SbD
Memorias de un perito informático forense
Vol. I
© Todos los derechos reservados
Lorenzo Martínez R. (@lawwait)
Memorias de un perito informático forense Vol. I
SbD
www.securizame.com
www.ancite.es
Lorenzo Martínez R. (@lawwait)
[email protected]
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Disclaimer
• Todos los casos expuestos aquí, son verídicos
• Se ha ocultado identidad real
• Casos ya resueltos judicialmente o no lo han
• Tengo permiso explícito de los clientes para
requerido
publicación
• Exposición con única finalidad académica
• Soy pobre pero honrado….
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Generalidades del mundo pericial
• Metodología procedimental
• Aprendizaje de nuevas tecnologías
• Puesta a prueba de la ética
• ¿Te van los retos?
• Terminología legal
• Cómo piensa un abogado
• … y cómo piensa un juez
• Psicología humana
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
El ¿Ransomware?
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Cómo empezó todo
• Llamada de un colega
• Disco cifrado?
• El “informático” y el “backup”
• La dueña y el ataque (+/- 25/11/2013)
• Sospechas de un insider
• Peritaje privado
• Vuelta al “informático”
• El presupuesto
• Lo quiero para ayer
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
El buen peritaje
• Cadena de custodia
• Máquina muy manoseada
• Fases
– Identificar el origen
– Aísla la máquina
– Volatilidad
– Adquisición de evidencias
– Análisis
– Documenta
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Las misiones
• Recuperar información
• Determinar, tras análisis pericial, quién ha sido y
cómo lo ha hecho
• Negociar el ransom!
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Laboratorio forense
• Clonado (o imagen)
• Caine + NAS
• Read-only
• Guyimager + Hashes
• Montaje de sistema de ficheros RO
– fdisk -l <image>
– losetup /dev/loop0 disk.img -o $((OFFSET * 512))
– mount -t ntfs /dev/loop0 /mnt/wherever -o loop,ro
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
A buscar!
Windows 2003 Server SP2
– Registro/Hives
• Máquina (C:\Windows\system32)
• Usuarios
– Ficheros de Log
– SAM
– Artifacts de navegadores
– Ficheros de sistema \etc\hosts && \etc\lmhosts
– Directorios de usuario??
Imaginación power!!
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Autopsy + foremost
• Crear el caso “formalmente”
• Añadir evidencias
• Análisis de ficheros borrados en FS
• Generación de timeline ordenado cronológicamente
-> Muy útil para búsquedas
• foremost para carving y recuperación de datos
borrados
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Procesado de la info
Formatos
– Logs (evt)
– Hives (MS-Windows Registry)
– Artifacts
Herramientas usadas
– evtx viewer (Windows Event Log viewer) // File::ReadEvt ||
Visor de eventos de Windows 7
– yaru (Yet Another Registry Utility) // regdump o regripper
– pasco (Analizador de index.dat - MSIE)
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Software instalado
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Logs de seguridad: usuario “admin”
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Reventando las cuentas
bkhive <system_hive> <clave.txt>
samdump2 <SAM_hive> <clave.txt>
http://crackstation.net
20 Usuarios
– Administradores: 3 (Administrador y admin)
– Usuarios: Primera letra nombre + Apellido
– Contraseñas vacías: 3 (1 de ellos “admin”)
– Contraseña 1234: 10 usuarios!!!
Usuario “admin” -> Contraseña vacía // Grupo
admin // Último cambio de pass: 21/01/2008
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
WTF? Empty password TS?
