En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON 2012]
1. Juan Garrido
Consultor Seguridad
http://windowstips.wordpress.com
2. Agenda
• Introducción
• Evidencias a analizar
• Análisis forense corporativo
• Principales problemas
• Aprovecha tu infraestructura
• Scripting
• Referencias
3. Introducción
• Se necesitan recolectar determinadas
evidencias
• La prueba debe ser admisible
• El dato debe soportar reportes internos
• Se puede utilizar para otro tipo de
investigaciones
4. Introducción
RAM,
Análisis de Red Sistema de
pagefile.sys,hi
berfil.sys
ficheros,
volumen
Aplicaciones y
sistema
operativo
Objetivo
5. Evidencias a analizar
• Procesos del sistema
– Malware, Rootkits, etc…
• Tráfico de red involucrado en el equipo
– Transferencia de ficheros
– Botnet
• Memoria RAM
– Elementos volátiles
• Elementos del equipo
– Ficheros en ejecución
6. Análisis forense corporativo
• A priori no es tan fácil como parece
– Complejidad en el entorno
• Muchos equipos
• Muchas organizaciones
• ¿Muchas localizaciones?
7. Análisis forense corporativo
• En estos tiempos que corren, surgen nuevas
cuestiones….
– Tenemos dinero para externalizar un análisis?
– La prueba será admisible?
– Han tenido tiempo de recolectar evidencias?
8. Análisis forense corporativo
• CRISIS!!!!!
– Absorción de empresas
– Quiebra de empresas
– División de empresas
• Traducción….
– Posibles trabajadores descontentos
– Jefes de proyecto sin competencias
– Migración de datos y posible pérdida
– Posibilidad de Robo?
9. Principales problemas
• Diferentes empresas, diferentes políticas
• Herramientas no soportadas por la
organización
– Políticas estrictas
– Falsos positivos en determinadas herramientas
– Requerimientos necesarios para su puesta en
marcha
11. Aprovecha tu infraestructura
• Controladores de Dominio
– Facilidad para desplegar políticas de grupo
– Centralizar acciones forenses
• Servidores de Bases de Datos
– Almacenaje de cierto tipo de evidencias (Logs)
– Reporting Corporativo
• Equipos Cliente
– Herramientas nativas del OS
– Motores de Scripting
• Cscript
• WMI (Windows Management Intrumentation)
• General a toda la infraestructura
– Copias en la sombra (Shadow Copy)
12. Aprovecha tu infraestructura
• Auditoría de equipos y servidores
– El activar esta función puede mermar la capacidad
y funcionamiento del disco
– Almacena información en tiempo real mientras el
equipo está en funcionamiento
• Servidores de BBDD
– Se pueden utilizar para almacenar datos de
auditoría
– Automatización con LogParser
15. Scripting
• Motor de scripting nativo
– Altamente configurable
– Multitud de opciones
– Elimina problemas de interoperabilidad
– Fácilmente adaptable a la organización
– Fácil implantación
17. Qué necesito
• Con el Firewall de Windows Activado
– Es necesario activar el servidor RPC
– netsh firewall set service RemoteAdmin enable
– Se puede realizar a través de políticas de grupo
– Se puede activar localmente utilizando psexec
• Developers & Scripting Guys
– Se pueden securizar las conexiones WMI
– http://msdn.microsoft.com/en-
us/library/aa393266.aspx
18. Qué necesito
• Windows Vista /7
– Hay un cambio en la estructura de NETSH
– El parámetro firewall pasa a ser ADVFIREWALL
– El Firewall de XP pasa a ser un Firewall Avanzado
• Controles de entrada y salida
• Integración con IPSEC
19. Qué necesito
• Control de acceso a DCOM
– Distributed Component Object Model
– Se utiliza para la comunicación de uno o N
equipos
– Admite varios tipos de autenticación
24. Ficheros abiertos
• Equipos cliente
– Comando OpenFiles
• Similar al comando lsof en Linux
• Muestra archivos abiertos en la máquina
• Es necesario activarlo (Desactivado por defecto)
– Openfiles /local on (Es necesario reiniciar)
– Openfiles /query /v (Consulta)
25. Hash de ficheros
• File CheckSum Integrity Verifier
– Herramienta Microsoft
– Command line (Of course)
– Posibilidad de calcular valores Hash
– Almacena datos en BBDD XML
– Posibilidad de comparar versiones BBDD