Curso forensics power_tools
- 1. CASOS Descubre poderosas herramientas para la PRACTICOS adquisición, preservación y análisis Pedro Sánchez Conexión Inversa 1
- 2. Pedro Sánchez Consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de Investigación Tecnológica de la policía nacional (BIT). He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación Nato Secret, dando conferencias en NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia Soy miembro de la Spanish Honeynet Project, fundador de ConexiónInversa , consultor en Google y Bitdefender y soy Perito Judicial Informático.
- 4. Agenda 1.- Iniciando un análisis forense 3.- La memoria – Comandos – ptfinder – FTK Imager – Pagefile.sys – DumpIT – Volatility – Memorizer – RedLine – CD Live 4.- Analizando la red – Clonadoras – Tshark - WireShark – Integridad – Network Miner – NetWitness 2.- Analizando datos – Artefactos 5.- El laboratorio Forense – RegRipper – WFA – WRR – WinprefetchView – Web Historian 4
- 5. Un mundo lleno de herramientas ¿Las necesitamos? • Cuando hacemos una pericial tenemos que disponer de un conjunto de recursos que garanticen la evidencia a través de una o varias pruebas. • Pretende resolver: – La investigación del fraude digital – Dar respuesta forense a incidentes corporativos – La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos para litigios, negociaciones o arbitrajes – La elaboración y defensa de periciales y contra periciales como expertos independientes – La prevención y la gestión informático-forense de riesgos corporativos y gubernamentales en entornos digitales • Las herramientas son un instrumento de ayuda, nunca la solución a nuestra investigación.
- 6. 1 Iniciando un análisis forense 6
- 7. El misterioso caso de winreg Los pasos- Adquisición y clonado • nc -L -p 7777 >datos_listener.txt – Tras establecer el listener en la maquina remota, podemos pasarle información a través de la red desde la maquina sospechosa de haber sido comprometida: • Código: – tlist.exe -c |nc <ip_remota> 7777 -w 5 tlist.exe -t |nc <ip_remota> 7777 -w 5 tlist.exe -s |nc <ip_remota> 7777 -w 5 netstat -naob |nc <ip_remota> 7777 -w 5 – tcpvcon -can |nc <ip_remota> 7777 -w 5 • Fecha y hora actual del sistema: – Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt • Uptime de la maquina: – (systeminfo | find “Boot Time”) >%DIR%uptime.txt – ipconfig /all >%DIR%ipconfigNICs.txt netstat -rn >%DIR%TablaEnrutamiento.txt nbtstat -c >%DIR%CacheNombresNetbios.txt • Arbol de procesos en ejecución (SysInternals): – pslist -t >%DIR%ArbolProcesos.txt • Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger: – listdlls >%DIR%DLLs.txt – handle -a >%DIR%handles.txt 7
- 8. El misterioso caso de winreg Los pasos- Adquisición y clonado • Volcados por fallo configurando el SO para crear un volcado de memoria completa de Windows (también conocida como pantalla azul o kernel panic) • Volcado LiveKD por uso de herramientas • Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede analizar y descomprimidos para obtener la imagen de memoria. • MoonSols DumpIt es una fusión de win32dd y win64dd en un ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria física en el directorio actual. DumpIt es la utilidad perfecta para desplegar en una llave USB para una rápida operación de respuesta a incidentes. Rápido, pequeño y portátil. 8
- 9. El misterioso caso de winreg Los pasos- Adquisición y clonado 9
- 10. El misterioso caso de winreg Los pasos- Adquisición y clonado 10
- 11. El misterioso caso de winreg Los pasos- CLONADO • Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o sectores defectuosos. • Existen múltiples formas y herramientas – Por software • DD • Live CD • OSForensics • EnCase – Por Hardware • Clonadoras 11
- 12. El misterioso caso de winreg Los pasos- CLONADO 12
- 13. El misterioso caso de winreg Los pasos- CLONADO 13
- 14. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO 14
- 15. El misterioso caso de winreg Los pasos- CLONADORES DE DISCO • Clonadores por harware • Rapidez, eficacia, sencillez, no intrusivo • El coste de estas herramientas es muy alto de base (hasta 20.000€) 15
- 16. El misterioso caso de winreg Los pasos- INTEGRIDAD 16
- 17. El misterioso caso de winreg Resultados –Disponemos de datos volátiles –Disponemos del disco –Disponemos de huellas 17
- 18. 2 Análisis de datos Artefactos de Windows 18
- 19. Análisis de datos Montando discos 19
- 20. Análisis de datos Artefactos de Windows • Son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba. 20
- 21. Análisis de datos Artefactos de Windows • El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. • El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo.Las claves del registro que se asocian a los 'hives' son HKLM y HKU. 21
- 22. Análisis de datos Artefactos de Windows ¡¡ Mama quiero ser perito!! http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html 22
- 23. Análisis de datos Artefactos de Windows 23
- 24. Análisis de datos Artefactos de Windows 24
- 25. Análisis de datos Artefactos de Windows 25
- 26. Análisis de datos Artefactos de Windows 26
- 27. Análisis de datos Artefactos de Windows 27
- 28. 3 Análisis de datos La memoria 28
- 29. Análisis de datos La memoria - RAM 29
