Análisis Forense
Reinaldo Mayol Arnao
Reinaldo Mayol Arnao
¿Qué es el Análisis Forense?
• Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional:
– Preservación – IdenAficación – Extracción – Documentación – Interpretación
Reinaldo Mayol Arnao
¿Cúales son las diferencias más comunes con un proceso forense
tradicional? • Cuando se subtrae información esta sigue estando donde
estaba • La copia de los datos es idénAca a los originales • Los datos pueden accederse si contacto Isico • La información puede ser ocultada para que no sea
reconocida • La información puede ser distribuida en pocos segundos a
numerosos lugares • La información puede ser destruida sin que queden rastros,
ni exista forma de recuperarla • El volumen de datos puede ser significaAvo • La información colectada puede ser falsa
Reinaldo Mayol Arnao
Metodología de Análisis Forense
1. Adquisición de Evidencia 2. AutenAficación de la evidencia colectada 3. Análisis de la Evidencia
Reinaldo Mayol Arnao
1-‐Adquisición de Evidencia
• Preservar los datos, aún si estos se encuentran en medios voláAles como la memoria RAM del sistema afectado.
• Si no se encuentra evidencia en medios voláAles, el equipo debe ser iniciado desde un disco flexible debidamente El contenido de todos los discos duros debe ser volcado a algún medio de almacenamiento secundario
• El medio de almacenamiento que conAene la data respaldada debe ser instalado en una estación especial de análisis de evidencias.
• Si se sospecha la existencia de evidencia en medios como la memoria RAM esta debe ser volcada a un medio perecedero.
• Es muy importante documentar todos los pasos ejecutados así como el contendido de toda la evidencia colectada.
Reinaldo Mayol Arnao
Principios Generales de la Colección de Evidencias Digitales • Cualquier labor realizada no debe modificar la evidencia
• En caso de que sea necesario operar sobre la evidencia original la persona debe estar capacitada para realizar la labor sin que la evidencia sea afectada
• Cualquier acAvidad sobre la evidencia debe ser minusiosamente documentaday estar disponible para su revisión y comprobación.
Reinaldo Mayol Arnao
Adqusición de la Evidencia VoláAl
• Hora del Sistema • Usuarios AcAvos • Información sobre procesos
• Memoria de procesos • Contenido del protapapeles
• Historial de Comandos • Servicios y DisposiAvos • PolíAcas de Grupo • Almacenamientos Protegidos
Reinaldo Mayol Arnao
Adquisición de Evidencia VoláAl:Usuarios conectados
Reinaldo Mayol Arnao
Adquisición de Evidencia VoláAl:Procesos
Reinaldo Mayol Arnao
Adquisición de Evidencia VoláAl:Memoria
• C:> pmdump 1020 volcadoram.explorer
Reinaldo Mayol Arnao
Proceso
Archivo de volcado
1-‐a) Manipulación de la Evidencia
• Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.
• Uno de los elementos que se uAlizan son las Cadenas de Confianza. Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: – ¿Quién colectó la evidencia? – ¿Cómo y donde fue colectada? – ¿Quiénes tuvieron posesión y acceso a la evidencia? – ¿Cómo fue almacenada y protegida? – ¿Quién la ha manipulado?
Reinaldo Mayol Arnao
1-‐a) Manipulación de la Evidencia cont…
• Toda la evidencia colectada debe ser idenAficada.
• La idenAficación debe incluir los siguientes elementos: – Número del caso – Descripción de caso – Firma del InvesAgador que colecta la evidencia – Fecha y hora en que la evidencia ha sido colectada
Reinaldo Mayol Arnao
1-‐a) Manipulación de la Evidencia cont…
• Si la evidencia debe ser transportada deben tenerse en cuenta los elementos de seguridad Isica (humedad, interferencia electromagnéAca, etc) necesarios para garanAzar que la eficacia de la evidencia no sea afectada.
• Igualmente debe asegurarse que la evidencia no pueda ser manipulada por terceros durante su transportación.
Reinaldo Mayol Arnao
1-‐a) Manipulación de la Evidencia cont…
• Debe cuidarse que la idenAficación de la evidencia no sea afectada durante el proceso de transportación
• Iguales medidas han de tomarse para preservar la evidencia si la misma debe ser almacenada
Reinaldo Mayol Arnao
2-‐ AutenAficación de la Evidencia
• El objeAvo de este paso es proveer un mecanismo que garanAce la evidencia colectada no pueda ser modificada o susAtuida sin que el invesAgador pueda notarlo.
Reinaldo Mayol Arnao
2-‐ AutenAficación de la Evidencia
• Por lo general, se recomienda uAlizar algoritmos de HASH (MD5?? ó SHA) capaces de crear un hash de la evidencia que garanAce su integridad.
