta
El formato que IDMEF ofrece un tipo de mensajes que est compuesto por
pequeos mensajes. Como se puede observar en la figura 26, el mensaje principal
es IDMEF-Message (1) y este a su vez tiene dos subclases (2) que tambin son
mensajes, y dentro de ellas otras subclases para ofrecer un mensaje con
informacin ms detallada y completa (3) [37].
84
85
6.2.
PARMETROS DE CARACTERIZACIN
Una vez identificadas las reglas y por consiguiente las funciones en comn que
poseen los cuatro IDS seleccionados, se hace necesario realizar una lista de
parmetros que permitirn desarrollar el estudio comparativo entre ellos y, con
base en los resultados obtenidos del estudio, proceder a seleccionar el ms
efectivo de los IDS (ver tabla 6).
Tabla 6. Parmetros de caracterizacin de los IDS
Parmetro
Descripcin
Registros en el sistema
Llaves de registro
Conexiones realizadas
hacia el agente/cliente
Checksum
Algoritmo hash
Falsos positivos
Ausencia
negativos
de
86
Deteccin de Rootkit
Frecuencia de escaneo
Prueba
Registros en el sistema
Reconocer
los
cambios
en
el
SO
como
instalacin/desinstalacin de software y eliminacin de
archivos.
Alteracin a los programas de inicio del SO.
Llaves de registro
Conexiones
exitosas Realizar conexiones remotas al agente/cliente por
hacia el agente/cliente
medio de algn protocolo.
Checksum
Algoritmo hash
87
Falsos positivos
Ausencia
negativos
de
Deteccin de rootkit
Frecuencia de escaneo
Una vez establecidos los parmetros a evaluar a cada uno de los IDS, es
necesario establecer un valor porcentual para cada parmetro, que permita
establecer de forma cuantitativa qu herramienta IDS presenta mejor desempeo
que las dems.
Para establecer este valor es necesario estimar qu parmetros son ms
relevantes y otorgar a estos mayor valor que los dems.
88
Peso (%)
Registros en el sistema
25
Llaves de registro.
10
15
Checksum
15
Falsos positivos
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
TOTAL
100
Una vez realizadas las pruebas y obtenidos los resultados y los puntajes
otorgados a cada IDS, es necesario caracterizar el desempeo de cada
herramienta segn los puntos logrados; es por esto que se estableci en la tabla
9 la clasificacin que se puede dar a cada IDS segn los valores obtenidos en las
89
Categora
Rango de
valores/puntaje
Clasificacin
76-100
EXCELENTE
46-75
BUENO
11 - 45
REGULAR
0-10
MALO
90
7.
Para efectuar las pruebas y anlisis de cada herramienta IDS se defini utilizar la
herramienta antivirus Avira ver seccin 4.8 la cual debi ser desactivada al
momento de realizar estas pruebas debido a que no permita el correcto desarrollo
de las pruebas bloqueando al troyano antes de ser ejecutado. Para las pruebas en
el caso especficos de los IDS sern descargadas las versiones actualizadas de
las reglas tomando como referencia la fecha en que se realizarn las pruebas; en
el caso que no se encuentren o no posea reglas actualizables, se crearn reglas si
es posible, de lo contrario se utilizarn las reglas que el IDS tenga por omisin.
Las pruebas a cada IDS con los troyanos se realizarn de la siguiente forma:
1) Se lanza el troyano al computador que el IDS est analizando
2) Se realizan las pruebas por medio del troyano establecidas en la tabla 7 ver
seccin 6.2...
3) Se analiza la forma que el IDS mitiga las acciones del troyano, teniendo como
referencia los parmetros establecidos ver seccin 6.2
4) Se evala por medio de la rbrica (ver anexo I) el impacto causado por el
troyano al SO Windows teniendo en cuenta los parmetros establecidos ver
seccin 6.2
5) Se clasifica al IDS con los valores obtenidos al ser evaluado con la rbrica,
teniendo en cuenta los parmetros de clasificacin establecidos en la tabla 9.
6) Se repiten los pasos del primero al quinto para cada IDS con los cuatro
troyanos.
7) Se promedian los valores obtenidos del IDS con los cuatro troyanos para
clasificarlo segn los parmetros de clasificacin establecidos en la tabla 9
..ver seccin 6.2
8) Se repiten los pasos del primero al sptimo con el siguiente IDS.
91
9) Se clasifica cul IDS fue el mejor segn los puntos obtenidos y la clasificacin
realizada en el paso sptimo.
10) Se toma al mejor IDS segn el paso noveno y se repiten los pasos del primero
al sptimo con los troyanos alterados.
7.1.
Tabla 10. Parmetros en comn de OSSEC para las pruebas con los troyanos
Parmetro
Algoritmo hash
Prueba
Resultados y comentarios
Reconocer el algoritmo
hash implementado por
el IDS.
Carpetas
Establecer las carpetas
escaneadas por por
omisin C:/WINDOWS
omisin
escaneadas por el IDS. C:/WINDOWS/System32
C:/Document and Settings/all
menu/programs/startup
Frecuencia
escaneo
Buscar
dentro
del
archivo
de
de configuracin el tiempo
establecido por omisin
para el escaneo del
agente.
user/start
92
Registros en el
sistema
Prueba
Resultados y comentarios
Reconocer instalaciones
o desinstalaciones de
programas como
utorrent, Winrar,
Notepad ++ , y/o
archivos como:
System.ini, Win.ini
Llaves de registro
Se logr alterar por medio del troyano algunas llaves de registro como
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Batfile monitoreadas
Alterar/modificar
y/o
por el agente OSSEC de Windows y no se obtuvo ninguna respuesta
crear llaves de registro
por parte del IDS.
para el SO por medio del
troyano.
Se consigui agregar llaves de registro a rutas monitoreadas como:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Batfile/aer.reg por el
agente OSSEC de Windows sin que ste emitiera algn tipo de
repuesta.
93
Parmetro
Prueba
Resultados y comentarios
Realizar
conexiones Se consigui realizar de manera exitosa una conexin (ver figura 27)
remotas
desde
el usando el protocolo TCP (1) por medio del troyano al computador
troyano al agente/cliente vctima, sin que el agente OSSEC de Windows detectara alguna
anomala o emitiera alerta.
Conexiones
Figura 27. Conexin exitosa de Darkcomet no detectada por OSSEC
exitosas hacia el
agente
Checksum
94
Parmetro
Falsos positivos
Prueba
Realizar actividades
comunes de usuario
tales como programas
de mensajera
instantnea como skype,
mirar correo electrnico
como gmail y utilizar
pginas de
entretenimiento como
youtube o facebook y
observar si genera
alertas.
Resultados y comentarios
2011 Dec 21 09:30:21 Rule Id: 18154 level: 10. Location: (ossecA2) 192.168.0.15->WinEvtLog.
Src IP: Administrador. Multiple Windows error events. WinEvtLog: Application: ERROR(4099):
WmiAdapter: Administrador: A2: A2: (no message). WinEvtLog: Application: ERROR(4099):
WmiAdapter: Administrador: A2:
A2: (no message)
Realizar actividades por Al escanear puertos abiertos del computador, procesos activos y abrir
Ausencia de falsos medio del troyano que consolas remotas, el IDS no detect nada anmalo y tampoco gener
puedan comprometer el alertas.
negativos
funcionamiento del SO y
observar si el IDS
genera alguna alerta.
95
Parmetro
Deteccin
rootkit
Prueba
Resultados y comentarios
Camuflar el troyano en
un proceso legitimo del
SO o en llaves de Al implementar la opcin de rootkit de Darckomet sobre OSSEC, ste
pasa totalmente desapercibido para el agente de manera tal que no
de registro.
se recibe ningn tipo de alerta a esta opcin.
