Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Clases FORENSE

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 83

Análisis Forense

Maestría en Ciberseguridad
Darío León
Conocimientos Formación
• Arquitectura empresarial (Togaf), análisis de negocio,
arquitectura, diseño y desarrollo de aplicaciones de
• Ingeniero en Sistemas
software, datos y seguridades. Informáticos de Computación /
• Arquitecto y Analista de seguridades.
• Análisis forense.
Escuela Politécnica Nacional
• Metodologías clásicas y ágiles de manejo de proyectos • Magister en Gerencia de
de software.
• Desarrollo full stack en plataforma Microsoft .Net
Sistemas y Tecnologías de la
• Lenguajes o Python o C# o JQuery o SQL o MDX o UML. Información / Universidad de Las
• Administración y arquitecto de bases de datos o Américas
Microsoft SQL Server o Informix o MySQL o PostgreSQL
o MongoDB o Apache Cassandra DB.
• Machine Learning con TensorFlow.
Darío León
Docencia / Instructor Clientes

• Universidad Técnica de • Metropolitan Touring


• OnceDev

Ambato • Universidad de Las Américas


• Toni

• Universidad Tecnológica • Produbanco


• Colegio Americano
Equinoccial • Ilustre Municipio Metropolitano de Quito
• Salud SA
• Universidad de Las Américas • Dirección Nacional de Registro de Datos Públicos (gov)
• Ferrero del Ecuador

• Maint Cía. Ltda. • Empresa Municipal de Agua Potable y Alcantarillado de Ibarra


• Superintendencia de Compañías

• New Horizons • Laboratorios Industriales Farmacéuticos Ecuatorianos


• Industrias Textiles Ecuatorianas Pinto
Plan de Cátedra

20/06/2020 21/06/2020 27/06/2020 28/06/2020


• Introducción • Presentaciones estudiantes caso • Presentación reporte pericial.
• Revisión teórica y Práctica • Presentaciones estudiantes de de estudio Mr. Evil. • Estudio proceso pericial EC.
• Conceptos y herramientas una tesis de maestría. • Revisión teórica y Práctica II • Revisión teórica final.
básicas. • Revisión teórica y Práctica • Herramientas individuales • Presentación caso de estudio
• Exploración de elementos del • Scripting. • Análisis forense con Suites Invent S.L.
Windows OS. • Análisis forense con Suites avanzadas.
• Captura de evidencia. avanzadas.
• Ram • Revisión teórica análisis forense
• Storage • Presentación caso de estudio Mr.
• Presentación trabajo estudio de Evil.
una tesis de maestría (van
Goethem, Henri Michael).
Metodología

Adquisición Análisis Presentación


El trabajo del analista forense El pico no
substituye al
Datos minero
Información
• Solicitud de un peritaje judicial
Conocimiento • Conclusiones
• Incidente de seguridad
• Informe pericial

• Lenguaje no técnico

Cadena de valor
El trabajo del analista forense

Ante un incidente de seguridad


o investigación de un delito Conocimiento de sistemas de
almacenamiento, OS,
elementos de red, etc.
Determinar el objetivo de la Herramientas
investigación
¿Qué usar?
• Tools • Python
• Sysinternals Suite • …
• WinAudit
• USB WriteProtector
• LastActivityView
• Shadowexplorer
• … • Suits
• Scripts • Belkasoft
Script • Bash • OSFORENSICS
• Windows Script • Autopsy
• Powershell • Deft
Suite • Cmd-batch • CAINE
• …
Privacidad vs Funcionalidad
• Swap (virtual) memory
• Prefetch Menor Mayor
funcionalida funcionalida
• Cache d d

• Hibernación
Datos
• Snapshot Datos

• Shadowcopy Complejida
d
Complejidad

• Etc. Evidencia
Evidencia
Conceptos y herramientas básicas
Data, data, data.
Data, data, data: El sistema de archivos

• Fortuna, A. (2017) How to extract data and timeline from Master File Table on NTFS filesystem.
Tomado de https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
• Qwertyus. (2015) Wikimedia CommonsFile table and inode table.svg
Tomado de https://commons.wikimedia.org/wiki/File:File_table_and_inode_table.svg
Data, data, data:
BIN -> HEX -> Legible a humanos

• Atkinson. J. a Master File Table Record poster.


