INFORMEEJECUTIVO

Introduccin
EstedocumentoeselinformeejecutivopresentadoalSegundoretodeanlisisforenseen
castellanoorganizadoporlaUNAMatravsdelaDGSCAyelUNAMCERTylaempresapblica
Red.esatravsdelGrupodeSeguridaddeRedIRIS,conelapoyodeempresasyorganismosde
seguridadinformticaiberoamericanosymundiales.Todalainformacinreferentealeventopuede
consultarseatravsdelsitiowebhttp://www.seguridad.unam.mx/eventos/reto.
ElobjetivodeesteRetoForenseV2,0esmotivareldesarrolloenelreadecmputoforenseen
Iberoamrica,proporcionandoloselementosnecesariospararealizarunanlisisyalapardequelos
resultadosseanevaluadosporexpertosreconocidosenelrea.
Anlisisrealizado
Paralarealizacindeesteanlisisforensesehanutilizadonicamenteyexclusivamente
herramientasdecdigoabiertodereconocidaeficaciayfiabilidad.Sehautilizadoelmtodocientfico,
estoes,plantearunahiptesisydemostrarlacontrastandolosresultadospordiferentesvas.Tambinse
hanreproducidopartesdelataqueenunentornoaisladomuyparecidoaloriginal.
Centrndonosenelanlisis,grossomodo,sehaestudiadounanlisisdetiemposdeacceso,
modificacin,cambioyborradodelosficherosexistentesyborradosenlasimgenes,seharealizado
unacomparacindelosficherosdelequipoconlosoriginalesdeunordenadorsimilarrecininstalado
ysehanrecuperadoficherosborrados.Conestainformacinylosrastrosdejadosporlosintrusosse
harealizadouncronogramacompletodelaactividaddelordenadordesdequeseinstalyunanlisis
exhaustivodelasherramientasintroducidas.
Elatacante
EsbastanteprobablequeelapododelintrusoseaAzazel,denacionalidadrumana.
Paraconseguirunaidentificacinmsfiablepodramosrecurriralosresponsablesdelhosting
dondealmacenalasherramientasquehadescargadoenelsistemawww.zetu.as.royxhack.150m.com
DemuestramuypocosconocimientosdeinformticaydelsistemaoperativoUnix.Selimitaa
probarsucesivasherramientasdisponiblesenInternethastaqueconsiguequealgunafuncione,sin
pararseapensarquestfallando.Sinembargoapesardelaslimitacionestecnolgicasatenordelos
paquetesinstaladosydeactividadobservadacuentaconbastantesaspiracioneseconmicas.
Lanzaataquesindiscriminados(sinseleccionarelobjetivo),esdecir,prefiereconseguiracceso
enelmayornmerodeordenadoresposiblesantesqueatacarunoespecfico.Entreotrosmotivos
porquedadossusconocimientoseslonicoquepuedehacer.
Pgina1

Resumendelincidente
Elasaltoinicialalamquinafinanzasseinicielda29deEnerode2005alas14:57:44hora
deMjicoyseconsumendospasos:
1.Elintrusoconsiguiaccesoalsistemacomousuarionoprivilegiadograciasaunaconocida
vulnerabilidaddeOpenSSLenconjuncinconApachedesdelaIP64.202.43.190
2.Alospocosminutosyadesdelamquinaconseguaelevarsusprivilegiosyconvertirseen
superusuarioenvirtuddeotroclebrefallodelncleodelosequiposLinux.
Enlafechaqueseprodujolaintrusinexistansolucionesalosdosproblemasqueaprovechel
atacantequedeberanhaberseaplicadoalinstalarlamquina.
Pocodespusintentainstalarinfructuosamenteenrepetidasocasionesherramientasdestinadasa
escondersuactividadyagarantizarsuentradafuturaenelsistema,esloqueseconocecomorootkit.
Registraelequipoenunabotnet,resumidamenteelequipopasaaformarpartedeunejercitode
zombisconectadosauncanaldeIRCdelquerecibenordenes.
Porfinconsigueinstalarunapuertatraseraquelepermiteentraralsistemaconprivilegiosde
administradorfcilmentesiemprequequiera.
AcontinuacininstalaalsegundointentounpaquetedemanejodeconexionesIRC.
Nopodanfaltarherramientasdeataqueautomtico,nuestroamigodescargayejecutados
utilidadesdiferentesparadesdeestamquinadescubriryaduearsedenuevosequipos.Unadeellases
presumiblementelamaneraqueutilizparaconseguirelprimeraccesoalamquinaquenosocupa.
Porltimosehadetectadoelintentodeenvodeunnicomensajedecorreoelectrnico
medianteelcualsepretendeestafaraunclientedeunadeterminadaentidadbancaria.Elsupuesto
modusoperandieselsiguienteseduplicanlaspginaswebdeunbanco(laubicanen200.180.33.94
pertenecienteBrasilTelecom),seinstamedianteuncorreoelectrnicoalosclientesdelbancopara
quedensuscredencialesenestapginasfalsas(elmensajeinterceptado)yporltimovacanlas
cuentascorrientesdelosincautosclientes.
Afortunadamentelosadministradoresdelequipodetectaronlasituacinatiempo,
desconectaronelordenadordelaredyrecopilaronlasevidenciasparapoderrealizaresteanlisis
forense
Motivosdelaintrusin
Apesardelospocosconocimientosdelosintrusossumotivacinesclaramenteeconmica.Por
unaparteconectanelequipoaunabotnet.Eshabitualelalquilerdeestetipodeordenadoreszombies,
segncuentalarevistaZDNetelalquilerdeestasredesderobotalosspammerslescuesta100Eurosla
hora.Porotrapartelosrastrosdephisingnosdejabienclarolasperspectivasdeganardineroque
Pgina2

tienen.

