Seminario Computaci贸n Forense
• Es común encontrar estas preguntas , cuando se ha perpetrado un ataque
• Que fue lo que hicieron ..... ? • Como fue que lo hicieron .... ? • Es donde la recolección de eventos en la red juega un papel importante al igual que su análisis
Investigaci贸n de la Escena del Crimen
Definición Técnica: Computación Forense
“Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
PLUS data recovery
Definición para las masas
Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento nunca es eliminada completamente… La computación Forense es el conjunto de herramientas y técnicas diseñadas para recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
5
Definiciones Básicas
Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000)
Evidencia Digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
Evidencia Digital. Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
05/07/2012
Germinal Isern
Universidad Nacional de Piura
6
Motivación • Los archivos eliminados no son eliminados de • • • • •
forma segura Recuperar el archivo eliminado y la fecha! Cambiar el nombre de los archivos para evitar la detección , no tiene sentido El formateo de los discos no elimina mucha información Email sobre el Web puede ser recuperado directamente de su computador( de forma parcial) Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
7
Motivación (2) • Desinstalar las aplicaciones es mas difícil de lo que parece… • Data “volátil” permanece en el sistema por mucho tiempo (aun después de múltiples arranques y cargas) • Remanentes de aplicaciones previas • El usar la codificación (encryption) adecuadamente es difícil, ya que la información no es útil hasta que sea decodificada. • El software anti-forense (incremento de la privacidad) es violado frecuentemente. • Imanes grandes generalmente no funcionan • La mutilación de medios (excepto en casos extremos) no funciona. • Premisa básica: la información es muy difícil de destruir. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
8
Investigación en computación forense tradicional • ¿Qué se puede hacer? – Recuperar data borrada – Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados. – Determinar que dispositivo de almacenamiento fue conectado a un computador especifico – Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario – Que sitios web fueron visitados por el usuario…
05/07/2012
Germinal Isern
Universidad Nacional de Piura
9
Tradicional (2) • Que no… – Si un medio físico esta físicamente destruido por completo, la recuperación es imposible. – Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
10
Privacidad mediante la mutilaci贸n del dispositivo
o o o Eliminaci贸n segura a nivel forense Pero este seguro que funciona
degausser
05/07/2012
Germinal Isern
Universidad Nacional de Piura
11
¿Quién la necesita? • Agencias policiales o de seguridad del estado – Persecución de crímenes que involucran computadoras u otros medios digitales – Defensa del inocente – Enjuiciamiento del culpable – Debe seguir directrices muy estrictas durante el proceso forense completo para garantizar que la evidencia sea admisible en corte.
• Fuerzas militares – Persecución de crímenes internos relacionados con computación. – Sigue líneas propias, normas legales regulares no aplican. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
12
Quién (2) • Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD) – Fuerzas anti-terroristas – Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado. – Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
13
Quién (3) • General – Mala conducta de un empleado en casos corporativos – ¿Qué le pasa a este computador? – En caso de eliminación accidental o maliciosa de data por parte de usuario ( o por un programa), ¿ Qué puede ser recuperado? – La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
• Garantía de la privacidad – ¿Qué se puede hacer para garantizar la privacidad? – Premisa: Los individuos tienen el derecho de la privacidad, como pueden estar garantizar que su data es privada. – Muy difícilmente a menos que una codificación muy fuerte sea usada, y luego el problema pasa a ser el almacenamiento de las llaves. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
14
Computación Forense: Metas (1) • Identificación de evidencia digital potencial – ¿Dónde puede estar? ¿Qué dispositivos uso el sospechoso?
