Análisis Forense. de un. Ataque Web

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Análisis Forense. de un. Ataque Web"

Paula del Río Cruz
hace 8 años
Vistas:

1 The OWASP Foundation Análisis Forense de un Ataque Web Mauricio

2 Mauricio Urizar l Trabajando los últimos 07 años como parte del equipo de hacker eticos de Open-Sec. l Instructor de cursos de Ethical Hacking en Perú y Ecuador. C EH (Certified Ethical Hacker) CEI (Certified EC-Council Instructor) CPTE (Certified Penetration Tester) CPTE Mile2 - Authorized Instructor OSEH (Open-Sec Ethical Hacker)

C EH (Certified Ethical Hacker) CEI (Certified EC-Council Instructor) CPTE

3 DESCARGO DE RESPONSABILIDADES l Esta presentación tiene como propósito proveer únicamente información. No aplicar este material ni conocimientos sin el consentimiento explícito que autorice a hacerlo. Los lectores (participantes, oyentes, videntes) asumen la responsabilidad completa por la aplicación o experimentación de este material y/o conocimientos presentados. El(los) autor(es) quedan exceptuados de cualquier reclamo directo o indirecto respecto a daños que puedan haber sido causados por la aplicación de este material y/o conocimientos expuestos. l La información aquí expuesta representa las opiniones y perspectivas propias del autor respecto a la materia y no representan ninguna posición oficial de alguna organización asociada.

Los lectores (participantes, oyentes, videntes) asumen la responsabilidad completa por la aplicación o experimentación de este material y/o conocimientos presentados.

4 Atacante Escenario Quienes deben estar aquí? Por qué estoy aquí?? Servidor Web

5 Que buscamos..

6 Investigación Forense Investigacionsobre un acontecimiento del pasado con el fin de determinar las acontecimiento. posibles causas y responsables de dicho

7 Definición de la Metodología Por qué estoy aquí?

8 Proceso Forense Tradicional Por qué estoy aquí? RECOLECCION Identificacion de Origenes de Datos Extraccion EVALUACION Revisionde Imagen/Datos ANALISIS Comparacion de con de Imagen/Datos REPORTE Hallazgos Ataques Presentacion y Sustento de Caso conocidos Creacion de Evidencia CADENA DE CUSTODIA El Proceso Forense Informático consiste en recolectar datos desde un medio para generar información que permita encontrar evidencia de un hecho en particular

Comparacion de con de Imagen/Datos REPORTE Hallazgos Ataques Presentacion y Sustento de Caso conocidos Creacion

9 Cadena de Custodia #1 - Configurando WebScarab

10 Guía de Recolección de Evidencia Digital #1 -Configurando Configurandoel WebScarab Proxy (RFC3227) Order of volatility of digital evidence Captura de datos volátiles Procesos Puertos y conexiones de red Dumpeo de memoria Apagado del Sistema Elaboración de Imagen forense

de datos volátiles Procesos Puertos y conexiones de red Dumpeo de memoria

11 Análisis Trafico de Red #1 -Configurando Configurandoel WebScarab Proxy

12 Análisis Trafico de Red #1 -Configurando Configurandoel WebScarab Proxy

13 Adquiriendo Evidencia Volátil DART2 (Digital Advanced Response Toolkit)

14 Adquiriendo Evidencia Volátil tr3-collect.bat Data Collection Script

15 Adquiriendo Evidencia Volátil Por qué estoy aquí? Información de proveniente del sistema operativo y medios de almacenamiento electrónicos que pierden los datos al ser apagados

16 Analizando memoria RAM CONNSCAN Lista conexiones de red para identificar equipos remotos conectados en el momento de la captura de la memoria RAM.

17 Analizando memoria RAM DLLLIST Lista los archivos DLL cargados de un proceso en particular

18 Analizando memoria RAM SCRIPT VERIFICA EN GOOGLE

19 Analizando memoria RAM DLLDUMP Extrae los DLL desde el espacio de memoria del proceso y lo descarga en el disco para el análisis.

20 Analizando memoria RAM

21 Adquiriendo Evidencia Volátil Por qué estoy aquí? Informacion proveniente de medios de almacenamiento electronicos o magneticos que no pierden los datos al quedarse energia sin

22 Utilizar writeblockers Spider plug-in Por qué estoy aquí? (si es posible) Además de prevenir la escritura accidental en el origen, algunos de estos dispositivos pueden acelerar la transferencia de datos haciendo mas rápida la obtención de la imagen

23 Adquisición Imagen Forense

24 Cadena de Custodia...

25 Esquema Tradicional Analizar imagen con herramientas forenses Examinar archivos conocidos de evidencias SYSTEM, SOFTWARE, ETC..) Examinar fechas de archivos (timeline) Comprobar software malicioso en la RAM Examinar archivos eliminados Realizar búsquedas de cadenas (strings) Analizar encabezados archivos (file carving) (NTUSET.DAT,

26 Adquisición / Analizando Imagen Adquirida Imagen Forense Disco Conectado

27 Analizando Imagen Adquirida

28 Analizando Registros (hives) de Windows

29 Archivos Conocidos

30 Esquema Web Entender el flujo "normal" de la aplicación Archivos de registro (logs): Servidor web Servidor de Aplicaciones Servidor de Base de Datos Aplicación Archivos de configuración de la aplicación y servidor Identificar posibles anomalías: Entradas maliciosas desde el cliente Interrupciones de las tendencias normales de acceso a Internet Cabeceras HTTP inusuales Cambios a mitad de la sesión a los valores de cookie.

32 Reporte

33 El proceso standard no siempre funciona = Las aplicaciones web son a menudo críticasyel tiempo de inactividad para realizar la adquisición deunaimagennoesunaopciondesdeel punto de vista deelnegocio. Las aplicaciones web se distribuyen a menudo a través de múltiples servidores. Servidores de bases de datos por lo general tienen grandes arreglos de discos.

34 Conclusiones? + Atacante Servidor Web

35 OWASP World PREGUNTASY/O COMENTARIOS

Documentos relacionados

Web Application exploiting and Reversing Shell

OWASP Perú Chapter Meeting The OWASP Foundation http://www.owasp.org Web Application exploiting and Reversing Shell Juan Oliva @jroliva jroliva@gmail.com Copyright The OWASP Foundation Permission is granted