Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo de la presentacin:
Estado de
Equilibrio
Preparacin
Declarar
Incidente
Estado de
Identificacin
Comenzar
Equilibrio Limpieza
Contencin
Finalizar
Limpieza
Erradicacin
Volver a
Produccin
Recuperacin
En algunos casos, es necesario
volver a comenzar Lecciones Aprendidas
Organizacin / Gerencia: Establecer una capacidad de respuesta a incidentes para que la organizacin
est preparada para responder a los incidentes.
Grupo de Trabajo: conocimiento profundo, tcnicos especializados y una amplia experiencia son
necesarias para un anlisis adecuado y eficiente de los datos relacionados con el incidente.
Comunicacin: relaciones con los administradores de sistemas, administradores de red y otras reas.
Arquitectura de Seguridad: aseguran que los sistemas, redes y aplicaciones son lo suficientemente
seguros.
Herramientas: adquirir herramientas y recursos que pueden ser de valor en el manejo de incidentes.
6 2009 IBM Corporation
Gestin de Incidentes:
Fase Identicacin (Deteccin y Anlisis)
Preguntarse:
o Cunto dao podra ser causado?
o Cul es el impacto si se explota la vulnerabilidad?
o Cul es el valor de los sistemas afectados?
o Cul es el valor de los datos en esos sistemas?
o Puede ser explota la vulnerabilidad en forma remota?
o Qu nivel de habilidad y requisitos previos son necesarios por un atacante para explotar la
vulnerabilidad?
o Existe una solucin para esta vulnerabilidad?
o Cul es la fuente de informacin que podemos utilizar para el anlisis?
Fuente de Informacin: eventos y logs generados por distintas fuentes (HIPS, NIPS, SIEM, antivirus,
antispyware, chequeo de Integridad, firewalls, aplicaciones y SO), personal, terceros, anuncio
vulnerabilidades, etc.
Comportamiento normal de las redes, sistemas y aplicaciones : ayuda a detectar desviaciones de los
niveles de actividad esperada.
Base de Conocimiento : acceso rpido a la informacin pertinente para el anlisis del incidente, como
procedimientos, contactos, informacin histrica, instructivos de trabajo, etc.
Priorizacin de incidentes: Dar prioridad a los incidentes por el impacto en el negocio, tomando
como base la criticidad de los recursos afectados y el efecto tcnico del incidente.
IMPACTO: determina la
importancia del incidente
dependiendo de cmo ste afecta a
los procesos de negocio y/o del
nmero de usuarios afectados.
Clasificacin del Incidente
Declarar el Incidente: se deben establecer guas y procesos que describen la rapidez con que el
equipo debe responder a los incidentes y las acciones que debern llevarse a cabo, en funcin del impacto
del incidente para el negocio.
Tipo de Incidente: Dado que hemos declarado un incidente, es necesario dejar constancia de su
categora y criticidad (en base a los conocimientos actuales).
Notificacin de Incidentes: las organizaciones deben especificar qu incidentes deben ser informados,
cundo y a quin.
Documentacin: registrar toda la informacin tan pronto como el equipo sospecha que ha ocurrido un
incidente. Cada paso, desde el momento en que se detect el incidente a su resolucin final, deben ser
documentados, especificando el tiempo.
Proteger los Datos del Incidente: el equipo debe asegurar que el acceso a los datos de los incidentes
se restringe adecuadamente, tanto lgica como fsicamente.
Aplicar Parches
Cambiar Passwords
Aplicar ACLs en Routers y Firewalls
Remover cuentas del atacante
Bajar procesos relacionados con
Backdoors.
