Curso de Analisis Forense 2005 - artica.es · Que es un IDS y como funciona. snort realsecure man...

Curso de Analisis Forense

Sancho Lerena [email protected]

Enero 2005

mailto:[email protected]

Curso de Analisis Forense 2005

1.0 - Introducción al Análisis Forense.

1.1 - Qué es y que no es.

1.2 - Características.

1.3 - Qué se necesita.

Introducción

2


2.0 - Conceptos y enfoque inicial.

2.1 - Cuándo se necesita un Análisis Forense.

2.2 - Problemas del Análisis Forense.

2.3 - Reconstrucción de los hechos.

2.4 - Otras respuestas además del Análisis Forense.

Introducción

3


3.0 - Técnicas generales de Análisis Forense

3.1 - Pasos previos. Principio de incertidumbre3.2 - Cadena de confianza3.3 - Organización y procedimientos iniciales3.4 - Trampas al Analista Forense3.5 - Identificación de las fuentes de datos3.6 - Creación de una "Time-line"3.7 - Clasificación de las evidencias3.8 - Protección de las evidencias

Introducción

4


4.0 Técnicas de análisis de disco

4.1 - Análisis de archivos en imágenes de disco4.2 - Análisis de logs y registros de aplicaciones4.3 - Análisis de volcados (dump) y memoria swap4.4 - Análisis de archivos borrados4.5 - Ocultación de datos en archivos.4.5.1 - Steganografía4.5.2 - Particiones y otras posibilidades4.6 - Cifrado de archivos y sistemas de archivos4.7 - LABORATORIO 1 - Análisis de disco.

Introducción

5


5.0 - Técnicas de análisis de red

5.1 - Capturas raw5.2 - Capturas filtradas5.3 - IDS5.4 - Honeypots5.5 - LABORATORIO 2 - Análisis de red.

Introducción

6


6.0 - Técnicas de análisis en otros sistemas

6.1 - Accesos en servidores de autenticacion

6.2 - Accesos via proxy, caché y similares

6.3 - Rastreo de IP

Introducción

7


7.0 - Técnicas de análisis de binarios

7.1 - Búsqueda de cadenas7.2 - Rastreo en red7.3 - Rastreo de llamadas al sistema7.4 - Decompilación7.5 - Desemsamblado7.6 - LABORATORIO 3 - Análisis de binarios

Introducción

8


Qué es el análisis forense

Parte 1 - Introducción

9

“La recolección y el análisis de datos hecha de manera que no se alteren los datos originales y que permita la fiel reconstrucción de lo que ha sucedido en un sistema”

Qué NO es el análisis forense

- Poner trampas, engañar o perseguir a la gente.- Identificar autores de incidentes.- Tratar con las compañias, los medios de comunicacion.- Cualquier otra cosa qe no sea estrictamente técnica.- “Rebuscar” de cualquier manera en una fuente de datos.


Características

✔ Los sistemas son muy complejos: necesidad de adaptacion y

reciclaje técnico veloz.

✔ Las cosas se pueden ocultar de infinitas maneras.

✔ No existe software para todo.

✔ El conocimiento y la experiencia son muy importantes.

✔ El análisis es muy lento.

Parte 1 - Introduccion

10


Qué se requiere

✔ Capacidad técnica.✔ Conocer las implicaciones técnicas de tus acciones.✔ Conocer cómo se puede manipular la información.✔ Etica profesional.✔ Inteligencia, mente abierta e intuición.✔ Formación contínua.

Parte 1 - Introduccion

11


Parte 2 – Enfoque inicial

12


Cuándo se necesita un Análisis Forense

Procesos judiciales• Recuperacion de evidencias

Casos de pirateria, pederastia, robo de información, etc• Peritajes informaticos.

Procesos de investigación• Incidentes de seguridad.

Hacking, intrusiones, fugas de información, sabotaje, etc• Recuperación de datos

Sabotaje, desastre, otros.• Recuperación de evidencias.

Combinación de factores.


13


Dificultades implícitas

✔ No somos adivinos.✔ No sabemos que ha pasado.✔ No sabemos a quien o qué nos enfrentamos.✔ No sabemos en qué o en quien confiar.✔ Siempre habra problemas que nos sobrepasen.✔ Volatilidad del medio.✔ El legado de Heisenberg.


14


Reconstruyendo los hechos

➔ Objetivo (en procesos de investigación)➔ Saber QUÉ ha ocurrido. ➔ CUANDO ha sucedido➔ CÓMO ha sido.

➔ Las fechas están para orientarnos.

● Creación de la línea de tiempo.● Examinar sólo una ventana de tiempo a la vez.● Seguir la pista sin perdernos.


15


Otras respuestas simultáneas al Análisis Forense

“ El analista VS el político “

Contacto con las autoridades.✔ CERT.✔ Servicios de seguridad.✔ Proveedor de servicios.✔ RFC 2196

Contacto con los medios.RFC 2196 (p 5.2.6)

Contacto con la empresa.RFC 2350, RFC 2196


16


Parte 3 - Técnicas generales de Análisis Forense

17


Pasos previos.