- 30. Análisis de datos La memoria -Pagefile Strings pagefile.sys > pagefile.txt • findstr "password" pagefile.txt > passwd.txt • findstr “net user" pagefile.txt > netuser.txt • findstr /C:"reg add" pagefile.txt > reg.txt • findstr "UPDATE" pagefile.txt • findstr "ipconfig" pagefile.txt • findstr "html" pagefile.txt > dochtml.htm • findstr "msnmsgr" pagefile.txt > messenger.htm 30
- 31. Análisis de datos La memoria - ptfinder • ptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP 31
- 32. Análisis de datos VOLATILITY VOLATILITY 32
- 33. Análisis de datos VOLATILITY • Detalles de la imagen (fecha, hora, número de CPU) • Los procesos en ejecución • Proceso de SID y variables de entorno • Conexiones de red • DLLs cargados para cada proceso • Los objetos del kernel / (archivos, claves, exclusiones mutuas) • Los módulos del kernel • Volcado de cualquier proceso, DLL o módulo en el disco • Mapeo físicas a las direcciones virtuales • Memoria direccionable para cada proceso • Mapas de memoria para cada proceso • Extraer muestras ejecutables • Historias de comandos (cmd.exe) y datos de consola de entrada / salida • PE información de versión • Las tablas del sistema de llamada • Secciones del Registro • Volcado LM / NTLM hashes y secretos LSA • Ayudar al usuario y exploración shimcache • Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria • Analizar tiempos del núcleo y funciones de devolución de llamada • Informe sobre los servicios de Windows 33
- 34. 34
- 35. Análisis de datos VOLATILITY 35
- 36. Análisis de datos RedLine 36
- 37. Análisis de datos RedLine RedLine 37
- 38. 4 Análisis de datos La red 38
- 39. Análisis de datos en red Tshark - Wireshark 39
- 40. Análisis de datos en red Tshark - Wireshark 40
- 41. Análisis de datos en red Network Miner 41
- 42. Análisis de datos en red NetWitness 42
- 43. 5 El laboratorio Forense 43
- 44. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Un laboratorio se compone de: – Personas – Ubicación física segura – Dispositivos y medios de extracción – Dispositivos de explotación – Dispositivos de aseguramiento de la prueba – Procedimientos que regulan la actuación del laboratorio – Procedimientos normativos 44
- 45. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense • Director de laboratorio • Director Técnico • Personal especializado (de 2 a 5 personas) • Coordinación con notario especializado en delitos telemáticos • Apoyo jurídico técnico referente a la probática del laboratorio. • Formación: • Especialistas en seguridad • Capacidad investigadora • Resolutivos en tiempo • Formación académica en técnicas forenses • Con conocimientos en pericias judiciales • ¿Certificaciones? 45
- 46. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ubicación física • Edificio seguro o zonas estancas con vigilancia • Vigilancias física: – Guardia de seguridad – Registro de entradas y salidas – Entrada al recinto de alta seguridad por personal autorizado – Cámaras de video vigilancia – Volumetricos – Circuitos de aire frio/calientee – S3 – Control externo • Le afecta la misma norma que un CPD 46
- 47. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Dispositivos • Segregación de entornos – Entorno de test – Entorno de producción • El entorno de test no es valido para la prueba pericial, salvo que contenga las mismas medidas que el de producción • Elementos homologados y procedimentados – Clonadoras – Dispositivos de almacenamiento – Dispositivos de extracción – Generación y almacenamiento seguro de huellas – Tercero de confianza 47
- 48. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Procedimientos • Segregación de entornos – Entorno de test – Entorno de producción • Política de entrada y salida del laboratorio • Gestión de personal o usuarios • Gestión de la seguridad física • Gestión de la seguridad lógica • Política de mesas limpias • Política de gestión de dispositivos y dispositivos de backup. • Política de obtención de información y almacenamiento seguro – Recuperación local de datos – Recuperación remota de datos – Aseguramiento de la información en transito • Política de cadena de custodia • Política de gestión de custodios • Gestión de incidencias del laboratorio – Aviso a proveedores – Recuperación local de datos – Recuperación remota de datos • Continuidad de negocio 48
- 49. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Normativo • Debe de ser seguro e incluido dentro del alcance de un SGSI. • Le afecta la LOPD intensamente Amenazas Humanas Naturaleza No Intencionales intencionales Internas Externas 49
- 50. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Infraestructura • Preferiblemente: – Zona cero – Clonadoras • De discos • De discos de alta capacidad • De dispositivos móviles – Almacenamiento de huellas en caja cerrada – Posibilidad de software con tercero de confianza – Software homologado – Hardware homologado – Entorno de extracción con vitalización – Registros de salidas en entornos estancos – Infraestructura segura de transporte hasta el juzgado o cliente. 50
- 51. Un mundo lleno de herramientas ¿Las necesitamos? El laboratorio forense – Ciclo de vida 51
- 52. www.conexioninversa.com http://conexioninversa.blogspot.com pedro.sanchez@conexioninversa.com 52 https://twitter.com/ConexionInversa http://www.youtube.com/user/mspedromspedro