Tomado de https://twitter.com/angealbertini/status/606360441745457152
Data, data, data:
Práctica
Comandos:

• fsutil fsinfo ntfsinfo c:

• dfrgui

• Atkinson. J. a Master File Table Record poster.


Tomado de https://twitter.com/angealbertini/status/606360441745457152
El lenguaje HEX
1 byte = 8 bits = 2 Hex

Pasos:

• Acceder https://hexed.it/ o
abrir Mitec HexEditor
• Abrir un archivo de texto
• Abrir un archivo de imagen
Hash
• Algoritmos

• Práctica
Fuentes de evidencia
Prefetch Practica
• http://www.invoke-ir.com/2013
/09/whats-new-in-prefetch-for-
windows-8.html

• https://gist.github.com/dfirfpi/1
13ff71274a97b489dfd

• Nirsoft/WinPrefetchView.exe
Shadow copy
• vssadmin list shadows /for=c:

• mklink /d
C:\VSC1 \\?\GLOBALROOT\Device\Hardd
iskVolumeShadowCopy1\

• Explorador c:\VSC1

• ShadowExplorer

• Extracción de datos a imagen


Estudio tesis maestría: “Methodology and automated
metadata extraction from multiple volume shadow
copies”
1. ¿Qué implicaciones conlleva escoger una herramienta no adecuada para el
resultado del análisis forense?
2. ¿En un evento de contra peritaje, qué ventaja le puede ofrecer a un analista el
conocimiento de diferentes métodos/herramientas?
3. Realice un ejercicio de exploración de un VSS de su máquina, con cualquier
herramienta que escoja según su mejor criterio.
1. Justifique por qué escogió determinada herramienta.
4. Desde el momento de la publicación de esta tesis, qué elementos más importantes
han cambiado respecto a los métodos/herramientas/OS que conciernen al estudio?
• Fecha de presentación: 21/06/2020
• https://commons.lib.jmu.edu/cgi/viewcontent.cgi?article=1367&context=master201019

van Goethem, Henri Michael, "Methodology and automated metadata extraction from multiple volume shadow copies" (2012).
Masters Theses. 354. https://commons.lib.jmu.edu/master201019/354
Adquisición de evidencias y
Análisis
Creación de imágenes
• FTK Imager

• OSForensics

• dd (Linux)
• dd if=/dev/hdr of=mydisk.dd

• dd for Windows (
http://www.chrysocome.net/dd):
• dd.exe if=\\.\PhysicalDrive0
of=d:\images\PhysicalDrive0.dd

• CoreUtils for Windows o Linux subsistem


Creación de imágenes
• FTK Imager
• Verificación
(hash)
• 4GB -> 5
minutos
DD
• dd --list

• dd
if=\\?\Device\Harddis
kVolume12
of="C:\Análisis
forense\Work\DiskIm
age\DD\usb2.dd"
bs=1M --size
--progress
Adquisición Memoria Volátil
• Belkasoft
• FTK Imager
• Carving process
Fuentes de evidencia (artefactos)
y Análisis
Windows Notifications
• BDD:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpndatabase.db
• Imágenes:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpnidm\
• WinFileTime
• https://gchq.github.io/CyberChef/#rec
ipe=Windows_Filetime_to_UNIX_Tim
estamp('Seconds%20(s)','Decimal')Fro
m_UNIX_Timestamp('Seconds%20(s)')
&input=MTMyMzcwMTgyNTM0ODA2
OTkz
• Transformar DB to CVS:
Windows Registry
Hive Path storage file
HKEY_CLASSES_ROOT HKLM\Software\Clases +
HKCU\Software\Clases
HKEY_CURRENT_USER %SystemRoot%\Users\NTUSER.DAT Configuraciones del usuario actual
HKEY_LOCAL_MACHINE/SAM %SystemRoot System Account Manager, almacena todas las
%\Windows\System32\config\SAM contraseñas del sistema

HKEY_LOCAL_MACHINE/SOFTWARE %SystemRoot Configuración de software instalado


%\Windows\System32\config\Software

HKEY_LOCAL_MACHINE/SECURITY %SystemRoot Configuración de seguridad de dominio.


