Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006
José Luis Rivas López TEAXUL
[email protected]
Carlos Fragoso Mariscal CESCA / JSS
[email protected] -
[email protected] Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©1Copyright 2006 Carlos Fragoso / José José L.Rivas - 1
Agenda • • • • •
Introducción Metodología y procedimientos Herramientas Caso de estudio Reto de análisis forense
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©2Copyright 2006 Carlos Fragoso / José José L.Rivas - 2
¿ Que és un Análisis Forense ? • “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©3Copyright 2006 Carlos Fragoso / José José L.Rivas - 3
En busca de respuestas... • • • • • •
¿ Qué sucedió ? ¿ Donde ? ¿ Cuándo ? ¿ Por qué ? ¿ Quién ? ¿ Cómo ?
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©4Copyright 2006 Carlos Fragoso / José José L.Rivas - 4
Algunos conceptos • • • • • •
Evidencia Cadena de custodia Archivo de hallazgos Línea de tiempo Imágenes Comprobación de integridad – Hash
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©5Copyright 2006 Carlos Fragoso / José José L.Rivas - 5
¿ Preservar o salvar ?
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©6Copyright 2006 Carlos Fragoso / José José L.Rivas - 6
Se busca “vivo o muerto” • Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros
• Sistema “muerto” – Almacenamiento
• Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones) Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©7Copyright 2006 Carlos Fragoso / José José L.Rivas - 7
Agenda • • • • •
Introducción Metodología y procedimientos Herramientas Caso de estudio Reto de análisis forense
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©8Copyright 2006 Carlos Fragoso / José José L.Rivas - 8
Metodología • • • • • • • •
Verificación y descripción del incidente Adquisición de evidencias Obtención de imagenes de las evidencias Análisis inicial Creación y análisis de la línea de tiempo Análisis específico y recuperación de datos Análisis de datos y cadenas Generación del informe
Aná Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©9Copyright 2006 Carlos Fragoso / José José L.Rivas - 9
Creación del archivo de hallazgos • Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense • Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©10 José L.Rivas - 10
Recepción de la Imagen de datos • Consiste en la recepción de las imágenes de datos a investigar. • Clonación de las imágenes. • Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©11 José L.Rivas - 11
Identificación de las particiones • En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. • Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©12 José L.Rivas - 12
Identificación SO y aplicaciones • En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©13 José L.Rivas - 13
Revisión de código malicioso • Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©14 José L.Rivas - 14
Recuperación archivos • Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivos
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©15 José L.Rivas - 15
Primera Clasificación de Archivos • Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido. • Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada. • Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) • Archivos extensión modificada. La extensión no corresponde con su contenido.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©16 José L.Rivas - 16
Segunda Clasificación de archivos • Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©17 José L.Rivas - 17
Analizar los archivos • Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©18 José L.Rivas - 18
Análisis de artefactos • Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema. • Tipos de análisis: – Comportamiento – Código o contenido
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©19 José L.Rivas - 19
Línea de tiempo • Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©20 José L.Rivas - 20
Informe • En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – Anexos Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©21 José L.Rivas - 21
Agenda • • • • •
Introducción Metodología y procedimientos Herramientas Caso de estudio Reto de análisis forense
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©22 José L.Rivas - 22
Herramientas • Aplicaciones comerciales: – Encase
• Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc.
• La herramienta más importante es:
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©23 José L.Rivas - 23
Agenda • • • • •
Introducción Metodología y procedimientos Herramientas Caso de estudio Reto de análisis forense
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©24 José L.Rivas - 24
Agenda • • • • •
Introducción Metodología y procedimientos Herramientas Caso de estudio Reto de análisis forense
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©25 José L.Rivas - 25
III Reto de Análisis Forense • SSOO Win2003 server en partición de 5 GB • Direccionamiento IP privado (no homologado) • Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. • Standalone • Apache+PHP+MySQL • PostgreSQL • DNS • Compartición de archivos • 2 cuentas de administración y 5 de usuarios sin privilegios • WebERP
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©26 José L.Rivas - 26
Descarga y comprobación imagen • Bajar la imagen • Descomprimirla • Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©27 José L.Rivas - 27
Montaje de la imagen • Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:\windows2003.img /ro z:
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©28 José L.Rivas - 28
Recogida de datos • Recogida de datos del sistema en: %systemroot%\system32\config
• con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©29 José L.Rivas - 29
Inicios de sesión • INICIOS DE SESION*
*Fuente: Microsoft technet
http://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaead046555a079d.mspx?mfr=true Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©30 José L.Rivas - 30
Logs • LOGS (%systemroot%\system32\config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt
• Aplicación: Visor de sucesos (eventvwr.msc)
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©31 José L.Rivas - 31
Perfil de usuario • Registro del perfil de usuario: Documents and Settings\\NTuser.dat
• Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza.
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©32 José L.Rivas - 32
Histórico de navegación • Internet Explorer – \Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\ – \Documents and Settings\\Cookies\ – \Documents and Settings\\Local Settings\History\History.IE5\
pasco –d –t index.dat > index.txt
Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©33 José L.Rivas - 33
Referencias • “Helix Live CD”, e-fense Þ URL: http://www.e-fense.com/helix/ • “Computer Forensics Resources”, Forensics.NL Þ URL: http://www.forensics.nl/toolkits • “JISK - Forensics”, Jessland Security Services Þ URL: http://www.jessland.net • “GNU Utilities for Win32”, Sourceforge Project Þ URL: http://unxutils.sourceforge.net/ • “Forensics Acquisition Utilities”, George M.Garner Jr. Þ URL: http://unxutils.sourceforge.net/ • “Windows Forensic Toolchest”, Fool Moon Software & Security Þ URL: Aná Copyright 2006 Carlos Fragoso / José Análisis Forense, Forense, Auditorí Auditorías y Detecció Detección de Intrusiones - ©34 José L.Rivas - 34
