Forense Linux.pdf

Respuesta a Incidentes y Análisis Forense

Análisis Forense Linux
I
Raúl Fuentes Ferrer

Análisis Forense Linux
I. Análisis Forense Linux
1. Análisis Forense
2. Fases de una investigación




Verificación
Obtención
Análisis
Elaboración de informes y custodia de
3. Obtención de evidencias en Linux
4. Análisis de las evidencias en Linux
Disclaimer: La información contenida en esta presentación sólo es para fines educativos
por lo cual no nos hacemos responsables por el uso indebido de ella.

Fases habituales de la Respuesta a Incidentes
 Planificar y preparar
 Detección del Incidente
 Contención y Respuesta
 Recuperación
 Análisis (post-mortem)
Respuesta a Incidentes vs Análisis Forense

En 'dos palabras'…
'Forensic Computing is the process of identifying, preserving, analyzing
and presenting digital evidence in a manner that
(Rodney McKemmish 1999)
is legally acceptable'
Se basa en el principio 'de intercambio
criminalista francés.
de Locard'. Edmond Locard (1877-1966),
Introducción

Principio de intercambio de LOCARD
‘Siempre que dos objetos entran en contacto transfieren
que incorporan al otro objeto'
parte del material
Introducción

Una investigación forense consta de




Identificación de la evidencia y su verificación
Obtención de la evidencia
Análisis y evaluación de evidencias
Presentación y almacenamiento de evidencias
Incluye los siguientes aspectos
 IDENTIFICAR, PRESERVAR, ANALIZAR y PRESENTAR
de manera adecuada.
la evidencia
 Debe realizarse siguiendo los estándares apropiados, especialmente si
los resultados tienen que poder admitirse en un juicio.
Introducción

 Extraer información
digital.
de un sistema de manera que sirva como evidencia
 Responder a las preguntas asociadas al suceso.
 Pueden utilizar las evidencias en un proceso judicial.
 Catalogar la información en función de su naturaleza.
Objetivos

“Cualquier información generada o almacenada en un sistema informático y
que pueda ser utilizada en un proceso legal como prueba”.
 Existen tres tipos de evidencia digital:



Información
Información
Información
almacenada en el equipo informático.
generada por los equipos informáticos.
que parcialmente ha sido generada y almacenada en los
equipos informáticos.
 La evidencia se debe obtener, custodiar, revisar, analizar y presentar.
 Para que tenga validez legalmente, se debe demostrar que la evidencia
ha sido alterada.
no
Evidencia Digital









T
estimonio humano
Tráfico de red
Dispositivos de red
Sistemas Operativos
Bases de Datos
Aplicaciones
Periféricos
Ficheros en
etc…
T
eléfonos
Impresoras
…¡TODO!
discos internos, externos, USB, CD/DVD,



Tipos de Evidencias

 Usuarios o personal de TI informan de un posible incidente
 Cuentas bloqueadas, funcionamiento errático o incorrecto de
aplicaciones, ficheros desaparecidos, etc.
 Alerta generada por los sistemas de gestión de sistemas
 Disponibilidad de sistemas, espacio en disco, utilización CPU,…
 Alerta generada por los sistemas de gestión de la seguridad
 Firewall, IDS, Antivirus, etc.
 Por

aviso de terceros
Policía, prensa, competidores, etc.
 Por encargo directo
Inicio de una investigación

Los fraudes internos pueden implicar diferentes elementos de un sistema:
 Múltiples Aplicaciones.
 Sistemas relacionados
 Infraestructura de red (DNS, DHCP
, routers, switches, ...)
 Sistemas de soporte (directorio, backup, monitorización)
 Múltiples hosts




Clientes
Front-end
Middleware
Back-end, Bases de datos
Verificación del incidente

 Sistema 'muerto'
– Sin corriente eléctrica
– Sistema apagado
– Disco Duro
– Discos Externos, CD/DVD, disqueteras, etc...
 Sistema 'vivo'
– Con corriente eléctrica
– Procesos en ejecución
– Accesos a disco
– Dispositivos removibles en continuo cambio

Respuesta inicial es CRÍTICA
 Apagar el sistema a analizar puede destruir evidencia crítica.
 Los atacantes pueden aprovechar las ventajas de la volatilidad de la
memoria ya que hay malware que solo se ejecuta en memoria.
 El nivel de
conseguido y
ocultación
de la pericia
de
del
datos dependerá
atacante.
del nivel de acceso

 Si nos encontramos el dispositivo encendido: Análisis en caliente (vivo)
 Podemos recoger información de la memoria volátil.
 Es sencillo contaminar el sistema de manera involuntaria
.
Si nos encontramos el sistema apagado: Análisis post mortem
 Evitamos una alteración de las evidencias del sistema.
 Sólo seremos capaces de recopilar información persistente.

