Cybersecurity News
Mostrando entradas con la etiqueta forense. Mostrar todas las entradas
Mostrando entradas con la etiqueta forense. Mostrar todas las entradas

Tan importante es protegerse como responder


Estar convenientemente protegidos es importante pero, cuando sucede algo, cuando se produce un ciberincidente o un ciberataque en la empresa, también hay que saber responder a él como se debe, sin dejar nada al azar si es posible, ejecutando un plan previamente definido y probado.

La respuesta a incidentes es vital. En esa situación podemos correr como pollos sin cabeza haciendo cosas que creemos que aportan pero no lo hacen, o ejecutar el plan de acción, el plan de contingencia, plan de recuperación, paso a paso, tal y como se ha definido que se deba hacer.

Enmarcado en el framework de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la respuesta ante incidentes cobra toda la importancia que se merece, pues se sustenta en sus funciones principales desde un punto de vista holístico: identificar, proteger, detectar, responder y recuperar.

La respuesta ante incidentes de ciberseguridad por tanto se erige como un pilar fundamental que permite minimizar impacto y daños, así como salvaguardar la integridad de los activos de información. Esto de muy necesario en empresas y organizaciones.

Alineado con el NIST el enfrentarse a un ciberincidente, consiste en detectar, contener y mitigar los efectos de un ataque. Su objetivo esencial es reducir el impacto y restaurar la normalidad operativa de la empresa lo antes posible y del mejor modo posible.

Por otra parte, la experiencia es madre de la ciencia y debemos tener muy en cuenta las lecciones aprendidas tras haber sufrido un ciberincidente. Así, con ese conocimiento de lo vivido, podemos prepararnos para prevenir futuras situaciones similares.

Pero, entonces, ¿Qué debemos hacer exactamente en caso de que se produzca un incidente? Debemos seguir un guion (adaptado y personalizado a nuestra empresa). Ese guion se traduce en unas pautas a seguir en determinadas fases de actuación o de evolución del propio ciberincidente, que también determina el NIST:

  • Fase de Preparación. El incidente aún no ha tenido lugar pero la empresa ya se prepara para ello, con el objetivo de estar prevenidos y saber cómo actuar cuando suceda. Los responsables de la ciberseguridad deben definir y establecer los controles, políticas, procedimientos y equipos de respuesta adecuados. Además se pueden realizar ejercicios de simulación para estar preparados para cuando algo ocurra realmente.
  • Fase de Detección. Cuanto antes nos demos cuenta, antes reaccionaremos y menos impacto tendrá el incidente, por lo que la detección temprana es vital. Para poder hacerlo, las empresas deben contar con herramientas de monitorización (tráfico por la red, estado de sistemas y dispositivos, etc.). Recabar toda la información y todas las evidencias posibles, a efectos de un forense informático posterior, también es de mucha importancia.
  • Fase de Análisis. Cuando se ha detectado el incidente, debemos conocerlo, saber cómo actúa y valorar su peligrosidad potencial. El análisis del tráfico de red por ejemplo, nos ayuda a identificar actividad sospechosa, patrones no habituales, comportamientos extraños, etc. Con ello conoceremos no solo el origen del incidente, sino su gravedad, alcance y naturaleza.
  • Fase de Contención. Es el momento de actuar para detener, por lo que la empresa debe de tomar medidas para evitar la propagación del ataque (isolation o aislamiento de sistemas afectados, desactivación de cuentas comprometidas, aplicación de actualizaciones y parches disponibles, etc.).
  • Fase de Erradicación. Ahora ya podemos eliminar la amenaza que ha causado el incidente e incluso dejar sin capacidad de actuación al ciberatacante.
  • Fase de Recuperación. Tratemos de volver a la normalidad aunque, de momento (y es muy probable) ésta no pueda ser aún del 100% como antes del ciberincidente. La empresa debe restaura sistemas y servicios afectados, realiza pruebas, garantizar que ya no existe amenaza e ir asegurando la continuidad del negocio.

Hasta aquí llegaría el marco de actuación del NIST, pero, además, sugiere realizar otras actividades de interés y relevancia, aunque sea a toro pasado, que dependerán de cada empresa.

La primera de ellas es tomar nota de las lecciones aprendidas. Como decíamos, la experiencia es madre de la ciencia y, por tanto, aprendamos del incidente sufrido. Debemos evaluar lo sucedido desde todas las perspectivas y anotar lo que se hizo bien, lo que se hizo mal, el por qué salió bien o mal y los resultados.

