[LACNIC/Seguridad] Incidente en Windows XP

Anatoly A. Pedemonte Ku apedemonte en gmail.com
Jue Nov 9 15:57:57 BRST 2006


Ok, te entiendo...

A lo mas con lo nativo del sistema XP, puedes  verlo a través del visor
de sucesos o Log Viewer, en lo que se refiere al sistema...

Y para ver si fue algún script kiddies o algún tool... Debes explorar el
sistema buscando rastros con un alguna herramienta  forense de análisis
de filesystem, como encase, o autopsy, y ver los archivos eliminados y
presentes, ordenados por fecha (que coincida o relacione con la fecha de
la caída) y hacer el análisis de cada  archivos que puedas ver que sea 
sospechosos, pueden encontrarte con dll, ocx, etc, etc...pero para es
debes ver la firma del fichero (release, descripción, etc,,etc) y si es
un malware bajado de internet, pues la referencia lo vas a encontrar...

Te diré que yo he malogrado filesystems de muchas formas... entrándome 
con un live cd al sistema ntfs, y borrando algunos archivos del root,
también manipulando el registro... No creo que alguien mal intencionado
o algún tool para malograr filesystems, sabiendo que hay herramientas de
recuperación y todo, eso...  Ahora si alguien verdaderamente con mala
intención hubiese querido malograr los archivos te hubiese metido muchas
cosas,  por ejemplo con el tool dd.exe suelto por alli puedes hacer un
wipe al filesystem, haciendo que se ejecute al inicio del sistema y alli
si hubieses sufrido para recuperar, tambie exste otras herramientas que
hacen un wiping a los discos con información aleatoria y escritura de 16
veces o mas...

Sospecho que solo fue por borrado de archivos, algo muy simple... o
pensar hasta poder pensar acción tomada de un malware, las
recomendaciones es que debes ser un poco curioso y aplicar ciertas
técnicas forenses, que no necesariamente sean avanzadas sino acciones
racionales, complementado con herramientas avanzadas que están libres
para usar

Cuando tengas un problema de este tipo, es recomendable hacer una imagen
del disco en caliente, si es que se detecta a tiempo, ya sea por
alarmas,etc,,etc, o sino hacer la imagen lo mas antes posible, para que
no se reeemplace ciertos archivos o cuando cuando reinicies elimine toda
la evidencia.... Esto es un principio base para comenzar cuando se tiene
un incidente, también si se sabe que hay intrusión monitorear al mismo
tiempo, por que sino no detectas tu vulnerabilidad....

Espero te haya aclarado tu  problema.... en espera de cualquier
comentario...

-----------------------------------------------------------
 Anatoly Alexei Pedemonte Ku 
 RAGE SYSTEMS S.A.C.
 http://www.ragesys.net
 Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
 LIMA - PERU
 Teléfono: 511.7962262 
 Móvil: 511.97167435 
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
--------------------------------------------------------------------------------------------------------------------------------------
This email is intended only for the addressee(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
--------------------------------------------------------------------------------------------------------------------------------------

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)

