Análisis Forense Entornos Windows<br />Juan Luis García Rambla<br />MVP Windows Security<br />jlrambla@informatica64.com<b...
Agenda<br />Introducción<br />Recogida de evidencias<br />Análisis de procesos.<br />Análisis de ficheros y logs.<br />Pro...
INTRODUCCIÓN<br />
Cuando algo ha pasado que nos queda:<br />Deducir que ha pasado.<br />Qué ha motivado que esto haya pasado.<br />Qué ha pe...
La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.<br />R...
Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos:<br />Identificación.<br />Pre...
RECOGIDA DE EVIDENCIAS<br />
Como en cualquier otra indagación o caso, es necesario presentar evidencias.<br />Para que una evidencia pueda ser válida ...
Existe una serie de principios para la toma de información.<br />¿El caso se va a denunciar ojudicializar?<br />¿Cuál es e...
La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias.<br />Esta guía represent...
Dibuja el escenario.<br />Evalúa los tiempos para la generación de la línea temporal.<br />Minimiza los cambios que altere...
De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos:<br />Cache y registro.<br ...
Admisible.<br />Auténtica.<br />Completa.<br />Creíble.<br />Entendible.<br />Consideraciones legales<br />
Apagar la máquina sin haber recogido las evidencias (cuando sea plausible).<br />No ejecutar aplicaciones que puedan alter...
Aquellas que vulneren la intimidad o revelen información personal.<br />Caso: http://legalidadinformatica.blogspot.com/200...
Deben realizarse varias copias de la información.<br />Deben almacenarse en un lugar seguro y a salvo de alteración o dest...
Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse:<br />Quien, cuando, donde y como ...
Las evidencias digitales deben ser tomadas de forma binaria.<br />Debe garantizarse que no puedan manipularse las pruebas ...
La evidencias pueden tomarse mediante tecnología.<br />Hardware. Es menos flexible pero admite menos manipulación y son má...
Elementos Hardware.<br />
ElementosSoftware<br />
Recogida de evidencias<br />
ANÁLISIS DE FICHEROS Y LOGS<br />
Cada contacto deja un rastro<br />Principio de Locard<br />
Búsqueda de ficheros y datos críticos para el caso.<br />Aplicación de principios de línea temporal.<br />Búsqueda de fich...
Papelera de reciclaje<br />Archivo de paginación<br />Restauración del sistema<br />Reconstrucción de la bitácora de naveg...
Contiene información sobre la aplicación<br />Información sobre qué hace la aplicación por debajo<br />Registro de usuario...
IIS (Internet Information Server)<br />Visor de eventos <br />Windows Update<br />TimeLine de ficheros<br />Prefetch<br />...
Búsqueda de información en disco <br />
PROCESOS<br />
No todo lo que se ve es lo que dice ser.<br />Para buscar es necesario conocer primero.<br />El análisis online prima sobr...
Análisis de procesos.<br />Análisis de servicios.<br />Análisis de la memoria Ram.<br />Búsqueda en el registro.<br />Anál...
Hay elementos ocultos o utilizando mecanismos de esteganografía.<br />¿Son verdaderos procesos del sistema los que se está...
Análisis de procesos en un escenario Malware<br />
PROCEDIMIENTO<br />
Salvaguarda la información.<br />Binario.<br />Hash.<br />Ficheros de cadena de custodia.<br />Forma de recoger las eviden...
Recuperación de información eliminada.<br />Análisis de la información de disco.<br />Búsqueda de información según datos ...
Análisis de la información de disco.<br />Búsqueda de ficheros por comportamiento.<br />Búsqueda de palabras clave interne...
Análisis de rootkits.<br />Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc.<br />Eliminac...
Claves.<br />Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros:<br />ADS.<br />Antiforense.<br />Slack.<...
Claves.<br />Análisis de procesos por provocación.<br />Carga de procesos unidos a otros procesos.<br />Búsqueda de plugin...
Claves.<br />Búsqueda de contraseñas.<br />Búsqueda de información relativa a la navegación.<br />Análisis de uso del equi...
Análisis del tráfico de red y procesos que intercambian información.<br />Uso de analizadores de procesos y comunicaciones...
Búsqueda en el fichero de paginación.<br />Búsqueda en memoria. <br />Volcado de memoria. <br />Imágenes de memoria.<br />...
Búsqueda de logs.<br />Uso de consolidadores de logs.<br />Detección de la información.<br />Cruce de eventos.<br />Paso 1...
He venido a contar <br />Yo como Umbral<br />
¿DÓNDE NOS PUEDES ENCONTRAR?<br />En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para esta...
SIMO(22, 23 y 24 de Septiembre)<br />Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 ...
Próxima SlideShare
Cargando en…5
×

