SlideShare una empresa de Scribd logo

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]

RootedCON, profile picture
RootedCON

El documento describe el enfoque LNX IRTool para la adquisición de evidencia digital forense en sistemas Linux potencialmente comprometidos. Incluye pasos de preparación como la creación de puntos de montaje, y la ejecución de scripts que realizan tareas como el dump de memoria, extracción de artefactos de sistema e información de usuarios, red y procesos, y la generación de un timeline de sistema de archivos.

Tecnología
1 de 34
Descargado 33 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
© Todos los derechos reservados
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! La memoria • Dump • LiME (Linux Memory Extractor) • Módulo que se carga en “ESE” kernel • Linpmem (Proyecto Rekall) • Binario estático* • /proc/kcore • Análisis • Volatility/Rekall -> Profile para ese kernel con System.map + modules.dwarf
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Módulos LiME y Profiles Volatility • Sistemas operativos soportados: • CentOS 5, 6 y 7 • Ubuntu 14.04, 16.04 y 18.04 • https://bitbucket.org/securizame/volatility-profiles- and-lime-modules • https://securizame@bitbucket.org/securizame/ lime.kos.git
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Operativa en Linux • En local: • Ejecución de scripts • Herramientas/librerías “del sistema” • Desde dispositivo USB o recurso compartido por red • En remoto • Instalación de agentes (Ej: Osquery, GRR, etc…) • Copia de herramientas a sistema de ficheros local
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ¿Es fiable un sistema potencialmente comprometido?
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Una posible solución • Dr. Philip Polstra • Ejecución de script • “Good Binaries” • Modificación de PATH y LD_LIBRARY_PATH • ¿Compatible con SystemV y SystemD?
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Una posible solución • Dr. Philip Polstra • Ejecución de script • “Good Binaries” • Modificación de PATH y LD_LIBRARY_PATH • ¿Compatible con SystemV y SystemD?
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Objetivos • Fiabilidad -> Extracción lo más fiable posible • Cantidad de evidencias -> Lo más completo posible • Interoperable -> SystemV y SystemD • Filosofía UNIX -> Confianza en diferentes herramientas específicas para cada tarea
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! LNX IRTool: Internals • Máquina viva potencialmente comprometida • Usar herramientas fiables • USB con instalación CAINE 7, KALI 2016.2 y partición para destino de datos • Magic sauce -> chroot • LNX IRTool usa los binarios y librerías de CAINE/KALI
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! LNX IRTool: Pasos en víctima • Crear directorios /mnt/tools y /mnt/datos • CAINE 7 -> Si víctima usa System V • KALI 2016.2 -> Si víctima usa Systemd • Montar particiones USB. En modo escritura solo lo necesario. Por ejemplo, para máquina Systemd: –mount -r /dev/sdb3 /mnt/tools –mount /dev/sdb4 /mnt/datos –mkdir /mnt/datos/<caso> –mount --rbind /mnt/datos/<caso> /mnt/tools/mnt/
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! – /mnt/tools/montalo.sh -> monta --bind /dev, /run, /etc, /proc, /sys,… en /mnt/tools // monta --rbind / /mnt/ tools/raiz // chroot /mnt/tools – ./ir_tool01.sh /mnt/ – exit – /mnt/tools/ir_tool02.sh /mnt/datos/<caso> – sync – /mnt/tools/desmontalo.sh -> Debian/Ubuntu vs. RHEL/ CentOS – umount /mnt/tools • ¿¿Tirar del cable de corriente??*** -> OJO a sistemas de ficheros cifrados, SSD, servicios imprescindibles… LNX IRTool: Pasos en víctima
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! – /mnt/tools/montalo.sh -> monta --bind /dev, /run, /etc, /proc, /sys,… en /mnt/tools // monta --rbind / /mnt/ tools/raiz // chroot /mnt/tools – ./ir_tool01.sh /mnt/ – exit – /mnt/tools/ir_tool02.sh /mnt/datos/<caso> – sync – /mnt/tools/desmontalo.sh -> Debian/Ubuntu vs. RHEL/ CentOS – umount /mnt/tools • ¿¿Tirar del cable de corriente??*** -> OJO a sistemas de ficheros cifrados, SSD, servicios imprescindibles… LNX IRTool: Pasos en víctima
