Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Forense Windows-Ismael Valenzuela
Forense Windows-Ismael Valenzuela
Sistema Windows
3 Jornada Tecnolgica inFORMANdo
Ismael Valenzuela Espejo
Information Security Specialist
Ismael.valenzuela@isoftplc.com
Agenda
Introduccin al Anlisis Forense
Fases de una investigacin
Verificacin
Obtencin
Anlisis
Elaboracin de informes y custodia de evidencias
Acerca de m
ME
HAN
AHO
HACK
EADO
RA Q
U?
!!!
En dos palabras
Forensic Computing is the
Se basa en el principio de
intercambio de Locard
Testimonio humano
Trfico de red
Dispositivos de red
Sistemas Operativos
Bases de Datos
Aplicaciones
Perifricos
Ficheros en discos internos, externos,
USB, CD-ROM, etc
Telfonos
Impresoras
TODO!
Aplicaciones
SO
Servidor
Sistemas Informatizados
Infraestructura de Sistemas
LAN / DMZ
Entorno Externo
Mltiples hosts
Clientes
Front-end
Middleware
Back-end, Bases de datos
1. Sistema muerto
Sin corriente
elctrica
Sistema apagado
Disco Duro
Discos Externos,
CD-ROMs,
disqueteras, etc...
2. Sistema vivo
Con corriente
elctrica
Procesos en
ejecucin
Accesos a disco
Dispositivos
removibles en
contnuo cambio
Respuesta inicial es
CRTICA
Apagar el sistema a analizar
puede destruir evidencia crtica (en
Unix es posible recuperar
informacin del espacio swap).
Los atacantes pueden aprovechar
las ventajas de la volatilidad de la
memoria (hay malware que solo se
ejecuta en memoria).
El nivel de ocultacin de datos
depender del nivel de acceso
conseguido y de la pericia del
atacante.
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
+ voltil
- voltil
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Otras herramientas
Intrusin Externa
Desconectar red
Obtener informacin voltil (memoria, registro, conexiones,
etc.)
Verificar incidente (logs, IDS, firewalls, etc.)
Obtencin de imgenes de discos
SleuthKit + Autopsy
Antecedentes
Procedimientos
Evidencias
Hashes, etc
Cadena de custodia:
Concepto jurdico sobre la manipulacin de una
evidencia y su integridad
Documento en papel que registra la
adquisicin, custodia, control, transferencia,
anlisis y destruccin de la evidencia
Las evidencias deben manipularse de forma
escrupulosa para evitar cualquier acusacin de
negligencia
Debe detallar dnde se encontraba la evidencia
y quin tuvo acceso a ella desde el momento
en que se recogi hasta el momento en el que
se presenta a juicio
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Qu obtener?
-
-
-
-
-
-
-
ipconfig /all
informacin tcp/ip
netstat -aon
conexiones abiertas y puertos en espera, con PID asociado
psinfo -shd
informacion del sistema (hardware, software, hotfixes, versiones, etc.)
pslist -t
lista de procesos
at
lista de tareas programadas (tambin mirar en %windir%\tasks\ folder)
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
psloglist
volcado de log de eventos
psservice
informacin de servicios de sistema
net use, net accounts, net session, net share, net user
conexiones netbios/smb
listdlls
lista de DLLs cargadas en sistema
sigcheck -u -e c:\windows
lista de ficheros (.exe, .dll) no firmados
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
logonsessions -p
sesiones actuales y procesos por sesin
arp -a
muestra tabla de cach ARP
ntlast
muestra eventos de logon correctos y fallidos
route print
muestra tabla de rutado IP
hfind c:
ficheros ocultos
promiscdetect
pwdump2
muestra hashes (nthash/lmhash) de cuentas locales
lsadump2
muestra LSA secrets (necesita SeDebugPrivilege)
strings
busca cadenas ASCII/Unicode en ficheros
tcpview
muestra conexiones de red y aplicaciones asociadas
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
\\.
\\.\C:
\\.\D:
\\.\PhysicalDrive0
\\.\PhysicalDrive1
\\.\CdRom0
\\.\Floppy0
\\.\PhysicalMemory
Local machine
C: volume
D: volume
First physical disk
Second physical disk
First CD-Rom
First floppy disk
Physical memory
Adquisicin fsica:
Apagar la mquina (desconectar cable)
Quitar el disco duro
Ponerlo en modo slo lectura (jumper or IDE/SCSI
block-writer)
Conectarlo a la estacin forense y realizar una copia
bit a bit con dd a un disco externo (firewire/USB)
Adquisicin a travs de la red (mquina apagada):
En la estacin forense: nc -l -p 9000 > disk1.dd
Iniciar la mquina a analizar con una distribucin
LiveCD de Linux (p.ej. Helix) y ejecutar: dd if=/dev/sda |
nc 10.0.0.1 9000
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
setupapi.log
informacin sobre instalacin de aplicaciones y dispositivos
schedlgu.txt
informacin sobre tareas programadas
Ficheros INFO2
Documentos recientes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Directorios temporales
Cach navegador web
Se puede usar 'pasco' para analizar
Cache y cookies
Browser history
Aspectos Legales
Diferentes modelos (Europa/USA)
Tanto la empresa vctima como el Estado pueden
solicitar una investigacin forense (en todos los pases de
la EU no es necesaria todava licencia de investigador)
Cundo involucrar a la Polica? Depende de:
-Tipo de delito
-Poltica interna (ISO 27001)
-Obligaciones legales (PCI, SOX, BASEL II, etc)
-Existencia de vctimas externas (empresas, clientes,
usuarios, etc.)
-LOPD
Honeypots (area gris) induccin al delito? contenido
ilegal?
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Aspectos Legales
Contactos:
Brigada de Investigacin Tecnolgica (Polica Nacional)
http://www.mir.es/policia/bit/
Grupo de Delitos Telemticos (Guardia Civil)
http://www.guardiacivil.org/telematicos/
Referencias
Algunas herramientas
citadas en la
presentacin:
Referencias
Windows Incident Response Blog:
http://windowsir.blogspot.com/
Windows Forensic Analysis, Harlan Carvey
(2007, Syngress).
http://www.jessland.net/KB/Forensics/
http://computer.forensikblog.de/en/
Parte del contenido de esta presentacin est
basado en el trabajo de Alfredo Reino (http://
www.areino.com)
http://blog.ismaelvalenzuela.com
iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Gracias!