mQGiBESAj0sRBACbs6YrxgfA3uYWdrMoJ0Sfq9ZAh+uxWF9mjuNV8CMKmovVQfor
o3KosZ9PzEkYa43WNgTYwPjcI1NkF2W0La0s44GBzJaxzfAojhfV9CgQoViJv+UJ
TFe7TG32wdG+M+E/FqA3vUfMvjoVCu/SY74H+VES7v8h7VJsy6dUDT3jKwCgspkU
oGlOVd9M4h3OiW2BINa/BcMD/ikzpBjrZ0wz0yfIBYgPUAO0yhQpfd0cPxL7lAi9
NGuGQtUdunkomPjzLt/989wCM8kmiEkhsR+mu3vceOLqeAR2mfoEX0vC1UYMlOcB
jitRdx19Wjm8fYVI98vuyIs/i6IGclZnXEoMLoOBvdaIIfj7ZpB59CFOx2WH3ixC
s0O6A/0aO7jE8ugDVVHtSdUayw+sAQes2zELdNAy0u8kOpSzWjaxTo2uJ+5py5/M
uBgifYQMljAnYkTCcBYXD39Din43r330peUpHX3OekRPLYYEOg0Px4sOjJVAf828
rysL1q4uKqUljE6aHVnFM+FkItqUKysAVgemW1wGxyW2UhwuBLQtQW5hdG9seSBB
LiBQZWRlbW9udGUgS3UgPGFuYXRvbHlAcmFnZXN5cy5uZXQ+iGYEExECACYFAkSA
j0sCGwMFCQHhM4AGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRBJuebWcCX7tbwi
AJsHXrCU+6dCHf8xUeDdrzJN/NTrlQCgiMjRs7KDAQnu9a0yklQYGlG2W2+5Ag0E
RICPgxAIAIFh8TQuAbWfmj9pez98L6mlNDyQSXyrIUXTFXK3hLMOA0u4oyz6EuCH
zZOIUxveeumspSv98F6vP/W7AQBfX5t6pakvmyRHtBcsdx1dFgOlIWRGHP86tgdl
Ci4s+C9vGrbynXbNDPoV/cCqYZeeKNBbUHbUH3j+hKKTz0mpiHPaFWTsGzmxQpoI
cSHnbGPuIwew9TDC9qnESmGscG8IfZXsB7UjkDMyGUVQNwYd+hqPOof/qMFiR2cG
x2IUs3dGroffjkmncgvoPfBPq0B+7cIqhnEznKCxvjvorZnpT/9uW1Apch8QwXcg
SK/QkHBYwweYWzHYaqzkLzustwJ2dNMAAwYH/RReKPnCUJa45gw3Bv76z9UK0ABr
OLRfVq1nnRnqs1LM+z7xKMpEfzQDIyNoqUlE42pNNYd/N8rz+3PP1pRypcpbP+B/
MNOBEaFhvS7X5El8WfXRIaM19hLpEHVeTPG71cOJaiu/PC6a7KkOarKCIJYa7uU0
JhqVPaAeButljRuQJpR9rjpdPPd2+4sVaWrabtnyhm/oiYQthyMdB8xq2slWreTL
hWFtsenfgVvOlBpt8ZwGpQkzASLBwdGhisMYXQStw1D9dbDFQbb8pqO/9eos9rkL
sflAvD1F3VJl2TmaxjvRRgnAgRzdt3vTWvrYPf2WyesT0C78rriVeWzmuD6ITwQY
EQIADwUCRICPgwIbDAUJAeEzgAAKCRBJuebWcCX7tRdWAKCIlj2g5aMf4CKqwEjx
uAEzo28PuQCfV/U+ptv+7+D0xkMzZ5HG1yxMrhQ=
=GD85
-----END PGP PUBLIC KEY BLOCK-----