Recomendaciones
1. ContactarcontodoslosresponsablesdelasIPsyoperadoresimplicadosdirectamenteconel
incidenteycomunicarleslapartequelesimplique.Esdecir,mandaramosuncorreoelectrnicoa
losresponsablesdeseguridaddelbancoestafado,alosresponsablesdelaIP64.202.43.190desde
dondeserealizelprimerataqueyalosdelaIP200.180.33.94quetienealojadalacopiadelaweb
delbanco,alosresponsablesdelosrepositorioswww.zetu.as.royxhack.150m.comdesdedonde
losintrusosdescargansusherramientas,alproveedordelacuentadecorreo
radautiteam@yahoo.comimplicadaylassubredespresuntamenteescaneadas/explotadasdesde
nuestroequipo217.172.0.0/16y200.207.0.0/16
2. TambiendeberamosavisaratodaslasIPsquesibiennoestndirectamenterelacionadasconel
compromisodelsistemasehaobservadoquepuedenhabersidocomprometidasobienestar
infectadasporalgngusano:67.19.122.170,80.81.32.242,209.0.206.183,64.151.73.180,
24.211.139.31,132.248.86.132132.248.18.110132.248.86.132132.248.73.244132.248.73.244
132.248.18.110132.248.73.151132.248.98.19132.248.18.110132.248.146.82132.248.18.110
132.248.146.81132.248.146.80132.248.146.80132.248.71.9132.248.18.110132.248.55.122
132.248.146.81132.248.96.66,65.70.124.33,61.189.202.116,132.248.112.58,211.57.88.250y
218.212.17.18yotrasmuchas
3. Lamquinadeberaserformateadayreinstaladadesdeceropuestoquelosintrusosylosvirushan
modificadoeintroducidomultiplesarchivos,ademsnoparecequehayaningndatorelevanteque
debaserrestaurado.LareinstalacindeberealizarsesinconexinaInternet,unavezinstalada
activamosuncortafuegosfiltrandotodoslosservicios,nosconectamosaInternetyactualizamosel
sistema.
4. Deberamosdecidirquserviciosnecesitamosydeshabilitarlosinnecesariosreduciendoaslas
probabilidadesdeintrusinfuturas.
5. Comomedidaadicionaldebemosconfiguraruncortafuegosypermitiraccesosloalasaplicaciones
imprescindibles.
6. Cambiartodaslascontraseaspuestoquesehanencontradorastrosdeunsnifferydeataquesde
diccionario,estoes,hanprobadorepetidamentecomocontraseadeunusuariopalabrascomunes
queaparezcanenunficheropreestablecido.Comoleccinaprendidatenemosqueutilizar
contraseasrobustasporejemploquelacontraseanoseaunapalabracomn,introduciralgn
nmeroocaracteresespeciales($,./%,...)yunamuybuenatcticaconsisteenusarunacrnimode
unafrase,esdecir,seleccionamoslafraseEnunlugardelamanchadecuyonombrenoquiero...
Pgina3

yelegimoscomocontrasealaprimeraslabadecadapalabraEuldlmd.Obviamenteestafrasey
contraseayanoesbuenaporquelaacabodepublicar.
7. Esbuenaideaeliminarlainformacinquepuedaproporcionarnuestroordenadoralosintrusos,en
elcasoquenosocupasielintrusonohubiesesabidolaversinexactadenuestroservidorwebla
herramientaquehautilizadoparaexplotarelsistemanolehabrafuncionado.
8. Estaraldadelosfallosquevayansurgiendoatravsdebugtraq,odelaslistasqueofrecenlos
fabricantesdesoftwareyporsupuestoactualizarencuantosurjaunproblemanuevo.Estamedida
habraevitadoelincidentesufrido.
9. Estrivialcomprometerunamquinamaladministrada,tansolosenecesitanlasarmasadecuadasy
dispararelgatillo.
10.Aunque,enprincipio,parezcaquetodoestperdidonohayquedesesperarseporquesiemprequeda
algunahuella.PrincipiodeLocard:Cadacontactodejaunrastro
11.Unanlisisforensenoacabanunca,dependedehastadondesequieradescubrir.Hayqueser
sensatoyfijarunosobjetivosasignndolesuntiemporazonableparaconseguirlos.Enestecasola
fechadefinalizacinlahaimpuestolafechadeentrega.

Pgina4