• Preservación de la evidencia – En la escena del crimen… – Primero estabilizar la evidencia…prevenir la perdida y la contaminación – Documentación cuidadosa de todo, que se agarro y como… – Si es posible, hagan una copia idéntica a nivel de bits de la evidencia para su revision.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
15
Computación Forense: Metas (2) • Extracción cuidadosa y revisión de la evidencia. – Análisis de archivos y directorios
• Presentación de los resultados de la investigación ( si es apropiado) – “La FAT fue fubared, pero usando un editor a hexadecimal cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…” – “El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
• Legal: Investigación debe satisfacer los criterios de privacidad 05/07/2012
Germinal Isern
Universidad Nacional de Piura
16
Restricciones: Computación Forense
• Orden de volatilidad – Algún tipo de data es mas volátil – RAM > swap > disk > CDs/DVDs – Idea: capture L evidencia mas volátil primero
• Cadena de custodia – Mantenimiento de los registros de posesión para todo – Debe ser capaz de hacer seguimiento a la evidencia hasta su fuente original. – “Pruebe” que la fuente no ha sido modificada.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
17
Aspectos Legales • Admisibilidad en los juzgados – Generalmente si , pero hay precedentes. – Disparándole a un objetivo en movimiento. Si se es consistente y no se crea evidencia, debe estar bien.
• Legalidad de la obtención – Si (con una orden apropiada de la corte) y si para otras circunstancias especiales – Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores. – Network sniffing se considera como wire tap. Sea cuidadoso • Requiere una orden titulo III de una corte (18 USC 2510-2521) • Muy difícil de obtener en EEUU • Lo mismo sucede con mensajes de texto en teléfonos celulares
Consulte a un abogado
05/07/2012
Germinal Isern
Universidad Nacional de Piura
18
Aspectos Legales (2) • Las necesidades de la investigación vs. El derecho a la • • • • •
privacidad Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución Quinta enmienda y Codificación ( Encryption) Leyes sobre grabaciones (wiretaps) Cadena de custodia Admisibilidad de la evidencia en corte: Daubert – Esencia: • ¿Ha sido esta teoría o técnica probada? • ¿ Se conoce la tasa de error? • ¿ Es ampliamente aceptado dentro de una comunidad científica relevante?
• Patriot Act – Expande el poder del gobierno de forma amplia 05/07/2012
Germinal Isern
Universidad Nacional de Piura
19
El proceso investigativo: necesidades
• Aceptación – Pasos y métodos son aceptados como validos
• Confiabilidad – Puede probarse que los métodos apoyan los hallazgos. – Por ejemplo puede probarse que el método para recuperar una imagen del espacio de swap puede ser exacto.
• Repetitividad – Los procesos pueden ser repetidos por agentes independientes.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
20
Proceso de investigación (2) • Integridad – Evidencia no es modificada ( si es posible al máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
• Causa y efecto – Puede mostrar conexiones fuertes entre individuos, evnetos y evidencias.
• Documentación – Todo el proceso documentado, con cada paso explicado y con la justificación apropiada.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
21
El principio: Alerta por incidente • El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde) • IDS alerta al administrador de un trafico de red sospechoso. • La compañía repentinamente pierde muchas ventas • Algún ciudadano reporta una actividad criminal – Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
• Asesinato, hay un computador en la escena del crimen. • Asesinato, la victima tiene un PDA • Agencias de Seguridad del estado y la policía deben investigar • Corporación/militares: pueden investigar, dependiendo de la severidad del caso, otras prioridades. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
22
