análisis forense a partir de recuperación de evidencias en...
TRANSCRIPT
Manuel Santander
Análisis forense a partir de
recuperación de evidencias
en memoria
2
Agenda
• Introducción
• La Organización de Información en memoria
• Adquisición de evidencia
• Demostración
• Conclusiones
• Preguntas y Comentarios
3
Introducción
• Evidencia electrónica
• Sofisticación de técnicas de delitos informáticos
• No escritura en los medios de almacenamiento
• Apagado del equipo para análisis post-mortem
4
Introducción
• Se hace necesario utilizar evidencia volátil para investigaciones
• Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco
• Rootkits y máquinas zombi
6
La organización de la información en
memoria
CodeSegment
Data Segment
HeapSegment
Código ejecutado por el programa en el procesador
Datos utilizados por el programa
Datos almacenados por ablocaciónde memoria dinámica
7
La organización de la información en
memoria
CodeSegment
Módulos camuflados con código malicioso objeto de investigación
8
La organización de la información en
memoria
Data Segment
HeapSegment
Datos que están utilizando los programas objeto de investigación
12
Adquisición de la evidencia
• Objeto \\.\PhysicalMemory y \\.\Debugmemory en Windows
• /proc/kcore en Linux
• /dev/kmem en Solaris
• Dump completo de los procesos y datos en memoria
13
Adquisición de la evidencia
• Forensic Acquisition Utilitiesfor Windows (http://www.gmgsystemsinc.com/fau/)
• Solaris Memory Dump(http://docsun.cites.uiuc.edu/sun_docs/C/solaris_9/SUNWdev/MODDEBUG/p18.html)
16
Conclusiones
• La memoria tiene datos que en ataques modernos no van a pasar por el disco duro, lo cual brinda evidencia invaluable.
• Los datos de la memoria son parte fundamental en la correlación de eventos para la fundamentación de un caso.
17
Conclusiones
• Debe prestarse especial atención a la captura de evidencia para no alterar integridad del disco o la información residente en memoria
• Especial para la comprobación de rootkitsy software malicioso
19
¡¡Muchas Gracias!Muchas Gracias!
Manuel Humberto Santander PelManuel Humberto Santander PelááezezUnidad Soluciones de Infraestructura y Soporte de Unidad Soluciones de Infraestructura y Soporte de
ServiciosServiciosSubdirecciSubdireccióón de Tecnologn de Tecnologíía de Informacia de Informacióónn
Empresas PEmpresas Púúblicas de Medellblicas de Medellíín n E.S.PE.S.P..ee--mail: mail: [email protected]@eeppm.com