00 ANALISIS FORENSE - Reinaldo Mayol Arnao PDF

Análisis
Forense
Reinaldo Mayol Arnao

¿Qué es el Análisis Forense?
•  Es un proceso, metodológicamente

guiado, que involucra los siguientes
elementos, referidos a los datos de
un sistema computacional:
–  Preservación
–  IdenAficación
–  Extracción
–  Documentación
–  Interpretación

¿Cúales son las diferencias más
comunes con un proceso forense
tradicional?
•  Cuando se subtrae información esta sigue estando donde
estaba
•  La copia de los datos es idénAca a los originales
•  Los datos pueden accederse si contacto Isico
•  La información puede ser ocultada para que no sea
reconocida
•  La información puede ser distribuida en pocos segundos a
numerosos lugares
•  La información puede ser destruida sin que queden rastros,
ni exista forma de recuperarla
•  El volumen de datos puede ser significaAvo
•  La información colectada puede ser falsa

Metodología de Análisis Forense
1.  Adquisición de Evidencia
2.  AutenAficación de la evidencia colectada
3.  Análisis de la Evidencia

1-‐Adquisición de Evidencia
•  Preservar los datos, aún si estos se encuentran en medios
voláAles como la memoria RAM del sistema afectado.
•  Si no se encuentra evidencia en medios voláAles, el equipo
debe ser iniciado desde un disco flexible debidamente El
contenido de todos los discos duros debe ser volcado a
algún medio de almacenamiento secundario
•  El medio de almacenamiento que conAene la data
respaldada debe ser instalado en una estación especial de
análisis de evidencias.
•  Si se sospecha la existencia de evidencia en medios como la
memoria RAM esta debe ser volcada a un medio
perecedero.
•  Es muy importante documentar todos los pasos ejecutados
así como el contendido de toda la evidencia colectada.

Principios Generales de la
Colección de Evidencias Digitales
•  Cualquier labor realizada no debe modificar
la evidencia
•  En caso de que sea necesario operar sobre la
evidencia original la persona debe estar
capacitada para realizar la labor sin que la
evidencia sea afectada
•  Cualquier acAvidad sobre la evidencia debe
ser minusiosamente documentaday estar
disponible para su revisión y comprobación.
Adqusición de la Evidencia VoláAl
•  Hora del Sistema •  Historial de Comandos
•  Usuarios AcAvos •  Servicios y DisposiAvos
•  Información sobre •  PolíAcas de Grupo
procesos •  Almacenamientos
•  Memoria de procesos Protegidos
•  Contenido del
protapapeles

Adquisición de Evidencia
VoláAl:Usuarios conectados

VoláAl:Procesos

VoláAl:Memoria
•  C:> pmdump 1020 volcadoram.explorer
Archivo de volcado
Proceso

1-‐a) Manipulación de la Evidencia
•  Si no se toman las medidas adecuadas para la manipulación de la
evidencia esta puede perderse o resultar inaceptable como prueba.
•  Uno de los elementos que se uAlizan son las Cadenas de Confianza. Una
adecuada Cadena de Confianza debe responder, para cada evidencia,
las siguientes interrogantes:
–  ¿Quién colectó la evidencia?
–  ¿Cómo y donde fue colectada?
–  ¿Quiénes tuvieron posesión y acceso a la evidencia?
–  ¿Cómo fue almacenada y protegida?
–  ¿Quién la ha manipulado?

cont…
•  Toda la evidencia colectada debe ser

idenAficada.
•  La idenAficación debe incluir los siguientes
elementos:
–  Número del caso
–  Descripción de caso
–  Firma del InvesAgador que colecta la evidencia
–  Fecha y hora en que la evidencia ha sido
colectada
cont…
•  Si la evidencia debe ser transportada deben

tenerse en cuenta los elementos de
seguridad Isica (humedad, interferencia
electromagnéAca, etc) necesarios para
garanAzar que la eficacia de la evidencia no
sea afectada.
•  Igualmente debe asegurarse que la
evidencia no pueda ser manipulada por
terceros durante su transportación.
cont…
•  Debe cuidarse que la idenAficación de la

evidencia no sea afectada durante el
proceso de transportación
•  Iguales medidas han de tomarse para
preservar la evidencia si la misma debe ser
almacenada

2-‐ AutenAficación de la Evidencia
•  El objeAvo de este paso es proveer un

mecanismo que garanAce la evidencia
colectada no pueda ser modificada o
susAtuida sin que el invesAgador pueda
notarlo.