Registro
sistema
en
Prueba
Reconocer instalaciones
o desinstalaciones de
programas como
utorrent, Winrar,
el Notepad ++, y/o archivos
como:
Resultados y comentarios
System.ini, Win.ini
96
Parmetro
Llaves de registro
Prueba
Alterar/modificar y/o
crear llaves de registro
para el SO por medio del
troyano.
Realizar conexiones
remotas desde el
troyano al agente/cliente
Resultados y comentarios
Se logr crear una llave de registro en las rutas de escaneo que tiene
el
agente
OSSEC
(HKEY_LOCAL_MACHINE/
SOFTWARE/Classes/cmdfile/
EditFlags), pero no se detect la creacin y modificacin de la llave
por parte del IDS.
Se logr crear una conexin por medio del troyano con el computador
monitoreado, sin que el agente OSSEC generara algn tipo de alerta.
(ver figura 28)
Conexiones
exitosas al agente
Checksum
97
Parmetro
Falsos positivos
Prueba
Resultados y comentarios
011 Dec 21 08:27:52 Rule Id: 503 level: 3. Location: (WinOSSEC) 192.168.0.13->ossec
Src IP: gent started: 'WinOSSEC->192.168.0.102'. Ossec agent started.
** Alert 1324474135.5152: mail - ossec,syscheck,
2011 Dec 21 08:28:55 (WinOSSEC) 192.168.0.102->syscheck
Rule: 550 (level 7) -> 'Integrity checksum changed.'
Integrity checksum changed for: 'C:\Archivos de
programa/CreadaDesdeSpynet/paraSpyNet.txt'
Size changed from '18' to '25'
Old
md5sum
was:
'66248029b109e1ecfdf17df6b52d4172'.
New
md5sum
is
:
'd088692f4b27304522078d42e9e83662'
Old sha1sum was: '3628b4957ce93a8bba7353c791b6022e4db1b524'. New sha1sum is :
'a03a5d2f414afb610bc264af40918bce3d176e2e'
Realizar actividades
comunes de usuario
tales como programas
de mensajera
instantnea como skype,
mirar correo electrnico
como gmail y utilizar
pginas de
entretenimiento como
youtube o facebook y
observar si genera
alertas.
98
Parmetro
Prueba
Resultados y comentarios
Realizar actividades por
medio del troyano que
Por medio del troyano se efectuaron acciones como descarga de
Ausencia de falsos puedan comprometer el
programas, copia de archivos, y ejecucin de consolas remotas, pero
Negativos
funcionamiento del SO y
el IDS no gener ningn tipo de alerta.
observar si el IDS
genera alguna alerta.
Camuflar el troyano en
de un proceso legtimo del Se logr ocultar el troyano dentro de los servicios del SO, sin que el
SO o en llaves de agente OSSEC lograra reconocer esta accin.
registro.
Deteccin
rootkits
Tabla 13. Pruebas de parmetros aplicadas a OSSEC con el troyano Poison Ivy
Parmetro
Registros
sistema
en
Prueba
Reconocer instalaciones
o desinstalaciones de
el programas
como
utorrent,
Winrar,
Notepad ++, y/o archivos
como: System.ini, Win.ini
Resultados y comentarios
El agente OSSEC en Windows responde positivamente a la
instalacin de un programa dentro de una carpeta monitoreada,
enviando una alerta Syscheck. Sin embargo, el agente OSSEC de
Windows no presenta respuesta alguna a la eliminacin del archivo
monitoreado (C:/WINDOWS/system.ini) por medio del troyano
implementado.
99
Parmetro
Llaves de Registro
Prueba
Resultados y comentarios
Se logr alterar por medio del troyano una llave de registro
monitoreada
por
el
Alterar/modificar
y/o sistema:(HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cmdfile/Edit
crear llaves de registro Flags) y como resultado el IDS no emiti alerta alguna.
para el SO por medio del
Por otra parte, al crear una llave de registro (ver figura 29) de nombre
troyano.
Damian (1) en una ruta monitoreada, el agente OSSEC no present
respuesta a tal hecho.
Figura 29. Creacin llave de registro por medio de Poison Ivy no detectada por OSSEC
Conexiones
exitosas hacia el
agente
Realizar
conexiones
remotas
desde
troyano
agente/cliente.
el
al
100
Parmetro
Checksum
Prueba
Resultados y comentarios
Alterar y/o modificar un
archivo monitoreado por
el IDS y/o modificar un
Despus de efectuar el cambio dentro de un archivo monitoreado por
archivo
que
sea
el agente OSSEC (C:/autoexe.bat), ste genera una alerta (ver figura
importante para el SO
30).
como
win.ini,
autoexec.bat y observar
las acciones del IDS.
Figura 30. Alerta generada por cambio en el checksum por OSSEC con Poison Ivy.
Falsos Positivos
Realizar
actividades
comunes de usuario tales
como
programas
de
mensajera
instantnea
como skype, mirar correo
electrnico como gmail y
utilizar
pginas
de
entretenimiento
como
youtube o facebook y
observar
si
genera
alertas.
101
Parmetro
Prueba
Resultados y comentarios
2011 Dec 22 11:53:12 Rule Id: 503 level: 3
Location: (windows) 192.168.0.13->ossec
Src IP: gent started: 'windows->192.168.0.13'.
Ossec agent started. ** Alert 1324572886.6432: - ossec,rootcheck,
2011 Dec 22 11:54:46 (windows) 192.168.0.13->rootcheck
Rule: 514 (level 2) -> 'Windows application monitor event.'
Application Found: Chat/IM/VoIP - Skype. Process: C:\Archivos de
programa\Skype\Phone\Skype.exe.
Deteccin
rootkit
Camuflar el troyano en Se consigui esconder el troyano dentro de los servicios del sistema
de un proceso legtimo del de forma que cada vez que se inicie sesin, el troyano realizar una
SO o en llaves de conexin, a sta accin el agente OSSEC no present ningn tipo de
registro.
respuesta.
102
Registros
sistema
en
Prueba
Resultados y comentarios
Reconocer instalaciones
o desinstalaciones de
OSSEC responde de manera esperada al realizar alguna
el programas
como
instalacin/desinstalacin de algn programa enviando una alerta al
utorrent,
Winrar,
administrador informando lo ocurrido.
Notepad ++, y/o archivos
como:System.ini, Win.ini.
Llaves de registro
Alterar/modificar
y/o
crear llaves de registro Luego de alterar una llave de registro del SO el agente OSSEC no
para el SO por medio del report ni gener ninguna alerta ante ese cambio.
troyano.
Conexiones
Realizar
conexiones Una vez se logr la conexin entre el cliente y servidor del troyano
exitosas hacia el remotas
desde
el Bifrost, sta es registrada por el SO por medio del listado de
agente
troyano al agente/cliente. conexiones activas; sin embargo, el agente OSSEC no registra
ningn tipo de alerta a sta conexin.
Alterar y/o modificar un
archivo
que
sea
Por medio de la opcin File manager que ofrece Bifrost, se accedi al
monitoreado por el IDS
computador vctima para alterar el archivo autoexec.bat y de esta
y/o modificar un archivo
Checksum
forma cambiar su Checksum. Para esta accin el agente OSSEC
que sea importante para
gener una alerta (ver figura 32) indicando que ocurri un cambio en
el SO como win.ini,
el archivo.
autoexec.bat y observar
las acciones del IDS.
103
Parmetro
Prueba
Resultados y comentarios
Figura 31. Alerta generada por cambio en el checksum por OSSEC con Bifrost.
skype,
mirar
instantnea
correo
como
electrnico
alerta.