Mtricas:
Aplicabilidad :
Tareas: Identificacin de una actividad ilegal,
obtencin de evidencia, mantener cadena de custodia, - Operaciones / Troubleshooting
preservacin de la evidencia, investigacin de la - Monitoreo de Logs
evidencia, presentacin de resultados. - Recuperacin de Datos
- Borrado de Informacin
- Cumplimiento Regulatorio
Comunicacin con otras reas: - Gestin de Incidentes
Bsqueda de String
Verificacin
o Bytes
Recoleccin de
Evidencia
Integridad de la Evidencia
o Asegurar que la evidencia no fue alterada
o Crear 2 copias/imgenes bit a bit Adquirir Evidencia
Descripcin del
Orden de la volatilidad: Cuando se colecta la evidencia, se Sistema
Una vez que un incidente ha sido descubierto por un administrador del sistema,
deben informar de ello de acuerdo a los procedimientos establecidos de
notificacin de incidentes de la organizacin.
Tomar notas sobre la escena y documentar las acciones realizadas para luego
ser entregados al Equipo Forense que atienda el caso.
21 2009 IBM Corporation
Anlisis Forense Adquirir Evidencia
Cadena de Custodia
Se debe seguir una cadena de
custodia claramente definida para
evitar acusaciones de mal manejo
o manipulacin de pruebas.
Almacenar la evidencia en un
lugar seguro cuando no se est
utilizando,
Explicar las tcnicas utilizadas y los detalles tcnicos. Anlisis de los Recuperacin de
Medios Datos
Documentar irregularidades encontradas y las acciones adoptadas en
relacin con las irregularidades durante el anlisis.
Preparacin
Declarar
Incidente Adquirir Evidencia Investigacin y Anlisis
Identificacin
Recuperacin
Descripcin del Anlisis de Recuperacin
Sistema los Medios de Datos
Lecciones
Aprendidas
Anlisis de
Recoleccin de
Lnea de Tiempo
Evidencia
Reporte
Preparacin
Declarar
Incidente Adquirir Evidencia Investigacin y Anlisis
Identificacin
Anlisis de
Adquisicin de
Lnea de Tiempo
Evidencia
3 4
Reporte
7
Metodologa de Anlisis:
- Los IPS han reportado trfico no HTTP a travs del puerto 80 TCP desde una estacin de trabajo
a una direccin pblica el da Lunes 18/07/2011 a las 22:25 hs .
- Direccin IP y URL del destino de la conexin: IP 192.168.188.1 URL http://evil.server.com.
- Podramos revisar bloqueo de las credenciales del usuario por parte de los Proxy de la empresa.
El primer paso para realizar esta tarea es abrir una shell en el sistema atacado con privilegios de
administrador:
- En caso de estar logueado un usuario no administrador, podemos
ejecutar el exe cmd.exe. con privilegios de administrador
(ejecutar como).
- Si el equipo est bloqueado o con protector de pantalla, no hay que
deslogear al usuario; en este caso realizaremos la adquisicin de la
evidencia remotamente utilizando la herramienta de Microsoft psexec.
El siguiente paso es
completar el formulario
de cadena de custodia.
El anlisis forense es
llevado a cabo con
copias de la evidencia
verificando su integridad.
- Archivos Borrados:
010 010 010 010 Capa de
Algunos OS borran los links entre el nombre y la 101 101 101 101 Datos
metadata. Las distribuciones actuales borran adems
todos los punteros a los bloques de datos para
borrar archivos (ext3/ext2). En Windows FAT: 010 010 010
101 101 101
(file allocation table) en la capa nombre de
archivo FAT12/16/32 remplaza la primer letra del
nombre por 0xe5; en exFAT la entrada es marcada
como inactivo. NTFS ($MFT master file table): la
entrada del archivo es marcada como borrado.
18 2009 IBM Corporation
Capas del Sistema de Archivos Herramientas:
Qu informacin an existe luego de borrar un archivo?
Ext2/3:
Capa
- Capa Nombre de Archivo: Nombre
de
Se preserva el nombre en la entrada del directorio. File.exe Archivo
- Capa Metadata:
UID/GID son preservados.
Informacin MA- es preservada, --C cambia a la 010 010 010 010 Capa de
101 101 101 101 Datos
fecha de borrado.