2-‐ AutenAficación de la Evidencia
•  Por lo general, se recomienda uAlizar

algoritmos de HASH (MD5?? ó SHA) capaces
de crear un hash de la evidencia que
garanAce su integridad.
•  Se puede firmar digitalmente cada
evidencia garanAzando de esta forma que la
misma no pueda ser susAtuida.

3-‐Análisis de las Evidencias
•  El objeAvo de este paso es poder

reconstruir lo ocurrido para llegar a
conclusiones sobre sus causas,
responsables y profilaxis.
•  Este paso incluye acciones como:
n  Montaje de la evidencia en la estación del
invesAgador

3-‐Análisis de las Evidencias
n  Análisis del sector de arranque
n  Búsqueda de evidencia parAcular en sectores
borrados
n  Análisis de bitácoras del sistema operaAvo


Auditoría Forense Windows

El sistema de Archivos: FAT vs
NTFS
•  FAT uAliza File AllocaAon Tables.
•  NTFS uAliza archivos de Metadata
•  FAT uAliza un formato 8.3 para la
representación de nombres
•  NTFS uAliza UNICODE (16 bits por cada
caracter)
•  Los permisos en FAT solo llegan a nivel de
carpetas mientras en NTFS los permisos se
exAenden hasta los archivos.
MAC Times
•  Una de los elementos más importantes para

el analista forense lo consAtuyen las marcas
de Aempo. MAC

Modificación
Acceso
Creación

MAC Times cont…

Sistema de Archivos de NTFS
•  Durante la creación del volumen es creado el Master File Table (MFT),
además de otros archivos de control.
•  Existe un MFT por cada archivo en el volumen.
•  Los MFT son localizados en la raíz del volumen, comienzan por “ $” y no
son visibles.
•  Un MFT almacena los atributos de los archivos y subdirectorios
incluyendo el nombre, MAC, permisos, flags de estado, entre otros.
•  Adicionalmente el MFT almacena parte ( o su totalidad) de la data
(dependiendo del tamaño del archivo)

Formato Simplificado de un
archivo MFT
•  Para un archivo:
–  Header
–  $FILENAME
–  $ STANDART_INFORMATION
–  $DATA
–  Lista de Atributos
•  Para un subdirectorio:

–  Header
–  $INDEX_ROOT
–  Entradas de Indice
–  $INDEX_ALLOCATION

$BITMAP
•  EL $BITMAP uAliza un bit para almacenar el
estado de cada sector:
–  “1”: el sector está ocupado
–  “0”: el sector está disponible.
•  Cuando un archivo es borrado el bit
correspondiente en el $BITMAP es puesto
en “0”, el MFT correspondiente es marcado
para ser borrado y el índice correspondiente
es borrado.

Formateado
•  Cuando un volumen es formateado NTFS

sobrescribe los anAguos MFT.
•  Sin embargo, los datos se manAenen (ahora
claro está inconexos, no visibles y
posiblemente incompletos) en los sectores
disponibles del nuevo volumen.

