Post on 24-Mar-2016
description
Seminario Computación Forense
• Es común encontrar estas preguntas , cuando
se ha perpetrado un ataque
• Que fue lo que hicieron ..... ?
• Como fue que lo hicieron .... ?
• Es donde la recolección de eventos en la red
juega un papel importante al igual que su
análisis
Investigación de la Escena del Crimen
Definición Técnica: Computación Forense
“Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
PLUS data recovery
Definición para las masas
Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento
nunca es eliminada completamente…
La computación Forense es el conjunto de herramientas y técnicas diseñadas para
recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
05/07/2012 5Germinal Isern Universidad Nacional de Piura
Definiciones Básicas
Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computadorque soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sidocometido o que suministre un enlace entre el crimen y la víctima o entre el crimen ysu perpetrador. (Casey 2000)
Evidencia Digital. Cualquier información de valor probatorio que sea almacenada otransmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
Evidencia Digital. Información almacenado o transmitida de manera binaria quepueda ser confiable en una corte. (IOCE. International Organization of ComputerEvidence )
05/07/2012 6Germinal Isern Universidad Nacional de Piura
Motivación
• Los archivos eliminados no son eliminados de forma segura
• Recuperar el archivo eliminado y la fecha!• Cambiar el nombre de los archivos para evitar
la detección , no tiene sentido• El formateo de los discos no elimina mucha
información• Email sobre el Web puede ser recuperado
directamente de su computador( de forma parcial)
• Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
05/07/2012 7Germinal Isern Universidad Nacional de Piura
Motivación (2)
• Desinstalar las aplicaciones es mas difícil de lo que parece…• Data “volátil” permanece en el sistema por mucho tiempo (aun
después de múltiples arranques y cargas)• Remanentes de aplicaciones previas• El usar la codificación (encryption) adecuadamente es difícil,
ya que la información no es útil hasta que sea decodificada.• El software anti-forense (incremento de la privacidad) es
violado frecuentemente.• Imanes grandes generalmente no funcionan• La mutilación de medios (excepto en casos extremos) no
funciona.• Premisa básica: la información es muy difícil de
destruir.
05/07/2012 8Germinal Isern Universidad Nacional de Piura
Investigación en computación forense tradicional
• ¿Qué se puede hacer?– Recuperar data borrada– Descubrir cuando los archivos fueron modificados,
creados, eliminados, organizados.– Determinar que dispositivo de almacenamiento fue
conectado a un computador especifico– Que aplicaciones fueron instaladas, aun si estas
fueron desinstaladas por el usuario– Que sitios web fueron visitados por el usuario…
05/07/2012 9Germinal Isern Universidad Nacional de Piura
Tradicional (2)• Que no…
– Si un medio físico esta físicamente destruido por completo, la recuperación es imposible.
– Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
05/07/2012 10Germinal Isern Universidad Nacional de Piura
Privacidad mediante la mutilación del dispositivo
degausser
o
oEliminación segura a nivel forensePero este seguro que funciona
o
05/07/2012 11Germinal Isern Universidad Nacional de Piura
¿Quién la necesita?
• Agencias policiales o de seguridad del estado– Persecución de crímenes que involucran
computadoras u otros medios digitales– Defensa del inocente– Enjuiciamiento del culpable– Debe seguir directrices muy estrictas durante el
proceso forense completo para garantizar que la evidencia sea admisible en corte.
• Fuerzas militares– Persecución de crímenes internos relacionados con
computación.– Sigue líneas propias, normas legales regulares no
aplican.
05/07/2012 12Germinal Isern Universidad Nacional de Piura
Quién (2)
• Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)– Fuerzas anti-terroristas– Una orden de búsqueda o cateo le permite a un
individuo saber que esta siendo investigado.– Patriot Act minimiza las exigencias requeridas para
hacer búsquedas o cateos.
05/07/2012 13Germinal Isern Universidad Nacional de Piura
Quién (3)
• General– Mala conducta de un empleado en casos corporativos– ¿Qué le pasa a este computador?– En caso de eliminación accidental o maliciosa de data por
parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?
