Análisis Forense                     Seminarios Técnicos Avanzados         Microsoft Technet – Madrid, 11 de Julio del 200...
Agenda•   Introducción•   Metodología y procedimientos•   Herramientas•   Caso de estudio•   Reto de análisis forenseAnáli...
¿ Que és un Análisis Forense ?• “Obtención y análisis de datos empleando  métodos que distorsionen lo menos posible la  in...
En busca de respuestas...•   ¿ Qué sucedió ?•   ¿ Donde ?•   ¿ Cuándo ?•   ¿ Por qué ?•   ¿ Quién ?•   ¿ Cómo ?Análisis Fo...
Algunos conceptos•   Evidencia•   Cadena de custodia•   Archivo de hallazgos•   Línea de tiempo•   Imágenes•   Comprobació...
¿ Preservar o salvar ?Análisis Forense, Auditorías y Detección de Intrusiones - ©6Aná      Forense, Auditorí     Detecció ...
Se busca “vivo o muerto”• Sistema “vivo”     – Memoria     – Flujos de red     – Procesos     – Ficheros• Sistema “muerto”...
Agenda•   Introducción•   Metodología y procedimientos•   Herramientas•   Caso de estudio•   Reto de análisis forenseAnáli...
Metodología•   Verificación y descripción del incidente•   Adquisición de evidencias•   Obtención de imagenes de las evide...
Creación del archivo de hallazgos• Documento que permita llevar un historial  de todas las actividades que realicemos  dur...
Recepción de la Imagen de datos• Consiste en la recepción de las imágenes de  datos a investigar.• Clonación de las imágen...
Identificación de las particiones• En esta fase se identificaran las  particiones con el sistema de archivos de  las parti...
Identificación SO y aplicaciones• En esta fase se identificaran los sistemas  operativos instalados, las aplicaciones  uti...
Revisión de código malicioso• Revisar con un antivirus actualizado si  tiene algún tipo de malware: virus,  troyanos, etc....
Recuperación archivos• Recuperación de los archivos borrados y  la información escondida examinando  para esta última el s...
Primera Clasificación de Archivos• Archivos “buenos” conocidos. Aquellos que su  extensión corresponden con su contenido.•...
Segunda Clasificación de archivos• Se clasifica mediante la relación de los  archivos con los usuarios involucrados en  la...
Analizar los archivos• Este proceso cesa cuando el investigador,  a partir de su criterio y experiencia,  considera    suf...
Análisis de artefactos• Consiste en realizar un análisis minucioso  de posibles contenidos “conflictivos”  identificados e...
Línea de tiempo• Esta fase consiste en realizar la  reconstrucción de los hechos a partir de  los atributos de tiempo de l...
Informe• En esta fase elaboramos la realización del  informe con los hallazgos, que contiene  una descripción detallada de...
Agenda•   Introducción•   Metodología y procedimientos•   Herramientas•   Caso de estudio•   Reto de análisis forenseAnáli...
Herramientas• Aplicaciones comerciales:     – Encase• Aplicaciones opensource:     – Sleuthkit, Autopsy, Helix, Fire, etc....
Agenda•   Introducción•   Metodología y procedimientos•   Herramientas•   Caso de estudio•   Reto de análisis forenseAnáli...
Agenda•   Introducción•   Metodología y procedimientos•   Herramientas•   Caso de estudio•   Reto de análisis forenseAnáli...
III Reto de Análisis Forense• SSOO Win2003 server en partición de 5 GB• Direccionamiento IP privado (no homologado)• Buen ...
Descarga y comprobación imagen• Bajar la imagen• Descomprimirla• Hacer el md5 comprobando la integridad     > md5sum.exe w...
Montaje de la imagen• Para montar la imagen utilizamos Filedisk  por ser licencia GPL            > filedisk /mount 0 d:win...
Recogida de datos• Recogida de datos del sistema en:            %systemroot%system32config• con los siguientes nombres:   ...
Inicios de sesión• INICIOS DE SESION**Fuente: Microsoft technethttp://www.microsoft.com/technet/prodtechn  ol/windowsserve...
Logs• LOGS (%systemroot%system32config     – SysEvent.Evt     – SecEvent.Evt     – AppEvent.Evt• Aplicación: Visor de suce...
Perfil de usuario• Registro del perfil de usuario:            Documents and Settings<<nombre usuario>>NTuser.dat• Dicho fi...
Histórico de navegación• Internet Explorer     – Documents         and        Settings<usuario>Local       SettingsTempora...
Referencias• “Helix Live CD”, e-fense         URL: http://www.e-fense.com/helix/• “Computer Forensics Resources”, Forensic...
Upcoming SlideShare
Loading in …5
×

Analisis forense

3,551 views

Published on

Este es un arti

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,551
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
171
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Analisis forense

