Análisis Forense Reinaldo Mayol Arnao

Transcripción

1 Análisis Forense

2 Qué es el Análisis Forense? Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional: Preservación IdenAficación Extracción Documentación Interpretación

3 Cúales son las diferencias más comunes con un proceso forense tradicional? Cuando se subtrae información esta sigue estando donde estaba La copia de los datos es idénaca a los originales Los datos pueden accederse si contacto Isico La información puede ser ocultada para que no sea reconocida La información puede ser distribuida en pocos segundos a numerosos lugares La información puede ser destruida sin que queden rastros, ni exista forma de recuperarla El volumen de datos puede ser significaavo La información colectada puede ser falsa

4 Metodología de Análisis Forense 1. Adquisición de Evidencia 2. AutenAficación de la evidencia colectada 3. Análisis de la Evidencia

5 1- Adquisición de Evidencia Preservar los datos, aún si estos se encuentran en medios voláales como la memoria RAM del sistema afectado. Si no se encuentra evidencia en medios voláales, el equipo debe ser iniciado desde un disco flexible debidamente El contenido de todos los discos duros debe ser volcado a algún medio de almacenamiento secundario El medio de almacenamiento que conaene la data respaldada debe ser instalado en una estación especial de análisis de evidencias. Si se sospecha la existencia de evidencia en medios como la memoria RAM esta debe ser volcada a un medio perecedero. Es muy importante documentar todos los pasos ejecutados así como el contendido de toda la evidencia colectada.

6 Principios Generales de la Colección de Evidencias Digitales Cualquier labor realizada no debe modificar la evidencia En caso de que sea necesario operar sobre la evidencia original la persona debe estar capacitada para realizar la labor sin que la evidencia sea afectada Cualquier acavidad sobre la evidencia debe ser minusiosamente documentaday estar disponible para su revisión y comprobación.

7 Adqusición de la Evidencia VoláAl Hora del Sistema Usuarios AcAvos Información sobre procesos Memoria de procesos Contenido del protapapeles Historial de Comandos Servicios y DisposiAvos PolíAcas de Grupo Almacenamientos Protegidos

8 Adquisición de Evidencia VoláAl:Usuarios conectados

9 Adquisición de Evidencia VoláAl:Procesos

10 Adquisición de Evidencia VoláAl:Memoria C:> pmdump 1020 volcadoram.explorer Archivo de volcado Proceso

11 1- a) Manipulación de la Evidencia Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba. Uno de los elementos que se ualizan son las Cadenas de Confianza. Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: Quién colectó la evidencia? Cómo y donde fue colectada? Quiénes tuvieron posesión y acceso a la evidencia? Cómo fue almacenada y protegida? Quién la ha manipulado?

12 1- a) Manipulación de la Evidencia cont Toda la evidencia colectada debe ser idenaficada. La idenaficación debe incluir los siguientes elementos: Número del caso Descripción de caso Firma del InvesAgador que colecta la evidencia Fecha y hora en que la evidencia ha sido colectada

13 1- a) Manipulación de la Evidencia cont Si la evidencia debe ser transportada deben tenerse en cuenta los elementos de seguridad Isica (humedad, interferencia electromagnéaca, etc) necesarios para garanazar que la eficacia de la evidencia no sea afectada. Igualmente debe asegurarse que la evidencia no pueda ser manipulada por terceros durante su transportación.

14 1- a) Manipulación de la Evidencia cont Debe cuidarse que la idenaficación de la evidencia no sea afectada durante el proceso de transportación Iguales medidas han de tomarse para preservar la evidencia si la misma debe ser almacenada

15 2- AutenAficación de la Evidencia El objeavo de este paso es proveer un mecanismo que garanace la evidencia colectada no pueda ser modificada o susatuida sin que el invesagador pueda notarlo.

16 2- AutenAficación de la Evidencia Por lo general, se recomienda ualizar algoritmos de HASH (MD5?? ó SHA) capaces de crear un hash de la evidencia que garanace su integridad. Se puede firmar digitalmente cada evidencia garanazando de esta forma que la misma no pueda ser susatuida.

17 3- Análisis de las Evidencias El objeavo de este paso es poder reconstruir lo ocurrido para llegar a conclusiones sobre sus causas, responsables y profilaxis. Este paso incluye acciones como: n Montaje de la evidencia en la estación del invesagador

18 3- Análisis de las Evidencias n Análisis del sector de arranque n Búsqueda de evidencia paracular en sectores borrados n Análisis de bitácoras del sistema operaavo

19 Auditoría Forense Windows

20 El sistema de Archivos: FAT vs NTFS FAT ualiza File AllocaAon Tables. NTFS ualiza archivos de Metadata FAT ualiza un formato 8.3 para la representación de nombres NTFS ualiza UNICODE (16 bits por cada caracter) Los permisos en FAT solo llegan a nivel de carpetas mientras en NTFS los permisos se exaenden hasta los archivos.

