Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que

Experiencias en Experiencias en investigaciones forenses investigaciones forenses

informáticasinformáticasinformáticasinformáticas

Julio César [email protected]

7 de Abril de 2016Asunción, Paraguay

Experiencias en investigaciones forenses informáticas

Agenda

• Estado del arte de los incidentes de seguridad

• Estrategias para el manejo de incidentes

• Experiencias en la gestión de incidentes de seguridad

2

Estado del arte de los incidentes de

seguridadseguridad

3

Incidentes de seguridad

Incidentes públicos vs. incidentes privados

- Fraudes

- Amenazas

- Sabotaje

Estado del arte de los incidentes de seguridad


4

- Sabotaje

- Robo de información

- Phishing masivos

- Ataques de DOS


Incidentes públicos vs. incidentes privados

- Fraudes

- Amenazas

- Sabotaje



5

- Sabotaje

- Robo de información

- Phishing masivos

- Ataques de DOS


Desde 2012 hasta

hoy hubo más de



6

Fuente: www.zone-h.org

2.600 ataques

Exitosos a páginas

Web en Paraguay.


Desde 2012 hasta

hoy hubo más de



7

Fuente: www.zone-h.org

2.600 ataques

Exitosos a páginas

Web en Paraguay.

Tendencia Actual

- Aumento de incidentes de seguridad.

- Aumento exponencial de ataques de phishing contra entidades

financieras paraguayas (incluyendo financieras y cooperativas).



8

- Ataques de ransomware (encripción de información)

- Hacktivismo (Anonymous Paraguay)

- Origen de ataques: Redes Wifi abiertas o redes TOR

Estrategias parael manejo de el manejo de

incidentes

9

Estrategias para el manejo de incidentes

Manejo de incidentes de seguridad

Hacemos todo lo posible para tener un elevado nivel de seguridad

en la Organizacion, pero surge un incidente de seguridad grave.

Recomendaciones:


10

Recomendaciones:

- No ocultarlo.

- Mantener la calma por la situación personal del CSO

- No comenzar buscando culpables

- Obtener información de primera mano y verificarla

- Establecer un Plan de Acción y coordinarlo

Política de Manejo de Incidentes de Seguridad Informática

Temas a tener en cuenta:

1. Detección y notificación de Incidentes de



11

1. Detección y notificación de Incidentes de

Seguridad Informática

2. Rastreo de Incidentes de Seguridad Informática

3. Recolección de evidencia

4. Proceso de recuperación de los sistemas afectados

5. Proceso disciplinario

Diagrama de flujo del manejo de incidentes a nivel interno



12

Experiencias en la gestión de incidentes gestión de incidentes

de seguridad

13

CASO 1: Robo de lote con datos de tarjetas de crédito

Descripción del incidente:

En abril de 2014 nos contactan de una empresa que vende tickets porinternet porque el procesador que autoriza los pagos les informó que sonpunto de compromiso, ya que se están registrando compras no reconocidasen el exterior y el sistema de prevención de fraude indica que todas las

Experiencias en la gestión de incidentes de seguridad


en el exterior y el sistema de prevención de fraude indica que todas lastarjetas pasaron por el mismo comercio.

Se realiza una reunión de relevamiento con el procesador y la empresainvolucrada. Nos pasan la información sobre los lotes de tarjetas comprometidos para iniciar la investigación.

Se trabajó en dos líneas:- Investigar que sucedió y frenar el robo de datos.- Rastrear el origen del mismo.


Metodología de Investigación:

1. Se investigó el tipo de fraude: en algunos casos era con tarjetas

clonadas y en otros era de forma no presencial (esto implicaba que se habían

robado la siguiente información: PAN, fecha de vencimiento, código de



robado la siguiente información: PAN, fecha de vencimiento, código de

seguridad, Track 1 y Track 2).

2. Se determinó cuales eran los sistemas que contenían esa información y se

los evaluó. Se detectaron dos sistemas internos: el Sistema de Reservas y

el Sistema de Pagos.

3. Se buscaron las tarjetas comprometidas y se

detectaron en los dos sistemas.



4. Se investigó el ingreso de esos datos y el retiro de los tickets y venían de

distintas fuentes: compras presenciales, compras por internet, retiro en

distintas boleterías, en los shows, etc.



distintas boleterías, en los shows, etc.

5. Se investigaron a los usuarios internos que accedían a los sistemas y a

los administradores del sistema para determinar si estaban involucrados.

6. Se investigaron los dos sistemas internos (Reservas y Pagos) y se

detectó que todavía se estaba almacenando la información sobre las

tarjetas en plano.



7. Inmediatamente se realizaron las correcciones para eliminar los datos de

tarjetas y se corrigieron las aplicaciones para que no se almacenarán más

los datos.



los datos.

8. Se evaluaron los sistemas de acceso remoto a la Empresa (vía vpn) y se

determinó que los logs de acceso se estaban almacenado solo por 30 días.

9. Del análisis de los logs vía vpn surgió el acceso remoto por parte del

proveedor que daba soporte al sistema de pagos desde direcciones IP de

Europa.



10. Inmediatamente nos contactamos con el proveedor, el cual negó ser

quien estaba accediendo (el acceso remoto era solo con user/pass).

11. Investigando luego al proveedor, se determinó que el mismo proveedor



11. Investigando luego al proveedor, se determinó que el mismo proveedor

sufrió un ataque de phishing a través del cual le robaron las contraseñas de

acceso a sus clientes.

