análisis’forense’¡lisis’forense’ reinaldo mayol arnao reinaldo mayol arnao...

Análisis Forense

Reinaldo Mayol Arnao


¿Qué es el Análisis Forense?

•  Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional:

–  Preservación –  IdenAficación –  Extracción –  Documentación –  Interpretación


¿Cúales son las diferencias más comunes con un proceso forense

tradicional? •  Cuando se subtrae información esta sigue estando donde

estaba •  La copia de los datos es idénAca a los originales •  Los datos pueden accederse si contacto Isico •  La información puede ser ocultada para que no sea

reconocida •  La información puede ser distribuida en pocos segundos a

numerosos lugares •  La información puede ser destruida sin que queden rastros,

ni exista forma de recuperarla •  El volumen de datos puede ser significaAvo •  La información colectada puede ser falsa


Metodología de Análisis Forense

1.  Adquisición de Evidencia 2.  AutenAficación de la evidencia colectada 3.  Análisis de la Evidencia


1-‐Adquisición de Evidencia

•  Preservar los datos, aún si estos se encuentran en medios voláAles como la memoria RAM del sistema afectado.

•  Si no se encuentra evidencia en medios voláAles, el equipo debe ser iniciado desde un disco flexible debidamente El contenido de todos los discos duros debe ser volcado a algún medio de almacenamiento secundario

•  El medio de almacenamiento que conAene la data respaldada debe ser instalado en una estación especial de análisis de evidencias.

•  Si se sospecha la existencia de evidencia en medios como la memoria RAM esta debe ser volcada a un medio perecedero.

•  Es muy importante documentar todos los pasos ejecutados así como el contendido de toda la evidencia colectada.


Principios Generales de la Colección de Evidencias Digitales •  Cualquier labor realizada no debe modificar la evidencia

•  En caso de que sea necesario operar sobre la evidencia original la persona debe estar capacitada para realizar la labor sin que la evidencia sea afectada

•  Cualquier acAvidad sobre la evidencia debe ser minusiosamente documentaday estar disponible para su revisión y comprobación.


Adqusición de la Evidencia VoláAl

•  Hora del Sistema •  Usuarios AcAvos •  Información sobre procesos

•  Memoria de procesos •  Contenido del protapapeles

•  Historial de Comandos •  Servicios y DisposiAvos •  PolíAcas de Grupo •  Almacenamientos Protegidos


Adquisición de Evidencia VoláAl:Usuarios conectados


Adquisición de Evidencia VoláAl:Procesos


Adquisición de Evidencia VoláAl:Memoria

•  C:> pmdump 1020 volcadoram.explorer


Proceso

Archivo de volcado

1-‐a) Manipulación de la Evidencia

•  Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.

•  Uno de los elementos que se uAlizan son las Cadenas de Confianza. Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: –  ¿Quién colectó la evidencia? –  ¿Cómo y donde fue colectada? –  ¿Quiénes tuvieron posesión y acceso a la evidencia? –  ¿Cómo fue almacenada y protegida? –  ¿Quién la ha manipulado?


1-‐a) Manipulación de la Evidencia cont…

•  Toda la evidencia colectada debe ser idenAficada.

•  La idenAficación debe incluir los siguientes elementos: – Número del caso – Descripción de caso – Firma del InvesAgador que colecta la evidencia – Fecha y hora en que la evidencia ha sido colectada



•  Si la evidencia debe ser transportada deben tenerse en cuenta los elementos de seguridad Isica (humedad, interferencia electromagnéAca, etc) necesarios para garanAzar que la eficacia de la evidencia no sea afectada.

•  Igualmente debe asegurarse que la evidencia no pueda ser manipulada por terceros durante su transportación.



•  Debe cuidarse que la idenAficación de la evidencia no sea afectada durante el proceso de transportación

•  Iguales medidas han de tomarse para preservar la evidencia si la misma debe ser almacenada


2-‐ AutenAficación de la Evidencia

•  El objeAvo de este paso es proveer un mecanismo que garanAce la evidencia colectada no pueda ser modificada o susAtuida sin que el invesAgador pueda notarlo.