El DEBER de proteger la integridad de la información.

Principio de incertidumbre

Examinar o almacenar una parte del sistema, modificará alguna parte del sistema.


18


Cadena de confianza

✗ El shell y las variables de entorno.✗ El comando✗ Librerias dinamicas✗ Controladores o modulos✗ Kernel✗ Hardware


19


Organización y procedimientos iniciales

● Aislar el medioRealizar copiasVerificar la integridad del mismo

● Crear un timeline

● Analisis de datos


20


Trampas al analistaTrampas al acceder al medio

Troyanos autodestructivos, demonios “watchdog”, trampas binarias, bombas lógicas

Trampas al “apagar”Información volátil: claves, índices, datos.

Trampas al “encender”Watchdog de encendido, trampas físicas.

Ocultación de datosSteganografía, ocultación en sistemas de archivos, dispersión de datos, etc


21


Identificación de las fuentes de datos

- Sistema de archivos local.- Logs de sistema- Logs de aplicación.- Swap y volcados de memoria- Archivos borrados.- Particiones ocultas- Red.- Servidores de acceso remoto -> Radius, RAS.- Servidores de autenticacion -> LDAP, Domain Controller, etc.- Network IDS (remotos).- Host IDS (local).- Honeypots en misma red.


22


Creación de una "Time-line"

Nos da un poco de orden en el caos.Secuencia las acciones, basandonos en:

● Acceso a los archivos.● Creación/Modificación de los archivos.

Ventanas de tiempo


23


Clasificación de las evidencias.

Secuencia en el tiempo (Timeline)

Ficheros Secuecias de comandos, información recolectada del sistemaLogs, textos, binarios, imagenes y otro tipo de archivos.Datos RAW.

Pistas: Cadenas encontradas en el ruido.Indicios no vinculantes.Notas aportadas por el investigador


24


Protección de las evidencias.

Crear un entorno de trabajo seguroChroot, maquinas independientes, vmware

Extracción segura de las evidenciasDispositivos externos, discos duros extraibles, firewire

Necesidad de mantener la integridad de las evidencias.Creación de HASHes (MD5, SHA1, herramientas automaticas)

Redundancia de la información.Copias de seguridad de TODO.


25


Descanso

26


Análisis de archivos en imágenes de disco #1

Acceso a los discos➢ Mediante un arranque en frio con un bootdisk

➢ Dispositivos externos (USB, Firewire)➢ A los discos fisicamente (conexion fisica IDE/SCSI...)

➢ En caliente

Acceso al dispositivoNorton GhostAcronisOtros..dd if=/dev/hda

Parte 4 - Técnicas de análisis de disco

27



Imágenes de discos. Formatos

Entorno de trabajo segurovmWarechrootDispositivos loopbackRéplica exacta


28



Herramientas para trabajar con imagenes

Sleuthkit, heredero de The Coroner's Toolkit (TCT)enCase, herramienta comercial (Windows)

dd Norton Ghost (Windows)Acronis (Windows)


29




30


Analisis de logs

- Syslog, event log y similares (Bitácora del sistema)- Demonios del sistema.- Servidores web y de aplicaciones distribuidas.- Logs de autenticación y acceso remoto.- Históricos de comandos.- Históricos de accesos.- Favoritos, ultimos sitios navegados, y similares.- Cachés de passwords.

Herramientas: grep, expresiones regulares y scripting.


31


Volcados de memoria y disco

Espacio de memoria SWAP

Volcados de memoria (Core dumps)

Espacio en disco no asignado

Herramientas:

autopsy - sleuthkitstringsenCase


32


Análisis de archivos borrados

Sistemas de Asignacion de archivos comunesFAT y variantesEXT y variantes

Archivos borradosundelete

Borrado segurowipe

Recuperación manual de datosdd


33


Análisis de archivos en “caliente”

No recomendado

No es un analisis forense, es una “Biopsia”Afecta a los datos obtenidos.Borrado accidental de evidencias o modificación.Facilidad de caer en una trampa.

Técnicas basicasAnalisis SWAPAnalisis /proc/kore en LinuxAnalisis logsAnalisis modulos kernelBusqueda de troyanos y rootkits


34


Ocultación de datos en archivos

Steganografía

MétodosEstadística.Difusión de error.Inserción de bloques.

Graficos (JPEG, GIF, etc)jphide, outguess, steghide, F5, camouflaje vs metodos manuales

Textos

Sonido (MP3)


35


Cifrado y sistemas de archivo

Sistemas de disco cifrado.Forzado de mecanismos criptográficos.

fcrackzip

Cifrado de llave publica / llave privadapgp

Ocultación de datos en particiones ocultasOcultación y cifrado.Sistemas de archivos steganográficos.


36


LABORATORIO DE DISCO


37


Práctica 1.

Se ha encontrado un diskete en el registro del domicio de un sospechoso acusado de terrorismo. Se buscan pruebas contra él.