Renombrado, movimiento y borrado de archivos
•  Cuando un archivo es renombrado o movido

el sistema simplemente borra los archivos
de índice correspondientes pero no mueve
la información.
•  Un invesAgador puede buscar en el MFT del
directorio que contenía los datos movidos y
renombrados para encontrar las entradas
correspondientes con los índices de buffers
(índices a las posiciones de los datos que no
“cabían” dentro del MFT.
Papelera de Reciclaje
•  El análisis de la papelera de reciclaje es un
elemento importante para el invesAgador
forense.
•  La papelera es un archivo oculto llamado
Recycled en Windows 95 y 98, y Recycler en
las versiones posteriores y localizados en la
raíz del sistema de archivos
•  En W. NT y versiones posteriores la primera
vez que un usuario pone un archivo en la
papelera es creado un subdirectorio cuyo
nombre corresponde al UID del usuario.
La papelera
C:\RECYCLER>dir /ah
Volume in drive C has no label.
Volume Serial Number is 7073-‐8D08

Directory of C:\RECYCLER

11/02/2004 04:30 p.m. <DIR> .
11/02/2004 04:30 p.m. <DIR> ..
26/02/2004 12:05 p.m. <DIR> S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐10298677
34-‐500
0 File(s) 0 bytes
3 Dir(s) 3.918.397.440 bytes free
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500>dir /ah
Volume in drive C has no label.
Volume Serial Number is 7073-‐8D08

Directory of C:\RECYCLER\S-‐1-‐5-‐21-‐2745356990-‐4205020176-‐1029867734-‐500

26/02/2004 12:05 p.m. <DIR> .
26/02/2004 12:05 p.m. <DIR> ..
15/02/2004 10:41 p.m. 65 desktop.ini
01/03/2004 11:59 a.m. 4.820 INFO2
2 File(s) 4.885 bytes
2 Dir(s) 3.913.691.136 bytes free

La papelera cont…
Papelera de Archivos dentro de

Reciclaje la papelera
Posición dentro
del disco

La papelera de reciclaje cont…
•  El nombre de los archivos dentro de la

papelera se forma de la siguiente forma:
Ej: Archivo borrado c:/mydocs/text.txt
Nombre del archivo en la papelera:
Volumen
donde
DC0.txt
residía el archivo
borrado
Extensión original
Índice dentro de la
papelera

•  El archivo oculto INFO2 almacena la

información sobre todos los archivos
borrados, incluyendo para cada uno la fecha
de borrado, su índice dentro de la papelera
y su nuevo nombre dentro de la misma y el
“path” del archivo original.


•  Cuando la papelera es borrada los archivos y

el INFO2 también son borrados.
•  Si la papelera no ha sido sobrescrita es
posible encontrar el archivo INFO2 y hacer
una búsqueda manual de los archivos.
•  Si el archivo INFO2 ha sido sobrescrito solo
queda buscar exhausAvamente el archivo en
el espacio disponible del disco.

Otras fuentes de información
•  Los archivos de acceso directo
•  Index.dat
•  Thumbs.db
•  Entradas del registro

Index.dat

Index.dat

Análisis de Temporales

Análisis de Atajos

El registro
•  Los registros se

encuentran en
varios archivos
ocultos en: %systemroot%
\system32\config y NTUSER.DAT.
•  Un auditor forense debe hacer
copias de los archivos del
registro y visualizarlos en otro
editor.

¿Cuál es la estructura del
registro?

El proceso svhost
• Svhost es un superproceso que maneja otros procesos.
• Es cumún que su nombre aparezca varias veces en el
arbol de servios activos

El proceso Svhost
•  Varios Troyanos y backdoors han sido escritos
para que se escriban en el sistema vícAma
bajo el nombre de svhost.exe.
•  De esa forma tratan de engañar al
administrtador del sistema
•  Por regla general se trata de copiar hacia
system32
•  En W2K, XP y 2003 el subdirtectorio system32
se encuentra protegido.
Detectando interfaces promiscuas

Obteniendo información de la Red

Obteniendo información de la Red

Historial de Comandos

Drivers

Protected Storage
pstoreview

Análisis de Sistemas UNIX

Sistema de Archivos
# fdisk –l /dev/hda

Disk /dev/hda: 64 heads, 63 sectors, 789
cylinders
Units = cylinders of 4032* 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 9 18112 83 Linux
Disco
Tipo
de
IDE A
Reinaldo Mayol Arnao SA
Partición:1
Permisología UNIX
R: Lectura
W: Escritura
X: Ejecución
Permiso
Negado
Permiso
111 110 111
Otorgado
Resto
Grupo
Propietario
Archivos Ocultos
•  En UNIX los archivos ocultos se disAnguen

por comenzar por un “. “
# ls –a
.home
.stach
.gnome$


/etc/passwd
User:23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh
HOME shell
Nombre
UID GID
Login Contraseña

