AF

Anlisis Forense en Sistemas Windows
APIA - 2010
Victor Prez Roche vroche@unizar.es

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Anlisis Forense en Sistemas Windows Resumen de la sesin

Resumen de la sesin:
Teora: Introduccin Motivaciones para una intrusin Escenario de una intrusin/infeccin: El caso de las Botnets Obtencin de evidencias La naturaleza de los archivos Anlisis forense avanzado Prcticas: Anlisis de un entorno vulnerado real con las siguientes suites: Sysinternals suite GnuWin32 FoundStone Forensic Tools Caine WinTaylor WinHex
Anlisis Forense en Sistemas Windows Introduccin
Ante un sistema vulnerado, aun reparando por donde se han colado, existe la posibilidad de que hayan instalado: Backdoors Troyanos Keyloggers Bots
El anlisis forense busca conocer:
1.- Qu mtodo utiliz el atacante 2.- Qu actividades realiz (o est realizando) 3.- Desde donde se realiz la intrusin 4.- Qu daos se han producido en el sistema 5.- Puede volver a ocurrir? El objetivo de la sesin adems del anlisis forense es el conocer ms acerca del funcionamiento interno de los sistemas Windows
Sistema vivo
Sistema desconectado
PROS Fecha y hora del sistema Memoria RAM activa Procesos arrancados Actividad de red, conexiones abiertas Conexiones de Red Usuarios conectados en el momento CONS Cualquier activdad altera el entorno
PROS Anlisis del sistema congelado Multiples copias del entorno Posibilidad de realizar hash Mayor validez jurdica CONS Solamente disponemos del HDD
Existe la posibilidad de hacer una imagen de un sistema vivo y analizarla off-line
Copia y envo de todo el sistema de ficheros (WinDD) Volcado y envo de la memoria fsica del sistema (Helix) No se puede hacer anlisis del archivo de paginacin
Anlisis Forense en Sistemas Windows Motivaciones para una intrusin
Hace 25 aos
Grandes sistemas (VAX, Unix, etc..) Poca disponibilidad de herramientas Ataques manuales realizados por personas muy expertas en la materia Objetivo: Obtener shell en la mquina destino
Hace 15 aos
Comienzo de las conexiones a Internet en los hogares espaoles Comienzo de la proliferacin de tecnologas web (IIS) Empiezan a aparecer las primeras herramientas para automatizar ataques Infecciones masivas debidas a virus en el correo electrnico (Melisa, CIH, I Love You) Dialers Objetivo: Infecciones masivas CIH: 20-80 M$ Melissa: 200-300 M$ IloveYou: 10-15 B$
Hace 10 aos
Proliferacin de las primeras conexiones de banda ancha (ADSL) Intrusiones masivas con objetivo: Warez Scene, MP3, DivX Grandes infecciones: Code Red, Code Red II, Nimda, Sasser, Blaster Objetivo: Robo de ancho de banda y espacio en disco CodeRed: 2.6 B$ (1M de infecciones) Sasser: 10 M$
Hace 5 aos
Nuevos vectores de infeccin: (Navegadores, XSS, CSRF, SQLi, ) Altsima especializacin en el desarrollo de nuevos sistemas de infeccin Gran capacidad de reaccin ante nuevas vulnerabilidades Creacin de entornos muy avanzados para explotar las vulnerabilidades metasploit [ http://www.metasploit.com ] ExploitDB [ http://www.exploit-db.com/ ] Explosin de la Web 2.0: Nuevo entorno de infeccin Objetivo: Ordenadores zombies, robo de credenciales, extorsin, etc
Hoy en da
Utilizacin de la tecnologa como arma Ataques dirigidos contra objetivos concretos con vulnerabilidades todava no publicadas Infeccin en dispositivos mviles (Android, Symbian, iPhone) Objetivo: Ataques dirigidos, guerra tecnolgica

