Fast & Furious Incident ResponseJuan Garrido

@tr1ana

Agenda

¿Qué es un incidente?

Incidentes en la actualidad

Preparar una empresa para IR

Qué hacer cuando ha habido un ataque

Herramientas existentes

Conclusiones

3

4

¿Qué es un incidente?

Incidente

• Violación de las políticas de seguridad de una empresa

• Ejemplos:

• Denegación de servicio

• Ejecución de malware a través de attachment

• Fuga de información

• Etc..

80.000 incidentes

Compromisos reales

•2.000

Se conoce el motivo

•70%

Phishing como elemento principal

•23%

Attachment

•11%

Brechas de seguridad. Año 2015

Public30%

IT/Information20%

Bank50%

TOP 3

¿Realmente nos espían?

Capacidad de respuesta

¿Lecciones aprendidas?

• Depende siempre desde el prisma del que se mire

• Si no hay SDL/SIL/TM, no habrá lección aprendida

• El Ego ayuda a “trasladar la culpa”, no a asumirla

• El software/hardware de seguridad no es la solución – Es parte de -

Preparar empresa para IR

• Formar equipo de IR

– Manager, técnicos, herramientas, procedimientos, etc..

• Preparar un plan de acción

– Misión

– Estrategia

– Formularios

– Interlocutores internos

– Comunicaciones

– Métricas

– Training

– Etc..

¿Qué hacer ante una intrusión?

• Keep calm

– Intentar categorizar y establecer pautas.

– Tener claro quienes son los interlocutores

• Artifacts

– Determinar origen de la intrusión

– Extraer artifacts de equipos afectados

– Análisis de los artifacts

– Documentar incidente

– Priorizar acciones

– Notificaciones

– Recuperar el control

– Lecciones aprendidas

Variables inamovibles en un IR• Entorno hostil

• Múltiples consultas en N servidores y/o clientes

• ¿Arquitectura homogénea?

• ¿Arquitectura heterogénea?

• ¿Sistemas gobernados?• Visibilidad

• Segmentación de Red

• DMZ

Top fallos

• Tiempo

• ¿Cuándo nos enteramos del ataque?

• Datos

• Cantidad no significa calidad

• Herramientas

• ¿homologadas?¿Normalizadas?, Etc..

• Documentación

• ¿Con qué cuenta levanta qué servicio?

• Personal

• ¿Formación? ¿Visibilidad dentro de la empresa?

Consultoría

• Fallos de consultoría

• Todo pasa por la instalación de una herramienta

• Múltiples agentes por sistema

• Baja interoperabilidad

• Mantenimiento• Posibles soluciones

• Adaptar los sistemas a las nuevas ventajas del OS

• Sin agente

Herramientas IR

Aplicaciones

• Utilizan comandos del sistema

• Utilizan API del sistema

• En ocasiones desestabilizan el entorno

Utilización de Active Directory

GPO Logon/Logoff

• Requiere reinicio

• Lentitud en inicio de sesión

Herramienta IR• Debe ser estable

• Debe estar probada por el equipo/auditor

• La información debe ser útil

• La información debe ser tratable

• Debe eliminar:

• Incompatibilidades con OS

• Ser considerada como herramienta de Hacking

Herramientas corporativasVendor/Tool C/P Agent Portable Low

level

Reporting Licence

Mandiant IR No Yes No Yes Yes 44000 $

(<1000)

Google GRR Yes Yes No Yes Yes Free

RTIR(*) Yes No No No Yes Free

Thor No No Yes Yes Yes Per device

Mandiant

IOC

No No Yes Yes Yes Free

Crowd

Response

No No Yes No No Free

Helix IR No No Yes No No Per device

Fireamp Yes Yes No Yes Yes 30000$

(*) Only ticketing

C/P Cross Platform

Autenticación en Windows

• Implementa una rica variedad de tecnologías de autenticación:

• Contraseña

• Tokens

• Certificado

• Biometría

• Proveedores externos

• Etc..

Protocolos de autenticación• Definen normas y reglas

• El proceso de autenticación permite

• Autorizar usuarios, grupos y servicios

• Acceso a recursos bajo canales seguros

• Re-diseño a partir de Windows Vista

• Basado en API

• Escalable

Protocolos de autenticación• Los protocolos de autenticación por defecto son:

• NTLM

• Kerberos

• Digest

• Schannel

• Añadidos en Windows 7/8/8.1

• tspkg

• pku2u

• livessp

Modelo de seguridad

• Componentes encargados de:

• Inicio de sesión correcto: Auth + Authorization

• Inicio de sesión incorrecto: Access Denied

• Autoridad de seguridad local (LSA)

• Subsistema que permite el inicio de sesión

• Define y aplica las políticas de seguridad local

• Inicios de sesión, derechos de usuario, etc..