 Entonces, si la máquina está encendida… ¿es recomendable apagar?
Si se apaga el sistema: Se pierden los datos volátiles
Si no se apaga el sistema: Se podría alterar el sistema
¡Solución en función del caso!
Tipos de entornos de análisis

 Volátiles




Servicios en ejecución.
Usuarios autenticados.
Ficheros en uso.
Procesos de memoria.
 No volátiles



Ficheros.
Documentos.
Logs.
 Transitorios
 Memoria.
 Caché.
Frágiles
 Archivos temporales.

Tipos de Datos

¿Qué es?
La capacidad de persistencia en el tiempo de los datos.
Volatilidad

+ volátil
 Recabar conexiones de red y desconectar de la red
 Adquirir procesos en ejecución y memoria del Sistema
 Adquirir imágenes de discos
 Fotografías de Hw y lugares
 Continuar verificación del incidente
 Logs, IDS, entrevistas, logs de SO, aplicaciones,
correlación, etc...
- volátil

Información volátil importante:
 Hora y fecha del sistema
 Procesos en ejecución
 Conexiones de red
 Puertos abiertos y aplicaciones asociadas
 Usuarios logueados en el sistema
 Contenidos de la memoria

Nunca confíes en el sistema que se está analizando.
comprometido.
El atacante puede haberlo
Las herramientas usadas para examinar un sistema en marcha deben
 Ser

copias 'limpias' (en un CD/DVD)
Copias de comandos de sistema
– Diferentes versiones de OS
Otras herramientas

 Usar el mínimo de recursos del propio sistema
 Alterar el sistema lo mínimo posible

¿Cómo se justifica la no manipulación?
 Mediante la firma digital de las evidencias.
 Las evidencias deben ser copiadas y firmadas para verificar
mantienen inalterables durante el proceso de análisis forense.
¿Qué es una firma digital?
 Una cadena alfanumérica que se obtiene tras aplicar un algoritmo,
función hash o función resumen, a un fichero origen y que identifica
inequívocamente al mismo.
 Existen varios algoritmos de hashing: MD5, SHA1, SHA2, …
Tratamiento de la Evidencia

¿Cómo se realiza la firma digital?
 Existen gran cantidad de herramientas para firmar ficheros:




md5sum
sha256sum
sha512sum
…
 Gran parte de los softwares de clonación
los elementos clonados:
permiten calcular el hash de



FTK Imager (Linux)
Dcfldd
Dc3dd
Las funciones hash no son reversibles

PoC: Firmar digitalmente un fichero
 Crear un fichero de texto con cualquier contenido:
echo 'contenido' > nombre_del_fichero.txt
 Calcular el hash MD5/SHA256 de dicho fichero:
md5sum nombre_del_fichero.txt sha256sum nombredel_fichero.txt




Anotar el hash MD5/SHA256 devuelto.
Modificar el fichero original.
Calcular de nuevo el hash del fichero modificado.
Comparar el hash MD5/SHA256 del fichero original y del fichero
modificado.

Los duplicados de disco son admisibles en un juicio si corresponden a alguno
de estos dos tipos:
 Duplicado forense ‘dd’
-
-
-
Contiene una imagen 'cruda' o raw
Copia bit a bit
No se añade ningún dato extra
 Duplicado cualificado (dc3dd, FTK Imager)
- Se añaden metadatos (hashes, timestamps,etc…)
- Compresión de bloques vacíos.
Adquisición y Duplicado de Discos

Adquisición física




Apagar la máquina, desconectando el
Quitar el disco duro
cable
Ponerlo en modo sólo lectura, con jumper o IDE/SCSI block-writer
Conectarlo a la estación forense y realizar una copia bit a bit con
un disco externo limpio, borrado a bajo nivel
‘dd’ a
Adquisición a través de la red de una máquina apagada
 En la estación forense: nc -l -p 5000 > disk1.dd
 Iniciar la máquina a analizar con una distribución LiveCD
Deft) y ejecutar:
dd if=/dev/sda | nc 192.168.0.1 5000
de Linux (p.ej.
dd if=/dev/sdb1 of=/tmp/disco.dd
dc3dd if=/dev/sdb1 of=/tmp/disco.dd hash=sha256 hash=md5 log=/tmp/info.txt
sudo lsblk –fm Muestra información sobre dispositivos de bloques. -f Sistema ficheros -m permisos
sudo fdisk –l Muestra o manipula una tabla de particiones de disco. -l Muestra pariciones
df –h Muestra información sobre todos los sistemas de ficheros. –h Formato Humano