SUID y SGID
_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /

usr/bin/at
SUID

SGID
_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /
sbin/netport
HASH de Archivos
# md5sum /bin/ ls

9640c319462eacd0bcc640832cf45bcd4

Syslog

Servicios Disponibles
•  Revisar todo el árbol /etc/ rc*

•  Ejecutar (si es posible) alguna herramienta
de búsqueda de puertos abiertos.
•  Tener en cuenta que muchos servicios
pueden ser manejados por Superdemonios
(inetd)

Cuentas de Usuarios
•  Revisar /etc/passwd
•  Si existe /etc/shadow


Trabajos temporizados
•  Revisar los archivos relacionados con el cron

del sistema


Análisis de Bitácoras

Análisis de bitácoras (Logs)
•  Quizás uno de los aspectos más desafiantes

pero críAcos del análisis forense es el
análisis de los archivos de registros o
bitácoras.

Análisis de bitácoras (Logs)
•  Si se registran demasiadas acAvidades, la

información que se pudiera llegar a
necesitar puede verse perdida en un mar de
registros.
•  En caso contrario, si se registran muy pocas
acAvidades del sistema, no se podrá contar
con información suficiente para detectar
acAvidades sospechosas.

Creación de una línea de base
•  El comienzo de un análisis de bitácoras debe

estar precedido por el desarrollo de una
línea de base, la cual puede ser un marco de
referencias para acAvidades normales
predefinidas que se llevan a cabo en la red.
•  Se puede crear una línea base al examinar
cuidadosamente los registros o bitácoras
por períodos extensos.

Bitácora de enrutadores y firewalls
•  IdenAficar las interfaces de fuente y desAno.

•  Descubrir los servidores de fuentes y de
desAno.
•  Realizar seguimiento de los patrones de uso.

Bitácora de enrutadores y firewalls
•  Descubrir protocolos usados: búsqueda de

uso de Internet de manera no producAva, el
cual incluye tráfico HTTP, tráfico MP3, ICQ,
RealPlayer, Messenger y tráfico IRC.
•  Implementar búsqueda de conexiones
sospechosas ICMP, TCP y UDP.
•  Búsqueda de conexiones realizadas por
puertos sospechosos, como por ejemplo: el
12345 (puerto predeterminado de NetBus).

Bitácoras de sistemas opera?vos
Bitácoras o registros en sistemas UNIX:

•  Los sistemas UNIX Aenen varias
herramientas naAvas que ayudan a
determinar la acAvidad pasada. Estas
pueden ser:

Bitácoras de sistemas opera?vos
–  last: rastrea el archivo /var/log/lastlog para reportar información
variada, incluyendo inicios de sesiones de usuarios, el terminal y
ubicación remota, información sobre el apagado y reinicio de sistemas,
y los servicios que han sido manejados por sesión (Telnet, FTP, entre
otros).
–  lastb: Provee información sobre intentos de inicio de sesiones fallidas.
–  lastlog: Provee información sobre usuarios que han iniciado sesión en
el pasado. Además suministra información sobre usuarios quienes
nunca han iniciado sesión alguna.

Bitácoras de sistemas opera?vos (cont…)
Bitácoras o registros en sistemas Windows:

•  La uAlidad naAva para el registro en la
plataforma Windows 2000 en el Visor de
Sucesos. Este permite controlar el servicio
EventLog.
•  Windows 2000 divide su registro en las
siguientes cuatro categorías:

Bitácoras de sistemas opera?vos (cont…)
–  System: Registra servicios iniciados y fallidos, apagado y reinicio de
sistemas.
–  Security: Registra eventos tales como las acAvidades de inicio de sesión,
acceso y alteración de los privilegios de usuarios, y acceso a objetos.
–  Applica4on: Registra las acciones de aplicaciones individuales y como
ellas interactúan con el sistema operaAvo.
–  DNS Server: Si el servicio DNS está instalado, este registro o bitácora
conAene todos los mensajes enviados por él.

