Ataque_2013

'’Yo conozco que todo lo puedes, Y que no hay pensamiento que se esconda de ti.’’ Job 42:2

Desde el 1 de Marzo de 2013 se detectó una intrusión a 2 servidores que alojan información de Pasos de Jesús y a un cortafuegos de una organización de Derechos Humanos donde el autor de este escrito colabora. Ocurrieron ingresos desde el 14 de Enero de 2013, cuyo impacto parece no ser grave pero se continúa analizando y aplicando medidas. Hay alguna similitud con el ataque que sufrió recientemente FreeBSD {1}, pero con el agravante que también fue atacada infraestructura de organizaciones de Derechos Humanos donde se aloja información confidencial de víctimas y fuentes de información (aunque se ha comprobado que no hubo ingreso a los servidores donde está la información confidencial).

!ANÁLISIS FORENSE

Se ha encontrado entre otros:

• El atacante logró ingresar por la cuenta del autor con la clave correcta a los 3 servidores en diferentes momentos, y en dos de ellos creo la cuenta 127 y en otro creó la cuenta jorge. (En uno de los servidores empleó un puerto no estándar donde opera el servicio ssh). A continuación se presenta parte de la bitácora del servidor donde el atacante creó las cuentas 127 y jorge:

Jan 14 20:51:19 kadosh sshd![28257]: Failed password for vtamara from 174.60.229.36 port 59319 ssh2
Jan 14 20:51:22 kadosh sshd![28257]: Accepted password for vtamara from 174.60.229.36 port 59319 ssh2
Jan 14 20:52:27 kadosh sshd![10954]: Accepted password for jorge from 174.60.229.36 port 59327 ssh2
Jan 14 20:52:31 kadosh sshd![30540]: Received disconnect from 174.60.229.36: 11: disconnected by user
Jan 14 20:52:59 kadosh sshd![9057]: Accepted password for jorge from 174.60.229.36 port 59332 ssh2
Jan 14 21:37:40 kadosh sshd![9565]: Received disconnect from 174.60.229.36: 11: disconnected by user

• En el primer ingreso el atacante se conectó desde una IP del proveedor Comcast de Estados Unidos, proveedor que el autor de este escrito uso entre el 27 de Octubre de 2012 y el 27 de Febrero de 2013. De hecho exactamente la misma IP dinámica le había sido asignada en algunas oportunidades previas al autor por el servicio de Comcast. El autor típicamente se conectó desde un sistema con adJ (OpenBSD), en algunas oportunidades con Linux y en unas muy pocas oportunidades desde un computador prestado con Windows. A continuación se presenta el registro en la bitacora de la creación del usuario jorge:

Jan 14 20:51:45 kadosh sudo:  vtamara : TTY=ttyp0 ; PWD=/usr/ports/mystuff/construye ; USER=root ; COMMAND=/usr/sbin/adduser jorge

• Posteriormente el atacante ingresó con la cuenta jorge desde computadores ubicados en Korea, China y Japón:

Feb 23 01:35:28 kadosh sshd![9222]: Accepted password for ```jorge``` from 183.103.115.9 port 44226 ssh2
Feb 19 06:33:52 kadosh sshd![24966]: Accepted password for ```jorge``` from 220.172.191.31 port 46928 ssh2
Jan 19 20:51:32 kadosh sshd![29307]: Failed password for ```jorge``` from 210.238.234.20 port 46222 ssh2

El 4 de Marzo de 2013, consideramos el siguiente escenario como el más plausible: mediante un malware el atacante tenía control del Windows infortunadamente empleado por el autor de este escrito en unas pocas oportunidades, con lo que posiblemente pudo conocer las teclas que el autor presionó al conectarse a los servidores y capturar así la clave (con un registrador de digitación –keylogger–), y empleando ese computador como puente hizo el primer ingreso al servidor atacado (metasploit es un ejemplo de la posibilidad de realizar este tipo de ataque ver {2} y {3}). Hay otros escenarios que están en estudio.

!MEDIDAS

• A 19.Mar.2013 ** Paquetes verificados ** Llaves RSA cambiadas

• A 4.Mar.2013 ** Ya no se realizan conexiones por Comcast, ni se emplea el computador con Windows mencionado. ** Se han cambiado credenciales en los servidores afectados y en otros.
  ** Se ha implementado ingresos con S/KEY. ** Se ha avanzado en reinstalación de sistema y paquetes en los servidores afectados. ** Se ha comprobado que los binarios de la distribución adJ están intactos, puede verificar por ejemplo con sha256 base52.tgz, y comparar con las sumas incluidas en el DVD en el archivo SHA256 o con las siguientes:

SHA256 (bsd) = e29ceb7ad873f6f962ad209de5e7dde0d76a59189316da45fd366caa4e57b130
SHA256 (bsd.mp) = !13b2234e6c27bdbfa8762d3e39ebb6d59aeaac9fcf9be5e8ef3aeff4b13b8a77
SHA256 (base52.tgz) = f01a6415e3f1ebdf00838fbba1ac70bedd4ca1a4c78ff0da4e603a835d90f627
SHA256 (comp52.tgz) = dba735d63389af184cda9a2b622d2487d310767ca688e98e7e592d2d923a5ab8
SHA256 (game52.tgz) = !6f0169bb4227194f06fd6e741d356e6334bb4b53763022267a9eaf27d7f458fd
SHA256 (man52.tgz) = cc25598cc85fccb8c18a5af6936709df6773fb5a74b74d956c2ccf10ed3e1325
SHA256 (site52.tgz) = !975e3109ff632afdf4e1064a35d857d4c510cdf73cd993e877d5c7fb21710c22
SHA256 (xbase52.tgz) = ccabae89eeeffa24356d33cc0f907140ef5ce6c2ef7e6399237259fb32b285b0
SHA256 (xetc52.tgz) = !05d4ade96a6f3b4ef391c93256eb78b78dcae049abab8ede047cb07c085ee39d
SHA256 (xfont52.tgz) = !1bab03e8aa91828b3b80279dc65187f95fa0a02a27f25fbb2af63ad38e7f5dd7
SHA256 (xserv52.tgz) = !9b3f5b18343c3aec15b97dc95f94a01dcccab65819c9b881f1e550e0303a2877
SHA256 (xshare52.tgz) = !496f73c5b0e0e9fc9b64b83e69b66fd7921873b8c13bafda9122f092bb67383f

REFERENCIAS

• {1} http://www.freebsd.org/news/2012-compromise.html
• {2} http://metasploit.com/
• {3} https://github.com/rapid7/metasploit-framework/blob/master/scripts/meterpreter/win32-sshclient.rb