r3_tecnico8.doc - Seguridad de la Información - UNAM

assistantashamedData Management

Nov 29, 2012 (4 years and 8 months ago)

435 views



Reto Forense Episodio III
















Informe Técnico

















Ruben Recabarren
rrecabarren@snsecurity.com

Rossana Ludeña
rludena@snsec
urity.com

Leandro Leoncini


lleoncini@snsecurity.com

Caracas

-

Venezuela



2

Introducción


En este informe se presentan la metodología, las herramientas
utilizadas y las conclusiones obtenidas para llevar a
cabo el desafío
“Reto Forense, 2006”.


El documento consta de
once
secciones en donde se detallan los
procedimientos llevados a cabo por nuestro equipo de investigación y
los resultados obtenidos.


En
la primera sección se describen los

antecedentes del in
cidente, el
escenario del reto, el objetivo de la investigación, y el procedimiento
general a ser llev
ado a cabo. En la segunda secció
n, se detalla la
forma de acopiar la información, preservarla, y protegerla para su
posterior análisis. En la siguiente se
cción,
se describe la evidencia en
detalle con la idea de especificar su alcance y su utilidad


para realizar
inferencias sobre los hechos. En la cuarta sección se describen las
herramientas utilizadas y la forma en que se utilizan para elaborar
conclusion
es. En la quinta sección se lleva a cabo el análisis de la
evidencia, pasando por la descripción del sistema analizado,
y
la
metodología
. La sexta sección contiene una descripción de los
hallazgos y la forma en que contribuyen para las inferencias y
conclu
siones de la investigación. En la siguiente sección se realiza un
análisis de los artefactos encontrados relacionados o no directamente
al caso en investigación. Finalmente, en la penúltima sección se
presenta una cronología de los hechos que preceden, suc
eden y
ocurren simultáneamente con el incidente de seguridad. En la ultima
sección se elaboran las conclusiones finales y se presentan las
referencias y anexos de este informe.


Antecedentes del incidente


El escenario que se plantea para este desafío es e
l típico incidente de
seguridad de una pequeña empresa.


Se conoce
que los administradores del sistema han detectado un
evento irregular y que han tratado de recopilar los elementos que han
juzgado pertinentes para realizar una investigación forense. Esto
s
elementos consisten básicamente en una descripción del escenario
previo a la detección del evento regular, y una imagen del disco duro
que alojaba el sistema aparentemente vulnerado.



3

Adicionalmente, se conoce que el sistema en estudio
había

sido
recient
emente migrado a la nueva plataforma, y que sus
administradores trataban de mantener al día con sus parches y
actualizaciones de seguridad.


El

sistema se describe como una aplicación de “Enterprise Resource
Planning” (ERP)
genérica
, sin dar detalles de su

arquitectura o del
valor de los datos que almacena

está aplicación
.


Lo
s objetivos de esta investigació
n

son enmarcados por la solicitud de
los agraviados. Esta consiste en determinar si hubo o no un incidente
de seguridad, y el alcance que esta haya pod
ido tener.
Adicionalmente, existen los objetivos y peculiaridades artificiales
propias de un escenario de competencia y de u
n caso de estudio
educacional má
s que corporativo.



Recolección de los datos


La imagen del sistema a ser analizado fue descargada
del link:


ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz


provisto por los representantes del Reto Forense III. Los hashes MD5
de esta imagen fueron comparados c
on los que se encuentran en el
siguiente link:


ftp://escitala.seguridad.unam.mx/reto/firmas.txt


y con las firmas enviadas
,

en el correo
electrónico

remitido

por los
organizadores del event
o donde se describe el escenario y se
proporciona información adicional sobre el evento. Nótese que se trata
de comparar los hashes de la imagen de un origen lo más remoto con
el sitio de donde se ha descargado la imagen.


Esto es con la idea de que si al
guien logra modificar la imagen en un
servidor, no representaría mucho esfuerzo modificar las firmas
también.


Por lo tanto, una comparación de las firmas bajadas desde el mismo
dominio de donde se descarga la imagen es muy poco útil para
garantizar la in
tegridad esperada.



4

Todos los datos recopilados en esta investigación están relacionados
directamente con esta imagen, y la información que esta contiene. Es
importante mencionar que es posible extender la investigación a
fronteras más allá de sistemas vul
nerados por estar relacionados con
el incidente. Sin embargo, nosotros hemos preferido abstenernos de
tal práctica por considerarla fuera de los márgenes legales y morales.
Por lo tanto, toda la información que involucra sistemas ajenos a esta
imagen desca
rgada, es información que se considera pública y de
dominio público. Bajo ningún motivo hemos intentado seguir la pista
analizando las vulnerabilidades de la maquina atacante, o ningún otro
dato que pueda vulnerar los derechos de privacidad de terceros.



Descripción de la evidencia


La evidencia recopilada consiste principalmente en las bitácoras
obtenidas de la imagen provista. Se presume que esta información no
ha sido alterada por que ha
probado

ser consistente con el entorno en
que funcionaba, y porque

confiamos en la buena fe de los
administradores que la recolectaron al tener el primer contacto con la
escena. Sin embargo, no se descarta la posibilidad de manipulación de
estas bitácoras por el atacante ni ningún otro ente malicioso que no
tenga los mis
mos objetivos que los investigadores o los responsables
del sistema.


Los resultados de la investigación proveen evidencia que en efecto
existió una conexión no autorizada al sistema ERP. Esta evidencia está
en forma de las bitácoras generadas por los dos
principales sistemas
responsables de hacer funcionar el sistema ERP, a saber, apache y
MySQL.


Apache es un servidor web GPL, muy popular por su robustez y por la
gran comunidad que continuamente lo usa y lo hace crecer. Este
sistema mantiene bitácoras det
alladas de la hora y origen de todas las
peticiones de páginas
Web

que se le hacen al servidor.


Por otro lado,
MySQL es un manejador de bases de datos, también
muy popular por su sofisticación y confiabilidad. Esta aplicación
también mantiene bitácoras mu
y detalladas de cada una de las
transacciones que son efectuadas, con que privilegios, el origen de las
conexiones, y a que hora se realiza cada transacción
.



5

Adicionalmente, el sistema ERP funciona como un “
guardián
” para sus
usuarios. Esto significa que
ningún usuario
jamás

realiza una conexión
directa con el servidor de base de datos, si no que por el contrario,
presenta sus credenciales de autenticación al sistema
Web
, y este se
encarga de hacer las transacciones necesarias con la base de datos.
Este es

un esquema típico, pero no necesariamente el
más

seguro.
Esto quiere decir, que aunque las bitácoras del servidor MySQL graban
el origen de la conexión, estas son siempre la misma maquina, el
servidor ERP.


Por lo tanto, las bitácoras de estos dos sistema
s por separado, no son
suficientes para determinar el origen de la intrusión. Sin embargo, la
correlación de los hechos de estas dos bitácoras si lo es.


Consecuentemente, la evidencia recolectada tiene la siguiente
naturaleza:


Se tiene una dirección IP,
que hizo una petición al servidor
Web
, a la
misma hora y fecha, en que se realizo una conexión local a la base de
datos, con las credenciales del usuario
acontreras
.

Este usuario
pertenece al grupo de administradores, y que tan solo unas horas
antes
había

realizado una conexión remota, de forma insegura al
mismo sistema. Esta dirección IP se presume es la base utilizada por
el atacante, para unos minutos después realizar otra petición al
servidor
Web
, que produciría la creación de una cuenta (userid
admin
)
también

perteneciente al grupo de administradores, y con los máximos
privilegios en la aplicación.


Toda esta información proviene de las bitácoras del sistema
debidamente validadas con la consistencia de los
demás

logs del
sistema y
demás

eventos fácilmen
te verificables.


Estos hechos son la base y justificación de las conclusiones alcanzadas
y que son descritas en las siguientes secciones.


Entorno del análisis


Se realiza la investigación en dos frentes. El primero es recuperar de
manera cruda toda la in
formación contenida en la imagen descargada.
Esto es con la idea de establecer tanto una línea de acontecimientos
como de recuperar información que posiblemente haya sido eliminada
deliberadamente por el atacante.
En lo subsiguiente, nos referiremos a
este

entorno como “análisis en frio”.


6


El segundo frente de análisis consiste en devolver a la vida al sistema
implicado. Este tipo de análisis “en caliente” permite recuperar con
mayor facilidad la información que usualmente se encuentra en
formatos propieta
rios o información excesivamente resguardada por el
sistema operativo. Esto es una particularidad del hecho que la imagen
pertenece a un sistema Operativo Windows 2003.


Ambos frentes se enfocan con prioridades distintas con respecto a
preservación de evid
encias e identificación de eventos. Sin embargo,
la información obtenida de ambos se complementa adecuadamente
para sintetizar conclusiones que por separado seria imposible fabricar.


Consecuentemente, para cada frente se utilizaron distintos tipos de
herr
amientas que detallamos a continuación:


Descripción de las herramientas


Para el frente del “análisis en frió”, se utilizaron las herramientas más
populares en el mundo del software libre:


-

SleuthKit, herramienta de análisis forense nativa para sistemas
o
perativos Unix.

-

Autopsy, interfaz grafica para el SleuthKit.

-

Un servidor Fedora Core 2, para montar la imagen y procesarla
principalmente con las herramientas anteriores.

-

Adicionalmente se utilizaron todas las herramientas del shell de
linux como grep, fin
d, etc. Estas se usaron para buscar patrones
específicos

o eventos de
interés
.

-

Se utilizó también el antivirus Clamav, para buscar malware en
la imagen en
frió
. Esto tiene la ventaja de que en caso que
exista un malware destinado a alterar el funcionamient
o del
antivirus en el sistema operativo nativo, se vea totalmente
inutilizado en el
análisis

bajo linux.


Para el frente del “
análisis

en caliente”, se utilizaron otras
herramientas que no son de carácter libre, pero que se pueden
obtener sus versiones de
evaluación, o que se pueden usar en forma
gratuita, pero que no se tiene el
código

fuente:


-

VMware, software de emulación para revivir la imagen de la
computadora penetrada.


7

-

Winhex, analizador hexadecimal que permite analizar las
imágenes en forma de disco

y recuperar la información.

-

Testdisk, es la
única

herramienta libre en este frente, y se utilizó
para recuperar la geometría y otros datos de las particiones que
tenia el hardware original.

-

Winimage, otra aplicación que permite el
análisis

y
modificación

de imágenes en
Windows
.

-

P2V, asistente para la creación de imágenes virtuales a partir de
imágenes de disco.

-

Herramientas de Sysinternals: autoruns, RootkitRevealer,
psloglist, etc.

-

Versiones de prueba de los antivirus mas comunes: AVG,
Windows Defender Be
ta, etc.

-

OllyDbg, debugger libre para windows.



Análisis de la evidencia



Información del sistema analizado



I.
Características del SO


-

Windows 2003 Server R2, Enterprise Edition, Copia de
Evaluacion, build 3790.

-

Service Pack 1.

-

Nombre de Dominio: Count
ers.

-

Usuarios: Administrador, amado, caracheo, ernesto, Guest,
Johnatan, katy, lalo, maick, maru, mirna, moni, mpenelope,
ovejas, pili, postgres, reno, support_388945ª0, ver0k,
zamorano.

-

Usuarios con privilegios de administrativos: Administrador:
ver0k, ma
ru, Johnatan, ernesto.

-

Firewall de Windows activado con las siguientes excepciones:
Apache, Bittorrent, File Printer Sharing, MSN Messenger 7.5,
postgres, Remote Desktop, UPnP Framework. Todos abriendo los
puertos default de las aplicaciones que tienen el

nombre de la
excepción
.


II.
Aplicaciones


-

Apache http Server 1.3.34


8

-

Mozilla Firefox (1.5.0.1)

-

MSN Messenger 7.5

-

MySQL Administrador 1.1

-

MySQL Server 4.1

-

PHP 4.4.2

-

PostgrSQL 8.1


III.
Servicios


Los servicios encontrados se listan y describen en los anexo
s de

e
ste reporte.


IV.
Vulnerabilidades


-

Se permiten conexiones externas al servidor MySQL.

-

Se permiten conexiones externas a la cuenta weberp_us de la
base de datos MySQL.

-

La cuenta weberp_us de la base de datos MySQL no tiene
password.

-

La cuenta de roo
t de la base de datos MySQL no tiene password.

-

La aplicación weberp esta plagada de posibles SQL inyection por
no sanitizar el input del usuario.

-

La aplicación Postgresql esta instalada y no se usa para nada.

-

Las
políticas

del firewall permiten acceso a se
rvicios que no
están

destinados al publico.

-

Se permite la utilización del servidor como estación de trabajo
para usos personales como web browsing, chatting, videos,
fotos, almacén de documentos, etc.

-

Se
encontró

malware entre los documentos de la cuenta
a
dministrador.

-

No se tiene instalado
ningún

antivirus.

-

Existen muchos usuarios con privilegios de administración muy
posiblemente innecesariamente
.


Metodología


Análisis

de la imagen en
frió
:


-

Se monto la imagen en frio utilizando la
opción

loopback de
mou
nt en linux.

-

Se instalo autopsy y sleuthkit utilizando los rpms
correspondientes a Fedora C2.


9

-

Se siguió el procedimiento estándar para abrir un caso en
autopsy, generar los timelines, y recuperar los archivos
borrados.

-

Cada vez que se necesitara consultar
un archivo or
i
ginal, se
recurría

a esta
instalación
.


Análisis

de la imagen en caliente:


-

Se instalo la versión de prueba de VMware en un sistema
anfitrión

windows. Esto con la finalidad de facilitar el testing de
todas las herramientas en un sistema nativ
o antes de usarlas en
la maquina virtual.

-

Se instalo el Asistente P2V para reconfigurar la imagen en el
sistema
anfitrión
.

-

Se creo una nueva maquina virtual con Sistema Windows 2003
Enterprise Edition, para tener un sistema prueba parecido a la
imagen a se
r estudiada.

-

Se instalo Winhex, en la maquina virtual para montar aquí la
imagen.

-

Se creo un disco duro extra de 8 gigas de espacio, en donde se
recrearía

la imagen en estudio. Se formateo y se dejo listo para
recibir los archivos.

-

Se utilizo Winhex para a
nalizar la imagen, surfear por sus
archivos, y ver que todo estaba correcto.

-

Se restauraron todos los archivos en el disco duro virtual extra.

-

Se reinicio la maquina virtual, sin el disco inicial, pero esta vez
con una imagen del Boot CD recovery en el dis
positivo del
CDrom, para bootear la mini
-
instalación

de linux destinada
eliminar el password de administrador de la
instalación

de
windows recuperada.

-

Se volvio a reiniciar la maquina virtual, esta vez con el
dispositivo de CDrom nativo enlazado a la maqui
na virtual, pero
con el CD de
instalación

de Windows 2003.

-

Se booteo en modo de
recuperación
, y se activo la
instalación

de
windows, se recupero el bootdisk, y se hizo la partición de
windows como predefinida para el arranque.

-

En este momento la imagen est
aba lista, pero no es booteable.
El hardware ha cambiado demasiado. En particular el dispositivo
de booteo, ya no es el mismo que antes.

-

Se
corrió

el asistente P2V de VMware para reconfigurar la
imagen del disco duro recuperado y actualizar la
instalación

de
windows para que reconociera el nuevo hardware virtual.

-

Finalmente se reinicio la imagen virtual, y se dejo que booteara
la imagen recuperada.
Nótese

como la imagen original fue

10

modificada sensiblemente. Esta
modificación

sin embargo, es
solamente en la

base del sistema operativo y no en los datos o
aplicaciones existentes.

-

El servidor MySQL no pudo arrancar inmediatamente, pues le
hacían falta unos archivos que no fueron recuperados por el
winhex. Estos tenían longitud cero según se verifico en la
image
n en frió. Simplemente se crearon estos archivos y se
recupero totalmente el servidor MySQL y con el, la aplicación
ERP.

-

Después de hacer todos los estudios de la aplicación, se
procedió

a buscar artefactos y malware utilizando los antivirus y las
herramie
ntas mencionadas en la
sección

anterior.


Descripción de los hallazgos

Utilizando los archivos de la imagen en
frió
, y usando las facilidades de
strings que tiene autopsy, se revisaron cada uno de los archivos de
conf
iguración del servidor MySQL. En

estos

archivos se
encontró

que el
usuario de root de MySQL no
tenía

password. Por lo tanto, se paso a la
imagen en caliente, y se ejecuto el administrador MySQL con
credenciales de root. De aquí se observaron las bitácoras de MySQL
ordenadamente y en su forma n
ativa.


Adicionalmente, utilizamos una ventana de comandos

y una conexión
directa al servidor MySQL

para quitar momentáneamente el password
de alguna cuenta administrativa del sistema ERP. Con esta cuenta,
accesamos al sistema ERP, y pudimos ver lo que los

administradores
detectaron como un posible incidente, y por aquí se
comenzó

la
verdadera investigación de los hechos. Se
encontró

una cuenta (userid
admin) perteneciente al grupo de administradores y con los mas altos
privilegios en la aplicación. Adicion
almente, los datos personales de
esta cuenta no estaban llenados. Esto nos condujo a deducir que en
efecto esta era la cuenta que
estábamos

buscando. Se regreso el
password a la cuenta del sistema ERP por completitud.



Huellas de la Intrusión


Se prosigui
ó a analizar las bitácoras del servidor MySQL para
determinar cuando se había hecho la transacción que dio origen a tal
cuenta. Esta búsqueda dio como resultado la siguiente entrada en los
logs:



11



060205 14:00:15


1398 Connect weberp_us@localhost as

anonymous on




1398 Init DB weberp




1398 Query SELECT secroleid, secrolename FROM securityroles
ORDER BY secroleid




1398 Query INSERT INTO www_users (userid,







realname,







customerid,







branchcode,







password,







phone,







email,







pagesize,







fullaccess,







defaultlocation,







modulesallowed,







displayrecordsmax,







theme,







language)






VALUES ('admin',







'admin',







'',







'',






'5542a545f7178b48162c1725ddf2090e227
80e25',







'',







'',







'A4',







8,







'AGS',







'1,1,1,1,1,1,1,1,',







50,







'fresh',







'en_GB')




1398 Query SELECT userid,




realname,




phone,




email,




customerid,




branchcode,




lastvisitdate,




fullacc
ess,




pagesize



FROM www_users




1398 Query SELECT loccode, locationname FROM locations




1398 Quit






12

como la principal sospechosa. Seguidamente, se comparo con las
bitácoras de Apache para saber el origen de la transacción, buscand
o
el post correspondiente a la aplicación responsable de tal
acción

en la
aplicación ERP:




70.107.249.150
-

-

[05/Feb/2006:13:59:44

-
0800] "POST /web
-
erp/WWW_Users.php? HTTP/1.1" 200 14760

70.107.249.150
-

-

[05/Feb/2006:14:00:15
-
0800] "POST /web
-
erp/WW
W_Users.php? HTTP/1.1" 200 14951




Origen y Alcance de la intrusión


Esto nos da el origen de la transacción como el IP 70.107.249.150 que
según los registros
públicos

de
Internet

corresponde al proveedor de
Internet

Verizon. Adicionalmente, esta
direcci
ón

IP esta
geográficamente localizada en la ciudad del Bronx, en New Cork, USA.
No hay evidencia que el origen del atacante sea esta misma localidad,
pues como es típico en estos casos, el atacante oculta su verdadero
origen utilizando maquinas penetradas
previamente.


La hipótesis del robo de password cobra vida pues observamos que la
aplicación ERP, no establece una comunicación encriptada para pasar
el login y passwords de los usuarios.
Por lo tanto, es necesario
tener
presente
que existió la

posib
ilidad

que las credenciales de esta persona
hubieran viajado por
algún

medio inseguro previamente a este
incidente.


Evidencia de este hecho se buscó

de nuevo en los logs de apache y se
encontraron las siguientes entradas en las bitácoras de los sistemas.
De nue
vo se correlacionan las entradas del MySQL y las de apache:




060205 7:03:46 651 Connect weberp_us@localhost as anonymous on

201.141.62.222
-

-

[05/Feb/2006:07:03:47
-
0800] "POST /web
-
erp/index.php
HTTP/1.1" 200 76



Esto implica que ese mismo
d
ía
, el usuario acontreras se conecto a la
aplicación ERP desde fuera de la red local de la empresa. Esto no

13

implica inmediatamente

que este haya sido el momento en que se
haya robado la contraseña. Sin embargo, sustenta la evidencia en
soporte de la hipóte
sis del robo de identidad.

Finalmente, no se observan
más

conexiones desde este IP, y tampoco
se observan transacciones similarmente sospechosas
. En las bitácoras
solamente se puede
observar
algunas

conexiones al sistema ERP
desde la computadora local, se
presume que en este momento se
detecto la intrusión.

Por lo tanto, se concluye que el incidente tuvo un alcance limitado,
pero fue potencialmente devastador.


Análisis de artefactos

Se
encontró

malware que no
parecía

tener que ver con el incidente,
pero se

estudio de todas maneras. El malware
consistía

de un archivo
ejecutable auto
-
descomprimible. El archivo
contenía

3 archivos, que
fueron reconocidos por los antivirus como malware
genérico
. Los
archivos presentes en este archive,
tenían

los nombres de: a.e
xe,
y.exe y dr
-
1/exe.

Estos archivos fueron submitidos al sandbox de norman para su
evaluación

la cual no pudo obtener mas que los siguientes resultados:


a.exe : Not detected by sandbox (Signature: W32/PurityScan.OS)

* File length: 141312 bytes.

* M
D5 hash: ab02e85887de9148703365de8ba6f4a5.


y.exe : Not detected by sandbox (Signature: W32/Agent.TCI)

* File length: 141312 bytes.

* MD5 hash: ea0f635bae90c94add5c5c01db171058.


dr
-
1.exe : W32/Adload.H (Signature: W32/Adload.H)

* File length:

23936 bytes.

* MD5 hash: 40dd2b5d697211c81ae7ad736a5dc832.


[ Process/window information ]

* Creates a COM object with CLSID {E93AD7C1
-
C347
-
11D1
-
A3E2
-
00A0C90AEA82} :
VBRuntime6.



14

Con la ayuda del OllyDbg, se ejecutaron cada uno de estos artefactos,
y se
llego a las siguientes conclusiones sobre su funcionamiento:

a.exe:

I) Se instala en el registro,
HKEY_LOCAL_MACHINE
\
SOFTWARE
\
Microsoft
\
Windows
\
CurrentVersio
n
\
Run con la clave a.exe y el valor de donde fue ejecutado la
aplicacion

II) Trata de visitar el UR
L http://www.sp4m.info/a.html

y.exe:

I) Se instala en el registro
HKEY_LOCAL_MACHINE
\
SOFTWARE
\
Microsoft
\
Windows
\
CurrentVersio
n
\
Run con la clave y.exe y el valor de donde fue ejecutado la
aplicacion

II) Trata de visitar el URL http://www.sp4m.info/y.html

dr
-
1.exe:

Solo se trata de bajar otro archivo:

http://content.dollarrevenue.com/bundle/drsmartload.exe

y lo guarda
en C:
\
drsmartload1.exe

Ninguna de estas evidencias fue encontrada en l
a imagen, por lo que
se concluye que esto no es parte del incidente de seguridad.

Adicionalmente, se presume que no fueron ejecutadas en el sistema
anfitrión, puesto que el en análisis forense no se encontraron ningún
rastro de esta actividad.

Cronología d
e la intrusión

Según las evidencias descritas en las secciones anteriores, se puede
concluir la siguiente cronología de la intrusión:



7:03:46

El usuario acontreras inicia una conexión al sistema
ERP desde el IP 201.141.62.222. Se presume que este es el
mom
ento en que ocurre el robo de identidad puesto que la
conexión se realiza desde una localidad remota a la empresa, y
adicionalmente, se hace con una conexión no asegurada con
criptografía fuerte.


15



En este momento, o en algún otro anterior el login y passwo
rd
de esta cuenta es interceptada por el intruso.



10:41:15

el usuario acontreras inicia otra sesión en el sistema
ERP, y trabaja normalmente. Esta vez, la sesión es iniciada
desde la red local de la empresa.



13:57:51

el atacante utiliza las credenciales de

acontreras para
iniciar una
sesión
. Esta conexión parece provenir de una
maquina localizada en la ciudad del Bronx, USA.



En esta conexión, el atacante visita la página de usuarios de la
aplicación ERP, que también provee una interfaz para crear
nuevos usu
arios.



13:59:44

el atacante crea una nueva cuenta con userid admin,
y le otorga los máximos privilegios de acceso.



Después de esta transacción, el atacante decide no realizar
ninguna otra acción.



A los pocos minutos, la nueva cuenta es notada por los
admin
istradores y se hace una última conexión al sistema ERP,
desde el mismo servidor.



14:19:37

Se verifica efectivamente en el servidor la creación de
una nueva cuenta con privilegios del grupo de administradores y
se procede a llevar a cabo los procedimientos

pertinentes en
caso de un incidente de seguridad informática.


Conclusiones

Considerando esta evidencia, y las vulnerabilidades encontradas en el
sistema, es posible concluir que el alcance de la intrusión a pesar de
haber sido limitado, fue potencialment
e devastador.

El hecho de que muchas cuentas de la base de datos no hayan estado
protegidas por ningún password es realmente alarmante. Esto quiere
decir que cualquier atacante local
tenía

la capacidad de comprometer
subrepticiamente el sistema completo, s
in posibilidad de detección.

Adicionalmente, se puede establecer con plena certeza que la creación
de la cuenta encontrada por los administradores fue un producto de
una intrusión. La intrusión se llevo a cabo mediante la utilización de las

credenciales r
obadas de uno de los administradores del sistema. Esto
fue posible pues era una practica común realizar conexiones al sistema
de una forma insegura sin utilizar protocolos de encriptamiento para
proteger la comunicación.


16

Los administradores fueron capaces
de detectar la intrusión a tiempo y
muy posiblemente evitaron que el impacto de la intrusión fuera mayor.
Sin embargo, es necesario
revisar
las políticas
, normas y
procedimientos con las que se lleva a cabo la administración de los
servidores de esta organ
ización. Aunque la intrusión parece haber sido
producida por una vulnerabilidad de implementada en la aplicación, se
encontraron artefactos de cierta peligrosidad en la imagen investigada.
Aunque no se pudo relacionar estos artefactos a la intrusión, no es

nada difícil que en el futuro, estas practicas propicien futuros
incidentes de seguridad. El eslabón más débil siempre es el humano.

Recomendaciones específicas



Agregar un modulo al sistema ERP, para que todos los usuarios
sean forzados a cambiar su cont
raseña en el siguiente intento de
abrir
sesión
.



Activar el modulo de SSL en apache y educar a sus usuarios
sobre los intríngulis de los sistemas de autenticación de doble
vía
.



Utilizar password crackers como John The Ripper, para probar
periódicamente la f
ortaleza de las
contraseñas

de todos los
sistemas de la empresa.



Eliminar el privilegio de la cuenta weberp_us para establecer
conexiones desde fuera de la maquina local.



Eliminar las cuentas que no sean estrictamente necesarias para
la administración del
servidor, y educar a los administradores a
no utilizar este recurso para usos personales.



