Universitat Autnoma

de Barcelona
MISTIC M1.703 - Seguretat en xarxes
Prctica 1
Curs 2014-2015
Semestre 1
Criteris davaluaci i condicions dentrega
Per a qualsevol dubte i/o aclariment sobre lenunciat heu de dirigir-vos al
consultor responsable de la vostra aula.
Sha dentregar la soluci en un arxiu, preferiblement, en format PDF
El nom de larxiu ha de ser CognomNom_assignatura_LAB1 amb extensi
.pdf
Per al segon exercici heu dentregar tamb larxiu amb nom
CognomNom_assignatura_LAB1_rule.snort
Raoneu la resposta en tots els exercicis i indiqueu tots els passos que heu
realitzat per obtenir la soluci.
Les respostes sense justicaci, que siguin copia duna font dinformaci
i/o que no continguin les referncies utilitzades, no rebran cap puntuaci.
La data lmit per lentrega ser el dia 1 de desembre del 2014 abans de
les 23:59h. Lentrega es realitzar mitjanant el RAC (Registre dAvaluaci
Continuada).
Enunciat
Recentment diverses companyies shan posat en contacte amb el CSIRT (Computer Security Incident
Response Team) de lempresa de seguretat per a la que treballeu. Aquestes empreses formen part del
conjunt de clients als quals oferiu diversos serveis de seguretat. Les empreses han sollicitat realitzar un
anlisi denginyeria inversa sobre un conjunt darxius PDF sospitosos. Els arxius han estat rebuts per
diversos usuaris de les empreses via correu electrnic. Aparentment, totes elles han sofert incidents de
seguretat amb caracterstiques similars desprs de lapertura de tals arxius. La primera hiptesis apunta
a que sengles arxius exploten una vulnerabilitat de tipus 0-day sobre un lector darxius PDF molt com,
i que aix ha desencadenat els incidents posteriors. La sospita es fa ms evident al vericar que tots els
usuaris que van rebre els emails utilitzen el mateix lector darxius PDF.
El departament responsable de realitzar lenginyeria inversa porta treballant tota la nit analitzant els
arxius PDF. El seu objectiu s intentar determinar quina vulnerabilitat exploten, aix com esclarir
la seva nalitat. Un primer anlisi esttic revela que els arxius PDF contenen malware incrustat que
possiblement s executat grcies a la vulnerabilitat 0-day. Desprs dextreure i allar el malware dels
PDF, es procedeix al seu anlisi mitjanant leina IDA. Malgrat els esforos realitzats pels analistes, les
tcniques de polimorsme, anti-disassembly i anti-debugging incloses en el malware fan daquest procs
una tasca lenta i rdua. Durant la nit, un dels ltims txatges en el departament i antic alumne del
MISTIC suggereix realitzar un anlisi dinmic. En concret, proposa analitzar si el malware incrustat en
els arxius PDF genera algun tipus de trc de xarxa. Lanlisi revela que el malware incls en els arxius
PDF es tracta, en realitat, dun downloader.
Amb lobjectiu de determinar els sistemes infectats, i mentre no es genera un peda que solucioni la
vulnerabilitat dels sistemes infectats, se us proposa escriure una nica regla per Snort que detecti la
presncia del downloader a partir del trc de xarxa. La nalitat s desplegar tal regla en els NIDS de les
vostres empreses client. Per aix, se us proporcionen varis txers que contenen el trc de xarxa generat
per sis variants trobades del downloader. Aquests txers estan en format PCAP (Packet CAPture), el
qual s mpliament utilitzat per diverses eines danlisi i manipulaci de paquets de xarxa.