%\Windows\System32\config\Security

HKEY_LOCAL_MACHINE/SYSTEM %SystemRoot Configuración del sistema de todos los


%\Windows\System32\config\System usuarios

HKEY_USERS %SystemRoot Configuraciones que aplican a todos los


%\Windows\System32\config\Default uarios
HKEY_CURRENT_CONFIG %SystemRoot Configuraciones de hardware actual
%\Windows\System32\config\System
Windows Registry

Retos Práctica
• Completitud de datos y • En línea (no recomendado):
exactitud • Explorar con Regedit
• Extracción de datos • Fuera de línea:
• Falta de conocimiento • Extraer datos con FTK Imager.
• Explorar los datos (el Hive) con
Registry Browser o RegRipper
Windows Registry
ShellBags
• Windows Explorer almacena las
preferencias de vista del usuario. Por
ejemplo, la disposición visual de los
ítems dentro de una carpeta.
• Registra el acceso del usuario a las
carpetas locales o de red.
• Ejemplo un empleado es sospechoso
de haber eliminado/sustraído,
información confidencial de la
organización.
Tareas programadas
Escritorio Remoto
• Conexiones
• Nombres de usuario
• Certificados
• Capturas de pantalla (64x64)
• %localappdata%\Microsoft\Terminal Server Client\Cache
• https://github.com/ANSSI-FR/bmc-tools
• https://www.youtube.com/watch?v=NnEOk5-Dstw
Otros Artefactos importantes
• Windows OS • Archivos
• Lista de usuarios • Por tipo de archivo
• TimeZone • Por tamaño
• Conexiones USB • Software instalado (Registry)
• Windows Explorer • Programas que se ejecutan al iniciar
• Paths digitados en la barra de
sesión
exploración • AMCache y Shimcache
• Archivos recientes
• Búsquedas recientes
• MUICache (Multilingual User
• Cuadros de Diálogos Interface)
• Red

Otros artefactos: https://github.com/ForensicArtifacts/artifacts


Funciones especiales de análisis
• Vista de relación entre personas
• Extracción de texto de las imágenes
• Extracción georefencial de fotos y otras fuentes
• Línea de tiempo
• Búsqueda de texto y expresiones regulare
Vista en línea de tiempo de todos los eventos
Búsqueda de texto y expresiones regulares
Practica: Scripting
• WMI
• Python
• Powershell
• Local
• Remoto
Evidencia en las BDD Transacciones
• Logs de aplicación
• Logs del motor de BDD
• Logs transaccionales
• SQL SERVER
TRANSACTION LOG
RECOVERY TOOL
• Backups
Presentación del caso de estudio MR. Evil
• Demo
• Descargar los archivos de imágenes
• Realizar el análisis usando una suite de su preferencia (OSForensic,
Belkasoft, Autopsy).
• Resolver las preguntas solicitadas.

• Fecha de presentación: 28/06/2020 23:59.


• Recurso: https://www.cfreds.nist.gov/Hacking_Case.html
Expresiones regulares
• Demo: https://regexr.com/

Correo electrónico (^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+$)


Número de cédula (10 dígitos) ^\d{10}$

Dirección url /^(?:(?:https?|ftp):\/\/)(?:\S+(?::\S*)?@)?(?:(?!(?:10|127)


(?:\.\d{1,3}){3})(?!(?:169\.254|192\.168)(?:\.\d{1,3}){2})(?!
172\.(?:1[6-9]|2\d|3[0-1])(?:\.\d{1,3}){2})(?:[1-9]\d?|
1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{1,2}|2[0-4]\d|25[0-
5])){2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:(?:[a-
z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)(?:\.(?:[a-
z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)*(?:\.(?:[a-
z\u00a1-\uffff]{2,}))\.?)(?::\d{2,5})?(?:[/?#]\S*)?$/i
http Host Host: [\w.]*
Práctica Python 1/2
• VS Code
• Debug ("justMyCode": false)
• https://www.w3schools.com/python/

• Print
• #This is a comment
• Variables
• Arrays
• For
• If
• Regex
• Try/exept
Protocolo http
• Examinando el protocolo http:
• https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Fiddler Demo (Descifrar tráfico)
• http://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp
Práctica netstat (network and statistics)
• netstat
• netstat -na
• https://www.whatismyip.com/ip-whois-lookup/
• netstat –nao
• tasklist | findstr xxxx
• netstat -e
• netstat -s
Herramientas
• Wireshark
• Fiddler
• Git for Windows (solo Windows)
Model OSI

