viernes, 21 de agosto de 2015

SOC. Identificación de equipo comprometido. SOHO

Estimados amigos de Inseguros !!!

Realizando unas tareas básicas en el centro de seguridad, he encontrado un caso simple y que puedo hacer público. Un ejemplo de como una mala configuración personal puede afectar a la seguridad "global" o de otras personas. En este caso un SOHO routers. Small Office /Home Office.

Navegando por cibercrime-city me llegó un correo con un troyano popular, que grande el antivirus !!! (guiño guiño).


Todo perfecto, los sistemas marchan. Como es normal, me pongo a ver desde qué ip me ha llegado el mensaje, por curiosidad.

"Received: from qev.xdwrhkc.com ([197.89.125.136]"

Geolocalizo la dirección IP, y muero de envidia al ver en el mapa la ubicación próxima o estimada, Sudáfrica, el equipo está en una urbanización con vistas al mar !!!


Por curiosidad introduzco la dirección ip en el navegador de una máquina virtual sandbox y me sorprende encontrar un router D-link. Como es normal, pruebo con un par de contraseñas a mano y entro...Va tomando forma el asunto. Lo primero que hago es revisar la configuración de logs, por saber que grado de registro está realizando (borrar huellas es post-explotación!!)  y para olfatear. También para cerciorarme de que ese Dlink realmente es un aparato, y no un honeypot o una aplicación "infecciosa".


Dentro de logs aprecio que el router en algún momento de julio sufrió varios ataques, a saber Dlink que entiende como ataque...y más con las passwords por defecto...pero todas las ip´s son de equipos Chinos... No todos están catalogados, este en concreto está en la base de datos de reputación de AlienVault. Uso el plugin de Collective Intelligence Framework para ir comprobando todas las direcciones.


No tengo un usuario válido para ver las opciones LAN del dlink este, pero haciendo un scaneo de puertos veo varios nateos, los típicos, y dos sospechosos. 7676 y un ftps. Un 500 udp filtrado, seguramente el que usan para administrar el acceso desde el C&C.

El resumen de todo esto es que por un router de cada mal configurado, o mejor dicho, que el usuario no ha hecho nada y entiende que está seguro, está contribuyendo a infectar a usuarios anónimos, siendo el usuario responsable legal, a priori, de los delitos cometidos.

Para que sirva a los demás, me creo un Pulse nuevo en OTX2 con todas las ip´s y datos.


Espero que os guste, gracias por leerme !!!!



No hay comentarios:

Publicar un comentario

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...