Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]

 Juan Garrido Consultor Seguridad http://windowstips.wordpress.com

Agenda• Introducción• Evidencias a analizar• Análisis forense corporativo• Principales problemas• Aprovecha tu infraestructura• Scripting• Referencias

Introducción• Se necesitan recolectar determinadas evidencias• La prueba debe ser admisible• El dato debe soportar reportes internos• Se puede utilizar para otro tipo de investigaciones

Introducción RAM,Análisis de Red Sistema de pagefile.sys,hi berfil.sys ficheros, volumen Aplicaciones y sistema operativo Objetivo

Evidencias a analizar• Procesos del sistema – Malware, Rootkits, etc…• Tráfico de red involucrado en el equipo – Transferencia de ficheros – Botnet• Memoria RAM – Elementos volátiles• Elementos del equipo – Ficheros en ejecución

Análisis forense corporativo• A priori no es tan fácil como parece – Complejidad en el entorno • Muchos equipos • Muchas organizaciones • ¿Muchas localizaciones?

Análisis forense corporativo• En estos tiempos que corren, surgen nuevas cuestiones…. – Tenemos dinero para externalizar un análisis? – La prueba será admisible? – Han tenido tiempo de recolectar evidencias?

Análisis forense corporativo• CRISIS!!!!! – Absorción de empresas – Quiebra de empresas – División de empresas• Traducción…. – Posibles trabajadores descontentos – Jefes de proyecto sin competencias – Migración de datos y posible pérdida – Posibilidad de Robo?

Principales problemas• Diferentes empresas, diferentes políticas• Herramientas no soportadas por la organización – Políticas estrictas – Falsos positivos en determinadas herramientas – Requerimientos necesarios para su puesta en marcha

Prohibido hablar de la cosa…

Aprovecha tu infraestructura• Controladores de Dominio – Facilidad para desplegar políticas de grupo – Centralizar acciones forenses• Servidores de Bases de Datos – Almacenaje de cierto tipo de evidencias (Logs) – Reporting Corporativo• Equipos Cliente – Herramientas nativas del OS – Motores de Scripting • Cscript • WMI (Windows Management Intrumentation)• General a toda la infraestructura – Copias en la sombra (Shadow Copy)

Aprovecha tu infraestructura• Auditoría de equipos y servidores – El activar esta función puede mermar la capacidad y funcionamiento del disco – Almacena información en tiempo real mientras el equipo está en funcionamiento• Servidores de BBDD – Se pueden utilizar para almacenar datos de auditoría – Automatización con LogParser

DEMO• Logparser + BBDD

Scripting

Scripting• Motor de scripting nativo – Altamente configurable – Multitud de opciones – Elimina problemas de interoperabilidad – Fácilmente adaptable a la organización – Fácil implantación

Qué necesito

Qué necesito• Con el Firewall de Windows Activado – Es necesario activar el servidor RPC – netsh firewall set service RemoteAdmin enable – Se puede realizar a través de políticas de grupo – Se puede activar localmente utilizando psexec• Developers & Scripting Guys – Se pueden securizar las conexiones WMI – http://msdn.microsoft.com/en- us/library/aa393266.aspx

Qué necesito• Windows Vista /7 – Hay un cambio en la estructura de NETSH – El parámetro firewall pasa a ser ADVFIREWALL – El Firewall de XP pasa a ser un Firewall Avanzado • Controles de entrada y salida • Integración con IPSEC

Qué necesito• Control de acceso a DCOM – Distributed Component Object Model – Se utiliza para la comunicación de uno o N equipos – Admite varios tipos de autenticación

Motores nativosMotor Scripting Complejidad CifradoMS-DOS Con dos cojones… NOWMI-CSCRIPT Poca NOPowerShell Media SI

DEMO• Batch Incident ResponseCon dos cojones…

PowerShell• Integrado en Windows 7/2K8 – Posibilidad de interactuar con .NET – Soporte nativo WMI – Admite cifrado WMI – Seguro “by default” (Certificado)

DEMO• PowerShell Incident Response

Ficheros abiertos• Equipos cliente – Comando OpenFiles • Similar al comando lsof en Linux • Muestra archivos abiertos en la máquina • Es necesario activarlo (Desactivado por defecto) – Openfiles /local on (Es necesario reiniciar) – Openfiles /query /v (Consulta)

Hash de ficheros• File CheckSum Integrity Verifier – Herramienta Microsoft – Command line (Of course) – Posibilidad de calcular valores Hash – Almacena datos en BBDD XML – Posibilidad de comparar versiones BBDD

Preguntas?

Thanks Guys ;-)

Referencias• www.areino.com/alf/docs/CorpForensics.pps• http://technet.microsoft.com/en- us/library/cc738752(WS.10).aspx#BKMK_3• http://msdn.microsoft.com/en- us/library/aa389290.aspx• http://msdn.microsoft.com/en- us/library/aa389286.aspx• http://msdn.microsoft.com/en- us/library/aa393266.aspx

Contacto• Juan Garrido juangarridocaballero@gmail.com http://windowstips.wordpress.com• Informática64 www.informática64.com

http://windowstips.wordpress.com

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]

by RootedCON

Accessibility

Upload Details

Usage Rights

Statistics

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012] Presentation Transcript