PDF de programación - Análisis Forense de Sistemas

Análisis Forense de Sistemas

Vte. Javier García Mayén

neofito(at)gmail(dot)com

Índice de contenido
1. Instalación de las herramientas......................................................................5
1.1. Instalación de Sleuthkit...........................................................................5
1.2. Instalación de Autopsy.............................................................................6
1.3. Iniciando y probando el programa...........................................................8
2. Abriendo nuestro primer caso......................................................................11
2.1. Primeros pasos con Sleuthkit y Autopsy Browser..................................11
3. Análisis de una intrusión...............................................................................19
3.1. Análisis del log de snort.........................................................................20
3.2. Análisis de las imágenes del sistema.....................................................21
3.3. Análisis de las herramientas del intruso................................................25
3.4. Final y resumen......................................................................................26
3.5. Disclaimer..............................................................................................27
3.6. Enlaces de interés..................................................................................27
Apéndice: Kit de herramientas.........................................................................29

Análisis Forense de Sistemas

Septiembre de 2006

1. Instalación de las herramientas
1.1. Instalación de Sleuthkit
En primer lugar instalaremos The Sleuth Kit, una serie de herramientas de linea de
comandos basadas en el original The Coroner's Toolkit. Para ello descargaremos el
código fuente de la ultima versión, que en el momento de escribir estas líneas es la
2.0.6 liberada el 19 de septiembre de 2006:

http://heanet.dl.sourceforge.net/sourceforge/sleuthkit/sleuthkit-2.06.tar.gz

A continuación nos desplazaremos al directorio elegido para la instalación y
desempaquetaremos allí el contenido del tarball:

cd /usr/local
tar xvzf ~/sleuthkit­2.06.tar.gz

Nos hacemos root y realizamos el proceso de instalación desplazándonos para ello al
directorio recién obtenido. Antes crearemos un enlace simbólico de forma que
siempre apunte al directorio con las fuentes del sleuthkit:

su ­
cd /usr/local
ln ­s sleuthkit­2.06/ sleuthkit
cd sleuthkit
make

Es posible que el proceso de instalación muestre algún error, lo que será indicativo
de que nuestro sistema no dispone de alguna de las dependencias necesarias. Por
ejemplo en mi caso, una Debian GNU/Linux Etch (testing), las librerías que
deberemos instalar serán las siguientes:

libssl-dev
zlib1g-dev

La compilación realizada en el paso anterior creará los directorios bin para
almacenar los binarios y man para las páginas del manual de UNIX.

5

Análisis Forense de Sistemas

Septiembre de 2006

Si queremos que tanto las páginas del manual como los binarios estén disponibles
desde cualquier ubicación en la que nos encontremos deberemos añadir los
directorios anteriores a las variables de entorno PATH y MANPATH:

vi /etc/environment

LANG="es_ES.UTF­8"
PATH=/usr/local/sleuthkit/bin:$PATH
MANPATH=/usr/local/sleuthkit/man:$MANPATH

Y cargar las variables de entorno modificadas en la sesión actual mediante el
siguiente comando:

source /etc/environment

1.2. Instalación de Autopsy
Pasaremos ahora a la instalación de Autopsy, un frontend que permite utilizar
sleuthkit mediante una navegador web. Para ello descargaremos el código fuente de
la ultima versión, que en el momento de escribir estas líneas es la 2.0.8, liberada el 1
de Septiembre de 2006:

http://ovh.dl.sourceforge.net/sourceforge/autopsy/autopsy-2.08.tar.gz

Nos desplazaremos al directorio elegido para la compilación e instalación y
desempaquetaremos allí el contenido del tarball:

cd /usr/local
tar xvzf ~/autopsy­2.08.tar.gz

Entraremos en el directorio recién obtenido y lanzaremos el proceso de instalación.
Durante el mismo se nos preguntará la ubicación de sleuthkit así como si tenemos
instalada la librería NSRL (punto este que no resulta imprescindible) y el directorio
donde se almacenarán las imágenes utilizadas durante las investigaciones. Antes
crearemos un enlace simbólico apuntando al directorio con el código fuente:

anubis:/usr/local/autopsy# ln ­s autopsy­2.08/ autopsy
anubis:/usr/local/autopsy# cd autopsy

6

Análisis Forense de Sistemas

Septiembre de 2006

anubis:/usr/local/autopsy# make

   Autopsy Forensic Browser Installation

perl found: /usr/bin/perl (version v5.8.8)

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­

Autopsy uses the grep utility from your local system.
grep found: /bin/grep

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­

Autopsy uses forensic tools from The Sleuth Kit.
          http://www.sleuthkit.org/sleuthkit/

Enter the directory where you installed it:
/usr/local/sleuthkit
  Sleuth Kit bin directory was found
  Version 2.06 found
  Required version found

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­

The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
         http://www.nsrl.nist.gov

Have you purchased or downloaded a copy of the NSRL (y/n) [n]
n

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­

Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.