Otras motivaciones:
[ www.zone-h.org ]
Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets
BOTNETS
- Infecciones masivas de SO Windows, Servidores con CMS (Joomla, WordPress) - Vas de propagacin: Vulnerabilidades de SO ya conocidas
RPC/DCOM, RPC/Locator, WebDAV, Network Shares, LSASS

buffer overflow, SQL Server, UPnP P2P (Ejecutables, cracks) Navegacin por webs maliciosas - iRC-BOTS: SpyBOT, SDBot, Agobot, Rbot
Cuntos son?
-Botnet Mariposa, Feb 3, 2010 13 Millones de equipos
infectados
- Se calcula entre 60 y 100 Millones de equipos infectados en todo el mundo.
Fuente: PandaLabs Q1_2010
Funcionamiento de una botnet
Intenta infectar a los equipos de tu red
Soy ESP_8547HKEY2 Que quieres que haga?
Usos de las botnets
1.- Click Fraud
1 Click en un banner 0,000001 $
x10.000 hosts
Usos de las botnets
1.- Distributed DoS (Denial of Service)
300 kbits
3000 Mbps
ADSL 300 kbs upload
24 de Febrero del 2006

x10.000 hosts ProBlogger.com 2003, DDoS contra eBay
20.000 hosts = 5000$

Yahoo, Amazon, Microsoft, Akamai
Anlisis Forense en Sistemas Windows Escenario de una intrusin
Spamming
Proxy SOCKS v4/v5 Spam
Botnet 10k hosts
100$ USD/hour
+ phishing, recoleccin de direcciones de correo,
Se calcula que el 90% del spam enviado actualmente proviene de equipos zombies pertenecientes a alguna botnet (Fuente: PandaLabs Q1_2010)
Robo de informacin sensible
Traffic Sniffing Keylogging (PayPal, tarjetas de crdito) Claves de acceso a Juegos online (Diablo II, World of Warcraft)
Solo para gurus?
NO! El cdigo fuente est disponible en la red
(Hack Tool) Rbot (v0.3.2) Source.rar (rbot)x0n3-Satan-v1.0-Priv8-By-CorryL{x0n3-h4ck}.rar Phatbot C++ Source Code.rar Virus-Worm-Agobot.tar.bz2 ...
El cdigo origen de la BotNet Mariposa fue comprado

por Internet
Anlisis Forense en Sistemas Windows Antes de empezar
Antes de empezar
El anlisis de un sistema siempre: Es un proceso farragoso Tiende a ramificarse Va a llevar mucho ms tiempo del que originalmente tenamos pensado dedicar Normalmente es imposible alcanzar un nivel de 100% fiabilidad Es por eso que es conveniente saber cual es el objetivo que perseguimos antes de empezarlo.
Si no disponemos de tiempo Formatear ser ms rpido Si no estamos dispuestos a llegar al fondo Formatear ser ms seguro Si no vamos a obtener ninguna informacin de valor Formatear ser ms til
Anlisis Forense en Sistemas Windows Antes de empezar
Si a pesar de todo deseamos continuar

Hace falta:
Ser extremadamente ordenado: Seguir un guin Tomar nota de todo lo que se encuentre: Papel y boli, notepad, etc Ser diligente en guardar las pruebas encontradas Disponer de suficiente tiempo (En 10 minutos esto no va a estar hecho) Disponer de un entorno adecuado: Herramientas a mano
Anlisis Forense en Sistemas Windows Obtencin de evidencias
Orgenes de informacin
Virus/Malware/Worms:
Procesos activos y actividad de los mismos Conexiones activas y puertos en escucha Servicios y arranque del sistema Sistema de ficheros (Contenido, Fechas de creacin, modificacin y acceso) Ficheros sospechosos Registro del sistema y otros logs Intrusiones manuales: Cuentas y perfiles de usuario Papelera de reciclaje Sistema de ficheros avanzado (Pagefile.sys, Alternate Data Streams) Informacin de navegacin por Internet Posible ocultacin de datos con tcnicas de rootkit.
Anlisis Forense en Sistemas Windows Presentacin del entorno de Anlisis
Imagen VMWare de un Sistema WindowsXP vulnerado
Usuario/apia
Anlisis Forense en Sistemas Windows Presentacin del entorno de Anlisis

Se trata de un anlisis de un sistema vivo, lo ms conveniente sera utilizar un CD que incluyese: Al menos incluye una versin limpia de CMD.EXE que corresponda al sistema operativo a analizar netcat o cryptcat Herramientas de sistema (ipconfig, netstat, date,time, net, arp ...) para las diferentes versiones de Windows y Service Pack
pstools, listdlls, filemon*, regmon*, autoruns...