– La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
• Garantía de la privacidad– ¿Qué se puede hacer para garantizar la privacidad?– Premisa: Los individuos tienen el derecho de la privacidad,
como pueden estar garantizar que su data es privada.– Muy difícilmente a menos que una codificación muy fuerte sea
usada, y luego el problema pasa a ser el almacenamiento de las llaves.
05/07/2012 14Germinal Isern Universidad Nacional de Piura
Computación Forense: Metas (1)
• Identificación de evidencia digital potencial– ¿Dónde puede estar? ¿Qué dispositivos uso el
sospechoso?• Preservación de la evidencia
– En la escena del crimen…– Primero estabilizar la evidencia…prevenir la perdida
y la contaminación– Documentación cuidadosa de todo, que se agarro y
como…– Si es posible, hagan una copia idéntica a nivel de
bits de la evidencia para su revision.
05/07/2012 15Germinal Isern Universidad Nacional de Piura
Computación Forense: Metas (2)
• Extracción cuidadosa y revisión de la evidencia.– Análisis de archivos y directorios
• Presentación de los resultados de la investigación ( si es apropiado)– “La FAT fue fubared, pero usando un editor a hexadecimal
cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”
– “El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
• Legal: Investigación debe satisfacer los criterios de privacidad
05/07/2012 16Germinal Isern Universidad Nacional de Piura
Restricciones: Computación Forense
• Orden de volatilidad– Algún tipo de data es mas volátil– RAM > swap > disk > CDs/DVDs– Idea: capture L evidencia mas volátil primero
• Cadena de custodia– Mantenimiento de los registros de posesión para
todo– Debe ser capaz de hacer seguimiento a la evidencia
hasta su fuente original.– “Pruebe” que la fuente no ha sido modificada.
05/07/2012 17Germinal Isern Universidad Nacional de Piura
Aspectos Legales• Admisibilidad en los juzgados
– Generalmente si , pero hay precedentes.– Disparándole a un objetivo en movimiento. Si se es
consistente y no se crea evidencia, debe estar bien.• Legalidad de la obtención
– Si (con una orden apropiada de la corte) y si para otras circunstancias especiales
– Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.
– Network sniffing se considera como wire tap. Sea cuidadoso• Requiere una orden titulo III de una corte (18 USC 2510-2521) • Muy difícil de obtener en EEUU• Lo mismo sucede con mensajes de texto en teléfonos celulares
Consulte a un abogado
05/07/2012 18Germinal Isern Universidad Nacional de Piura
Aspectos Legales (2)
• Las necesidades de la investigación vs. El derecho a la privacidad
• Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución
• Quinta enmienda y Codificación ( Encryption)• Leyes sobre grabaciones (wiretaps)• Cadena de custodia• Admisibilidad de la evidencia en corte: Daubert
– Esencia:• ¿Ha sido esta teoría o técnica probada? • ¿ Se conoce la tasa de error? • ¿ Es ampliamente aceptado dentro de una comunidad científica
relevante? • Patriot Act
– Expande el poder del gobierno de forma amplia05/07/2012 19Germinal Isern Universidad Nacional de Piura
El proceso investigativo: necesidades
• Aceptación– Pasos y métodos son aceptados como validos
• Confiabilidad– Puede probarse que los métodos apoyan los
hallazgos.– Por ejemplo puede probarse que el método para
recuperar una imagen del espacio de swap puede ser exacto.
• Repetitividad– Los procesos pueden ser repetidos por agentes
independientes.
05/07/2012 20Germinal Isern Universidad Nacional de Piura
Proceso de investigación (2)
• Integridad– Evidencia no es modificada ( si es posible al
máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
• Causa y efecto– Puede mostrar conexiones fuertes entre individuos,
evnetos y evidencias.
• Documentación– Todo el proceso documentado, con cada paso
explicado y con la justificación apropiada.
