Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]

  • 3,356 views
Uploaded on

En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida …

En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,356
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1.  Juan Garrido Consultor Seguridad http://windowstips.wordpress.com
  • 2. Agenda• Introducción• Evidencias a analizar• Análisis forense corporativo• Principales problemas• Aprovecha tu infraestructura• Scripting• Referencias
  • 3. Introducción• Se necesitan recolectar determinadas evidencias• La prueba debe ser admisible• El dato debe soportar reportes internos• Se puede utilizar para otro tipo de investigaciones
  • 4. Introducción RAM,Análisis de Red Sistema de pagefile.sys,hi berfil.sys ficheros, volumen Aplicaciones y sistema operativo Objetivo
  • 5. Evidencias a analizar• Procesos del sistema – Malware, Rootkits, etc…• Tráfico de red involucrado en el equipo – Transferencia de ficheros – Botnet• Memoria RAM – Elementos volátiles• Elementos del equipo – Ficheros en ejecución
  • 6. Análisis forense corporativo• A priori no es tan fácil como parece – Complejidad en el entorno • Muchos equipos • Muchas organizaciones • ¿Muchas localizaciones?
  • 7. Análisis forense corporativo• En estos tiempos que corren, surgen nuevas cuestiones…. – Tenemos dinero para externalizar un análisis? – La prueba será admisible? – Han tenido tiempo de recolectar evidencias?
  • 8. Análisis forense corporativo• CRISIS!!!!! – Absorción de empresas – Quiebra de empresas – División de empresas• Traducción…. – Posibles trabajadores descontentos – Jefes de proyecto sin competencias – Migración de datos y posible pérdida – Posibilidad de Robo?
  • 9. Principales problemas• Diferentes empresas, diferentes políticas• Herramientas no soportadas por la organización – Políticas estrictas – Falsos positivos en determinadas herramientas – Requerimientos necesarios para su puesta en marcha
  • 10. Prohibido  hablar  de  la  cosa…
  • 11. Aprovecha tu infraestructura• Controladores de Dominio – Facilidad para desplegar políticas de grupo – Centralizar acciones forenses• Servidores de Bases de Datos – Almacenaje de cierto tipo de evidencias (Logs) – Reporting Corporativo• Equipos Cliente – Herramientas nativas del OS – Motores de Scripting • Cscript • WMI (Windows Management Intrumentation)• General a toda la infraestructura – Copias en la sombra (Shadow Copy)
  • 12. Aprovecha tu infraestructura• Auditoría de equipos y servidores – El activar esta función puede mermar la capacidad y funcionamiento del disco – Almacena información en tiempo real mientras el equipo está en funcionamiento• Servidores de BBDD – Se pueden utilizar para almacenar datos de auditoría – Automatización con LogParser
  • 13. DEMO• Logparser + BBDD
  • 14. Scripting
  • 15. Scripting• Motor de scripting nativo – Altamente configurable – Multitud de opciones – Elimina problemas de interoperabilidad – Fácilmente adaptable a la organización – Fácil implantación
  • 16. Qué necesito
  • 17. Qué necesito• Con el Firewall de Windows Activado – Es necesario activar el servidor RPC – netsh firewall set service RemoteAdmin enable – Se puede realizar a través de políticas de grupo – Se puede activar localmente utilizando psexec• Developers & Scripting Guys – Se pueden securizar las conexiones WMI – http://msdn.microsoft.com/en- us/library/aa393266.aspx
  • 18. Qué necesito• Windows Vista /7 – Hay un cambio en la estructura de NETSH – El parámetro firewall pasa a ser ADVFIREWALL – El Firewall de XP pasa a ser un Firewall Avanzado • Controles de entrada y salida • Integración con IPSEC
  • 19. Qué necesito• Control de acceso a DCOM – Distributed Component Object Model – Se utiliza para la comunicación de uno o N equipos – Admite varios tipos de autenticación
  • 20. Motores nativosMotor Scripting Complejidad CifradoMS-DOS Con  dos  cojones… NOWMI-CSCRIPT Poca NOPowerShell Media SI
  • 21. DEMO• Batch Incident ResponseCon  dos  cojones…
  • 22. PowerShell• Integrado en Windows 7/2K8 – Posibilidad de interactuar con .NET – Soporte nativo WMI – Admite cifrado WMI – Seguro  “by default”  (Certificado)
  • 23. DEMO• PowerShell Incident Response
  • 24. Ficheros abiertos• Equipos cliente – Comando OpenFiles • Similar al comando lsof en Linux • Muestra archivos abiertos en la máquina • Es necesario activarlo (Desactivado por defecto) – Openfiles /local on (Es necesario reiniciar) – Openfiles /query /v (Consulta)
  • 25. Hash de ficheros• File CheckSum Integrity Verifier – Herramienta Microsoft – Command line (Of course) – Posibilidad de calcular valores Hash – Almacena datos en BBDD XML – Posibilidad de comparar versiones BBDD
  • 26. Preguntas?
  • 27. Thanks Guys ;-)
  • 28. Referencias• www.areino.com/alf/docs/CorpForensics.pps• http://technet.microsoft.com/en- us/library/cc738752(WS.10).aspx#BKMK_3• http://msdn.microsoft.com/en- us/library/aa389290.aspx• http://msdn.microsoft.com/en- us/library/aa389286.aspx• http://msdn.microsoft.com/en- us/library/aa393266.aspx
  • 29. Contacto• Juan Garrido juangarridocaballero@gmail.com http://windowstips.wordpress.com• Informática64 www.informática64.com
  • 30. http://windowstips.wordpress.com