• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Análisis Forense
 

Análisis Forense

on

  • 4,194 views

Sesión impartida por Juan Luís Rambla, de Informática64, durante el SIMO Network 2009.

Sesión impartida por Juan Luís Rambla, de Informática64, durante el SIMO Network 2009.

Statistics

Views

Total Views
4,194
Views on SlideShare
4,126
Embed Views
68

Actions

Likes
2
Downloads
259
Comments
0

4 Embeds 68

http://www.samuraiblanco.org 31
http://sidiushacking.blogspot.com 19
http://www.slideshare.net 16
http://localhost 2

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Análisis Forense Análisis Forense Presentation Transcript

    • Análisis Forense Entornos Windows
      Juan Luis García Rambla
      MVP Windows Security
      jlrambla@informatica64.com
    • Agenda
      Introducción
      Recogida de evidencias
      Análisis de procesos.
      Análisis de ficheros y logs.
      Procedimiento.
    • INTRODUCCIÓN
    • Cuando algo ha pasado que nos queda:
      Deducir que ha pasado.
      Qué ha motivado que esto haya pasado.
      Qué ha permitido llegar a ello.
      Qué acciones han sido consecuencia de ello.
      Qué podemos hacer para evitar que vuelva a suceder... !No¡
      El análisis forense
    • La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.
      R.E.D.A.R - Vocablo que significa: “Echar las redes”
      RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones.
      D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes.
      A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.
      Análisis basados en modelos.
    • Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos:
      Identificación.
      Preservación.
      Recogida.
      Examinación.
      Análisis.
      Digital Forensics Research Workshops (DFRW)
    • RECOGIDA DE EVIDENCIAS
    • Como en cualquier otra indagación o caso, es necesario presentar evidencias.
      Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas.
      Las conclusiones finales deben partir de las evidencias tomadas.
      La preservación de las evidencias es una máxima forense.
      La cadena de custodia es una necesidad en casos judicializados
      Introducción
    • Existe una serie de principios para la toma de información.
      ¿El caso se va a denunciar ojudicializar?
      ¿Cuál es el objetivo final de la toma de datos?
      ¿Dónde se encuentras la evidencias?
      ¿Cómo salvaguardamos la información?
      ¿Quién mantiene las evidencias?
      Recogida y almacenamiento
    • La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias.
      Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente.
      La guía presenta además conductas para la recogida de evidencias.
      IETF RFC 3227
    • Dibuja el escenario.
      Evalúa los tiempos para la generación de la línea temporal.
      Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo.
      Si hay confrontación entre recoger y analizar, da prioridad a la recolección.
      Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos.
      El orden de recogida de datos debe quedar establecido en función de la volatilidad.
      La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.
      Guía de principios
    • De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos:
      Cache y registro.
      Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria.
      Ficheros temporales.
      Disco.
      Logs.
      Configuración física.
      Medios de almacenamiento externos.
      La volatilidad de los datos
    • Admisible.
      Auténtica.
      Completa.
      Creíble.
      Entendible.
      Consideraciones legales
    • Apagar la máquina sin haber recogido las evidencias (cuando sea plausible).
      No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros.
      Utilizar aplicaciones que no realicen copias binarias.
      Cosas a evitar
    • Aquellas que vulneren la intimidad o revelen información personal.
      Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html
      Aquellas que vulneren las normativas de seguridad de la empresa.
      Aquellas que no puedan demostrarse como no manipuladas.
      Evidencias invalidadas
    • Deben realizarse varias copias de la información.
      Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción.
      Debe establecerse una cadena de custodia.
      Almacenamiento de las evidencias
    • Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse:
      Quien, cuando, donde y como se han tomado las evidencias.
      Quien, cuando y como se han analizado las evidencias.
      Quien y durante cuanto tiempo se ha custodiado la evidencia.
      Cuando y entre quien han cambiado la custodia de las evidencias.
      Cadena de custodia
    • Las evidencias digitales deben ser tomadas de forma binaria.
      Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH.
      Se recomienda por seguridad la firma SHA-1 frente a MD5.
      Como deben recogerse las evidencias digitales
    • La evidencias pueden tomarse mediante tecnología.
      Hardware. Es menos flexible pero admite menos manipulación y son más rápidas.
      Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos.
      Como recoger las evidencias digitales
    • Elementos Hardware.
    • ElementosSoftware
    • Recogida de evidencias
    • ANÁLISIS DE FICHEROS Y LOGS
    • Cada contacto deja un rastro
      Principio de Locard
    • Búsqueda de ficheros y datos críticos para el caso.
      Aplicación de principios de línea temporal.
      Búsqueda de ficheros discordantes.
      Detección de ficheros basados en firmas.
      Búsqueda de palabras clave.
      Recuperación de datos eliminados.
      Análisis de datos
    • Papelera de reciclaje
