   Juan Garrido   Consultor Seguridad   http://windowstips.wordpress.com
Agenda•   Introducción•   Evidencias a analizar•   Análisis forense corporativo•   Principales problemas•   Aprovecha tu i...
Introducción• Se necesitan recolectar determinadas  evidencias• La prueba debe ser admisible• El dato debe soportar report...
Introducción                                                    RAM,Análisis de Red              Sistema de               ...
Evidencias a analizar• Procesos del sistema  – Malware, Rootkits, etc…• Tráfico de red involucrado en el equipo  – Transfe...
Análisis forense corporativo• A priori no es tan fácil como parece  – Complejidad en el entorno     • Muchos equipos     •...
Análisis forense corporativo• En estos tiempos que corren, surgen nuevas  cuestiones….  – Tenemos dinero para externalizar...
Análisis forense corporativo• CRISIS!!!!!  – Absorción de empresas  – Quiebra de empresas  – División de empresas• Traducc...
Principales problemas• Diferentes empresas, diferentes políticas• Herramientas no soportadas por la  organización  – Polít...
Prohibido  hablar  de  la  cosa…
Aprovecha tu infraestructura• Controladores de Dominio   – Facilidad para desplegar políticas de grupo   – Centralizar acc...
Aprovecha tu infraestructura• Auditoría de equipos y servidores  – El activar esta función puede mermar la capacidad    y ...
DEMO• Logparser + BBDD
Scripting
Scripting• Motor de scripting nativo  – Altamente configurable  – Multitud de opciones  – Elimina problemas de interoperab...
Qué necesito
Qué necesito• Con el Firewall de Windows Activado  – Es necesario activar el servidor RPC  – netsh firewall set service Re...
Qué necesito• Windows Vista /7  – Hay un cambio en la estructura de NETSH  – El parámetro firewall pasa a ser ADVFIREWALL ...
Qué necesito• Control de acceso a DCOM  – Distributed Component Object Model  – Se utiliza para la comunicación de uno o N...
Motores nativosMotor Scripting     Complejidad          CifradoMS-DOS              Con  dos  cojones…   NOWMI-CSCRIPT     ...
DEMO• Batch Incident ResponseCon  dos  cojones…
PowerShell• Integrado en Windows 7/2K8  – Posibilidad de interactuar con .NET  – Soporte nativo WMI  – Admite cifrado WMI ...
DEMO• PowerShell Incident Response
Ficheros abiertos• Equipos cliente  – Comando OpenFiles     • Similar al comando lsof en Linux     • Muestra archivos abie...
Hash de ficheros• File CheckSum Integrity Verifier  – Herramienta Microsoft  – Command line (Of course)  – Posibilidad de ...
Preguntas?
Thanks Guys ;-)
Referencias• www.areino.com/alf/docs/CorpForensics.pps• http://technet.microsoft.com/en-  us/library/cc738752(WS.10).aspx#...
Contacto• Juan Garrido   juangarridocaballero@gmail.com   http://windowstips.wordpress.com• Informática64   www.informátic...
http://windowstips.wordpress.com
Upcoming SlideShare
Loading in...5
×

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]

4,560

Published on

En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,560
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]

