Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del José Luis Rivas López TEAXUL.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del 2006. José Luis Rivas López TEAXUL. jlrivas@teaxul.com"

Natividad del Río Carrizo
hace 8 años
Vistas:

1 Forense Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.net y Detección de Intrusiones - 1Copyright 2006 Carlos Fragoso / José L.Rivas - 1

com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.

3 Que és un Forense? Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado Dan Farmer y Wietse Venema, 1999 y Detección de Intrusiones - 3Copyright 2006 Carlos Fragoso / José L.Rivas - 3

la información con el objetivo de reconstruir todos los datos y/o los eventos qué

5 Algunos conceptos Evidencia Cadena de custodia Archivo de hallazgos Línea de tiempo Imágenes Comprobación de integridad Hash y Detección de Intrusiones - 5Copyright 2006 Carlos Fragoso / José L.Rivas - 5

Comprobación de integridad Hash y Detección de

7 Se busca vivo o muerto Sistema vivo Memoria Flujos de red Procesos Ficheros Sistema muerto Almacenamiento Información complementaria: Logs (IDS, firewalls, servidores, aplicaciones) y Detección de Intrusiones - 7Copyright 2006 Carlos Fragoso / José L.Rivas - 7

complementaria: Logs (IDS, firewalls, servidores, aplicaciones)

9 Metodología Verificación y descripción del incidente Adquisición de evidencias Obtención de imagenes de las evidencias inicial Creación y análisis de la línea de tiempo específico y recuperación de datos de datos y cadenas Generación del informe y Detección de Intrusiones - 9Copyright 2006 Carlos Fragoso / José L.Rivas - 9

de tiempo específico y recuperación de datos de datos y cadenas Generación del

10 Creación n del archivo de hallazgos Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Forense Útil para la reconstrucción del caso un tiempo después de que este haya sido realizado y Detección de Intrusiones - 10 Copyright 2006 Carlos Fragoso / José L.Rivas - 10

para la reconstrucción del caso un tiempo después de que este haya sido

11 Recepción n de la Imagen de datos Consiste en la recepción de las imágenes de datos a investigar. Clonación de las imágenes. Habrá que verificarlos con MD5 y compararlo con lo de la fuente original. NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia. y Detección de Intrusiones - 11 Copyright 2006 Carlos Fragoso / José L.Rivas - 11

NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de

12 Identificación n de las particiones En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas. Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada. y Detección de Intrusiones - 12 Copyright 2006 Carlos Fragoso / José L.Rivas - 12

Reconocimiento de las características especiales de la organización de la información y se puede

13 Identificación n SO y aplicaciones En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc. y Detección de Intrusiones - 13 Copyright 2006 Carlos Fragoso / José L.Rivas - 13

aplicaciones utilizadas, antivirus, etc.

14 Revisión n de código c malicioso Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc. y Detección de Intrusiones - 14 Copyright 2006 Carlos Fragoso / José L.Rivas - 14

15 Recuperación n archivos Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: campos reservados en el sistema de archivos espacios etiquetados como dañados por el sistema de archivos y Detección de Intrusiones - 15 Copyright 2006 Carlos Fragoso / José L.Rivas - 15

sistema de archivos espacios etiquetados como dañados por el sistema de

16 Primera Clasificación n de Archivos Archivos buenos conocidos. Aquellos que su extensión corresponden con su contenido. Archivos buenos modificados. Aquellos cuya versión original ha sido modificada. Archivos malos. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.) Archivos extensión modificada. La extensión no corresponde con su contenido. y Detección de Intrusiones - 16 Copyright 2006 Carlos Fragoso / José L.Rivas - 16

Aquellos cuya versión original ha sido modificada. Archivos malos.

17 Segunda Clasificación n de archivos Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso. y Detección de Intrusiones - 17 Copyright 2006 Carlos Fragoso / José L.Rivas - 17

investigación y contenido relevante para el caso.