Análisis Forense

3.555 visualizaciones

Publicado el

Sesión impartida por Juan Luís Rambla, de Informática64, durante el SIMO Network 2009.

Publicado en: Tecnología, Salud y medicina
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
3.555
En SlideShare
0
De insertados
0
Número de insertados
70
Acciones
Compartido
0
Descargas
286
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Análisis Forense

  1. 1. Análisis Forense Entornos Windows<br />Juan Luis García Rambla<br />MVP Windows Security<br />jlrambla@informatica64.com<br />
  2. 2. Agenda<br />Introducción<br />Recogida de evidencias<br />Análisis de procesos.<br />Análisis de ficheros y logs.<br />Procedimiento.<br />
  3. 3. INTRODUCCIÓN<br />
  4. 4. Cuando algo ha pasado que nos queda:<br />Deducir que ha pasado.<br />Qué ha motivado que esto haya pasado.<br />Qué ha permitido llegar a ello.<br />Qué acciones han sido consecuencia de ello.<br />Qué podemos hacer para evitar que vuelva a suceder... !No¡ <br />El análisis forense<br />
  5. 5. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.<br />R.E.D.A.R - Vocablo que significa: “Echar las redes” <br />RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones.<br />D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes.<br />A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.<br />Análisis basados en modelos.<br />
  6. 6. Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos:<br />Identificación.<br />Preservación.<br />Recogida.<br />Examinación.<br />Análisis.<br />Digital Forensics Research Workshops (DFRW)<br />
  7. 7. RECOGIDA DE EVIDENCIAS<br />
  8. 8. Como en cualquier otra indagación o caso, es necesario presentar evidencias.<br />Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas.<br />Las conclusiones finales deben partir de las evidencias tomadas.<br />La preservación de las evidencias es una máxima forense.<br />La cadena de custodia es una necesidad en casos judicializados<br />Introducción<br />
  9. 9. Existe una serie de principios para la toma de información.<br />¿El caso se va a denunciar ojudicializar?<br />¿Cuál es el objetivo final de la toma de datos?<br />¿Dónde se encuentras la evidencias?<br />¿Cómo salvaguardamos la información?<br />¿Quién mantiene las evidencias?<br />Recogida y almacenamiento<br />
  10. 10. La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias.<br />Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente.<br />La guía presenta además conductas para la recogida de evidencias.<br />IETF RFC 3227<br />
  11. 11. Dibuja el escenario.<br />Evalúa los tiempos para la generación de la línea temporal.<br />Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo.<br />Si hay confrontación entre recoger y analizar, da prioridad a la recolección.<br />Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos.<br />El orden de recogida de datos debe quedar establecido en función de la volatilidad.<br />La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.<br />Guía de principios<br />
  12. 12. De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos:<br />Cache y registro.<br />Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria.<br />Ficheros temporales.<br />Disco.<br />Logs.<br />Configuración física.<br />Medios de almacenamiento externos.<br />La volatilidad de los datos<br />
  13. 13. Admisible.<br />Auténtica.<br />Completa.<br />Creíble.<br />Entendible.<br />Consideraciones legales<br />
  14. 14. Apagar la máquina sin haber recogido las evidencias (cuando sea plausible).<br />No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros.<br />Utilizar aplicaciones que no realicen copias binarias.<br />Cosas a evitar<br />