  1. 1.  Juan Garrido Consultor Seguridad http://windowstips.wordpress.com
  2. 2. Agenda• Introducción• Evidencias a analizar• Análisis forense corporativo• Principales problemas• Aprovecha tu infraestructura• Scripting• Referencias
  3. 3. Introducción• Se necesitan recolectar determinadas evidencias• La prueba debe ser admisible• El dato debe soportar reportes internos• Se puede utilizar para otro tipo de investigaciones
  4. 4. Introducción RAM,Análisis de Red Sistema de pagefile.sys,hi berfil.sys ficheros, volumen Aplicaciones y sistema operativo Objetivo
  5. 5. Evidencias a analizar• Procesos del sistema – Malware, Rootkits, etc…• Tráfico de red involucrado en el equipo – Transferencia de ficheros – Botnet• Memoria RAM – Elementos volátiles• Elementos del equipo – Ficheros en ejecución
  6. 6. Análisis forense corporativo• A priori no es tan fácil como parece – Complejidad en el entorno • Muchos equipos • Muchas organizaciones • ¿Muchas localizaciones?
  7. 7. Análisis forense corporativo• En estos tiempos que corren, surgen nuevas cuestiones…. – Tenemos dinero para externalizar un análisis? – La prueba será admisible? – Han tenido tiempo de recolectar evidencias?
  8. 8. Análisis forense corporativo• CRISIS!!!!! – Absorción de empresas – Quiebra de empresas – División de empresas• Traducción…. – Posibles trabajadores descontentos – Jefes de proyecto sin competencias – Migración de datos y posible pérdida – Posibilidad de Robo?
  9. 9. Principales problemas• Diferentes empresas, diferentes políticas• Herramientas no soportadas por la organización – Políticas estrictas – Falsos positivos en determinadas herramientas – Requerimientos necesarios para su puesta en marcha
  10. 10. Prohibido  hablar  de  la  cosa…
  11. 11. Aprovecha tu infraestructura• Controladores de Dominio – Facilidad para desplegar políticas de grupo – Centralizar acciones forenses• Servidores de Bases de Datos – Almacenaje de cierto tipo de evidencias (Logs) – Reporting Corporativo• Equipos Cliente – Herramientas nativas del OS – Motores de Scripting • Cscript • WMI (Windows Management Intrumentation)• General a toda la infraestructura – Copias en la sombra (Shadow Copy)
  12. 12. Aprovecha tu infraestructura• Auditoría de equipos y servidores – El activar esta función puede mermar la capacidad y funcionamiento del disco – Almacena información en tiempo real mientras el equipo está en funcionamiento• Servidores de BBDD – Se pueden utilizar para almacenar datos de auditoría – Automatización con LogParser
  13. 13. DEMO• Logparser + BBDD
  14. 14. Scripting
  15. 15. Scripting• Motor de scripting nativo – Altamente configurable – Multitud de opciones – Elimina problemas de interoperabilidad – Fácilmente adaptable a la organización – Fácil implantación
  16. 16. Qué necesito
  17. 17. Qué necesito• Con el Firewall de Windows Activado – Es necesario activar el servidor RPC – netsh firewall set service RemoteAdmin enable – Se puede realizar a través de políticas de grupo – Se puede activar localmente utilizando psexec• Developers & Scripting Guys – Se pueden securizar las conexiones WMI – http://msdn.microsoft.com/en- us/library/aa393266.aspx
  18. 18. Qué necesito• Windows Vista /7 – Hay un cambio en la estructura de NETSH – El parámetro firewall pasa a ser ADVFIREWALL – El Firewall de XP pasa a ser un Firewall Avanzado • Controles de entrada y salida • Integración con IPSEC
  19. 19. Qué necesito• Control de acceso a DCOM – Distributed Component Object Model – Se utiliza para la comunicación de uno o N equipos – Admite varios tipos de autenticación
  20. 20. Motores nativosMotor Scripting Complejidad CifradoMS-DOS Con  dos  cojones… NOWMI-CSCRIPT Poca NOPowerShell Media SI
  21. 21. DEMO• Batch Incident ResponseCon  dos  cojones…
  22. 22. PowerShell• Integrado en Windows 7/2K8 – Posibilidad de interactuar con .NET – Soporte nativo WMI – Admite cifrado WMI – Seguro  “by default”  (Certificado)
  23. 23. DEMO• PowerShell Incident Response
  24. 24. Ficheros abiertos• Equipos cliente – Comando OpenFiles • Similar al comando lsof en Linux • Muestra archivos abiertos en la máquina • Es necesario activarlo (Desactivado por defecto) – Openfiles /local on (Es necesario reiniciar) – Openfiles /query /v (Consulta)
  25. 25. Hash de ficheros• File CheckSum Integrity Verifier – Herramienta Microsoft – Command line (Of course) – Posibilidad de calcular valores Hash – Almacena datos en BBDD XML – Posibilidad de comparar versiones BBDD
  26. 26. Preguntas?
  27. 27. Thanks Guys ;-)
  28. 28. Referencias• www.areino.com/alf/docs/CorpForensics.pps• http://technet.microsoft.com/en- us/library/cc738752(WS.10).aspx#BKMK_3• http://msdn.microsoft.com/en- us/library/aa389290.aspx• http://msdn.microsoft.com/en- us/library/aa389286.aspx• http://msdn.microsoft.com/en- us/library/aa393266.aspx
  29. 29. Contacto• Juan Garrido juangarridocaballero@gmail.com http://windowstips.wordpress.com• Informática64 www.informática64.com
  30. 30. http://windowstips.wordpress.com

×