Actualizado el 21 de Marzo del 2018 (Publicado el 8 de Marzo del 2018)
624 visualizaciones desde el 8 de Marzo del 2018
3,0 MB
49 paginas
Creado hace 9a (10/03/2016)
Fast & Furious Incident Response
Juan Garrido
@tr1ana
Agenda
¿Qué es un incidente?
Incidentes en la actualidad
Preparar una empresa para IR
Qué hacer cuando ha habido un ataque
Herramientas existentes
Conclusiones
3
¿Qué es un incidente?
Incidente
• Violación de las políticas de seguridad de una empresa
• Ejemplos:
• Denegación de servicio
• Ejecución de malware a través de attachment
• Fuga de información
• Etc..
4
Brechas de seguridad. Año 2015
80.000
incidentes
Se conoce el
motivo
• 70%
Attachment
• 11%
Compromisos
reales
• 2.000
Phishing como
elemento
principal
• 23%
TOP 3
Public
30%
Bank
50%
IT/Information
20%
¿Realmente nos espían?
Capacidad de respuesta
¿Lecciones aprendidas?
• Depende siempre desde el prisma del que se mire
• Si no hay SDL/SIL/TM, no habrá lección aprendida
• El Ego ayuda a “trasladar la culpa”, no a asumirla
• El software/hardware de seguridad no es la solución – Es parte de -
Preparar empresa para IR
• Formar equipo de IR
– Manager, técnicos, herramientas, procedimientos, etc..
• Preparar un plan de acción
– Misión
– Estrategia
– Formularios
– Interlocutores internos
– Comunicaciones
– Métricas
– Training
– Etc..
¿Qué hacer ante una intrusión?
• Keep calm
– Intentar categorizar y establecer pautas.
– Tener claro quienes son los interlocutores
• Artifacts
– Determinar origen de la intrusión
– Extraer artifacts de equipos afectados
– Análisis de los artifacts
– Documentar incidente
– Priorizar acciones
– Notificaciones
– Recuperar el control
– Lecciones aprendidas
Variables inamovibles en un IR
• Entorno hostil
• Múltiples consultas en N servidores y/o clientes
• ¿Arquitectura homogénea?
• ¿Arquitectura heterogénea?
• ¿Sistemas gobernados?
• Visibilidad
• Segmentación de Red
• DMZ
Top fallos
• Tiempo
• ¿Cuándo nos enteramos del ataque?
• Datos
•
Cantidad no significa calidad
• Herramientas
•
¿homologadas?¿Normalizadas?, Etc..
• Documentación
•
¿Con qué cuenta levanta qué servicio?
• Personal
•
¿Formación? ¿Visibilidad dentro de la empresa?
Consultoría
• Fallos de consultoría
• Todo pasa por la instalación de una
herramienta
• Múltiples agentes por sistema
• Baja interoperabilidad
• Mantenimiento
• Posibles soluciones
• Adaptar los sistemas a las nuevas
ventajas del OS
• Sin agente
Herramientas IR
Aplicaciones
• Utilizan comandos del sistema
• Utilizan API del sistema
• En ocasiones desestabilizan el entorno
Utilización de Active Directory
GPO Logon/Logoff
• Requiere reinicio
• Lentitud en inicio de sesión
Herramienta IR
• Debe ser estable
• Debe estar probada por el equipo/auditor
• La información debe ser útil
• La información debe ser tratable
• Debe eliminar:
• Incompatibilidades con OS
• Ser considerada como herramienta de Hacking
Herramientas corporativas
Vendor/Tool C/P
Agent Portable
Mandiant IR No
Yes
No
Reporting
Licence
Low
level
Yes
Yes
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
44000 $
(<1000)
Free
Free
Per device
Free
Free
Google GRR Yes
Yes
Yes
No
No
No
No
No
No
No
Yes
Yes
RTIR(*)
Thor
Mandiant
IOC
Crowd
Response
Helix IR
Fireamp
(*) Only ticketing
C/P Cross Platform
No
No
Yes
No
No
No
Yes
No
Yes
Yes
No
No
Yes
No
Yes
Per device
30000$
Autenticación en Windows
•
Implementa una rica variedad de tecnologías de autenticación:
•
•
•
•
•
•
Contraseña
Tokens
Certificado
Biometría
Proveedores externos
Etc..
Protocolos de autenticación
• Definen normas y reglas
• El proceso de autenticación permite
• Autorizar usuarios, grupos y servicios
• Acceso a recursos bajo canales seguros
• Re-diseño a partir de Windows Vista
• Basado en API
• Escalable
Protocolos de autenticación
• Los protocolos de autenticación por defecto son:
• NTLM
• Kerberos
• Digest
• Schannel
• Añadidos en Windows 7/8/8.1
•
tspkg
• pku2u
•
livessp
Modelo de seguridad
• Componentes encargados de:
• Inicio de sesión correcto: Auth + Authorization
• Inicio de sesión incorrecto: Access Denied
• Autoridad de seguridad local (LSA)
• Subsistema que permite el inicio de sesión
• Define y aplica las políticas de seguridad local
• Inicios de sesión, derechos de usuario, etc..
• Traducción de nombre SID
Logon inicial
PC Bonita
2
Sesión Bonita
User: Sue
Password hash:
C9DF4E…
Servidor externo
Sesión Bonita
4
User: Bonita
Password hash:
C9DF4E…
3
User: Bonita
Password:
a1b2c3
1
1. Bonita mete usuario y password en el PC
2. PC genera la sesión de bonita
3. Bonita accede a servidor externo
4. Si todo coincide, servidor externo genera la sesión
321
Qué no hay que utilizar
Windows
• El ecosistema Microsoft es una gran API
• WMI
• Jscript
• VBScript
• Powershell
•
.NET
• Perl
• Etc…
WMI
•
Instrumental de administración de Windows
• Provee una API para consultas de bajo/alto nivel
•
Integrado con la mayoría de lenguajes
• Consultas similares a SQL
•
Información basada en Clave:Valor
• Soporta autenticación
321
Acceso a clases WMI
Eventos de Windows
• Registran información de todo lo que pasa en el sistema
• Servicios
• Auditoría
• Autenticación
• Etc..
• Soporte suscripción de eventos en W2K8
• Acceso a través de múltiples canales
Tipos de Logon
Logon
Type
2
10
4
5
7
8
9
Interactive
Remote Interactive
Batch
Service
Unlock
Network ClearText
NewCredentials
11
Cached Logon
Eventos de logon en 2003
ID
Description
A user successfully logged on to a computer.
Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password.
Logon failure. A logon attempt was made outside the allowed time.
Logon failure. A logon attempt was made using a disabled account.
Logon failure. A logon attempt was made using an expired account.
Logon failure. A logon attempt was made by a user who is not allowed to log on at the specified computer.
Logon failure. The user attempted to log on with a password type that is not allowed.
528
529
530
531
532
533
534
Eventos de logon en 2003
Logon failure. The password for the specified account has expired.
Logon failure. The Net Logon service is not active.
Description
Logon failure. The account was locked out at the time the logon attempt was made.
A user successfully logged on to a network.
A user initiated the logoff process.
A user successfully logged on to a computer with explicit credentials while already logged on as a different
user.
ID
535
536
539
540
551
552
682
A user has reconnected to a disconnected terminal server session.
A user disconnected a terminal server session but did not log off.
683
Note: This event is generated when a user is connected to a terminal server session over the network. It
appears on the terminal server.
Eventos de cuenta en 2008
ID
4624
4625
4648
4675
Description
An account was successfully logged on.
An account failed to log on.
A logon was attempted using explicit credentials.
SIDs were filtered.
Eventos de cuenta en 2008
ID
4649
4778
4779
4800
4801
4802
4803
5378
5632
5633
Description
A replay attack was detected.
A session was reconnected to a Window Station.
A session was disconnected from a Window Station.
The workstation was locked.
The workstation was unlocked.
The screen saver was invoked.
The screen saver was dismissed.
The requested credentials delegation was disallowed by policy.
A request was made to authenticate to a wireless network.
A request was made to authenticate to a wired network.
Automatización
• Logparser
• Permite realizar consultas de forma sencilla
• Sintaxis parecida a SQL
• Permite inicio local o remoto
• Posibilidad de invocar a través de objeto COM
321
Análisis de Log
WinRM
• Servicio de administración remota
• Opera bajo HTTP-HTTPS
• Soporte IPV4/IPV6
• Puerto 5985 (HTTP) – 5986 (HTTPS)
• Cliente por defecto en Windows 7/8/2K8/2K12
Linux
• OS Query (Facebook)
• http://osquery.io/
• Similar a WMI de Microsoft
• Instrumental de administración
• Lenguaje tipo SQL
• Sin agente
Thank you! Questions?
UK Offices
Manchester – Head office
London
Leatherhead
Milton Keynes
Cheltenham
Edinburgh
North American Offices
San Francisco
New York
Seattle
Chicago
Austin
Atlanta
Sunnyvale
Australian Offices
Sydney
European Offices
Amsterdam – Netherlands
Copenhagen – Denmark
Madrid - Spain
Munich – Germany
Zurich – Switzerland
Comentarios de: Fast & Furious Incident Response (0)
No hay comentarios