Al final deberíamos tener un documento de best practices e incluso, de esa recopilación y reflexión, deberíamos poder generar, enriquecer y mejorar el plan corporativo de respuesta a incidentes que nos servirá el día de mañana como guion para actuar en caso de nuevos incidentes.

En todo este proceso debemos tener en cuenta además aspectos también importantes como la coordinación, la colaboración, la comunicación, la correcta gestión y preservación de evidencias del ataque.

Como ves, no es algo tan trivial como parece y debe ser definido y guiado por expertos en ciberseguridad.

Nuestro servicio de Respuesta Ante Incidentes, presta a las organizaciones apoyo técnico en la evaluación y contención de los incidentes de seguridad que tu empresa pueda sufrir, con un personal experto te ayudará a contener el problema y a tomar las medidas necesarias para restablecer el servicio.

¿Hablamos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.













Labels: , , , , , , , , , , , , ,

Descifrando DDs de discos cifrados con Bitlocker durante un análisis forense digital



Hola a todos. Al hilo del artículo sobre análisis de intrusiones vía Team Viewer que compartí recientemente en Flu Project, me consultaba un compañero de sector sobre como abordar aquellos casos forenses en los que nos encontrábamos con un disco cifrado con Bitlocker. En estos casos es cierto que el procesado de un clonado dd no es inmediato, y tecnologías como Autopsy no aceptan, al menos sin scripts o plugins, el descifrado de estos discos, por lo que se hace necesario realizar un descifrado previo antes de poder pasárselo a una herramienta de análisis. Por suerte, ya existen herramientas que podemos utilizar, y una de las más usadas es bdemount.

De bdemount no hay mucho que contar. Como su propia descripción indica, mounts a BitLocker Drive Encryption (BDE) encrypted volume. Lo que sí necesitaremos conocer de antemano es, obviamente, la contraseña, y, a continuación, el offset donde comienza la partición. Hay vías para obtener la clave de bitlocker a partir de un dump de memoria con alguna herramienta como Volatility, pero eso lo dejaré para posteriores artículos.

Una vez clonado el disco del forense en formato dd, podremos listar su contenido mediante fdisk -l (el que esté o no cifrado no impide el clonado, por lo que hasta este punto no deberíamos tener mayores inconvenientes): 


Es posible que el disco contenga varias particiones, y la que os interese sea una en concreto, la cifrada. Esto lo podréis averiguar con el propio Autopsy o FTK Imager de forma visual:


O si sois más consoleros, con Hexdump:


Para saber si una partición se encuentra cifrada con Bitlocker podréis mirar los primeros bytes y os encontraréis con la siguiente cadena: "-FVE-FS-". Os dejo con un enlace muy interesante donde se dan muchos detalles técnicos acerca del cifrado de Bitlocker:

https://forensicswiki.xyz/wiki/index.php?title=BitLocker_Disk_Encryption

Con la partición de interés identificada, solo restará montarla de forma descifrada. Para ello, os dejo a continuación los parámetros a utilizar:

sudo bdemount -pCONTRASEÑA -o $((512*OFFSET)) clonadoforense.dd /media/destino

Recordad tener previamente una carpeta con permisos de escritura en destino. 


Ahora podréis trabajar con ella como consideréis. Podréis hacer otro dd de la partición descifrada, podréis analizarla desde, por ejemplo, la versión de Autopsy para Linux, podréis extraer archivos concretos como, por ejemplo, los logs de acceso a determinada aplicación, etc. etc.

Además de bdemount, también podréis utilizar otras herramientas como Dislocker para descifrar una partición cifrada con Bitlocker. Dislocker está disponible entre las herramientas de Kali. Os dejo con un post interesante de Stefan Rows, donde no solo explica como instalar y utilizar Dislocker, sino que también detalla como preparar un script de automontaje:

https://www.ceos3c.com/linux/open-bitlocker-drive-linux/

Finalmente, y por aportaros algo más de lectura sobre descifrado de Bitlocker para esta semana, quería dejaros por aquí un hilo de Twitter con el que me topé gracias a DragonJAR:


Una joya de hilo de Jon Aubrey, en el que muestra como logró descifrar precisamente, con Dislocker, un portátil cifrado, extrayendo la clave a nivel de hardware con un analizador de Saleae:



Con este hilo tendréis lectura para cacharrear un buen rato con algún portátil que tengáis a mano :)

Espero que haya sido de vuestro interés.

¡Saludos!