Adquisición a través de la red de una máquina encendida
 No es la opción más recomendable ya que el S.O. no es fiable y el
sistema de ficheros está en un estado ‘inestable’
 En la estación forense: nc -l -p 5000 > disk1.dd
 En la máquina a analizar, ejecutar ‘dd’ desde un CD/DVD
limpio:
dd if=/dev/sda | nc -w 3 192.168.0.1 5000
Podemos instalar pv (monitorizar progreso)
dd if=/dev/sda | pv | nc –w 3 192.168.0.1 5000

Imágenes de un sistema ‘apagado’


Extraer disco duro
Si el disco tiene un jumper para ‘read-only’ se puede usar
 Si no, un ‘write blocker’ por hardware es necesario (IDE /SATA
/SCSI /USB/Firewire/...)
Conecta el disco a la workstation de análisis forense

 Es recomendable
manualmente y en
Realiza copia con ‘dd’
que sea Linux, ya permite montar los discos
modo ‘read-only’.

 La imagen se puede guardar en discos externos/USB,
almacenamiento SAN, etc
Por supuesto, hashes de original y copia para garantizar la integridad.


Imágenes de un sistema ‘vivo’
 Uso de ‘dd’ y ‘netcat’ para enviar una
 T
anto Windows como Unix/Linux
copia bit-a-bit a un sistema remoto
 Para Linux utilizaríamos por ejemplo GuyManager
 Permiten calcular hashes y un montón de utilidades
 Una vez realizada la imagen asegurarse de tener los hashes
correspondientes.

Fraude interno / Espionaje industrial




Periodo de verificación previo, sin alertar al culpable
Información sobre conexiones se obtiene de firewalls, IDS, sniffers,
Confiscación de hardware
Obtención de imágenes de discos
etc
Intrusión Externa




Desconectar red
Obtener información volátil (memoria, registro, conexiones, etc.)
Verificar incidente (logs, IDS, firewalls, etc.)
Obtención de imágenes de discos

¿Se puede desconectar siempre la red o la alimentación en sistemas
críticos?



Coste
Coste
Coste
de
de
de
downtime vs. coste del incidente
reinstalación y puesta en marcha
revalidación, recertificación
¿Es factible siempre el hacer imágenes de todos los discos?




Almacenamiento en SAN/NAS
Configuraciones RAID
Volúmenes de > 500GB comunes hoy en día, incluso TB
Distinción de disco físico y lógico cada vez menos clara

¿Cómo se preserva la evidencia original?
 Si se puede parar el sistema y tenemos acceso físico
 Se hacen dos copias de todos los discos (usando
idéntico modelo)
Se guardan los originales
Se arranca el sistema desde una de las copias
Se investiga sobre otra copia
discos de



 Si no tenemos acceso físico
 Procedimiento de obtención de la imagen sencillo
un técnico remoto pueda hacerlo
para que
 Si no se puede parar el sistema
 Se realiza imagen online, que pasa a ser considerada
'original'

El procedimiento de análisis dependerá del caso y tipo de incidente
En general se trabaja con las imágenes de los sistemas de ficheros
 Análisis de Secuencia T
emporal ('timeline')
 Búsqueda de contenido
 Recuperación de binarios y documentos (borrados o corruptos)
 Análisis de código (virus, troyanos, rootkits, etc.)

El objetivo es llegar al:





Qué
Cuándo (secuencia temporal de eventos)
Cómo (punto de entrada, vulnerabilidad explotada,
Quién (?)
Porqué (??)
etc…)
Análisis Inicial:




Buscar
Buscar
Buscar
archivos ocultos o no usuales (slack space)
procesos no usuales y sockets abiertos
cuentas de usuario extrañas
Determinar el nivel de seguridad del sistema, posibles agujeros, etc…
Análisis de la evidencia

Análisis de la evidencia

 Detallar lo máximo posible
–
–
–
–
Antecedentes
Procedimientos
Evidencias
Hashes, etc…
 Utilizar formatos prediseñados para no olvidar nada.
 Debe ser imparcial y objetivo, no se puede suponer nada.
 Es probablemente la parte más
juicio.
importante junto con la defensa en un
Elaboración del Informe

 Calcular los hashes de todas las evidencias adquiridas tan pronto como se
pueda.
 Apuntar toda la información del hardware analizado (fabricante, modelo,
número de serie, número de inventario, configuración de los jumpers, etc...)
 T
omar fotos, y si es necesario grabar en video.
 Si es posible, estar acompañado por un notario o un abogado que
presencie el proceso.
Almacenamiento de Informes y Evidencias