hfind, fport, ntlast, ... Windows resource kit tools Un buen sniffer (wireshark, windump, ...) md5sum / md5deep
Anlisis Forense en Sistemas Windows Paso #01: Informacin general del sistema
Varias posibilidades:
a) Utilizar el comando de sistema Windows systeminfo

C:\...\> systeminfo > #01_infoSistema.txt b) Utilizar la utilidad psinfo de Sysinternals
C:\...\> psinfo -hsd > #01_infoSistema.txt
[ Algo raro? ]
Anlisis Forense en Sistemas Windows Paso #02: Procesos activos

a) Utilizar el comando de sistema Windows tasklist C:\...\> tasklist > #02_listaProcesos.txt
b) Utilizar la utilidad psinfo de Sysinternals

C:\...\> pslist -t > #02_listaProcesos.txt c) Administrador de tareas [Ctrl+Alt+Supr] d) Process Explorer de SysInternals
Process Tree Visible Columns & Select Columns Interrupts & Deferred Procedure Calls (DPC) Drag & Drop Process Properties Search online
[ Algo raro? ]
Anlisis Forense en Sistemas Windows Paso #03 : Monitorizar la actividad de los procesos
#03.1: Verificar qu modulos cargan los procesos
Utilidad listdll de Sysinternals C:\...\> listdlls > #03.1_listaModulos.txt #03.2: Verificar qu manejadores estn usando los procesos Utilidad handle de Sysinternals C:\...\> handle > #03.2_listaManejadores.txt #03.3: Verificar la actividad en tiempo real de los procesos activos Utilidad procmon de Sysinternals
[ Algo raro? ]
Anlisis Forense en Sistemas Windows Paso #03 : Monitorizar la actividad de los procesos
#03.4: Analizar el directorio c:\windows\prefetch
C:\...\> dir /o:d c:\Windows\prefetch > #03.4_listaPrefetch.txt O con la utilidad WinPrefetchView de Nirsoft
Anlisis Forense en Sistemas Windows Paso #04: Conexiones de red

a) Utilizar el comando de sistema Windows netstat C:\...\> netstat -nabo > #04_listaPuertos.txt
b) Utilizar la utilidad tcpvcon de Sysinternals

C:\...\> tcpvcon -t > #04_listaPuertos.txt c) Utilizar la utilidad fport de Foundstone
C:\...\> fport > #04_listaPuertos.txt

d) Utilidades grficas como tcpview de Sysinternals o activeports e) Tabla arp: C:\...\> arp a
f) Tabla de rutas: C:\...\> route -print [ Algo raro? ]

Anlisis Forense en Sistemas Windows Paso #05: Servicios del Sistema y Arranque automtico
Para conocer los servicios y el estado de estos dos posibilidades:
a) Utilizar el comando de sistema Windows sc C:\...\> sc query > #05.1_listaServicios.txt
b) Utilizar la utilidad psservice de Sysinternals

C:\...\> psservice -t > #05.1_listaServicios.txt Para conocer lo que se arranca al incio del sistema c) Usar la utilidad autorunsc de Sysinternals
C:\...\> autorunsc > #05.2_arranqueSistema.txt
c) Usar la utilidad grfica autoruns de Sysinternals

[ Algo raro? ]
Anlisis Forense en Sistemas Windows Paso #06: Sistema de ficheros y fechas de acceso
Como primera medida, guardar un listado completo de todos los ficheros de un disco:
C:\> DIR /t: a /a /s /o: d c:\ > #06.1_sistemaFicheros.txt E investigar dentro de este listado. Tambin podemos utilizar la herramienta MacMatch
C:\> macmatch c:\ -a 2010-01-28:11.23 2010-01-28:12.00
Anlisis Forense en Sistemas Windows Paso #06: Sistema de ficheros y fechas de acceso
Conocer los ficheros que hay abiertos en un determinado momento: a) Localmente con la utilidad OpenedFilesView de NirSoft
C:\...\> openedfilesview /stext > #06.2_ficherosAbiertosLocal.txt

(tambien tiene gui) a) Remotamente con la utilidad psfile de Sysinternals C:\...\> psfile > #06.3_ficherosAbiertosRemoto.txt

Paso #07 Anlisis de ficheros Varios pasos
a) Identificacin del tipo de fichero, utilidad file de GnuWin32

C:\> file _nombre_fichero
b) Bsqueda de cadenas de texto en un binario con strings de SysInternals

C:\> strings _nombre_fichero
c) Editor hexadecimal WinHex
Anlisis Forense en Sistemas Windows Paso #08 Analisis avanzado de Binarios
Tipos de archivos maliciosos

Paso #08.1 Anlisis automtico del comportamiento de binarios
[ http://www.virustotal.com ] [ http://www.threatexpert.com ]
Complemento VirusTotal Uploader
O Norman SandBox [ http://www.norman.com/microsites/nsic ]

Paso #08 Anlisis avanzado de binarios Varios pasos
b) Volcado de memoria de un proceso con procdump de SysInternals

C:\...\> procdump _nombre_proceso Luego podemos analizar el archivo dmp con strings o WinHex Otros c) Verificar aquellos exe y dll que no estn firmados C:\...\> sigcheck e u c:\windows

Paso #09 Anlisis del Registro del sistema Windows almacena la mayor parte de la configuracin del sistema en una serie de archivos que son conocimos como Registro. Estos se encuentran en el directorio %systemroot%\system32\config y estn asociados a una seccin del registro:

Paso #09 Anlisis del Registro del sistema Claves interesantes:
Listado de ultimos ficheros abiertos y cerrados: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU Listado de ultimos documentos abiertos: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs Listado de ultimos procesos ejecutados: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Listado de ultimas pginas visitadas: HKCU\Software\Microsoft\Internet Explorer\TypedURLs\ Aplicaciones instaladas y desinstaladas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Sistemas de ficheros montados: HKLM \SYSTEM\MountedDevices Se puede acceder fcilmente a ellas usando regjump de SysInternals

Paso #09 Anlisis del Registro del sistema Con la utilidad RegRipper podemos automatizar el anlisis forense de un archivo de registro de usuario:
Nota: La rama HKCU se encuentra en C:\Documents and Settings\Usuario\NTUSER.dat

RegRipper no funciona sobre ficheros de registro o hives abiertos, o bien tendremos que abrir un hive de un usuario con sesin cerrada o obtener los hives con el sistema off line (o FTK image)

Paso #09 Anlisis del Registro del sistema Podemos revisar el registro de un sistema o las claves asociadas a un usuario mediante las siguientes herramientas: Regedit (Visor y editor del registro) RFV (Windows Registry File Viewer de MiTec) WRR (Windows Registry Recovery de MiTec) Comando nativo XP FC (Compara ficheros) Access Data Registry Viewer Windiff (Herramienta para comparar ficheros)

Paso #10 Registro de eventos Los sucesos de un sistema Windows se almacenan y estn igualmente en el directorio %systemroot%\system32\config. Son tres: SysEvent.Evt. Registra los sucesos relativos al sistema SecEvent.Evt. Registra los sucesos relativos a la seguridad AppEvent.Evt. Registra los sucesos relativos a aplicaciones Para acceder a la visualizacin: Inicio -> Ejecutar: eventvwr
Cada suceso tiene informacin sobre el momento en que ha tenido lugar y el entorno, para ms informacin: EventID: [ http://www.eventid.net ] Windows Security Log Events [ http://tinyurl.com/2zyvun ] Knowledge base Microsoft: [ http://www.microsoft.com/spain/technet/recursos/knowledge.mspx ]

Paso #10 Registro de eventos En un sistema especialmente crtico podemos habilitar la auditora de determinado tipo de eventos: Inicio -> Ejecutar -> gpedit.msc
Configuracion del equipo -> Configuracion de Windows -> Configuracin de Seguridad -> Directivas locales -> Directiva de auditora
Se pueden auditar el acceso exitoso o errneo a un recurso.