Labels: , , , , , , ,

No te pierdas nuestro artículo para Revista SIC sobre fugas de información

Ya ha sido publicado el nº 151 de Revista SIC, una de las revistas bimestrales más importantes del sector de la ciberseguridad, donde este mes hemos tenido la oportunidad de contribuir con un artículo dedicado a las fugas de información que investigamos desde el área forense de Zerolynx. El artículo, publicado por nuestro CEO, Juan Antonio Calles, y nuestra Manager responsable de RRHH, Lucía González, trata, con una cuidada sátira, el problema de las fugas de información propiciadas por exempleados. Un tema que en muchas ocasiones pasa desapercibido pero que por desgracia sufren cientos de empresas cada día.  


El artículo puede ser visualizado a partir de la página 128 del número de septiembre, descargable gratuitamente desde el siguiente enlace: https://revistasic.es/sic151/revistasic151.pdf.



Labels: , , ,

Estafas por SMS, un problema que no cesa



Las estafas originadas por el envío de mensajes SMS fraudulentos no dejan de crecer. Cada vez es más habitual que nos lleguen falsas ofertas de empleo, intentos de recuperar nuestras contraseñas del banco o mensajes para retirar un paquete o reprogramar un envío de cualquier tienda online por no encontrarnos en nuestro domicilio.

Si bien es un modus operandi habitual entre la ciberdelincuencia, las constantes filtraciones sufridas por grandes empresas de todo el mundo han ocasionado un repunte sin precedentes. Ya no se libra prácticamente nadie. Antes, sin caer en un phishing web era extraño recibir este tipo de ataques, pero a día de hoy esto ya no es un indicativo porque... ¿Quién no ha registrado su teléfono móvil en la web de un proveedor de luz, agua o gas? ¿Quién no ha dado su teléfono a la compañía de seguros, a la plataforma de TV en streaming o a una red social? Y sí, muchas de ellas han sufrido algún tipo de filtración en los últimos años entre las que se incluían nuestros correos o teléfonos. Por tanto, el delincuente únicamente ha tenido que adquirir estas filtraciones en los habituales foros de venta de datos robados de la Dark Web, o acceder a ellos si han acabado publicados en algún leak público en Internet.

El crecimiento ha sido tal, que desde el equipo forense de Zerolynx hemos estado paralelizando casos constantemente, con cantidades estafadas por persona de entre 10.000 € y 150.000 € (y cantidades mucho mayores, pero en otros casos forenses relacionados especialmente con el ransomware, y de los que os hablaremos en posteriores artículos). Estos robos generalmente son realizados por mulas mediante retiros de efectivo en cajeros, halcash y compras online. En varios de ellos hemos dado con el origen de la estafa, pero que por desgracia no dejaban de ser saltos intermedios sin una vía de estudio por la que continuar, al menos, por nuestras competencias como empresa privada. Por ejemplo, en uno de los casos dimos con un varón en Galicia que vendía artículos en Wallapop y que sin saberlo estaba distribuyendo este tipo de mensajes fraudulentos por un malware que tenía instalado en su terminal móvil Android, en otro de los casos dimos con una mujer de nombre francés de la zona de Saint-Denis, en Francia y en otro dimos con una persona de Mauritania que enviaba estos mensajes desde Marruecos. Toda esta información siempre se la facilitamos a la justicia en nuestros informes forenses (o de investigación privada, según proceda) para que puedan continuar ellos el trabajo mediante, principalmente, requerimientos judiciales. 

Recuperar el dinero no suele ser una posibilidad, al delincuente le bastan unos minutos para coger el dinero y desaparecer, por lo que ya es cuestión de realizar los trámites que correspondan con los seguros que tengamos contratados, bancos y proveedores de tarjetas. Sin embargo, muchos clientes nos están pidiendo informes periciales ya no solo para anexarlos en las denuncias ante la justicia, sino para presentarlos precisamente a sus bancos y aseguradoras con el fin de evidenciar la estafa, y que puedan resarcirles ante esa pérdida.

En Zerolynx contamos con material forense especializado para atender prácticamente cualquier tipo de investigación sobre dispositivos electrónicos, y los móviles no son una salvedad. En cuestión de horas somos capaces de clonar y extraer con todas las garantías forenses y de cadena de custodia, toda la información, para que puedas continuar utilizando el dispositivo en el menor tiempo posible, mientras nosotros continuamos con nuestro trabajo de investigación.

Si has sufrido una estafa de este tipo y deseas denunciar (cosa que siempre recomendamos), o deseas presentar un informe forense digital ante un tercero, como pueda ser tu banco, o tu aseguradora, no dudes en contactarnos a través del correo o teléfono indicados en nuestro sitio web.



