PDF de programación - Memorias de un perito informático forense Vol. I

Imágen de pdf Memorias de un perito informático forense Vol. I

Memorias de un perito informático forense Vol. Igráfica de visualizaciones

Actualizado el 16 de Junio del 2017 (Publicado el 10 de Mayo del 2017)
1.061 visualizaciones desde el 10 de Mayo del 2017
20,3 MB
80 paginas
Creado hace 5a (26/02/2015)
SbD
Memorias de un perito informático forense

Vol. I

© Todos los derechos reservados

Lorenzo Martínez R. (@lawwait)

Memorias de un perito informático forense Vol. I

SbD

www.securizame.com

www.ancite.es
Lorenzo Martínez R. (@lawwait)

lorenzo@securizame.com



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Disclaimer

• Todos los casos expuestos aquí, son verídicos
• Se ha ocultado identidad real
• Casos ya resueltos judicialmente o no lo han

• Tengo permiso explícito de los clientes para

requerido

publicación

• Exposición con única finalidad académica
• Soy pobre pero honrado….



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Generalidades del mundo pericial
• Metodología procedimental
• Aprendizaje de nuevas tecnologías
• Puesta a prueba de la ética
• ¿Te van los retos?
• Terminología legal
• Cómo piensa un abogado
• … y cómo piensa un juez
• Psicología humana



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

El ¿Ransomware?



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Cómo empezó todo

• Llamada de un colega
• Disco cifrado?
• El “informático” y el “backup”
• La dueña y el ataque (+/- 25/11/2013)
• Sospechas de un insider
• Peritaje privado
• Vuelta al “informático”
• El presupuesto
• Lo quiero para ayer



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

El buen peritaje

• Cadena de custodia
• Máquina muy manoseada
• Fases

– Identificar el origen
– Aísla la máquina
– Volatilidad
– Adquisición de evidencias
– Análisis
– Documenta



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Las misiones

• Recuperar información
• Determinar, tras análisis pericial, quién ha sido y

cómo lo ha hecho

• Negociar el ransom!



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Laboratorio forense

• Clonado (o imagen)
• Caine + NAS
• Read-only
• Guyimager + Hashes
• Montaje de sistema de ficheros RO

– fdisk -l <image>
– losetup /dev/loop0 disk.img -o $((OFFSET * 512))
– mount -t ntfs /dev/loop0 /mnt/wherever -o loop,ro



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

A buscar!

Windows 2003 Server SP2
– Registro/Hives

• Máquina (C:\Windows\system32)
• Usuarios

– Ficheros de Log
– SAM
– Artifacts de navegadores
– Ficheros de sistema \etc\hosts && \etc\lmhosts
– Directorios de usuario??
Imaginación power!!



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Autopsy + foremost

• Crear el caso “formalmente”
• Añadir evidencias
• Análisis de ficheros borrados en FS
• Generación de timeline ordenado cronológicamente

-> Muy útil para búsquedas

• foremost para carving y recuperación de datos

borrados



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Procesado de la info
Formatos
– Logs (evt)
– Hives (MS-Windows Registry)
– Artifacts
Herramientas usadas
– evtx viewer (Windows Event Log viewer) // File::ReadEvt ||

Visor de eventos de Windows 7

– yaru (Yet Another Registry Utility) // regdump o regripper
– pasco (Analizador de index.dat - MSIE)



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Software instalado



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Logs de seguridad: usuario “admin”



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Reventando las cuentas

bkhive <system_hive> <clave.txt>
samdump2 <SAM_hive> <clave.txt>
http://crackstation.net
20 Usuarios
– Administradores: 3 (Administrador y admin)
– Usuarios: Primera letra nombre + Apellido
– Contraseñas vacías: 3 (1 de ellos “admin”)
– Contraseña 1234: 10 usuarios!!!
Usuario “admin” -> Contraseña vacía // Grupo
admin // Último cambio de pass: 21/01/2008



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

WTF? Empty password TS?

