Estafa a las 3. Dónde está mi inversión? SE01X01

Estándar

Son las 3 de la tarde y el departamento de HelpDesk de la empresa Skynet recibe una llamada. Es el experto en IT Henry DansMerkt.

Henry DansMerkt: Hola buenas tardes. Es el departamento HelpDesk?

Técnico: Si señor Henry. Ha marcado los números correctos y este es el departamento de HelpDesk. Enhorabuena. En qué podemos ayudarle?

Henry DansMerkt: Puessss… La verdad es que no sé si es realmente un problema. El caso es que no encuentro un dinero para una inversión de IT. Este dinero estaba en una cuenta corriente y ahora no está.

Técnico: Señor Henry. Este problema tiene que ver con algún equipo? Verá, es que necesito saber si es un problema del equipo, para poder abrir un ticket de resolución. Los temas bancarios no los lleva el departamento de HelpDesk, así que no sé muy bien cómo ayudarle.

Henry DansMerkt: Verá, es que los números de cuenta los poseo únicamente yo, el departamento contable y el CEO de la empresa. He comunicado con ellos y me comentan que ellos no han realizado ningún tipo de acción sobre la cuenta mencionada. Todo este tipo de inversiones las hacemos siempre Online y nunca ha habido ningún problema. Así que tanto el CEO de la compañía y el jefe del departamento contable me han remitido a ustedes, por si el problema fuese del equipo corporativo.

Técnico: Ok. Vamos a realizar algún tipo de comprobación rutinaria. A qué tipo de banca online se refiere? Puede acceder a la página correctamente?

Henry DansMerkt: Las cuentas personales que utilizamos para este tipo de inversiones están alojadas en dos bancos. Uno es el Banco de Santander y el otro es Banesto. Y sí, acabo de probar a ingresar los datos en las cuentas y puedo acceder correctamente.

Técnico: Puede mandar alguna captura de su acceso a las cuentas?

Henry DansMerkt: Claro que puedo. Se las estoy enviando a través del correo electrónico. Un momento

Pasan unos 4 minutos….. (Tensa espera telefónica)

Henry DansMerkt: Le han llegado ya?

Técnico: Sí que me han llegado. Las estoy revisando

Henry1

Imagen 1.- Banca personal Henry

Henry2

Imagen 2.- Banca personal Henry

Técnico: Un momento por favor, estamos revisando el equipo en busca de Malware y monitorizando las conexiones. Manténgase a la espera por favor.

Henry DansMerkt: Ok

Técnico: Señor Henry. Hemos monitorizado el equipo y no vemos ninguna señal de Malware. Aparte, monitorizamos todo tipo de salida y entrada de datos mediante sistemas perimetrales de seguridad, y llevamos un control exhaustivo tanto de las políticas locales como del control de acceso a los recursos y ficheros de la compañía.

Henry DansMerkt: Ok. Pues muchas gracias. Ya me quedo mucho más tranquilo. Aunque no encuentre el dinero. Preguntaré al departamento contable y al CEO otra vez, no vaya a ser que se hayan olvidado de algo.

Técnico: OK. Pues doy por cerrado el Ticket. Muchas gracias por su llamada señor Henry y que pase un buen día.

Henry DansMerkt: Gracias chaval. Me iré a casa temprano hoy para seguir trabajando desde allí. Adiós!

Técnico: Oiga? Oiga? Señor Henry? Se encuentra ahí?

Henry DansMerkt: Sí sí, me encuentro aquí. Necesita algo?

Técnico: Ehhmmm… Verá, es que tengo su portátil aquí, ya sabe, el que me mandó la semana pasada para instalarle el nuevo sistema operativo de Microsoft. Windows 7. Recuerda?

Henry DansMerkt: Sí, sí, lo sé. Está terminado?

Técnico: No, no está terminado. Estamos incluyéndolo en el dominio y aplicando las políticas de seguridad. Recuerde que NO se debe trabajar con portátiles que no estén configurados por el departamento de IT. Fue idea suya… La pregunta es… DESDE QUÉ PORTÁTIL ESTÁ TRABAJANDO?

Henry DansMerkt: Ahhh, jajaja! Desde el portátil de mi compañero de piso, el cual amablemente me lo ha dejado hasta que me déis el corporativo. Lo tengo aquí ahora mismo.

Técnico: Puede encender el portátil por favor, y mandarme capturas de pantalla del inicio de sesión en la banca online? Es mera curiosidad y un trámite sin importancia….

Henry DansMerkt: Claro que sí, aunque no veo qué problema pudiese haber. Te mando las capturas en unos minutos.

Pasan unos 5 minutos. (Tensísima espera telefónica)

Henry DansMerkt: Te han llegado ya las capturas?

Técnico: Sí, ehhmmm… Espere, las estoy visualizando….

Henry3

Imagen 3.- Imagen Portátil «neocorporativo» del compañero de piso

Henry4

Imagen 4.- Imagen Portátil «neocorporativo» del compañero de piso

Técnico: Un momento por favor… (Sonido de fondo=on) ·$%##@@!!. Manuel! Llama corriendo a Javi de comunicaciones y que empiece a monitorizar tráfico en la red corporativa. Tenemos un ticket de nivel I. Ah! Y por favor, llama a Juanito Walker y a Juan Luigi «El drogata», y dile que tenemos un caso para ellos. «Drogata???»…. Sí, es que el tio lo esnifa «todo»….(Sonido de fondo=off). Señor DansMerkt, mucho me temo que va a tener que dejar el portátil aquí. Lo necesitamos para cerrar la incidencia.

