Clases FORENSE
Clases FORENSE
Clases FORENSE
Maestría en Ciberseguridad
Darío León
Conocimientos Formación
• Arquitectura empresarial (Togaf), análisis de negocio,
arquitectura, diseño y desarrollo de aplicaciones de
• Ingeniero en Sistemas
software, datos y seguridades. Informáticos de Computación /
• Arquitecto y Analista de seguridades.
• Análisis forense.
Escuela Politécnica Nacional
• Metodologías clásicas y ágiles de manejo de proyectos • Magister en Gerencia de
de software.
• Desarrollo full stack en plataforma Microsoft .Net
Sistemas y Tecnologías de la
• Lenguajes o Python o C# o JQuery o SQL o MDX o UML. Información / Universidad de Las
• Administración y arquitecto de bases de datos o Américas
Microsoft SQL Server o Informix o MySQL o PostgreSQL
o MongoDB o Apache Cassandra DB.
• Machine Learning con TensorFlow.
Darío León
Docencia / Instructor Clientes
• Lenguaje no técnico
Cadena de valor
El trabajo del analista forense
• Hibernación
Datos
• Snapshot Datos
• Shadowcopy Complejida
d
Complejidad
• Etc. Evidencia
Evidencia
Conceptos y herramientas básicas
Data, data, data.
Data, data, data: El sistema de archivos
• Fortuna, A. (2017) How to extract data and timeline from Master File Table on NTFS filesystem.
Tomado de https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
• Qwertyus. (2015) Wikimedia CommonsFile table and inode table.svg
Tomado de https://commons.wikimedia.org/wiki/File:File_table_and_inode_table.svg
Data, data, data:
BIN -> HEX -> Legible a humanos
• dfrgui
Pasos:
• Acceder https://hexed.it/ o
abrir Mitec HexEditor
• Abrir un archivo de texto
• Abrir un archivo de imagen
Hash
• Algoritmos
• Práctica
Fuentes de evidencia
Prefetch Practica
• http://www.invoke-ir.com/2013
/09/whats-new-in-prefetch-for-
windows-8.html
• https://gist.github.com/dfirfpi/1
13ff71274a97b489dfd
• Nirsoft/WinPrefetchView.exe
Shadow copy
• vssadmin list shadows /for=c:
• mklink /d
C:\VSC1 \\?\GLOBALROOT\Device\Hardd
iskVolumeShadowCopy1\
• Explorador c:\VSC1
• ShadowExplorer
van Goethem, Henri Michael, "Methodology and automated metadata extraction from multiple volume shadow copies" (2012).
Masters Theses. 354. https://commons.lib.jmu.edu/master201019/354
Adquisición de evidencias y
Análisis
Creación de imágenes
• FTK Imager
• OSForensics
• dd (Linux)
• dd if=/dev/hdr of=mydisk.dd
• dd for Windows (
http://www.chrysocome.net/dd):
• dd.exe if=\\.\PhysicalDrive0
of=d:\images\PhysicalDrive0.dd
• dd
if=\\?\Device\Harddis
kVolume12
of="C:\Análisis
forense\Work\DiskIm
age\DD\usb2.dd"
bs=1M --size
--progress
Adquisición Memoria Volátil
• Belkasoft
• FTK Imager
• Carving process
Fuentes de evidencia (artefactos)
y Análisis
Windows Notifications
• BDD:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpndatabase.db
• Imágenes:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpnidm\
• WinFileTime
• https://gchq.github.io/CyberChef/#rec
ipe=Windows_Filetime_to_UNIX_Tim
estamp('Seconds%20(s)','Decimal')Fro
m_UNIX_Timestamp('Seconds%20(s)')
&input=MTMyMzcwMTgyNTM0ODA2
OTkz
• Transformar DB to CVS:
Windows Registry
Hive Path storage file
HKEY_CLASSES_ROOT HKLM\Software\Clases +
HKCU\Software\Clases
HKEY_CURRENT_USER %SystemRoot%\Users\NTUSER.DAT Configuraciones del usuario actual
HKEY_LOCAL_MACHINE/SAM %SystemRoot System Account Manager, almacena todas las
%\Windows\System32\config\SAM contraseñas del sistema
Retos Práctica
• Completitud de datos y • En línea (no recomendado):
exactitud • Explorar con Regedit
• Extracción de datos • Fuera de línea:
• Falta de conocimiento • Extraer datos con FTK Imager.