How the OSI Model Works | Network Direction


Chanel
https://www.youtube.com/watch?v=y9PG-_ZNb
Tomado de https://sites.google.com/site/yutbms/osi-model Wg
Wireshark
tshark en Windows

1. tshark.exe –D
2. tshark.exe -i \Device\NPF_{1B8D77E3-8CBA-4B46-B0C2-462878F98BAB} -w c:\temp\demoRed.pcap
3. tshark.exe -r c:\temp\demoRed.pcap
4. tshark.exe -r c:\temp\demoRed.pcap -q -z hosts
5. tshark.exe -r c:\temp\demoRed.pcap -Y "dns.resp.name contains drupal.org“
6. tshark.exe -r c:\temp\demoRed.pcap -T fields -e http.host | sort /uniq
7. tshark.exe -r c:\temp\demoRed.pcap -Y "http.user_agent != ''" -T fields -e http.user_agent | sort /uniq
8. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq
9. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq | more
10. tshark.exe -r c:\temp\demoRed.pcap -Y "tcp.port != 80 && tcp.port != 443 && ip.src==192.168.1.59" -T fields
-e ip.dst | sort /uniq | more
tshark en Linux
Linux style in windows: https://git-scm.com/download/win

./tshark.exe -r /c/temp/demoRed.pcap -Y "tcp.port != 80 &&


tcp.port != 443 && ip.src==192.168.1.59" -T fields -e ip.dst | sort
| uniq -c | sort -nr | Head -40
Práctica Python 2/2
• Microsoft Visual C++ Compiler for Python 2.7
• https://www.microsoft.com/en-us/download/confirmation.aspx?id=44266
• https://www.winpcap.org/devel.htm
• Colocar en la unidad C: la carpeta WpdPack (descomprimir)
• pip install pcapy
• pip install scapy
Network Forensics and
Network Security Monitoring
• https://www.netresec.com/?page=PcapFiles
Forense en el correo electrónico
• Protocolo smtp
• Cifrado de correo electrónico
• Cabeceras de un mensaje
• Práctica métodos smtp en telnet.
Logs en Windows
• Tipos de Logs
• Clasificación de eventos y eventId
• Práctica: Consulta de logs usando Event Viewer.
• Práctica: Consulta de logs por línea de comandos.
Windows Logs

Application %SystemRoot%\System32\Winevt\Logs\Application.evtx

Security %SystemRoot%\System32\Winevt\Logs\Security.evtx

Setup %SystemRoot%\System32\Winevt\Logs\Setup.evtx

System %SystemRoot%\System32\Winevt\Logs\System.evtx
Security Log
• Índice de eventos
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
• 4672: Special privileges assigned to new logon
• 4624: An account was successfully logged on
• 4634: An account was logged off
• 4625: An account failed to log on
• 4608: Windows is starting up
•…
• Centralized Log Locations
• %WINDIR%\System32\config or %WINDIR%\System32\winevt\Logs
Contain most of the event logs accessible from the Event Viewer.
• %WINDIR%\Logs
Contains a lot of textual log files.
• Microsoft Security Essentials
• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
Runtime Logs
• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
Installation Logs
• Temporary Installation and Windows Defender Logs
• %WINDIR\Temp\*.log
Contains information about MSI installations as well as for Windows Defender starting
/ scanning.
• %AppData%\Local\Temp\*.log
Contains information about MSI installations ran in the context of the current user.
Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Installation Logs
• %AppData%\Local\Microsoft\Websetup (Windows 8)
Contains details about the web setup phase of Windows 8.
• %AppData%\setupapi.log (Windows XP and earlier)
Contains information about device and driver changes and important system
changes, like installation of service packs and hotfixes.
• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
Contains information about setup actions, errors, structure, SIDs and early setup
devices. When the installation is rolled back, these files will contain rollback
information.
• %WINDIR%\PANTHER\*.log,xml
Contains information about setup actions, errors, structure, SIDs and later setup
devices.
• %WINDIR%\INF\setupapi.dev.log
Contains information about Plug and Play devices and driver installations.
• %WINDIR%\INF\setupapi.app.log
Contains information about the installations of applications.
• %WINDIR%\Performance\Winsat\winsat.log
Contains performance
Tomadotest
de: results.
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Time Service
• To enable logging of the Windows Time Service:
• w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
• To disable logging of the Windows Time Service run:
• w32tm /debug /disable
• Windows Update
• %WINDIR%\WindowsUpdate.log
Contains all events related to Windows Update
• %WINDIR%\SoftwareDistribution\ReportingEvents.log
Contains events related to software update status reports.

Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Deployment Image Service and Management Tool (DISM)
• %WINDIR%\Logs\DISM\dism.log
Contains information about events that happen when interacting with the
Windows image.
• Component-Based Servicing (CBS)
• %WINDIR%\Logs\CBS\CBS.log
Contains information about events that happen when interacting with
Windows components and features.

Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
Presentación caso de estudio
MR. Evil
Marco teórico
El Principio de Intercambio de Locard
• http://www.reydes.com/d/?q=Principio_de_Intercambio_de_Locard
• https://www.estudiocriminal.eu/blog/el-principio-de-intercambio-de-
locard/
• http://www.forensichandbook.com/locards-exchange-principle/
Análisis Forense Digital

Análisis Forense Digital Evidencia digital


• Es un conjunto de • Conjunto de datos en formato
• principios y técnicas binario, esto es, comprende los
• Comprende el proceso de ficheros, su contenido o referencias
• Adquisición a éstos (metadatos) que se
• Conservación encuentren en los soportes físicos o
• Documentación lógicos del sistema atacado.
• Análisis
• Presentación de evidencias digitales Guidelines for Evidence Collection and Archivin
g rfc3227
• Llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.

López. M. (2007) Análisis Forense Digital.


ISO 17799:2005 Information technology — Security techniques
— Code of practice for information security management

• Establece pautas y principios generales • Política de seguridad.


para iniciar, implementar, mantener y • Organización de la seguridad de la información.
mejorar la gestión de la seguridad de la • Gestión de activos.
información en una organización. Los • Seguridad de recursos humanos.
objetivos descritos proporcionan una • Seguridad física y ambiental.
guía general sobre los objetivos • Gestión de comunicaciones y operaciones.
comúnmente aceptados de la gestión de • Control de acceso.
seguridad de la información. • Adquisición, desarrollo y mantenimiento de sistemas
de información.
• Contiene las mejores prácticas de • Gestión de incidentes de seguridad de la información.
objetivos de control y controles en las • Gestión de la continuidad del negocio.
siguientes áreas de gestión de seguridad • Conformidad.
de la información:
• Tomado de: https://www.iso.org/standard/39612.html
• https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
Incidente de seguridad Prevención de ataques a sistemas
• Denegación de servicio • Gestión de parches y actualizaciones
de hardware y software.
• Incidentes de código malicioso
• Privilegio mínimo.
• Incidentes de acceso no
• Red configurada con un filtro
autorizado perimetral en modo “paranoico”
• Incidentes por uso inapropiado • Puertos, IDS, VPN, IPSec, SSL.
(Violación de políticas). • Antivirus
• Incidente múltiple • Política de seguridad a empleados ($
$$)

López. M. (2007) Análisis Forense Digital.


Plan de Respuesta ante Incidentes
• Alcance, propósitos y objetivos.
• Estructura organizativa del equipo de respuesta a incidentes, responsabilidades, autoridad, departamentos
implicados.
• Actuaciones para la contención del problema.
• Procedimientos de recuperación y restauración de sistemas SIN eliminación de posibles evidencias del
ataque.
• Índices para la valoración de los daños, tanto desde el punto de vista económico como de imagen
corporativa.
• Determinar en qué casos se tratará el incidente internamente y en qué casos se dará aviso a las
autoridades.
• Sopesar la contratación de personal externo para llevar a cabo la investigación.
• Establecer las fases de la investigación.
• Elaboración de informes y formularios tipo para comunicación del incidente tanto dentro como fuera de la
organización si fuese necesario.

López. M. (2007) Análisis Forense Digital.