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • Pasos de preparación de puntos de montaje • Ejecución de scripts montalo.sh + irtool01.sh + irtool02.sh + desmontalo.sh LNX IRTool: Resumen
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • Pasos de preparación de puntos de montaje • Ejecución de scripts montalo.sh + irtool01.sh + irtool02.sh + desmontalo.sh LNX IRTool: Resumen
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh • Se ejecuta en entorno chroot de CAINE o KALI2 – Dump de memoria con LiME o con LinPmem – Sistema -> fecha/hora, kernel, issue, carga de máquina, fecha instalación (lost+found /), búsqueda de unidades cifradas montadas, runlevel -> /etc/rcX.d/S* – Por cada usuario -> historial, variables de entorno y configuración de shell,… – Info de usuarios -> loggeados/existentes/powered/actual, últimos logons, erróneos, logon por cada usuario – Búsqueda de ficheros ocultos – Búsqueda de ficheros *.bin, *.exe, sin usuario y sin grupo
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh – Ficheros y directorios con ACLs – Tareas programadas en cron – Procesos existentes -> ps -eLF (todos -e-, hilos -L-, formato completo -F-) // pstree -Aup (ASCII, ID usuario, ID proceso) // CSV con /proc/PID/exe y cmdline – Información de red y comunicaciones: estado de interfaces de red, rutas, interfaces en modo promiscuo, ficheros de configuración, DNS, sockets y ficheros abiertos -> [netstat | ss] -patun, lsof -i , etc,… – Extracción de config de servidores web comunes
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh – Kernel -> módulos cargados (lsmod) vs. /sys/module/<mod>/ initstate – Localizaciones interesantes /dev/shm, /lost+found, contenido de /etc/ld.so.preload – timeline en formato MACtime* – tar /etc,/var/log, /root, /home, /tmp – logs de systemd -> journald – unhide + chkrootkit – Información de reglas de cortafuegos (filter, nat y mangle) – iftop -> 20 segundos – tcpdump -i any -w tcpdump.pcap -> 30 segundos – top -> 5 veces
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool02.sh • Se ejecuta desde shell propia del sistema víctima – Se indica punto de montaje y se crean variables al destino – Puntos de montaje y ocupación de los mismos – Sistema de ficheros: – Timeline del / -> excepto /mnt – ATIME, MTIME, BTIME, permisos inodo, uid, gid, tamaño, nombre de fichero
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! –Paquetes de sistema: rpm -Va y rpm -qa -last // dpkg - l y debsums | grep REPLACED (si existe) // pacman -Qi –Claves públicas gpg existentes en el sistema –Verificación de KeyIDs de RPMs instalados* • Información detallada de módulos cargados • systemctl -> Obtiene servicios instalados (list-units) activos (state=active). Se saca el estado de cada servicio • Se calcula el SHA-256 de cada fichero generado ir_tool02.sh
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Forense en la nube SystemV -> mount -o loop,offset=$((4196352*512)),noexec, noload / mnt/remote/ir_lnx_usb.dd /mnt/tools/ SystemD -> mount -o loop,offset=$((25167872*512)),noexec, noload / mnt/remote/ir_lnx_usb.dd /mnt/tools/ R/W Read Only
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! @Lawwait @securizame /securizame https://www.securizame.com https://cursos.securizame.com https://certificaciones.securizame.com +34 91 123 11 73 Lorenzo@securizame.com © Todos los derechos reservados @LAWWAIT
© Todos los derechos reservados @LAWWAIT Linux DFIR: My way! @Lawwait @securizame /securizame https://www.securizame.com https://cursos.securizame.com https://certificaciones.securizame.com +34 91 123 11 73 Lorenzo@securizame.com © Todos los derechos reservados @LAWWAIT

Más contenido relacionado

PDF
Using Kamailio for Scalability and Security
Fred Posner
 
PPTX
Ubuntu(Linux)
Dr. Hemant Kumar Singh
 
PDF
Shared Memory Communications-Direct Memory Access (SMC-D) Overview
zOSCommserver
 