Toda la informacin generada se almacenar en la rama SecEvent.Evt

Paso #10 Registro de eventos Anlisis del registro de eventos
a) Utilidad logparser de Microsoft (Hay que descargarla)

C:\...\> logparser i:EVT o:DATAGRID SELECT * FROM system
Nota: Logparser es una herramienta muy potente para realizar bsquedas sobre distintos orgenes de datos y con posibilidad de generar distintas salidas: Recomendacin: VisualLogParser

Paso #11 Cuentas y perfiles de usuarios En ocasiones es conveniente repasar los usuarios de un sistema, para buscar posibles nuevas cuentas Para esto, adems de revisar el visor de sucesos para buscar eventos de nueva creacin de cuentas, podemos ejecutar: compmgmt.msc Usuarios locales y grupos Los archivos e informacin vinculada a cada usuario se almacena en el directorio: C:\Documents and settings\nombre_de_usuario

Paso #11 Cuentas y perfiles de usuarios Para conocer cuando se han realizado los inicios de sesin necesitaremos en primer lugar que ese tipo de eventos se encuentre auditado. Luego: a) Usar la utilidad netusers C:\...\> netusers /l /history > #11_logonLocalUsers.txt (acceso local) C:\...\> netusers /history > #11_logonRemoteUsers.txt (acceso remoto) b) Usar la utilidad ntlast de FoundStone
C:\...\> ntlast null s v n 100 > #11_lastLogon.txt (100 ltimos accesos exitosos) C:\...\> ntlast null f v n 100 > #11_lastFailedLogon.txt (fallidos)
c) Usar la utilidad psloggedon de SysInternals

C:\...\> psloggedon Nota: Para relacionar SID y Username -> user2sid y sid2user

Paso #11 Cuentas y perfiles de usuarios Tipos de inicio de sesin:
Tipo 2: Interactivo. Entrada a un sistema desde la consola (teclado) Tipo 3: Red. Entrada al sistema a travs de la red. Por ejemplo con el comando net use, recursos compartidos, impresoras, etc... Tipo 4: Batch. Entrada a la red desde un proceso por lotes o script programado. Tipo 5: Servicio. Cuando un servicio arranca con su cuenta de usuario. Tipo 7: Unlock. Entrada al sistema a travs de un bloqueo de sesin. Tipo 10: Remote Interactive. Cuando accedemos a travs de Terminal Services, Escritorio Remoto o Asistencia Remota.

Paso #12 Papelera de reciclaje y ficheros borrados Funcionamiento del la papelera de reciclaje
C:\RECYCLER\_USER_ID\INFO2 -> Informacin sobre ficheros borrados

C:\RECYCLER\_USER_ID\DC1.xxx -> Fichero borrado 1 C:\RECYCLER\_USER_ID\DC2.xxx -> Fichero borrado 2 Para extraer informacin de los ficheros borrados de un determinado user utilidad Rifiuti de FoundStone C:\...\rifiuti C:\RECYCLER\_USER_ID\INFO2 > INFO2.TXT Para recuperar ficheros de un sistema vivo podemos usar Recuva de Piriform disponible en el entorno WinTaylor de Caine

Paso #13 Informacin de navegacin por Internet En sistemas Windows se almacena un historial de navegacin con Internet Explorer en uno archivos, Index.dat ubicados en:
\Documents and settings\_username\Configuracin Local\Archivos temporales de internet\Content.IE5 \Documents and settings\_username\Configuracin Local\Historial\History.IE5 \Documents and settings\_username\Cookies
Para su anlisis podemos usar la herramienta pasco de FoundStone C:\...\pasco d t index.dat > #13.1_historialNavegacion.txt Otro elemento clave en la navegacin son las cookies, para esto usaremos la herramienta galleta de FoundStone
C:\...\galleta fichero_cookie

Paso #13 Informacin de navegacin por Internet Firefox desde su versin 3 y Chrome almacenan el historial en un archivo .sqlite. Para analizar el contenido
f3e de firefoxforensics FoxAnalysis de forensic-software.co.uk

Paso #14 Anlisis de pagefile.sys e hiberfile.sys En los sistemas windows se utiliza por defecto la memoria virtual. Cuando windows necesita ms memoria RAM de la que dispone un equipo, enva a disco paginas poco o nada usadas, si vuelve a necesitar datos contenidos en pginas enviadas a disco, descarga otras y vuelve a cargar. Ese proceso se conoce como Fallo de pgina Existe un archivo en el raiz del sistema llamado pagefile.sys. Este archivo contiene trazas de memoria de los procesos que se estn ejecutando, y puede ser examinado en un proceso offline: 1.Buscando cadenas dentro de l, con strings de SysInternals 2.Filtrando la salida con un grep [ http://unxutils.sourceforge.net/ ] para que contenga informacin til
hiberfile.sys contiene la RAM de un sistema hibernado Nota: El anlisis de estos archivos se tiene que hacer con el sistema muerto

Paso #15 Bsqueda de informacin oculta Para buscar automticamente todos los ficheros marcados como ocultos en nuestro sistema usaremos hfind de FoundStone
C:\...\> hfind > #15.1_ficherosOcultos.txt
[ Algo raro? ]

Paso #15 Bsqueda de informacin oculta Paso #15.2 Alternate Data Streams
En sistemas NTFS, los ficheros almacenados en disco son un conjunto de data streams. En cada fichero hay un Stream principal con los datos del fichero y otros streams asociados con metainformacin del fichero principal.
La informacin almacenada en los ADS permanece oculta a las herramientas habituales del sistema (cmd, explorer, etc) y no se enva por internet. Este sistema de almacenamiento de informacin est siendo usado por virus/malware/hackers

Paso #15 Bsqueda de informacin oculta Para crear un ADS:
C:\> echo texto_a_introducir_en_ads > nombre_fichero_principal:Nombre_ADS

Podemos crear un ADS que contenga cdigo ejecutable: C:\> type c:\windows\system32\notepad.exe > prueba.txt:ntpd.exe Y ejecutarlo posteriormente con psexec de Sysinternals C:\> psexec prueba.txt:ntpd.exe Para detectar ADS podemos usar streams de Sysinternals C:\...\> streams s c:\ > #15.2_alternateDataStreams.txt O tambin AlternateStreamView de Nirsoft
[ Algo raro? ]

Paso #16 - Rootkits Los rootkits con programas que tienen como objeto el ocultar informacin al sistema operativo, ya sea: A s mismo Otros programas (procesos) Servicios Ficheros Directorios Claves de registro Conexiones de red Espacio libre en disco, Existen dos tipos bsicos de rootkits: application level: Sustituyen los programas/dll habituales que realizan la gestin de los procesos a ocultar (cmd.exe, explorer.exe, netstat ) kernel-mode: Vigilan todas las llamadas al sistema, filtrando aquellas que desean ocultar.

Paso #16 - Rootkits Existen cinco tipos de rootkits. Tres funcionales y dos de laboratorio application level: Sustituyen los programas habituales que realizan la gestin de los procesos a ocultar (cmd.exe, explorer.exe, netstat ) library level: Reemplazan, modifican o se enganchan a las llamadas al sistema modificando las dll que contienen el cdigo responsable de realizarlas. kernel-level: Rootkits que trabajan al mismo nivel que el core del sistema operativo, modificando el kernel o los drivers. Estos rootkits son especialmente peligrosos, ya que suelen permanecer ocultos a los antivirus. Hypervisor-level: Son cargados antes del sistema operativo y modifican su comportamiento a travs de avanzadas tcnicas de virtualizacin que incorporan los microprocesadores actuales [Intel-VT, AMD-V]. De hecho, el rootkit carga el sistema operativo anfitrin en un entorno virtual. [ Blue Pill by Joanna Rutkowska ] Hardware/Firmware level: Los rootkits se introducen a nivel de hardware. Por ejemplo, [ Blog Sergio Hernando Fraude en la cadena de suminstro ]

Paso #16 - Rootkits Un ejemplo: Hacker Defender 1.00, un rookit a nivel de kernel
[ http://balaitous.unizar.es/crs3ed/hxdef100.zip ]
C:\> notepad hxdef100.2.ini C:\> hxdef100.exe hxdef100.2.ini Nota: Desactivar el antivirus hasta ponerlo a funcionar :) C:\> net stop HackerDefender100 El problema clsico es que no siempre los antivirus son capaces de detectar los rootkits, sobre todo si estn ya funcionando antes de realizar el escaneo. Solucin: - Rootkit Revealer de SysInternals - BlackLight de FSecure