Carlos M. Martinez escribió:
> Gracias por tu respuesta Anatoly,
>
> explico un poco mas lo que quiero hacer.
>
> - la informacion que se podia recuperar, ya se ha recuperado,
> booteando de CDs de rescate, etc.
> - ahora lo que quisiera es determinar exactamente cual es el problema
> que tiene la particion NTFS que corresponde al "C:" que hace que la
> misma no pueda ser booteada o montada desde linux
> - conociendo el daño que tiene, me gustaria poder determinar que
> software se uso para producir ese daño
>
> Mi pregunta sobre las "logic bombs" era para conocer cuales
> concretamente han encontrado en incidentes reales. Mi hipotesis es que
> el ataque no fue llevado a cabo por alguien muy "sofisticado" que
> desarrollo su propio software, sino que utilizò algo que bajo de
> Internet.
>
> slds y gracias
>
> Carlos
>
> On Wed, 2006-11-08 at 15:00 -0500, Anatoly A. Pedemonte Ku wrote:
>> Hola Estimado Carlos:
>>
>> Bueno existe malware actualmente que tiene caracter de un logic bomb,
>> inclusive hay algunos que son manejados desde su desarrollador, pero
>> estos poseen un caracter hibrido por que al final de todo se convierten
>> en trojanos...
>>
>> Empiezan como un simple programa spy, adware, que al final descarga otro
>> archivo y comience su trabajo habitual del cual fue programado y envíe
>> información a su autor o propietario, por que propietario por que existe
>> actualmente desarrolladores que venden malware sofisticados a otros...
>>
>> Sobre la existencia, de un programa que diagnostique y que guarde un log
>> de todos los sucesos del sistema, pues tendrias que haber hecho antes
>> todo una infraestructura dentro de tu equipo, para que puedas verlos
>> sucesos inclusive despues de haber muerto tu disco o particion, cosa que
>> por allí he visto, pero trabaja con un hardware en especial, de
>> tecnología koreana.
>>
>> Pero en el caso de que quieres una posible solucion, quizas no muy
>> eficaz desde mi punto de vista, es utilizar ERD Commander, el cual posee
>> un windows, que carga  desde un CD, pero que lee tus párticiones, el
>> registro, y el log Viewer del sistema, y es allí donde puedas encontrar
>> ciertos cosas con respecto a la particion o sucesos en el sistema. Ahora
>> el windows, no guarda totalmente toda lo que sucede, supongo que sera
>> por su kernel, en cambio en los unix, pueden ver muchas cosas, y con
>> herramientas propias del sistema. Y para esto necesitas tener
>> conocimientos de Analisis Forense...
>>
>> Tambien puedes montar la unidad en un linux o unix y ver el filesystem
>> mediante herramientas o toolkit de analisis forenses que existen en la
>> red de redes... ERD Commander, posee licencia, pero en laspruebas que he
>> hecho como esta  diseñado para windows, he podido ver que posee buenas
>> utilidades para hacer una parte de analisis forense en windows...
>>
>>
>> Ahora si tu particion no es montable o no has podido reestablecerla,
>> posee solución de volverla a su estado normal....
>>
>> Bueno, esperomas detalle de tu problema, y si alguien desea comentar o
>> agregar sobre mi opinión, bienvenido sea... Y si hay cosas nuevas para
>> explicar mejor aun, asi aprendemos todos...
>>
>> Disculpen si existe  horrores ortograficos..
>>
>> Saludos Cordiales...
>>
>> -----------------------------------------------------------
>>  Anatoly Alexei Pedemonte Ku 
>>  RAGE SYSTEMS S.A.C.
>>  http://www.ragesys.net
>>  Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
>>  LIMA - PERU
>>  Teléfono: 511.7962262 
>>  Móvil: 511.97167435 
>> -----------------------------------------------------------
>> Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
>> --------------------------------------------------------------------------------------------------------------------------------------
>> This email is intended only for the addressee(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