  1. 1. Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.netAnálisis Forense, Auditorías y Detección de Intrusiones - ©1Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
  2. 2. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©2Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
  3. 3. ¿ Que és un Análisis Forense ?• “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999Análisis Forense, Auditorías y Detección de Intrusiones - ©3Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
  4. 4. En busca de respuestas...• ¿ Qué sucedió ?• ¿ Donde ?• ¿ Cuándo ?• ¿ Por qué ?• ¿ Quién ?• ¿ Cómo ?Análisis Forense, Auditorías y Detección de Intrusiones - ©4Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
  5. 5. Algunos conceptos• Evidencia• Cadena de custodia• Archivo de hallazgos• Línea de tiempo• Imágenes• Comprobación de integridad – HashAnálisis Forense, Auditorías y Detección de Intrusiones - ©5Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
  6. 6. ¿ Preservar o salvar ?Análisis Forense, Auditorías y Detección de Intrusiones - ©6Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
  7. 7. Se busca “vivo o muerto”• Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros• Sistema “muerto” – Almacenamiento• Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones)Análisis Forense, Auditorías y Detección de Intrusiones - ©7Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
  8. 8. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©8Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
  9. 9. Metodología• Verificación y descripción del incidente• Adquisición de evidencias• Obtención de imagenes de las evidencias• Análisis inicial• Creación y análisis de la línea de tiempo• Análisis específico y recuperación de datos• Análisis de datos y cadenas• Generación del informeAnálisis Forense, Auditorías y Detección de Intrusiones - ©9Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
  10. 10. Creación del archivo de hallazgos• Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense• Útil para la reconstrucción del caso un tiempo después de que este haya sido realizadoAnálisis Forense, Auditorías y Detección de Intrusiones - ©10Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
  11. 11. Recepción de la Imagen de datos• Consiste en la recepción de las imágenes de datos a investigar.• Clonación de las imágenes.• Habrá que verificarlos con MD5 y compararlo con lo de la fuente original.NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia.Análisis Forense, Auditorías y Detección de Intrusiones - ©11Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
  12. 12. Identificación de las particiones• En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas.• Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada.Análisis Forense, Auditorías y Detección de Intrusiones - ©12Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
  13. 13. Identificación SO y aplicaciones• En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc.Análisis Forense, Auditorías y Detección de Intrusiones - ©13Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
  14. 14. Revisión de código malicioso• Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc.Análisis Forense, Auditorías y Detección de Intrusiones - ©14Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
  15. 15. Recuperación archivos• Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivosAnálisis Forense, Auditorías y Detección de Intrusiones - ©15Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
  16. 16. Primera Clasificación de Archivos• Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido.• Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada.• Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.)• Archivos extensión modificada. La extensión no corresponde con su contenido.Análisis Forense, Auditorías y Detección de Intrusiones - ©16Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
  17. 17. Segunda Clasificación de archivos• Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso.Análisis Forense, Auditorías y Detección de Intrusiones - ©17Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
  18. 18. Analizar los archivos• Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar.Análisis Forense, Auditorías y Detección de Intrusiones - ©18Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
  19. 19. Análisis de artefactos• Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema.• Tipos de análisis: – Comportamiento – Código o contenidoAnálisis Forense, Auditorías y Detección de Intrusiones - ©19Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
  20. 20. Línea de tiempo• Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia.Análisis Forense, Auditorías y Detección de Intrusiones - ©20Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
  21. 21. Informe• En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – AnexosAnálisis Forense, Auditorías y Detección de Intrusiones - ©21Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
  22. 22. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©22Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
  23. 23. Herramientas• Aplicaciones comerciales: – Encase• Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc.• La herramienta más importante es:Análisis Forense, Auditorías y Detección de Intrusiones - ©23Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
  24. 24. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©24Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
  25. 25. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©25Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
  26. 26. III Reto de Análisis Forense• SSOO Win2003 server en partición de 5 GB• Direccionamiento IP privado (no homologado)• Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE.• Standalone• Apache+PHP+MySQL• PostgreSQL• DNS• Compartición de archivos• 2 cuentas de administración y 5 de usuarios sin privilegios• WebERPAnálisis Forense, Auditorías y Detección de Intrusiones - ©26Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
  27. 27. Descarga y comprobación imagen• Bajar la imagen• Descomprimirla• Hacer el md5 comprobando la integridad > md5sum.exe windows2003.imgAnálisis Forense, Auditorías y Detección de Intrusiones - ©27Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
  28. 28. Montaje de la imagen• Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z:Análisis Forense, Auditorías y Detección de Intrusiones - ©28Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
  29. 29. Recogida de datos• Recogida de datos del sistema en: %systemroot%system32config• con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULTAnálisis Forense, Auditorías y Detección de Intrusiones - ©29Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
  30. 30. Inicios de sesión• INICIOS DE SESION**Fuente: Microsoft technethttp://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=trueAnálisis Forense, Auditorías y Detección de Intrusiones - ©30Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
  31. 31. Logs• LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt• Aplicación: Visor de sucesos (eventvwr.msc)Análisis Forense, Auditorías y Detección de Intrusiones - ©31Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
  32. 32. Perfil de usuario• Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat• Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza.Análisis Forense, Auditorías y Detección de Intrusiones - ©32Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
  33. 33. Histórico de navegación• Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txtAnálisis Forense, Auditorías y Detección de Intrusiones - ©33Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
  34. 34. Referencias• “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/• “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits• “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net• “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/• “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/• “Windows Forensic Toolchest”, Fool Moon Software & Security URL:Análisis Forense, Auditorías y Detección de Intrusiones - ©34Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José

×