Escena del crimen • Documente, documente, documente • Fotografías que describan la organización de los equipos, cableados • Inventario detallado de la evidencia • Procedimientos adecuados, prenda, deje las reglas apagadas por cada tipo de dispositivo • Por ejemplo, para computador: – Fotografíe la pantalla, luego desconecte la alimentación de energía. – Coloque cinta de marca de evidencia sobre cada dispositivo. – Fotografíe/diagrame y etiquete la parte posterior del computador con los componentes y sus conexiones existentes. – Etiquete todos los conectores y cables de manera de poder reensamblar cuando sea necesario. – Si requiere de transportar, empaque los componentes y transpórtelos como mercancía frágil. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
23
Ejemplos de evidencia digital • Computadores cada vez mas involucrados en investigaciones corporativas y criminales. • La evidencia digital puede jugar un rol preponderante o ser una nube de humo. • Correo electrónico – Acoso o amenaza – Chantaje – Transmisión ilegal de documentos corporativos internos.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
24
Ejemplos (2) • Puntos de encuentro/horas de encuentro para trafico de drogas • Cartas de suicidas • Información técnica para construir bombas • Archivos con imágenes o video digital (por ejemplo pornografía infantil) • Evidencia sobre el uso inapropiado de los recursos del computador o ataques – Uso de una maquina como un generador de correo spam – Uso de una maquina para distribuir copias ilegales de software. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
25
Delitos Informรกticos
05/07/2012
Germinal Isern
Universidad Nacional de Piura
26
PornografĂa Infantil
05/07/2012
Germinal Isern
Universidad Nacional de Piura
27
Delitos Financieros
05/07/2012
Germinal Isern
Universidad Nacional de Piura
28
Clonadores de atrjetas de credito
05/07/2012
Germinal Isern
Universidad Nacional de Piura
29
Fuentes de Evidencia digital • Computadores – – – – – –
05/07/2012
Email Imágenes digitales Documentos Hojas de calculo Bitácoras de conversaciones (Chat logs) Software copiado ilegalmente u otro material con derechos restringidos de copia
Germinal Isern
Universidad Nacional de Piura
30
Evidencia digital en un disco • Archivos – Activos – Eliminados – Fragmentos
• • • •
Metadata de archivos Espacio ocioso (Slack space) Swap file Información del sistema – Registry – Bitácora (Logs) – Data de configuración
05/07/2012
Germinal Isern
Universidad Nacional de Piura
31
Mas fuentes (1) • Teléfonos celulares – – – – – –
Números dicados Llamadas recibidas Números de correo de voz accedidos Números de tarjeta de crédito/debito Direcciones de correo electrónico Llamadas a números forward
• PDAs/ Teléfonos inteligentes – Contactos, mapas, fotos, palabras clave, documentos,…
05/07/2012
Germinal Isern
Universidad Nacional de Piura
32
Mas fuentes (2) • Teléfonos internos/Contestadoras telefónicas – – – –
Mensajes entrantes/mensajes salientes Números llamados Información de la llamada entrante Códigos de acceso para los sistemas de correos de voz entrantes – Copiadoras – Especialmente copiadoras digitales, que pueden almacenar trabajos enteros.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
33
Mas fuentes (3) • Sistemas de video juego • Básicamente sistemas computacionales como la XBox. • Dispositivos GPS – Rutas, puntos de camino
• Cámaras Digitales – Fotos, video, archivos en tarjetas de almacenamiento (SD, memory stick, CF, …)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
34
Preservación de la Evidencia • Estabilizar la evidencia • Depende del tipo de dispositivo, pero debe mantener • • • • • •
felices a los dispositivos volátiles. Cuando sea posible haga copias de la evidencia original. Dispositivos de bloqueo de escritura y alguna otra tecnologia para garantizar que la información no sea modificada, son usados comúnmente. Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan Evidencia original debe ir luego a lugar controlado, lugar seguro “Alimentación” de los dispositivos volátiles continúan en almacenamiento Estas copias serán usadas en la próxima fase de la investigacion.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
35
Preservación de la escena del crimen tick…tick…tick…
“Querida Susana, No es tu culpa
Solo jala el cable Mueve el mouse para una mirada rapida Tripwires Conexion inalambrica Computo volatil
Sala
Sotano, aramario
Documentaci贸n cuidadosa es esencial
05/07/2012
Germinal Isern
Universidad Nacional de Piura
37
Preservacion de la imagen • Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
• Bloqueadores de escritura ; buen plan.