2-‐ AutenAficación de la Evidencia

•  Por lo general, se recomienda uAlizar algoritmos de HASH (MD5?? ó SHA) capaces de crear un hash de la evidencia que garanAce su integridad.

•  Se puede firmar digitalmente cada evidencia garanAzando de esta forma que la misma no pueda ser susAtuida.


3-‐Análisis de las Evidencias

•  El objeAvo de este paso es poder reconstruir lo ocurrido para llegar a conclusiones sobre sus causas, responsables y profilaxis.

•  Este paso incluye acciones como: n  Montaje de la evidencia en la estación del

invesAgador


3-‐Análisis de las Evidencias

n  Análisis del sector de arranque n  Búsqueda de evidencia parAcular en sectores

borrados n  Análisis de bitácoras del sistema operaAvo


Auditoría Forense Windows


El sistema de Archivos: FAT vs NTFS

•  FAT uAliza File AllocaAon Tables. •  NTFS uAliza archivos de Metadata •  FAT uAliza un formato 8.3 para la representación de nombres

•  NTFS uAliza UNICODE (16 bits por cada caracter)

•  Los permisos en FAT solo llegan a nivel de carpetas mientras en NTFS los permisos se exAenden hasta los archivos.


MAC Times

•  Una de los elementos más importantes para el analista forense lo consAtuyen las marcas de Aempo. MAC


Modificación

Acceso

Creación

MAC Times cont…


Sistema de Archivos de NTFS

•  Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control.

•  Existe un MFT por cada archivo en el volumen. •  Los MFT son localizados en la raíz del volumen, comienzan por “ $” y no

son visibles. •  Un MFT almacena los atributos de los archivos y subdirectorios

incluyendo el nombre, MAC, permisos, flags de estado, entre otros. •  Adicionalmente el MFT almacena parte ( o su totalidad) de la data

(dependiendo del tamaño del archivo)


Formato Simplificado de un archivo MFT

•  Para un archivo: –  Header –  $FILENAME –  $ STANDART_INFORMATION –  $DATA –  Lista de Atributos

•  Para un subdirectorio: –  Header –  $INDEX_ROOT –  Entradas de Indice –  $INDEX_ALLOCATION


$BITMAP

•  EL $BITMAP uAliza un bit para almacenar el estado de cada sector: – “1”: el sector está ocupado – “0”: el sector está disponible.

•  Cuando un archivo es borrado el bit correspondiente en el $BITMAP es puesto en “0”, el MFT correspondiente es marcado para ser borrado y el índice correspondiente es borrado.


Formateado

•  Cuando un volumen es formateado NTFS sobrescribe los anAguos MFT.

•  Sin embargo, los datos se manAenen (ahora claro está inconexos, no visibles y posiblemente incompletos) en los sectores disponibles del nuevo volumen.


Renombrado, movimiento y borrado de archivos

•  Cuando un archivo es renombrado o movido el sistema simplemente borra los archivos de índice correspondientes pero no mueve la información.

•  Un invesAgador puede buscar en el MFT del directorio que contenía los datos movidos y renombrados para encontrar las entradas correspondientes con los índices de buffers (índices a las posiciones de los datos que no “cabían” dentro del MFT. Reinaldo Mayol Arnao

Papelera de Reciclaje

•  El análisis de la papelera de reciclaje es un elemento importante para el invesAgador forense.

•  La papelera es un archivo oculto llamado Recycled en Windows 95 y 98, y Recycler en las versiones posteriores y localizados en la raíz del sistema de archivos

•  En W. NT y versiones posteriores la primera vez que un usuario pone un archivo en la papelera es creado un subdirectorio cuyo nombre corresponde al UID del usuario. Reinaldo Mayol Arnao

La papelera C:\RECYCLER>dir /ah Volume in drive C has no label. Volume Serial Number is 7073-‐8D08 Directory of C:\RECYCLER 11/02/2004 04:30 p.m. <DIR> . 11/02/2004 04:30 p.m. <DIR> .. 26/02/2004 12:05 p.m. <DIR> S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐10298677 34-‐500 0 File(s) 0 bytes 3 Dir(s) 3.918.397.440 bytes free :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500>dir /ah Volume in drive C has no label. Volume Serial Number is 7073-‐8D08 Directory of C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500 26/02/2004 12:05 p.m. <DIR> . 26/02/2004 12:05 p.m. <DIR> .. 15/02/2004 10:41 p.m. 65 desktop.ini 01/03/2004 11:59 a.m. 4.820 INFO2 2 File(s) 4.885 bytes 2 Dir(s) 3.913.691.136 bytes free Reinaldo Mayol Arnao