      Archivo de paginación
      Restauración del sistema
      Reconstrucción de la bitácora de navegación
      Archivos temporales
      Documentos recientes
      Etc..
      Información en el sistema operativo
    • Contiene información sobre la aplicación
      Información sobre qué hace la aplicación por debajo
      Registro de usuarios
      Passwords
      Fecha y hora de acceso a la información
      Direcciones IP
      Etc.…
      La importancia de los Logs
    • IIS (Internet Information Server)
      Visor de eventos
      Windows Update
      TimeLine de ficheros
      Prefetch
      Tablas ARP
      Logs SQL Server
      Archivos de registro de Windows
      SAM, SYSTEM, SOFTWARE, etc.…
      Archivos Log importantes
      UN BUEN EQUIPO
      RELAX Y PACIENCIA
    • Búsqueda de información en disco
    • PROCESOS
    • No todo lo que se ve es lo que dice ser.
      Para buscar es necesario conocer primero.
      El análisis online prima sobre el análisis offline.
      A veces solo determinados elementos son descubiertos con el sistema activo.
      Análisis del sistema
    • Análisis de procesos.
      Análisis de servicios.
      Análisis de la memoria Ram.
      Búsqueda en el registro.
      Análisis de la información de red.
      Donde buscar
    • Hay elementos ocultos o utilizando mecanismos de esteganografía.
      ¿Son verdaderos procesos del sistema los que se están ejecutando?
      ¿Qué se ejecuta en cada puerto?
      ¿Qué información se envía por la red?
      Hay rastros de sistemas antiforenses.
      ¿Qué tener en cuenta
    • Análisis de procesos en un escenario Malware
    • PROCEDIMIENTO
    • Salvaguarda la información.
      Binario.
      Hash.
      Ficheros de cadena de custodia.
      Forma de recoger las evidencias.
      Imagen DD.
      Clonación binario.
      A tener en cuenta.
      Si el destino de la copia ha sido utilizado wipear disco.
      Paso 1 (Requerido en judicial)
    • Recuperación de información eliminada.
      Análisis de la información de disco.
      Búsqueda de información según datos aportados en las reuniones.
      Análisis y búsqueda de información ocultada por técnicas de ocultación.
      Uso de la línea temporal para el análisis de la información.
      Recuperación de correos y ficheros según técnicas KFF.
      Paso 2 (Análisis de ficheros en judicial)
    • Análisis de la información de disco.
      Búsqueda de ficheros por comportamiento.
      Búsqueda de palabras clave internet.
      Análisis de la papelera de reciclaje.
      Búsqueda de marcas de aplicaciones antiforense.
      Paso 3 (Análisis de ficheros en judicial)
    • Análisis de rootkits.
      Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc.
      Eliminación de posibles rootkits.
      Volver a analizar posibles rootkits.
      Análisis de procesos.
      Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc.
      Búsqueda de rutas de procesos discordantes.
      Análisis de los procesos / puertos.
      Análisis por comportamiento.
      Paso 4 (Análisis online)
    • Claves.
      Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros:
      ADS.
      Antiforense.
      Slack.
      Etc.
      Búsqueda de posibles procesos de sistema con rutas diferentes de los originales.
      Búsqueda de procesos persistentes.
      Análisis de puertos / procesos.
      Paso 5 (Análisis online)
    • Claves.
      Análisis de procesos por provocación.
      Carga de procesos unidos a otros procesos.
      Búsqueda de plugins / BHO.
      Análisis de librerias y ejecutables.
      Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables.
      Paso 6 (Análisis online)
    • Claves.
      Búsqueda de contraseñas.
      Búsqueda de información relativa a la navegación.
      Análisis de uso del equipo (tiempos).
      Paso 7 (Análisis online)
    • Análisis del tráfico de red y procesos que intercambian información.
      Uso de analizadores de procesos y comunicaciones.
      Usos de analizadores de red.
      Paso 8 (Análisis online)
    • Búsqueda en el fichero de paginación.
      Búsqueda en memoria.
      Volcado de memoria.
      Imágenes de memoria.
      Paso 9 (Análisis online)
    • Búsqueda de logs.
      Uso de consolidadores de logs.
      Detección de la información.
      Cruce de eventos.
      Paso 10 (Análisis logs)
    • He venido a contar
      Yo como Umbral
    • ¿DÓNDE NOS PUEDES ENCONTRAR?
      En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico
      http://www.informatica64.com/boletines.html
      En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán.
      http://www.informatica64.com/10aniversario/
      En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft.
      http://www.windowstecnico.com/
      En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades.
      http://www.informatica64.com
    • SIMO(22, 23 y 24 de Septiembre)
      Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010.
      Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES
      Durante los tres días se realizarán HOLs Guiados y Auto guiados
      http://technet.microsoft.com/es-es/hol_simo09.aspx
      Azlan D-LINK Academy:
      5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona.
      Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html
      V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI).
      (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo)
      Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html
      Microsoft TechNet HandsonLab (HOLs)
      En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre)
      Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx
      PROXIMOS EVENTOS