Analisis forense
- 1. Análisis Forense
Seminarios Técnicos Avanzados
Microsoft Technet – Madrid, 11 de Julio del 2006
José Luis Rivas López
TEAXUL
jlrivas@teaxul.com
Carlos Fragoso Mariscal
CESCA / JSS
cfragoso@cesca.es - carlos@jessland.net
Análisis Forense, Auditorías y Detección de Intrusiones - ©1
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1
José
- 2. Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
Análisis Forense, Auditorías y Detección de Intrusiones - ©2
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2
José
- 3. ¿ Que és un Análisis Forense ?
• “Obtención y análisis de datos empleando
métodos que distorsionen lo menos posible la
información con el objetivo de reconstruir
todos los datos y/o los eventos qué
ocurrieron sobre un sistema en el pasado”
– Dan Farmer y Wietse Venema, 1999
Análisis Forense, Auditorías y Detección de Intrusiones - ©3
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3
José
- 4. En busca de respuestas...
• ¿ Qué sucedió ?
• ¿ Donde ?
• ¿ Cuándo ?
• ¿ Por qué ?
• ¿ Quién ?
• ¿ Cómo ?
Análisis Forense, Auditorías y Detección de Intrusiones - ©4
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4
José
- 5. Algunos conceptos
• Evidencia
• Cadena de custodia
• Archivo de hallazgos
• Línea de tiempo
• Imágenes
• Comprobación de integridad
– Hash
Análisis Forense, Auditorías y Detección de Intrusiones - ©5
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5
José
- 6. ¿ Preservar o salvar ?
Análisis Forense, Auditorías y Detección de Intrusiones - ©6
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6
José
- 7. Se busca “vivo o muerto”
• Sistema “vivo”
– Memoria
– Flujos de red
– Procesos
– Ficheros
• Sistema “muerto”
– Almacenamiento
• Información complementaria:
– Logs (IDS, firewalls, servidores, aplicaciones)
Análisis Forense, Auditorías y Detección de Intrusiones - ©7
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7
José
- 8. Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
Análisis Forense, Auditorías y Detección de Intrusiones - ©8
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8
José
- 9. Metodología
• Verificación y descripción del incidente
• Adquisición de evidencias
• Obtención de imagenes de las evidencias
• Análisis inicial
• Creación y análisis de la línea de tiempo
• Análisis específico y recuperación de datos
• Análisis de datos y cadenas
• Generación del informe
Análisis Forense, Auditorías y Detección de Intrusiones - ©9
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9
José
- 10. Creación del archivo de hallazgos
• Documento que permita llevar un historial
de todas las actividades que realicemos
durante el proceso del Análisis Forense
• Útil para la reconstrucción del caso un
tiempo después de que este haya sido
realizado
Análisis Forense, Auditorías y Detección de Intrusiones - ©10
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10
José
- 11. Recepción de la Imagen de datos
• Consiste en la recepción de las imágenes de
datos a investigar.
• Clonación de las imágenes.
• Habrá que verificarlos con MD5 y compararlo
con lo de la fuente original.
NOTA: Hay que garantizar siempre que la imagen
suministrada no sufra ningún tipo de alteración,
con el fin de conservación de la cadena de
custodia y así poder mantener la validez jurídica
de la evidencia.
Análisis Forense, Auditorías y Detección de Intrusiones - ©11
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11
José
- 12. Identificación de las particiones
• En esta fase se identificaran las
particiones con el sistema de archivos de
las particiones actuales o las pasadas.
• Reconocimiento de las características
especiales de la organización de la
información y se puede definir la
estrategia de recuperación de archivos
adecuada.
Análisis Forense, Auditorías y Detección de Intrusiones - ©12
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12
José
- 13. Identificación SO y aplicaciones
• En esta fase se identificaran los sistemas
operativos instalados, las aplicaciones
utilizadas, antivirus, etc.
Análisis Forense, Auditorías y Detección de Intrusiones - ©13
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13
José
- 14. Revisión de código malicioso
• Revisar con un antivirus actualizado si
tiene algún tipo de malware: virus,
troyanos, etc.
Análisis Forense, Auditorías y Detección de Intrusiones - ©14
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14
José
- 15. Recuperación archivos
• Recuperación de los archivos borrados y
la información escondida examinando
para esta última el slack space:
– campos reservados en el sistema de archivos
– espacios etiquetados como dañados por el
sistema de archivos
Análisis Forense, Auditorías y Detección de Intrusiones - ©15
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15
José
- 16. Primera Clasificación de Archivos
• Archivos “buenos” conocidos. Aquellos que su
extensión corresponden con su contenido.
• Archivos “buenos” modificados. Aquellos cuya
versión original ha sido modificada.
• Archivos “malos”. Aquellos que representan
algún tipo de riesgo para el sistema (troyanos,
backdoors, etc.)
• Archivos extensión modificada. La extensión no
corresponde con su contenido.
Análisis Forense, Auditorías y Detección de Intrusiones - ©16
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16
José
- 17. Segunda Clasificación de archivos
• Se clasifica mediante la relación de los
archivos con los usuarios involucrados en
la investigación y contenido relevante para
el caso.
Análisis Forense, Auditorías y Detección de Intrusiones - ©17
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17
José
- 18. Analizar los archivos
• Este proceso cesa cuando el investigador,
a partir de su criterio y experiencia,
considera suficiente la evidencia
recolectada para resolver el caso, o por
que se agotan los datos para analizar.
Análisis Forense, Auditorías y Detección de Intrusiones - ©18
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18
José
- 19. Análisis de artefactos
• Consiste en realizar un análisis minucioso
de posibles contenidos “conflictivos”
identificados en el sistema.
• Tipos de análisis:
– Comportamiento
– Código o contenido
Análisis Forense, Auditorías y Detección de Intrusiones - ©19
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19
José
- 20. Línea de tiempo
• Esta fase consiste en realizar la
reconstrucción de los hechos a partir de
los atributos de tiempo de los archivos, lo
que permite correlacionarlos
enriqueciendo la evidencia.
Análisis Forense, Auditorías y Detección de Intrusiones - ©20
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20
José
- 21. Informe
• En esta fase elaboramos la realización del
informe con los hallazgos, que contiene
una descripción detallada de los hallazgos
relevantes al caso y la forma como fueron
encontrados.
– Descripción del caso
– Sistema atacado
– Valoración de daños
– Descripción del ataque
– Anexos
Análisis Forense, Auditorías y Detección de Intrusiones - ©21
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21
José
- 22. Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
Análisis Forense, Auditorías y Detección de Intrusiones - ©22
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22
José
- 23. Herramientas
• Aplicaciones comerciales:
– Encase
• Aplicaciones opensource:
– Sleuthkit, Autopsy, Helix, Fire, etc.
• La herramienta más importante es:
Análisis Forense, Auditorías y Detección de Intrusiones - ©23
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23
José
- 24. Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
Análisis Forense, Auditorías y Detección de Intrusiones - ©24
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24
José
- 25. Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
Análisis Forense, Auditorías y Detección de Intrusiones - ©25
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25
José
- 26. III Reto de Análisis Forense
• SSOO Win2003 server en partición de 5 GB
• Direccionamiento IP privado (no homologado)
• Buen nivel de parcheado, excepto 3 o 4, uno de ellos el
de WMF y alguno de IE.
• Standalone
• Apache+PHP+MySQL
• PostgreSQL
• DNS
• Compartición de archivos
• 2 cuentas de administración y 5 de usuarios sin
privilegios
• WebERP
Análisis Forense, Auditorías y Detección de Intrusiones - ©26
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26
José
- 27. Descarga y comprobación imagen
• Bajar la imagen
• Descomprimirla
• Hacer el md5 comprobando la integridad
> md5sum.exe windows2003.img
Análisis Forense, Auditorías y Detección de Intrusiones - ©27
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27
José
- 28. Montaje de la imagen
• Para montar la imagen utilizamos Filedisk
por ser licencia GPL
> filedisk /mount 0 d:windows2003.img /ro z:
Análisis Forense, Auditorías y Detección de Intrusiones - ©28
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28
José
- 29. Recogida de datos
• Recogida de datos del sistema en:
%systemroot%system32config
• con los siguientes nombres:
SECURITY, SOFTWARE, SYSTEM, SAM DEFAULT
Análisis Forense, Auditorías y Detección de Intrusiones - ©29
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29
José
- 30. Inicios de sesión
• INICIOS DE SESION*
*Fuente: Microsoft technet
http://www.microsoft.com/technet/prodtechn
ol/windowsserver2003/es/library/ServerHel
p/e104c96f-e243-41c5-aaea-
d046555a079d.mspx?mfr=true
Análisis Forense, Auditorías y Detección de Intrusiones - ©30
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30
José
- 31. Logs
• LOGS (%systemroot%system32config
– SysEvent.Evt
– SecEvent.Evt
– AppEvent.Evt
• Aplicación: Visor de sucesos (eventvwr.msc)
Análisis Forense, Auditorías y Detección de Intrusiones - ©31
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31
José
- 32. Perfil de usuario
• Registro del perfil de usuario:
Documents and Settings<<nombre usuario>>NTuser.dat
• Dicho fichero se carga la sección
HKEY_CURRENT_USER del Registro y
cuando se inicia sesión y cuando cierra se
actualiza.
Análisis Forense, Auditorías y Detección de Intrusiones - ©32
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32
José
- 33. Histórico de navegación
• Internet Explorer
– Documents and Settings<usuario>Local
SettingsTemporary Internet FilesContent.IE5
– Documents and Settings<usuario>Cookies
– Documents and Settings<usuario>Local
SettingsHistoryHistory.IE5
pasco –d –t index.dat > index.txt
Análisis Forense, Auditorías y Detección de Intrusiones - ©33
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33
José
- 34. Referencias
• “Helix Live CD”, e-fense
URL: http://www.e-fense.com/helix/
• “Computer Forensics Resources”, Forensics.NL
URL: http://www.forensics.nl/toolkits
• “JISK - Forensics”, Jessland Security Services
URL: http://www.jessland.net
• “GNU Utilities for Win32”, Sourceforge Project
URL: http://unxutils.sourceforge.net/
• “Forensics Acquisition Utilities”, George M.Garner Jr.
URL: http://unxutils.sourceforge.net/
• “Windows Forensic Toolchest”, Fool Moon Software &
Security
URL:
Análisis Forense, Auditorías y Detección de Intrusiones - ©34
Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34
José