PDF de programación - Análisis Forense de un Ataque Web

The OWASP Foundation
http://www.owasp.org

Análisis Forense

de un

Ataque Web

Mauricio Urizar
[email protected]
@MauricioUrizar

Mauricio Urizar

l Trabajando los últimos 07 años como parte del
equipo de hacker eticos de Open-Sec.
l Instructor de cursos de Ethical Hacking en Perú y
Ecuador.

C|EH (Certified | Ethical Hacker)
CEI (Certified EC-Council Instructor)
CPTE (Certified Penetration Tester)
CPTE Mile2 - Authorized Instructor
OSEH (Open-Sec Ethical Hacker)

DESCARGO DE

RESPONSABILIDADES

l Esta presentación tiene como propósito proveer únicamente información. No
aplicar este material ni conocimientos sin el consentimiento explícito que
autorice a hacerlo. Los lectores (participantes, oyentes, videntes) asumen la
responsabilidad completa por la aplicación o experimentación de este
material y/o conocimientos presentados. El(los) autor(es) quedan
exceptuados de cualquier reclamo directo o indirecto respecto a daños que
puedan haber sido causados por la aplicación de este material y/o
conocimientos expuestos.

l La información aquí expuesta representa las opiniones y perspectivas propias
del autor respecto a la materia y no representan ninguna posición oficial de
alguna organización asociada.

Quienes deben estar aquí? ..

Escenario

¿Por qué estoy aquí?

Atacante

?

Servidor Web

Que buscamos..

Investigación Forense

Investigacionsobre un acontecimiento del pasado con el fin de
las posibles causas y responsables de dicho
determinar
acontecimiento.

Definición de la Metodología

¿Por qué estoy aquí?

http://www.justice.gov/usao/eousa/foia_reading_room/usab5601.pdf

Proceso Forense Tradicional

¿Por qué estoy aquí?

EVALUACION
• Revisionde
Imagen/Datos

RECOLECCION
• Identificacion
de Origenes
de Datos
• Extraccion de
Imagen/Datos

ANALISIS

REPORTE

• Presentacion y
Sustento de
Caso

• Comparacion
de Hallazgos
con Ataques
conocidos
• Creacion
Evidencia

de

CADENA DE CUSTODIA

“El Proceso Forense Informático consiste en recolectar datos desde un medio para
generar información que permita encontrar evidencia de un hecho en particular”

Cadena de Custodia

#1 - Configurando WebScarab

Guía de Recolección
de Evidencia Digital

#1 - Configurando WebScarab

Configurando el Proxy

(RFC3227) Order of volatility of digital evidence

Captura de datos volátiles

Procesos
Puertos y conexiones de red
Dumpeo de memoria

Apagado del Sistema
Elaboración de Imagen forense

www.ietf.org/rfc/rfc3227.txt

Análisis Trafico de Red

#1 - Configurando WebScarab

Configurando el Proxy

Análisis Trafico de Red

#1 - Configurando WebScarab

Configurando el Proxy

Adquiriendo Evidencia Volátil

DART2 (Digital Advanced Response Toolkit)

Adquiriendo Evidencia Volátil

“tr3-collect.bat” Data Collection Script

Adquiriendo Evidencia Volátil

¿Por qué estoy aquí?

Información de proveniente del sistema
operativo y medios de almacenamiento
electrónicos que pierden los datos al ser
apagados

Analizando memoria RAM

CONNSCAN

Lista conexiones de red para identificar equipos remotos
conectados en el momento de la captura de la memoria
RAM.

Analizando memoria RAM

DLLLIST

Lista los archivos “DLL” cargados de un proceso en particular

Analizando memoria RAM

SCRIPT VERIFICA EN GOOGLE

Analizando memoria RAM

DLLDUMP

Extrae los DLL desde el espacio de memoria del proceso
y lo descarga en el disco para el análisis.

Analizando memoria RAM

Adquiriendo Evidencia Volátil

¿Por qué estoy aquí?

Informacion proveniente de medios de
almacenamiento electronicos o magneticos
que no pierden los datos al quedarse sin
energia

Spider plug-in

Utilizar “writeblockers”
(si es posible)

¿Por qué estoy aquí?

Además de prevenir
la
escritura accidental en el
origen, algunos de estos
dispositivos pueden acelerar
transferencia de datos
la
haciendo mas
la
obtención de la imagen

rápida

Adquisición Imagen Forense

Cadena de Custodia...

Esquema Tradicional

Analizar imagen con herramientas forenses

• Examinar archivos conocidos de evidencias (NTUSET.DAT,
SYSTEM, SOFTWARE, ETC..)
• Examinar fechas de archivos (timeline)
• Comprobar software malicioso en la RAM
• Examinar archivos eliminados
• Realizar búsquedas de cadenas (strings)
• Analizar encabezados archivos (file carving)

Adquisición / Analizando Imagen Adquirida

 Imagen Forense
 Disco Conectado

Analizando Imagen Adquirida

Analizando Registros (hives) de Windows

Archivos Conocidos

Esquema Web

Entender el flujo "normal" de la aplicación
Archivos de registro (logs):

• Servidor web
• Servidor de Aplicaciones
• Servidor de Base de Datos
• Aplicación

Archivos de configuración de la aplicación y servidor
Identificar posibles anomalías:

• Entradas maliciosas desde el cliente
• Interrupciones de las tendencias normales de acceso a
Internet
• Cabeceras HTTP inusuales
• Cambios a mitad de la sesión a los valores de cookie.

Reporte

El proceso “standard” no siempre funciona

=

 Las aplicaciones web son a menudo críticasyel tiempo de inactividad para realizar la adquisición

deunaimagenNOesunaopciondesdeel punto de vista deelnegocio.

 Las aplicaciones web se distribuyen a menudo a través de múltiples servidores.

 Servidores de bases de datos por lo general tienen grandes arreglos de discos.

Conclusiones

+

?

Atacante

Servidor Web

OWASP World

PREGUNTASY/O
COMENTARIOS

MauricioUrizar
[email protected]
@MauricioUrizar