2. Pedro Sánchez
Consultor especializado en Computer
Forensics, Honeynets, detección
de intrusiones, redes trampa y pen-testing.
He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS
y diversas metodologías de seguridad especialmente en el sector
bancario durante mas de diez años.
También colaboro sobre seguridad, peritaje y análisis forense
informático con diversas organizaciones comerciales y con las
fuerzas de seguridad del estado, especialmente con el Grupo de
Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de
Investigación Tecnológica de la policía nacional (BIT).
He participado en las jornadas JWID/CWID organizadas por el
ministerio de defensa, en donde obtuve la certificación Nato
Secret, dando conferencias en NATO Cooperative Cyber Defence
Centre of Excellence Tallinn, Estonia
Soy miembro de la Spanish Honeynet Project, fundador
de ConexiónInversa , consultor en Google y Bitdefender y soy
Perito Judicial Informático.
4. Agenda
1.- Iniciando un análisis forense 3.- La memoria
– Comandos – ptfinder
– FTK Imager – Pagefile.sys
– DumpIT – Volatility
– Memorizer – RedLine
– CD Live 4.- Analizando la red
– Clonadoras – Tshark - WireShark
– Integridad – Network Miner
– NetWitness
2.- Analizando datos – Artefactos 5.- El laboratorio Forense
– RegRipper
– WFA
– WRR
– WinprefetchView
– Web Historian
4
5. Un mundo lleno de herramientas
¿Las necesitamos?
• Cuando hacemos una pericial tenemos que disponer de un conjunto de
recursos que garanticen la evidencia a través de una o varias pruebas.
• Pretende resolver:
– La investigación del fraude digital
– Dar respuesta forense a incidentes corporativos
– La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos
para litigios, negociaciones o arbitrajes
– La elaboración y defensa de periciales y contra periciales como expertos independientes
– La prevención y la gestión informático-forense de riesgos corporativos y
gubernamentales en entornos digitales
• Las herramientas son un instrumento de ayuda, nunca la solución a
nuestra investigación.
7. El misterioso caso de winreg
Los pasos- Adquisición y clonado
• nc -L -p 7777 >datos_listener.txt
– Tras establecer el listener en la maquina remota, podemos pasarle información a través
de la red desde la maquina sospechosa de haber sido comprometida:
• Código:
– tlist.exe -c |nc <ip_remota> 7777 -w 5
tlist.exe -t |nc <ip_remota> 7777 -w 5
tlist.exe -s |nc <ip_remota> 7777 -w 5
netstat -naob |nc <ip_remota> 7777 -w 5
– tcpvcon -can |nc <ip_remota> 7777 -w 5
• Fecha y hora actual del sistema:
– Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt
• Uptime de la maquina:
– (systeminfo | find “Boot Time”) >%DIR%uptime.txt
– ipconfig /all >%DIR%ipconfigNICs.txt
netstat -rn >%DIR%TablaEnrutamiento.txt
nbtstat -c >%DIR%CacheNombresNetbios.txt
• Arbol de procesos en ejecución (SysInternals):
– pslist -t >%DIR%ArbolProcesos.txt
• Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger:
– listdlls >%DIR%DLLs.txt
– handle -a >%DIR%handles.txt
7
8. El misterioso caso de winreg
Los pasos- Adquisición y clonado
• Volcados por fallo configurando el SO para crear un volcado de memoria
completa de Windows (también conocida como pantalla azul o kernel
panic)
• Volcado LiveKD por uso de herramientas
• Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede
analizar y descomprimidos para obtener la imagen de memoria.
• MoonSols DumpIt es una fusión de win32dd y win64dd en un
ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic
sobre el ejecutable es suficiente para generar una copia de la memoria
física en el directorio actual. DumpIt es la utilidad perfecta para desplegar
en una llave USB para una rápida operación de respuesta a
incidentes. Rápido, pequeño y portátil.
8
11. El misterioso caso de winreg
Los pasos- CLONADO
• Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o
sectores defectuosos.
• Existen múltiples formas y herramientas
– Por software
• DD
• Live CD
• OSForensics
• EnCase
– Por Hardware
• Clonadoras
11
15. El misterioso caso de winreg
Los pasos- CLONADORES DE DISCO
• Clonadores por harware
• Rapidez, eficacia, sencillez, no intrusivo
• El coste de estas herramientas es muy alto de base (hasta 20.000€)
15
20. Análisis de datos
Artefactos de Windows
• Son los diferentes ficheros, cadenas de registro, rutas de acceso y
configuraciones que pueden determinar la actividad de un malware o de
un usuario malicioso, así como las evidencias necesarias para una prueba.