• Explorar los datos (el Hive) con
Registry Browser o RegRipper
Windows Registry
ShellBags
• Windows Explorer almacena las
preferencias de vista del usuario. Por
ejemplo, la disposición visual de los
ítems dentro de una carpeta.
• Registra el acceso del usuario a las
carpetas locales o de red.
• Ejemplo un empleado es sospechoso
de haber eliminado/sustraído,
información confidencial de la
organización.
Tareas programadas
Escritorio Remoto
• Conexiones
• Nombres de usuario
• Certificados
• Capturas de pantalla (64x64)
• %localappdata%\Microsoft\Terminal Server Client\Cache
• https://github.com/ANSSI-FR/bmc-tools
• https://www.youtube.com/watch?v=NnEOk5-Dstw
Otros Artefactos importantes
• Windows OS • Archivos
• Lista de usuarios • Por tipo de archivo
• TimeZone • Por tamaño
• Conexiones USB • Software instalado (Registry)
• Windows Explorer • Programas que se ejecutan al iniciar
• Paths digitados en la barra de
sesión
exploración • AMCache y Shimcache
• Archivos recientes
• Búsquedas recientes
• MUICache (Multilingual User
• Cuadros de Diálogos Interface)
• Red
• Print
• #This is a comment
• Variables
• Arrays
• For
• If
• Regex
• Try/exept
Protocolo http
• Examinando el protocolo http:
• https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Fiddler Demo (Descifrar tráfico)
• http://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp
Práctica netstat (network and statistics)
• netstat
• netstat -na
• https://www.whatismyip.com/ip-whois-lookup/
• netstat –nao
• tasklist | findstr xxxx
• netstat -e
• netstat -s
Herramientas
• Wireshark
• Fiddler
• Git for Windows (solo Windows)
Model OSI
1. tshark.exe –D
2. tshark.exe -i \Device\NPF_{1B8D77E3-8CBA-4B46-B0C2-462878F98BAB} -w c:\temp\demoRed.pcap
3. tshark.exe -r c:\temp\demoRed.pcap
4. tshark.exe -r c:\temp\demoRed.pcap -q -z hosts
5. tshark.exe -r c:\temp\demoRed.pcap -Y "dns.resp.name contains drupal.org“
6. tshark.exe -r c:\temp\demoRed.pcap -T fields -e http.host | sort /uniq
7. tshark.exe -r c:\temp\demoRed.pcap -Y "http.user_agent != ''" -T fields -e http.user_agent | sort /uniq
8. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq
9. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq | more
10. tshark.exe -r c:\temp\demoRed.pcap -Y "tcp.port != 80 && tcp.port != 443 && ip.src==192.168.1.59" -T fields
-e ip.dst | sort /uniq | more
tshark en Linux
Linux style in windows: https://git-scm.com/download/win
Application %SystemRoot%\System32\Winevt\Logs\Application.evtx
Security %SystemRoot%\System32\Winevt\Logs\Security.evtx
Setup %SystemRoot%\System32\Winevt\Logs\Setup.evtx
System %SystemRoot%\System32\Winevt\Logs\System.evtx
Security Log
• Índice de eventos
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
• 4672: Special privileges assigned to new logon
• 4624: An account was successfully logged on
• 4634: An account was logged off
• 4625: An account failed to log on
• 4608: Windows is starting up
•…
• Centralized Log Locations
• %WINDIR%\System32\config or %WINDIR%\System32\winevt\Logs
Contain most of the event logs accessible from the Event Viewer.
• %WINDIR%\Logs
Contains a lot of textual log files.
• Microsoft Security Essentials
• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
Runtime Logs
• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
Installation Logs
• Temporary Installation and Windows Defender Logs
• %WINDIR\Temp\*.log
Contains information about MSI installations as well as for Windows Defender starting
/ scanning.
• %AppData%\Local\Temp\*.log
Contains information about MSI installations ran in the context of the current user.
Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Installation Logs
• %AppData%\Local\Microsoft\Websetup (Windows 8)
Contains details about the web setup phase of Windows 8.
• %AppData%\setupapi.log (Windows XP and earlier)
Contains information about device and driver changes and important system
changes, like installation of service packs and hotfixes.
• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
Contains information about setup actions, errors, structure, SIDs and early setup
devices. When the installation is rolled back, these files will contain rollback
information.