• Se puede firmar digitalmente cada evidencia garanAzando de esta forma que la misma no pueda ser susAtuida.
Reinaldo Mayol Arnao
3-‐Análisis de las Evidencias
• El objeAvo de este paso es poder reconstruir lo ocurrido para llegar a conclusiones sobre sus causas, responsables y profilaxis.
• Este paso incluye acciones como: n Montaje de la evidencia en la estación del
invesAgador
Reinaldo Mayol Arnao
3-‐Análisis de las Evidencias
n Análisis del sector de arranque n Búsqueda de evidencia parAcular en sectores
borrados n Análisis de bitácoras del sistema operaAvo
Reinaldo Mayol Arnao
Auditoría Forense Windows
Reinaldo Mayol Arnao
El sistema de Archivos: FAT vs NTFS
• FAT uAliza File AllocaAon Tables. • NTFS uAliza archivos de Metadata • FAT uAliza un formato 8.3 para la representación de nombres
• NTFS uAliza UNICODE (16 bits por cada caracter)
• Los permisos en FAT solo llegan a nivel de carpetas mientras en NTFS los permisos se exAenden hasta los archivos.
Reinaldo Mayol Arnao
MAC Times
• Una de los elementos más importantes para el analista forense lo consAtuyen las marcas de Aempo. MAC
Reinaldo Mayol Arnao
Modificación
Acceso
Creación
MAC Times cont…
Reinaldo Mayol Arnao
Sistema de Archivos de NTFS
• Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control.
• Existe un MFT por cada archivo en el volumen. • Los MFT son localizados en la raíz del volumen, comienzan por “ $” y no
son visibles. • Un MFT almacena los atributos de los archivos y subdirectorios
incluyendo el nombre, MAC, permisos, flags de estado, entre otros. • Adicionalmente el MFT almacena parte ( o su totalidad) de la data
(dependiendo del tamaño del archivo)
Reinaldo Mayol Arnao
Formato Simplificado de un archivo MFT
• Para un archivo: – Header – $FILENAME – $ STANDART_INFORMATION – $DATA – Lista de Atributos
• Para un subdirectorio: – Header – $INDEX_ROOT – Entradas de Indice – $INDEX_ALLOCATION
Reinaldo Mayol Arnao
$BITMAP
• EL $BITMAP uAliza un bit para almacenar el estado de cada sector: – “1”: el sector está ocupado – “0”: el sector está disponible.
• Cuando un archivo es borrado el bit correspondiente en el $BITMAP es puesto en “0”, el MFT correspondiente es marcado para ser borrado y el índice correspondiente es borrado.
Reinaldo Mayol Arnao
Formateado
• Cuando un volumen es formateado NTFS sobrescribe los anAguos MFT.
• Sin embargo, los datos se manAenen (ahora claro está inconexos, no visibles y posiblemente incompletos) en los sectores disponibles del nuevo volumen.
Reinaldo Mayol Arnao
Renombrado, movimiento y borrado de archivos
• Cuando un archivo es renombrado o movido el sistema simplemente borra los archivos de índice correspondientes pero no mueve la información.
• Un invesAgador puede buscar en el MFT del directorio que contenía los datos movidos y renombrados para encontrar las entradas correspondientes con los índices de buffers (índices a las posiciones de los datos que no “cabían” dentro del MFT. Reinaldo Mayol Arnao
Papelera de Reciclaje
• El análisis de la papelera de reciclaje es un elemento importante para el invesAgador forense.
• La papelera es un archivo oculto llamado Recycled en Windows 95 y 98, y Recycler en las versiones posteriores y localizados en la raíz del sistema de archivos
• En W. NT y versiones posteriores la primera vez que un usuario pone un archivo en la papelera es creado un subdirectorio cuyo nombre corresponde al UID del usuario. Reinaldo Mayol Arnao
La papelera C:\RECYCLER>dir /ah Volume in drive C has no label. Volume Serial Number is 7073-‐8D08 Directory of C:\RECYCLER 11/02/2004 04:30 p.m. <DIR> . 11/02/2004 04:30 p.m. <DIR> .. 26/02/2004 12:05 p.m. <DIR> S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐10298677 34-‐500 0 File(s) 0 bytes 3 Dir(s) 3.918.397.440 bytes free :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500>dir /ah Volume in drive C has no label. Volume Serial Number is 7073-‐8D08 Directory of C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500 26/02/2004 12:05 p.m. <DIR> . 26/02/2004 12:05 p.m. <DIR> .. 15/02/2004 10:41 p.m. 65 desktop.ini 01/03/2004 11:59 a.m. 4.820 INFO2 2 File(s) 4.885 bytes 2 Dir(s) 3.913.691.136 bytes free Reinaldo Mayol Arnao
La papelera cont…
Reinaldo Mayol Arnao
Posición dentro del disco
Papelera de Reciclaje
Archivos dentro de la papelera
La papelera de reciclaje cont…
• El nombre de los archivos dentro de la papelera se forma de la siguiente forma:
Ej: Archivo borrado c:/mydocs/text.txt Nombre del archivo en la papelera: DC0.txt
Reinaldo Mayol Arnao
Volumen donde residía el archivo
borrado
Índice dentro de la papelera
Extensión original
La papelera de reciclaje cont…
• El archivo oculto INFO2 almacena la información sobre todos los archivos borrados, incluyendo para cada uno la fecha de borrado, su índice dentro de la papelera y su nuevo nombre dentro de la misma y el “path” del archivo original.