05/07/2012 21Germinal Isern Universidad Nacional de Piura
El principio: Alerta por incidente• El administrador del sistema nota un comportamiento
extraño en el servidor (lento, se cuelga, no responde)• IDS alerta al administrador de un trafico de red
sospechoso.• La compañía repentinamente pierde muchas ventas• Algún ciudadano reporta una actividad criminal
– Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
• Asesinato, hay un computador en la escena del crimen.• Asesinato, la victima tiene un PDA• Agencias de Seguridad del estado y la policía deben
investigar• Corporación/militares: pueden investigar, dependiendo
de la severidad del caso, otras prioridades.
05/07/2012 22Germinal Isern Universidad Nacional de Piura
Escena del crimen• Documente, documente, documente• Fotografías que describan la organización de los
equipos, cableados• Inventario detallado de la evidencia• Procedimientos adecuados, prenda, deje las reglas
apagadas por cada tipo de dispositivo• Por ejemplo, para computador:
– Fotografíe la pantalla, luego desconecte la alimentación de energía.
– Coloque cinta de marca de evidencia sobre cada dispositivo.– Fotografíe/diagrame y etiquete la parte posterior del
computador con los componentes y sus conexiones existentes.– Etiquete todos los conectores y cables de manera de poder re-
ensamblar cuando sea necesario.– Si requiere de transportar, empaque los componentes y
transpórtelos como mercancía frágil.
05/07/2012 23Germinal Isern Universidad Nacional de Piura
Ejemplos de evidencia digital
• Computadores cada vez mas involucrados en investigaciones corporativas y criminales.
• La evidencia digital puede jugar un rol preponderante o ser una nube de humo.
• Correo electrónico– Acoso o amenaza– Chantaje– Transmisión ilegal de documentos corporativos
internos.
05/07/2012 24Germinal Isern Universidad Nacional de Piura
Ejemplos (2)
• Puntos de encuentro/horas de encuentro para trafico de drogas
• Cartas de suicidas• Información técnica para construir bombas• Archivos con imágenes o video digital (por
ejemplo pornografía infantil)• Evidencia sobre el uso inapropiado de los
recursos del computador o ataques– Uso de una maquina como un generador de correo
spam – Uso de una maquina para distribuir copias ilegales
de software.
05/07/2012 25Germinal Isern Universidad Nacional de Piura
Delitos Informáticos
05/07/2012 Germinal Isern Universidad Nacional de Piura 26
Pornografía Infantil
05/07/2012 Germinal Isern Universidad Nacional de Piura 27
Delitos Financieros
05/07/2012 Germinal Isern Universidad Nacional de Piura 28
Clonadores de atrjetas de credito
05/07/2012 Germinal Isern Universidad Nacional de Piura 29
Fuentes de Evidencia digital
• Computadores– Email– Imágenes digitales– Documentos– Hojas de calculo– Bitácoras de conversaciones (Chat logs)– Software copiado ilegalmente u otro material con
derechos restringidos de copia
05/07/2012 30Germinal Isern Universidad Nacional de Piura
Evidencia digital en un disco
• Archivos– Activos– Eliminados– Fragmentos
• Metadata de archivos• Espacio ocioso (Slack space)• Swap file• Información del sistema
– Registry– Bitácora (Logs)– Data de configuración
05/07/2012 31Germinal Isern Universidad Nacional de Piura
Mas fuentes (1)
• Teléfonos celulares– Números dicados– Llamadas recibidas– Números de correo de voz accedidos– Números de tarjeta de crédito/debito– Direcciones de correo electrónico– Llamadas a números forward
• PDAs/ Teléfonos inteligentes– Contactos, mapas, fotos, palabras clave,
documentos,…
05/07/2012 32Germinal Isern Universidad Nacional de Piura
Mas fuentes (2)
• Teléfonos internos/Contestadoras telefónicas– Mensajes entrantes/mensajes salientes– Números llamados– Información de la llamada entrante– Códigos de acceso para los sistemas de correos de
voz entrantes– Copiadoras– Especialmente copiadoras digitales, que pueden
almacenar trabajos enteros.