• %WINDIR%\PANTHER\*.log,xml
Contains information about setup actions, errors, structure, SIDs and later setup
devices.
• %WINDIR%\INF\setupapi.dev.log
Contains information about Plug and Play devices and driver installations.
• %WINDIR%\INF\setupapi.app.log
Contains information about the installations of applications.
• %WINDIR%\Performance\Winsat\winsat.log
Contains performance
Tomadotest
de: results.
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Time Service
• To enable logging of the Windows Time Service:
• w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
• To disable logging of the Windows Time Service run:
• w32tm /debug /disable
• Windows Update
• %WINDIR%\WindowsUpdate.log
Contains all events related to Windows Update
• %WINDIR%\SoftwareDistribution\ReportingEvents.log
Contains events related to software update status reports.
Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Deployment Image Service and Management Tool (DISM)
• %WINDIR%\Logs\DISM\dism.log
Contains information about events that happen when interacting with the
Windows image.
• Component-Based Servicing (CBS)
• %WINDIR%\Logs\CBS\CBS.log
Contains information about events that happen when interacting with
Windows components and features.
Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
Presentación caso de estudio
MR. Evil
Marco teórico
El Principio de Intercambio de Locard
• http://www.reydes.com/d/?q=Principio_de_Intercambio_de_Locard
• https://www.estudiocriminal.eu/blog/el-principio-de-intercambio-de-
locard/
• http://www.forensichandbook.com/locards-exchange-principle/
Análisis Forense Digital
Documentación
Identificación Recopilación de Preservación de Análisis de la y presentación
del incidente evidencias la evidencia evidencia de los
resultados
Identificación
del incidente
Recopilación de evidencias
Obtención de evidencia/Indicio
• Script
Sistema “vivo” • Fecha y hora.
• Proceso de apagado (limpieza). • Procesos activos.
• Conexiones de red.
• Atacante online. • Puertos TCP/UDP abiertos y aplicaciones
• Acción evasiva o destrucción de asociadas “a la escucha”.
evidencia/datos en general • Usuarios conectados remota y
(desconexión). localmente.
• Imagen RAM
• Orden de volatilidad (RFC 3227).
• Almacenamiento de evidencia (USB,
netcat).
• Comprobación de integridad (Hash).
Análisis de la evidencia
• Descubrir • Reconstruir la línea de tiempo
• ¿Cómo se produjo el ataque? • Justo antes del incidente.
• ¿Quién o quienes lo llevaron a • Momento de detección.
cabo?
• ¿Bajo qué circunstancias se
produjo?
• ¿Cuál era el objetivo del ataque?
• ¿Qué daños causaron?
El entorno de trabajo
• Trabajar sobre copias, no originales.
• Estación de trabajo principal
• Disco duro anfitrión.
• Disco duro con imagen montada en solo lectura.
• Estación réplica de trabajo (OS, HD, MEM, etc.) “conejillo de indias”.
• Trabajo en ambientes virtuales.
ataque
• Vector de ataque • Una premisa del AD es que los
• Clasificación y tipo activo, pasivo. hechos han de ser reproducibles
• Utilice evidencia volátil y sus resultados verificables.
recolectada. • Use su maquina réplica.
• Búsqueda de vulnerabilidades
(Google).
• Búsqueda de exploits.
incidente
• Conexiones abiertas. • IpWhoisLookup
• Dirección IP atacante. • (tomar en cuenta escenarios de
spoofing).
• Análisis de archivos del atacante.
• Técnicas hacker.
• Memoria virtual. • Network Mapper (Nmap)
• Archivos temporales. • Búsqueda en foros y chats.
• Restos de email.
• Conexiones fallidas.
sistema
• Ataques pasivos (fisgonear)
• Ataques activos (alteración de información, DoS)
• Impacto económico.
• Impacto de imagen.
• Sanciones estipuladas en las leyes.
• Póliza vigente con aseguradora.
Informe Ejecutivo
• Entre 3 y 5 páginas.
• Contenido
• Motivos de la intrusión.
• Desarrollo de la intrusión.
• Resultados del análisis.
• Recomendaciones.
Informe Técnico
1. Antecedentes del incidente. 1. Metodología.
• http://www.adfmedia.org/files/CoalfireCMPvideosReport.pdf
López. M. (2007) Análisis Forense Digital.
Revisión Caso Plataforma