Bloquear en el firewall todos los puertos inbound excpeto para el
puerto 443 y 80 TCP.



Instalar cualquier
opción

de antivirus, uno excepcionalmente
bueno es el AVG.













17




Referencias


http://www.sleuthkit.org/

http://vmware.com/

http://www.sysinternals.com/

http://www.mysql.com/

http://www.php.net/

http://norman.sandbox.no/

http://www.avg
-
antivirus.de/

http://www.clamav.net

http://www.ollydbg.de/




Carvey, Harlan. “
Windows Forensics and Incident Recovery

.

Addison Wesley, 2004.




Carrier, Brian. “File System Forensic Analysis”.

Addison Wesley,
2005.




Fa
rmer, Dan and Venema, Wietse. “Forensic Computer Analysis: An
Introduction.” Dr. Dobb’s Journal. September, 2000.



An
exos


Servicios encontrados en el sistema operativo de la imagen en estudio:



HKLM
\
System
\
CurrentControlSet
\
Services


AeLookupSvc


Pro
cesses application compatibility lookup requests for applications as they
are launched.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Alerter


Notifies selected users and computers of administrative alerts. If the service
is stopped, programs
that use administrative alerts will not receive them. If this
service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Apache


18


Apache/1.3.34 (Win32)


c:
\
apache
\
apache
\
apac
he.exe


AudioSrv


Manages audio devices for Windows
-
based programs. If this service is
stopped, audio devices and effects will not function properly. If this service is
disabled, any services that explicitly depend on it will fail to start.


Microsoft Co
rporation


c:
\
windows
\
system32
\
svchost.exe


BITS


Transfers data between clients and servers in the background. If BITS is
disabled, features such as Windows Update will not work correctly.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Brows
er


Maintains an updated list of computers on the network and supplies this list to
computers designated as browsers. If this service is stopped, this list will not be
updated or maintained. If this service is disabled, any services that explicitly depend
on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


CiSvc


Indexes contents and properties of files on local and remote computers;
provides rapid access to files through flexible querying language.


Microsoft Corporation


c
:
\
windows
\
system32
\
cisvc.exe


CryptSvc


Provides three management services: Catalog Database Service, which
confirms the signatures of Windows files; Protected Root Service, which adds and
removes Trusted Root Certification Authority certificates from th
is computer; and
Key Service, which helps enroll this computer for certificates. If this service is
stopped, these management services will not function properly. If this service is
disabled, any services that explicitly depend on it will fail to start.


M
icrosoft Corporation


c:
\
windows
\
system32
\
svchost.exe


DcomLaunch


Provides launch functionality for DCOM services.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Dfs


Integrates disparate file shares into a single, logical namespace and mana
ges
these logical volumes distributed across a local or wide area network. If this service
is stopped, users will be unable to access file shares. If this service is disabled, any
services that explicitly depend on it will fail to start.


Microsoft Corpora
tion


c:
\
windows
\
system32
\
dfssvc.exe


Dhcp


Registers and updates IP addresses and DNS records for this computer. If this
service is stopped, this computer will not receive dynamic IP addresses and DNS
updates. If this service is disabled, any services t
hat explicitly depend on it will fail to
start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


dmserver


19


Detects and monitors new hard disk drives and sends disk volume information
to Logical Disk Manager Administrative Service for configuratio
n. If this service is
stopped, dynamic disk status and configuration information may become out of date.
If this service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


D
NS


Enables DNS clients to resolve DNS names by answering DNS queries and
dynamic DNS update requests. If this service is stopped, DNS updates will not occur.
If this service is disabled, any services that explicitly depend on it will fail to start.


Micro
soft Corporation


c:
\
windows
\
system32
\
dns.exe


Dnscache


Resolves and caches Domain Name System (DNS) names for this computer.
If this service is stopped, this computer will not be able to resolve DNS names and
locate Active Directory domain controllers.

If this service is disabled, any services
that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


ERSvc


Collects, stores, and reports unexpected application crashes to Microsoft. If
this service is stop
ped, then Error Reporting will occur only for kernel faults and
some types of user mode faults. If this service is disabled, any services that
explicitly depend on it will not start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Eventlog


Ena
bles event log messages issued by Windows
-
based programs and
components to be viewed in Event Viewer. This service cannot be stopped.


Microsoft Corporation


c:
\
windows
\
system32
\
services.exe


EventSystem


Supports System Event Notification Service (SENS)
, which provides automatic
distribution of events to subscribing Component Object Model (COM) components. If
the service is stopped, SENS will close and will not be able to provide logon and
logoff notifications. If this service is disabled, any services t
hat explicitly depend on it
will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


helpsvc


Enables Help and Support Center to run on this computer. If this service is
stopped, Help and Support Center will be unavailable. If this se
rvice is disabled, any
services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


HTTPFilter


This service implements the secure hypertext transfer protocol (HTTPS) for
the HTTP service, using the
Secure Socket Layer (SSL). If this service is disabled,
any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
lsass.exe


kdc


On domain controllers this service enables users to log on to the network

20

u
sing the Kerberos authentication protocol. If this service is stopped on a domain
controller, users will be unable to log on to the network. If this service is disabled,
any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
lsass.exe


lanmanserver


Supports file, print, and named
-
pipe sharing over the network for this
computer. If this service is stopped, these functions will be unavailable. If this
service is disabled, any services that explicitly depen
d on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


lanmanworkstation


Creates and maintains client network connections to remote servers. If this
service is stopped, these connections will be unavailable. If this service

is disabled,
any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


LmHosts


Provides support for the NetBIOS over TCP/IP (NetBT) service and NetBIOS
name resolution for clients on the netw
ork, therefore enabling users to share files,
print, and log on to the network. If this service is stopped, these functions might be
unavailable. If this service is disabled, any services that explicitly depend on it will
fail to start.


Microsoft Corporat
ion


c:
\
windows
\
system32
\
svchost.exe


MSDTC


Coordinates transactions that span multiple resource managers, such as
databases, message queues, and file systems. If this service is stopped, these
transactions will not occur. If this service is disabled, a
ny services that explicitly
depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
msdtc.exe


MySQL


c:
\
apache
\
apache
\
mysql
\
bin
\
mysqld
-
nt.exe


pgsql
-
8.1


PostgreSQL Database Server (postmaster)


PostgreSQL Global Development Grou
p


c:
\
program files
\
postgresql
\
8.1
\
bin
\
pg_ctl.exe


PlugPlay


Enables a computer to recognize and adapt to hardware changes with little or
no user input. Stopping or disabling this service will result in system instability.


Microsoft Corporation


c:
\
wind
ows
\
system32
\
services.exe


PolicyAgent


Provides end
-
to
-
end security between clients and servers on TCP/IP networks.
If this service is stopped, TCP/IP security between clients and servers on the network
will be impaired. If this service is disabled, any

services that explicitly depend on it
will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
lsass.exe


ProtectedStorage


Protects storage of sensitive information, such as private keys, and prevents
access by unauthorized services, processes,
or users. If this service is stopped,

21

protected storage will be unavailable. If this service is disabled, any services that
explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
lsass.exe


RDSessMgr


Manages and controls

Remote Assistance. If this service is stopped, Remote
Assistance will be unavailable. Before stopping this service, see the Dependencies
tab of the Properties dialog box.


Microsoft Corporation


c:
\
windows
\
system32
\
sessmgr.exe


RemoteRegistry


Enables r
emote users to modify registry settings on this computer. If this
service is stopped, the registry can be modified only by users on this computer. If
this service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corpora
tion


c:
\
windows
\
system32
\
svchost.exe


RpcSs


Serves as the endpoint mapper and COM Service Control Manager. If this
service is stopped or disabled, programs using COM or Remote Procedure Call (RPC)
services will not function properly.


Microsoft Corpora
tion


c:
\
windows
\
system32
\
svchost.exe


SamSs


The startup of this service signals other services that the Security Accounts
Manager (SAM) is ready to accept requests. Disabling this service will prevent other
services in the system from being notified w
hen the SAM is ready, which may in turn
cause those services to fail to start correctly. This service should not be disabled.


Microsoft Corporation


c:
\
windows
\
system32
\
lsass.exe


Schedule


Enables a user to configure and schedule automated tasks on th
is computer.
If this service is stopped, these tasks will not be run at their scheduled times. If this
service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


seclogon


E
nables starting processes under alternate credentials. If this service is
stopped, this type of logon access will be unavailable. If this service is disabled, any
services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


SENS


Monitors system events and notifies subscribers to COM+ Event System of
these events. If this service is stopped, COM+ Event System subscribers will not
receive system event notifications. If this service is disabled, any serv
ices that
explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


SharedAccess


Provides network address translation, addressing, name resolution and/or
intrusion prevention services for a home or small office

network.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


22


ShellHWDetection


Provides notifications for AutoPlay hardware events.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


Spooler


Manages all local and network print queues and c
ontrols all printing jobs. If
this service is stopped, printing on the local machine will be unavailable. If this
service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
spoolsv.exe


SysmonLog


Collects performance data from local or remote computers based on
preconfigured schedule parameters, then writes the data to a log or triggers an alert.
If this service is stopped, performance information will not be collected. If this
service i
s disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
smlogsvc.exe


TapiSrv


Provides Telephony API (TAPI) support for clients using programs that control
telephony devices and IP
-
based voic
e connections. If this service is stopped, the
function of all dependent programs will be impaired. If this service is disabled, any
services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


TrkWks


Enables client programs to track linked files that are moved within an NTFS
volume, to another NTFS volume on the same computer, or to an NTFS volume on
another computer. If this service is stopped, the links on this computer will not be
maintained or tr
acked. If this service is disabled, any services that explicitly depend
on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


VMTools


Provides support for synchronizing objects between the host and guest
operating systems.


VMware, Inc.


c:
\
program files
\
vmware
\
vmware tools
\
vmwareservice.exe


W32Time


Maintains date and time synchronization on all clients and servers in the
network. If this service is stopped, date and time synchronization will be unavailable.
If this servi
ce is disabled, any services that explicitly depend on it will fail to start.




Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


WinDefend


Helps protect users from spyware and other potentially unwanted software


Microsoft Corporation


c:
\
progra
m files
\
windows defender
\
msmpeng.exe


winmgmt


Provides a common interface and object model to access management
information about operating system, devices, applications and services. If this
service is stopped, most Windows
-
based software will not func
tion properly. If this

23

service is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


wuauserv


Enables the download and installation of Windows updates. If this service is
disa
bled, this computer will not be able to use the Automatic Updates feature or the
Windows Update Web site.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


WZCSVC


Enables automatic configuration for IEEE 802.11 adapters. If this service is
stoppe
d, automatic configuration will be unavailable. If this service is disabled, any
services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
svchost.exe