104
Parmetro
Deteccin
rootkit
de
Prueba
Resultados y comentarios
105
Las pruebas realizadas con los troyanos arrojaron resultados interesantes como
se puede evidenciar en la tabla 15, el grupo de troyanos con los que se realizaron
las pruebas fueron detectados por OSSEC, y los parmetros que se detectaron en
los 4 troyanos fueron los mismos.
Por otra parte, las pruebas con OSSEC demostraron lo eficaz que puede llegar a
ser esta herramienta para la seguridad informtica en el rea de HIDS, es una
herramienta que no lentifica16 al SO y s brinda una poderosa ayuda para detectar
posibles intrusos dentro del computador, aunque el cliente de OSSEC trabaja en
Windows, l no funcionara si no posee una conexin con el servidor de OSSEC el
cual solo puede ser instalado en Linux, y por ende, se requiere de conocimientos
en Linux para la correcta implementacin del servidor.
En conclusin, Las pruebas demostraron la eficacia de OSSEC al detectar los
cambios en el SO como nuevas instalaciones de software, alteracin y/o
modificacin de archivos necesarios para el correcto funcionamiento del SO, pese
a que no detect las conexiones realizadas del troyano, ni acciones como abrir
una consola remota, si reconoce cambios de configuracin del SO que se
pudiesen realizar desde el troyano por medio del Checksum que implementa para
monitorear los archivos.
Luego de realizadas las pruebas y segn la tabla 9 de rendimiento ante el uso de
troyanos, OSSEC se clasifica como BUENO en la categora 3 con un puntaje
promedio de 52,02.
16
Lentifica: Proviene del verbo lentificar, y segn la RAE Imprimir lentitud a alguna operacin o
106
Spy-Net
Poison Ivy
Bifrost
Registros en el sistema
21,25
21,25
21,25
21,25
Llaves de registro
Checksum
15
15
15
15
Falsos positivos
1,8
1,8
1,8
1,8
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
52,05
52,05
52,05
52,05
del
sistema:
Reconoci
los
diferentes
tipos
de
108
7.2.
Tabla 16. Parmetros en comn de Snort para las pruebas con los troyanos
Parmetro
Prueba
Resultados y comentarios
Algoritmo
hash
Carpetas
escaneadas
por omisin
Buscar
dentro
del
archivo
de
Frecuencia de configuracin el tiempo
escaneo
establecido
por
omisin
para
el
escaneo del agente.
109
Darkcomet
Resultados y comentarios
Prueba
Reconocer instalaciones
o
desinstalaciones
Registros en el programas
sistema
de
como
System.ini, Win.ini.
Alterar/modificar
Llaves
registro
y/o
Conexiones
Realizar
conexiones
al agente/cliente.
110
Parmetro
Prueba
Resultados y comentarios
111
Parmetro
Prueba
Resultados y comentarios
Checksum
Falsos positivo
17
No-ip: Es un servicio de DNS dinmico para empresas y hogares que permite la asignacin de un nombre a una direccin IP.
112
Parmetro
Prueba
Resultados y comentarios
Camuflar el troyano en un
proceso legtimo del SO o en
llaves de registro.
Deteccin
rootkit
de
Registros
sistema
en
Spy-Net
Resultados y comentarios
Prueba
Reconocer
instalaciones
o
Por medio de Spy-net se accedi al computador cliente y
desinstalaciones de programas
el como utorrent, Winrar, Notepad despus de realizar algunas acciones no se detecta la
instalacin y desinstalacin de software en el SO.
++, y/o archivos como:
System.ini, Win.ini
113
Parmetro
Llaves de registro
Prueba
Resultados y comentarios
Alterar/modificar y/o crear llaves
Se realizaron cambios a las llaves de registro sin obtener
de registro para el SO por medio
alguna alerta del IDS.
del troyano.
Realizar conexiones remotas El IDS reconoce la primera conexin efectuada para conectar
Conexiones
desde
el
troyano
al el troyano con la vctima, pero las otras conexiones
exitosas hacia el agente/cliente.
establecidas desde el troyano no fueron detectadas por el
agente
IDS.
Checksum
114
Parmetro
Prueba
Resultados y comentarios
Camuflar el troyano en un
proceso legtimo del SO o en
llaves de registro
Falsos positivos
Deteccin
rootkit
de
115
Tabla 19. Pruebas de parmetros aplicadas a Snort con el troyano Poison Ivy
Troyano
Parmetro
Prueba
instalaciones
Reconocer
Registros
en
el
sistema
Poison Ivy
Resultados y comentarios
o
desinstalaciones de programas
como utorrent, Winrar, Notepad
++, y/o archivos como:
System.ini, Win.ini
Alterar/modificar y/o crear llaves Snort no reconoce cuando por medio del troyano se cambia,
Llaves de registro
Conexiones
exitosas hacia el
agente
del troyano.
computador monitoreado.
Realizar
conexiones
desde
el
troyano
agente/cliente.
primera conexin.
.
por
el
IDS
y/o
116
Parmetro
Prueba
Realizar actividades comunes de
usuario tales como: programas de
mensajera instantnea como
skype, mirar correo electrnico
como gmail y utilizar pginas de
entretenimiento como youtube o
facebook y observar si genera
alertas.
Falsos positivos
Resultados y comentarios
Camuflar el troyano en un
proceso legtimo del SO o en
llaves de registro.
Deteccin
rootkit
de
117
Bifrost
Resultados y comentarios
Prueba
Reconocer
instalaciones
desinstalaciones de
Registros
en
el sistema
programas
utorrent,
Notepad
como
Winrar,
++,
y/o
archivos como:
System.ini, Win.ini
Alterar/modificar y/o
Llaves
registro
de
crear
llaves
de
registro para el SO
por
medio
troyano.
del
Se logr alterar por medio del troyano una llave de registro monitoreada por el sistema:
(HKEY_LOCAL_MACHINE/
SOFTWARE/Classes/
cmdfile/EditFlags) y como resultado el IDS no emiti alerta alguna.
Por otra parte, al crear una llave de registro de nombre Damian el IDS no gener ni
report ninguna alerta.
118
Parmetro
Prueba
Resultados y comentarios
Realizar conexiones
remotas desde el Snort reconoce la intrusin al computador en el momento de realizar la conexin
troyano
al emitiendo una alerta indicando la presencia de un troyano en el computador (1),
mostrando la direccin IP origen y destino, y el SO, tambin reconoce la conexin (2)
agente/cliente.
(Ver figura 33).
Conexiones
exitosas hacia
el agente
119
Parmetro
Checksum
Falsos
positivos
Prueba
Resultados y comentarios
Alterar y/o modificar un
archivo
monitoreado
por el IDS y/o modificar
un archivo que sea Snort puede analizar y revisar al SO por medio del syslog pero esa funcin solo la
importante para el SO puede efectuar en distribuciones Linux, por consiguiente no se gener ninguna
como
win.ini, alerta en el SO Windows.
autoexec.bat
y
observar las acciones
del IDS.
Realizar
actividades
comunes de usuario
tales como : programas
de
mensajera
instantnea
como
Snort reconoce las descargas realizadas desde una cuenta de correo electrnico
skype, mirar correo
hechas por el usuario con una alerta de nivel bajo. Tambin genera alertas del tipo
electrnico como gmail
http_inspect al navegar por sitios web como youtube.
y utilizar pginas de
entretenimiento como
youtube o facebook y
observar si genera
alertas
120
Parmetro
Prueba
Resultados y comentarios
Ausencia
falsos
negativos
Realizar
actividades
por medio del troyano
de que
puedan
comprometer
el
funcionamiento del SO
y observar si el IDS
genera alguna alerta
Deteccin
rootkit
Camuflar el troyano en
Snort no reconoce cambios en el modo de ejecucin del troyano, tampoco reconoce
de un proceso legtimo del
acciones como ocultar el troyano en un proceso legtimo del SO y tampoco en el
SO o en llaves de
inicio del SO.
registro.