• Desde Windows Server 2003, por defecto no se
puede
password
• LSA -> Local Security Authority
• Apps antiguas requieren sesión interactiva sin
• HKLM\System\CurrentControlSet\Control
\LSA\LimitBlankPasswordUse -> 0
• Todos los servicios de Windows accesibles por
usuarios sin contraseña
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Yo
soy
admin…
Investigando al usuario “admin”
En C:\Documents & Settings\
admin\Mis Documentos
– ChromeSetup.exe
– CCleaner.exe
– NW.rar
Fecha de creación del 12/11/2013 en
adelante (logs desde el 16/11/2013)
Análisis de actividad en directorio de usuario “admin”
entre 16/11/2013 y 25/11/2013 (Autopsy)
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
C:\Documents and settings\admin\Configuración local
\Historial\History.IE5\index.dat
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Where are you from, babe?
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
• sver.exe -> Framework .NET
• z.exe -> desde varios sitios (o redirects)
• jetswap
• ftp://46.254.18.79/Allyouneed -> Opera + Chrome
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
z.exe -> autoejecutable comprimido
– Sugiere C:\WINDOWS\system32\drivers\h\
– Protegido con contraseña… FAIL!
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
C:\Archivos de Programa\ss
./3/3.bat
Además un directorio ./f/ con:
– DLLs
– Firefox Profile
1.0K
37K ./3/instsrv.exe
16K ./3/srvany.exe
./3/ss.reg
3.5K
./3/ssArchivos.reg
3.5K
3.5K
./3/ssProgramme.reg
3.5K
./3/ssProgrammi.reg
72K ./3
98K ./3.exe
512 ./auth.txt
15K ./block.txt
512 ./crashes.txt
21M ./jet.exe
512 ./lastsid.txt
1.0K
./log.txt
512 ./prevsid.txt
154K
1.5K
446K
1.9M
21K ./surfguard.exe
./prtest.exe
./SafeSurf ABUSE README.txt
./safesurf.exe
./skybound.gecko.dll
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
Directorio ./3/
– Dependiendo del idioma ejecuta un .reg que crea
una instancia de app .NET a “Application"="\"C:\
\Archivos de programa\\ss\\safesurf.exe\””
© Todos los derechos reservados
3.bat
– Sobrescribe instany.exe y srvany.exe en
%WINDIR%/system32/
– Para y elimina “Windows Disk Service” y
“Microsoft .NET Framework v5”
– Instala como servicio %WINDIR%/system32/
srvany.exe
Memorias de un perito informático forense Vol. I
Round I: Rusia
Directorio ./f/
– Perfil de Firefox usado
– Ficheros:
– cookies.sqlite // sqlite-shm // sqlite-wal
– places.sqlite // sqlite-shm //sqlite-wal
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
SafeSurf ABUSE README.txt
ENGLISH
VERSION
BELOW
Если
вы
обнаружили
этот
файл,
на
вашем
компьютере
установлена
программа
SafeSurf,
предназначенная
для
просмотра
сайтов
пользователями
системы
JetSwap
Если
вы
являетесь
владельцем
компьютера
и
программа
была
установлена
без
вашего
согласия
или
ведома,
перейдите
по
ссылке
h‘p://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx
Пользователь
будет
заблокирован,
а
программа
удалена
с
компьютера.
Приносим
Вам
свои
извинения
за
действия
одного
из
наших
пользователей,
нарушающего
правила
системы.
If
you
found
this
file
on
your
computer
installed
SafeSurf,
designed
for
browsing
by
users
of
the
system
JetSwap
If
you
own
a
computer
and
the
program
was
installed
without
your
consent
or
knowledge,
go
to
h‘p://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx
The
user
will
be
blocked
and
the
program
will
be
deleted
from
your
computer.
We
apologize
for
the
ac{ons
of
one
of
our
users
who
abuse
the
system.
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
http://jetswap.com
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
http://www.jetswap.net
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
Analizando la navegación
C:\Documents and Settings\admin\Configuración local\
Datos de programa\Google\Chrome\User Data\Default\History
© Todos los derechos reservados
Memorias de un perito informático forense Vol. I
Round I: Rusia
Nete
Comentarios de: Memorias de un perito informático forense Vol. I (0)
No hay comentarios