Your SlideShare is downloading. ×
Analisis forense
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Analisis forense

2,587
views

Published on

Este es un arti

Este es un arti

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,587
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
155
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Análisis Forense Seminarios Técnicos Avanzados Microsoft Technet – Madrid, 11 de Julio del 2006 José Luis Rivas López TEAXUL jlrivas@teaxul.com Carlos Fragoso Mariscal CESCA / JSS cfragoso@cesca.es - carlos@jessland.netAnálisis Forense, Auditorías y Detección de Intrusiones - ©1Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 1 José
  • 2. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©2Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 2 José
  • 3. ¿ Que és un Análisis Forense ?• “Obtención y análisis de datos empleando métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado” – Dan Farmer y Wietse Venema, 1999Análisis Forense, Auditorías y Detección de Intrusiones - ©3Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 3 José
  • 4. En busca de respuestas...• ¿ Qué sucedió ?• ¿ Donde ?• ¿ Cuándo ?• ¿ Por qué ?• ¿ Quién ?• ¿ Cómo ?Análisis Forense, Auditorías y Detección de Intrusiones - ©4Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 4 José
  • 5. Algunos conceptos• Evidencia• Cadena de custodia• Archivo de hallazgos• Línea de tiempo• Imágenes• Comprobación de integridad – HashAnálisis Forense, Auditorías y Detección de Intrusiones - ©5Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 5 José
  • 6. ¿ Preservar o salvar ?Análisis Forense, Auditorías y Detección de Intrusiones - ©6Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 6 José
  • 7. Se busca “vivo o muerto”• Sistema “vivo” – Memoria – Flujos de red – Procesos – Ficheros• Sistema “muerto” – Almacenamiento• Información complementaria: – Logs (IDS, firewalls, servidores, aplicaciones)Análisis Forense, Auditorías y Detección de Intrusiones - ©7Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 7 José
  • 8. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©8Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 8 José
  • 9. Metodología• Verificación y descripción del incidente• Adquisición de evidencias• Obtención de imagenes de las evidencias• Análisis inicial• Creación y análisis de la línea de tiempo• Análisis específico y recuperación de datos• Análisis de datos y cadenas• Generación del informeAnálisis Forense, Auditorías y Detección de Intrusiones - ©9Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 9 José
  • 10. Creación del archivo de hallazgos• Documento que permita llevar un historial de todas las actividades que realicemos durante el proceso del Análisis Forense• Útil para la reconstrucción del caso un tiempo después de que este haya sido realizadoAnálisis Forense, Auditorías y Detección de Intrusiones - ©10Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 10 José
  • 11. Recepción de la Imagen de datos• Consiste en la recepción de las imágenes de datos a investigar.• Clonación de las imágenes.• Habrá que verificarlos con MD5 y compararlo con lo de la fuente original.NOTA: Hay que garantizar siempre que la imagen suministrada no sufra ningún tipo de alteración, con el fin de conservación de la cadena de custodia y así poder mantener la validez jurídica de la evidencia.Análisis Forense, Auditorías y Detección de Intrusiones - ©11Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 11 José
  • 12. Identificación de las particiones• En esta fase se identificaran las particiones con el sistema de archivos de las particiones actuales o las pasadas.• Reconocimiento de las características especiales de la organización de la información y se puede definir la estrategia de recuperación de archivos adecuada.Análisis Forense, Auditorías y Detección de Intrusiones - ©12Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 12 José
  • 13. Identificación SO y aplicaciones• En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc.Análisis Forense, Auditorías y Detección de Intrusiones - ©13Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 13 José
  • 14. Revisión de código malicioso• Revisar con un antivirus actualizado si tiene algún tipo de malware: virus, troyanos, etc.Análisis Forense, Auditorías y Detección de Intrusiones - ©14Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 14 José
  • 15. Recuperación archivos• Recuperación de los archivos borrados y la información escondida examinando para esta última el slack space: – campos reservados en el sistema de archivos – espacios etiquetados como dañados por el sistema de archivosAnálisis Forense, Auditorías y Detección de Intrusiones - ©15Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 15 José
  • 16. Primera Clasificación de Archivos• Archivos “buenos” conocidos. Aquellos que su extensión corresponden con su contenido.• Archivos “buenos” modificados. Aquellos cuya versión original ha sido modificada.• Archivos “malos”. Aquellos que representan algún tipo de riesgo para el sistema (troyanos, backdoors, etc.)• Archivos extensión modificada. La extensión no corresponde con su contenido.Análisis Forense, Auditorías y Detección de Intrusiones - ©16Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 16 José
  • 17. Segunda Clasificación de archivos• Se clasifica mediante la relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso.Análisis Forense, Auditorías y Detección de Intrusiones - ©17Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 17 José