>> --------------------------------------------------------------------------------------------------------------------------------------
>>
>> -----BEGIN PGP PUBLIC KEY BLOCK-----
>> Version: GnuPG v1.4.3 (MingW32)
>>
>> mQGiBESAj0sRBACbs6YrxgfA3uYWdrMoJ0Sfq9ZAh+uxWF9mjuNV8CMKmovVQfor
>> o3KosZ9PzEkYa43WNgTYwPjcI1NkF2W0La0s44GBzJaxzfAojhfV9CgQoViJv+UJ
>> TFe7TG32wdG+M+E/FqA3vUfMvjoVCu/SY74H+VES7v8h7VJsy6dUDT3jKwCgspkU
>> oGlOVd9M4h3OiW2BINa/BcMD/ikzpBjrZ0wz0yfIBYgPUAO0yhQpfd0cPxL7lAi9
>> NGuGQtUdunkomPjzLt/989wCM8kmiEkhsR+mu3vceOLqeAR2mfoEX0vC1UYMlOcB
>> jitRdx19Wjm8fYVI98vuyIs/i6IGclZnXEoMLoOBvdaIIfj7ZpB59CFOx2WH3ixC
>> s0O6A/0aO7jE8ugDVVHtSdUayw+sAQes2zELdNAy0u8kOpSzWjaxTo2uJ+5py5/M
>> uBgifYQMljAnYkTCcBYXD39Din43r330peUpHX3OekRPLYYEOg0Px4sOjJVAf828
>> rysL1q4uKqUljE6aHVnFM+FkItqUKysAVgemW1wGxyW2UhwuBLQtQW5hdG9seSBB
>> LiBQZWRlbW9udGUgS3UgPGFuYXRvbHlAcmFnZXN5cy5uZXQ+iGYEExECACYFAkSA
>> j0sCGwMFCQHhM4AGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRBJuebWcCX7tbwi
>> AJsHXrCU+6dCHf8xUeDdrzJN/NTrlQCgiMjRs7KDAQnu9a0yklQYGlG2W2+5Ag0E
>> RICPgxAIAIFh8TQuAbWfmj9pez98L6mlNDyQSXyrIUXTFXK3hLMOA0u4oyz6EuCH
>> zZOIUxveeumspSv98F6vP/W7AQBfX5t6pakvmyRHtBcsdx1dFgOlIWRGHP86tgdl
>> Ci4s+C9vGrbynXbNDPoV/cCqYZeeKNBbUHbUH3j+hKKTz0mpiHPaFWTsGzmxQpoI
>> cSHnbGPuIwew9TDC9qnESmGscG8IfZXsB7UjkDMyGUVQNwYd+hqPOof/qMFiR2cG
>> x2IUs3dGroffjkmncgvoPfBPq0B+7cIqhnEznKCxvjvorZnpT/9uW1Apch8QwXcg
>> SK/QkHBYwweYWzHYaqzkLzustwJ2dNMAAwYH/RReKPnCUJa45gw3Bv76z9UK0ABr
>> OLRfVq1nnRnqs1LM+z7xKMpEfzQDIyNoqUlE42pNNYd/N8rz+3PP1pRypcpbP+B/
>> MNOBEaFhvS7X5El8WfXRIaM19hLpEHVeTPG71cOJaiu/PC6a7KkOarKCIJYa7uU0
>> JhqVPaAeButljRuQJpR9rjpdPPd2+4sVaWrabtnyhm/oiYQthyMdB8xq2slWreTL
>> hWFtsenfgVvOlBpt8ZwGpQkzASLBwdGhisMYXQStw1D9dbDFQbb8pqO/9eos9rkL
>> sflAvD1F3VJl2TmaxjvRRgnAgRzdt3vTWvrYPf2WyesT0C78rriVeWzmuD6ITwQY
>> EQIADwUCRICPgwIbDAUJAeEzgAAKCRBJuebWcCX7tRdWAKCIlj2g5aMf4CKqwEjx
>> uAEzo28PuQCfV/U+ptv+7+D0xkMzZ5HG1yxMrhQ=
>> =GD85
>> -----END PGP PUBLIC KEY BLOCK-----
>>
>>
>>
>> carlosm escribió:
>> > El mensaje anterior salio con un subject erroneo, disculpen! 
>> >
>> > -----Mensaje original-----
>> > De: seguridad-bounces en lacnic.net <mailto:seguridad-bounces en lacnic.net> [mailto:seguridad-bounces en lacnic.net <mailto:seguridad-bounces en lacnic.net>] En
>> > nombre de carlosm
>> > Enviado el: Miércoles, 08 de Noviembre de 2006 05:24 p.m.
>> > Para: seguridad en lacnic.net <mailto:seguridad en lacnic.net>
>> > Asunto: Re: [LACNIC/Seguridad] Spamassassin
>> >
>> > Buenas tardes amigos!
>> >
>> > En el curso del análisis de un incidente de seguridad, me encuentro con que
>> > el sistema potencialmente comprometido (Windows XP) tiene una particion NTFS
>> > que no es montable. La sospecha parece ser que este daño, cualquiera sea,
>> > fue intencional.
>> >
>> > Las preguntas que tengo para la lista son:
>> >
>> > - ¿Conocen alguna forma de malware, del estilo de un "logic bomb" que se
>> > pueda utilizar para dañar una particion NTFS?
>> >
>> > - ¿Conocen alguna herramienta que permita obtener un diagnóstico de cual
>> > exactamente es el problema con la particion NTFS?
>> >
>> >
>> > slds
>> >
>> > Carlos
>> >
>> >
>> > _______________________________________________
>> > Seguridad mailing list
>> > Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>> > http://lacnic.net/mailman/listinfo/seguridad
>> >
>> >
>> >
>> > _______________________________________________
>> > Seguridad mailing list
>> > Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>> > http://lacnic.net/mailman/listinfo/seguridad
>> >
>> >   
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>> http://lacnic.net/mailman/listinfo/seguridad
>>     
> ------------------------------------------------------------------------
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>   

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 187 bytes
Desc: OpenPGP digital signature
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20061109/e449a5fe/attachment.sig>


Más información sobre la lista de distribución Seguridad