Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...

Caso práctico de gestión de

incidentes Javier Berciano, INTECO-CERT

I Jornadas de Prevención del Fraude y el Cibercrimen

ThinkTIC / ANCITE

Logroño 17/01/2014

2 Javier Berciano (INTECO) 17/01/2014

INTECO e INTECO-CERT

Día 0: Detección

Detección campaña SPAM

Muestra del correo

Fuente: Symantec

PDF adjunto

Fuente: Symantec

Análisis del adjunto

Muestra

malware

Procesos

automáticos

Análisis

manual

Generación de

informe

Servidor

recepción

malware

Análisis del tráfico de red

Identificar servidor/es C&C

Fuente: Gdata y KasperskyLab

Alerta temprana

Cooperación con FCSE

Sinkhole del servidor C&C

Sinkhole

Servidores DNS

Servidor Web

Sistema para monitorización:

• Registros log servidor web

• Código propio para obtener mas detalle (POST)

Día 1: Monitorización,

identificación y

notificación

Monitorización e identificación

Mecanismos de detección

Mecanismos de detección Problemas

Parseo de los log:

Mas de 8,5 millones de líneas de log al día.

Extraer las evidencias para cada ISP/CERT.

Obtener contactos de ABUSE de una forma eficiente.

Bash Kung-Fu → es una buena opción, pero algo lenta.

Microsoft LogParser → algo mas eficiente, pero no lo

suficiente.

EvidenceSeek:

• Desarrolado en C

• Extracción direcciones IP

• Conversión a enteros

• Creación de índices en el log

• Búsqueda binaria

!2GB logs de Apache en 15 min!

Soluciones

Notifications (whois):

• Contactos de Abuse:

I. ARIN Whois-RWS: información direcciones IP de ARIN y

bloques delegados.

II. RIPE-NCC REST API: idem pero de bloques de red de RIPE y

APNIC.

III. LACNIC RESTful Whois

IV. AfriNIC: Bulk whois, no es lo ideal, pero suficiente.

• Cache con Squid.

• Multiples hilos: RIR & 100 IP

• BD de contactos de CERT national.

Query interface:

• Whois, incluyendo modo bulk.

• Futuro REST API.

Soluciones

Identificar bots

$ whois –h whois.cert.inteco.es 195.53.165.3

3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:incidencias@cert.inteco.es

a:nemesys@telefonica.es p:XXX@telefonica.es r:mario.garcia@inteco.es | TELEFONICA-DATA-

ESPANA TELEFONICA DE ESPANA

Identificar bots

AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name

15083 | 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:soc@us-cert.gov r:abuse@serverpronto.net | INFOLINK-MIA-

US - Infolink

16276 | 91.121.6.93 | 91.121.0.0/18 | FR | Ripe | n:certa-svp@certa.ssi.gouv.fr r:abuse@ovh.net | OVH OVH

Systems

42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe | n:cert@cert.gov.ua r:noc@freehost.ua | FREEHOST PE

Freehost

16125 | 77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:cert@cert.lt r:abuse@aleja.lt | DC-AS UAB Duomenu

Centras

49699 | 91.230.194.54 | 91.230.192.0/22 | BG | Ripe | n:cert@govcert.bg r:abuse@icn.bg | ICN-BG Internet

Corporated Networks Ltd.

41671 | 194.54.80.68 | 194.54.80.0/22 | UA | Ripe | n:cert@cert.gov.ua r:abuse@server.ua | SERVER-UA-AS

SERVER.UA UKRAINE DEDICATED SERVICE

51167 | 178.238.238.59 | 178.238.224.0/20 | DE | Ripe | n:certbund@bsi.bund.de r:abuse@giga-hosting.biz | GIGA-

HOSTING Giga-Hosting GmbH

3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:incidencias@cert.inteco.es a:nemesys@telefonica.es

p:XXX@telefonica.es r:mario.garcia@inteco.es | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA

38478 | 124.248.207.207 | 124.248.207.0/24 | HK | Apnic | n:hkcert@hkcert.org r:hostmaster@sunnyvision.com |

SUNNYVISION-AS-AP SunnyVision Limited

52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic | r:ABUSE@PANAMASERVER.COM | Panamaserver.com

12046 | 193.188.46.32 | 193.188.46.0/23 | MT | Ripe | n:mtcert.mitts@gov.mt r:dave.mifsud@um.edu.mt | ASN-

CSC-UOM University of Malta

Detalle técnico del incidente

Reglas para la detección (snort)

IOC (Indicators of Compromise)

Notificación

Día 1 y posteriores:

Análisis y seguimiento

Identificar el/los sistema/s afectado/s, ayudado por: • Reglas para la detección (snort)

• IOC (Indicators of Compromise)

Contención: aislando el/los sistema/s y recopilando

evidencias de forma segura y adecuada: • Copia de memoria

• Copia del disco duro

• Análisis del tráfico de red

Aportando guías y procedimientos que

permitan garantizar la validez de estas

evidencias ante un posible proceso judicial.

Análisis

Medidas de mitigación: • Detección y filtrado en IPS

• Detección y filtrado en proxies

• Detección y filtrado en servidores DNS

Análisis forense • Aportando guías y procedimientos

• En caso necesario, con apoyo técnico del CERT

Análisis

Seguimiento

Día 2: nuevos C&C

Nuevos C&C

Como parte del análisis manual y tras descifrar parte del

código del malware se detectan nuevos C&C que puede

utilizar el malware.

Actualización de la alerta temprana

Reporte a los afectados para actualizar las medidas de

mitigación

Coordinación internacional con otros CERT y policías para

tratar de bloquearlos o hacer sinkhole

Cooperación internacional

¡Muchas gracias! Javier Berciano Alonso

Responsable técnico de respuesta a incidentes

INTECO-CERT

jberciano@cert.inteco.es

@jberciano

Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...

Documents

Transcript of Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...

02 - Qué es el Dasein en la Filosofía de Heidegger - Modesto Berciano - UOviedo - Themata.pdf

Curso Teórico Práctico de CementadoCurso Teórico Práctico ...

01 - Qué Es El Dasein en La Filosofía de Heidegger - Modesto Berciano - UOviedo - Themata

Presentación de PowerPoint - innovarioja.tv · 2016-11-25 · -Interconexión y Comunicación interna entre los procesos ... • Plataformas robóticas móviles e ... salto tecnológico

PUBLICACIONES, COMUNICACIONES, LIBROS, … · 1 publicaciones, comunicaciones, libros, proyectos competitivos y ensayos clÍnicos servicio de neurologÍa publicaciones: berciano j.

CASO PRÁCTICO INSPECCIÓN INGENIOCASO PRÁCTICO: … · 2018-10-05 · CASO PRÁCTICO INSPECCIÓN INGENIOCASO PRÁCTICO: INSPECCIÓN INGENIO SUCROALCOHOLERO . ... calidad de intercambio

DOCUMENTO DOCUMENTO SERVICIO: Nº: 2019/70410transparencia.elpuertodesantamaria.es/trans/A... · 2019-08-19 · 79 berciano troya laura 4,9346 80 bernal cena moises 6,734 81 bernal

Fabricación de acero inoxidable - COREFABRICACIÓN DE ACERO INOXIDABLE Eloy Crespo Robles José Luis Enríquez Berciano Enrique Tremps Guerra Universidad Politécnica de Madrid I

Presentación de PowerPoint - innovarioja.tv · 4 Ejemplos de Digitalización de productos (cont.) Smart grids Vehículo automatizadoSensores que auto-aprenden y sistemas de toma

CURSO PRÁCTICO SOBRE XIII CURSO PRÁCTICO INFORMÁTICA ...€¦ · CURSO PRÁCTICO SOBRE INFORMÁTICA TRIBUTARIA Y DECLARACIONES TRIBUTARIAS XIII CURSO PRÁCTICO DE TRIBUTACIÓN

Manual Práctico - Clarissa v1.0Manual Práctico - Clarissa v1.0 AYP

Climatología Práctico 2016 Práctico 5 Ejercicio 1meteo.fisica.edu.uy/Materias/climatologia/Practico2016/EvapBH.pdf · Climatología Práctico 2016 Práctico 5 Ejercicio 1: Las

Diapositiva 1 - jcyl.esceipvirgendelaquintaangustia.centros.educa.jcyl.es/sitio/upload/... · Naceu en Astorga en 1817 e foi un militar e escritor berciano que errwegou a lingua galega

Introducción a la programación en Joomla! - innovarioja.tv · Desarrollo componente MVC: Developing_a_MVC_Compone nt/Introduction. y.... “Before software can be reusable

Chloe - innovarioja.tv · Madrid – Septiembre 2015 Barcelona – Noviembre 2015 Valencia – Junio 2016 2013 2015 2015 2014

Agenda - innovarioja.tv · Foros YO Garantías Servicios Web Fabricante De motor Nombre Apellido Cargo mail DNI Teléfono Marcianiquito Bernal gutiérrez 008 Nombre sApellido

DRONES Y GESTIÓN FORESTAL - innovarioja.tv · DRONES Y GESTIÓN FORESTAL Aplicaciones en la Evaluación de Recursos Forestales Pablo Gutiérrez Benavides. Ingeniero de Montes Consultoría

TRABAJO PRÁCTICO N° 2 La ejercitación del trabajo práctico ...

TRABAJO PRÁCTICO N°5 TRABAJO PRÁCTICO N°5 SILICATOS.

Envases del Futuro - innovarioja.tv