  15. 15. Aquellas que vulneren la intimidad o revelen información personal.<br />Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-las-evidencias.html<br />Aquellas que vulneren las normativas de seguridad de la empresa.<br />Aquellas que no puedan demostrarse como no manipuladas.<br />Evidencias invalidadas<br />
  16. 16. Deben realizarse varias copias de la información.<br />Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción.<br />Debe establecerse una cadena de custodia.<br />Almacenamiento de las evidencias<br />
  17. 17. Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse:<br />Quien, cuando, donde y como se han tomado las evidencias.<br />Quien, cuando y como se han analizado las evidencias.<br />Quien y durante cuanto tiempo se ha custodiado la evidencia.<br />Cuando y entre quien han cambiado la custodia de las evidencias.<br />Cadena de custodia<br />
  18. 18. Las evidencias digitales deben ser tomadas de forma binaria.<br />Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH.<br />Se recomienda por seguridad la firma SHA-1 frente a MD5.<br />Como deben recogerse las evidencias digitales<br />
  19. 19. La evidencias pueden tomarse mediante tecnología.<br />Hardware. Es menos flexible pero admite menos manipulación y son más rápidas.<br />Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos.<br />Como recoger las evidencias digitales<br />
  20. 20. Elementos Hardware.<br />
  21. 21. ElementosSoftware<br />
  22. 22. Recogida de evidencias<br />
  23. 23. ANÁLISIS DE FICHEROS Y LOGS<br />
  24. 24. Cada contacto deja un rastro<br />Principio de Locard<br />
  25. 25. Búsqueda de ficheros y datos críticos para el caso.<br />Aplicación de principios de línea temporal.<br />Búsqueda de ficheros discordantes.<br />Detección de ficheros basados en firmas.<br />Búsqueda de palabras clave.<br />Recuperación de datos eliminados.<br />Análisis de datos<br />
  26. 26. Papelera de reciclaje<br />Archivo de paginación<br />Restauración del sistema<br />Reconstrucción de la bitácora de navegación<br />Archivos temporales<br />Documentos recientes<br />Etc..<br />Información en el sistema operativo<br />
  27. 27. Contiene información sobre la aplicación<br />Información sobre qué hace la aplicación por debajo<br />Registro de usuarios<br />Passwords<br />Fecha y hora de acceso a la información<br />Direcciones IP<br />Etc.…<br />La importancia de los Logs<br />
  28. 28. IIS (Internet Information Server)<br />Visor de eventos <br />Windows Update<br />TimeLine de ficheros<br />Prefetch<br />Tablas ARP<br />Logs SQL Server<br />Archivos de registro de Windows<br />SAM, SYSTEM, SOFTWARE, etc.…<br />Archivos Log importantes<br />UN BUEN EQUIPO<br />RELAX Y PACIENCIA<br />
  29. 29. Búsqueda de información en disco <br />
  30. 30. PROCESOS<br />
  31. 31. No todo lo que se ve es lo que dice ser.<br />Para buscar es necesario conocer primero.<br />El análisis online prima sobre el análisis offline.<br />A veces solo determinados elementos son descubiertos con el sistema activo.<br />Análisis del sistema<br />
  32. 32. Análisis de procesos.<br />Análisis de servicios.<br />Análisis de la memoria Ram.<br />Búsqueda en el registro.<br />Análisis de la información de red.<br />Donde buscar<br />
  33. 33. Hay elementos ocultos o utilizando mecanismos de esteganografía.<br />¿Son verdaderos procesos del sistema los que se están ejecutando?<br />¿Qué se ejecuta en cada puerto?<br />¿Qué información se envía por la red?<br />Hay rastros de sistemas antiforenses.<br />¿Qué tener en cuenta<br />
  34. 34. Análisis de procesos en un escenario Malware<br />
  35. 35. PROCEDIMIENTO<br />
  36. 36. Salvaguarda la información.<br />Binario.<br />Hash.<br />Ficheros de cadena de custodia.<br />Forma de recoger las evidencias.<br />Imagen DD.<br />Clonación binario.<br />A tener en cuenta.<br />Si el destino de la copia ha sido utilizado wipear disco.<br />Paso 1 (Requerido en judicial)<br />