21 MAC Times Una de los elementos más importantes para el analista forense lo consatuyen las marcas de Aempo. MAC Modificación Acceso Creación

22 MAC Times cont

23 Sistema de Archivos de NTFS Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control. Existe un MFT por cada archivo en el volumen. Los MFT son localizados en la raíz del volumen, comienzan por $ y no son visibles. Un MFT almacena los atributos de los archivos y subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros. Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo)

24 Formato Simplificado de un Para un archivo: Header $FILENAME $ STANDART_INFORMATION $DATA Lista de Atributos archivo MFT Para un subdirectorio: Header $INDEX_ROOT Entradas de Indice $INDEX_ALLOCATION

25 $BITMAP EL $BITMAP ualiza un bit para almacenar el estado de cada sector: 1 : el sector está ocupado 0 : el sector está disponible. Cuando un archivo es borrado el bit correspondiente en el $BITMAP es puesto en 0, el MFT correspondiente es marcado para ser borrado y el índice correspondiente es borrado.

26 Formateado Cuando un volumen es formateado NTFS sobrescribe los anaguos MFT. Sin embargo, los datos se manaenen (ahora claro está inconexos, no visibles y posiblemente incompletos) en los sectores disponibles del nuevo volumen.

27 Renombrado, movimiento y borrado de archivos Cuando un archivo es renombrado o movido el sistema simplemente borra los archivos de índice correspondientes pero no mueve la información. Un invesagador puede buscar en el MFT del directorio que contenía los datos movidos y renombrados para encontrar las entradas correspondientes con los índices de buffers (índices a las posiciones de los datos que no Reinaldo cabían Mayol Arnao dentro del MFT.

28 Papelera de Reciclaje El análisis de la papelera de reciclaje es un elemento importante para el invesagador forense. La papelera es un archivo oculto llamado Recycled en Windows 95 y 98, y Recycler en las versiones posteriores y localizados en la raíz del sistema de archivos En W. NT y versiones posteriores la primera vez que un usuario pone un archivo en la papelera es creado un subdirectorio cuyo Reinaldo nombre Mayol Arnao corresponde al UID del usuario.

29 La papelera C:\RECYCLER>dir /ah Volume in drive C has no label. Volume Serial Number is D08 Directory of C:\RECYCLER 11/02/ :30 p.m. <DIR>. 11/02/ :30 p.m. <DIR>.. 26/02/ :05 p.m. <DIR> S File(s) 0 bytes 3 Dir(s) bytes free :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: C:\RECYCLER\S >dir /ah Volume in drive C has no label. Volume Serial Number is D08 Directory of C:\RECYCLER\S /02/ :05 p.m. <DIR>. 26/02/ :05 p.m. <DIR>.. 15/02/ :41 p.m. 65 desktop.ini 01/03/ :59 a.m INFO2 2 File(s) bytes 2 Dir(s) bytes free

30 La papelera cont Papelera de Reciclaje Archivos dentro de la papelera Posición dentro del disco

31 La papelera de reciclaje cont El nombre de los archivos dentro de la papelera se forma de la siguiente forma: Ej: Archivo borrado c:/mydocs/text.txt Nombre del archivo en la papelera: Volumen donde residía el archivo borrado Índice dentro de la papelera DC0.txt Extensión original

32 La papelera de reciclaje cont El archivo oculto INFO2 almacena la información sobre todos los archivos borrados, incluyendo para cada uno la fecha de borrado, su índice dentro de la papelera y su nuevo nombre dentro de la misma y el path del archivo original.

33 La papelera de reciclaje cont Cuando la papelera es borrada los archivos y el INFO2 también son borrados. Si la papelera no ha sido sobrescrita es posible encontrar el archivo INFO2 y hacer una búsqueda manual de los archivos. Si el archivo INFO2 ha sido sobrescrito solo queda buscar exhausavamente el archivo en el espacio disponible del disco.

34 Otras fuentes de información Los archivos de acceso directo Index.dat Thumbs.db Entradas del registro

35 Index.dat

36 Index.dat

37 Análisis de Temporales

38 Análisis de Atajos

39 El registro Los registros se encuentran en varios archivos ocultos en: %systemroot% \system32\config y NTUSER.DAT. Un auditor forense debe hacer copias de los archivos del registro y visualizarlos en otro editor.

40 Cuál es la estructura del registro?

41 El proceso svhost Svhost es un superproceso que maneja otros procesos. Es cumún que su nombre aparezca varias veces en el arbol de servios activos

42 El proceso Svhost Varios Troyanos y backdoors han sido escritos para que se escriban en el sistema vícama bajo el nombre de svhost.exe. De esa forma tratan de engañar al administrtador del sistema Por regla general se trata de copiar hacia system32 En W2K, XP y 2003 el subdirtectorio system32 se encuentra protegido.

