Analisis forense I

790 visualizaciones

Publicado el

Publicado en: Educación
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
790
En SlideShare
0
De insertados
0
Número de insertados
234
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Analisis forense I

  1. 1. Módulo: Seguridad Y Alta Disponibilidad REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  2. 2. Módulo: Seguridad Y Alta DisponibilidadÍndice1. Instalación de las herramientas.........................................................................................................32. Iniciación del programa....................................................................................................................43. Creación de un nuevo caso...............................................................................................................54. Analisis de las imagenes del sistema..............................................................................................135. Análisis de las herramientas del intruso.........................................................................................21 REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  3. 3. Módulo: Seguridad Y Alta Disponibilidad1. Instalación de las herramientas. • Instalacion de Sleuthkit #apt-get install sleuthkit • Instalacion de Autopsy #apt-get install autopsy2. Iniciación del programa REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  4. 4. Módulo: Seguridad Y Alta DisponibilidadEn el navegador ponemos :Creamos una carpeta y metemos hay la imagen y la descomprimimos.Ahora con un simple comando descomprimiremos todos los ficheros gzip: #for fichero in $(ls | grep v readme) ;do gzip d $fichero ;done REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  5. 5. Módulo: Seguridad Y Alta Disponibilidad3. Creación de un nuevo casoAhora pasaremos a montar la imagen mediante el dispositivo de loopback de formasimilar a como puede hacerse con una ISO.Pero primero deberemos tener claro elsistema de ficheros utilizado en la partición. # file honeypot.hda8.dd honeypot.hda8.dd: Linux rev 1.0 ext2 filesystem data (mounted or unclean) REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  6. 6. Módulo: Seguridad Y Alta DisponibilidadAhora ya sabes cual es el sistema de ficheros utilizado.Lo montaremos para exarle unvistazo.Ahora averiguaremos el sistema operativo instalado:Tambien podremos saber el nombre del hsot:Ahora averiguaremos su direccion ip: REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  7. 7. Módulo: Seguridad Y Alta DisponibilidadAhora crearemos el host mediante autopsy utilizando para ello los datos obtenidos ypulsando para ello sobre el botón “Add Host”:Los demas campos los dejaremos vacios y despues añadiremos images “Add image”. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  8. 8. Módulo: Seguridad Y Alta DisponibilidadSelecionamos add image file: REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  9. 9. Módulo: Seguridad Y Alta Disponibilidad • La primera opción necesita una ruta absoluta de la ubicación del fichero deimagen. • La segunda opción permite especificar si se trata de una imagen de disco completo o solo de una partición. • La tercera opción afecta al tratamiento del fichero de imagen. Con symlink se creará un enlace simbólico en el directorio del caso y que apuntará a la ubicación original para la imagen. Las otras opciones permiten mover allí el fichero o tan solo copiarlo.Una vez completado le damos a “ADD” y seguimos añadiendo el resto de images de lamisma manera. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  10. 10. Módulo: Seguridad Y Alta Disponibilidad4. Analisis de las imagenes del sistema.Abrimos el caso creado,pulsamos “Open Case” y aparecera el primer caso y pulsamos sobre“ok”,ahora aparecerá el host apollo.honeyp.edu y pulsaremos nuevamente sobre “OK”.Vamos a comenzar a viendo lso ficheros log por lo que seleccionaremos /var como punto demontaje y pulsamos “Analyze”.En la parte superior pulsaremos sobre “File Analysis”.Despues pulsamos sobre el directoriolog para revisar los archivos. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  11. 11. Módulo: Seguridad Y Alta DisponibilidadY cuando estemos en el directorio de log nos vamos al fichero secure, el cual contieneinformación sobre accesos a la máquina y cuestiones relacionadas con la seguridaddel sistema.Como resultado del análisis comprobaremos como las últimas conexiones al sistema serealizaron a través de telnet.Ahora selecionaremos /home como punto de montaje ypulsaremos “Analyze” yposteriormente “File Analysis”.Si analizamos su .bash_history, cuyo último cambio es de las 15:59:07 del 8 de noviembrede 2000, observaremos como parece que realizó una instalación tras eliminar una serie deficheros. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  12. 12. Módulo: Seguridad Y Alta DisponibilidadProcederemos en este momento con el análisis de la partición / , para lo que mostraremostodos los ficheros/directorios eliminados.Como podemos ver algunos archivos temporale han sido eliminados. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  13. 13. Módulo: Seguridad Y Alta DisponibilidadSi accedemos a dicha característica pulsando sobre el botón “File Activity Timelines” ysiguiendo los pasos que se mencionan a continuación podremos generar una lista de sucesosrelacionados con la actividad sobre ficheros que aparecerán organizados en el tiempo.Para ello primero pulsaremos sobre “Create Data File” y marcaremos todas lasimágenes. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  14. 14. Módulo: Seguridad Y Alta DisponibilidadLe damos a “OK”.Ahora modificaremos únicamente las fechas de inicio y fin del intervalo de tiempoabarcado (marcando “specify” para que estas sean tenidas en cuenta). En nuestrocaso servirán como ejemplo desde el 7 de noviembre de 2000 hasta el 1 de Enero de2001 tras lo que pulsaremos sobre “OK”. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  15. 15. Módulo: Seguridad Y Alta DisponibilidadPulsamos “OK” y accederemos a la visualizacion de la linea del tiempo.5. Análisis de las herramientas del intrusoPrimero montaremos la imagen correspondiente a /usr yobservaremos el contenido delbinario REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
  16. 16. Módulo: Seguridad Y Alta DisponibilidadAparecen una serie de cadenas que parecen indicar que se trata de la herramientaxscan. Se trata de un programa que analiza un host/subred que se le proporcionacomo argumento en busca de servidores X desprotegidos. Si encuentra algunocomienza a capturar todas las pulsaciones de teclas. REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA

×