Upload
junior00
View
212
Download
0
Embed Size (px)
DESCRIPTION
3_1
Citation preview
Caso prctico de gestin de incidente
Convenio CNPIC - INTECO
05/03/2013
2 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Da 0: Deteccin
3 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Deteccin campaa SPAM
4 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Muestra del correo
Fuente: Symantec
5 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
PDF adjunto
Fuente: Symantec
6 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del adjunto
Muestra
malware
Procesos
automticos
Anlisis
manual
Generacin de
informe
Servidor
recepcin
malware
7 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del adjunto
8 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del adjunto
9 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del adjunto
10 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del trfico de red
11 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Anlisis del trfico de red
12 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Identificar servidor/es C&C
Fuente: Gdata y KasperskyLab
13 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Alerta temprana
14 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Cooperacin con FCSE
Sinkhole del servidor C&C
15 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Sinkhole
Servidores DNS
Servidor Web
Sistema para monitorizacin: Registros log servidor web Cdigo propio para obtener mas detalle (POST)
16 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Da 1: Monitorizacin, identificacin y
notificacin
17 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Monitorizacin
18 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Identificar bots
Parseo de los log
Whois interno con contactos privados (empresas, ISP, CERT)
$ whois h whois.cert.inteco.es 195.53.165.3 3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected] a:[email protected] p:[email protected] r:[email protected] | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA
19 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Identificar bots
AS | IP | BGP Prefix | CC | RIR | Abuse Contacts | AS Name 15083 | 69.60.114.138 | 69.60.116.0/22 | US | Arin | n:[email protected] r:[email protected] | INFOLINK-MIA-US - Infolink 16276 | 91.121.6.93 | 91.121.0.0/18 | FR | Ripe | n:[email protected] r:[email protected] | OVH OVH Systems 42331 | 91.206.30.201 | 91.206.30.0/23 | UA | Ripe | n:[email protected] r:[email protected] | FREEHOST PE Freehost 16125 | 77.79.13.17 | 77.79.12.0/23 | LT | Ripe | n:[email protected] r:[email protected] | DC-AS UAB Duomenu Centras 49699 | 91.230.194.54 | 91.230.192.0/22 | BG | Ripe | n:[email protected] r:[email protected] | ICN-BG Internet Corporated Networks Ltd. 41671 | 194.54.80.68 | 194.54.80.0/22 | UA | Ripe | n:[email protected] r:[email protected] | SERVER-UA-AS SERVER.UA UKRAINE DEDICATED SERVICE 51167 | 178.238.238.59 | 178.238.224.0/20 | DE | Ripe | n:[email protected] r:[email protected] | GIGA-HOSTING Giga-Hosting GmbH 3352 | 195.53.165.3 | 195.53.165.0/24 | ES | Ripe | n:[email protected] a:[email protected] p:[email protected] r:[email protected] | TELEFONICA-DATA-ESPANA TELEFONICA DE ESPANA 38478 | 124.248.207.207 | 124.248.207.0/24 | HK | Apnic | n:[email protected] r:[email protected] | SUNNYVISION-AS-AP SunnyVision Limited 52284 | 190.123.43.189 | 190.123.32/20 | PA | Lacnic | r:[email protected] | Panamaserver.com 12046 | 193.188.46.32 | 193.188.46.0/23 | MT | Ripe | n:[email protected] r:[email protected] | ASN-CSC-UOM University of Malta
20 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Detalle tcnico del incidente
Reglas para la deteccin (snort)
IOC (Indicators of Compromise)
Notificacin
21 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Notificacin
22 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Notificacin
23 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Notificacin
24 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Snort
25 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
IOC
26 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Da 1 y posteriores: Anlisis y seguimiento
27 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Identificar el/los sistema/s afectado/s, ayudado por: Reglas para la deteccin (snort) IOC (Indicators of Compromise)
Contencin: aislando el/los sistema/s y recopilando
evidencias de forma segura y adecuada: Copia de memoria Copia del disco duro Anlisis del trfico de red
Aportando guas y procedimientos que permitan garantizar la validez de estas evidencias ante un posible proceso judicial.
Anlisis
28 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Medidas de mitigacin: Deteccin y filtrado en IPS Deteccin y filtrado en proxies Deteccin y filtrado en servidores DNS
Anlisis forense Aportando guas y procedimientos En caso necesario, con apoyo tcnico del CERT
Anlisis
29 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Seguimiento
30 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Da 2: nuevos C&C
31 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Nuevos C&C
Como parte del anlisis manual y tras descifrar parte del cdigo del malware se detectan nuevos C&C que puede utilizar el malware.
Actualizacin de la alerta temprana
Reporte a los afectados para actualizar las medidas de mitigacin
Coordinacin internacional con otros CERT y policas para tratar de bloquearlos o hacer sinkhole
32 Caso prctico de gestin de un incidente Javier Berciano (INTECO)
Cooperacin internacional
Gracias por su atencin