The OWASP Foundation
http://www.owasp.org
Análisis Forense
de un
Ataque Web
Mauricio Urizar
[email protected]
@MauricioUrizar
Mauricio Urizar
l Trabajando los últimos 07 años como parte del
equipo de hacker eticos de Open-Sec.
l Instructor de cursos de Ethical Hacking en Perú y
Ecuador.
C|EH (Certified | Ethical Hacker)
CEI (Certified EC-Council Instructor)
CPTE (Certified Penetration Tester)
CPTE Mile2 - Authorized Instructor
OSEH (Open-Sec Ethical Hacker)
DESCARGO DE
RESPONSABILIDADES
l Esta presentación tiene como propósito proveer únicamente información. No
aplicar este material ni conocimientos sin el consentimiento explícito que
autorice a hacerlo. Los lectores (participantes, oyentes, videntes) asumen la
responsabilidad completa por la aplicación o experimentación de este
material y/o conocimientos presentados. El(los) autor(es) quedan
exceptuados de cualquier reclamo directo o indirecto respecto a daños que
puedan haber sido causados por la aplicación de este material y/o
conocimientos expuestos.
l La información aquí expuesta representa las opiniones y perspectivas propias
del autor respecto a la materia y no representan ninguna posición oficial de
alguna organización asociada.
Quienes deben estar aquí? ..
Escenario
¿Por qué estoy aquí?
Atacante
?
Servidor Web
Que buscamos..
Investigación Forense
Investigacionsobre un acontecimiento del pasado con el fin de
las posibles causas y responsables de dicho
determinar
acontecimiento.
Definición de la Metodología
¿Por qué estoy aquí?
http://www.justice.gov/usao/eousa/foia_reading_room/usab5601.pdf
Proceso Forense Tradicional
¿Por qué estoy aquí?
EVALUACION
• Revisionde
Imagen/Datos
RECOLECCION
• Identificacion
de Origenes
de Datos
• Extraccion de
Imagen/Datos
ANALISIS
REPORTE
• Presentacion y
Sustento de
Caso
• Comparacion
de Hallazgos
con Ataques
conocidos
• Creacion
Evidencia
de
CADENA DE CUSTODIA
“El Proceso Forense Informático consiste en recolectar datos desde un medio para
generar información que permita encontrar evidencia de un hecho en particular”
Cadena de Custodia
#1 - Configurando WebScarab
Guía de Recolección
de Evidencia Digital
#1 - Configurando WebScarab
Configurando el Proxy
(RFC3227) Order of volatility of digital evidence
Captura de datos volátiles
Procesos
Puertos y conexiones de red
Dumpeo de memoria
Apagado del Sistema
Elaboración de Imagen forense
www.ietf.org/rfc/rfc3227.txt
Análisis Trafico de Red
#1 - Configurando WebScarab
Configurando el Proxy
Análisis Trafico de Red
#1 - Configurando WebScarab
Configurando el Proxy
Adquiriendo Evidencia Volátil
DART2 (Digital Advanced Response Toolkit)
Adquiriendo Evidencia Volátil
“tr3-collect.bat” Data Collection Script
Adquiriendo Evidencia Volátil
¿Por qué estoy aquí?
Información de proveniente del sistema
operativo y medios de almacenamiento
electrónicos que pierden los datos al ser
apagados
Analizando memoria RAM
CONNSCAN
Lista conexiones de red para identificar equipos remotos
conectados en el momento de la captura de la memoria
RAM.
Analizando memoria RAM
DLLLIST
Lista los archivos “DLL” cargados de un proceso en particular
Analizando memoria RAM
SCRIPT VERIFICA EN GOOGLE
Analizando memoria RAM
DLLDUMP
Extrae los DLL desde el espacio de memoria del proceso
y lo descarga en el disco para el análisis.
Analizando memoria RAM
Adquiriendo Evidencia Volátil
¿Por qué estoy aquí?
Informacion proveniente de medios de
almacenamiento electronicos o magneticos
que no pierden los datos al quedarse sin
energia
Spider plug-in
Utilizar “writeblockers”
(si es posible)
¿Por qué estoy aquí?
Además de prevenir
la
escritura accidental en el
origen, algunos de estos
dispositivos pueden acelerar
transferencia de datos
la
haciendo mas
la
obtención de la imagen
rápida
Adquisición Imagen Forense
Cadena de Custodia...
Esquema Tradicional
Analizar imagen con herramientas forenses
• Examinar archivos conocidos de evidencias (NTUSET.DAT,
SYSTEM, SOFTWARE, ETC..)
• Examinar fechas de archivos (timeline)
• Comprobar software malicioso en la RAM
• Examinar archivos eliminados
• Realizar búsquedas de cadenas (strings)
• Analizar encabezados archivos (file carving)
Adquisición / Analizando Imagen Adquirida
Imagen Forense
Disco Conectado
Analizando Imagen Adquirida
Analizando Registros (hives) de Windows
Archivos Conocidos
Esquema Web
Entender el flujo "normal" de la aplicación
Archivos de registro (logs):
• Servidor web
• Servidor de Aplicaciones
• Servidor de Base de Datos
• Aplicación
Archivos de configuración de la aplicación y servidor
Identificar posibles anomalías:
• Entradas maliciosas desde el cliente
• Interrupciones de las tendencias normales de acceso a
Internet
• Cabeceras HTTP inusuales
• Cambios a mitad de la sesión a los valores de cookie.
Reporte
El proceso “standard” no siempre funciona
=
Las aplicaciones web son a menudo críticasyel tiempo de inactividad para realizar la adquisición
deunaimagenNOesunaopciondesdeel punto de vista deelnegocio.
Las aplicaciones web se distribuyen a menudo a través de múltiples servidores.
Servidores de bases de datos por lo general tienen grandes arreglos de discos.
Conclusiones
+
?
Atacante
Servidor Web
OWASP World
PREGUNTASY/O
COMENTARIOS
MauricioUrizar
[email protected]
@MauricioUrizar
Comentarios de: Análisis Forense de un Ataque Web (0)
No hay comentarios