121
122
contena las reglas VRT18 descargadas desde el sitio web de Snort en el archivo
snort.conf, como resultado generaba alertas al visitar la mayora de sitios web
emitiendo falsos positivos. VRT junto con Snort publicaron el nuevo archivo de
snort.conf19 para ser descargado por cualquier persona que tenga ese u otro
problema derivado del archivo de configuracin snort.conf.
En conclusin, Snort demostr la efectividad que posee para detectar las
conexiones que se efectuaron al computador a analizar, otorgando informacin
relevante del intruso, como la direccin IP y el nombre del equipo.
Despus de realizadas las pruebas y segn la tabla 9 de rendimiento ante el uso
de troyanos, Snort se clasifica como REGULAR en la categora 2 con un puntaje
promedio de 31,5, valor que se logr por medio de la evaluacin con la rbrica (ver
anexo I).
Los parmetros alcanzados por Snort en las pruebas fueron:
18
VRT (Vulnerability Research Team)): Grupo de expertos en seguridad informtica que trabajan
de forma proactiva para evaluar y responder ante las tendencias de actividades hacking.
19
Snort.conf: archivo de configuracin actualizado por Snort y VRT [En lnea] Disponible:
http://www.snort.org/vrt/snort-conf-configurations/
123
Spy-Net
Poison Ivy
Bifrost
Registros en el sistema
Llaves de registro
15
15
15
15
Checksum
Falsos positivos
4,5
4,5
4,5
4,5
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
31,5
31,5
31,5
31,5
Valores
Snort
obtenidos
por
7.3.
Tabla 22. Parmetros en comn de Sguil para las pruebas con los troyanos
Parmetro
Algoritmo hash
Prueba
Resultados y comentarios
Frecuencia
escaneo
Buscar
dentro
del
archivo de configuracin
de
el tiempo establecido por
omisin para el escaneo
del agente.
125
Darkcomet
Resultados y comentarios
Prueba
Reconocer instalaciones o
desinstalaciones
Registros
en
de
programas como utorrent, Desde el troyano se logr acceder al computador donde se encuentra el
el Winrar, Notepad ++, y/o sensor Sguil, y al realizar la accin de instalacin/desinstalacin de
sistema
archivos como:
System.ini, Win.ini
Llaves
registro
de
126
Parmetro
Prueba
Resultados y comentarios
Figura 34. Creacin llave de registro por medio de Darkcomet no detectada por Sguil.
conexiones
Conexiones Realizar
remotas desde el troyano al
exitosas
hacia
el agente/cliente.
agente
Checksum
127
Parmetro
Falsos
positivos
Prueba
Resultados y comentarios
Realizar actividades comunes
de
usuario
tales
como:
programas
de
mensajera
instantnea como skype, mirar
correo electrnico como gmail Al realizar acciones como consultar el correo y visitar pginas web, el IDS no
y
utilizar
pginas
de reporta en ningn caso nada inusual por parte del usuario.
entretenimiento como youtube
o facebook y observar si
genera alertas.
Camuflar el troyano en un Se consigui camuflar el troyano como un proceso del SO, e instalar un
proceso legtimo del SO o en ejecutable dentro de una carpeta del sistema, pero no se obtuvo respuesta o
llaves de registro.
alerta del IDS a sta accin.
128
Prueba
Reconocer instalaciones
de
Registros
en
desinstalaciones
sistema
Spy-Net
Resultados y comentarios
archivos como:
System.ini, Win.ini
Llaves
de
registro
exitosas
agente
Conexiones
hacia
el
Realizar
conexiones
El troyano cre una conexin TCP por el puerto 81 (1), obteniendo una
respuesta del IDS (2), como se muestra en la figura 35.
129
Parametro
Prueba
Resultados y comentarios
Checksum
130
Parmetro
Falsos
positivos
Prueba
Resultados y comentarios
Realizar
actividades
comunes de usuario tales
como:
programas
de
mensajera
instantnea
Al realizar actividades comunes por un usuario en el computador como
como skype, mirar correo
utilizar (skype, gmail, y facebook), el sensor del IDS no reporta ningn tipo de
electrnico como gmail y
anomala a estas acciones.
utilizar
pginas
de
entretenimiento
como
youtube o facebook y
observar si genera alertas.
Camuflar el troyano en un
Al utilizar la funcin rootkit de Spy-Net se logr camuflar el troyano para que
proceso legtimo del SO o
se conecte una vez inicie sesin el usuario de Windows.
en llaves de registro.
131
Tabla 25. Pruebas de parmetros aplicadas a Sguil con el troyano Poison Ivy
Troyano
Parmetro
Reconocer
Prueba
instalaciones
Poison Ivy
Resultados y comentarios
desinstalaciones de programas Por medio del file manager que posee Poison Ivy, se consigui
Registros en el
sistema
como utorrent, Winrar, Notepad copiar el instalador de un programa en el disco duro del
++, y/o archivos como:
System.ini, Win.ini
Figura 36. Creacin llave de registro por medio de Spy-Net no detectada por Sguil.
Llaves de registro
132
Parmetro
Conexiones
exitosas hacia el
agente
Checksum
Falsos positivos
Prueba
Resultados y comentarios
Realizar
conexiones
remotas
Al ejecutar el troyano Poison Ivy ste crea una conexin TCP a
desde el troyano al agente/cliente.
travs del puerto 3460, conexin mostrada por el SO, y el IDS
reporta este tipo de conexin con una alerta.
133
Parmetro
Ausencia de
falsos negativos
Deteccin de
rootkit
Prueba
Realizar actividades por medio
del
troyano
que
puedan
comprometer el funcionamiento
del SO y observar si el IDS
genera alguna alerta.
Resultados y comentarios
Al remplazar el archivo de inicio del SO boot.ini por boot2.ini
y abrir consolas remotas el IDS no gener ningn tipo de
alerta. Sin embargo, el agente Sguil reporta que se ha
realizado una conexin y emite una alerta.
Bifrost
Prueba
Reconocer
Registros en el
sistema
instalaciones
Resultados y comentarios
System.ini, Win.ini.
134
Parmetro
Llaves de registro
Conexiones
exitosas hacia el
agente
Checksum
Falsos positivos
Prueba
Resultados y comentarios
Se logr alterar por medio del troyano una llave de registro
monitoreada
por el
sistema:
(HKEY_LOCAL_MACHINE/
Alterar/modificar y/o crear llaves de SOFTWARE/Classes/
registro para el SO por medio del cmdfile/EditFlags) y como resultado el IDS no emiti alerta alguna.
troyano.
Por otra parte, al crear una llave de registro de nombre Damian
el IDS no gener ni report ninguna alerta.
Bifrost establece una conexin a travs del protocolo TCP usando
Realizar
conexiones
remotas
el puerto 200, esta conexin es establecida una vez se ejecuta el
desde el troyano al agente/cliente.
troyano, siendo reconocida por el SO y por el IDS.
Alterar y/o modificar un archivo
monitoreado por el IDS y/o
modificar un archivo que sea
importante para el SO como
win.ini, autoexec.bat y observar las
acciones del IDS
Realizar actividades comunes de
usuario tales como: programas de
mensajera
instantnea
como
skype, mirar correo electrnico
como gmail y utilizar pginas de
entretenimiento como youtube o
facebook y observar si genera
alertas.
135
Parmetro
Prueba
Resultados y comentarios
Ausencia de falsos
negativos
Deteccin de
rootkit
Camuflar el troyano en un proceso Al implementar la funcin de rootkit ofrecida por bifrost ste se
legtimo del SO o en llaves de logra camuflar como servicio del SO, lo cual le permitir conectarse
registro.
con el cliente una vez se inicie sesin y el IDS no lo detect.
