PDF de programación - Reto de Análisis forense de RedIris: Informe técnico

Reto de Análisis forense: Informe técnico



Reto de Análisis Forense
de RedIris



INFORME TÉCNICO

Reto_rediri-tecs V.10. Rev. 30/Dic/2003

Introducción

El informe se ha realizado con fines principalmente didácticos, por lo que se ha decidido
utilizar herramientas comunes y disponibles de forma generalizada. Así, se ha optado por
usar únicamente órdenes comunes del Sistema Operativo en cuestión (Linux) y seguir
una secuencia lógica partiendo de un “desconocimiento” de las técnicas habituales de los
“hackers”, así como no utilizar herramientas del estilo de chkrootkit. El informe se ha
dividido en tres partes, la primera dedicada a reunir la información básica del Sistema
Operativo, software instalado, servicios activados y posibles vías de entrada. La segunda
parte se dedica al análisis de los ficheros de log, identificación de IPs del/los
atacante/atacantes y confirmación de que de el sistema ha sido comprometido. La tercera
parte analiza en profundidad el nivel de compromiso del sistema. Finalmente, en la Parte
IV se establecen las recomendaciones de seguridad para evitar futuros ataques en el
sistema atacado.

ÍNDICE


Parte I: Información sobre el sistema......................................................................................................... 2
I.1.- Datos de identificación del sistema.................................................................................................... 2
I.2.- Servicios activos en el sistema ........................................................................................................... 3
I.2.1.- Servicios en modo standalone .................................................................................................... 3
I.2.2.- Servicios en modo inetd.............................................................................................................. 3
I.2.3.- Consideraciones sobre los servicios .......................................................................................... 4
I.3.- Versiones y vulnerabilidades conocidas de los servicios................................................................... 4
I.3.1.- Vulnerabilidades conocidas para los servicios .......................................................................... 5
I.3.2.- Configuraciones de los servicios................................................................................................ 6
Parte II: Análisis de los ficheros de log....................................................................................................... 7
II.1: Ficheros de log .................................................................................................................................. 7
II.1.1.- Análisis de /var/log/messages ................................................................................................... 7
III.1.2.- Fichero /var/log/maillog.......................................................................................................... 9
III.1.3.- Fichero /var/log/secure ........................................................................................................... 9
II.1.4.- Fichero /var/log/cron...............................................................................................................10
II.1.5.- Otros ficheros de log................................................................................................................10

1

Reto de Análisis forense: Informe técnico



II.2.- Estudio de las IPs utilizadas por los atacantes................................................................................10
II.3 Confirmación del compromiso del sistema ........................................................................................11
PARTE III: Estudio del nivel de compromiso del sistema.......................................................................12
III.1.- Análisis del servicio FTP................................................................................................................12
III.2.- Análisis de los ficheros de autentificación modificados.................................................................13
III.3.- Análisis del resto de ficheros modificados en /etc..........................................................................13
III.4.- Análisis del rootkit..........................................................................................................................14
III.4.1.- Análisis del script de instalación de nerod, /var/ftp/nerord/install ........................................14
III.4.2.- Nivel de compromiso del sistema............................................................................................22
III.5.- Estudio de la partición de swap .....................................................................................................24
III.6.- Resumen secuencia temporal del ataque........................................................................................29
III.7.- Consideraciones finales sobre el ataque ........................................................................................30
PARTE IV.- Recomendaciones de seguridad...........................................................................................31
IV.1.- Recomendaciones generales...........................................................................................................31
IV.2 Actualizaciones recomendadas para el sistema atacado ..................................................................32

APÉNDICE: Rastreo mediante whois de las direcciones IP implicadas ................................................32



Parte I: Información sobre el sistema

I.1.- Datos de identificación del sistema


• Versión S.O: Un listado del directorio /etc nos muestra la existencia de un
fichero denominado /etc/redhat-release, por lo que se trata de una
distribución Redhat (en distribuciones debian, aparece un fichero denominado
/etc/debian_version, etc). El contenido del fichero nos indica que se trata de
una distribución Red Hat 7.1.