Paso #17 Anlisis de trfico Si disponemos de una captura de trfico generado por un sistema podemos realizar un anlisis de la misma de varias formas: a) Utilizando Wireshark de CACE Technologies Trfico en modo crudo Sesiones HTTP, FTP, etc Sesiones RTP, SIP, VoIP Anlisis de cientos de protocolos de red
b) Utilizando NetworkMiner Deteccin de sistemas operativos implicados en la captura de red Sesiones Hostnames Puertos abiertos Archivos/Imgenes transferidos Credenciales utilizadas
Anlisis Forense en Sistemas Windows Paso #18 Entornos automatizados

Existen entornos automatizados que agrupan muchas de las herramientas y tcnicas de deteccin vistas hasta ahora. Algunos de ellos: - COFEE, Computer Online Forensic Evidence Extractor (Microsoft No pblica) - IRCR, Incident Response Collection Report Requiere de Helix Live CD - WFT, WINDOWS FORENSIC TOOLCHEST Requiere de Helix Live CD - RAPIER, Rapid Assessment & Potential Incident Examination Report [ http://code.google.com/p/rapier/ ]
Son capaces de generar un archivo con las pruebas recolectadas, e incluso incluyen un servidor para recolectar los datos.
Anlisis Forense en Sistemas Windows Paso #18 Entornos automatizados

Otro software de inters relacionado con la verificacin de un sistema windows
MBSA, Microsoft Baseline Security Analyzer Conan de INTECO
Anlisis Forense en Sistemas Windows Anlisis forense avanzado
Algunas utilidades
Win32DD + Volatility (Imagen de RAM y HDD de un sistema vivo) Encase, by Guidance Software Forensics Tool Kit, by Access Data Autopsy, Open source - http://www.sleuthkit.org/autopsy
Permite cargar una imagen realizada con dd de un sistema completo. Permite realizar numerosas acciones:
File Listing File Content Hash Databases File Type Sorting Timeline of File Activity Keyword Search Meta Data Analysis Data Unit Analysis Image Details
Sesin 4 Protocolos de transporte Referencias

Doc:
http://www.elhacker.net/InfoForenseWindows.htm http://www.forensicswiki.org http://blog.ismaelvalenzuela.com/ http://www.net-security.org/article.php?id=1173&p=1 http://www.rootkit.com
Tools:
http://www.virustotal.com/es/ http://www.mandiant.com/mrc http://code.google.com/p/rapier/ http://www.sleuthkit.org/autopsy/ http://www.foundstone.com http://technet.microsoft.com/en-us/sysinternals

AF

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

AF

Diunggah oleh

Hak Cipta:

Format Tersedia

Anlisis Forense en Sistemas Windows

Victor Prez Roche vroche@unizar.es

Anlisis Forense en Sistemas Windows Resumen de la sesin

Anlisis Forense en Sistemas Windows Introduccin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Introduccin

El anlisis forense busca conocer:

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Introduccin

Anlisis Forense en Sistemas Windows Introduccin

Existe la posibilidad de hacer una imagen de un sistema vivo y analizarla off-line

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Motivaciones para una intrusin

Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets

RPC/DCOM, RPC/Locator, WebDAV, Network Shares, LSASS

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets

Fuente: PandaLabs Q1_2010

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets

Funcionamiento de una botnet

Intenta infectar a los equipos de tu red

Soy ESP_8547HKEY2 Que quieres que haga?

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets

Usos de las botnets

1.- Click Fraud

1 Click en un banner 0,000001 $

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin - BotNets

Usos de las botnets

1.- Distributed DoS (Denial of Service)

24 de Febrero del 2006

20.000 hosts = 5000$

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin

Proxy SOCKS v4/v5 Spam

Botnet 10k hosts

+ phishing, recoleccin de direcciones de correo,

Anlisis Forense en Sistemas Windows Escenario de una intrusin

Robo de informacin sensible

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Escenario de una intrusin

Solo para gurus?

NO! El cdigo fuente est disponible en la red

El cdigo origen de la BotNet Mariposa fue comprado

Anlisis Forense en Sistemas Windows Escenario de una intrusin

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Antes de empezar

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Antes de empezar

Si a pesar de todo deseamos continuar

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Anlisis Forense en Sistemas Windows Obtencin de evidencias

pstools, listdlls, filemon, regmon, autoruns...