136
Los resultados de las pruebas con Sguil mostraron similitudes a las realizadas con
Snort debido a que Sguil est basado en el motor de Snort, brindndole a Sguil
mtodos de deteccin similares a los que Snort posee. Sin embargo, al utilizar
Sguil no se reportaron ni se registraron tantos falsos positivos, esto se debe a que
las configuraciones y reglas en Sguil son analizadas intentando evitar la
generacin de falsos positivos. Los parmetros detectados por Sguil segn la tabla
27 fueron pocos, en consecuencia el puntaje final fue relativamente bajo.
Adicionalmente, la interfaz grfica que ofrece Sguil no es amigable y puede en
algn momento confundir al administrador, debido que puede llegar a ser
totalmente diferente de otras herramientas IDS, aunque como las otras
herramientas IDS permite conocer en las alertas datos importantes como direccin
IP origen y destino, puerto, hora de recibo de las alertas, nombre del sensor y
estatus de la alerta; adems, su compleja configuracin e implementacin no es
un punto favorable para ste IDS.
Sguil posee deficiencias en la deteccin de cambios en el SO del computador
monitoreado, ya que ningn cambio fue reportado. Sguil presenta alertas a las
conexiones que existen entre el cliente y el servidor del troyano, pero no reporta
ningn tipo de alerta a las acciones que se pueden efectuar despus de tener la
conexin establecida entre el cliente y el servidor del troyano.
Las funciones hash implementadas por el IDS son solo para la verificacin de la
integridad de los mensajes enviados entre el servidor y el cliente/sensor del IDS,
pero no son usadas en la verificacin de la integridad de los archivos del
cliente/sensor.
El
obteniendo una calificacin de REGULAR segn la tabla rendimiento del IDS ante
el uso de troyanos (ver tabla 9) con un puntaje total de 32,5.
137
El puntaje obtenido es el
mximo: 4 puntos.
Ausencia de falsos negativos: Al poder reconocer que un troyano estaba
presente en el computador Sguil logr reconocer que verdaderamente ocurri
algo en el computador. El puntaje obtenido fue 4,5 de 9 puntos posibles.
Algoritmo hash: Posee dos algoritmos hash que son SHA1 y MD5 para
monitorizar al SO. El puntaje que obtuvo fue el mximo: 5 puntos.
Frecuencia de escaneo: El escaneo que realiza Snort es constante, no tiene
lmite de tiempo. El puntaje que obtuvo fue el mximo: 4 puntos.
Los parmetros no alcanzados por Sguil fueron:
138
Spy-Net
Poison Ivy
Bifrost
Registros en el sistema
Llaves de registro
15
15
15
Checksum
Falsos positivos
4,5
4,5
4,5
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
32,5
32,5
139
32,5
32,5
7.4.
Tabla 28. Parmetros en comn de Prelude para las pruebas con los
troyanos
Parmetro
Prueba
Resultados y comentarios
Prelude en su configuracin como HIDS
OSSEC,
esto
implica
que
los
140
Registros
sistema
en
Darkcomet
Resultados y comentarios
Reconoce la instalacin de una aplicacin en Windows
Reconocer
instalaciones
o mostrando la alerta Windows application monitor event
desinstalaciones de programas detectado por el rootchek, informando qu tipo de aplicacin o
como utorrent, Winrar, Notepad ++, aplicaciones fueron instaladas y mostrando la ruta donde fue
el y/o archivos como:
instalada.
Prueba
System.ini, Win.ini
Llaves de registro
Conexiones
La conexin inicial entre el troyano y la vctima fue exitosa (1),
Realizar
conexiones
remotas
exitosas hacia el
sin embargo fue detectada la conexin por el IDS (2) (ver
desde el troyano al agente/cliente.
agente
figura 37).
141
Parmetro
Prueba
Resultados y comentarios
Checksum
142
Parmetro
Prueba
Resultados y comentarios
Falsos positivos
Figura 39. Falso positivo por actividades legtimas de usuario emitido por Prelude en
las pruebas de Darkcomet
el
funcionamiento
del
SO
143
Parmetro
Deteccin
rootkit
Prueba
Resultados y comentarios
Figura 40. Escaneo remoto de puertos con Darkcomet al computador analizado por Prelude
de
144
Bifrost
Prueba
Resultados y comentarios
Reconocer
instalaciones
o
desinstalaciones de programas
como utorrent, google earth,
Winrar, Notepad ++, y/o archivos
como:
System.ini, Win.ini
Registros
sistema
en
el
Figura 41. Alerta emitida ante la instalacin de un software en Prelude con Bifrost
145
Parmetro
Llaves de registro
Prueba
Resultados y comentarios
Se cre por medio del troyano la llave de registro
(HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Batfile/aer) sin
que el IDS emitiera alguna alerta.
Conexiones
exitosas hacia el
agente
146
Parmetro
Checksum
Falsos positivos
Prueba
Alterar y/o modificar un archivo
monitoreado por el IDS y/o
modificar un archivo que sea
importante para el SO como
win.ini, autoexec.bat y observar las
acciones del IDS.
Resultados y comentarios
Desde el troyano se accedi a la carpeta Windows para
posteriormente eliminar el archivo llamado win.ini el cual forma
parte importante de la configuracin inicial para el SO. Como
resultado no se obtuvo ninguna respuesta del IDS, siendo este
archivo monitoreado por l, al revisar los registros de sucesos se
encuentra que efectivamente gener una advertencia pero no fue
manifestado como alerta en el servidor.
Figura 43. Falso positivo por actividades legtimas de usuario emitido por Prelude en
las pruebas de Bifrost.
147
Parmetro
Prueba
Resultados y comentarios
Efectuar acciones a travs del
troyano al agente para descubrir Detecta la conexin entre el cliente y el servidor del troyano. Se
Ausencia de falsos errores en la generacin o no de ocult el troyano dentro de otro proceso sin obtener alguna alerta
negativos
del IDS; adems, se realiz un escaneo de puertos sin ser
las alertas.
detectado como anmalo.
Deteccin
rootkit
de
Registros
sistema
en
Spy-Net
Resultados y comentarios
Prueba
Reconocer instalaciones o
desinstalaciones de programas Detecta la instalacin de aplicaciones nuevas en el SO
utorrent,
Winrar, emitiendo una alerta al servidor Prelude desde el sensor
el como
Notepad ++, y/o archivos OSSEC.
como:
System.ini, Win.ini
148
Parmetro
Prueba
Resultados y comentarios
Se
modificaron
y
se
crearon llaves existentes, y el IDS en ningn
Alterar/modificar y/o crear llaves
de registro para el SO por medio momento reconoci los cambios efectuados.
del troyano.
Llaves de registro
1
2
Checksum
149
Parmetro
Prueba
Resultados y comentarios
Figura 45. Alerta generada por cambio en el checksum por Prelude con Spy-Net
Falsos positivos
150
Tabla 32. Pruebas de parmetros aplicadas a Prelude con el troyano Poison Ivy
Troyano
Parmetro
Poison Ivy
Prueba
Resultados y comentarios
Reconocer
instalaciones
o
Detecta la instalacin de nuevo software al
desinstalaciones de programas
Registros en el como utorrent, Winrar, Notepad computador que se est monitoreando emitiendo una
alerta al servidor de Prelude.
sistema
++, y/o archivos como:
System.ini, Win.ini
Llaves
registro
151
Parmetro
Prueba
Resultados y comentarios
Checksum
Figura 48. Alerta generada por cambio en el checksum por Prelude con Poison Ivy
152
Parmetro
Prueba
Realizar actividades comunes de
usuario
tales
programas
de
mensajera instantnea como skype,
mirar correo electrnico como gmail y
utilizar pginas de entretenimiento
como youtube o facebook y observar
si genera alertas
Falsos positivos
Resultados y comentarios
Se realizaron actividades cotidianas en el computador a
analizar y el IDS detect continuamente alertas del tipo
http_inspect al navegar por pginas web tales como gmail,
youtube, google, entre otras. (ver figura 49).
Figura 49. Falso positivo por actividades legtimas de usuario emitido por Prelude en
las pruebas de Poison Ivy
de
153
Las pruebas realizadas con los troyanos en Prelude obtuvieron buenos resultados
como se puede ver en la tabla 33, al trabajar Prelude con los IDS OSSEC y Snort
como sensores, Prelude logr detectar la mayora de los parmetros establecidos
(ver tabla 7).
Prelude demostr la capacidad que posee para interactuar con los IDS que
manejen la arquitectura IDMEF, unificando mensajes y alertas en una sola
interfaz, de esta forma se pueden utilizar diferentes IDS como agentes o sensores
de Prelude, logrando as ser un IDS Hibrido.
Para que Prelude trabajara como HIDS se precis utilizar otro IDS que funcionaran
de forma nativa como HIDS, en este caso se escogi OSSEC, el cual posee un
agente que trabaja tanto en Linux como en Windows. Las alertas emitidas por
Prelude con OSSEC fueron en tiempo real y sin mayores diferencias comparadas
con las alertas emitidas por el servidor nativo de OSSEC, aunque la interfaz de
Prelude es estticamente ms agradable, no representa un punto a favor como tal;
la real diferencia o ventaja es la forma de unificar la informacin de todos los
sensores que se pueden agregar a Prelude sin importar si el sensor agregado sea
un IDS diferente a Prelude, los dos IDS van a trabajar sin contratiempos.
Adicionalmente, se instal Snort que tambin trabaja con la arquitectura de
mensajes IDMEF, logrando de esta forma incorporarse y configurarse como
sensor en tiempo real para Prelude. Por otra parte, si se compara la interfaz y la
informacin suministrada por el sensor de Snort a Prelude no es tan completa
como lo hara Snort en la interfaz propia, pero no hace gran diferencia tomando
como base los resultados o las detecciones que realiza.
Como en las pruebas de Snortver seccin 7.2. las reglas creadas funcionaron
sin inconvenientes y se obtuvieron los mismos resultados en las detecciones de
los troyanos por parte de Snort como sensor de Prelude.
154
Spy-Net
Poison Ivy
Bifrost
Registros en el sistema
21,25
21,25
21,25
21,25
Llaves de registro
15
15
15
15
Checksum
15
15
15
15
Falsos positivos
4,5
4,5
4,5
4,5
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
69,75
69,75
69,75
69,75
155
Registros
en
el
sistema:
Reconoci
los
diferentes
tipos
de
El
156
7.5. CONCLUSIONES
PRUEBAS
A partir de las pruebas realizadas a los IDS con los troyanos se logr determinar
qu IDS consigui detectar la mayor cantidad de parmetros de caracterizacin
establecidos (ver tabla 7) al ser evaluados por medio de la rbrica (ver anexo I).
Cada IDS obtuvo puntajes diferentes en los cuales se pudo evidenciar las ventajas
y desventajas que se pueden tener al momento de utilizar alguna de las
herramientas IDS analizadas. Estos resultados se pueden evidenciar en la tabla
34 donde se detallan los puntajes totales obtenidos por las herramientas IDS.
Tabla 34. Puntajes y clasificacin final de los IDS
Herramienta
Categora
Puntos
69,75
Prelude
BUENO
52,05
OSSEC
BUENO
32,5
Sguil
REGULAR
31,5
Snort
REGULAR
IDS
157
Clasificacin
Tomando como base el estudio realizado y los puntajes obtenidos por las
herramientas, el IDS seleccionado para efectuar las pruebas con los troyanos
modificados ser Prelude, debido a que obtuvo mayor puntaje (ver tabla 34) al
momento de detectar las acciones efectuadas a travs de los troyanos.
158
8.
Para efectuar las pruebas y anlisis de esta seccin se utilizar el IDS que obtuvo
mayor puntaje en el captulo anterior, que, para este caso de estudio fue Prelude.
Junto con el IDS seleccionado se utilizar la herramienta antivirus Avira, la cual
fue seleccionada acorde al estudio realizado por PassMark ver seccin 4.8 .
Adicionalmente los troyanos utilizados sern alterados intentando que no sean
detectados por las herramientas antivirus, adems se observar si esas
modificaciones generan algn cambio en la deteccin por parte del IDS.
Para modificar un malware o un troyano no existe una nica gua o un nico
mtodo y se basa especialmente en experiencias realizadas debido a que todo
funciona en modo de prueba y error. Cada troyano o malware es totalmente
diferente a otro y las modificaciones que se implementen a un troyano especfico
posiblemente no servir para otro troyano, por este motivo algunas personas
utilizan crpyters. La funcin de un crpyter es cifrar el troyano o malware dentro de
otro programa, y de esta forma intentar hacerlo pasar como inofensivo ante las
herramientas antivirus. La ventaja al utilizar un crpyter radica en que uno puede
funcionar para varios troyanos ahorrando tiempo y trabajo debido que al realizar
una modificacin a un troyano, malware o crpyter puede durar horas, das y hasta
meses [38].
Al utilizar motores de bsqueda en internet se pueden encontrar y descargar
crpyters, aunque todos son detectados por las herramientas antivirus como
software malicioso, por ende requieren ser modificados al igual que se hara con
un troyano.
159
Las razones de utilizar un crpyter se deben a que los troyanos son conocidos y
analizados profundamente por los desarrolladores de las herramientas antivirus,
por ende las firmas encontradas por las herramientas antivirus en los troyanos son
sensibles a modificaciones, esto quiere decir que en el momento de modificar la
firma o firmas que se encuentran en el troyano es muy probable que se dae el
ejecutable del troyano volvindolo inservible. Al utilizar un crpyter se obtiene un
troyano con un cdigo modificado, por ende diferente al original y sin firmas
conocidas por las herramientas antivirus. En el anexo K se detalla el proceso para
modificar un crpyter para despus ser utilizado con el troyano.
Adicionalmente, a los troyanos se les asignarn puertos de conexin diferentes a
los de las pruebas anteriores; as mismo, se colocarn contraseas para observar
si este tipo de configuracin afecta o interfiere en el momento de la deteccin por
parte de la herramienta IDS.
Las pruebas se llevaran a cabo de la siguiente forma:
1) Se tomarn los cuatro troyanos de las pruebas anteriores y un IDS que ser
Prelude debido al puntaje que obtuvo en las pruebas ver seccin 7.5. ...
2) Los troyanos sern modificados, alterados y cifrados, de esta forma se
podr cambiar el cdigo del troyano logrando ser un troyano con un cdigo
diferente al original pero sin interrumpir las funcionalidades que el troyano
posee. Esto se puede lograr por medio de un crypter, los cuales deben
tambin
ser
alterados
cifrados,
para
ello
se
utilizan
editores
Adems, al
160
Algoritmo
hash
Prueba
Resultados y comentarios
Carpetas
escaneadas
por omisin
Establecer
las
carpetas por omisin C:/WINDOWS
escaneadas por el
C:/WINDOWS/System32
IDS.
Dentro de la configuracin, la
frecuencia establecida por omisin para
el escaneo del computador o host es de
72.000 segundos, que es equivalente a
20 horas. Sin embargo, este escaneo
es aplicado en caso de no reportarse
acciones por parte del usuario.