• Herramientas para obtener imagenes: – dd bajo Linux – Floppies de arranque DOS – Soluciones propietarias
Drivelock write blocker
Investigar
Análisis: Arte, Ciencia, Experiencia
• Conocer donde se puede encontrar la • • • • •
evidencia Entender las técnicas usadas para esconder o destruir la data digital Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida Habilidad para manipular gigantesca cantidad de data digital… Ignorar lo irrelevante, apuntar a lo relevante Comprender completamente las circunstancias que hacen a la evidencia no confiable – Ejemplo: Creación de nuevos usuarios bajo Windows 95/98
05/07/2012
Germinal Isern
Universidad Nacional de Piura
40
Computadores Tradicionales: ¿Dónde está la evidencia? • Archivos no eliminados, espere que los nombres sean incorrectos • Archivos eliminados • Windows registry • Archivos de impresión del spool • Archivos en Hibernación • Archivos temporales (todos los .TMP en Windows!) • Espacio ocioso (Slack space) • Swap files • Browser caches • Particiones alternas u ocultas • Otra variedad de medios removibles como (floppies, ZIP, tapes, …) 05/07/2012
Germinal Isern
Universidad Nacional de Piura
41
Análisis (1) • Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible • Descubrimiento de archivos eliminados • Descubrimiento de archivos renombrados • Recuperación de bloques de datos para archivos grandes eliminados • Descubrimiento de material codificado • Creación de índices de claves para realizar búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado. • Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos 05/07/2012
Germinal Isern
Universidad Nacional de Piura
42
Análisis (2) • Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado • Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, … • Categorización de evidencia – – – –
x Archivos JPEG y Archivos Word z Archivos codificados ZIP …
• Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado • Muchos de estos procesos pueden ser automatizados
05/07/2012
Germinal Isern
Universidad Nacional de Piura
43
Análisis (3) • Creación de un archivo de ilustración de las fechas de • • • •
creación, modificación y eliminación de archivos. Para el sistema de archivos de Unix : inode # “timelines” La actividad inusual saltara en el diagrama de tiempos (timeline) Cuidado! Problemas del reloj, confusiones con los husos horarios , batería del CMOS muerta… Revisión de data no eliminada y recuperada con cumpla con ciertos criterios. – Por ejemplo, en un caso de pornografía infantil, busque imágenes JPEG/GIF recuperadas en cualquier archivo multimedia – Probablemente no investigue Excel o documentos financieros
• Formulación de hipótesis y búsqueda de evidencia adicional para justificar o refutar la hipótesis. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
44
Proceso Forense Autorización y Preparación Reportes y Resultados
Identificación
Documentación, Recolección y Preservación
Examinación y Análisis Reconstrucción 05/07/2012
Germinal Isern
Universidad Nacional de Piura
45
Herramientas utilizadas en el proceso Nombre Flag(Forensic
and
Log Analysis GUI )
Suministrada por
Plataforma
CaracterĂsticas
www.dsd.gov.au/library/software/flag/
*nix
L
Shadow
www.nswc.navy.mil/ISSEC/CID/index.html *nix
LS
Sleuth9
www.deepnines.com/sleuth9.html
*nix
CSR
Dragon IDS
www.enterasys.com/products/ids/
*nix
CLSR
www.intellitactics.com
Windows
CLSRW
neuSecure
www.guarded.net
*nix
CLSRW
NetIntercept
www.sandstorm.net
Linux box
CSRA
NetWitness
www.forensicexplorer.com
Windows
CLSRA
OSSIM
www.ossim.net
*nix
CLSRA
SGUIL
http://sguil.sourceforge.net/
*nix, Windows
CSR
NSM response
05/07/2012
Incident
Germinal Isern
Universidad Nacional de Piura
46
Herramientas utilizadas en el proceso Nombre
Suministrada por
TCPDump,Windump
http://windump.polito.it http://www.tcpdump.org
Plataforma
CaracterĂsticas
Linux, Windows
C
Ngrep
http://ngrep.sourceforge.net
*nix
C
Network Stumbler
http://netstumbler.com
Windows
C
Kismet
www.kismetwireless.net
Windows, Linux
C
Argus
www.qosient.com/argus7/
*nix
CL
Flow-tools
www.splintered.net/sw/flow-tools/
*nix
CL
*nix
L
Flow
extract,
Flow http://security.uchicago.edu/tools/net-
Scripts
forensics/
Etherape
http://etherape.sourceforge.net
*nix
C
Ethereal
www.ethereal.com
Windows-Linux
CLS
Etherpeek
www.wildpackets.com
Windows
CLS
05/07/2012
Germinal Isern
Universidad Nacional de Piura
47
Herramientas utilizadas en el proceso •
Algunas otras herramientas que ayudan en el proceso de recolección de la información.