Auditoría en Windows

Filtrado de bitácoras o registros (Logs)
•  Los archivos de
registros pueden
crecer
considerablemente,
y más cuando no se
han configurado
apropiadamente los
sistemas para
registrar solamente
los eventos
importantes.
Filtrado de Bitácoras en UNIX
•  last –x: Despliega solo entradas

concernientes a las eventos en los que se
apaga o reinicia un sistema.
•  last –x reboot: Muestra cada reinicio del
sistema.
•  last –x shutdown: Muestra cada caída o
apagado del sistema.

Filtrado de Bitácoras en UNIX
•  last –a: Ubica toda la información del

servidor en la úlAma columna de la lectura.
•  last –d: Muestra todos los inicios de sesión
remotos.
•  last –n: Permite controlar el número de
líneas que serán visualizadas.

Registros o bitácoras adicionales
•  Los registros (logs) adicionales para consulta

incluye los siguientes:
–  Sistemas de detección de intrusos.
–  Conexiones telefónicas (incluyendo registros de
correo de voz).
–  ISDN (Red Digital de Servicios Integrados) o
conexiones frame relay.
–  Registro de accesos de empleados (registro de
accesos Isicos).

Se terminó....
Gracias!

00 ANALISIS FORENSE - Reinaldo Mayol Arnao PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

00 ANALISIS FORENSE - Reinaldo Mayol Arnao PDF

Cargado por

Copyright:

Formatos disponibles

Análisis

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Es un proceso, metodológicamente

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Toda la evidencia colectada debe ser

• Si la evidencia debe ser transportada deben

• Debe cuidarse que la idenAﬁcación de la

Reinaldo Mayol Arnao

• El objeAvo de este paso es proveer un

Reinaldo Mayol Arnao

• Por lo general, se recomienda uAlizar

Reinaldo Mayol Arnao

• El objeAvo de este paso es poder

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Una de los elementos más importantes para

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Para un subdirectorio:

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Cuando un volumen es formateado NTFS

Reinaldo Mayol Arnao

• Cuando un archivo es renombrado o movido

Papelera de Archivos dentro de

Reinaldo Mayol Arnao

• El nombre de los archivos dentro de la

Reinaldo Mayol Arnao

• El archivo oculto INFO2 almacena la

Reinaldo Mayol Arnao

• Cuando la papelera es borrada los archivos y

• Los archivos de acceso directo

• Entradas del registro

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

• Los registros se

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

Reinaldo Mayol Arnao

# fdisk –l /dev/hda

• En UNIX los archivos ocultos se disAnguen

Reinaldo Mayol Arnao

•  Es un proceso, metodológicamente

•  Toda la evidencia colectada debe ser

•  Si la evidencia debe ser transportada deben

•  Debe cuidarse que la idenAﬁcación de la

•  El objeAvo de este paso es proveer un

•  Por lo general, se recomienda uAlizar

•  El objeAvo de este paso es poder

•  Una de los elementos más importantes para

•  Para un subdirectorio:

•  Cuando un volumen es formateado NTFS

•  Cuando un archivo es renombrado o movido

•  El nombre de los archivos dentro de la

•  El archivo oculto INFO2 almacena la

•  Cuando la papelera es borrada los archivos y

•  Los archivos de acceso directo

•  Entradas del registro

•  Los registros se

•  En UNIX los archivos ocultos se disAnguen

•  Revisar todo el árbol /etc/ rc*

•  Revisar los archivos relacionados con el cron

•  Quizás uno de los aspectos más desaﬁantes

•  Si se registran demasiadas acAvidades, la

•  El comienzo de un análisis de bitácoras debe

•  IdenAﬁcar las interfaces de fuente y desAno.

•  Descubrir protocolos usados: búsqueda de

•  last –x: Despliega solo entradas

•  last –a: Ubica toda la información del

•  Los registros (logs) adicionales para consulta