05/07/2012 33Germinal Isern Universidad Nacional de Piura
Mas fuentes (3)
• Sistemas de video juego• Básicamente sistemas computacionales como
la XBox.• Dispositivos GPS
– Rutas, puntos de camino
• Cámaras Digitales– Fotos, video, archivos en tarjetas de almacenamiento
(SD, memory stick, CF, …)
05/07/2012 34Germinal Isern Universidad Nacional de Piura
Preservación de la Evidencia• Estabilizar la evidencia• Depende del tipo de dispositivo, pero debe mantener
felices a los dispositivos volátiles.• Cuando sea posible haga copias de la evidencia
original.• Dispositivos de bloqueo de escritura y alguna otra
tecnologia para garantizar que la información no sea modificada, son usados comúnmente.
• Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan
• Evidencia original debe ir luego a lugar controlado, lugar seguro
• “Alimentación” de los dispositivos volátiles continúan en almacenamiento
• Estas copias serán usadas en la próxima fase de la investigacion.
05/07/2012 35Germinal Isern Universidad Nacional de Piura
Preservación de la escena del crimen
Sala Sotano, aramario
Conexion inalambrica
“Querida Susana,
No es tu culpa
Solo jala el cable Mueve el mouse para una mirada rapida
Tripwires
tick…tick…tick…
Computo volatil
Documentación cuidadosa es esencial
05/07/2012 37Germinal Isern Universidad Nacional de Piura
Preservacion de la imagen
• Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
• Bloqueadores de escritura ; buen plan.
• Herramientas para obtener imagenes:– dd bajo Linux– Floppies de arranque DOS– Soluciones propietarias
Drivelock write blocker
Investigar
Análisis: Arte, Ciencia, Experiencia
• Conocer donde se puede encontrar la evidencia
• Entender las técnicas usadas para esconder o destruir la data digital
• Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida
• Habilidad para manipular gigantesca cantidad de data digital…
• Ignorar lo irrelevante, apuntar a lo relevante• Comprender completamente las
circunstancias que hacen a la evidencia no confiable– Ejemplo: Creación de nuevos usuarios bajo
Windows 95/9805/07/2012 40Germinal Isern Universidad Nacional de Piura
Computadores Tradicionales: ¿Dónde está la evidencia?
• Archivos no eliminados, espere que los nombres sean incorrectos
• Archivos eliminados• Windows registry• Archivos de impresión del spool• Archivos en Hibernación • Archivos temporales (todos los .TMP en Windows!)• Espacio ocioso (Slack space)• Swap files• Browser caches• Particiones alternas u ocultas• Otra variedad de medios removibles como (floppies,
ZIP, tapes, …)
05/07/2012 41Germinal Isern Universidad Nacional de Piura
Análisis (1)
• Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible
• Descubrimiento de archivos eliminados• Descubrimiento de archivos renombrados• Recuperación de bloques de datos para archivos
grandes eliminados• Descubrimiento de material codificado• Creación de índices de claves para realizar
búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.
• Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos
05/07/2012 42Germinal Isern Universidad Nacional de Piura
Análisis (2)• Tallado de archivos para recuperar archivos eliminados,
fragmentos del espacio no asignado• Descubrimiento de los archivos conocidos usando
diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …
• Categorización de evidencia– x Archivos JPEG – y Archivos Word – z Archivos codificados ZIP – …
• Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado
• Muchos de estos procesos pueden ser automatizados
05/07/2012 43Germinal Isern Universidad Nacional de Piura
Análisis (3)• Creación de un archivo de ilustración de las fechas de
creación, modificación y eliminación de archivos.• Para el sistema de archivos de Unix : inode # “timelines”• La actividad inusual saltara en el diagrama de tiempos
(timeline)• Cuidado! Problemas del reloj, confusiones con los
husos horarios , batería del CMOS muerta…• Revisión de data no eliminada y recuperada con cumpla
con ciertos criterios.– Por ejemplo, en un caso de pornografía infantil, busque
imágenes JPEG/GIF recuperadas en cualquier archivo multimedia
– Probablemente no investigue Excel o documentos financieros• Formulación de hipótesis y búsqueda de evidencia
adicional para justificar o refutar la hipótesis.