•
–
Nessus. www.nessus.org
–
Nmap. www.insecure.org
También existen las llamadas distribuciones booteables, que son definidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B
•
Dentro del conjunto de herramientas existen dos herramientas que se consideran vitales para el manejo de incidentes y análisis forense. –
IDS/IPS
–
Honeytrap
05/07/2012
Germinal Isern
Universidad Nacional de Piura
48
Demostraci贸n FTK
05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 200849
FTK pantallas: Caso nuevo
05/07/2012
Germinal Isern
Universidad Nacional de Piura
50
FTK : Comienza la investigaci贸n
05/07/2012
Germinal Isern
Universidad Nacional de Piura
51
FTK : Sumario del caso
05/07/2012
Germinal Isern
Universidad Nacional de Piura
52
FTK : Thumbnail
05/07/2012
Germinal Isern
Universidad Nacional de Piura
53
Una muestra de investigacion • • • • • • • • •
Windows Registry Swap File Hibernation File Recycle Bin Print Spool Files Filesystem Internals File Carving Slack Space (Estructuras similares Linux, Mac OS X, etc.)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
54
Acceso al Registry (en vivo
Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager
05/07/2012
Germinal Isern
Universidad Nacional de Piura
55
FTK Registry Viewer
05/07/2012
Germinal Isern
Universidad Nacional de Piura
56
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
57
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
58
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
59
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
60
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
61
NTUSER.dat file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
62
SAM file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
63
SOFTWARE file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
64
SOFTWARE file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
65
** VERY IMPORTANT ** “Select” key chooses which control set is current, which is “last known good” configuration
SYSTEM file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
66
SYSTEM file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
67
Two Jumpdrive Elite thumbdrives 750GB USB hard drives (same type)
SYSTEM file
05/07/2012
Germinal Isern
Universidad Nacional de Piura
68
Mas del Registry • Otra información : – Tipo de CPU – Información Interfaz de Red • IP addresses, default gateway, DHCP configuration, …
– Software instalado – Hardware instalado
• Información del registry tipo “aja te agarre” – redundante, información no documentada – profile cloning on older versions of Windows (95/98) • (e.g., typed URLs, browser history, My Documents, …)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
69
Sistema de Archivos Esencial conocerlo FAT 12, 16, 32 NTFS EXT 2, 3 …………..
05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 200870
Mejor Auditoria
05/07/2012
Germinal Isern
Universidad Nacional de Piura
71
Criminales en la computacion‌
05/07/2012
Germinal Isern
Universidad Nacional de Piura
72
Wireshark (‌.. Ethereal) Packet listing
Detailed packet data at various protocol levels
Raw data 05/07/2012
Germinal Isern
Universidad Nacional de Piura
73
Wireshark: Siguiendo un flujo TCP
05/07/2012
Germinal Isern
Universidad Nacional de Piura
74
Wireshark: control flujo FTP
05/07/2012
Germinal Isern
Universidad Nacional de Piura
75
Wireshark: flujo de datos FTP
05/07/2012
Germinal Isern
Universidad Nacional de Piura
76
Wireshark: Flujo de datos FTP
05/07/2012
Germinal Isern
Universidad Nacional de Piura
77
Wireshark: Sesion HTTP
save, then trim away HTTP headers to retrieve image Use: e.g., WinHex
05/07/2012
Germinal Isern
Universidad Nacional de Piura
78
Psinfo
05/07/2012
(Detecci贸n , an谩lisis)
Germinal Isern
Universidad Nacional de Piura
79
pslist
05/07/2012
Germinal Isern
Universidad Nacional de Piura
80
handle
05/07/2012
Germinal Isern
Universidad Nacional de Piura
81
filemon
05/07/2012
Germinal Isern
Universidad Nacional de Piura
82
psfile
05/07/2012
Germinal Isern
Universidad Nacional de Piura
83
promiscdetect
05/07/2012
Germinal Isern
Universidad Nacional de Piura
84
promiscdetect (Wireshark estรก corriendo)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
85
psloggedon
05/07/2012
Germinal Isern
Universidad Nacional de Piura
86
netstat -a
Ataque al corazon?!