Henry DansMerkt: La incidencia no estaba cerrada?

Técnico: No, la hemos abierto de nuevo.

Henry DansMerkt: Y cómo trabajo yo ahora desde casa?

Técnico: Veremos si sigue trabajando mañana aquí…..

Henry DansMerkt: Cómo ha dicho?

Técnico: Nada nada…. He dicho que inmediatamente le mandamos un portátil corporativo y nos quedamos con el de su compañero de piso para analizarlo con más profundidad.

Henry DansMerkt: Pero me lo devolverán hoy no? Es que mi compañero lo necesita para el Facebook y el Twitter…

Técnico: Lo intentaremos señor Henry, lo intentaremos….

Fin capítulo I

Saludetes!! 😉

 

Análisis de memoria RAM. Verificando la integridad

Estándar

Una vez que hemos realizado los volcados de memoria, llega la hora de verificar la integridad de las mismas para comprobar si son factibles a la hora de trabajar con ellas. En este artículo presentaré herramientas de verificación de volcados de memoria en formato DMP, formato escogido para trabajar con las herramientas de debugging de Microsoft.

Este tipo de herramientas se hacen indispensables para la persona que se dedique o tenga relación directa con el análisis de volcados de memoria, ya que por un despiste, podemos perder horas y horas de trabajo. Si estamos trabajando con tipos de datos no muy grandes (Menor a un Giga por ejemplo), el proceso de copiado de éstos se hace sencillo, pero cuando trabajamos con equipos en los que la memoria RAM sobrepasa los 4GB, el transporte y análisis de éstos se hace mucho más complicado (Dependiendo del tipo de volcado que tenemos configurado en la máquina), y necesitamos más que nunca verificar la integridad de éstos. Si un volcado de memoria se genera de forma corrupta, no podremos abrirlo con ningún debuggeador, y tendremos que utilizar otras técnicas más austeras, complejas y tediosas para su análisis.

El funcionamiento de este tipo de utilidades es sencillo en su forma. Abren el volcado de memoria en busca del fallo que lo ha causado, como el código de error, y muestran el tipo de arquitectura de máquina, tipo de sistema operativo, etc.. Si no hay ningún código de error que muestre lo contrario, el volcado de memoria será íntegro, y podremos transportarlo en un medio seguro para poder trabajar con él.

A continuación muestro las dos herramientas más usadas para este tipo de verificación.

DumpChk

De las dos que presento en este artículo, dumpchk es la más completa, ya que esta herramienta nos va a mostrar mucha información sin tener que depurar nada, simplemente ejecutando este comando.

Esta herramienta nos va a mostrar desde el sistema operativo en donde proviene el volcado, uptime de la máquina, versión de compilación del sistema operativo, offset de la base del kernel, tipo de arquitectura, etc… Como podréis observar, muchísima información base y sin tener que depurar nada.

dumpchk.png

Esta herramienta, junto con muchas otras (Como bindiff para comparar ejecutables), las tenemos en el mismo CD de Windows XP por ejemplo, o descargando las Support Tools de Windows XP SP2, desde esta dirección:

http://www.microsoft.com/downloads/details.aspx?familyid=49ae8576-9bb9-4126-9761-ba8011fabf38

Si el volcado de memoria no es válido para ser tratado con las herramientas de debugging de Microsoft, nos aparecerá una respuesta diferente a la anterior:

errordumpchk.png

DumpCheck Utility (Citrix)

DumpCheck Utility, es otra de las grandes herramientas desarrolladas por Dmitry Vostokov. Esta herramienta también nos ayudará a verificar la integridad de un volcado de memoria. Cuando la integridad del volcado es correcta para que podamos realizar el análisis con Windbg, la herramienta mostrará lo siguiente:

dmpcheck.png

Si la herramienta detecta que el volcado de memoria no cumple con los criterios de integridad, o lo que es lo mismo, que el volcado está corrupto, la herramienta mostrará lo siguiente:

dmpcheckerror.png

Esta herramienta, junto con una explicación más detallada, la podéis descargar de aquí.

DumpCheck Utility Explorer (Citrix)

Para los que necesiten tener esta herramienta mucho más a mano, y no le guste tanto la línea de comandos, Dmitry Vostokov ha diseñado la misma herramienta, pero integrándola por completo en nuestro Explorer de Windows, haciendo esta tarea mucho más fácil, y mucho más amena para muchos. El funcionamiento es el mismo, pero esta vez sólo tendremos que utilizar el botón derecho del ratón. El resultado es el mismo que el anterior.

checkdump.png

La herramienta en cuestión, junto con su explicación detallada, la podéis descargar de aquí 

En el próximo artículo veremos un caso extraño de recolección de evidencias, aplicando técnicas diferentes y herramientas mostradas en estos artículos, consiguiendo un resultado óptimo.

Enlaces

Utilizar DumpChk en ambientes Windows NT, 2000 y 2003

Utilizar DumpChk en ambientes Windows XP

Saludos!