Els arxius mencionats, els seus valors hash SHA256, i els enllaos de descrrega sn els segents:
1
Universitat Autnoma
de Barcelona
MISTIC M1.703 - Seguretat en xarxes
Prctica 1
Curs 2014-2015
Semestre 1
# Mostra Valor SHA256 Link
1 b2ac93e5869a49005db1d3180f20b31e2226c3ae512618103e8670889cc2738b
2 d79ce8334a697c38f50794fe5a7a3a95d10c9e9b32eb45f42e7a3ccd6a5af98f
3 8ababde23ee6b8d26e07332f752d5618b38a5c568ca9e3b40e5dea5d07110d30
4 cfd4e2765ecc0f467926f3355a4335a0225cf7bcdc45bab6778ec38f3a52e5be
5 0669c7de94c054182712a4cb9994b3a78fc4a48f9dc29b4e11198fd89f4d6f14
6 f75428cbe1cd5fcfae9042112e35885adc8efd37d8abe175e381424e16160616
Taula 1: Arxius .pcap capturats de les diferents variants
Tenint en compte lenunciat descrit anteriorment, resoleu cadascun dels segents exercicis i responeu a
les preguntes que se us formulen. Recordeu que heu de raonar les respostes i indicar tots els passos que
heu realitzat per obtenir la soluci.
Pels exercicis 2 i 3 haureu dinstallar-vos el programari de virtualitzaci VirtualBox (https://www.
virtualbox.org/) i desprs crear amb aquest una mquina virtual de tipus GNU/Linux. Congureu
tal mquina virtual amb 512MB de RAM i utilitzeu com a disc dur virtual larxiu MISTIC.vdi. Aquest
arxiu lobtindreu desprs de descomprimir el txer que est disponible a la URL http://deic.uab.es/
~scastillo/mistic.zip. En aquesta mquina virtual trobareu installat Snort i diversos editors de
textos. Utilitzeu lusuari root per realitzar els exercicis, el qual t com a paraula de pas mistic2014. En
el $HOME daquest usuari existeix el directori pcaps a on ja estan disponibles els arxius de les captures.
Exercici 1 (2 punts)
Installeu en el vostre sistema lanalitzador de paquets Wireshark que podreu obtenir de http://www.
wireshark.org/, i descarregueu els arxius .pcap mencionats anteriorment. Obriu amb aquesta eina
cadascun dels arxius i responeu a les segents preguntes:
Busqueu a Internet i deniu quina s la nalitat del malware de tipus downloader. Concorda
aparentment la denici amb la seqncia i el contingut dels paquets que mostra Wireshark amb
cadascuna de les variants? Per qu?
Qu protocol/s de la capa daplicaci utilitza el downloader?
A partir de les adreces IP a les que es connecta el downloader per realitzar les descrregues, i
utilitzant el protocol whois, podeu dir quina podria ser la procedncia geogrca del malware? Per
a realitzar aquest apartat podeu utilitzar la comanda whois dels sistemes *NIX, o b serveis online
como per exemple http://whois.domaintools.com.
Exercici 2 (2 punts)
Escriviu una nica regla de tipus alert per Snort que permeti detectar les variants de malware trobades,
i qualsevol altra potencialment futura. Per aix, baseu-vos exclusivament en els cinc primers arxius .pcap,
i ignoreu el sis que el farem servir pel segent exercici. Us recomanem que consulteu el manual dusuari
de Snort que trobareu a http://www.snort.org/docs; en concret, us ser dutilitat el captol nmero
tres. Tingueu en compte que la regla ha de complir les segents restriccions:
2
Universitat Autnoma
de Barcelona
MISTIC M1.703 - Seguretat en xarxes
Prctica 1
Curs 2014-2015
Semestre 1
Per a la denici, ignoreu les resolucions DNS i centreu-vos en les capaleres del protocol de capa
daplicaci que el downloader utilitza per les descrregues.
La regla ha dutilitzar expressions regulars per contemplar les variants.
La regla ha de denir-se amb els segents valors xats:
Missatge dalerta: MISTIC malware trojan detected.
Valor de sid: 12244440.
Valor de revisi: 1.
Valor de prioritat: 4.
Valor de classtype: trojan-activity.
Heu de vericar el correcte funcionament de la regla amb els cinc arxius. Per a aquesta , utilitzeu
alguns dels parmetres de Snort como sn -r, --pcap-list=, --pcap-file=, o b --pcap-dir=.
Per vericar el funcionament de la nova regla, afegiu-la al nal de larxiu de conguraci /etc/snort/
snort.conf.
Un cop denida la regla, justiqueu cadascun dels camps de la mateixa. Creeu un arxiu amb el format
CognomNom_assignatura_LAB1_rule.snort que contingui noms la regla i entregueu-la a travs del
RAC (Registre dAvaluaci Continuada).
Exercici 3 (2 punts)
La mostra de trc capturada nmero sis t una srie de particularitats que la fan especial en comparaci
a la resta. Malgrat aquestes particularitats, ens han assegurat que el trc generat prov duna de les
variants del downloader. Utilitzeu Snort per avaluar larxiu .pcap amb la vostra regla i responeu a les
segents preguntes:
Ha detectat Snort la intrusi amb la vostra regla?
Per qu creieu que no ha sigut detectada?
En qualsevol cas, mostra Snort algun tipus dalerta sospitosa?
Quina tcnica ha fet servir el downloader per intentar evadir la detecci?
Per donar resposta a les preguntes anteriors inspeccioneu larxiu detingudament amb Wireshark i llegiu
larticle que porta per ttol Evading NIDS, revisited de Sumit Siddharth; disponible a la URL http:
//www.symantec.com/connect/articles/evading-nids-revisited.
Sabent que les mquines client infectades sn sistemes GNU/Linux, modiqueu la conguraci del prepro-
cessador frag3 a larxiu /etc/snort/snort.conf. En concret, establiu en la directiva frag3_engine la
poltica a policy linux en lloc de policy rst. Executeu novament Snort i veriqueu que ara el downloader
s s detectat. Responeu ara a les segents preguntes:
Per qu ara s possible detectar-lo?
Quina s la funcionalitat del preprocessador frag3?
Qu implica la modicaci de la conguraci policy linux en la directiva frag3_engine?
Per qu existeixen diferents poltiques per frag3_engine segons el sistema operatiu? Consulteu la
secci 2.2.1 del manual dusuari de Snort.
3
Universitat Autnoma
de Barcelona
MISTIC M1.703 - Seguretat en xarxes
Prctica 1
Curs 2014-2015
Semestre 1
Exercici 4 (2 punts)
Donada la segent regla de la base de dades de Snort:
alert tcp $EXTERNAL_NET any -> $HOME_NET 515
(msg:"EXPLOIT Redhat 7.0 lprd overflow";
flow:to_server,established;
content:"XXXX%.172u%300|24|n";
reference:bugtraq,1712; reference:cve,2000-0917;
classtype:attempted-admin; sid:302; rev:9;)
Descriviu qu detecta i a que es corresponen cadascun dels camps de la regla.
Exercici 5 (2 punts)
Donat el segent script que afegeix regles al sistema de rewalling de GNU/Linux denominat iptables:
#/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -N WHITELIST
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j WHITELIST
iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set
iptables -A INPUT -m recent --update --seconds 30 --hitcount 5 -j LOG
iptables -A INPUT -m recent --update --seconds 30 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j ACCEPT
iptables -A WHITELIST -s 10.0.0.0/16 -j RETURN
iptables -A WHITELIST -s 10.1.0.0/16 -j RETURN
iptables -A WHITELIST -s 10.2.0.0/16 -j RETURN
iptables -A WHITELIST -s 10.3.0.0/16 -j RETURN
iptables -A WHITELIST -j DROP
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Consulteu la documentaci que podeu trobar a les URLs http://www.netfilter.org/documentation/
HOWTO/packet-filtering-HOWTO.html i http://ipset.netfilter.org/iptables.man.html, i resso-
leu cadascun dels segents punts:
Expliqueu en termes general quin s el comportament del rewall que t les regles recollides a lscript
anterior.
Expliqueu cadascuna de les comandes de iptables que apareixen a lscript i justiqueu per qu estan
en aquest ordre.
4
Universitat Autnoma
de Barcelona
MISTIC M1.703 - Seguretat en xarxes
Prctica 1
Curs 2014-2015
Semestre 1
Quina seria la comanda que permetria registrar les connexions SSH provinents de IPs no autoritzades
(que no estan a la llista blanca)? A quina posici dintre de lscript afegireu aquesta comanda?
NOTA: com a ajuda per a comprendre millor el funcionament de les regles, podeu clonar la mquina
virtual creada a lexercici 2 i assignar-li una nova IP dins de la vostra xarxa virtual. A partir daix,
podeu experimentar amb lscript anterior modicant-lo i llenant connexions duna mquina virtual a
laltre per a comprovar el comportament del ltratge.
5