PDF
Unit 10 investigating and managing
root_fibo
 
PDF
VPN - Virtual Private Network
julienlfr
 
PPTX
Présentation NAC-NAP PPT HARIFI Madiha
Harifi Madiha
 
DOCX
vpn
fayzerish
 
PPTX
Kolla talk at OpenStack Summit 2017 in Sydney
Vikram G Hosakote
 
Using Kamailio for Scalability and Security
Fred Posner
 
Ubuntu(Linux)
Dr. Hemant Kumar Singh
 
Shared Memory Communications-Direct Memory Access (SMC-D) Overview
zOSCommserver
 
Unit 10 investigating and managing
root_fibo
 
VPN - Virtual Private Network
julienlfr
 
Présentation NAC-NAP PPT HARIFI Madiha
Harifi Madiha
 
vpn
fayzerish
 
Kolla talk at OpenStack Summit 2017 in Sydney
Vikram G Hosakote
 

La actualidad más candente (20)

PPTX
The Basic Introduction of Open vSwitch
Te-Yen Liu
 
PPTX
OpenvSwitch Deep Dive
rajdeep
 
PDF
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PDF
L’ Administration des Réseaux en Pratique
Amadou Dia
 
ODP
OpenStack DevStack Configuration localrc local.conf Tutorial
Saju Madhavan
 
PDF
ONOS SDN-IP: Tutorial and Use Case for SDX
APNIC
 
PDF
Projet administration-sécurité-réseaux
Rabeb Boumaiza
 
PDF
Affidabilità questa sconosciuta ing-marin
Roberta Agnoli
 
PDF
Snort implementation
Rokitta Apollonia
 
PDF
CNIT 121: 2 IR Management Handbook
Sam Bowne
 
PDF
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm
 
PDF
Sipwise rtpengine
Andreas Granig
 
DOCX
system de gestion Nfs (Network File System)
ninanoursan
 
PDF
SIP Attack Handling (Kamailio World 2021)
Fred Posner
 
PPT
ELF
Koganti Ravikumar
 
PDF
Doc portail-captif-pfsense
servinfo
 
PPTX
Mise en place d'une soltion de communication unifiée
dartenien
 
PPT
ταξιδιωτικός οδηγός γαλλίας
Giorgos Basmatzidis
 
PDF
Centralized Logging with syslog
amiable_indian
 
PPTX
Présentation de la pile réseau sous gnu linux
Thierry Gayet
 
The Basic Introduction of Open vSwitch
Te-Yen Liu
 
OpenvSwitch Deep Dive
rajdeep
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
L’ Administration des Réseaux en Pratique
Amadou Dia
 
OpenStack DevStack Configuration localrc local.conf Tutorial
Saju Madhavan
 
ONOS SDN-IP: Tutorial and Use Case for SDX
APNIC
 
Projet administration-sécurité-réseaux
Rabeb Boumaiza
 
Affidabilità questa sconosciuta ing-marin
Roberta Agnoli
 
Snort implementation
Rokitta Apollonia
 
CNIT 121: 2 IR Management Handbook
Sam Bowne
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm
 
Sipwise rtpengine
Andreas Granig
 
system de gestion Nfs (Network File System)
ninanoursan
 
SIP Attack Handling (Kamailio World 2021)
Fred Posner
 
ELF
Koganti Ravikumar
 
Doc portail-captif-pfsense
servinfo
 
Mise en place d'une soltion de communication unifiée
dartenien
 
ταξιδιωτικός οδηγός γαλλίας
Giorgos Basmatzidis
 
Centralized Logging with syslog
amiable_indian
 
Présentation de la pile réseau sous gnu linux
Thierry Gayet
 
Publicidad

Similar a Lorenzo Martínez - Linux DFIR: My Way! [rooted2019] (20)

