Post on 11-Mar-2020
Caso práctico de gestión de
incidentes Javier Berciano, INTECO-CERT
I Jornadas de Prevención del Fraude y el Cibercrimen
ThinkTIC / ANCITE
Logroño 17/01/2014
2 Javier Berciano (INTECO) 17/01/2014
INTECO e INTECO-CERT
3 Javier Berciano (INTECO) 17/01/2014
Día 0: Detección
4 Javier Berciano (INTECO) 17/01/2014
Detección campaña SPAM
5 Javier Berciano (INTECO) 17/01/2014
Muestra del correo
Fuente: Symantec
6 Javier Berciano (INTECO) 17/01/2014
PDF adjunto
Fuente: Symantec
7 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
Muestra
malware
Procesos
automáticos
Análisis
manual
Generación de
informe
Servidor
recepción
malware
8 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
9 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
10 Javier Berciano (INTECO) 17/01/2014
Análisis del adjunto
11 Javier Berciano (INTECO) 17/01/2014
Análisis del tráfico de red
12 Javier Berciano (INTECO) 17/01/2014
Análisis del tráfico de red
13 Javier Berciano (INTECO) 17/01/2014
Identificar servidor/es C&C
Fuente: Gdata y KasperskyLab
14 Javier Berciano (INTECO) 17/01/2014
Alerta temprana
15 Javier Berciano (INTECO) 17/01/2014
Cooperación con FCSE
Sinkhole del servidor C&C
16 Javier Berciano (INTECO) 17/01/2014
Sinkhole
Servidores DNS
Servidor Web
Sistema para monitorización:
• Registros log servidor web
• Código propio para obtener mas detalle (POST)
17 Javier Berciano (INTECO) 17/01/2014
Día 1: Monitorización,
identificación y
notificación
18 Javier Berciano (INTECO) 17/01/2014
Monitorización e identificación
19 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
20 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección Problemas
Parseo de los log:
Mas de 8,5 millones de líneas de log al día.
Extraer las evidencias para cada ISP/CERT.
Obtener contactos de ABUSE de una forma eficiente.
21 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
Bash Kung-Fu → es una buena opción, pero algo lenta.
Microsoft LogParser → algo mas eficiente, pero no lo
suficiente.
EvidenceSeek:
• Desarrolado en C
• Extracción direcciones IP
• Conversión a enteros
• Creación de índices en el log
• Búsqueda binaria
!2GB logs de Apache en 15 min!
Soluciones
22 Javier Berciano (INTECO) 17/01/2014
Mecanismos de detección
Notifications (whois):
• Contactos de Abuse:
I. ARIN Whois-RWS: información direcciones IP de ARIN y
bloques delegados.
II. RIPE-NCC REST API: idem pero de bloques de red de RIPE y
APNIC.
III. LACNIC RESTful Whois
IV. AfriNIC: Bulk whois, no es lo ideal, pero suficiente.
• Cache con Squid.
• Multiples hilos: RIR & 100 IP
• BD de contactos de CERT national.
Query interface:
• Whois, incluyendo modo bulk.
• Futuro REST API.
Soluciones
23 Javier Berciano (INTECO) 17/01/2014
Identificar bots
$ whois –h whois.cert.inteco.es 195.53.165.3
3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:incidencias@cert.inteco.es
a:nemesys@telefonica.es p:XXX@telefonica.es r:mario.garcia@inteco.es | TELEFONICA-DATA-
ESPANA TELEFONICA DE ESPANA
24 Javier Berciano (INTECO) 17/01/2014
Identificar bots
AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name
15083 | 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:soc@us-cert.gov r:abuse@serverpronto.net | INFOLINK-MIA-
US - Infolink
16276 | 91.121.6.93 | 91.121.0.0/18 | FR | Ripe | n:certa-svp@certa.ssi.gouv.fr r:abuse@ovh.net | OVH OVH
Systems
42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe | n:cert@cert.gov.ua r:noc@freehost.ua | FREEHOST PE
Freehost
16125 | 77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:cert@cert.lt r:abuse@aleja.lt | DC-AS UAB Duomenu
Centras
49699 | 91.230.194.54 | 91.230.192.0/22 | BG | Ripe | n:cert@govcert.bg r:abuse@icn.bg | ICN-BG Internet
Corporated Networks Ltd.
41671 | 194.54.80.68 | 194.54.80.0/22 | UA | Ripe | n:cert@cert.gov.ua r:abuse@server.ua | SERVER-UA-AS
SERVER.UA UKRAINE DEDICATED SERVICE
51167 | 178.238.238.59 | 178.238.224.0/20 | DE | Ripe | n:certbund@bsi.bund.de r:abuse@giga-hosting.biz | GIGA-
HOSTING Giga-Hosting GmbH
3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:incidencias@cert.inteco.es a:nemesys@telefonica.es
p:XXX@telefonica.es r:mario.garcia@inteco.es | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA
38478 | 124.248.207.207 | 124.248.207.0/24 | HK | Apnic | n:hkcert@hkcert.org r:hostmaster@sunnyvision.com |
SUNNYVISION-AS-AP SunnyVision Limited
52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic | r:ABUSE@PANAMASERVER.COM | Panamaserver.com
12046 | 193.188.46.32 | 193.188.46.0/23 | MT | Ripe | n:mtcert.mitts@gov.mt r:dave.mifsud@um.edu.mt | ASN-
CSC-UOM University of Malta
25 Javier Berciano (INTECO) 17/01/2014
Detalle técnico del incidente
Reglas para la detección (snort)
IOC (Indicators of Compromise)
Notificación
26 Javier Berciano (INTECO) 17/01/2014
Notificación
27 Javier Berciano (INTECO) 17/01/2014
Notificación
28 Javier Berciano (INTECO) 17/01/2014
Notificación
29 Javier Berciano (INTECO) 17/01/2014
Snort
30 Javier Berciano (INTECO) 17/01/2014
IOC
31 Javier Berciano (INTECO) 17/01/2014
Día 1 y posteriores:
Análisis y seguimiento
32 Javier Berciano (INTECO) 17/01/2014
Identificar el/los sistema/s afectado/s, ayudado por: • Reglas para la detección (snort)
• IOC (Indicators of Compromise)
Contención: aislando el/los sistema/s y recopilando
evidencias de forma segura y adecuada: • Copia de memoria
• Copia del disco duro
• Análisis del tráfico de red
Aportando guías y procedimientos que
permitan garantizar la validez de estas
evidencias ante un posible proceso judicial.
Análisis
33 Javier Berciano (INTECO) 17/01/2014
Medidas de mitigación: • Detección y filtrado en IPS
• Detección y filtrado en proxies
• Detección y filtrado en servidores DNS
Análisis forense • Aportando guías y procedimientos
• En caso necesario, con apoyo técnico del CERT
Análisis
34 Javier Berciano (INTECO) 17/01/2014
Seguimiento
35 Javier Berciano (INTECO) 17/01/2014
Día 2: nuevos C&C
36 Javier Berciano (INTECO) 17/01/2014
Nuevos C&C
Como parte del análisis manual y tras descifrar parte del
código del malware se detectan nuevos C&C que puede
utilizar el malware.
Actualización de la alerta temprana
Reporte a los afectados para actualizar las medidas de
mitigación
Coordinación internacional con otros CERT y policías para
tratar de bloquearlos o hacer sinkhole
37 Javier Berciano (INTECO) 17/01/2014
Cooperación internacional
¡Muchas gracias! Javier Berciano Alonso
Responsable técnico de respuesta a incidentes
INTECO-CERT
jberciano@cert.inteco.es
@jberciano