18 Analizar los archivos Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar. y Detección de Intrusiones - 18 Copyright 2006 Carlos Fragoso / José L.Rivas - 18

recolectada para resolver el caso, o por que se agotan los datos para

19 de artefactos Consiste en realizar un análisis minucioso de posibles contenidos conflictivos identificados en el sistema. Tipos de análisis: Comportamiento Código o contenido y Detección de Intrusiones - 19 Copyright 2006 Carlos Fragoso / José L.Rivas - 19

Tipos de análisis: Comportamiento Código o contenido y

20 Línea de tiempo Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia. y Detección de Intrusiones - 20 Copyright 2006 Carlos Fragoso / José L.Rivas - 20

que permite correlacionarlos enriqueciendo la evidencia.

21 Informe En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. Descripción del caso Sistema atacado Valoración de daños Descripción del ataque Anexos y Detección de Intrusiones - 21 Copyright 2006 Carlos Fragoso / José L.Rivas - 21

23 Herramientas Aplicaciones comerciales: Encase Aplicaciones opensource: Sleuthkit, Autopsy, Helix, Fire, etc. La herramienta más importante es: y Detección de Intrusiones - 23 Copyright 2006 Carlos Fragoso / José L.Rivas - 23

26 III Reto de Forense SSOO Win2003 server en partición de 5 GB Direccionamiento IP privado (no homologado) Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE. Standalone Apache+PHP+MySQL PostgreSQL DNS Compartición de archivos 2 cuentas de administración y 5 de usuarios sin privilegios WebERP y Detección de Intrusiones - 26 Copyright 2006 Carlos Fragoso / José L.Rivas - 26

27 Descarga y comprobación n imagen Bajar la imagen Descomprimirla Hacer el md5 comprobando la integridad > md5sum.exe windows2003.img y Detección de Intrusiones - 27 Copyright 2006 Carlos Fragoso / José L.Rivas - 27

28 Montaje de la imagen Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:\windows2003.img /ro z: y Detección de Intrusiones - 28 Copyright 2006 Carlos Fragoso / José L.Rivas - 28

29 Recogida de datos Recogida de datos del sistema en: %systemroot%\system32\config con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT y Detección de Intrusiones - 29 Copyright 2006 Carlos Fragoso / José L.Rivas - 29

30 Inicios de sesión INICIOS DE SESION* *Fuente: Microsoft technet ol/windowsserver2003/es/library/serverhel p/e104c96f-e243-41c5-aaead046555a079d.mspx?mfr=true y Detección de Intrusiones - 30 Copyright 2006 Carlos Fragoso / José L.Rivas - 30

31 Logs LOGS (%systemroot%\system32\config SysEvent.Evt SecEvent.Evt AppEvent.Evt Aplicación: Visor de sucesos (eventvwr.msc) y Detección de Intrusiones - 31 Copyright 2006 Carlos Fragoso / José L.Rivas - 31

32 Perfil de usuario Registro del perfil de usuario: Documents and Settings\<<nombre usuario>>\ntuser.dat Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza. y Detección de Intrusiones - 32 Copyright 2006 Carlos Fragoso / José L.Rivas - 32

33 Histórico de navegación Internet Explorer \Documents and Settings\<usuario>\Local Settings\Temporary Internet Files\Content.IE5\ \Documents and Settings\<usuario>\Cookies\ \Documents and Settings\<usuario>\Local Settings\History\History.IE5\ pasco d t index.dat > index.txt y Detección de Intrusiones - 33 Copyright 2006 Carlos Fragoso / José L.Rivas - 33

34 Referencias Helix Live CD, e-fense URL: Computer Forensics Resources, Forensics.NL URL: JISK - Forensics, Jessland Security Services URL: GNU Utilities for Win32, Sourceforge Project URL: Forensics Acquisition Utilities, George M.Garner Jr. URL: Windows Forensic Toolchest, Fool Moon Software & Security URL: y Detección de Intrusiones - 34 Copyright 2006 Carlos Fragoso / José L.Rivas - 34

Documentos relacionados

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Informática Forense : Z-RED111 : Sexto

I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Informática Forense : Z-RED111 : Sexto Requisitos : Z-RED120 (Seguridad