Reinaldo Mayol Arnao
La papelera de reciclaje cont…
• Cuando la papelera es borrada los archivos y el INFO2 también son borrados.
• Si la papelera no ha sido sobrescrita es posible encontrar el archivo INFO2 y hacer una búsqueda manual de los archivos.
• Si el archivo INFO2 ha sido sobrescrito solo queda buscar exhausAvamente el archivo en el espacio disponible del disco.
Reinaldo Mayol Arnao
Otras fuentes de información
• Los archivos de acceso directo
• Index.dat
• Thumbs.db
• Entradas del registro
Reinaldo Mayol Arnao
Index.dat
Reinaldo Mayol Arnao
Index.dat
Reinaldo Mayol Arnao
Análisis de Temporales
Reinaldo Mayol Arnao
Análisis de Atajos
Reinaldo Mayol Arnao
El registro
• Los registros se encuentran en varios archivos ocultos en: %systemroot%
\system32\config y NTUSER.DAT. • Un auditor forense debe hacer
copias de los archivos del registro y visualizarlos en otro editor.
Reinaldo Mayol Arnao
¿Cuál es la estructura del registro?
Reinaldo Mayol Arnao
El proceso svhost
Reinaldo Mayol Arnao
• Svhost es un superproceso que maneja otros procesos. • Es cumún que su nombre aparezca varias veces en el arbol de servios activos
El proceso Svhost
• Varios Troyanos y backdoors han sido escritos para que se escriban en el sistema vícAma bajo el nombre de svhost.exe.
• De esa forma tratan de engañar al administrtador del sistema
• Por regla general se trata de copiar hacia system32
• En W2K, XP y 2003 el subdirtectorio system32 se encuentra protegido.
Reinaldo Mayol Arnao
Detectando interfaces promiscuas
Reinaldo Mayol Arnao
Obteniendo información de la Red
Reinaldo Mayol Arnao
Obteniendo información de la Red
Reinaldo Mayol Arnao
Historial de Comandos
Reinaldo Mayol Arnao
Drivers
Reinaldo Mayol Arnao
Protected Storage
Reinaldo Mayol Arnao
pstoreview
Análisis de Sistemas UNIX
Reinaldo Mayol Arnao
Sistema de Archivos
# fdisk –l /dev/hda Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders
Units = cylinders of 4032* 512 bytes Device Boot Start End Blocks Id System /dev/hda1 1 9 18112 83 Linux
Reinaldo Mayol Arnao
Disco IDE A
Partición:1
Tipo de SA
Permisología UNIX
Reinaldo Mayol Arnao
R: Lectura W: Escritura X: Ejecución
111 110 111
Resto
Permiso Negado
Permiso Otorgado
Grupo
Propietario
Archivos Ocultos
• En UNIX los archivos ocultos se disAnguen por comenzar por un “. “
# ls –a .home .stach .gnome$
Reinaldo Mayol Arnao
/etc/passwd
User:23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh
Reinaldo Mayol Arnao
Login Contraseña
UID GID
Nombre
HOME shell
SUID y SGID
_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at
_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport
Reinaldo Mayol Arnao
SUID
SGID
HASH de Archivos
# md5sum /bin/ ls 9640c319462eacd0bcc640832cf45bcd4
Reinaldo Mayol Arnao
Syslog
Reinaldo Mayol Arnao
Servicios Disponibles
• Revisar todo el árbol /etc/ rc* • Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos.
• Tener en cuenta que muchos servicios pueden ser manejados por Superdemonios (inetd)
Reinaldo Mayol Arnao
Cuentas de Usuarios • Revisar /etc/passwd • Si existe /etc/shadow
Reinaldo Mayol Arnao
Trabajos temporizados
• Revisar los archivos relacionados con el cron del sistema
Reinaldo Mayol Arnao
Análisis de Bitácoras
Reinaldo Mayol Arnao
Análisis de bitácoras (Logs)
• Quizás uno de los aspectos más desafiantes pero críAcos del análisis forense es el análisis de los archivos de registros o bitácoras.
