AnAnáálisis Forense
lisis Forense
Seminarios Técnicos Avanzados
Microsoft Technet – Madrid, 11 de Julio del 2006
José Luis Rivas López
TEAXUL
[email protected]
Carlos Fragoso Mariscal
CESCA / JSS
[email protected] -
[email protected]
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
11
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 11
Agenda
Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
22
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 22
un Anáálisis Forense ?
¿¿ Que Que ééss un An
lisis Forense ?
• “Obtención y análisis de datos empleando
métodos que distorsionen lo menos posible la
información con el objetivo de reconstruir
todos
los eventos qué
ocurrieron sobre un sistema en el pasado”
– Dan Farmer y Wietse Venema, 1999
los datos y/o
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
33
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 33
En busca de respuestas...
En busca de respuestas...
• ¿ Qué sucedió ?
• ¿ Donde ?
• ¿ Cuándo ?
• ¿ Por qué ?
• ¿ Quién ?
• ¿ Cómo ?
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
44
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 44
Algunos conceptos
Algunos conceptos
• Evidencia
• Cadena de custodia
• Archivo de hallazgos
• Línea de tiempo
• Imágenes
• Comprobación de integridad
– Hash
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
55
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 55
¿¿ Preservar o salvar ?
Preservar o salvar ?
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
66
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 66
Se busca ““vivo o muerto
vivo o muerto””
Se busca
• Sistema “vivo”
– Memoria
– Flujos de red
– Procesos
– Ficheros
• Sistema “muerto”
– Almacenamiento
• Información complementaria:
– Logs (IDS, firewalls, servidores, aplicaciones)
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
77
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 77
Agenda
Agenda
• Introducción
• Metodología y procedimientos
• Herramientas
• Caso de estudio
• Reto de análisis forense
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
88
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 88
Metodologííaa
Metodolog
• Verificación y descripción del incidente
• Adquisición de evidencias
• Obtención de imagenes de las evidencias
• Análisis inicial
• Creación y análisis de la línea de tiempo
• Análisis específico y recuperación de datos
• Análisis de datos y cadenas
• Generación del informe
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
99
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 99
Creacióón del archivo de hallazgos
n del archivo de hallazgos
Creaci
• Documento que permita llevar un historial
de todas las actividades que realicemos
durante el proceso del Análisis Forense
• Útil para la reconstrucción del caso un
tiempo después de que este haya sido
realizado
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1010
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1010
Recepcióón de la Imagen de datos
n de la Imagen de datos
Recepci
• Consiste en la recepción de las imágenes de
datos a investigar.
• Clonación de las imágenes.
• Habrá que verificarlos con MD5 y compararlo
con lo de la fuente original.
NOTA: Hay que garantizar siempre que la imagen
suministrada no sufra ningún tipo de alteración,
con el fin de conservación de la cadena de
custodia y así poder mantener la validez jurídica
de la evidencia.
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1111
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1111
Identificacióón de las particiones
n de las particiones
Identificaci
• En esta
fase se
las
particiones con el sistema de archivos de
las particiones actuales o las pasadas.
identificaran
• Reconocimiento de
las características
especiales de
la organización de
la
información y se puede definir
la
estrategia de recuperación de archivos
adecuada.
AnAnáálisis
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1212
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1212
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Identificacióón SO y aplicaciones
n SO y aplicaciones
Identificaci
• En esta fase se identificaran los sistemas
las aplicaciones
instalados,
operativos
utilizadas, antivirus, etc.
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1313
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1313
Revisióón de c
Revisi
n de cóódigo malicioso
digo malicioso
• Revisar con un antivirus actualizado si
tipo de malware: virus,
tiene algún
troyanos, etc.
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1414
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1414
Recuperacióón archivos
n archivos
Recuperaci
• Recuperación de los archivos borrados y
información escondida examinando
la
para esta última el slack space:
– campos reservados en el sistema de archivos
– espacios etiquetados como dañados por el
sistema de archivos
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1515
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1515
Primera Clasificacióón de Archivos
n de Archivos
Primera Clasificaci
• Archivos “buenos” conocidos. Aquellos que su
extensión corresponden con su contenido.
• Archivos “buenos” modificados. Aquellos cuya
versión original ha sido modificada.
• Archivos “malos”. Aquellos que representan
algún tipo de riesgo para el sistema (troyanos,
backdoors, etc.)
• Archivos extensión modificada. La extensión no
corresponde con su contenido.
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1616
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1616
Segunda Clasificacióón de archivos
n de archivos
Segunda Clasificaci
• Se clasifica mediante la relación de los
archivos con los usuarios involucrados en
la investigación y contenido relevante para
el caso.
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1717
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1717
Analizar los archivos
Analizar los archivos
• Este proceso cesa cuando el investigador,
a partir de su criterio y experiencia,
considera
evidencia
recolectada para resolver el caso, o por
que se agotan los datos para analizar.
suficiente
la
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1818
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1818
AnAnáálisis de artefactos
lisis de artefactos
• Consiste en realizar un análisis minucioso
de posibles contenidos “conflictivos”
identificados en el sistema.
• Tipos de análisis:
– Comportamiento
– Código o contenido
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
1919
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 1919
LLíínea de tiempo
nea de tiempo
• Esta
realizar
fase consiste en
la
reconstrucción de los hechos a partir de
los atributos de tiempo de los archivos, lo
que
correlacionarlos
enriqueciendo la evidencia.
permite
AnAnáálisis
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
2020
Copyright 2006 Carlos Fragoso / Joséé L.Rivas
L.Rivas -- 2020
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Informe
Informe
• En esta fase elaboramos la realización del
informe con los hallazgos, que contiene
una descripción detallada de los hallazgos
relevantes al caso y la forma como fueron
encontrados.
– Descripción del caso
– Sistema atacado
– Valoración de daños
– Descripción del ataque
– Anexos
AnAnáálisis
lisis Forense
Forense, , Auditor
Auditorííasas y y Detecci
Deteccióónn de de Intrusiones
Intrusiones -- ©© Copyright 2006 Carlos Fragoso / Jos
2121
Copyright 2006 Carlos Fragoso / José
Comentarios de: Análisis Forense (0)
No hay comentarios