• Traducción de nombre SID

User: BonitaPassword hash:

C9DF4E…

Logon inicial

PC Bonita

User: Bonita

Password:

a1b2c3

Sesión Bonita

User: SuePassword hash:

C9DF4E…

Servidor externo

1

2

3

Sesión Bonita4

1. Bonita mete usuario y password en el PC

2. PC genera la sesión de bonita

3. Bonita accede a servidor externo

4. Si todo coincide, servidor externo genera la sesión

321

Qué no hay que utilizar

Windows

• El ecosistema Microsoft es una gran API

• WMI

• Jscript

• VBScript

• Powershell

• .NET

• Perl

• Etc…

WMI

• Instrumental de administración de Windows

• Provee una API para consultas de bajo/alto nivel

• Integrado con la mayoría de lenguajes

• Consultas similares a SQL

• Información basada en Clave:Valor

• Soporta autenticación

321

Acceso a clases WMI

Eventos de Windows

• Registran información de todo lo que pasa en el sistema

• Servicios

• Auditoría

• Autenticación

• Etc..

• Soporte suscripción de eventos en W2K8

• Acceso a través de múltiples canales

Tipos de Logon

Logon Type

2 Interactive

10 Remote Interactive

4 Batch

5 Service

7 Unlock

8 Network ClearText

9 NewCredentials

11 Cached Logon

Eventos de logon en 2003

ID Description

528 A user successfully logged on to a computer.

529 Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password.

530 Logon failure. A logon attempt was made outside the allowed time.

531 Logon failure. A logon attempt was made using a disabled account.

532 Logon failure. A logon attempt was made using an expired account.

533 Logon failure. A logon attempt was made by a user who is not allowed to log on at the specified computer.

534 Logon failure. The user attempted to log on with a password type that is not allowed.

Eventos de logon en 2003

ID Description

535 Logon failure. The password for the specified account has expired.

536 Logon failure. The Net Logon service is not active.

539 Logon failure. The account was locked out at the time the logon attempt was made.

540 A user successfully logged on to a network.

551 A user initiated the logoff process.

552A user successfully logged on to a computer with explicit credentials while already logged on as a different

user.

682 A user has reconnected to a disconnected terminal server session.

683

A user disconnected a terminal server session but did not log off.

Note: This event is generated when a user is connected to a terminal server session over the network. It

appears on the terminal server.

Eventos de cuenta en 2008

ID Description

4624 An account was successfully logged on.

4625 An account failed to log on.

4648 A logon was attempted using explicit credentials.

4675 SIDs were filtered.

Eventos de cuenta en 2008

ID Description

4649 A replay attack was detected.

4778 A session was reconnected to a Window Station.

4779 A session was disconnected from a Window Station.

4800 The workstation was locked.

4801 The workstation was unlocked.

4802 The screen saver was invoked.

4803 The screen saver was dismissed.

5378 The requested credentials delegation was disallowed by policy.

5632 A request was made to authenticate to a wireless network.

5633 A request was made to authenticate to a wired network.

Automatización

• Logparser

• Permite realizar consultas de forma sencilla

• Sintaxis parecida a SQL

• Permite inicio local o remoto

• Posibilidad de invocar a través de objeto COM

321

Análisis de Log

WinRM

• Servicio de administración remota

• Opera bajo HTTP-HTTPS

• Soporte IPV4/IPV6

• Puerto 5985 (HTTP) – 5986 (HTTPS)

• Cliente por defecto en Windows 7/8/2K8/2K12

Linux

• OS Query (Facebook)

• http://osquery.io/

• Similar a WMI de Microsoft

• Instrumental de administración

• Lenguaje tipo SQL

• Sin agente

Thank you! Questions?

UK Offices

Manchester – Head office

London

Leatherhead

Milton Keynes

Cheltenham

Edinburgh

North American Offices

San Francisco

New York

Seattle

Chicago

Austin

Atlanta

Sunnyvale

Australian Offices

Sydney

European Offices

Amsterdam – Netherlands

Copenhagen – Denmark

Madrid - Spain

Munich – Germany

Zurich – Switzerland