La papelera cont…


Posición dentro del disco

Papelera de Reciclaje

Archivos dentro de la papelera

La papelera de reciclaje cont…

•  El nombre de los archivos dentro de la papelera se forma de la siguiente forma:

Ej: Archivo borrado c:/mydocs/text.txt Nombre del archivo en la papelera: DC0.txt


Volumen donde residía el archivo

borrado

Índice dentro de la papelera

Extensión original


•  El archivo oculto INFO2 almacena la información sobre todos los archivos borrados, incluyendo para cada uno la fecha de borrado, su índice dentro de la papelera y su nuevo nombre dentro de la misma y el “path” del archivo original.



•  Cuando la papelera es borrada los archivos y el INFO2 también son borrados.

•  Si la papelera no ha sido sobrescrita es posible encontrar el archivo INFO2 y hacer una búsqueda manual de los archivos.

•  Si el archivo INFO2 ha sido sobrescrito solo queda buscar exhausAvamente el archivo en el espacio disponible del disco.


Otras fuentes de información

•  Los archivos de acceso directo

•  Index.dat

•  Thumbs.db

•  Entradas del registro


Index.dat


Análisis de Temporales


Análisis de Atajos


El registro

•  Los registros se encuentran en varios archivos ocultos en: %systemroot%

\system32\config y NTUSER.DAT. •  Un auditor forense debe hacer

copias de los archivos del registro y visualizarlos en otro editor.


¿Cuál es la estructura del registro?


El proceso svhost


• Svhost es un superproceso que maneja otros procesos. • Es cumún que su nombre aparezca varias veces en el arbol de servios activos

El proceso Svhost

•  Varios Troyanos y backdoors han sido escritos para que se escriban en el sistema vícAma bajo el nombre de svhost.exe.

•  De esa forma tratan de engañar al administrtador del sistema

•  Por regla general se trata de copiar hacia system32

•  En W2K, XP y 2003 el subdirtectorio system32 se encuentra protegido.


Detectando interfaces promiscuas


Obteniendo información de la Red


Historial de Comandos


Drivers


Protected Storage


pstoreview

Análisis de Sistemas UNIX


Sistema de Archivos

# fdisk –l /dev/hda Disk /dev/hda: 64 heads, 63 sectors, 789 cylinders

Units = cylinders of 4032* 512 bytes Device Boot Start End Blocks Id System /dev/hda1 1 9 18112 83 Linux


Disco IDE A

Partición:1

Tipo de SA

Permisología UNIX


R: Lectura W: Escritura X: Ejecución

111 110 111

Resto

Permiso Negado

Permiso Otorgado

Grupo

Propietario

Archivos Ocultos

•  En UNIX los archivos ocultos se disAnguen por comenzar por un “. “

# ls –a .home .stach .gnome$


/etc/passwd

User:23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh


Login Contraseña

UID GID

Nombre

HOME shell

SUID y SGID

_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at

_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport


SUID

SGID

HASH de Archivos

# md5sum /bin/ ls 9640c319462eacd0bcc640832cf45bcd4


Syslog


Servicios Disponibles

•  Revisar todo el árbol /etc/ rc* •  Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos.

•  Tener en cuenta que muchos servicios pueden ser manejados por Superdemonios (inetd)


Cuentas de Usuarios •  Revisar /etc/passwd •  Si existe /etc/shadow


Trabajos temporizados

•  Revisar los archivos relacionados con el cron del sistema


Análisis de Bitácoras


Análisis de bitácoras (Logs)

•  Quizás uno de los aspectos más desafiantes pero críAcos del análisis forense es el análisis de los archivos de registros o bitácoras.


Análisis de bitácoras (Logs)

•  Si se registran demasiadas acAvidades, la información que se pudiera llegar a necesitar puede verse perdida en un mar de registros.