Labels: , ,

Análisis forense digital de correos electrónicos en Microsoft Office 365

 Antecedentes

Con el avance de la nube y la automatización de los procesos en las empresas, Microsoft Office 365 se está extendiendo de forma imparable, sustituyendo a las clásicas instalaciones de Exchange que requerían de un mayor mantenimiento y control. Sin embargo, la nube trae cambios, y toca adaptarse a un sinfín de nuevas configuraciones, nuevas vías para hacer las cosas a las que ya estábamos habituados y nuevos modos de licenciamiento.

Desde el punto de vista forense, los peritos teníamos diferentes opciones para presentar un dictamen pericial que diese fe de la existencia de determinados correos electrónicos dentro de un buzón. Entre otras opciones destacadas, y atendiendo al principio de siempre “clonar” el mayor contenedor, podíamos acceder a Exchange para exportar el buzón de correo del usuario, podíamos clonar el propio servidor de correo, o incluso, el disco duro del PC del propio usuario del que luego extraer el PST. Sin embargo, todo esto está cambiando. Los servidores ahora están en un proveedor externo, Microsoft (como ya pasaba si teníamos contratado un hosting en modo SaaS), y los usuarios se están habituando a utilizar Office 365 desde su navegador. Y, en estas circunstancias, ¿cómo clonaríamos un buzón de correo electrónico manteniendo todas las garantías de integridad forense? De eso os hablaremos en este artículo.

Introducción

Desde Zerolynx realizamos periciales forenses todos los meses, principalmente derivadas de clientes que nos llaman tras haber sufrido una Estafa del CEO, con el objetivo de, por un lado, analizar el fallo de seguridad que ha propiciado la interceptación del correo, para tratar de ponerle solución, y, por otro lado, para facilitarles la judicialización del caso y la posible recuperación del dinero. Pero sobre estos casos os hablaremos en otro artículo, hoy nos queremos centrar únicamente en Office 365.

Lo primero que tenemos que conocer es que Microsoft tiene diferentes modos de licenciamiento, en función del número de herramientas y funcionalidades incluidas. Y, la seguridad avanzada, solo se encuentra incluida en el plan E5. Dejo este dato aquí reflejado porque más adelante volveremos a ello.

 


La mayor parte de las empresas que trabajamos con Office 365 contamos con el plan E1 o E3, que, por lo general, cubre casi todas las necesidades de las organizaciones. 

Problemática

Cuando desde Zerolynx comenzamos a realizar forenses sobre Office 365, nos mantuvimos trabajando con cierta normalidad, clonando los equipos de los usuarios donde tenían sincronizados sus buzones (dentro del cliente de Outlook), hasta que surgió un caso forense donde esto no era una posibilidad. Obviando la complejidad del caso, que no aporta mayor detalle para contextualizar el artículo en sí, nos dirigimos a la consola de Office 365 con un usuario con los privilegios correspondientes que nos facilitó el cliente, con el objeto de acceder, congelar el buzón para tener una copia íntegra e inmutable que garantizase que siempre obtendríamos la misma firma hash, y descargarlo.

A continuación, mostramos brevemente el proceso de descarga del buzón, ampliamente documentado en multitud de artículos en Internet.

 


Selección del buzón de correo

Detalle de resultados


Exportación de la información


Descarga de los resultados


Una vez descargado el PST, procedimos a firmar el archivo, obteniendo el correspondiente hash SHA256. Y, como siempre tenemos que hacer los forenses para garantizar la integridad, y como buena costumbre, lo descargamos de nuevo y lo volvimos a firmar para verificar que el proceso funcionaba correctamente, y que, en caso de contrapericial, la futura extracción sería idéntica a la actual. Pues cual fue nuestra sorpresa que, a pesar de tener el buzón aparentemente inmovilizado, el hash no coincidió. ¿Qué estaba pasando? Aunque ya teníamos más o menos claro lo que estaba ocurriendo, abrimos un caso con Microsoft, y aprovechamos para debatir el tema en paralelo con otros MVPs que, como nosotros, están lidiando regularmente con estas tecnologías. Y, a los pocos días obtuvimos la siguiente respuesta:

 



Pues sí, al contrario de lo que cabría pensar, Microsoft modifica los archivos en tiempo real durante cada descarga, añadiendo determinados bytes que alteran su contenido, y, por tanto, su hash. Por tanto, no es posible descargar un buzón de correo completo manteniendo su integridad.