  37. 37. Recuperación de información eliminada.<br />Análisis de la información de disco.<br />Búsqueda de información según datos aportados en las reuniones.<br />Análisis y búsqueda de información ocultada por técnicas de ocultación.<br />Uso de la línea temporal para el análisis de la información.<br />Recuperación de correos y ficheros según técnicas KFF.<br />Paso 2 (Análisis de ficheros en judicial)<br />
  38. 38. Análisis de la información de disco.<br />Búsqueda de ficheros por comportamiento.<br />Búsqueda de palabras clave internet.<br />Análisis de la papelera de reciclaje.<br />Búsqueda de marcas de aplicaciones antiforense.<br />Paso 3 (Análisis de ficheros en judicial)<br />
  39. 39. Análisis de rootkits.<br />Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc.<br />Eliminación de posibles rootkits.<br />Volver a analizar posibles rootkits.<br />Análisis de procesos.<br />Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc.<br />Búsqueda de rutas de procesos discordantes.<br />Análisis de los procesos / puertos.<br />Análisis por comportamiento.<br />Paso 4 (Análisis online)<br />
  40. 40. Claves.<br />Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros:<br />ADS.<br />Antiforense.<br />Slack.<br />Etc.<br />Búsqueda de posibles procesos de sistema con rutas diferentes de los originales.<br />Búsqueda de procesos persistentes.<br />Análisis de puertos / procesos.<br />Paso 5 (Análisis online)<br />
  41. 41. Claves.<br />Análisis de procesos por provocación.<br />Carga de procesos unidos a otros procesos.<br />Búsqueda de plugins / BHO.<br />Análisis de librerias y ejecutables.<br />Búsqueda de ficheros cargados o modificados por libreriasy/o ejecutables.<br />Paso 6 (Análisis online)<br />
  42. 42. Claves.<br />Búsqueda de contraseñas.<br />Búsqueda de información relativa a la navegación.<br />Análisis de uso del equipo (tiempos).<br />Paso 7 (Análisis online)<br />
  43. 43. Análisis del tráfico de red y procesos que intercambian información.<br />Uso de analizadores de procesos y comunicaciones.<br />Usos de analizadores de red.<br />Paso 8 (Análisis online)<br />
  44. 44. Búsqueda en el fichero de paginación.<br />Búsqueda en memoria. <br />Volcado de memoria. <br />Imágenes de memoria.<br />Paso 9 (Análisis online)<br />
  45. 45. Búsqueda de logs.<br />Uso de consolidadores de logs.<br />Detección de la información.<br />Cruce de eventos.<br />Paso 10 (Análisis logs)<br />
  46. 46. He venido a contar <br />Yo como Umbral<br />
  47. 47. ¿DÓNDE NOS PUEDES ENCONTRAR?<br />En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico <br />http://www.informatica64.com/boletines.html<br />En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. <br />http://www.informatica64.com/10aniversario/<br />En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. <br />http://www.windowstecnico.com/<br />En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. <br />http://www.informatica64.com<br />
  48. 48. SIMO(22, 23 y 24 de Septiembre)<br />Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. <br />Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES <br />Durante los tres días se realizarán HOLs Guiados y Auto guiados<br />http://technet.microsoft.com/es-es/hol_simo09.aspx<br />Azlan D-LINK Academy:<br />5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. <br />Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html<br />V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). <br />(Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo)<br />Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html<br />Microsoft TechNet HandsonLab (HOLs)<br />En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre)<br />Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx<br />PROXIMOS EVENTOS<br />

×