05/07/2012 44Germinal Isern Universidad Nacional de Piura
Proceso ForenseAutorización y Preparación
Identificación
Documentación, Recolección yPreservación
Examinación y Análisis
Reconstrucción
Reportes y Resultados
05/07/2012 45Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
Flag(Forensic and
Log Analysis GUI )www.dsd.gov.au/library/software/flag/ *nix L
Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS
Sleuth9 www.deepnines.com/sleuth9.html *nix CSR
Dragon IDS www.enterasys.com/products/ids/ *nix CLSR
NSM Incident
responsewww.intellitactics.com Windows CLSRW
neuSecure www.guarded.net *nix CLSRW
NetIntercept www.sandstorm.net Linux box CSRA
NetWitness www.forensicexplorer.com Windows CLSRA
OSSIM www.ossim.net *nix CLSRA
SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
05/07/2012 46Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
TCPDump,Windumphttp://windump.polito.it
http://www.tcpdump.orgLinux, Windows C
Ngrep http://ngrep.sourceforge.net *nix C
Network Stumbler http://netstumbler.com Windows C
Kismet www.kismetwireless.net Windows, Linux C
Argus www.qosient.com/argus7/ *nix CL
Flow-tools www.splintered.net/sw/flow-tools/ *nix CL
Flow extract, Flow
Scripts
http://security.uchicago.edu/tools/net-
forensics/*nix L
Etherape http://etherape.sourceforge.net *nix C
Ethereal www.ethereal.com Windows-Linux CLS
Etherpeek www.wildpackets.com Windows CLS
05/07/2012 47Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
• Algunas otras herramientas que ayudan en el proceso de
recolección de la información.
– Nessus. www.nessus.org
– Nmap. www.insecure.org
• También existen las llamadas distribuciones booteables, que son
definidas como el conjunto de herramientas en el proceso forense.
FIRE,Sleuth,Helix,Plan-B
• Dentro del conjunto de herramientas existen dos herramientas que
se consideran vitales para el manejo de incidentes y análisis
forense.
– IDS/IPS
– Honeytrap05/07/2012 48Germinal Isern Universidad Nacional de Piura
Demostración FTK
05/07/2012 Piura Abril 200849Germinal Isern Universidad Nacional de Piura
FTK pantallas: Caso nuevo
05/07/2012 50Germinal Isern Universidad Nacional de Piura
FTK : Comienza la investigación
05/07/2012 51Germinal Isern Universidad Nacional de Piura
FTK : Sumario del caso
05/07/2012 52Germinal Isern Universidad Nacional de Piura
FTK : Thumbnail
05/07/2012 53Germinal Isern Universidad Nacional de Piura
Una muestra de investigacion
• Windows Registry• Swap File• Hibernation File• Recycle Bin• Print Spool Files• Filesystem Internals• File Carving • Slack Space• (Estructuras similares Linux, Mac OS X, etc.)
05/07/2012 54Germinal Isern Universidad Nacional de Piura
Acceso al Registry (en vivo
Image the machine
-- or –
Use “Obtain Protected Files”in the FTK Imager
05/07/2012 55Germinal Isern Universidad Nacional de Piura
FTK Registry Viewer
05/07/2012 56Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 57Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 58Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 59Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 60Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 61Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
05/07/2012 62Germinal Isern Universidad Nacional de Piura
SAM file
05/07/2012 63Germinal Isern Universidad Nacional de Piura
SOFTWARE file
05/07/2012 64Germinal Isern Universidad Nacional de Piura
SOFTWARE file
05/07/2012 65Germinal Isern Universidad Nacional de Piura
** VERY IMPORTANT **
“Select” key chooseswhich control set is current,which is “last known good” configuration
SYSTEM file
05/07/2012 66Germinal Isern Universidad Nacional de Piura
SYSTEM file
05/07/2012 67Germinal Isern Universidad Nacional de Piura
750GB USB harddrives (same type)
Two JumpdriveElite thumbdrives
SYSTEM file
05/07/2012 68Germinal Isern Universidad Nacional de Piura
Mas del Registry
• Otra información :– Tipo de CPU – Información Interfaz de Red
• IP addresses, default gateway, DHCP configuration, …– Software instalado– Hardware instalado
• Información del registry tipo “aja te agarre”– redundante, información no documentada– profile cloning on older versions of Windows (95/98)
• (e.g., typed URLs, browser history, My Documents, …)
05/07/2012 69Germinal Isern Universidad Nacional de Piura
Sistema de ArchivosEsencial conocerlo
FAT 12, 16, 32NTFS
EXT 2, 3 …………..
