[paperro]

Hola a todos.

llevo unos meses como sysadmin en una empresa y el lunes me percaté de que estamos bajo lo que parece ser un APT.

Mi intencion es ir contando aqui mis descubrimientos y de paso que me deis consejos en el analisis.

iré actualizando

Un saludo!

[neofito]

Mi consejo, si se han exfiltrado muchos datos y podeis permitiroslo lo mejor es que obtengais ayuda externa.

Saludos

[paperro]

Hola neofito.

Gracias por responder.

desgraciadamente no podemos permitírnoslo así que habrá que contar con medios propios :-P, llevo un par de días con el ratón en una mano y el libro "análisis forense digital en entornos windows" de juan garrido en la otra.
No se han podido seguir buenas practicas, como realizar volcado de memoria y clonado del disco.

os cuento un poco como están las cosas.
windows 2003, servicios principales: IIS,sqlserver 2000, apache.
me conect el 12/03/2012 por la noche al servidor y detecto una conexión RDP por parte de un usuario que no está en oficina. el nombre del pc es desconocido (CLIENT-PC) y la dirección ip es rusa 94.180.154.222, aparentemente el único proceso que tiene abierto es firefox.
se observan conexiones a dos direcciones ip 91.103.142.131, 91.103.142.196 que parecen provenir del firefox. durante unos minutos tomo una muestra del trafico con wireshark y de los procesos con procmon, realizo un volcado del proceso firefox con process explorer. mato el proceso firefox y a los minutos vuele a aparecer. cierro la sesión RDP del usuario y a los minutos vuelve a conectarse.
des-habilito la cuenta y parecen cesar las actividades.
Al día siguiente reviso la cuenta del usuario. dos fotos de una chica en el escritorio del usuario, fecha modificación 11/03/2012, instalador de firefox modificación 17/enero/2012. firefox 3 está instalado desde el 24/01/2012, tambien se instalo el plugin imacro.

¿que estaba haciendo con firefox y imacro?
los historiales estaban vacíos pero las capturas del trafico muestran que firefox entra a meetic.es auto actualiza la ventana de mailbox e incluso en algún momento responde un mensaje enviando una dirección de correo.
mi opinión es que estaba scameando en meetic.es, peroo.. solamente eso?

desconozco cuanto tiempo llevaba conectándose porque los logs de seguridad alcanzan hasta febrero y las evidencias marcan que en enero ya tenia acceso.
No parece haber efectuado un borrado eficiente de huellas, según los logs la dirección ip desde la que se ha conectado siempre se ha repetido varias veces.

se me presentan varias dudas.
cuanto tiempo ha estado?
como ha conseguido acceso?
que cosas ha visto?
quien es y que pretende?

Un saludo!

[Bebbop]

Yo apostaría que ha conseguido el acceso a traves del IIS / SQL / Apache y una vez dentro se ha creado un usuario y habilitado un acceso RDP.

Una vez que tiene un acceso RDP, y si tiene privilegios de administrador, pues imagínate lo que puede hacer.

[paperro]

Hola.

podria ser un punto, tengo que analizarlo. sin embargo mi intuicion me dice que el par usuario/contraseña lo sacaron del pc del usuario, tengo que revisar el pc del usuario también.

Saludos

[paperro]

Hola.

tengo cosas nuevas, segun esto: http://projecthoneypot.net/

la ip que se conectaba por escritorio remoto enviaba spam con el asunto FedEx, recuerdo que recibiamos este spam hace unos meses, de hecho este mismo empleado se infectó con un virus por esas fechas lo que empezaria a explicar todo, tengo que recoger mas pruebas. En algunos foros la gente que ha recibido spam con estos asuntos comenta que el virus recibiro era SpyEye, tengo que conseguir una muestra del correo y analizarlo. precisamente la una-al-dia de hispasec de hoy trata de SpyEye.

Un saludo.

[NewLog]

Ahora te iba a decir lo de una-al-dia!

Por decir algo, que imagino que ya lo habrás comprobado, mira las versiones de todos los servicios que estén de cara al exterior, a ver si hay alguna versión antigua. Y si es así, a actualizar. Y antes, pues como ya habrás pensado, mirar si se han creado usuarios nuevos o hay conexiones salientes nuevas.

Y si sólo se conectan desde esa dirección ip rusa, pues por el momento, filtrarla con algún firewall o el router. Ni peticiones de entrada ni de salida. Si consigues eso, quizá te deje de molestar mientras buscas por dónde ha entrado.

A mi, en vez de un APT me da más que es algo automatizado buscando software con bugs que estén públicos o, por otro lado, tal y como dices, que el usuario se haya infectado con un virus.

En fin, para ganar tiempo, intenta filtrar esa ip rusa, a ver si se te conectan desde otra ubicación.

Saludos y ánimos.

[paperro]

los puertos se cerraron en el router, de todas formas.. no tenemos ids ni firewall..
sobre APT, digo APT por las conexiones al escritorio remoto, ahi habia un tio conectado 100%, te lo aseguro.

Saludos

[paperro]

he estado haciendo algunas pruebas con uno de los bichos que nos llegan por spam, no estoy 100% seguro de que sea el mismo con el que nos infectamos pero bueno..
conecta a gansgansgroup.com
segun un analisis de threatexpert de octubre:
http://gansgansgroup.ru/true/index.php? ... &doubles=1
http://gansgansgroup.ru/true/index.php?cmd=getgrab
http://gansgansgroup.ru/true/index.php
http://gansgansgroup.ru/true/index.php?cmd=getproxy
http://gansgansgroup.ru/true/index.php? ... 5.1&bits=0
http://gansgansgroup.ru/true/index.php? ... s=0&file=r
http://gansgansgroup.ru/true/index.php? ... port=28013

os suena de algo?

saludos