• CÓDIGO ORGÁNICO INTEGRAL PENAL
Aspectos legales • Artículo 229: Revelación ilegal de base
de datos.
• Ataque interno • •Ataques
Artículoque se Interceptación
230: producen contrailegal
el de
• Investigación interna. derecho
datos. a la intimidad.
• Acciones disciplinarias. • •Infracciones a laTransferencia
Artículo 231: Propiedad Intelectual a
electrónica
• Colaboración con departamento de Gestión través de la patrimonial.
de activo protección de los derechos
Humana y Sección Sindical.
•deArtículo
autor. 232: Ataque a la integridad de
• Ataque con daños importantes • Falsedades.
sistemas informáticos.
• Abrir un proceso judicial contra los atacantes.
• Investigación pericial técnica.
• •Sabotajes
Artículo informáticos.
233: Delitos contra la
información
• Fraudes pública reservada
informáticos.
legalmente.
• Amenazas.
• Artículo 234: Acceso no consentido a un
• Calumnias e injurias.
sistema informático, telemático o de
• Pornografía infantil.
telecomunicaciones.
• LIBRO BLANCO DE TERRITORIOS DIGITALES
EN ECUADOR
AFD Orientado a un incidente de seguridad

Documentación
Identificación Recopilación de Preservación de Análisis de la y presentación
del incidente evidencias la evidencia evidencia de los
resultados
Identificación
del incidente

Identificación del incidente


Consideraciones Toolkit
• Conservar la calma. • Intérprete comandos en modo consola (cmd, bash)
• Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport,
• Cautela para conservar lsoft)
evidencias (Conocimiento de • Listar usuarios conectados local y remotamente al sistema
las herramientas). • Obtener fecha y hora del sistema (date, time)
• Los atacantes dispondrán de • Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones
que los lanzaron (ps, pslist)
herramientas capaces de • Enumerar las direcciones IP del sistema y mapear la asignación de
modificar la información que direcciones físicas
el administrador verá tras la • MAC con dichas IP (ipconfig, arp, netstat, net)
ejecución de ciertos • Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
comandos. • Visualizar registros y logs del sistema (reg, dumpel)
• Tener listo un DVD con un • Visualizar la configuración de seguridad del sistema (auditpol)
conjunto de herramientas y • Generar funciones hash de ficheros (sah1sum, md5sum)
scripts. • Leer, copiar y escribir a través de la red (netcat, crypcat)
• Realizar copias bit-a-bit de discos duros y particiones (dd, safeback)
López. M. (2007) Análisis Forense Digital. • Analizar el tráfico de red (tcpdump, windump)
Recopilación de
evidencias

Recopilación de evidencias

Disponibilidad vs investigación Investigación, Consideraciones


• A.- Tener nuevamente operativos • Tomar apuntes de detallados de
sus sistemas rápidamente. todas las operaciones que se
• B.- Realizar una investigación realiza.
forense detallada. • Lugar, Fecha y hora de las tareas.
• ¿qué?, ¿cómo?, ¿quién?, ¿de • Fotografías
dónde? y ¿cuándo? se • Números de serie
comprometió el sistema. • Testigo, Notario.
• Impidiendo llevar a cabo acciones
legales posteriores. • Recolección sobre sistema “vivo”
o “muerto”.
López. M. (2007) Análisis Forense Digital.
Recopilación de
evidencias

Obtención de evidencia/Indicio
• Script
Sistema “vivo” • Fecha y hora.
• Proceso de apagado (limpieza). • Procesos activos.
• Conexiones de red.
• Atacante online. • Puertos TCP/UDP abiertos y aplicaciones
• Acción evasiva o destrucción de asociadas “a la escucha”.
evidencia/datos en general • Usuarios conectados remota y
(desconexión). localmente.
• Imagen RAM
• Orden de volatilidad (RFC 3227).
• Almacenamiento de evidencia (USB,
netcat).
• Comprobación de integridad (Hash).

López. M. (2007) Análisis Forense Digital.


Preservación de

Preservación de la evidencia la evidencia

• Precautelar la validez del proceso.


• Estar listos para un proceso judicial: Cadena de custodia.
• Generación de copias (2 al menos).
• Hash de verificación.
• Etiquetado de evidencias
• Nombre de la evidencia.
• Número hash.
• Modelo, marca, número de serie.
• Fotografías, video.
• Almacenamiento y traspaso
• Nombre de evidencia
• Fecha y hora
• Lugar
• Personal (nombres, ID, cargo, organización a la que pertenece)
• Empaquetado (estática, humedad, golpes)
• Póliza de seguro si lo amerita.
• Manual de Cadena de Custodia, Escuela de estado mayor de la
Policía Nacional del Ecuador
https://www.eempn.gob.ec/documentos_2017/MANUAL-DE-CADE
NA-DE-CUSTODIA-2014-29-05-2014.pdf
Análisis de la
evidencia

Análisis de la evidencia
• Descubrir • Reconstruir la línea de tiempo
• ¿Cómo se produjo el ataque? • Justo antes del incidente.
• ¿Quién o quienes lo llevaron a • Momento de detección.
cabo?
• ¿Bajo qué circunstancias se
produjo?
• ¿Cuál era el objetivo del ataque?
• ¿Qué daños causaron?