05/07/2012 Piura Abril 200870Germinal Isern Universidad Nacional de Piura
Mejor Auditoria
05/07/2012 71Germinal Isern Universidad Nacional de Piura
Criminales en la computacion…
05/07/2012 72Germinal Isern Universidad Nacional de Piura
Wireshark (….. Ethereal)
Detailed packet data at various protocol levels
Packet listing
Raw data05/07/2012 73Germinal Isern Universidad Nacional de Piura
Wireshark: Siguiendo un flujo TCP
05/07/2012 74Germinal Isern Universidad Nacional de Piura
Wireshark: control flujo FTP
05/07/2012 75Germinal Isern Universidad Nacional de Piura
Wireshark: flujo de datos FTP
05/07/2012 76Germinal Isern Universidad Nacional de Piura
Wireshark: Flujo de datos FTP
05/07/2012 77Germinal Isern Universidad Nacional de Piura
Wireshark: Sesion HTTP
save, then trim awayHTTP headers to retrieve image
Use: e.g., WinHex
05/07/2012 78Germinal Isern Universidad Nacional de Piura
Psinfo (Detección , análisis)
05/07/2012 79Germinal Isern Universidad Nacional de Piura
pslist
05/07/2012 80Germinal Isern Universidad Nacional de Piura
handle
05/07/2012 81Germinal Isern Universidad Nacional de Piura
filemon
05/07/2012 82Germinal Isern Universidad Nacional de Piura
psfile
05/07/2012 83Germinal Isern Universidad Nacional de Piura
promiscdetect
05/07/2012 84Germinal Isern Universidad Nacional de Piura
promiscdetect (Wireshark está corriendo)
05/07/2012 85Germinal Isern Universidad Nacional de Piura
psloggedon
05/07/2012 86Germinal Isern Universidad Nacional de Piura
netstat -a
Ataque al corazon?!
05/07/2012 87Germinal Isern Universidad Nacional de Piura
netstat –a -b
fuiiii!
05/07/2012 88Germinal Isern Universidad Nacional de Piura
Linux Listado de procesos
Salida parcial# ps aux | less
05/07/2012 89Germinal Isern Universidad Nacional de Piura
Linux: lsof
Salida parcial# lsof | less
05/07/2012 90Germinal Isern Universidad Nacional de Piura
Linux: Informacion de procesos detallada
05/07/2012 91Germinal Isern Universidad Nacional de Piura
Linux:
05/07/2012 92Germinal Isern Universidad Nacional de Piura
05/07/2012 93Germinal Isern Universidad Nacional de Piura
Linux:
05/07/2012 94Germinal Isern Universidad Nacional de Piura
Linux:
05/07/2012 95Germinal Isern Universidad Nacional de Piura
Análisis Forense en vivo
05/07/2012 96Germinal Isern Universidad Nacional de Piura
Crear consulta
05/07/2012 97Germinal Isern Universidad Nacional de Piura
Crear
05/07/2012 98Germinal Isern Universidad Nacional de Piura
Objetivo
05/07/2012 99Germinal Isern Universidad Nacional de Piura
Confirmar informacion
05/07/2012 100Germinal Isern Universidad Nacional de Piura
Password
05/07/2012 101Germinal Isern Universidad Nacional de Piura
Adquisicion inicial
05/07/2012 102Germinal Isern Universidad Nacional de Piura
05/07/2012 103Germinal Isern Universidad Nacional de Piura
05/07/2012 104Germinal Isern Universidad Nacional de Piura
Informacion General
05/07/2012 105Germinal Isern Universidad Nacional de Piura
Informacion Interfaz IP
05/07/2012 106Germinal Isern Universidad Nacional de Piura
Analisis de datos
05/07/2012 107Germinal Isern Universidad Nacional de Piura
Puertos
vmware phoninghome to check for updates
SMB file server
05/07/2012 108Germinal Isern Universidad Nacional de Piura
Procesos en ejecucion
05/07/2012 109Germinal Isern Universidad Nacional de Piura
Conexiones
05/07/2012 110Germinal Isern Universidad Nacional de Piura
Archivos abiertos
05/07/2012 111Germinal Isern Universidad Nacional de Piura
Analisis vaciados de memoria
05/07/2012 Piura Abril 2008112Germinal Isern Universidad Nacional de Piura
FATKIT / Volatools