161
Tabla 36. Pruebas de parmetros aplicadas a Prelude con el troyano Spy-Net modificado
Troyano
Spy-Net
Parmetro
Prueba
Resultados y comentarios
Reconocer
instalaciones
o
desinstalaciones de
programas Reconoce la instalacin/desinstalacin realizadas al SO que
como utorrent, Winrar, Notepad ++, se est escaneando por el IDS; al emitir la alerta presenta
informacin sobre el programa que fue instalado/desinstalado
y/o archivos como:
consultando la base de datos del agente.
System.ini, Win.ini
Registros
sistema
en
el
Llaves de registro
Alterar/modificar y/o crear llaves de Se crearon llaves de registro en rutas donde el agente realiza
registro para el SO por medio del escaneos, sin obtener una alerta por parte del IDS en su
troyano.
servidor.
162
Parmetro
Prueba
Resultados y comentarios
Checksum
163
Parmetro
Falsos positivos
Prueba
Realizar actividades comunes de
usuario tales como: programas de
mensajera instantnea como skype,
mirar correo electrnico como gmail y
utilizar pginas de entretenimiento
como youtube o facebook y observar
si genera alertas
Resultados y comentarios
Al realizar ciertas actividades como instalacin/desinstalacin
de algn programa de mensajera instantnea como skype
genera una alerta informando los cambios en el SO. Al navegar
por sitios web como youtube, y gmail, entre otros, no gener
ningn tipo de alerta.
164
Parmetro
Prueba
Resultados y comentarios
Figura 51. Consola remota abierta por medio de Spy-Net modificado no detectada por Prelude
de
165
Tabla 37. Pruebas de parmetros aplicadas a Prelude con el troyano Darkcomet modificado
Troyano
Parmetro
Darkcomet
Prueba
Resultados y comentarios
166
Parmetro
Prueba
Resultados y comentarios
Se modific una llave de registro que el agente escanea por
Alterar/modificar y/o crear llaves de omisin, sin obtener alguna alerta por parte del IDS (ver figura
registro para el SO por medio del 52).
troyano.
Figura 52. Creacin llave de registro por medio de Darkcomet modificado no detectada por
Prelude
Llaves de registro
167
Parmetro
Prueba
Resultados y comentarios
Desde el cliente del troyano al servidor en el computador
Realizar conexiones remotas desde el
vctima se realiz la conexin de forma exitosa (1), pero fue
troyano al agente/cliente
detectada por el IDS (2) (ver figura 53).
Conexiones
exitosas hacia el
agente
Checksum
168
Parmetro
Prueba
Resultados y comentarios
169
Parmetro
Falsos positivos
Prueba
Realizar actividades comunes de
usuario tales como: programas de
mensajera instantnea como skype,
mirar correo electrnico como gmail y
utilizar pginas de entretenimiento
como youtube o facebook y observar
si genera alertas
Resultados y comentarios
Genera alertas al utilizar aplicaciones de mensajera
instantnea como skype y tambin con algunas descargas
realizadas desde el correo. Al navegar por sitios como gmail,
youtube, entre otros, el IDS no gener ninguna alerta.
170
Parmetro
Prueba
Realizar actividades por medio del
Ausencia de falsos troyano que puedan comprometer
negativos
el funcionamiento del SO y
observar si el IDS genera alguna
alerta
Deteccin de rootkit
Resultados y comentarios
No reconoce cuando se realizan escaneos para revisar qu
puertos se encuentran abiertos y los procesos que tenga el SO,
aunque el IDS s reconoce la conexin efectuada entre el
servidor y el cliente del troyano.
Tabla 38. Pruebas de parmetros aplicadas a Prelude con el troyano Bifrost modificado
Troyano
Parmetro
Registros
sistema
en
Bifrost
Prueba
Reconocer
instalaciones
o
desinstalaciones de programas
el como utorrent, Winrar, Notepad ++,
y/o archivos como:
Resultados y comentarios
Registra los cambios al instalar/desinstalar alguna aplicacin o
software en el SO emitiendo una alerta al servidor.
System.ini, Win.ini
171
Parmetro
Prueba
2012 Ene 11 10:34:51 Rule Id: 18146 level: 5
Location: (WinOssec) 192.168.0.119->WinEvtLog
Src IP: Administrador
Application Uninstalled.
Resultados y comentarios
Alterar/modificar y/o crear llaves Al modificar una llave de registro del SO no se obtiene
de registro para el SO por ninguna alerta referente a ese cambio por el agente.
Llaves de registro
conexiones
desde
el
agente/cliente.
hacia
troyano
Conexiones
exitosas
el
agente
2
172
Parmetro
Checksum
Falsos positivos
Prueba
Alterar y/o modificar un archivo
monitoreado por el IDS y/o
modificar un archivo que sea
importante para el SO como
win.ini, autoexec.bat y observar las
acciones del IDS
Realizar actividades comunes de
usuario tales como: programas de
mensajera
instantnea
como
skype, mirar correo electrnico
como gmail y utilizar pginas de
entretenimiento como youtube o
facebook y observar si genera
alertas
Deteccin de rootkit
Resultados y comentarios
Al momento de cambiar/modificar algn archivo que el IDS
monitorea se enva una alerta para el servidor del IDS
indicando qu archivo fue alterado, mostrando la ruta y los
datos de la suma.
173
Parmetro
Prueba
Resultados y comentarios
Figura 55. Ejecucin de Bifrost como proceso del computador analizado por Prelude
174
Tabla 39. Pruebas de parmetros aplicadas a Prelude con el troyano Poison Ivy modificado
Troyano
Poison Ivy
Parmetro
Prueba
Reconocer
instalaciones
Resultados y comentarios
desinstalaciones de programas
como utorrent, Winrar, Notepad
Registros
en
sistema
el
System.ini, Win.ini
Rule: 18147 (level 5) -> 'Application Installed.'
User: Administrador
WinEvtLog: Application: INFORMATION(11707): MsiInstaller: Administrador: A3: A3:
Producto: Google Earth -- La operacin de instalacin se ha completado correctamente.
Se cre por medio del troyano una llave de registro (ver
figura 56) para el SO en donde el agente asociado realiza
Alterar/modificar y/o crear llaves
Llaves de registro
175
Parmetro
Prueba
Resultados y comentarios
Figura 56. Creacin llave de registro por medio de Poison Ivy modificado no detectada
por Prelude
Figura 57. Conexin exitosa de Poison Ivy modificado no detectado por Prelude
Conexiones exitosas
hacia el agente
176
Parmetro
Checksum
Falsos positivos
Prueba
Alterar y/o modificar un archivo
monitoreado por el IDS y/o
modificar un archivo que sea
importante para el SO como
win.ini, y observar las acciones del
IDS.
Resultados y comentarios
Se modific un archivo que era escaneado por omisin en el
IDS, tambin se modific un archivo que no se encontraba por
omisin, crendole la ruta en el archivo de configuracin; para
ambos archivos el IDS gener una alerta reconociendo los
cambios en ellos.
177
Parmetro
Prueba
Resultados y comentarios
Figura 58. Escaneo remoto de puertos con Poison Ivy modificado no detectado por
Prelude
Deteccin de rootkit
178
El IDS Prelude demostr la efectividad que posee al trabajar junto con otras
herramientas IDS. Las detecciones frente a los troyanos modificados fue similar a
las encontradas antes de ser modificados ... ver seccin 7.4 ...
El IDS Prelude despus de realizar las pruebas con los troyanos modificados se
posicion en la categora 3 obteniendo una calificacin de BUENO segn la tabla
rendimiento del IDS ante el uso de troyanos (ver tabla 9) con un puntaje promedio
total de 65,32 (Ver tabla 40).