•  En caso contrario, si se registran muy pocas acAvidades del sistema, no se podrá contar con información suficiente para detectar acAvidades sospechosas.


Creación de una línea de base

•  El comienzo de un análisis de bitácoras debe estar precedido por el desarrollo de una línea de base, la cual puede ser un marco de referencias para acAvidades normales predefinidas que se llevan a cabo en la red.

•  Se puede crear una línea base al examinar cuidadosamente los registros o bitácoras por períodos extensos.


Bitácora de enrutadores y firewalls

•  IdenAficar las interfaces de fuente y desAno. •  Descubrir los servidores de fuentes y de desAno.

•  Realizar seguimiento de los patrones de uso.


Bitácora de enrutadores y firewalls

•  Descubrir protocolos usados: búsqueda de uso de Internet de manera no producAva, el cual incluye tráfico HTTP, tráfico MP3, ICQ, RealPlayer, Messenger y tráfico IRC.

•  Implementar búsqueda de conexiones sospechosas ICMP, TCP y UDP.

•  Búsqueda de conexiones realizadas por puertos sospechosos, como por ejemplo: el 12345 (puerto predeterminado de NetBus).


Bitácoras de sistemas opera?vos Bitácoras o registros en sistemas UNIX: •  Los sistemas UNIX Aenen varias herramientas naAvas que ayudan a determinar la acAvidad pasada. Estas pueden ser:


Bitácoras de sistemas opera?vos –  last: rastrea el archivo /var/log/lastlog para reportar información

variada, incluyendo inicios de sesiones de usuarios, el terminal y ubicación remota, información sobre el apagado y reinicio de sistemas, y los servicios que han sido manejados por sesión (Telnet, FTP, entre otros).

–  lastb: Provee información sobre intentos de inicio de sesiones fallidas. –  lastlog: Provee información sobre usuarios que han iniciado sesión en

el pasado. Además suministra información sobre usuarios quienes nunca han iniciado sesión alguna.


Bitácoras de sistemas opera?vos (cont…) Bitácoras o registros en sistemas Windows: •  La uAlidad naAva para el registro en la plataforma Windows 2000 en el Visor de Sucesos. Este permite controlar el servicio EventLog.

•  Windows 2000 divide su registro en las siguientes cuatro categorías:


Bitácoras de sistemas opera?vos (cont…) –  System: Registra servicios iniciados y fallidos, apagado y reinicio de

sistemas. –  Security: Registra eventos tales como las acAvidades de inicio de sesión,

acceso y alteración de los privilegios de usuarios, y acceso a objetos. –  Applica4on: Registra las acciones de aplicaciones individuales y como

ellas interactúan con el sistema operaAvo. –  DNS Server: Si el servicio DNS está instalado, este registro o bitácora

conAene todos los mensajes enviados por él.


Auditoría en Windows


Filtrado de bitácoras o registros (Logs) •  Los archivos de registros pueden crecer considerablemente, y más cuando no se han configurado apropiadamente los sistemas para registrar solamente los eventos importantes.


Filtrado de Bitácoras en UNIX

•  last –x: Despliega solo entradas concernientes a las eventos en los que se apaga o reinicia un sistema.

•  last –x reboot: Muestra cada reinicio del sistema.

•  last –x shutdown: Muestra cada caída o apagado del sistema.


Filtrado de Bitácoras en UNIX

•  last –a: Ubica toda la información del servidor en la úlAma columna de la lectura.

•  last –d: Muestra todos los inicios de sesión remotos.

•  last –n: Permite controlar el número de líneas que serán visualizadas.


Registros o bitácoras adicionales

•  Los registros (logs) adicionales para consulta incluye los siguientes: –  Sistemas de detección de intrusos. –  Conexiones telefónicas (incluyendo registros de correo de voz).

–  ISDN (Red Digital de Servicios Integrados) o conexiones frame relay.

–  Registro de accesos de empleados (registro de accesos Isicos).


Se terminó....


Gracias!

análisis’forense’¡lisis’forense’ reinaldo mayol arnao reinaldo mayol arnao...

Documents