HKLM
\
System
\
CurrentControlSet
\
Services


ACPI


ACPI Driver
for NT


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
acpi.sys


aec


Microsoft Acoustic Echo Canceller


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
aec.sys


AFD


AFD Networking Support Environment


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
afd.sys


agp440


440 NT AGP Filter


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
agp440.sys


AsyncMac


RAS Asynchronous Media Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
asyncmac.sys


atapi


IDE/ATAPI Port Driver


Micros
oft Corporation


c:
\
windows
\
system32
\
drivers
\
atapi.sys


Atmarpc


ATM ARP Client Protocol


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
atmarpc.sys


audstub


AudStub Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
audstub.sys


Cdrom


SCSI CD
-
ROM Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
cdrom.sys


24


CmBatt


Control Method Battery Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
cmbatt.sys


Compbatt


Composite Battery Driver


Microsoft Corporation


c:
\
window
s
\
system32
\
drivers
\
compbatt.sys


crcdisk


Disk Block Verification Filter Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
crcdisk.sys


Disk


PnP Disk Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
disk.sys


dmio


NT Disk Manager

I/O Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
dmio.sys


dmload


NT Disk Manager Startup Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
dmload.sys


DMusic


Microsoft Kernel DLS Synthesizer


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
dmusic.sys


drmkaud


Microsoft Kernel DRM Audio Descrambler Filter


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
drmkaud.sys


EL90XBC


3Com EtherLink PCI Driver


3Com Corporation


c:
\
windows
\
system32
\
drivers
\
el90xbc5.sys


Fdc


Floppy Disk Controller Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
fdc.sys


Flpydisk


Floppy Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
flpydisk.sys


Ftdisk


FT Disk Driver


Microsoft Corporation


c:
\
windows
\
system32
\
dri
vers
\
ftdisk.sys


gameenum


Game Port Enumerator


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
gameenum.sys


Gpc


25


Generic Packet Classifier


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
msgpc.sys


HTTP


This service implements the hypertex
t transfer protocol (HTTP). If this service
is disabled, any services that explicitly depend on it will fail to start.


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
http.sys


i8042prt


i8042 Port Driver


Microsoft Corporation


c:
\
windows
\
system32
\
d
rivers
\
i8042prt.sys


imapi


IMAPI Kernel Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
imapi.sys


IntelIde


Intel PCI IDE Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
intelide.sys


intelppm


Processor Device Driver


Microso
ft Corporation


c:
\
windows
\
system32
\
drivers
\
intelppm.sys


Ip6Fw


Provides intrusion prevention service for a home or small office network.


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ip6fw.sys


IpFilterDriver


IP Traffic Filter Driver


Microsof
t Corporation


c:
\
windows
\
system32
\
drivers
\
ipfltdrv.sys


IpInIp


IP in IP Tunnel Driver


File not found: system32
\
DRIVERS
\
ipinip.sys


IpNat


IP Network Address Translator


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ipnat.sys


IPSec


IPSEC dri
ver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ipsec.sys


isapnp


PNP ISA Bus Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
isapnp.sys


Kbdclass


Keyboard Class Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
kbdclass.s
ys


kmixer


Kernel Mode Audio Mixer


26


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
kmixer.sys


Mouclass


Mouse Class Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
mouclass.sys


MSKSSRV


MS KS Server


Microsoft Corporation


c:
\
window
s
\
system32
\
drivers
\
mskssrv.sys


MSPCLOCK


MS Proxy Clock


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
mspclock.sys


MSPQM


MS Proxy Quality Manager


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
mspqm.sys


mssmbios


System Management BIOS

Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
mssmbios.sys


NdisTapi


Remote Access NDIS TAPI Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ndistapi.sys


Ndisuio


NDIS Usermode I/O Protocol


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ndisuio.sys


NdisWan


Remote Access NDIS WAN Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
ndiswan.sys


NetBT


NetBios over Tcpip


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
netbt.sys


P3


Processor Device Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
p3.sys


Parport


Parallel Port Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
parport.sys


Parvdm


VDM Parallel Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
parvdm.sys


PC
I


NT Plug and Play PCI Enumerator


Microsoft Corporation


27


c:
\
windows
\
system32
\
drivers
\
pci.sys


PCnet


NDIS 5.0 driver


AMD Inc.


c:
\
windows
\
system32
\
drivers
\
pcntpci5.sys


PptpMiniport


WAN Miniport (PPTP)


Microsoft Corporation


c:
\
windows
\
system32
\
dr
ivers
\
raspptp.sys


Ptilink


Direct Parallel Link Driver


Parallel Technologies, Inc.


c:
\
windows
\
system32
\
drivers
\
ptilink.sys


RasAcd


Remote Access Auto Connection Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
rasacd.sys


Rasl2tp


WAN M
iniport (L2TP)


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
rasl2tp.sys


RasPppoe


Remote Access PPPOE Driver


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
raspppoe.sys


Raspti


Direct Parallel


Microsoft Corporation


c:
\
windows
\
system32
\
d
rivers
\
raspti.sys


RDPCDD


RDP Miniport


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
rdpcdd.sys


rdpdr


Microsoft RDP Device redirector


Microsoft Corporation


c:
\
windows
\
system32
\
drivers
\
rdpdr.sys


redbook


Redbook Audio Filter Driver


Micros
oft Corporation


c:
\
windows
\
system32
\
drivers
\
redbook.sys


rtl8139


Realtek RTL8139 NDIS 5.0 Driver


Realtek Semiconductor Corporation


c:
\
windows
\
system32
\
drivers
\
rtl8139.sys


Secdrv


SafeDisc driver


Macrovision Corporation, Macrovision Europe Limited
, and Macrovision Japan
and Asia K.K.


c:
\
windows
\
system32
\
drivers
\
secdrv.sys


serenum


Serial Port Enumerator


Microsoft Corporation


28


c:
\
windows
\
system32
\
drivers
\
serenum.sys