experiencias y tendencias en investigaciones digitales … · respuesta e investigación digital...
TRANSCRIPT
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Experiencias y tendencias en Investigaciones Digitales de gran escala
VIII JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
2
One eSecurity VP & CTO
SANS Institute · Community Instructor
Carlos Fragoso
VIII JORNADAS STIC CCN-CERT
3
2 Experiencias
Índice
3 Tendencias
4 Referencias
1 Retos
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
4
VIII JORNADAS STIC CCN-CERT
5
Afectando múltiples áreas organizativas, algunas críticas
Involucrados activos críticos e información sensible
Falta de contexto: importancia, dependencias…
Los atacantes conviven entre nosotros semanas, meses o años
Debemos solucionarlo y analizarlo en horas, días o semanas
Abarcando centenares o miles de sistemas diferentes
Altos volúmenes de información a analizar (TBs)
Distribución geográfica y administrativa diversa
VIII JORNADAS STIC CCN-CERT
6
Visibilidad y privilegios similares a un “insider”
Saltos entre sistemas y enmascaramiento
Artefactos complejos con técnicas antiforenses
y alta volatilidad
Falta de documentación o diagramas actualizados
Dificultad en la intercepción de tráfico o acceso equipos
Dominios administrativos internos/externos ambiguos
Inexperiencia, falta de entrenamiento y formación
Falta de provisión de herramientas específicas para
respuesta e investigación digital
Comunicación segura y control de la información
VIII JORNADAS STIC CCN-CERT
7
VIII JORNADAS STIC CCN-CERT
Experiencias: casos y actores
• Casos
• Espionaje industrial y abuso de sistemas de información
• Intrusiones persistentes con exfiltración de información
• Robo y difusión de información por parte de empleados
• Denegación de servicio
• Actores
• Empleados internos (insider) o ex-empleados
• Competidores o “aliados” del sector de la víctima
• Terceros (gubernamental, grupos organizados…)
8
VIII JORNADAS STIC CCN-CERT
Experiencias: estrategias y soluciones
• Salas de investigación ad-hoc
• Infraestructuras de investigación distribuida
• Contención, adquisición y análisis en entornos externos
• Análisis quirúrgico y masivo de información
• Investigación de amenazas persistentes
• Visualización avanzada y perfilado de atacantes
VIII JORNADAS STIC CCN-CERT
Salas de investigación ad-hoc (war-room)
Pizarras
Videoconferencia
y comunicaciones móviles
Laboratorio
Forense
Estaciones
de analistas
Impresión
de gran formato
Networking
Caja fuerte
Jumpbag kits
VIII JORNADAS STIC CCN-CERT
11
Auditores
y/o
consultores
Investigadores
IR
Forenses
Entornos
de usuario
Servidores
corporativos
Alojamientos
y “nubes”
Red
DFIR
Respositorio
de evidencia
Infraestructuras de investigación distribuida (I)
VIII JORNADAS STIC CCN-CERT
12
Infraestructuras de investigación distribuidas (II) Ejemplo: Google Rapid Response (GRR)
• Plataforma de respuesta a respuesta a incidentes con capacidades
forenses remotas en tiempo real creada y mantenida por Google
• Basada en agente forense desplegado en los sistemas de la organización
con estrategias de análisis local (thick) o centralizado (thin).
• Multiplataforma:
• Linux, Mac OSX y Windows
• Interfaz:
• Web (GUI), Consola (CLI) / API
• Acciones desde sistema central:
• Lógica de análisis y de respuesta
basada en los resultados obtenidos
(flow)
• Conjunto de acciones en múltiples
sistemas (hunt)
• Automatización para auditorías y
detección temprana
12 https://github.com/google/grr
VIII JORNADAS STIC CCN-CERT
Contención, adquisición y análisis en entornos “externos” (I)
Production network
Production Cloud Environment
DFIR Network
Iso
late
D
FIR
P
rod
DFIR VPC
PROD VPC EXTERNA
CSP VPC
Security Cloud Environment
Production network
IR
SR
V
Victima
Proveedor
VIII JORNADAS STIC CCN-CERT
14
• Despliegue de máquina virtual forense
• Provisión plantilla Ubuntu 14.04
• Instalación SANS Institute SIFT
• "wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master/bootstrap.sh | sudo bash -s -- -i -s -y”
• Contención / aislamiento
• Utilización de script “Coromandel” para aislamiento del sistema
• Adquisición
• Utilización de AWS EC2 API Tools para pausar instancia, generar instantáneas (snapshots) y conectar discos a VM análisis
• Análisis forense
• Utilización de SIFT con acceso desde Amazon Workspaces (VDI)
14
Contención, adquisición y análisis en entornos “externos” (II) Ejemplo: Amazon Web Services (AWS)
AWS: https://aws.amazon.com/developertools/351
SIFT: http://digital-forensics.sans.org/community/downloads
Coromandel: https://github.com/andrewsmhay/coromandel
VIII JORNADAS STIC CCN-CERT
Análisis quirúrgico y masivo de información (I)
Base de datos
de artefactos
Lógica de
análisis
Scripts
Sistemas Operativos, Aplicaciones,
Bases de Datos, Contenidos…
Necesito
Respuestas!!!
Fro
nta
l
Relaciones
Líneas de Tiempo
Modus-operandi
Paciente cero
Movimientos laterales
VIII JORNADAS STIC CCN-CERT
16
Análisis quirúrgico y masivo de información (II) Ej: Windows Vista (muestra)
• Registro y eventos
• C:\Windows\System32\config\*
• C:\Users\<USER>\NTUSER.dat
• C:\Users\<USER>\AppData\Local\Microsoft\Windows\UsrClass.dat
• C:\Windows\System32\winevt\Logs\*
• C:\Windows\System32\winevt\LogFiles\*
• C:\Windows\System32\config\RegBack
• Navegación
• C:\Users\<USER>\AppData\Local\Microsoft\Windows\History\*
• C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Cookies\*
• C:\Users\<USER>\AppData\Roaming\Mozilla\Firefox\Profiles\<NUM>.default
• Actividad relevante de ejecución y sistema de ficheros
• C:\Windows\Prefetch
• C:\pagefile.sys
• c:\hiberfil.sys
• C:\$MFT
• C:\$Recycle Bin\
• Recientes
• C:\Users\<USER>\Recent
VIII JORNADAS STIC CCN-CERT
17
Fabricantes
victima Cibercriminales
Entorno
Corporativo Entorno
Industrial
Alojamiento
web cibercrimen
Alojamiento
web victimas
Internet
Dominio externo:
ciberinteligencia
Dominio interno:
ciberseguridad
Investigación de amenazas persistentes (I)
VIII JORNADAS STIC CCN-CERT
18
Investigación de amenazas persistentes (II): Ejemplo: moloch
• Plataforma de captura, procesamiento e indexación de información
basada en tráfico de red
• Decodificación de protocolos y aplicaciones realizando una transcripción y
etiquetado para su la preservación de metadatos significativos
• Integración con fuentes de inteligencia internas y externas
• Arquitectura escalable centralizada o distribuida de múltiples capas:
• Captura, almacenamiento y visualización
18 http://molo.ch
•Start Time: 2/13/13 21:43:56 •Stop Time : 2/13/13 21:44:04 •Databytes/Bytes: 9,315/14,288 •IP Protocol: 6 •IP/Port: 172.128.1.1:52465 (USA) [AS1668 AOL Transit Data Network] • 205.188.18.208:80 (USA) [AS1668 AOL Transit Data Network] •Tags: http:content:application/octet-stream http:method:GET •http:statuscode:200 node:egress node:moloch-egress-dtc01 protocol:http tcp •Request Headers:accept accept-encoding accept-language connection cookie host user-agent •Response Headers:accept-ranges connection content-length content-type date keep-alive server set-cookie •User Agents:'Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0' •Hosts:www.aol.com •URI: www.aol.com/ •favicon.ico?v=2 •GET /favicon.ico?v=2 HTTP/1.1 •Host: www.aol.com •User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 •Firefox/16.0 •Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 •Accept-Language: en-US,en;q=0.5 •Accept-Encoding: gzip, deflate •Connection: keep-alive •Cookie: <REDACTED>… ...etc
•Transcripción
VIII JORNADAS STIC CCN-CERT
Visualización avanzada y perfilado de atacantes Visualización avanzada y perfilado de atacantes (I)
Líneas de tiempo
Histogramas
Relaciones
Actividad / TTPs
VIII JORNADAS STIC CCN-CERT
20
Visualización avanzada y perfilado de atacantes (II): Ejemplo: ElasticSearch / Logstash / Kibana (ELK)
VIII JORNADAS STIC CCN-CERT
21
Tendencias
3
VIII JORNADAS STIC CCN-CERT
Tendencias
• Mayor realimentación de conocimiento e interacción con el mundo de la
investigación criminal e inteligencia
• Mayor capacidad de trabajo colaborativo y compartición de conocimiento
• Integración homogénea de investigación y repuesta en dominios internos
y externos con proveedores y terceros
• Acceso forense universal integrado en aplicaciones, sistemas y red,
incluso en el propio hardware
• Entrenamiento, formación y puesta a punto periódico de los equipos
• Consolidación de artefactos
22
VIII JORNADAS STIC CCN-CERT
Tendencias: acciones
• Infraestructura
• Plataformas DFIR distribuidas
• Integración forense en sistemas/virtualización
• Plataformas FPC, Network Forensics
• Humanas
• Formación
• Entrenamiento / ciberejercicios
• Procesos
• Forensic Readyness
• Estrategias de aislamiento avanzadas
• Otros
• Necesidad de ciberinteligencia
VIII JORNADAS STIC CCN-CERT
Referencias
• “SP800-86: Guide to Integrating Forensic Techniques into Incident Response”- NIST
• http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf
• “SP800-150: Guide to Cyber Threat Information Sharing” - NIST
• http://csrc.nist.gov/publications/drafts/800-150/sp800_150_draft.pdf
• “NIST Cloud Computing Forensic Science Working Group” - NIST
• http://collaborate.nist.gov/twiki-cloud-computing/bin/view/CloudComputing/CloudForensics
• “Facilitating Fluffy Forensics / coromandel” – Andrew Hay
• https://digital-forensics.sans.org/summit-archives/DFIR_Summit/Facilitating-Fluffy-Forensics-Andrew-Hay.pdf
• “Forensic Artifacts” / “IOC Bucket”
• http://forensicartifacts.com
• https://www.iocbucket.com
• “Google Rapid Response” - Google
• https://github.com/google/grr/
• "SANS Institute Investigative Forensic Toolkit” – SANS Institute
• http://digital-forensics.sans.org/community/downloads
VIII JORNADAS STIC CCN-CERT
25
“ Incluso los mejores equipos no ganan todos los partidos.
…pero siempre luchan por ganar los máximos posibles”
Carlos Fragoso [email protected]
@cfragoso
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es