López. M. (2007) Análisis Forense Digital.


Análisis de la
evidencia

El entorno de trabajo
• Trabajar sobre copias, no originales.
• Estación de trabajo principal
• Disco duro anfitrión.
• Disco duro con imagen montada en solo lectura.
• Estación réplica de trabajo (OS, HD, MEM, etc.) “conejillo de indias”.
• Trabajo en ambientes virtuales.

López. M. (2007) Análisis Forense Digital.


Análisis de la
evidencia

File system y Logs

Identificar línea de tiempo de archivos Indicios, comportamientos anómalos


• Metadata (Inodos asociados). • Fecha de modificación de los
• Marcas de tiempo MAC. archivos.
• Ruta completa. • Archivos ocultos.
• Tamaño en bytes y tipo de fichero. • Archivos borrados.
• Usuarios y grupos a quien pertenece. • Fecha de instalación de
• Permisos de acceso. programas
• Si fue borrado o no. • Logs de OS / BDD
• Hash • Registro de creación de usuarios.
López. M. (2007) Análisis Forense Digital.
Análisis de la

Determinación de cómo se realizó el


evidencia

ataque
• Vector de ataque • Una premisa del AD es que los
• Clasificación y tipo activo, pasivo. hechos han de ser reproducibles
• Utilice evidencia volátil y sus resultados verificables.
recolectada. • Use su maquina réplica.

• Búsqueda de vulnerabilidades
(Google).
• Búsqueda de exploits.

López. M. (2007) Análisis Forense Digital.


Análisis de la

Identificación del autor o autores del


evidencia

incidente
• Conexiones abiertas. • IpWhoisLookup
• Dirección IP atacante. • (tomar en cuenta escenarios de
spoofing).
• Análisis de archivos del atacante.
• Técnicas hacker.
• Memoria virtual. • Network Mapper (Nmap)
• Archivos temporales. • Búsqueda en foros y chats.
• Restos de email.
• Conexiones fallidas.

López. M. (2007) Análisis Forense Digital.


Análisis de la

Evaluación del impacto causado al


evidencia

sistema
• Ataques pasivos (fisgonear)
• Ataques activos (alteración de información, DoS)
• Impacto económico.
• Impacto de imagen.
• Sanciones estipuladas en las leyes.
• Póliza vigente con aseguradora.

López. M. (2007) Análisis Forense Digital.


Documentación
y presentación
de los
resultados

Documentación del incidente


• Documentar y fechar todo el proceso.
• Utilización de formularios de registro del incidente
• Documento de custodia de la evidencia.
• Formulario de identificación del equipos y componentes.
• Formulario de incidencias tipificadas.
• Formulario de publicación del incidente.
• Formulario de recogida de evidencias.
• Formulario de discos duros.

López. M. (2007) Análisis Forense Digital.


Documentación
y presentación
de los
resultados

Informe Ejecutivo
• Entre 3 y 5 páginas.
• Contenido
• Motivos de la intrusión.
• Desarrollo de la intrusión.
• Resultados del análisis.
• Recomendaciones.

López. M. (2007) Análisis Forense Digital.


Documentación
y presentación
de los
resultados

Informe Técnico
1. Antecedentes del incidente. 1. Metodología.

2. Recolección de los datos. 1. Descripción de los hallazgos.


1. Huellas de la intrusión.
3. Descripción de la evidencia. 2. Herramientas usadas por el
4. Entorno del análisis . atacante.
1. Descripción de las herramientas. 3. Alcance de la intrusión.
4. El origen del ataque
5. Análisis de la evidencia .
1. Información del sistema analizado . 2. Cronología de la intrusión.
1. Características del SO. 3. Conclusiones.
2. Aplicaciones.
3. Servicios. 4. Recomendaciones específicas.
4. Vulnerabilidades. 5. Referencias.

• http://www.adfmedia.org/files/CoalfireCMPvideosReport.pdf
López. M. (2007) Análisis Forense Digital.
Revisión Caso Plataforma

También podría gustarte