Anexo 2 Realización de los escenarios de ataque Requisitos para el ataque



Descargar 61.52 Kb.
Fecha de conversión14.02.2017
Tamaño61.52 Kb.
Anexo 2

Realización de los escenarios de ataque

  1. Requisitos para el ataque

Para la elaboración de los ataques se trabajó con los siguientes elementos:

  • Archivos ejecutables de Slacker y Timestomp, conextensión .exe. El archivo de Evidence Eliminator es un instalador con extensión igual a la de los otros dos, pero con la diferencia de que no es una aplicación Stand Alone, es decir que es necesario instalarla primero para posteriormente ejecutarla.

  • Computador atacante con procesador AMD Athlon XP 1800 a 1,53GHz, 512MB de RAM, disco duro de 80GB y unidad de DVD, en él se ejecutó el live CD de BackTrack 4 el cual es software libre. Se puede encontrar en http://www.remote-exploit.org/backtrack_download.html

  • Computador atacado con un procesador Intel Centrino Duo T2300 a 1,66GHz, 2GB de RAM, disco duro de 80GB con una partición principal de 70GB bajo un sistema de archivos NTFS, sistema operativo Windows XP SP3. El anti-virus instalado en esta máquina fue la versión gratuita de AVG el cual manejaba su propio firewall, deshabilitando el que Windows trae por defecto.

  • Una red gestionada por un router Linksys Modelo WRT54GS con seguridad inalámbrica WEP de 64 bits. La máquina atacada se conecta a la red de forma inalámbrica mientras que el atacante está de manera alambica directamente al router.

  • Archivo para obtener el tipo de usuario de sesión al que accede en Windows, whoami.exe.

Para conectar la máquina atacante a la red utilizando BackTrack 4 se debe ejecutar el comando /etc/init.d/networking start daemon, el cual habilita todos los dispositivos de red incluyendo la tarjeta de red. En seguida se carga la interfaz gráfica de la distribución mediante el comando startx.

Una vez se tenga en ejecución el BackTrack en modo gráfico, se procede a examinar la red para determinar cuál va a ser la víctima acorde con las necesidades del ataque. Para este proceso se utilizó la herramienta de mapeo de redes NMAP. Partiendo de la premisa que la IP del atacante es 192.168.1.100, se descubre toda la sub red 192.168.1.0 con una máscara de 24 (de la 192.168.1.0 hasta la 192.168.1.255) de la siguiente manera para encontrar los computadores que están activos:



a description...

Ilustración Escaneo de computadores activos

El comando “-v” se usa para incrementar el nivel de detalles, el “-sP” o escaneo con Ping es el comando que se usa para identificar los dispositivos conectados a la red. En seguida, se buscan las máquinas que estén “arriba” para ver si pueden ser atacadas. La máquina de IP 192.168.1.101 esta activa (ilustración 16) con él se procederá al siguiente paso.

a description...

Ilustración Posible computador a atacar

A continuación se quiere observar si las características del equipo seleccionado son las necesarias para realizar el ataque. Para esto se utiliza el comando “-O” el cual determina el sistema operativo incluyendo su versión, así como la ilustración 15 y 16 lo muestran.

a description...

Ilustración Determinación del sistema operativo de la posible víctima



a description...

Ilustración Determinación del sistema operativo de la posible víctima

Teniendo clara la IP del computador a atacar junto con sus características básicas, se procede con el respectivo ataque.

  1. TimeStomp


El diagrama de flujo de datos que se muestra enseguida, ilustra de manera general cómo se desarrolló el ataque con Timestomp.

diagrama_timestomp.jpg

Ilustración Diagrama de flujo de datos para el ataque con Timestomp

Partiendo de la información que se obtuvo en los pasos anteriores, se empieza a analizar las posibles vulnerabilidades que el sistema objetivo ofrece para ser explotadas. Analizando los puertos abiertos en la máquina víctima se puede observar que tiene el puerto TCP 445 abierto el cual presta el servicio de Microsoft – DS con el que se puede utilizar el exploit ms08_067 netapi. Este exploit se vale del mal manejo de las peticiones RPC para obtener control de la máquina víctima [55].

a description...

Ilustración Escaneo de puertos

Ya identificada la posible vulnerabilidad que podrá ser explotada en la máquina víctima, se procede a buscarla y ejecutarla en el Framework de Metasploit con el comando “show exploits”.

Posteriormente se escoge el PAYLOAD adecuado para las necesidades del ataque, lo que se logra con el comando “show payloads” que genera una lista con todas las opciones como lo muestra la ilustración 21.



a description...

Ilustración Lista de Payloads

Observando la lista de payloads, se decide escoger el payload win32_reverse_meterpreter, el cual conecta la máquina víctima con la atacante en un puerto determinado. Esta conexión se utiliza entonces para cargar el servidor meterpreter y poder así usar el canal de comunicación meterpreter creado entre las dos máquinas, para poder cargar archivos, descargarlos y obtener un Shell remoto entre otras [63].

Se prosigue a modificar las opciones del win32_reverse_meterpreter, las cuales son RHOST que equivale a la ip de la máquina víctima y LHOST que corresponde a la ip de la máquina atacante (Ilustración 21).

Finalmente para completar el proceso del exploit se utiliza el comando “exploit” para realizar la conexión con la máquina víctima, como se muestra en la ilustración 22.

a description...

Ilustración Ejecución del Exploit

Teniendo la conexión con la máquina víctima, se cargan algunos archivos que serán utilizados para completar el ataque, entre ellos timestomp.exe como lo muestra la ilustración 22.

a description...

Ilustración Carga de Archivos

Al contar con la máquina víctima con las herramientas necesarias, se efectúa el ataque, el cual tiene como objetivo, modificar valores y datos de un archivo llamado Nomina.xls el cual se nombrará de este momento en adelante como archivo objetivo.

Así, en primera instancia se empieza por copiar el archivo objetivo en el escritorio como lo muestra la ilustración 23, para poder descargarlo a la máquina atacante con el comando “download” de la conexión meterpreter y así poder tener dominio sobre los datos contenidos en este archivo.



a description...

Ilustración Copia de Archivo Objetivo



a description...

Ilustración Archivos en el Escritorio Máquina Víctima

Posteriormente al modificar los datos del archivo objetivo, se prosigue nuevamente a cargarlo en la máquina víctima con el comando “upload” y finalmente se utiliza la herramienta Timestomp para cambiar los atributos MACE con lo que se elimina la evidencia que ese archivo fue manipulado en el momento del ataque. Esto lo muestra la ilustración 26.

a description...

Ilustración Utilización de Timestomp


  1. Slacker


El siguiente diagrama de flujo de datos muestra el desarrollo del ataque realizado con Slacker.

diagrama_slacker.jpg

Ilustración Diagrama de flujo de datos del ataque con Slacker

Para realizar este ataque, al igual que con el ataque de TimeStomp, se utiliza el exploit “ms08_067_netapi”, en él, se usa el PAYLOAD “windows/meterpreter/reverse_tcp”, todos pertenecientes al framework versión 3 de MetaSploit, todo encausado a subir la consola remota para ejecutar el ataque.

Luego de tener la consola remota en ejecución, se procede a montar en la máquina atacada la aplicación a utilizar y el archivo que se quiere esconder. Para este caso slacker.exe y timestomp.exe respectivamente. Dichos archivos se encuentran en el fichero /root/. Con el exploit ejecutándose (la conexión establecida entre ambas máquinas) se utiliza la función upload la cual sirve para transferir elementos de un computador a otro.



a description...

Ilustración Carga de Slacker y TimeStomp a la máquina atacada

Luego de cargar los archivos en la máquina atacada, se verifica que los archivos hayan sido copiados con el comando dir.

a description...

Ilustración Verificación de la carga de archivos en la máquina atacada

Posteriormente, se procede a ejecutar la herramienta anti-forense, Slacker (Ilustración 30), de la cual se va a utilizar su función –s, la cual consiste en tomar el espacio slack de diferentes archivos para almacenar el archivo deseado. Dicha función tiene una serie de parámetros que se explican a continuación [25]:


  • File: hace referencia al archivo que se quiere esconder.

  • Path: es el directorio en donde se quiere buscar el espacio slack para esconder las particiones de los archivos, se recomienda que hayan varios archivos o carpetas.

  • Levels: qué tan abajo quiero ir en el árbol de directorios para buscar por espacio slack.

  • Metadata: es un archivo en el cual se almacenará la forma en que se va a rastrear el archivo a guardar luego de esconderlo.

  • Password: la contraseña para encriptar o desencriptar el archivo con los metadatos.

  • Las siguientes son opciones para seleccionar el espacio slack, si los datos ofuscados o no y si se quiere un utilizar un archivo como llave XOR.

a description...

Ilustración Funciones de Slacker

Continuando con el ataque, al conocer una de las funciones de Slacker, se procede a aplicarla para esconder el archivo que se quiere, TimeStomp.exe. Para esto se van a tomar los siguientes archivos y directorios.


  • File: timestomp.exe

  • Path: C:\

  • Levels: 1

  • Metadata: C:\Demo.linx.jpg

  • Password: antiforense

  • Opciones de selección del espacio slack: -d

  • Opciones de datos ofuscados: -n

a description...

Ilustración Ocultamiento de TimeStomp.exe con Slacker

En seguida, la aplicación muestra los archivos con espacio slack con su respectivo directorio y el tamaño original del éstos.

En el momento en que se quiera recuperar el archivo escondido, se utiliza la función de recuperación de Slacker, -r. Sus parámetros son: el archivo de metadatos, la contraseña de encriptación para el archivo de metadatos y el nombre para el archivo de salida. En la ilustración 32 se muestra el proceso de recuperación.



a description...

Ilustración Restauración del archivo escondido con Slacker

Para finalizar, se verifica que el archivo guardado sea el mismo al recuperado, una forma de comprobar que los archivos sean los mismos puede ser el tamaño de cada uno (Ilustración 33), sin embargo si se quiere tener mayor certeza, se puede ser el uso de la herramienta Md5sum en donde el hash MD5 de ambos archivos debe ser el mismo.

a description...

Ilustración Comparación del archivo original con el recuperado


  1. Evidence Eliminator


El siguiente diagrama de flujo de datos ilustra cómo se desarrolló el ataque con la herramienta Evidence Eliminator (EE).

diagrama_ee.jpg

Ilustración Diagrama de flujo de datos del ataque con EE

Para la realización del ataque con Evidence Eliminator, al igual que en los dos ataques previos, la máquina víctima es la de IP 192.168.1.101 y la que ataca es la 192.168.1.102. En la víctima Windows, se debe habilitar el servicio de acceso remoto para utilizar la herramienta de escritorios remotos rDesktop. Esta herramienta se utilizará con el fin de poder instalar y ejecutar EE en modo gráfico dado que el contexto que el ataque se encuentra (sistema operativo basado en UNIX) dificulta la ejecución de herramientas con asistentes de instalación.

Inicialmente se utiliza el mismo Exploit y Payload de los ataques previos. El primer paso consiste en montar en la víctima el instalador de EE (EE.rar) mediante el comando upload.



a description...

Ilustración Carga del instalador de EE

Enseguida se verifica que el archivo cargado se haya almacenado en donde lo ubicamos con el comando de dir (Ver Ilustración 36).

a description...

Ilustración Verificación de la carga de EE.rar al disco de la víctima

Con el instalador cargado, procedemos a utilizar la herramienta para acceder escritorios remotos, rDesktop. La sintaxis de la herramienta es la siguiente rdesktop [IP victima] –u [usuario] –p [password] (-g [resolución] o –f). Ya que no se conoce la resolución de la pantalla de nuestra víctima, se utilizará una resolución de básica de 800x600 como la ilustración 37 lo muestra. El usuario y la contraseña son las mismas que se obtuvieron desde un principio con Helix.

a description...

Ilustración rDesktop con resolución de 800x600



a description...

Ilustración rDesktop en Ejecución

Como se puede observar, no se tiene visibilidad completa del escritorio atacado, por tanto se usará la opción –f para evitar inconvenientes de resolución y obtenerlo en pantalla completa (Ilustración 39).

a description...

Ilustración rDesktop con pantalla completa

Teniendo el control del escritorio de la víctima, procedemos a instalar la aplicación que al principio del ataque se montó.

a description...

Ilustración Ubicación del instalador de EE

Se descomprime la carpeta y procede a ejecutar el instalador (Ilustración 41).

a description...

Ilustración Instalación de EE

Una vez terminada la instalación se ejecuta la aplicación como una aplicación cualquiera de Windows.

a description...

Ilustración Evidence Eliminator en Ejecución

A continuación, se debe configurar las opciones de la aplicación, esto se realiza mediante el botón de opciones en la esquina superior derecha.

a description...

Ilustración Opciones de EE

Por defecto, EE tiene una serie de opciones cargadas para eliminación de archivos que pueden dejar rastros, las divisiones son:


  • Windows: acá se puede seleccionar los diferentes logs de eventos y actividades, archivos swap y archivos temporales de internet, historiales de ultimas sitios visitados dentro del sistema operativo y listas de reproducción del Windows media player, entre otros.

  • Inicio: en esta sección se elige borrar los historiales de ejecución, búsquedas en el computador y de archivos encontrados. Así mismo, se puede seleccionar los documentos recientes y el historial de programas cargados en el menú de inicio.

  • Internet Explorer y Mozilla: historiales y cache, cookies y archivos descargados.

  • Correo: acá se puede eliminar las cuentas de correo electrónico asociadas a Outlook o a Thunderbird.

  • Personalizado: es la sección que concierne este ataque, se seleccionan carpetas o archivos a borrar en una determinada ubicación.

  • Modo: modo Windows o modo DOS. Destruye los archivos relacionados con cualquiera de los dos modos.

  • Varios: registros de Windows y archivos que EE modifica al usarse.

  • Operaciones de Unidades de Almacenamiento: papelera de reciclaje, espacio no asignado en disco y destrucción de unidades.

  • Para el fin de este ataque, borraremos el archivo “timestomp.exe” mediante la destrucción personalizada como lo muestra la Ilustración 44.

a description...

Ilustración Borrado Seguro con EE

Luego de seleccionar las opciones de destrucción, guardamos los cambios y mediante el botón Quick Mode iniciamos la destrucción de evidencia (Ilustración 44).

Al terminar el borrado seguro, verificamos que el archivo fue borrado completamente y procedemos a desinstalar la aplicación mediante la opción de agregar o quitar programas de Windows ubicada en el panel de control (Ilustración 45).



a description...

Ilustración Eliminación de EE desde Windows


  1. Combinación Timestomp, Slacker, Evidence Eliminator


Utilizando los mismos pasos para la intrusión en la maquina víctima que realizaron en los ataques descritos anteriormente, se prosigue a realizar la combinación de las herramientas Timestomp, Slacker y Evidence Eliminator, con el procedimiento que se muestra a continuación:

Inicialmente en la consola remota otorgada por el exploit se crea una nueva carpeta con el nombre de “antfor” la cual contendrá los archivos y programas que serán utilizados en el ataque como lo muestra la Ilustración 46.



a description...

Ilustración Creación de Carpeta Destino

Posteriormente cargamos en la carpeta “antfor” de la maquina víctima todos los archivos necesarios para realizar el ataque como lo muestra la ilustración 46. Al terminar de cargar los archivos, se verifica que efectivamente estos se encuentren en la ubicación deseada en la maquina victima (Ilustración 47)

a description...

Ilustración Cargar de Archivos



a description...

Ilustración Verificación Ubicación

Se reubicamos el archivo objetivo (Nomina.xls) a la carpeta “antfor” (Ilustración 49) para posteriormente ejecutar el slacker.exe (Ilustración 50) sobre este archivo y ocultar su información; esto con el fin de no perder la información original de la nomina para poderlo utilizar para futuros ataques

a description...

Ilustración Reubicación de Archivo Objetivo



a description...

Ilustración Ejecución Slacke.exe

Para verificar que el archivo objetivo mantiene su integridad y que podrá ser recuperado posteriormente con la herramienta slacke.exe, se realiza una prueba extrayendo el archivo oculto y calculando el md5 como lo muestra la Ilustración 51.

a description...

Ilustración Prueba Slacke.exe

Después de haber manipulado el archivo objetivo y buscando eliminar cualquier tipo de evidencia se prosigue a obtener un escritorio remoto de la maquina víctima, con el cual se podrá instalar la herramienta Evidence Eliminator. Esto se consigue a través de la ejecución del comando Linux “rdesktop” (Ilustración 52)

a description...

Ilustración Escritorio Remoto

Luego de ejecutar la consola remota y el archivo “nueva_nom.xlsx” la cual es una modificación del original “Nomina.xlsx”, ejecutamos Timestomp con la opción –v para obtener los atributos MACE del archivo “nueva_nom.xlsx”. Si se examina los timestamps de este archivo, un investigador puede observar que hay algo sospecho en dichas fechas al estar creadas recientemente, por lo tanto necesitamos tomar los atributos MACE de “Nomina.xlsx” y asignárselos a “nueva_nom.xlsx”, para dicha tarea se utiliza el comando –f (Ilustración 53).

a description...

Ilustración Comparación de los Timestamps

Enseguida, se procede a borrar el archivo original “Nomina.xlsx” mediante el comando del de Windows. El paso siguiente, consiste en cambiarle el nombre a “nueva_nom.xlsx” por “Nomina.xlsx”, para esta labor se usa el comando ren (Ilustración 54).

a description...

Ilustración Renombramiento del archivo modificado

Con el comando dir se verifica que el archivo modificado haya quedado en el lugar original con las fechas MACE correspondientes como la ilustración 55 lo muestra.

a description...

Ilustración Listado de archivos y directorios en C:\

Sin embargo, al mover el archivo modificado de “C: \antfor\” a “C: \” la fecha de los atributos Accessed y Entry Modified cambia, razón por la cual es necesario modificarlos con los del archivo original que se encuentra en “C: \antfor\”. Para dicho cambio se utiliza la opción –e y –a de Timestomp. Finalmente se verifican que los atributos correspondan entre los dos archivos mediante la opción –v. Todo este proceso se muestra en la ilustración 56.
a description...

Ilustración Modificación de los Timestamps de Nomina.xlsx

Para continuar con el ataque, se instala Evidence Eliminator y se selecciona la opción de borrado seguro personalizado como lo muestra la ilustración 57. En esta ocasión se quiere borrar la carpeta creada para el ataque “C: \antfor\”.

a description...

Ilustración Configuración de EE

La siguiente imagen muestra EE trabajando en el borrado.

a description...

Ilustración EE en ejecución



Para finalizar el ataque se verifica que la carpeta ha sido borrada (Ilustración 59) y se desinstala la aplicación mediante la opción del panel del control de Windows, agregar o quitar programas.

a description...

Ilustración Verificación de los archivos eliminados


La base de datos está protegida por derechos de autor ©bazica.org 2016
enviar mensaje

    Página principal