PDF
Un caso Forense: Analizando un servidor Linux
Eventos Creativos
 
PPTX
Sistema operativo unix
José Chancoh
 
PPT
Introducción a GNU - POSIX - LINUX
Jose Pla
 
PDF
Cómo crear una distribución Linux
Mauro Parra-Miranda
 
PDF
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
PPTX
Análisis forense en linux - Compromised Linux Server
Alejandro Ramos
 
PPTX
Linux administracion.pptx
ROMMELDANTECONDOCARR
 
PPTX
Presentación sistemas archivos
elpropio_88
 
PDF
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
ODP
Workshop Ubuntu GNU/Linux 3
Gerick Toro Rodriguez
 
PPTX
Análisis forense de dispositivos android 02
Eventos Creativos
 
PDF
Linux for bioinformatics
cursoNGS
 
PDF
Curso Sistemas Operativos - Unidad Introducción a OS
Juan Rafael Alvarez Correa
 
PPT
Seguridad linux 2011
cristina0leandro
 
ODP
Sistema linux
bencalderon
 
DOC
Apuntes Administracion de redes de computadores "ubuntu"
sestebans
 
PDF
Introduccion UNIX/LINUX
miguelrios9999
 
PPT
Curso linux operación
JOSE MANUEL SANCHEZ REQUENA
 
PDF
presentacion-proxmox-comparativa.pdf
JohnathanRodriguez12
 
DOCX
Os
Natt Ruiz
 
Un caso Forense: Analizando un servidor Linux
Eventos Creativos
 
Sistema operativo unix
José Chancoh
 
Introducción a GNU - POSIX - LINUX
Jose Pla
 
Cómo crear una distribución Linux
Mauro Parra-Miranda
 
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
Análisis forense en linux - Compromised Linux Server
Alejandro Ramos
 
Linux administracion.pptx
ROMMELDANTECONDOCARR
 
Presentación sistemas archivos
elpropio_88
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Workshop Ubuntu GNU/Linux 3
Gerick Toro Rodriguez
 
Análisis forense de dispositivos android 02
Eventos Creativos
 
Linux for bioinformatics
cursoNGS
 
Curso Sistemas Operativos - Unidad Introducción a OS
Juan Rafael Alvarez Correa
 
Seguridad linux 2011
cristina0leandro
 
Sistema linux
bencalderon
 
Apuntes Administracion de redes de computadores "ubuntu"
sestebans
 
Introduccion UNIX/LINUX
miguelrios9999
 
Curso linux operación
JOSE MANUEL SANCHEZ REQUENA
 
presentacion-proxmox-comparativa.pdf
JohnathanRodriguez12
 
Os
Natt Ruiz
 
Publicidad

Más de RootedCON (20)

PDF
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
PDF
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
PDF
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
PPSX
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON
 
PDF
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON
 
PPTX
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON
 
PPTX
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
PPTX
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON
 
PDF
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
PDF
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON
 
PPTX
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
PPTX
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
PDF
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON
 
PDF
Rooted2020 todo a-siem_-_marta_lopez
RootedCON
 
PPTX
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON
 
PDF
Rooted2020 live coding--_jesus_jara
RootedCON
 
PDF
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON
 
PDF
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON
 
PDF
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON
 
PDF
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
RootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON
 
Rooted2020 live coding--_jesus_jara
RootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON
 

Último (20)

PDF
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PPTX
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
DOCX
TRABAJO GRUPAL (5) (1).docxsjsjskskksksksks
edeplucasmolina
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
DOCX
TRABAJO GRUPAL (5) (1).docxsjjsjsksksksksk
edeplucasmolina
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
DOCX
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
PDF
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
PPTX
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PDF
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 
DOCX
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PDF
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
PDF
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
PPT
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
TRABAJO GRUPAL (5) (1).docxsjsjskskksksksks
edeplucasmolina
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
TRABAJO GRUPAL (5) (1).docxsjjsjsksksksksk
edeplucasmolina
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]

  • 1. © Todos los derechos reservados
  • 2. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
  • 3. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
  • 4. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
  • 5. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • ¿Máquina viva? -> Adquisición de elementos volátiles de un sistema • Memoria RAM • Artifacts: Info de sistema operativo, conexiones establecidas, puertos abiertos, carga de la máquina, procesos, usuarios conectados, módulos cargados, timeline de sistema de ficheros, tráfico de red, etc,… • ¿Máquina apagada? -> post-mortem • Imagen de disco Adquisición de evidencias
  • 6. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
  • 7. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
  • 8. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
  • 9. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
  • 10. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Adquisición de evidencias Live en Windows
  • 11. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! La memoria • Dump • LiME (Linux Memory Extractor) • Módulo que se carga en “ESE” kernel • Linpmem (Proyecto Rekall) • Binario estático* • /proc/kcore • Análisis • Volatility/Rekall -> Profile para ese kernel con System.map + modules.dwarf
  • 12. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Módulos LiME y Profiles Volatility • Sistemas operativos soportados: • CentOS 5, 6 y 7 • Ubuntu 14.04, 16.04 y 18.04 • https://bitbucket.org/securizame/volatility-profiles- and-lime-modules • https://securizame@bitbucket.org/securizame/ lime.kos.git
  • 13. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Operativa en Linux • En local: • Ejecución de scripts • Herramientas/librerías “del sistema” • Desde dispositivo USB o recurso compartido por red • En remoto • Instalación de agentes (Ej: Osquery, GRR, etc…) • Copia de herramientas a sistema de ficheros local
  • 14. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ¿Es fiable un sistema potencialmente comprometido?
  • 15. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Una posible solución • Dr. Philip Polstra • Ejecución de script • “Good Binaries” • Modificación de PATH y LD_LIBRARY_PATH • ¿Compatible con SystemV y SystemD?
  • 16. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Una posible solución • Dr. Philip Polstra • Ejecución de script • “Good Binaries” • Modificación de PATH y LD_LIBRARY_PATH • ¿Compatible con SystemV y SystemD?
  • 17. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Objetivos • Fiabilidad -> Extracción lo más fiable posible • Cantidad de evidencias -> Lo más completo posible • Interoperable -> SystemV y SystemD • Filosofía UNIX -> Confianza en diferentes herramientas específicas para cada tarea
  • 18. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! LNX IRTool: Internals • Máquina viva potencialmente comprometida • Usar herramientas fiables • USB con instalación CAINE 7, KALI 2016.2 y partición para destino de datos • Magic sauce -> chroot • LNX IRTool usa los binarios y librerías de CAINE/KALI
  • 19. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! LNX IRTool: Pasos en víctima • Crear directorios /mnt/tools y /mnt/datos • CAINE 7 -> Si víctima usa System V • KALI 2016.2 -> Si víctima usa Systemd • Montar particiones USB. En modo escritura solo lo necesario. Por ejemplo, para máquina Systemd: –mount -r /dev/sdb3 /mnt/tools –mount /dev/sdb4 /mnt/datos –mkdir /mnt/datos/<caso> –mount --rbind /mnt/datos/<caso> /mnt/tools/mnt/
  • 20. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! – /mnt/tools/montalo.sh -> monta --bind /dev, /run, /etc, /proc, /sys,… en /mnt/tools // monta --rbind / /mnt/ tools/raiz // chroot /mnt/tools – ./ir_tool01.sh /mnt/ – exit – /mnt/tools/ir_tool02.sh /mnt/datos/<caso> – sync – /mnt/tools/desmontalo.sh -> Debian/Ubuntu vs. RHEL/ CentOS – umount /mnt/tools • ¿¿Tirar del cable de corriente??*** -> OJO a sistemas de ficheros cifrados, SSD, servicios imprescindibles… LNX IRTool: Pasos en víctima
