SQLInyection Informe

Fecha: 16-06-14
Nombres: 

Joan Mir
Manuel Alejandro Asenjo




Trabajo: La situación es que se ha ocasionado un incidente (troyano) a través del SQL Inyection recibido por un Email a través de un Iphone 4 (con jailbreak), no actualizado, este usuario al abrir el email produjo un ataque al Kernell de Windows a través de un Rootkit (que ha borrado los logs y cualquier tipo de información que nos pudiera servir para localizar la incidencia).

Objetivo: localizar el punto de inicio de la incidencia, a través de quién y cómo se produjo.

Alcance: saber los inconvenientes que ocasionan el incidente, los fallos, rutinas y grado de afectación que ha tenido dentro de la organización.

Herramientas: Monitorización de red, filtros de detección de IP sospechosas, Monitorización de la red Wifi.

Se descubre una incidencia de nivel medio, gracias a la conversación de un usuario que se vanagloria de tener un iphone 4 con jailbreak, a partir de aquí, nos ponemos en contacto con el departamento de recursos humanos para verificar el perfil del usuario, y buscamos el nivel de usuario que posee esta persona.

Acotando la monitorización a la red wifi, detectamos que se intenta conectar en forma permanente a IP sospechosas, haciendo pasar como un compañero sin conocimientos le solicitamos que nos muestre el Iphone 4 y nos explique el proceso del jailbreak; comentándonos que para realizarlo no se debe actualizar (el upgrade) del dispositivo y utilizar un serie de software que se puede localizar por internet.

Recopilamos la información y las evidencias que él nos cedió. 

Realizando un informe y auditando los ordenadores detectamos que el Windows se comportaba de forma sospechosa enviando unos paquetes de datos en forma intermitente.

Recogiendo un ordenador y llevándolo a la sala de pruebas, localizamos un rootkit en el kernel de Windows, procedimos a limpiarlo con éxito. Antes de limpiar el resto de PC, se presenta otro informe al jefe de área del usuario para que sancionen al usuario por no cumplir con las políticas de actualización y de buen uso de los sistemas móviles de la empresa y entregue el iphone 4 para su estudio.

Realizando un estudio del Iphone 4 y del jailbreak se desprende que: la incidencia fue recibida a través del correo electrónico de la empresa, a través de los puertos abiertos y la información que recauda al estar rooteado el iphone.
El nivel de riesgo pasa ha ALTO, informando a las autoridades de la organización, las evidencias y recomendaciones.

Con las distintas herramientas que tenemos no pudimos localizar desde dónde fue enviado pero gracias a esta incidencia; se recomienda: instalar una aplicación que detecte la modificación o el mal uso del móvil, pudiendo ser una app de tercero y con costos mínimos para la empresa. 

Verificar los sistemas y modificarlos ya que los IDS e IPS, no localizaron el troyano a tiempo, porque provenía del correo de la empresa.

El tiempo estimado para eliminar el troyano (rootkit) por cada equipo infectado es de dos horas con un total de 72 horas de trabajo.

Se deberá realizar una formación al personal de mantenimiento de IDS e IPS para complementar y mejorar el sistema.

La auditoría del sistema nos revela que no ha afectado a los sistemas de atención al cliente, ni al normal funcionamiento del sistema; pero no hemos podido determinar con precisión la información afectada, ni el alcance; recomendando al comité de dirección de contratar a expertos en informática forense para profundizar el impacto del incidente.

Atte. Fdo: Joan Mir y Manuel Alejandsenjo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*