  • 18. Analizar los archivos• Este proceso cesa cuando el investigador, a partir de su criterio y experiencia, considera suficiente la evidencia recolectada para resolver el caso, o por que se agotan los datos para analizar.Análisis Forense, Auditorías y Detección de Intrusiones - ©18Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 18 José
  • 19. Análisis de artefactos• Consiste en realizar un análisis minucioso de posibles contenidos “conflictivos” identificados en el sistema.• Tipos de análisis: – Comportamiento – Código o contenidoAnálisis Forense, Auditorías y Detección de Intrusiones - ©19Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 19 José
  • 20. Línea de tiempo• Esta fase consiste en realizar la reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia.Análisis Forense, Auditorías y Detección de Intrusiones - ©20Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 20 José
  • 21. Informe• En esta fase elaboramos la realización del informe con los hallazgos, que contiene una descripción detallada de los hallazgos relevantes al caso y la forma como fueron encontrados. – Descripción del caso – Sistema atacado – Valoración de daños – Descripción del ataque – AnexosAnálisis Forense, Auditorías y Detección de Intrusiones - ©21Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 21 José
  • 22. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©22Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 22 José
  • 23. Herramientas• Aplicaciones comerciales: – Encase• Aplicaciones opensource: – Sleuthkit, Autopsy, Helix, Fire, etc.• La herramienta más importante es:Análisis Forense, Auditorías y Detección de Intrusiones - ©23Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 23 José
  • 24. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©24Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 24 José
  • 25. Agenda• Introducción• Metodología y procedimientos• Herramientas• Caso de estudio• Reto de análisis forenseAnálisis Forense, Auditorías y Detección de Intrusiones - ©25Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 25 José
  • 26. III Reto de Análisis Forense• SSOO Win2003 server en partición de 5 GB• Direccionamiento IP privado (no homologado)• Buen nivel de parcheado, excepto 3 o 4, uno de ellos el de WMF y alguno de IE.• Standalone• Apache+PHP+MySQL• PostgreSQL• DNS• Compartición de archivos• 2 cuentas de administración y 5 de usuarios sin privilegios• WebERPAnálisis Forense, Auditorías y Detección de Intrusiones - ©26Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 26 José
  • 27. Descarga y comprobación imagen• Bajar la imagen• Descomprimirla• Hacer el md5 comprobando la integridad > md5sum.exe windows2003.imgAnálisis Forense, Auditorías y Detección de Intrusiones - ©27Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 27 José
  • 28. Montaje de la imagen• Para montar la imagen utilizamos Filedisk por ser licencia GPL > filedisk /mount 0 d:windows2003.img /ro z:Análisis Forense, Auditorías y Detección de Intrusiones - ©28Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 28 José
  • 29. Recogida de datos• Recogida de datos del sistema en: %systemroot%system32config• con los siguientes nombres: SECURITY, SOFTWARE, SYSTEM, SAM DEFAULTAnálisis Forense, Auditorías y Detección de Intrusiones - ©29Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 29 José
  • 30. Inicios de sesión• INICIOS DE SESION**Fuente: Microsoft technethttp://www.microsoft.com/technet/prodtechn ol/windowsserver2003/es/library/ServerHel p/e104c96f-e243-41c5-aaea- d046555a079d.mspx?mfr=trueAnálisis Forense, Auditorías y Detección de Intrusiones - ©30Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 30 José
  • 31. Logs• LOGS (%systemroot%system32config – SysEvent.Evt – SecEvent.Evt – AppEvent.Evt• Aplicación: Visor de sucesos (eventvwr.msc)Análisis Forense, Auditorías y Detección de Intrusiones - ©31Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 31 José
  • 32. Perfil de usuario• Registro del perfil de usuario: Documents and Settings<<nombre usuario>>NTuser.dat• Dicho fichero se carga la sección HKEY_CURRENT_USER del Registro y cuando se inicia sesión y cuando cierra se actualiza.Análisis Forense, Auditorías y Detección de Intrusiones - ©32Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 32 José
  • 33. Histórico de navegación• Internet Explorer – Documents and Settings<usuario>Local SettingsTemporary Internet FilesContent.IE5 – Documents and Settings<usuario>Cookies – Documents and Settings<usuario>Local SettingsHistoryHistory.IE5 pasco –d –t index.dat > index.txtAnálisis Forense, Auditorías y Detección de Intrusiones - ©33Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 33 José
  • 34. Referencias• “Helix Live CD”, e-fense URL: http://www.e-fense.com/helix/• “Computer Forensics Resources”, Forensics.NL URL: http://www.forensics.nl/toolkits• “JISK - Forensics”, Jessland Security Services URL: http://www.jessland.net• “GNU Utilities for Win32”, Sourceforge Project URL: http://unxutils.sourceforge.net/• “Forensics Acquisition Utilities”, George M.Garner Jr. URL: http://unxutils.sourceforge.net/• “Windows Forensic Toolchest”, Fool Moon Software & Security URL:Análisis Forense, Auditorías y Detección de Intrusiones - ©34Aná Forense, Auditorí Detecció Copyright 2006 Carlos Fragoso / José L.Rivas - 34 José