• Número IP del ordenador atacado: 192.168.3.10 (/etc/sysconfig/network-

scripts/ifcfg-eth0).

• Gateway: 192.168.3.1 (/etc/sysconfig/network)
• Nombre del ordenador (según /etc/hosts): redhat71
• Servidor de nombres (/etc/resolv.conf): 192.168.1.3
• Los datos anteriores nos indican que el ordenador atacado se encontraba en una
red interna, posiblemente tras un firewall. Para que pudieran llegar a este
ordenador, es preciso que existan puertos abiertos a través del firewall que
proporcionen un camino de acceso al ordenador atacado.



2

Reto de Análisis forense: Informe técnico


I.2.- Servicios activos en el sistema

Como primer paso para identificar la vía de entrada, se estudiarán los servicios activos en
el sistema. Se distinguirá entre daemons iniciados en modo “standalone” y en modo
“inetd”.

I.2.1.- Servicios en modo standalone

Para el caso de los servicios en modo “standalone” se seguirá el siguiente procedimiento,
teniendo en cuenta que se está en un sistema Redhat:

a) Ver en qué “runlevel” funciona el sistema por defecto
b) Ver qué servicios se activan en ese “runlevel”


En nuestro caso, una inspección de /etc/inittab nos revela que por defecto se trabaja
en “runlevel” 3.
Los servicios que se activan, pueden verse en /etc/rc3.d (Los que empiezan por S), de
los cuales se destacan en la Tabla I.1 aquellos que dan servicio remoto:


Servicio

nfslock
netfs
sshd
lpd

Descripción

Sistema nfs
Sistema nfs
Servicios secure shell
Servicios de impresión No hay impresoras definidas en

Comentarios
Fichero /etc/exports vacío
Fichero /etc/exports vacío


sendmail
xinetd

Servicios de correo
Servicios inetd

/etc/printcap



Activo

Si
Si
Si
No

Si
Si

Tabla I.1. Servicios standalone remotos configurados


De los servicios anteriores, los servicios netfs y nfslock constituyen el servicio de
exportación de ficheros NFS (Network Filesystem). Puesto que el fichero /etc/exports
se encuentra vacío, el servicio no se está utilizando, por lo que mantenerlo activo es un
riesgo innecesario. El servicio lpd tampoco se utiliza al no haber impresoras definidas en
el sistema, pero el menos no se encuentra activo (el script de inicio /etc/init.d/lpd
comprueba si hay impresoras en el sistema antes de activarlo). El servicio sendmail para
el correo electrónico sí se encuentra activo. Finalmente, se activa el daemon xinetd que
proporciona el servicio de arranque de daemons en modo inetd.

I.2.2.- Servicios en modo inetd

Tal y como se ha comentado, en Redhat 7.1 se utiliza el daemon xinetd, por lo que los
ficheros de configuración para cada servicio deben estar en /etc/xinetd.d. Si se revisan
los contenidos de los ficheros de configuración, sólo se tiene activo el servicio wu-ftpd
(todos los demás tiene la línea disable='yes')


3

Reto de Análisis forense: Informe técnico


I.2.3.- Consideraciones sobre los servicios

En resumen, los servicios susceptibles de ser utilizados para realizar un ataque remoto,
son los siguientes:


• nfsd
• sshd
• sendmail
• wu-ftpd


No obstante, estas conclusiones son provisionales, puesto que el sistema ha sido
comprometido y las configuraciones de los servicios, así como los propios servicios
pueden haber cambiado con respecto a los que había antes del ataque. El análisis de los
ficheros de log (Apartado III.1) proporcionará más información al respecto.
Los tcp-wrappers no están configurados (/etc/hosts.allow y /etc/hosts.deny
vacíos), lo que añade un riesgo extra en los servicios activos. Tampoco se encuentran
(no existen ni /etc/sysconfif/ipchains ni
reglas definidas para
/etc/