  • 21. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! – /mnt/tools/montalo.sh -> monta --bind /dev, /run, /etc, /proc, /sys,… en /mnt/tools // monta --rbind / /mnt/ tools/raiz // chroot /mnt/tools – ./ir_tool01.sh /mnt/ – exit – /mnt/tools/ir_tool02.sh /mnt/datos/<caso> – sync – /mnt/tools/desmontalo.sh -> Debian/Ubuntu vs. RHEL/ CentOS – umount /mnt/tools • ¿¿Tirar del cable de corriente??*** -> OJO a sistemas de ficheros cifrados, SSD, servicios imprescindibles… LNX IRTool: Pasos en víctima
  • 22. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • Pasos de preparación de puntos de montaje • Ejecución de scripts montalo.sh + irtool01.sh + irtool02.sh + desmontalo.sh LNX IRTool: Resumen
  • 23. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! • Pasos de preparación de puntos de montaje • Ejecución de scripts montalo.sh + irtool01.sh + irtool02.sh + desmontalo.sh LNX IRTool: Resumen
  • 24. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
  • 25. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
  • 26. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way!
  • 27. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh • Se ejecuta en entorno chroot de CAINE o KALI2 – Dump de memoria con LiME o con LinPmem – Sistema -> fecha/hora, kernel, issue, carga de máquina, fecha instalación (lost+found /), búsqueda de unidades cifradas montadas, runlevel -> /etc/rcX.d/S* – Por cada usuario -> historial, variables de entorno y configuración de shell,… – Info de usuarios -> loggeados/existentes/powered/actual, últimos logons, erróneos, logon por cada usuario – Búsqueda de ficheros ocultos – Búsqueda de ficheros *.bin, *.exe, sin usuario y sin grupo
  • 28. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh – Ficheros y directorios con ACLs – Tareas programadas en cron – Procesos existentes -> ps -eLF (todos -e-, hilos -L-, formato completo -F-) // pstree -Aup (ASCII, ID usuario, ID proceso) // CSV con /proc/PID/exe y cmdline – Información de red y comunicaciones: estado de interfaces de red, rutas, interfaces en modo promiscuo, ficheros de configuración, DNS, sockets y ficheros abiertos -> [netstat | ss] -patun, lsof -i , etc,… – Extracción de config de servidores web comunes
  • 29. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool01.sh – Kernel -> módulos cargados (lsmod) vs. /sys/module/<mod>/ initstate – Localizaciones interesantes /dev/shm, /lost+found, contenido de /etc/ld.so.preload – timeline en formato MACtime* – tar /etc,/var/log, /root, /home, /tmp – logs de systemd -> journald – unhide + chkrootkit – Información de reglas de cortafuegos (filter, nat y mangle) – iftop -> 20 segundos – tcpdump -i any -w tcpdump.pcap -> 30 segundos – top -> 5 veces
  • 30. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! ir_tool02.sh • Se ejecuta desde shell propia del sistema víctima – Se indica punto de montaje y se crean variables al destino – Puntos de montaje y ocupación de los mismos – Sistema de ficheros: – Timeline del / -> excepto /mnt – ATIME, MTIME, BTIME, permisos inodo, uid, gid, tamaño, nombre de fichero
  • 31. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! –Paquetes de sistema: rpm -Va y rpm -qa -last // dpkg - l y debsums | grep REPLACED (si existe) // pacman -Qi –Claves públicas gpg existentes en el sistema –Verificación de KeyIDs de RPMs instalados* • Información detallada de módulos cargados • systemctl -> Obtiene servicios instalados (list-units) activos (state=active). Se saca el estado de cada servicio • Se calcula el SHA-256 de cada fichero generado ir_tool02.sh
  • 32. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! Forense en la nube SystemV -> mount -o loop,offset=$((4196352*512)),noexec, noload / mnt/remote/ir_lnx_usb.dd /mnt/tools/ SystemD -> mount -o loop,offset=$((25167872*512)),noexec, noload / mnt/remote/ir_lnx_usb.dd /mnt/tools/ R/W Read Only
  • 33. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! @Lawwait @securizame /securizame https://www.securizame.com https://cursos.securizame.com https://certificaciones.securizame.com +34 91 123 11 73 Lorenzo@securizame.com © Todos los derechos reservados @LAWWAIT
  • 34. © Todos los derechos reservados @LAWWAIT Linux DFIR: My way! @Lawwait @securizame /securizame https://www.securizame.com https://cursos.securizame.com https://certificaciones.securizame.com +34 91 123 11 73 Lorenzo@securizame.com © Todos los derechos reservados @LAWWAIT