43 Detectando interfaces promiscuas

44 Obteniendo información de la Red

45 Obteniendo información de la Red

46 Historial de Comandos

47 Drivers

48 Protected Storage pstoreview

49 Análisis de Sistemas UNIX

50 Sistema de Archivos # fdisk l /dev/hda Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders Units = cylinders of 4032* 512 bytes Device Boot Start End Blocks Id System /dev/hda Linux Disco IDE A Partición:1 Tipo de SA

51 Permisología UNIX R: Lectura W: Escritura X: Ejecución Permiso Negado Permiso Otorgado Resto Grupo Propietario

52 Archivos Ocultos En UNIX los archivos ocultos se disanguen por comenzar por un. # ls a.home.stach.gnome$

53 /etc/passwd User:23wedjg jf:500:500:usuario General:/home/user:/bin/csh HOME shell Nombre UID GID Login Contraseña

54 SUID y SGID _rwsr_xr_x 1 root root Apr 4 16:00 / usr/bin/at SUID SGID _rwxr_sr_x 1 root root Apr 7 11:12 / sbin/netport

55 HASH de Archivos # md5sum /bin/ ls 9640c319462eacd0bcc640832cf45bcd4

56 Syslog

57 Servicios Disponibles Revisar todo el árbol /etc/ rc* Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos. Tener en cuenta que muchos servicios pueden ser manejados por Superdemonios (inetd)

58 Cuentas de Usuarios Revisar /etc/passwd Si existe /etc/shadow

59 Trabajos temporizados Revisar los archivos relacionados con el cron del sistema

60 Análisis de Bitácoras

61 Análisis de bitácoras (Logs) Quizás uno de los aspectos más desafiantes pero críacos del análisis forense es el análisis de los archivos de registros o bitácoras.

62 Análisis de bitácoras (Logs) Si se registran demasiadas acavidades, la información que se pudiera llegar a necesitar puede verse perdida en un mar de registros. En caso contrario, si se registran muy pocas acavidades del sistema, no se podrá contar con información suficiente para detectar acavidades sospechosas.

63 Creación de una línea de base El comienzo de un análisis de bitácoras debe estar precedido por el desarrollo de una línea de base, la cual puede ser un marco de referencias para acavidades normales predefinidas que se llevan a cabo en la red. Se puede crear una línea base al examinar cuidadosamente los registros o bitácoras por períodos extensos.

64 Bitácora de enrutadores y firewalls IdenAficar las interfaces de fuente y desano. Descubrir los servidores de fuentes y de desano. Realizar seguimiento de los patrones de uso.

65 Bitácora de enrutadores y firewalls Descubrir protocolos usados: búsqueda de uso de Internet de manera no producava, el cual incluye tráfico HTTP, tráfico MP3, ICQ, RealPlayer, Messenger y tráfico IRC. Implementar búsqueda de conexiones sospechosas ICMP, TCP y UDP. Búsqueda de conexiones realizadas por puertos sospechosos, como por ejemplo: el (puerto predeterminado de NetBus).

66 Bitácoras de sistemas opera?vos Bitácoras o registros en sistemas UNIX: Los sistemas UNIX Aenen varias herramientas naavas que ayudan a determinar la acavidad pasada. Estas pueden ser:

67 Bitácoras de sistemas opera?vos last: rastrea el archivo /var/log/lastlog para reportar información variada, incluyendo inicios de sesiones de usuarios, el terminal y ubicación remota, información sobre el apagado y reinicio de sistemas, y los servicios que han sido manejados por sesión (Telnet, FTP, entre otros). lastb: Provee información sobre intentos de inicio de sesiones fallidas. lastlog: Provee información sobre usuarios que han iniciado sesión en el pasado. Además suministra información sobre usuarios quienes nunca han iniciado sesión alguna.

68 Bitácoras de sistemas opera?vos (cont ) Bitácoras o registros en sistemas Windows: La ualidad naava para el registro en la plataforma Windows 2000 en el Visor de Sucesos. Este permite controlar el servicio EventLog. Windows 2000 divide su registro en las siguientes cuatro categorías:

69 Bitácoras de sistemas opera?vos (cont ) System: Registra servicios iniciados y fallidos, apagado y reinicio de sistemas. Security: Registra eventos tales como las acavidades de inicio de sesión, acceso y alteración de los privilegios de usuarios, y acceso a objetos. Applica4on: Registra las acciones de aplicaciones individuales y como ellas interactúan con el sistema operaavo. DNS Server: Si el servicio DNS está instalado, este registro o bitácora conaene todos los mensajes enviados por él.

70 Auditoría en Windows

71 Filtrado de bitácoras o registros (Logs) Los archivos de registros pueden crecer considerablemente, y más cuando no se han configurado apropiadamente los sistemas para registrar solamente los eventos importantes.

72 Filtrado de Bitácoras en UNIX last x: Despliega solo entradas concernientes a las eventos en los que se apaga o reinicia un sistema. last x reboot: Muestra cada reinicio del sistema. last x shutdown: Muestra cada caída o apagado del sistema.

73 Filtrado de Bitácoras en UNIX last a: Ubica toda la información del servidor en la úlama columna de la lectura. last d: Muestra todos los inicios de sesión remotos. last n: Permite controlar el número de líneas que serán visualizadas.

74 Registros o bitácoras adicionales Los registros (logs) adicionales para consulta incluye los siguientes: Sistemas de detección de intrusos. Conexiones telefónicas (incluyendo registros de correo de voz). ISDN (Red Digital de Servicios Integrados) o conexiones frame relay. Registro de accesos de empleados (registro de accesos Isicos).

75 Se terminó... Gracias!