20
21. Análisis de datos
Artefactos de Windows
• El editor del registro no muestra solo la estructura local, existen varias
claves y subclaves que están almacenadas sobre ficheros en el disco duro.
Estos ficheros son llamados 'hives'.
• El sistema a estos ficheros 'los mima' estableciendo copias de seguridad
para su posterior utilización en caso de que el sistema falle en el inicio del
sistema operativo.Las claves del registro que se asocian a los 'hives' son
HKLM y HKU.
21
22. Análisis de datos
Artefactos de Windows
¡¡ Mama quiero ser perito!!
http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html
22
33. Análisis de datos
VOLATILITY
• Detalles de la imagen (fecha, hora, número de CPU)
• Los procesos en ejecución
• Proceso de SID y variables de entorno
• Conexiones de red
• DLLs cargados para cada proceso
• Los objetos del kernel / (archivos, claves, exclusiones mutuas)
• Los módulos del kernel
• Volcado de cualquier proceso, DLL o módulo en el disco
• Mapeo físicas a las direcciones virtuales
• Memoria direccionable para cada proceso
• Mapas de memoria para cada proceso
• Extraer muestras ejecutables
• Historias de comandos (cmd.exe) y datos de consola de entrada / salida
• PE información de versión
• Las tablas del sistema de llamada
• Secciones del Registro
• Volcado LM / NTLM hashes y secretos LSA
• Ayudar al usuario y exploración shimcache
• Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria
• Analizar tiempos del núcleo y funciones de devolución de llamada
• Informe sobre los servicios de Windows
33
44. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense
• Un laboratorio se compone de:
– Personas
– Ubicación física segura
– Dispositivos y medios de extracción
– Dispositivos de explotación
– Dispositivos de aseguramiento de la prueba
– Procedimientos que regulan la actuación del laboratorio
– Procedimientos normativos
44
45. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense
• Director de laboratorio
• Director Técnico
• Personal especializado (de 2 a 5 personas)
• Coordinación con notario especializado en delitos telemáticos
• Apoyo jurídico técnico referente a la probática del laboratorio.
• Formación:
• Especialistas en seguridad
• Capacidad investigadora
• Resolutivos en tiempo
• Formación académica en técnicas forenses
• Con conocimientos en pericias judiciales
• ¿Certificaciones?
45
46. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Ubicación física
• Edificio seguro o zonas estancas con vigilancia
• Vigilancias física:
– Guardia de seguridad
– Registro de entradas y salidas
– Entrada al recinto de alta seguridad por personal autorizado
– Cámaras de video vigilancia
– Volumetricos
– Circuitos de aire frio/calientee
– S3
– Control externo
• Le afecta la misma norma que un CPD
46
47. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Dispositivos
• Segregación de entornos
– Entorno de test
– Entorno de producción
• El entorno de test no es valido para la prueba pericial, salvo que contenga
las mismas medidas que el de producción
• Elementos homologados y procedimentados
– Clonadoras
– Dispositivos de almacenamiento
– Dispositivos de extracción
– Generación y almacenamiento seguro de huellas
– Tercero de confianza
47
48. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Procedimientos
• Segregación de entornos
– Entorno de test
– Entorno de producción
• Política de entrada y salida del laboratorio
• Gestión de personal o usuarios
• Gestión de la seguridad física
• Gestión de la seguridad lógica
• Política de mesas limpias
• Política de gestión de dispositivos y dispositivos de backup.
• Política de obtención de información y almacenamiento seguro
– Recuperación local de datos
– Recuperación remota de datos
– Aseguramiento de la información en transito
• Política de cadena de custodia
• Política de gestión de custodios
• Gestión de incidencias del laboratorio
– Aviso a proveedores
– Recuperación local de datos
– Recuperación remota de datos
• Continuidad de negocio
48
49. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Normativo
• Debe de ser seguro e incluido dentro del alcance de un SGSI.
• Le afecta la LOPD intensamente
Amenazas
Humanas Naturaleza
No
Intencionales
intencionales
Internas Externas
49
50. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Infraestructura
• Preferiblemente:
– Zona cero
– Clonadoras
• De discos
• De discos de alta capacidad
• De dispositivos móviles
– Almacenamiento de huellas en caja cerrada
– Posibilidad de software con tercero de confianza
– Software homologado
– Hardware homologado
– Entorno de extracción con vitalización
– Registros de salidas en entornos estancos
– Infraestructura segura de transporte hasta el juzgado o cliente.
50
51. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Ciclo de vida
51