-
Caso prctico de gestin de incidente
Convenio CNPIC - INTECO
05/03/2013
-
2 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Da 0: Deteccin
-
3 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Deteccin campaa SPAM
-
4 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Muestra del correo
Fuente: Symantec
-
5 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
PDF adjunto
Fuente: Symantec
-
6 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del adjunto
Muestra
malware
Procesos
automticos
Anlisis
manual
Generacin de
informe
Servidor
recepcin
malware
-
7 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del adjunto
-
8 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del adjunto
-
9 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del adjunto
-
10 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del trfico de red
-
11 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Anlisis del trfico de red
-
12 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Identificar servidor/es C&C
Fuente: Gdata y KasperskyLab
-
13 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Alerta temprana
-
14 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Cooperacin con FCSE
Sinkhole del servidor C&C
-
15 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Sinkhole
Servidores DNS
Servidor Web
Sistema para monitorizacin: Registros log servidor web Cdigo
propio para obtener mas detalle (POST)
-
16 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Da 1: Monitorizacin, identificacin y
notificacin
-
17 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Monitorizacin
-
18 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Identificar bots
Parseo de los log
Whois interno con contactos privados (empresas, ISP, CERT)
$ whois h whois.cert.inteco.es 195.53.165.3 3352 | 195.53.165.3
| 195.53.165.0/24 | ES | Ripe | n:[email protected]
a:[email protected] p:[email protected]
r:[email protected] | TELEFONICA-DATA-ESPANA TELEFONICA DE
ESPANA
-
19 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Identificar bots
AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name 15083
| 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:[email protected]
r:[email protected] | INFOLINK-MIA-US - Infolink 16276 |
91.121.6.93 | 91.121.0.0/18 | FR | Ripe |
n:[email protected] r:[email protected] | OVH OVH Systems
42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe |
n:[email protected] r:[email protected] | FREEHOST PE Freehost 16125 |
77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:[email protected]
r:[email protected] | DC-AS UAB Duomenu Centras 49699 | 91.230.194.54
| 91.230.192.0/22 | BG | Ripe | n:[email protected] r:[email protected] |
ICN-BG Internet Corporated Networks Ltd. 41671 | 194.54.80.68 |
194.54.80.0/22 | UA | Ripe | n:[email protected] r:[email protected] |
SERVER-UA-AS SERVER.UA UKRAINE DEDICATED SERVICE 51167 |
178.238.238.59 | 178.238.224.0/20 | DE | Ripe |
n:[email protected] r:[email protected] | GIGA-HOSTING
Giga-Hosting GmbH 3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe
| n:[email protected] a:[email protected]
p:[email protected] r:[email protected] |
TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA 38478 | 124.248.207.207
| 124.248.207.0/24 | HK | Apnic | n:[email protected]
r:[email protected] | SUNNYVISION-AS-AP SunnyVision
Limited 52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic |
r:[email protected] | Panamaserver.com 12046 | 193.188.46.32 |
193.188.46.0/23 | MT | Ripe | n:[email protected]
r:[email protected] | ASN-CSC-UOM University of Malta
-
20 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Detalle tcnico del incidente
Reglas para la deteccin (snort)
IOC (Indicators of Compromise)
Notificacin
-
21 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Notificacin
-
22 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Notificacin
-
23 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Notificacin
-
24 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Snort
-
25 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
IOC
-
26 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Da 1 y posteriores: Anlisis y seguimiento
-
27 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Identificar el/los sistema/s afectado/s, ayudado por: Reglas
para la deteccin (snort) IOC (Indicators of Compromise)
Contencin: aislando el/los sistema/s y recopilando
evidencias de forma segura y adecuada: Copia de memoria Copia
del disco duro Anlisis del trfico de red
Aportando guas y procedimientos que permitan garantizar la
validez de estas evidencias ante un posible proceso judicial.
Anlisis
-
28 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Medidas de mitigacin: Deteccin y filtrado en IPS Deteccin y
filtrado en proxies Deteccin y filtrado en servidores DNS
Anlisis forense Aportando guas y procedimientos En caso
necesario, con apoyo tcnico del CERT
Anlisis
-
29 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Seguimiento
-
30 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Da 2: nuevos C&C
-
31 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Nuevos C&C
Como parte del anlisis manual y tras descifrar parte del cdigo
del malware se detectan nuevos C&C que puede utilizar el
malware.
Actualizacin de la alerta temprana
Reporte a los afectados para actualizar las medidas de
mitigacin
Coordinacin internacional con otros CERT y policas para tratar
de bloquearlos o hacer sinkhole
-
32 Caso prctico de gestin de un incidente Javier Berciano
(INTECO)
Cooperacin internacional
-
Gracias por su atencin