Python-based system for examining physical memory dumps
C:\VolatoolsBasic-1.1.1>python volatools
usage: volatools cmd [cmd_opts]
Supported Commands:connections Print list of open connectionsdatetime Get date/time information for imagedlllist Print list of loaded dlls for each processfiles Print list of open files for each processident Identify image properties such as DTB and VM
typemodules Print list of loaded modulespslist Print list of running processessockets Print list of open socketsstrings Match physical offsets to virtual addressesvaddump Dump the VAD sections to filesvadinfo Dump the VAD infovadwalk Walk the VAD tree05/07/2012 113Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools pslist -f d:\MEMDUMP.1GB
Name Pid PPid Thds Hnds TimeSystem 4 0 65 262 Thu Jan 01 00:00:00 1970smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007
05/07/2012 114Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools sockets -f d:\memdump.bluelu
Pid Port Proto Create Time1828 500 17 Wed Mar 28 02:22:36 20074 445 6 Wed Mar 28 02:22:20 2007736 135 6 Wed Mar 28 02:22:25 2007468 1900 17 Wed Mar 28 02:22:58 2007196 1031 6 Wed Mar 28 02:22:54 20071936 1025 6 Wed Mar 28 02:22:35 20074 139 6 Wed Mar 28 02:22:20 20071828 0 255 Wed Mar 28 02:22:36 20071112 123 17 Wed Mar 28 02:22:39 20071804 1029 17 Wed Mar 28 02:22:37 2007384 1028 6 Wed Mar 28 02:22:36 2007384 1032 6 Wed Mar 28 02:22:56 20074 137 17 Wed Mar 28 02:22:20 20071936 1026 6 Wed Mar 28 02:22:35 2007316 1030 6 Wed Mar 28 02:22:44 20071164 3793 6 Wed Mar 28 02:22:28 2007468 1900 17 Wed Mar 28 02:22:58 20071828 4500 17 Wed Mar 28 02:22:36 20074 138 17 Wed Mar 28 02:22:20 2007196 1037 6 Wed Mar 28 02:23:03 20071936 1027 6 Wed Mar 28 02:22:35 20074 445 17 Wed Mar 28 02:22:20 20071112 123 17 Wed Mar 28 02:22:39 2007
05/07/2012 115Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools files -f d:\MEMDUMP.1GB************************************************************************Pid: 4File \Documents and Settings\Administrator.HE00\NTUSER.DATFile \Documents and Settings\Administrator.HE00\NTUSER.DAT.LOGFile \System Volume Information\_restore{1625C426-0868-4E67-8C21-
25BB305F7E1E}\RP228\change.logFile \TopologyFile \pagefile.sysFile \WINDOWS\system32\config\SECURITYFile \WINDOWS\system32\config\SECURITY.LOGFile \WINDOWS\system32\config\softwareFile \WINDOWS\system32\config\software.LOGFile \hiberfil.sysFile \WINDOWS\system32\config\systemFile \WINDOWS\system32\config\system.LOGFile \WINDOWS\system32\config\defaultFile \WINDOWS\system32\config\default.LOGFile \WINDOWS\system32\config\SAMFile \WINDOWS\system32\config\SAM.LOGFile \Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DATFile \Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOGFile \File \Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOGFile \Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DATFile \WINDOWS\CSC\00000001************************************************************************Pid: 436File \WINDOWSFile \WINDOWS\system32…… 05/07/2012 116Germinal Isern Universidad Nacional de Piura
Analisis de la muerte de un computador
FTK Interlude
05/07/2012 Piura Abril 2008117Germinal Isern Universidad Nacional de Piura
Email en el computador de Daryl
05/07/2012 118Germinal Isern Universidad Nacional de Piura
Analisis en vivo del computador
05/07/2012 Piura Abril 2008119Germinal Isern Universidad Nacional de Piura
Command: pslist > pslist.txt
? Nada interesante
05/07/2012 120Germinal Isern Universidad Nacional de Piura
Command: pmdump –list > pmdump-list.txt
?Nada interesante?