05/07/2012
Germinal Isern
Universidad Nacional de Piura
87
netstat –a -b
fuiiii!
05/07/2012
Germinal Isern
Universidad Nacional de Piura
88
Linux Listado de procesos
Salida parcial # ps aux | less
05/07/2012
Germinal Isern
Universidad Nacional de Piura
89
Linux: lsof
Salida parcial # lsof | less
05/07/2012
Germinal Isern
Universidad Nacional de Piura
90
Linux: Informacion de procesos detallada
05/07/2012
Germinal Isern
Universidad Nacional de Piura
91
Linux:
05/07/2012
Germinal Isern
Universidad Nacional de Piura
92
05/07/2012
Germinal Isern
Universidad Nacional de Piura
93
Linux:
05/07/2012
Germinal Isern
Universidad Nacional de Piura
94
Linux:
05/07/2012
Germinal Isern
Universidad Nacional de Piura
95
Anรกlisis Forense en vivo
05/07/2012
Germinal Isern
Universidad Nacional de Piura
96
Crear consulta
05/07/2012
Germinal Isern
Universidad Nacional de Piura
97
Crear
05/07/2012
Germinal Isern
Universidad Nacional de Piura
98
Objetivo
05/07/2012
Germinal Isern
Universidad Nacional de Piura
99
Confirmar informacion
05/07/2012
Germinal Isern
Universidad Nacional de Piura
100
Password
05/07/2012
Germinal Isern
Universidad Nacional de Piura
101
Adquisicion inicial
05/07/2012
Germinal Isern
Universidad Nacional de Piura
102
05/07/2012
Germinal Isern
Universidad Nacional de Piura
103
05/07/2012
Germinal Isern
Universidad Nacional de Piura
104
Informacion General
05/07/2012
Germinal Isern
Universidad Nacional de Piura
105
Informacion Interfaz IP
05/07/2012
Germinal Isern
Universidad Nacional de Piura
106
Analisis de datos
05/07/2012
Germinal Isern
Universidad Nacional de Piura
107
SMB file server
Puertos
vmware phoning home to check for updates
05/07/2012
Germinal Isern
Universidad Nacional de Piura
108
Procesos en ejecucion
05/07/2012
Germinal Isern
Universidad Nacional de Piura
109
Conexiones
05/07/2012
Germinal Isern
Universidad Nacional de Piura
110
Archivos abiertos
05/07/2012
Germinal Isern
Universidad Nacional de Piura
111
Analisis vaciados de memoria
05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 2008112
FATKIT / Volatools Python-based system for examining physical memory dumps C:\VolatoolsBasic-1.1.1>python volatools usage: volatools cmd [cmd_opts] Supported Commands: connections datetime dlllist files ident type modules pslist sockets strings vaddump vadinfo vadwalk 05/07/2012
Print list of open connections Get date/time information for image Print list of loaded dlls for each process Print list of open files for each process Identify image properties such as DTB and VM Print list of loaded modules Print list of running processes Print list of open sockets Match physical offsets to virtual addresses Dump the VAD sections to files Dump the VAD info Walk the VAD tree Germinal Isern Universidad Nacional de Piura 113
C:\VolatoolsBasic-1.1.1>python volatools pslist -f d:\MEMDUMP.1GB Name System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe spoolsv.exe MDM.EXE ntrtscan.exe tmlisten.exe OfcPfwSvc.exe alg.exe XV69C2.EXE AcroRd32.exe explorer.exe jusched.exe PccNTMon.exe ctfmon.exe reader_sl.exe cmd.exe dumpmem.exe 05/07/2012
Pid 4 436 492 516 560 572 752 812 876 924 976 1176 1372 1416 1548 1636 2028 336 2452 840 2608 2184 3084 1240 368 2132
PPid 0 4 436 436 516 516 560 560 560 560 560 560 560 560 560 560 560 1416 848 3844 840 840 840 840 840 368 Germinal Isern
