Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...

Caso práctico de gestión de

incidentes Javier Berciano, INTECO-CERT

I Jornadas de Prevención del Fraude y el Cibercrimen

ThinkTIC / ANCITE

Logroño 17/01/2014

2 Javier Berciano (INTECO) 17/01/2014

INTECO e INTECO-CERT


Día 0: Detección


Detección campaña SPAM


Muestra del correo

Fuente: Symantec


PDF adjunto

Fuente: Symantec


Análisis del adjunto

Muestra

malware

Procesos

automáticos

Análisis

manual

Generación de

informe

Servidor

recepción

malware


Análisis del tráfico de red


Identificar servidor/es C&C

Fuente: Gdata y KasperskyLab


Alerta temprana


Cooperación con FCSE

Sinkhole del servidor C&C


Sinkhole

Servidores DNS

Servidor Web

Sistema para monitorización:

• Registros log servidor web

• Código propio para obtener mas detalle (POST)


Día 1: Monitorización,

identificación y

notificación


Monitorización e identificación


Mecanismos de detección


Mecanismos de detección Problemas

Parseo de los log:

Mas de 8,5 millones de líneas de log al día.

Extraer las evidencias para cada ISP/CERT.

Obtener contactos de ABUSE de una forma eficiente.



Bash Kung-Fu → es una buena opción, pero algo lenta.

Microsoft LogParser → algo mas eficiente, pero no lo

suficiente.

EvidenceSeek:

• Desarrolado en C

• Extracción direcciones IP

• Conversión a enteros

• Creación de índices en el log

• Búsqueda binaria

!2GB logs de Apache en 15 min!

Soluciones



Notifications (whois):

• Contactos de Abuse:

I. ARIN Whois-RWS: información direcciones IP de ARIN y

bloques delegados.

II. RIPE-NCC REST API: idem pero de bloques de red de RIPE y

APNIC.

III. LACNIC RESTful Whois

IV. AfriNIC: Bulk whois, no es lo ideal, pero suficiente.

• Cache con Squid.

• Multiples hilos: RIR & 100 IP

• BD de contactos de CERT national.

Query interface:

• Whois, incluyendo modo bulk.

• Futuro REST API.

Soluciones


Identificar bots

$ whois –h whois.cert.inteco.es 195.53.165.3

3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected]

a:[email protected] p:[email protected] r:[email protected] | TELEFONICA-DATA-

ESPANA TELEFONICA DE ESPANA


Identificar bots

AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name

15083 | 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:[email protected] r:[email protected] | INFOLINK-MIA-

US - Infolink

16276 | 91.121.6.93 | 91.121.0.0/18 | FR | Ripe | n:[email protected] r:[email protected] | OVH OVH

Systems

42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe | n:[email protected] r:[email protected] | FREEHOST PE

Freehost

16125 | 77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:[email protected] r:[email protected] | DC-AS UAB Duomenu

Centras

49699 | 91.230.194.54 | 91.230.192.0/22 | BG | Ripe | n:[email protected] r:[email protected] | ICN-BG Internet

Corporated Networks Ltd.

41671 | 194.54.80.68 | 194.54.80.0/22 | UA | Ripe | n:[email protected] r:[email protected] | SERVER-UA-AS

SERVER.UA UKRAINE DEDICATED SERVICE

51167 | 178.238.238.59 | 178.238.224.0/20 | DE | Ripe | n:[email protected] r:[email protected] | GIGA-

HOSTING Giga-Hosting GmbH

3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected] a:[email protected]

p:[email protected] r:[email protected] | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA

38478 | 124.248.207.207 | 124.248.207.0/24 | HK | Apnic | n:[email protected] r:[email protected] |

SUNNYVISION-AS-AP SunnyVision Limited

52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic | r:[email protected] | Panamaserver.com

12046 | 193.188.46.32 | 193.188.46.0/23 | MT | Ripe | n:[email protected] r:[email protected] | ASN-

CSC-UOM University of Malta


Detalle técnico del incidente

Reglas para la detección (snort)

IOC (Indicators of Compromise)

Notificación


Notificación


Snort


IOC


Día 1 y posteriores:

Análisis y seguimiento


Identificar el/los sistema/s afectado/s, ayudado por: • Reglas para la detección (snort)

• IOC (Indicators of Compromise)

Contención: aislando el/los sistema/s y recopilando

evidencias de forma segura y adecuada: • Copia de memoria

• Copia del disco duro

• Análisis del tráfico de red

Aportando guías y procedimientos que

permitan garantizar la validez de estas

evidencias ante un posible proceso judicial.

Análisis


Medidas de mitigación: • Detección y filtrado en IPS

• Detección y filtrado en proxies

• Detección y filtrado en servidores DNS

Análisis forense • Aportando guías y procedimientos

• En caso necesario, con apoyo técnico del CERT

Análisis


Seguimiento


Día 2: nuevos C&C


Nuevos C&C

Como parte del análisis manual y tras descifrar parte del

código del malware se detectan nuevos C&C que puede

utilizar el malware.

Actualización de la alerta temprana

Reporte a los afectados para actualizar las medidas de

mitigación

Coordinación internacional con otros CERT y policías para

tratar de bloquearlos o hacer sinkhole


Cooperación internacional

¡Muchas gracias! Javier Berciano Alonso

Responsable técnico de respuesta a incidentes

INTECO-CERT

[email protected]

@jberciano

Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...

Documents

Transcript of Caso práctico de gestión de - innovarioja.tv · 2014-02-20 · Caso práctico de gestión de...