La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
Experiencias y tendencias en
Investigaciones Digitales
de gran escala
© 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Carlos Fragoso
One eSecurity VP & CTO
SANS Institute · Community Instructor
[email protected]
www.ccn-cert.cni.es
2
VIII JORNADAS STIC CCN-CERT
Índice
1 Retos
2 Experiencias
3 Tendencias
4 Referencias
www.ccn-cert.cni.es
3
VIII JORNADAS STIC CCN-CERT
4
VIII JORNADAS STIC CCN-CERT
Afectando múltiples áreas organizativas, algunas críticas
Involucrados activos críticos e información sensible
Falta de contexto: importancia, dependencias…
Los atacantes conviven entre nosotros semanas, meses o años
Debemos solucionarlo y analizarlo en horas, días o semanas
Abarcando centenares o miles de sistemas diferentes
Altos volúmenes de información a analizar (TBs)
Distribución geográfica y administrativa diversa
5
VIII JORNADAS STIC CCN-CERT
Falta de documentación o diagramas actualizados
Dificultad en la intercepción de tráfico o acceso equipos
Dominios administrativos internos/externos ambiguos
Visibilidad y privilegios similares a un “insider”
Saltos entre sistemas y enmascaramiento
Artefactos complejos con técnicas antiforenses
y alta volatilidad
Inexperiencia, falta de entrenamiento y formación
Falta de provisión de herramientas específicas para
respuesta e investigación digital
Comunicación segura y control de la información
6
VIII JORNADAS STIC CCN-CERT
7
VIII JORNADAS STIC CCN-CERT
Experiencias: casos y actores
• Casos
• Espionaje industrial y abuso de sistemas de información
• Intrusiones persistentes con exfiltración de información
• Robo y difusión de información por parte de empleados
• Denegación de servicio
• Actores
• Empleados internos (insider) o ex-empleados
• Competidores o “aliados” del sector de la víctima
• Terceros (gubernamental, grupos organizados…)
8
VIII JORNADAS STIC CCN-CERT
Experiencias: estrategias y soluciones
• Salas de investigación ad-hoc
• Infraestructuras de investigación distribuida
• Contención, adquisición y análisis en entornos externos
• Análisis quirúrgico y masivo de información
• Investigación de amenazas persistentes
• Visualización avanzada y perfilado de atacantes
Salas de investigación ad-hoc (war-room)
VIII JORNADAS STIC CCN-CERT
Caja fuerte
Videoconferencia
y comunicaciones móviles
Pizarras
Estaciones
de analistas
Impresión
de gran formato
Laboratorio
Forense
Networking
Jumpbag kits
Infraestructuras de investigación distribuida (I)
VIII JORNADAS STIC CCN-CERT
Auditores
y/o
consultores
Investigadores
IR
Forenses
Red
DFIR
Respositorio
de evidencia
Entornos
de usuario
Servidores
corporativos
Alojamientos
y “nubes”
11
VIII JORNADAS STIC CCN-CERT
Infraestructuras de investigación distribuidas (II)
Ejemplo: Google Rapid Response (GRR)
• Plataforma de respuesta a respuesta a incidentes con capacidades
forenses remotas en tiempo real creada y mantenida por Google
• Basada en agente forense desplegado en los sistemas de la organización
con estrategias de análisis local (thick) o centralizado (thin).
• Multiplataforma:
• Linux, Mac OSX y Windows
• Interfaz:
• Web (GUI), Consola (CLI) / API
• Acciones desde sistema central:
• Lógica de análisis y de respuesta
basada en los resultados obtenidos
(flow)
• Conjunto de acciones en múltiples
sistemas (hunt)
• Automatización para auditorías y
detección temprana
https://github.com/google/grr
12
12
Contención, adquisición y análisis en entornos “externos” (I)
VIII JORNADAS STIC CCN-CERT
Victima
DFIR VPC
D
F
R
I
DFIR Network
EXTERNA
PROD VPC
CSP VPC
Proveedor
l
I
s
o
a
t
e
P
r
o
d
Production network
Production Cloud Environment
I
R
S
R
V
Production network
Security Cloud Environment
VIII JORNADAS STIC CCN-CERT
Contención, adquisición y análisis en entornos “externos” (II)
Ejemplo: Amazon Web Services (AWS)
• Despliegue de máquina virtual forense
• Provisión plantilla Ubuntu 14.04
• Instalación SANS Institute SIFT
• "wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master/bootstrap.sh
| sudo bash -s -- -i -s -y”
• Contención / aislamiento
• Utilización de script “Coromandel”
para aislamiento del sistema
• Adquisición
• Utilización de AWS EC2 API Tools
para pausar instancia, generar
instantáneas (snapshots) y
conectar discos a VM análisis
• Análisis forense
• Utilización de SIFT con acceso
desde Amazon Workspaces (VDI)
AWS: https://aws.amazon.com/developertools/351
SIFT: http://digital-forensics.sans.org/community/downloads
Coromandel: https://github.com/andrewsmhay/coromandel
14
14
Análisis quirúrgico y masivo de información (I)
VIII JORNADAS STIC CCN-CERT
Lógica de
análisis
Necesito
Respuestas!!!