Enter the directory that you want to use for the Evidence Locker:
/usr/local/evidence

WARNING: /usr/local/evidence does not exist

­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­

Settings saved to conf.pl.
Execute the './autopsy' command to start with default settings.

7

Análisis Forense de Sistemas

Septiembre de 2006

En último lugar crearemos el directorio utilizado para almacenar las imágenes e
incluiremos la ruta de instalación de autopsy en el PATH así como el de las páginas
del manual de UNIX:

mkdir /usr/local/evidence
vi /etc/environment

LANG="es_ES.UTF­8"
PATH=/usr/local/sleuthkit/bin:/usr/local/autopsy:$PATH
MANPATH=/usr/local/sleuthkit/man:/usr/local/autopsy/man:$MANPATH

Y cargamos las variables modificadas en la sesión actual mediante el comando:

source /etc/environment

1.3. Iniciando y probando el programa
A partir de este momento y para lanzar el interfaz gráfico de autopsy bastará con
ejecutarlo:

anubis:~# autopsy

=================================================================

                       Autopsy Forensic Browser
                  http://www.sleuthkit.org/autopsy/
                             ver 2.08

=================================================================
Evidence Locker: /usr/local/evidence
Start Time: Thu Sep 21 11:42:48 2006
Remote Host: localhost
Local Port: 9999

Open an HTML browser on the remote host and paste this URL in it:

    http://localhost:9999/autopsy

Keep this process running and use <ctrl­c> to exit

8

Análisis Forense de Sistemas

Septiembre de 2006

Y sin cerrar la ventana anterior apuntar nuestro navegador a la dirección adecuada:

Una vez terminemos de trabajar con autopsy bastará con regresar a la consola de
comandos utilizada para lanzarlo y utilizar la combinación de teclas Ctrl+C para
detener su ejecución.

9

Análisis Forense de Sistemas

Septiembre de 2006

10

Análisis Forense de Sistemas

Septiembre de 2006

2. Abriendo nuestro primer caso
Como siempre he pensado que a andar se aprende andando vamos a dejarnos
la teoría a un lado, al menos de momento, y vamos a pasar directamente a la
acción.

2.1. Primeros pasos con Sleuthkit y Autopsy Browser
Descargaremos las imágenes que utilizaremos para este primer análisis. Las
siguientes servirá sobradamente como ejemplo:

http://www.honeynet.org/misc/files/challenge-images.tar

Comprobaremos el contenido del paquete descargado y situaremos las imágenes en
un directorio creado a tal efecto:

anubis:~# mkdir /usr/local/imagenes
anubis:~# cd /usr/local/imagenes
anubis:~# tar ­xvf ~/challenge­images.tar
./ 
./honeypot.hda1.dd.gz 
./honeypot.hda5.dd.gz 
./honeypot.hda6.dd.gz 
./honeypot.hda7.dd.gz 
./honeypot.hda8.dd.gz 
./honeypot.hda9.dd.gz 
./readme 

Ahora con un simple comando descomprimiremos todos los ficheros gzip (ojo,
ocuparán aproximadamente unos 3,5GB de espacio en disco:

for fichero in $(ls | grep ­v readme) ;do gzip ­d $fichero ;done

Ahora ejecutaremos autopsy en la forma habitual y apuntaremos el navegador
a la dirección donde estará escuchando:

http://localhost:9999/autopsy

11

Análisis Forense de Sistemas

Septiembre de 2006

Sleuthkit/Autopsy trabaja dividiendo cada investigación en casos. Cada caso puede
contener uno o mas hosts, y cada uno de ellos puede a su vez contener una o varias
imágenes de su sistema de ficheros. Por otra parte cada caso puede tener asignados
uno o más investigadores.

Empezaremos pues. Para ello vamos a crear el primer caso pulsando sobre “New
Case”. Aparecerá una nueva pantalla donde introduciremos la siguiente información:

Los campos opciones como son los nombres de los investigadores los dejaremos en
blanco. Una vez completada la información pulsaremos sobre “New Case”. Como
resultado se creará una carpeta con el nombre PrimerCaso en el directorio escogido
durante la instalación de autopsy para almacenar las investigaciones (en mi caso
/usr/local/evidence). El contenido del mismo ya lo miráis vosotros.

12

Análisis Forense de Sistemas

Septiembre de 2006

Ahora deberemos agregar al menos un host al caso. Para ello y de forma que se
corresponda con la realidad vamos a trastear con las imágenes para obtener el