• Desde Windows Server 2003, por defecto no se

puede

password

• LSA -> Local Security Authority
• Apps antiguas requieren sesión interactiva sin

• HKLM\System\CurrentControlSet\Control

\LSA\LimitBlankPasswordUse -> 0

• Todos los servicios de Windows accesibles por

usuarios sin contraseña



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Yo
 soy
 
 
admin…
 

Investigando al usuario “admin”
En C:\Documents & Settings\
admin\Mis Documentos
– ChromeSetup.exe
– CCleaner.exe
– NW.rar
Fecha de creación del 12/11/2013 en
adelante (logs desde el 16/11/2013)
Análisis de actividad en directorio de usuario “admin”
entre 16/11/2013 y 25/11/2013 (Autopsy)



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

C:\Documents and settings\admin\Configuración local

\Historial\History.IE5\index.dat



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Where are you from, babe?



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia

• sver.exe -> Framework .NET
• z.exe -> desde varios sitios (o redirects)
• jetswap
• ftp://46.254.18.79/Allyouneed -> Opera + Chrome



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia

z.exe -> autoejecutable comprimido
– Sugiere C:\WINDOWS\system32\drivers\h\
– Protegido con contraseña… FAIL!



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia
C:\Archivos de Programa\ss



./3/3.bat

Además un directorio ./f/ con:

– DLLs
– Firefox Profile

1.0K
37K ./3/instsrv.exe
16K ./3/srvany.exe

./3/ss.reg
3.5K

./3/ssArchivos.reg
3.5K

3.5K
./3/ssProgramme.reg
3.5K

./3/ssProgrammi.reg
72K ./3
98K ./3.exe
512 ./auth.txt
15K ./block.txt
512 ./crashes.txt
21M ./jet.exe
512 ./lastsid.txt
1.0K
./log.txt
512 ./prevsid.txt
154K
1.5K
446K
1.9M
21K ./surfguard.exe



./prtest.exe
./SafeSurf ABUSE README.txt
./safesurf.exe
./skybound.gecko.dll



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia
Directorio ./3/

– Dependiendo del idioma ejecuta un .reg que crea
una instancia de app .NET a “Application"="\"C:\
\Archivos de programa\\ss\\safesurf.exe\””


© Todos los derechos reservados



3.bat
– Sobrescribe instany.exe y srvany.exe en

%WINDIR%/system32/

– Para y elimina “Windows Disk Service” y

“Microsoft .NET Framework v5”

– Instala como servicio %WINDIR%/system32/

srvany.exe

Memorias de un perito informático forense Vol. I

Round I: Rusia
Directorio ./f/

– Perfil de Firefox usado
– Ficheros:

– cookies.sqlite // sqlite-shm // sqlite-wal
– places.sqlite // sqlite-shm //sqlite-wal



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia

SafeSurf ABUSE README.txt

ENGLISH
 VERSION
 BELOW
 
Если
 вы
 обнаружили
 этот
 файл,
 на
 вашем
 компьютере
 установлена
 программа
 SafeSurf,
 предназначенная
 для
 
просмотра
 сайтов
 пользователями
 системы
 JetSwap
 
Если
 вы
 являетесь
 владельцем
 компьютера
 и
 программа
 была
 установлена
 без
 вашего
 согласия
 или
 ведома,
 
перейдите
 по
 ссылке
 h‘p://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx
 
Пользователь
 будет
 заблокирован,
 а
 программа
 удалена
 с
 компьютера.
 Приносим
 Вам
 свои
 извинения
 за
 действия
 
одного
 из
 наших
 пользователей,
 нарушающего
 правила
 системы.
 

If
 you
 found
 this
 file
 on
 your
 computer
 installed
 SafeSurf,
 designed
 for
 browsing
 by
 users
 of
 the
 
system
 JetSwap
 
If
 you
 own
 a
 computer
 and
 the
 program
 was
 installed
 without
 your
 consent
 or
 knowledge,
 go
 to
 
h‘p://go.jetswap.com/abuse.php?user=vbnn&authid=107057975&authkey=ssvggx
 
The
 user
 will
 be
 blocked
 and
 the
 program
 will
 be
 deleted
 from
 your
 computer.
 We
 apologize
 for
 
the
 ac{ons
 of
 one
 of
 our
 users
 who
 abuse
 the
 system.



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia
http://jetswap.com



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia
http://www.jetswap.net



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia

Analizando la navegación
C:\Documents and Settings\admin\Configuración local\
Datos de programa\Google\Chrome\User Data\Default\History



© Todos los derechos reservados

Memorias de un perito informático forense Vol. I

Round I: Rusia

Nete
  • Links de descarga
http://lwp-l.com/pdf3464

Comentarios de: Memorias de un perito informático forense Vol. I (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad