lunes, 23 de febrero de 2009

Buscando al intruso…Las pistas están en los Logs..(CAPITULO II)

Retomando el capítulo anterior, y pensando en la volatibilidad de los registros, vamos a trabajar sobre los Event ID más frecuentes que suelen provocar confusión al momento de analizar un visor de eventos de seguridad.
Primero, analizaremos el formato clásico de los registros en el visor de eventos. En este caso analizaremos el de inicio de sesión, ya que nos interesa rastrear el intruso:

Event ID: 576
Type:Success Audit/Failure
Description: Special privileges assigned to new logon:
User Name: %1......Domain: %2
Logon ID: %3........Assigned: %4

En donde tenemos:
%1 es usuario de active directory que se está logueando.
%2 Nombre Netbios del dominio de Active Directory.
%3 Logon ID del Usuario.
%4 Privilegios según los permisos asignados al usuario.

Siempre la pregunta es de donde accedió el intruso o la persona que estamos intentando rastrear. Si empezamos por los accesos de Internet, debemos empezar por los servicios publicados a Internet como accesos Web, FTP u otros.

Acceso vía Web.
Al publicar servicios Web con seguridad integrada, los servidores de Active Directory dejan registros en el los de seguridad. En este caso mostramos un ejemplo:

2/7/2009 5:47:44 PM Security Success Audit Logon/Logoff 540 DOMAINNAME\USERNAME NOMBRESERVIDORdeAD "Successful Network Logon:
User Name: USERNAME
Domain: DOMAINNAME
Logon ID: (0x0,0x5523DDCA)
Logon Type: 8
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: SERVERNAME
Logon GUID: {82f8c9a8-a172-0dd6-3ac2-4db5eb870f44}
Caller User Name: SERVERNAME$
Caller Domain: DOMAINNAME
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 6820
Transited Services: -
Source Network Address: IPDesdeDondeseaccede
Source Port: puertoaleatorio

En el registro quedan rastros del usuario que accede, que son claros. Ahora, nos queda resolver que son los otros datos que ofrece el registro. El Logon Process: ADVAPI, Logon Type:8, que menciona el log, suceden cuando se accede a un recurso compartido o se loguea un usuario mediante el Microsoft IIS. El ADVAPI en este tipo de registro, es la palabra clave, ya que indica que es el proceso de logueo que usa el IIS, muy usado para dar acceso por las páginas con Web logons.

El tipo 8 indica que un logon de red ha usado en el envío de la contraseña texto claro, que suele venir protegido por el uso de SSL. Por lo cual, este acceso nos indica que el usuario ha sido validado por un acceso Web.
Suponiendo que el usuario posee cierto nivel de acceso y mediante alguna técnica de intrusión lograra borrar los logs de seguridad del servidor.
Aquí es donde la configuración del servidor juega un papel importante, ya que si el servidor de IIS posee habilitado el registro W3C Extended Log File Format (W3SVC1), contaremos con otro log que posee la misma información. Analizando el log del IIS buscando la información que acompañe al registro del visor de eventos, deberíamos encontrar un registro similar al siguiente

2009-02-07 17:47:44 W3SVC1 IPdelServer GET “pagina web” cmd=preview 80 DOMAINNAME\USERNAME IPDesdeDondeseaccede Proxy/6.5+Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1) 200 0 0

Estos logs son siempre ignorados por los intrusos y lo interesante que no se borran automáticamente, ya que se genera un nuevo archivo de registro cada día y permanecerán en el servidor hasta que deban ser eliminados. El formato del archivo es exfecha.log.

Continuará....