12. Se bloquearon los accesos remotos. Se cambiaron todas las contraseñas

de los sistemas de acceso remoto y se los sistemas internos.

13. Luego se implementó el acceso remoto utilizando doble factor (CD).

14. Rastreamos las direcciones IP involucradas y venían de Polonia y Estonia.


Resultados obtenidos:

En dos semanas de trabajo se determinó el modus operandi del ataque. Por las fechas de acceso y logs detectados se logró detectar la ventana decompromiso y se bloquearon de forma preventiva más de 72.000 tarjetasde crédito. El fraude llegó a U$S 115.000 que fue asumido por los seguros



de crédito. El fraude llegó a U$S 115.000 que fue asumido por los segurosde los bancos emisores.

Se logró detectar como fue el robo de datos y como se produjo y se implementaron medidas para elevar el nivel de seguridad de la Empresa.

La banda criminal que estaba involucrada en el robovenía de europa del este. Se dió aviso a las autoridadesde Polonia y Estonia (la investigación no prosperó).



CASO 2: Denegación de servicio


El viernes 20 de diciembre de 2013 una Empresa de Retail fue atacadapor un intruso que impidió la continuidad del negocio en sus casi 120 sucursales.

En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas.

Se comenzó a trabajar en dos líneas:- Volver a la operación normal.- Detección, análisis y rastreo del intruso.





En relación a la vuelta a la operación normal:

1. Análisis forense inmediato de los equipos afectados.

2. Detección de programas que impedían el normal funcionamiento del2. Detección de programas que impedían el normal funcionamiento del

Sistema de Ventas.

3. Análisis de programas y modificaciones realizadas por el intruso.

4. Planteo de soluciones.

5. Pruebas sobre una sucursal de los cambios.

6. Aplicación masiva de cambios y vuelta a la operación normal.

Caso 2: Denegación de servicio


En relación a la detección, análisis y rastreo del intruso:

1. Ingeniería reversa de los programas que dejó el intruso

2. Determinación de las actividades que realizó el intruso.



2. Determinación de las actividades que realizó el intruso.

3. Detección de rastros de pruebas 4 días antes.

4. Determinación de pruebas que podrían indicar el perfil del intruso.

5. Análisis de los sistemas de acceso remoto.

6. Evaluación de las computadoras personales de los potenciales

sospechosos.



7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos).



8. Se detectó que otra computadora que contenía evidencia y seencontraba al lado del equipo de José misteriosamente fue formateada yre-instalada dos días después del incidente y en la misma se detectó elpatrón de comportamiento del intruso.


Resultados obtenidos :

Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato.

De acuerdo a las características detectadas del patrón de



De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José.

CASO 3: Estafa a compañía (robo de dinero)


Una compañía sufrió una estafa realizada por un grupo de delincuentes apuntada a los máximos directivos de la Organización, logrando que la misma realizara transferencias de dinero al exterior (China). La primera transferencia de dinero se realizó. El objeto era una adquisición secreta.



transferencia de dinero se realizó. El objeto era una adquisición secreta.

El incidente se detectó por casualidad en el medio de la segunda transacciónpudiendo frenarla a tiempo.

Se realizó una investigación sobre como fue el modus operandi tratando de rastrear a los delincuentes.



1. Se evaluaron los headers de los mails falsos (venían de cuentas válidasdel mismo dominio pero tenían el Reply to a una cuenta de gmail).

2. Los intrusos también realizaron llamadas telefónicas desde un número



2. Los intrusos también realizaron llamadas telefónicas desde un número de celular de Israel (que resultó ser un número IP redireccionado).

3. Dentro del análisis de los encabezados se detectó que el grupo utilizó PHPmailers y Proxy para tratar de ocultar las direcciones IP orígenes reales,aunque detectamos dos dominiosque se utilizaron.



4. Se evaluaron las Estaciones de Trabajo de las personas que recibieronlos mails falsos con las autorizaciones para realizar las transferencias enbusca de malware o programas troyanos. No se detectó nada sospechoso.



5. Se analizaron los logs de acceso al OWA (acceso al webmail) y sedetectaron accesos no autorizados a las cuentas de correo involucradas desde las mismas direcciones IP analizadas previamente.

6. Se analizaron las direcciones IP detectadas y la mayoría eran equipos proxy anónimos.



7. Se contactó al Banco de Taizhou para obtener más información sobrelos fondos de la primera transferencia y enviaron la información que alas pocas horas de la primera transferencia, el dinero se transfirió a otras 4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursales



4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursalesdel Banco de Taizhou en China.

8. Se investigaron los dominios utilizados y el modus operandi y es la forma en como funcionandos bandas de cibercrimen con origen en asia.


Resultados obtenidos:

Se determinó que la empresa fue objeto de un ataque sofisticado que involucró robo de contraseñas, accesos no autorizados a los correos electrónicos, estudio de las personas y las formas de operación interna dela organización.



la organización.

Con la primera transferencia, la compañía perdió U$S 370.000. La segunda que se pudo frenar era de U$S 1.640.000 y la tercera que estaban preparando era de U$S 13.000.000.

Se realizó una denuncia formal en la Argentina.

Muchas gracias!

Julio César [email protected]

7 de Abril de 2016Asunción, Paraguay

Documents

Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que