jardita@cybsec - archivos.usuaria.org.ar

Experiencias en investigaciones forenses

informáticas

Julio César Ardita [email protected]

7 de Abril de 2016

Asunción, Paraguay

Experiencias en investigaciones forenses informáticas

Agenda • Estado del arte de los incidentes de seguridad • Estrategias para el manejo de incidentes • Experiencias en la gestión de incidentes de seguridad

2

Estado del arte de los incidentes de

seguridad

3

4

Incidentes de seguridad Incidentes públicos vs. incidentes privados - Fraudes - Amenazas - Sabotaje - Robo de información - Phishing masivos - Ataques de DOS

Estado del arte de los incidentes de seguridad Experiencias en investigaciones forenses informáticas

5

Incidentes de seguridad Incidentes públicos vs. incidentes privados - Fraudes - Amenazas - Sabotaje - Robo de información - Phishing masivos - Ataques de DOS


6

Incidentes de seguridad

Fuente: www.zone-h.org

Desde 2012 hasta hoy hubo más de

2.600 ataques Exitosos a páginas Web en Paraguay.


7

Incidentes de seguridad

Fuente: www.zone-h.org

Desde 2012 hasta hoy hubo más de

2.600 ataques Exitosos a páginas Web en Paraguay.


8

Tendencia Actual - Aumento de incidentes de seguridad. - Aumento exponencial de ataques de phishing contra entidades financieras paraguayas (incluyendo financieras y cooperativas). - Ataques de ransomware (encripción de información) - Hacktivismo (Anonymous Paraguay) - Origen de ataques: Redes Wifi abiertas o redes TOR


Estrategias para el manejo de

incidentes

9

10

Estrategias para el manejo de incidentes

Manejo de incidentes de seguridad Hacemos todo lo posible para tener un elevado nivel de seguridad en la Organizacion, pero surge un incidente de seguridad grave. Recomendaciones:

- No ocultarlo.

- Mantener la calma por la situación personal del CSO

- No comenzar buscando culpables

- Obtener información de primera mano y verificarla

- Establecer un Plan de Acción y coordinarlo

Experiencias en investigaciones forenses informáticas

11

Política de Manejo de Incidentes de Seguridad Informática Temas a tener en cuenta:

1. Detección y notificación de Incidentes de

Seguridad Informática

2. Rastreo de Incidentes de Seguridad Informática

3. Recolección de evidencia

4. Proceso de recuperación de los sistemas afectados

5. Proceso disciplinario

Estrategias para el manejo de incidentes Experiencias en investigaciones forenses informáticas

12

Diagrama de flujo del manejo de incidentes a nivel interno

Estrategias para el manejo de incidentes Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes

de seguridad

13

CASO 1: Robo de lote con datos de tarjetas de crédito Descripción del incidente: En abril de 2014 nos contactan de una empresa que vende tickets por internet porque el procesador que autoriza los pagos les informó que son punto de compromiso, ya que se están registrando compras no reconocidas en el exterior y el sistema de prevención de fraude indica que todas las tarjetas pasaron por el mismo comercio. Se realiza una reunión de relevamiento con el procesador y la empresa involucrada. Nos pasan la información sobre los lotes de tarjetas comprometidos para iniciar la investigación. Se trabajó en dos líneas: - Investigar que sucedió y frenar el robo de datos. - Rastrear el origen del mismo.

Experiencias en la gestión de incidentes de seguridad Experiencias en investigaciones forenses informáticas

CASO 1: Robo de lote con datos de tarjetas de crédito Metodología de Investigación:

1. Se investigó el tipo de fraude: en algunos casos era con tarjetas

clonadas y en otros era de forma no presencial (esto implicaba que se habían

robado la siguiente información: PAN, fecha de vencimiento, código de

seguridad, Track 1 y Track 2).

2. Se determinó cuales eran los sistemas que contenían esa información y se

los evaluó. Se detectaron dos sistemas internos: el Sistema de Reservas y

el Sistema de Pagos.

3. Se buscaron las tarjetas comprometidas y se

detectaron en los dos sistemas.



4. Se investigó el ingreso de esos datos y el retiro de los tickets y venían de

distintas fuentes: compras presenciales, compras por internet, retiro en

distintas boleterías, en los shows, etc.

5. Se investigaron a los usuarios internos que accedían a los sistemas y a

los administradores del sistema para determinar si estaban involucrados.

6. Se investigaron los dos sistemas internos (Reservas y Pagos) y se

detectó que todavía se estaba almacenando la información sobre las

tarjetas en plano.



7. Inmediatamente se realizaron las correcciones para eliminar los datos de

tarjetas y se corrigieron las aplicaciones para que no se almacenarán más

los datos.

8. Se evaluaron los sistemas de acceso remoto a la Empresa (vía vpn) y se

determinó que los logs de acceso se estaban almacenado solo por 30 días.

9. Del análisis de los logs vía vpn surgió el acceso remoto por parte del

proveedor que daba soporte al sistema de pagos desde direcciones IP de

Europa.



10. Inmediatamente nos contactamos con el proveedor, el cual negó ser

quien estaba accediendo (el acceso remoto era solo con user/pass).

11. Investigando luego al proveedor, se determinó que el mismo proveedor

sufrió un ataque de phishing a través del cual le robaron las contraseñas de

acceso a sus clientes.