En ese disco pueden ocultarse datos, se sospecha que una organización esta formando a sus activos sobre manejo y fabricación de explosivos, asi como dándoles información sobre sus objetivos (fotografías, etc).

Determinar si existen pruebas que sirvan para acusar al sospechoso y asegurar su veracidad. Si es posible averiguar algo sobre la posible víctima, será un bonus.


38


Práctica 2.

Gracias al enjuiciamiento por actividades terroristas, se ha seguido de un grupo terrorista hasta una universidad de Madrid. Se ha incautado abundante material informático de varios de los asistentes a una reunión “underground” en la Universidad.

Se sabe que uno de los detenidos está ultimando un atentado contra un empresario de Madrid, se necesita saber el método empleado y si es posible la fecha y el lugar.


39


Práctica 3.

Se ha seguido la pista del detenido, un experto en hacking, hasta un servidor ubicado en el centro de datos de una empresa en Sevilla que ha sido utilizado para almacenar información sobre fabricación de bombas y desde el cual se sospecha existe abundante información sobre la banda de extorsión.

Se ha tenido acceso al servidor por mediación de la policia y el juez nos pide como peritos que colaboremos con la policía científica para investigar si el servidor ha sido hackeado, cuando, y que contiene que valor para la investigación.

Esta práctica continuará para su resolución en la parte 5: Análisis de Red e IDS


40


Capturar del cable en modo “raw”

Sniffers y modo promiscuoHerramientas

snifferpro y otras herramientas comerciales.tcpdumpetherealtethereal

Parte 5 – Técnicas de análisis en red

41


Capturar del cable con filtros

Herramientas

ngrepdsniff

Otras herramientas

p0f perl, grep, scripting

Parte 5 – Técnicas de análisis en red

42


IDS

Que es un IDS y como funciona.snortrealsecureman huntdragon

Propósito y arquitectura de un IDSTrabajo inline

Tipos de registros y capturas (eventos, pcap)

Sobresaturación, falsos positivos, falsos negativos.

Engaño a los IDS

Parte 5 – Técnicas de análisis de red

43


Honeypots

Introducción a los honetpots

Honeynet projecthttp://www.honeynet.org

Herramientas

sebek (LKM)tarpitshoneydvmwareotros


44


Práctica 4

Conjuntamente con el análisis de la practica 3 de disco, existe información obtenida por medio de IDS del tráfico hacia el servidor. Con ayuda de esta información y del análisis de disco, determinar exactamente el tipo de ataque sufrido y el modus operandi del agresor, asi como las consecuencias de dicho ataque.


45


Parte 6 - Técnicas de analisis en otros sistemas

46


Accesos en servidores de autenticación

Radius.R.A.S.Registros telefónicos.Telefonía Móvil.


47


Accesos via proxy, caché y similares

Rastreo de IP

Contacto con proveedores


48


Descanso

49


Introducción

Puede ser peligroso.Complejidad.

Aproximación “en frio”

Búsqueda de cadenas.Dependencia de librerías.Formato de archivo.DecompilaciónDesensamblado.

Parte 7 - Técnicas de análisis de binarios

50


Aproximación “en caliente”

Aislar el medioRéplica hardwareRéplica virtual (vmWare)Jaula root

Ejecución con trazasltracestrace

Captura de red en la ejecución


51


LABORATORIO DE BINARIOS


52


Práctica 5

Se han encontrado un juego de varias herramientas (binarios) utilizados por el intruso de la práctica 3 y 4. Se pide determinar el origen de estas herramientas, su utilidad y su autoría, por si esto nos pudiera dar mas pistas sobre el autor de los hechos.


53


Práctica 6.

Un juez nos pide que determinemos si una persona, acusada de Pedofilia, es culpable o no. En este caso, todo tipo de fotos de gatos serán considerado como material “pedofilo” para la práctica.

En esta práctica haremos uso de todas las técnica de análisis forense vistas durante el curso. Además contaremos con la dificultad añadida de ser un entorno bastante caótico: Windows98.

No debemos olvidar que el método basado en líneas de tiempo es de especial importancia para seguir todas y cada una de las pistas y que nuestra motivación debe ser objetiva, esto es, debemos tener una ética que exige imparcialidad y no dejarnos llevar por nuestros juicios de valor.

Práctica final (Bonus)

54


Analisis Forense

Medio cambiante.Complejidad técnica.Reto y evolución contínuo.Múltiples aproximaciones. Metodología básicaTécnicas básicas:

Preservar información.Copiar / Acceder información.Análisis de disco.Análisis de red.Análisis de binarios.Análisis de datos en general.

Revisión final

55


Curso de Análisis Forense Noviembre 2004

Dudas, preguntas, sugerencias y quejas:

Sancho [email protected]

Fin del curso

56

Curso de Analisis Forense 2005 - artica.es · Que es un IDS y como funciona. snort realsecure man...

Documents

Transcript of Curso de Analisis Forense 2005 - artica.es · Que es un IDS y como funciona. snort realsecure man...