Tipo de archivo, Permisos, Tamao, y
direccionamiento de bloques generalmente son
010 010 010
preservados. 101 101 101
- Capa de Datos:
Los bloques sern marcados como sin
asignar, pero los datos son preservados.
19 2009 IBM Corporation
Capas del Sistema de Archivos Herramientas:
Qu informacin an existe luego de borrar un archivo?
FAT12/16/32/exFAT y NTFS:
Capa
Nombre
de
File.exe Archivo
- Capa Nombre de Archivo:
Se preserva el nombre del archivo.
MACTime, Tamao, Capa
Permisos Metadata
- Capa Metadata:
Informacin MAC es preservada. NTFS actualiza la
hora --C- a la hora de borrado en la tabla MFT.
010 010 010 010 Capa de
Los atributos del archivo son preservados. 101 101 101 Datos
101
- Capa de Datos:
Los cluster sern marcados como sin 010 010 010
101 101 101
asignar, pero los datos son preservados en
la localizacin de los clusters original.
Uando la opcin
pslist obtenemos el
proceso que tiene
asignado el ID 1736:
svchost.exe
Comando fsstat:
- Nos muestra estadsticas de la capa sistema de
archivos.
NO es nuestro archivo.
Herramienta fls:
- Nos permite interactuar con una imagen forense como si fuera un sistema de archivos normal.
- Toma el valor del inodo de un directorio, procesa el contenido, y despliega el nombre de los archivos en el
directorio (includos los archivos borrados).
fls r p image.dd > image.fls
Herramienta icat:
- Copia archivos por inodo.
- Opera en disco e imgenes de discos.
El resultado del la bsqueda de strings muestra que la infeccin pudo ingresar por dispositivo USB:
Registro de Windows:
- Coleccin de archivos de datos (HIVES) que guardan informacin del sistema y el usuario
%windows%\System32\Config:
* SAM: todas las cuentas de usuarios y grupos (HKEY_LOCAL_MACHINE\SAM).
* SECURITY: toda la informacin de seguridad usada por SAM y el sistema operativo,
incluyendo polticas de contrasea, membreca de grupos, etc.
(HKEY_LOCAL_MACHINE\SECURITY).
Registro de Windows:
- SYSTEM: configuracin del servicios y hardware. (HKEY_LOCAL_MACHINE\SYSTEM).
Nombre del Equipo.
Zona Horaria.
Interfaces de Red y su configuracin.
Redes Wireless a las que se ha conectado el equipo.
Programas de inicio automtico.
Recursos Compartidos del sistema.
Fecha de ultimo apagado del equipo y nmero de veces que se apag el equipo.
- NTUSER.dat: (HKEY_CURRENT_USER).
Historial de Bsqueda: NTUSER.dat\Software\Microsoft\Search Assistant\ACMru
URLs Tipeadas: NTUSER.dat\Software\Microsoft\Internet Explorer\TypedURLs
Documentos Recientes: NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Ventanas de Dilogos Open/Save:
Save: NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\ComDlg32\OpenSavePIDIMRU
Open: NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
ltimo comando ejecutado: NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\RunRMU
Historial de Ejecucin de Aplicaciones:
NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssis\{GUID}\count
- Determinar el usuario que utiliz el dispositivo y la ltima vez que fue conectado:
* NTUSER.dat\Software\Mifrosoft\Windows\CurrentVersion\Explorer\MountPoint2 (buscamos por GUID).
Usuario =
Ultima vez que el dispositivo fue conectado =
- Debemos poder describir en detalle lo acontecido en el Incidente y detectar cualquier otro indicio de
malware en el sistema para luego pasar a la etapa de Reporte.
Investigacin y Anlisis
Bsqueda de
String o Bytes
5
Anlisis de Recuperacin
los Medios de Datos
5 6
Anlisis de
Lnea de Tiempo
4
?
Reporte
7
FIN
FIN