12. Se bloquearon los accesos remotos. Se cambiaron todas las contraseñas

de los sistemas de acceso remoto y se los sistemas internos.

13. Luego se implementó el acceso remoto utilizando doble factor (CD).

14. Rastreamos las direcciones IP involucradas y venían de Polonia y Estonia.


CASO 1: Robo de lote con datos de tarjetas de crédito Resultados obtenidos: En dos semanas de trabajo se determinó el modus operandi del ataque. Por las fechas de acceso y logs detectados se logró detectar la ventana de compromiso y se bloquearon de forma preventiva más de 72.000 tarjetas de crédito. El fraude llegó a U$S 115.000 que fue asumido por los seguros de los bancos emisores. Se logró detectar como fue el robo de datos y como se produjo y se implementaron medidas para elevar el nivel de seguridad de la Empresa. La banda criminal que estaba involucrada en el robo venía de europa del este. Se dió aviso a las autoridades de Polonia y Estonia (la investigación no prosperó).



CASO 2: Denegación de servicio Descripción del incidente: El viernes 20 de diciembre de 2013 una Empresa de Retail fue atacada por un intruso que impidió la continuidad del negocio en sus casi 120 sucursales. En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas. Se comenzó a trabajar en dos líneas: - Volver a la operación normal. - Detección, análisis y rastreo del intruso.


CASO 2: Denegación de servicio Metodología de Investigación: En relación a la vuelta a la operación normal: 1. Análisis forense inmediato de los equipos afectados.

2. Detección de programas que impedían el normal funcionamiento del Sistema de Ventas.

3. Análisis de programas y modificaciones realizadas por el intruso.

4. Planteo de soluciones.

5. Pruebas sobre una sucursal de los cambios.

6. Aplicación masiva de cambios y vuelta a la operación normal.

Caso 2: Denegación de servicio Metodología de Investigación: En relación a la detección, análisis y rastreo del intruso:

1. Ingeniería reversa de los programas que dejó el intruso

2. Determinación de las actividades que realizó el intruso.

3. Detección de rastros de pruebas 4 días antes.

4. Determinación de pruebas que podrían indicar el perfil del intruso.

5. Análisis de los sistemas de acceso remoto.

6. Evaluación de las computadoras personales de los potenciales sospechosos.


CASO 2: Denegación de servicio Metodología de Investigación: 7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos). 8. Se detectó que otra computadora que contenía evidencia y se encontraba al lado del equipo de José misteriosamente fue formateada y re-instalada dos días después del incidente y en la misma se detectó el patrón de comportamiento del intruso.


CASO 2: Denegación de servicio Resultados obtenidos : Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato. De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José.


CASO 3: Estafa a compañía (robo de dinero) Descripción del incidente: Una compañía sufrió una estafa realizada por un grupo de delincuentes apuntada a los máximos directivos de la Organización, logrando que la misma realizara transferencias de dinero al exterior (China). La primera transferencia de dinero se realizó. El objeto era una adquisición secreta. El incidente se detectó por casualidad en el medio de la segunda transacción pudiendo frenarla a tiempo. Se realizó una investigación sobre como fue el modus operandi tratando de rastrear a los delincuentes.


CASO 3: Estafa a compañía (robo de dinero) Metodología de Investigación: 1. Se evaluaron los headers de los mails falsos (venían de cuentas válidas del mismo dominio pero tenían el Reply to a una cuenta de gmail). 2. Los intrusos también realizaron llamadas telefónicas desde un número de celular de Israel (que resultó ser un número IP redireccionado). 3. Dentro del análisis de los encabezados se detectó que el grupo utilizó PHPmailers y Proxy para tratar de ocultar las direcciones IP orígenes reales, aunque detectamos dos dominios que se utilizaron.


CASO 3: Estafa a compañía (robo de dinero) Metodología de Investigación: 4. Se evaluaron las Estaciones de Trabajo de las personas que recibieron los mails falsos con las autorizaciones para realizar las transferencias en busca de malware o programas troyanos. No se detectó nada sospechoso. 5. Se analizaron los logs de acceso al OWA (acceso al webmail) y se detectaron accesos no autorizados a las cuentas de correo involucradas desde las mismas direcciones IP analizadas previamente. 6. Se analizaron las direcciones IP detectadas y la mayoría eran equipos proxy anónimos.


CASO 3: Estafa a compañía (robo de dinero) Metodología de Investigación: 7. Se contactó al Banco de Taizhou para obtener más información sobre los fondos de la primera transferencia y enviaron la información que a las pocas horas de la primera transferencia, el dinero se transfirió a otras 4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursales del Banco de Taizhou en China. 8. Se investigaron los dominios utilizados y el modus operandi y es la forma en como funcionan dos bandas de cibercrimen con origen en asia.


CASO 3: Estafa a compañía (robo de dinero) Resultados obtenidos: Se determinó que la empresa fue objeto de un ataque sofisticado que involucró robo de contraseñas, accesos no autorizados a los correos electrónicos, estudio de las personas y las formas de operación interna de la organización. Con la primera transferencia, la compañía perdió U$S 370.000. La segunda que se pudo frenar era de U$S 1.640.000 y la tercera que estaban preparando era de U$S 13.000.000. Se realizó una denuncia formal en la Argentina.


Muchas gracias!

Julio César Ardita [email protected]

7 de Abril de 2016

Asunción, Paraguay

Documents

jardita@cybsec - archivos.usuaria.org.ar