En estas circunstancias y con algo de pensamiento lateral, aun podía justificarse la situación en el informe pericial, contando el problema tecnológico, e, irremediablemente, extrayendo el “msg” del correo a ratificar en sí, firmando, aunque fuese este último, con el fin de evidenciar que, si se extrajese en el futuro de una nueva descarga, se obtendría el mismo hash. Pero, de nuevo nos llevamos una sorpresa, los msg tampoco eran íntegros, y en ellos también se incluían determinados nuevos bytes con cada descarga. 

Por tanto, solo quedaba una solución, y es la que refleja Microsoft como respuesta en su caso, adquirir una licencia de tipo E5, la cual, y con la opción Advanced eDiscovery sí permite generar un hash “online” y garantizar dicho hash durante las descargas.

Anteriormente, éramos las empresas que nos dedicábamos a forense quienes debíamos adquirir las herramientas necesarias para realizar las clonaciones y los análisis, pero, con el nuevo enfoque de la nube, todo se dirige a que sean los clientes quienes tengan ahora que comprar estas herramientas y darnos acceso a los forenses para poder trabajar.

Para que veáis como se generaría el hash con una licencia E5, os compartimos a continuación algunas capturas del proceso.

 

Acceso a Advanced eDiscovery


Creación del caso


Posteriormente, se crearía una suspensión de la cuenta de correo para preservar el contenido del buzón de forma íntegra.


 Suspensión de la cuenta de correo


Detalle de suspensión de la cuenta seleccionada y filtros de fecha

A continuación, se asignaría un custodio al caso:


Asignación de Custodio


Más adelante, se crearía una colección, es decir, se seleccionaría el contenido completo del buzón que sería descargado:


Detalle de la Colección

En este punto, se crearía un conjunto de revisión que sería asignado a la colección anteriormente definida:


Creación de Conjunto de Revisión


Asignación de Conjunto de Revisión a Colección

Y, finalmente, se generaría el archivo de exportación forense:

 

Exportación de la información


Una vez generada la exportación, se procedería a su descarga.


Descarga de los resultados


Una vez descargado, este ya sí, mantiene su integridad y, por tanto, garantiza su hash en el tiempo.

Conclusión

Lo más importante en un informe pericial es ser claros, garantes y concluir sin lugar a duda, que nuestras premisas son las correctas. Es cierto que se puede garantizar la inmutabilidad del contenido de una evidencia aun modificándose su firma hash, pero si podemos evitarlo, en este caso, contratando una nueva licencia, nos ahorraremos explicaciones y preguntas durante la ratificación en la sede judicial. Por tanto, antes de comenzar un análisis forense de Office 365, aseguraos de que vuestro cliente cuente con una licencia de tipo E5 a la que pueda daros acceso, o, de lo contrario, el tema puede que os de algún que otro quebradero de cabeza.


Juan Antonio Calles, CEO de Zerolynx

Jorge Escabias, Responsable de Seguridad Ofensiva

Mauro de Croce, Analista de Ciberseguridad

Labels: , , , , , , , ,

Undécimo aniversario de Flu Project



Hoy Flu Project celebra su undécimo aniversario. Hace 11 años, Pablo González y nuestro CEO, Juan Antonio Calles, fundaron este medio de noticias de ciberseguridad que trata tanto hacking como inteligencia y forense digital. Durante sus primeros años siempre tuvo mucho tráfico de visitas pero lo que realmente da nombre a este exitoso blog son sus herramientas, como "Liberad a WiFi", que con más de 10 millones de descargas se convirtió en referencia en el crackeo de Redes Wireless entre 2011 y 2013, o "Anubis”, que desde 2011 ha sido una de las herramientas de hacking más utilizadas para labores de Footprint y Fingerprint, y sus libros, como "Powershell: La navaja suiza de los administradores de sistemas" de Pablo González, "La biblia del Footprinting" de Juan Antonio Calles o "Un forense llevado a Juicio", de Juan Luis G. Rambla, entre otros. 

De esta forma, Flu Project se ha posicionado como uno de los blogs de ciberseguridad de referencia en el sector que cuenta con más de 10 millones de visitas y 2000 artículos especializados. Pero, como sus propios fundadores dicen, estos números no serían posibles sin todos los seguidores, colaboradores, amigos y profesionales que han participado en el proyecto y han conseguido convertirlo en una gran familia. 

¡Enhorabuena! Os deseamos muchos más años de crecimiento. 

Labels: , , , , , , , ,
Suscribirse a: Comentarios (Atom)