Thds 65 3 20 22 17 19 21 9 72 6 7 14 4 13 14 9 6 1 0 16 2 4 1 2 1 1
Hnds 262 21 421 626 366 405 214 264 1582 95 137 159 85 65 179 145 103 84 -1 410 36 67 70 35 30 17
Time Thu Jan Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Wed Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar Thu Mar
Universidad Nacional de Piura
01 15 15 15 15 15 15 15 15 15 15 15 15 15 15 15 15 15 21 22 22 22 22 22 22 22
00:00:00 08:04:12 08:04:13 08:04:14 08:04:14 08:04:15 08:04:15 08:04:16 08:04:16 08:04:16 08:04:16 08:04:17 08:04:25 08:04:25 08:04:28 08:04:29 08:04:32 08:04:34 03:53:27 23:05:51 23:05:54 23:05:54 23:05:54 23:05:55 23:07:01 23:07:30
1970 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 114
C:\VolatoolsBasic-1.1.1>python volatools sockets -f d:\memdump.bluelu Pid 1828 4 736 468 196 1936 4 1828 1112 1804 384 384 4 1936 316 1164 468 1828 4 196 1936 4 1112
Port 500 445 135 1900 1031 1025 139 0 123 1029 1028 1032 137 1026 1030 3793 1900 4500 138 1037 1027 445 123 05/07/2012
Proto 17 6 6 17 6 6 6 255 17 17 6 6 17 6 6 6 17 17 17 6 6 17 17
Create Time Wed Mar 28 02:22:36 Wed Mar 28 02:22:20 Wed Mar 28 02:22:25 Wed Mar 28 02:22:58 Wed Mar 28 02:22:54 Wed Mar 28 02:22:35 Wed Mar 28 02:22:20 Wed Mar 28 02:22:36 Wed Mar 28 02:22:39 Wed Mar 28 02:22:37 Wed Mar 28 02:22:36 Wed Mar 28 02:22:56 Wed Mar 28 02:22:20 Wed Mar 28 02:22:35 Wed Mar 28 02:22:44 Wed Mar 28 02:22:28 Wed Mar 28 02:22:58 Wed Mar 28 02:22:36 Wed Mar 28 02:22:20 Wed Mar 28 02:23:03 Wed Mar 28 02:22:35 Wed Mar 28 02:22:20 Wed Mar 28 02:22:39 Germinal Isern
2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007
Universidad Nacional de Piura
115
C:\VolatoolsBasic-1.1.1>python volatools files -f d:\MEMDUMP.1GB ************************************************************************ Pid: 4 File \Documents and Settings\Administrator.HE00\NTUSER.DAT File \Documents and Settings\Administrator.HE00\NTUSER.DAT.LOG File \System Volume Information\_restore{1625C426-0868-4E67-8C2125BB305F7E1E}\RP228\change.log File \Topology File \pagefile.sys File \WINDOWS\system32\config\SECURITY File \WINDOWS\system32\config\SECURITY.LOG File \WINDOWS\system32\config\software File \WINDOWS\system32\config\software.LOG File \hiberfil.sys File \WINDOWS\system32\config\system File \WINDOWS\system32\config\system.LOG File \WINDOWS\system32\config\default File \WINDOWS\system32\config\default.LOG File \WINDOWS\system32\config\SAM File \WINDOWS\system32\config\SAM.LOG File \Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DAT File \Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOG File \ File \Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOG File \Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DAT File \WINDOWS\CSC\00000001 ************************************************************************ Pid: 436 File \WINDOWS File \WINDOWS\system32 … … 05/07/2012 Germinal Isern Universidad Nacional de Piura
116
Analisis de la muerte de un computador
FTK Interlude 05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 2008117
Email en el computador de Daryl
05/07/2012
Germinal Isern
Universidad Nacional de Piura
118
Analisis en vivo del computador
05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 2008119
Command: pslist > pslist.txt
?