Reinaldo Mayol Arnao
Análisis de bitácoras (Logs)
• Si se registran demasiadas acAvidades, la información que se pudiera llegar a necesitar puede verse perdida en un mar de registros.
• En caso contrario, si se registran muy pocas acAvidades del sistema, no se podrá contar con información suficiente para detectar acAvidades sospechosas.
Reinaldo Mayol Arnao
Creación de una línea de base
• El comienzo de un análisis de bitácoras debe estar precedido por el desarrollo de una línea de base, la cual puede ser un marco de referencias para acAvidades normales predefinidas que se llevan a cabo en la red.
• Se puede crear una línea base al examinar cuidadosamente los registros o bitácoras por períodos extensos.
Reinaldo Mayol Arnao
Bitácora de enrutadores y firewalls
• IdenAficar las interfaces de fuente y desAno. • Descubrir los servidores de fuentes y de desAno.
• Realizar seguimiento de los patrones de uso.
Reinaldo Mayol Arnao
Bitácora de enrutadores y firewalls
• Descubrir protocolos usados: búsqueda de uso de Internet de manera no producAva, el cual incluye tráfico HTTP, tráfico MP3, ICQ, RealPlayer, Messenger y tráfico IRC.
• Implementar búsqueda de conexiones sospechosas ICMP, TCP y UDP.
• Búsqueda de conexiones realizadas por puertos sospechosos, como por ejemplo: el 12345 (puerto predeterminado de NetBus).
Reinaldo Mayol Arnao
Bitácoras de sistemas opera?vos Bitácoras o registros en sistemas UNIX: • Los sistemas UNIX Aenen varias herramientas naAvas que ayudan a determinar la acAvidad pasada. Estas pueden ser:
Reinaldo Mayol Arnao
Bitácoras de sistemas opera?vos – last: rastrea el archivo /var/log/lastlog para reportar información
variada, incluyendo inicios de sesiones de usuarios, el terminal y ubicación remota, información sobre el apagado y reinicio de sistemas, y los servicios que han sido manejados por sesión (Telnet, FTP, entre otros).
– lastb: Provee información sobre intentos de inicio de sesiones fallidas. – lastlog: Provee información sobre usuarios que han iniciado sesión en
el pasado. Además suministra información sobre usuarios quienes nunca han iniciado sesión alguna.
Reinaldo Mayol Arnao
Bitácoras de sistemas opera?vos (cont…) Bitácoras o registros en sistemas Windows: • La uAlidad naAva para el registro en la plataforma Windows 2000 en el Visor de Sucesos. Este permite controlar el servicio EventLog.
• Windows 2000 divide su registro en las siguientes cuatro categorías:
Reinaldo Mayol Arnao
Bitácoras de sistemas opera?vos (cont…) – System: Registra servicios iniciados y fallidos, apagado y reinicio de
sistemas. – Security: Registra eventos tales como las acAvidades de inicio de sesión,
acceso y alteración de los privilegios de usuarios, y acceso a objetos. – Applica4on: Registra las acciones de aplicaciones individuales y como
ellas interactúan con el sistema operaAvo. – DNS Server: Si el servicio DNS está instalado, este registro o bitácora
conAene todos los mensajes enviados por él.
Reinaldo Mayol Arnao
Auditoría en Windows
Reinaldo Mayol Arnao
Filtrado de bitácoras o registros (Logs) • Los archivos de registros pueden crecer considerablemente, y más cuando no se han configurado apropiadamente los sistemas para registrar solamente los eventos importantes.
Reinaldo Mayol Arnao
Filtrado de Bitácoras en UNIX
• last –x: Despliega solo entradas concernientes a las eventos en los que se apaga o reinicia un sistema.
• last –x reboot: Muestra cada reinicio del sistema.
• last –x shutdown: Muestra cada caída o apagado del sistema.
Reinaldo Mayol Arnao
Filtrado de Bitácoras en UNIX
• last –a: Ubica toda la información del servidor en la úlAma columna de la lectura.
• last –d: Muestra todos los inicios de sesión remotos.
• last –n: Permite controlar el número de líneas que serán visualizadas.
Reinaldo Mayol Arnao
Registros o bitácoras adicionales
• Los registros (logs) adicionales para consulta incluye los siguientes: – Sistemas de detección de intrusos. – Conexiones telefónicas (incluyendo registros de correo de voz).
– ISDN (Red Digital de Servicios Integrados) o conexiones frame relay.
– Registro de accesos de empleados (registro de accesos Isicos).
Reinaldo Mayol Arnao
Se terminó....
Reinaldo Mayol Arnao
Gracias!
Top Related