05/07/2012 121Germinal Isern Universidad Nacional de Piura
Command: handle > handle.txt
!!
05/07/2012 122Germinal Isern Universidad Nacional de Piura
Command: dd if=\\.\PhysicalMemory of=PhysicalMemory.ddCommand: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt
05/07/2012 123Germinal Isern Universidad Nacional de Piura
El archivo “log.txt” en directorio c:\taxes en Word Para resaltar las sesiones importantes
DARYL_EVIDENCE\log.doc
Examen c:\taxes directorio:
turbotax97.exe era realmente un keylogger
05/07/2012 124Germinal Isern Universidad Nacional de Piura
05/07/2012 125Germinal Isern Universidad Nacional de Piura
¡Algo es sospechoso!
• Inmediatamente se conectan e ingresan a la red corporativa
• Atención especial al trafico de “sparelaptop3”• Se inicia la investigación de sparelaptop3, que
se encuentra en la sala de impresión de la compania
05/07/2012 126Germinal Isern Universidad Nacional de Piura
WiresharkInterlude
05/07/2012 Piura Abril 2008127Germinal Isern Universidad Nacional de Piura
Analisis de red
Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
• bobotie-notes.txt.bfe:– Directory info enumerated at packet 2029-2030.– 662 bytes (entire file) transferred in packet 2202.
• pate.txt (un-encrypted):– choose any packet in stream and follow TCP stream,
e.g., packet 3360.– data transfer is actually at packet 3479.
• pistachio-macaroons.txt.bfe:– 246 bytes (entire file) transferred in packet 4693.
05/07/2012 128Germinal Isern Universidad Nacional de Piura
Historia de inserción de USB (análisis de laptop flotante) HKEY_LOCAL_MACHINE/SYSUSBSTOR
Almacenamiento USB perteneciente a Niles Boudreaux,otro empleado de TurboChef.
05/07/2012 129Germinal Isern Universidad Nacional de Piura
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR
¡Concordo!
05/07/2012 130Germinal Isern Universidad Nacional de Piura
Historia USB
En la computadora de Niles
• Copias de recetas codificadas y no codificadas (eliminadas)
• E-mail original de Ignatius Q. Riley (eliminado)
05/07/2012 131Germinal Isern Universidad Nacional de Piura
Email original de Ignatius ( Maquina N. Boudreaux’s)
05/07/2012 132Germinal Isern Universidad Nacional de Piura
A Closer Look at Email on Daryl Popper’s Computer
05/07/2012 133Germinal Isern Universidad Nacional de Piura
Una vista mas cerca del e-mail en el computador de Daryl(HTML SOURCE)
05/07/2012 134Germinal Isern Universidad Nacional de Piura
La historia real
1. Niles infeliz, contacta a Lick-My-Spoon2. Niles instala un key logger en la maquina de Daryl while she’s at lunch,
and enables guest account and file sharing3. Key logger records Daryl’s encryption passwords4. Niles digs up unused, spare laptop5. Niles gets keystroke log remotely using spare laptop / file sharing6. Niles copies some recipes to spare laptop using file sharing7. Niles copies stolen recipes from spare laptop to USB disk8. Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius9. Ignatius sends reply to Niles10. Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)11. Niles deposits forged reply on Daryl’s machine12. Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO,
investigation begins13. Niles continues periodically to copy recipes from Daryl’s machine to
spare laptop14. (These transfers were captured during network logging)15. Facing mounting evidence, Niles confesses
05/07/2012 135Germinal Isern Universidad Nacional de Piura