Tabla 40. Puntaje total obtenido por Prelude con los troyanos modificados
Puntos obtenidos por Troyano
Parmetro
Darkcomet
Spy-Net
Poison Ivy
Bifrost
Registros en el sistema
21,25
21,25
21,25
21,25
Llaves de registro
Conexiones exitosas
hacia el agente/cliente
15
15
15
Checksum
15
15
15
15
Falsos positivos
Ausencia de falsos
negativos
4,5
4,5
4,5
Deteccin de rootkit
Algoritmo hash
Frecuencia de escaneo
69,75
69,75
52,05
69,75
179
Los parmetros alcanzados por Prelude en las pruebas con los troyanos
modificados:
Registros
en
el
sistema:
Reconoci
los
diferentes
tipos
de
El
181
que se encuentra igual para ambos troyanos y el color amarillo indica las partes
que son diferentes.
Adicionalmente, por medio del programa Wireshak, el mismo utilizado para crear
las reglas para el IDS en las primeras pruebas, se puede observar el cambio
generado al momento de conectarse el cliente y el servidor del troyano no
detectado (ver figuras 60 y 61). El troyano genera una firma totalmente nueva no
registrada en las reglas creadas para el IDS lo que le permite no ser detectado y
de esta forma se logra efectuar la conexin del troyano al computador vctima sin
generar sospecha ni alerta de la herramienta IDS.
Figura 59. Comparacin hexadecimal del troyano Poison Ivy detectado y no
detectado
182
Figura 60. Firma del troyano Poison Ivy detectado por el IDS
Figura 61. Firma del troyano Poison Ivy no detectado por el IDS
183
CONCLUSIONES
184
deseen desarrollar para mejorar la deteccin de troyanos o para mitigar otro tipo
de ataques o intrusiones.
185
RECOMENDACIONES
Se recomienda profundizar en los mtodos de conexin que realizan los troyanos
al momento de comunicarse con su servidor, con el fin de poder mejorar las
tcnicas de deteccin con troyanos.
Por otro lado, se recomienda para futuros estudios de las herramientas de
deteccin de intrusos realizar un anlisis sobre intrusiones realizados por otro tipo
malware, con el fin conocer y desarrollar mtodos que permitan mitigar futuras
intrusiones. As mismo, explorar ms a fondo las ventajas y desventajas que se
obtienen al poder trabajar conjuntamente con diferentes herramientas IDS de
forma hibrida.
De igual manera, se recomienda a la facultad de ingeniera informtica de la
Universidad Pontificia Bolivariana incluir dentro de la ctedra de seguridad
informtica el estudio y aplicacin de las herramientas de deteccin de intrusos,
debido al gran potencial de estas herramientas para detectar eventos ocurridos
dentro de un computador.
186
REFERENCIAS
Evil
Fingers.
[Online].
Available:
https://evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
[2] RSA Security. (2008). Moderacin de ataques con intermediarios y troyanos.
[Online].
Available:
http://www.rsa.com/products/consumer/whitepapers/9910_MITM_WP_0708_LE.pd
f
[3] Netwitness. (2010, Enero). "Kneber Botnet" Targets Corporate Networks and
Credentials. [Online]. Available: http://netwitness.com/about/press-releases/2010netwitness-discovers-massive-zeus-compromise
[4] Panda Security.(2011, Junio). Informe trimestral PandaLabs. [Online].
Available:
http://prensa.pandasecurity.com/wp-content/uploads/2011/07/Informe-
PandaLabs-Q2-2011.pdf
[5] Microsoft. (2010, Enero). Documento informativo de seguridad. Microsoft
TechNet.
[Online].
Available:
http://www.microsoft.com/latam/technet/seguridad/alerta/979352.mspx
[6] Panda Security. (2012).Informe Trimestral PandaLabs. [Online]. Available:
http://press.pandasecurity.com/press-room/reports/
[7] Y. Namestnikov. (2011). Desarrollo de las amenazas informticas en el
segundo
trimestre
de
2011.
[Online].
http://www.viruslist.com/sp/analysis?pubid=207271138
[8] P. Aguilera. Lpez. Seguridad informtica. 1 Ed. EDITEX. 2010.
187
Available:
un
ciberataque
global.
[Online].
Available:
http://edant.clarin.com/diario/2010/02/18/um/m-02142991.htm
[10] Microsoft. (2011, Junio). What Is the Security Intelligence Report. 11 vol.
[Online]. Available: http://www.microsoft.com/security/sir/default.aspx
[11] Statcounter. (2011). Top 5 Operating Systems from January to December
2011. [Online].
Available: http://gs.statcounter.com/#os-ww-monthly-201101-
201112
[12] A. Kostin (2011, Diciembre). Pagos online: Comididad y seguridad. [Online]
http://www.viruslist.com/sp/hackers/analysis?pubid=207271154
[13] A. Gostev (2011, Febrero) Kaspersky Security Bulletin 2010: Boletn de
seguridad
Desarrollo
de
las
amenazas
informticas
en
2010
[Online]
http://www.viruslist.com/sp/hackers/analysis?pubid=207271113
[14] The Information Assurance Technology Analysis Center (IATAC). (2009,
Septiembre).
Intrusion
Detection
Systems.
6.
[Online].
Available:
http://iac.dtic.mil/iatac/download/intrusion_detection.pdf
[15] Trend Micro. (2010). Getting started with OSSEC. [Online]. Available:
http://www.ossec.net/main/getting-started-with-ossec
[16]
B.
Visscher.
(2007).
About
Sguil.
[Online].
Available:
http://http://sguil.sourceforge.net/docs.html
[17]
PRELUDE.
(2005).
[Online].
technologies.com/en/welcome/index.html
188
Available:
http://www.prelude-
[Online].
Available:
http://www.passmark.com/ftp/antivirus_10-
performance-testing-ed4.pdf
[23] University of Michigan. (2005, Octubre). TOR (The Onion Router).
DEPARTMENT
OF
LSAIT.
[Online].
Available:
http://lw.lsa.umich.edu/lsait/admin/TOR%20Routing%20Infomation%20.pdf
[24] J. A. Sez. Muoz. (2007). Malware. Universidad de Granada. [Online].
Available: http://lsi.ugr.es/~ig1/docis/aluwork/Malware.pdf
[25] A. Barrera. Garca-orea. (2010). Presente y futuro de los IDS. [Online].
Available: http://www.neurosecurity.com/whitepapers/futureIDS.pdf
[26] The Snort Preoject. (2011, Diciembre). Snort User Manual 2.9.2. [Online].
Available: http://www.snort.org/assets/166/snort_manual.pdf
[27] A. Hay, D. Cid y R. Bray. 1 Ed. OSSEC HIDS. Host-Based Intrusion Detection
guide. Burlington: Syngress Publishing. 2008. Pp. 416.
189
D.
Burks.
(2011,
Julio).
Security
Onion.
[Online].
Available:
http://securityonion.blogspot.com/
[34] R. Gerhards. (2009, Agosto). The BSD syslog Protocol. [Online]. Available:
http://tools.ietf.org/html/rfc5424
[35] A. Gmez Vieites. Enciclopedia de la Seguridad Informtica. 2 Ed. Ra-Ma.
2006, 828 p.
[36]
Trend
Micro.
(2010).
OSSEC
Architecture.
[Online].
Available:
http://www.ossec.net/main/ossec-architecture
[37] H. Debear, D. Curry, B. Feinstein. (2007, Marzo) The intrusion Detection
Message
Exchange
Format
(IDMEF)
[Online].
Avaliable:
http://www.ietf.org/rfc/rfc4765.txt
[38] J.M. Aquilina and E Casey Malware Forensics: Investigating and Analyzing
Malicious Code. United States of America: Syngress, 2008, pp. 340-342
190