Scripts
l
a
t
n
o
r
F
Base de datos
de artefactos
Relaciones
Líneas de Tiempo
Modus-operandi
Paciente cero
Movimientos laterales
Sistemas Operativos, Aplicaciones,
Bases de Datos, Contenidos…
VIII JORNADAS STIC CCN-CERT
Análisis quirúrgico y masivo de información (II)
Ej: Windows Vista (muestra)
• Registro y eventos
• C:\Windows\System32\config\*
• C:\Users\<USER>\NTUSER.dat
• C:\Users\<USER>\AppData\Local\Microsoft\Windows\UsrClass.dat
• C:\Windows\System32\winevt\Logs\*
• C:\Windows\System32\winevt\LogFiles\*
• C:\Windows\System32\config\RegBack
• Navegación
• C:\Users\<USER>\AppData\Local\Microsoft\Windows\History\*
• C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Cookies\*
• C:\Users\<USER>\AppData\Roaming\Mozilla\Firefox\Profiles\<NUM>.default
• Actividad relevante de ejecución y sistema de ficheros
• C:\Windows\Prefetch
• C:\pagefile.sys
• c:\hiberfil.sys
• C:\$MFT
• C:\$Recycle Bin\
• Recientes
• C:\Users\<USER>\Recent
16
VIII JORNADAS STIC CCN-CERT
Investigación de amenazas persistentes (I)
Cibercriminales
Alojamiento
web cibercrimen
Alojamiento
web victimas
Fabricantes
victima
Dominio externo:
ciberinteligencia
Entorno
Corporativo
Internet
Dominio interno:
ciberseguridad
Entorno
Industrial
17
VIII JORNADAS STIC CCN-CERT
Investigación de amenazas persistentes (II):
Ejemplo: moloch
• Plataforma de captura, procesamiento e indexación de información
basada en tráfico de red
• Decodificación de protocolos y aplicaciones realizando una transcripción y
etiquetado para su la preservación de metadatos significativos
• Integración con fuentes de inteligencia internas y externas
• Arquitectura escalable centralizada o distribuida de múltiples capas:
• Captura, almacenamiento y visualización
•Start Time: 2/13/13 21:43:56
•Stop Time : 2/13/13 21:44:04
•Databytes/Bytes: 9,315/14,288
•IP Protocol: 6
•IP/Port: 172.128.1.1:52465 (USA) [AS1668 AOL Transit Data Network]
• 205.188.18.208:80 (USA) [AS1668 AOL Transit Data Network]
•Tags: http:content:application/octet-stream http:method:GET
•http:statuscode:200 node:egress node:moloch-egress-dtc01 protocol:http tcp
•Request Headers:accept accept-encoding accept-language connection cookie host user-agent
•Response Headers:accept-ranges connection content-length content-type date keep-alive server set-
cookie
•User Agents:'Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0'
•Hosts:www.aol.com
•URI: www.aol.com/
•favicon.ico?v=2
•GET /favicon.ico?v=2 HTTP/1.1
•Host: www.aol.com
•User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101
•Firefox/16.0
•Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
•Accept-Language: en-US,en;q=0.5
•Accept-Encoding: gzip, deflate
•Connection: keep-alive
•Cookie: <REDACTED>…
...etc
•Transcripción
http://molo.ch
18
18
VIII JORNADAS STIC CCN-CERT
Visualización avanzada y perfilado de atacantes
Visualización avanzada y perfilado de atacantes (I)
Actividad / TTPs
Líneas de tiempo
Histogramas
Relaciones
Visualización avanzada y perfilado de atacantes (II):
Ejemplo: ElasticSearch / Logstash / Kibana (ELK)
VIII JORNADAS STIC CCN-CERT
20
VIII JORNADAS STIC CCN-CERT
3
Tendencias
21
VIII JORNADAS STIC CCN-CERT
Tendencias
• Mayor realimentación de conocimiento e interacción con el mundo de la
investigación criminal e inteligencia
• Mayor capacidad de trabajo colaborativo y compartición de conocimiento
• Integración homogénea de investigación y repuesta en dominios internos
y externos con proveedores y terceros
• Acceso forense universal integrado en aplicaciones, sistemas y red,
incluso en el propio hardware
• Entrenamiento, formación y puesta a punto periódico de los equipos
• Consolidación de artefactos
22
VIII JORNADAS STIC CCN-CERT
Tendencias: acciones
• Infraestructura
• Plataformas DFIR distribuidas
• Integración forense en sistemas/virtualización
• Plataformas FPC, Network Forensics
• Humanas
• Formación
• Entrenamiento / ciberejercicios
• Procesos
• Forensic Readyness
• Estrategias de aislamiento avanzadas
• Otros
• Necesidad de ciberinteligencia
VIII JORNADAS STIC CCN-CERT
Referencias
• “SP800-86: Guide to Integrating Forensic Techniques into Incident Response”- NIST
• http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf
• “SP800-150: Guide to Cyber Threat Information Sharing” - NIST
• http://csrc.nist.gov/publications/drafts/800-150/sp800_150_draft.pdf
• “NIST Cloud Computing Forensic Science Working Group” - NIST
• http://collaborate.nist.gov/twiki-cloud-
computing/bin/view/CloudComputing/CloudForensics
• “Facilitating Fluffy Forensics / coro
Comentarios de: Experiencias y tendencias en investigaciones Digitales de gran escala (0)
No hay comentarios