05/07/2012
Germinal Isern
Universidad Nacional de Piura
Nada interesante
120
Command: pmdump –list > pmdump-list.txt
? Nada interesante?
05/07/2012
Germinal Isern
Universidad Nacional de Piura
121
Command: handle > handle.txt
!!
05/07/2012
Germinal Isern
Universidad Nacional de Piura
122
Command: dd if=\\.\PhysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt
05/07/2012
Germinal Isern
Universidad Nacional de Piura
123
Examen c:\taxes directorio: turbotax97.exe era realmente un keylogger El archivo “log.txt� en directorio c:\taxes en Word Para resaltar las sesiones importantes
DARYL_EVIDENCE\log.doc
05/07/2012
Germinal Isern
Universidad Nacional de Piura
124
05/07/2012
Germinal Isern
Universidad Nacional de Piura
125
¡Algo es sospechoso!
• Inmediatamente se conectan e ingresan a la red corporativa • Atención especial al trafico de “sparelaptop3” • Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania
05/07/2012
Germinal Isern
Universidad Nacional de Piura
126
Analisis de red
Wireshark Interlude 05/07/2012
Germinal Isern
Universidad Nacional de Piura
Piura Abril 2008127
Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
• bobotie-notes.txt.bfe: – Directory info enumerated at packet 2029-2030. – 662 bytes (entire file) transferred in packet 2202.
• pate.txt (un-encrypted): – choose any packet in stream and follow TCP stream, e.g., packet 3360. – data transfer is actually at packet 3479.
• pistachio-macaroons.txt.bfe: – 246 bytes (entire file) transferred in packet 4693. 05/07/2012
Germinal Isern
Universidad Nacional de Piura
128
Historia de inserci贸n de USB (an谩lisis de laptop flotante) HKEY_LOCAL_MACHINE/SYSUSBSTOR
Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef.
05/07/2012
Germinal Isern
Universidad Nacional de Piura
129
Historia USB HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR
ยกConcordo!
05/07/2012
Germinal Isern
Universidad Nacional de Piura
130
En la computadora de Niles • Copias de recetas codificadas y no codificadas (eliminadas) • E-mail original de Ignatius Q. Riley (eliminado)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
131
Email original de Ignatius ( Maquina N. Boudreaux’s)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
132
A Closer Look at Email on Daryl Popper’s Computer
05/07/2012
Germinal Isern
Universidad Nacional de Piura
133
Una vista mas cerca del e-mail en el computador de Daryl (HTML SOURCE)
05/07/2012
Germinal Isern
Universidad Nacional de Piura
134
La historia real 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Niles infeliz, contacta a Lick-My-Spoon Niles instala un key logger en la maquina de Daryl while she’s at lunch, and enables guest account and file sharing Key logger records Daryl’s encryption passwords Niles digs up unused, spare laptop Niles gets keystroke log remotely using spare laptop / file sharing Niles copies some recipes to spare laptop using file sharing Niles copies stolen recipes from spare laptop to USB disk Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius Ignatius sends reply to Niles Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops) Niles deposits forged reply on Daryl’s machine Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO, investigation begins Niles continues periodically to copy recipes from Daryl’s machine to spare laptop (These transfers were captured during network logging) Facing mounting evidence, Niles confesses
05/07/2012
Germinal Isern
Universidad Nacional de Piura
135