 Para que las evidencias tengan validez en un proceso judicial, éstas
deben ser alteradas.
no
 Además, se debe demostrar la no alteración de las evidencias.
 Para ello se utiliza la Cadena de Custodia.
 Es un seguimiento y control de las evidencias que certifica:



Que la evidencia no ha sido alterada o manipulada.
Las personas por las que ha pasado la evidencia.
Detalles sobre el tratamiento de la evidencia.
Almacenamiento de Informes y Evidencias: Cadena de Custodia

Almacenamiento de Informes y Evidencias: Cadena de Custodia

Obtención de evidencias: Sitemas Linux

 Permite al usuario crear, borrar y acceder a los ficheros sin necesidad de saber el lugar exacto en el
que se encuentran.
 No existen unidades físicas, sino ficheros que hacen referencia a ellas, integrados en la estructura
de ficheros como cualquier otro.
 El sistema de ficheros de Linux consta de varias partes importantes:



Superbloque
T
abla de inodos
Área de datos: En Linux cada bloque es de 512 bytes o de múltiplos de 512.
El Bloque de carga  reservado para almacenar un programa que utiliza el sistema para gestionar el
resto de las partes del sistema de ficheros
El Superbloque  contiene la información sobre el sistema de ficheros
La Tabla de inodos  es el equivalente a las entradas de la FAT
.
Por cada fichero, Linux tiene asociado un elemento en esta tabla
que contiene un número. Este número identifica la ubicación del
archivo dentro del área de datos.
Sistema de ficheros

Cada inodo contiene información de un fichero o directorio:






Identificador de dispositivo: del dispositivo que alberga al sistema de archivos
Número de inodo: que identifica al archivo dentro del sistema de archivos
Longitud del archivo: en bytes
Identificador de usuario del creador: o un propietario del archivo con derechos diferenciados
Identificador de grupo: de un grupo de usuarios con derechos diferenciados
Modo de acceso: capacidad de leer, escribir, y ejecutar el archivo por parte del propietario, del grupo y de otros
usuarios
Marcas de tiempo: con las fechas de última modificación (mtime), acceso (atime) y de alteración del propio
inodo (ctime)
Número de enlaces: (hard links), esto es, el número de nombres (entradas de directorio) asociados con este inodo.


 Área de datos: ocupa el resto del disco. En esta zona están almacenados
sistema.
los ficheros y directorios de nuestro
Un directorio no es más que un fichero que contiene los nombres
de los ficheros (o directorios) que contiene junto con el número del
inodo que contiene la información de cada uno de ellos.
Sistema de ficheros - I-nodo

 Linux soporta gran variedad de sistemas de ficheros: ext2, ext3, ReiserFS, XFS, JFS, UFS, ISO9660, FAT, FAT32 o NTFS
 Los sistemas de ficheros indican el modo en que se gestionan los ficheros dentro de las particiones.
 Según su complejidad, tienen características como previsión de apagones, posibilidad de recuperar datos, indexación para
búsquedas rápidas, reducción de la fragmentación para agilizar la lectura de los datos, etc.
 Hay varios tipos:
ext2: Hasta hace poco era el sistema estándar de Linux. Tiene una fragmentación muy baja, aunque es algo lento manejando
archivos de gran tamaño. Las principales ventajas que tenía sobre ext eran las siguientes:
• Compatible con sistemas de ficheros grandes, admitiendo particiones de disco de hasta 4TB y ficheros de hasta
2GB de tamaño.
Proporciona nombres de ficheros largos, de hasta 255 caracteres.
Tiene una gran estabilidad.
Actualización.
•
•
•
ext3: Es la versión mejorada de ext2, con previsión de pérdida de datos por fallos del disco o apagones. En contraprestación,
es totalmente imposible recuperar datos borrados. Es compatible con el sistema de ficheros ext2. Actualmente es el más
difundido dentro de la comunidad GNU/Linux y es considerado el estándar. Sus ventajas frente a ext2 son:
• Actualización. Debido a que los dos sistemas comparten el mismo formato, es posible llevar a cabo una
actualización a ext3, incluso aunque el sistema ext2 esté montado.
Fiabilidad y mantenimiento.
•
ext4: Es la última versión de la familia de sistemas de ficheros ext. Sus principales ventajas radican en su eficiencia (menor
uso de CPU, mejoras en la velocidad de lectura y escritura) y en la ampliación de los límites de tamaño de los ficheros, ahora
de hasta 16TB, y del sistema de ficheros, que puede llegar a los 1024PB (PetaBytes).
ReiserFS: Es el sistema de ficheros de última generación para Linux. Organiza los ficheros de tal modo que se agilizan mucho
las operaciones con estos. El problema de ser tan actual es que muchas herramientas (por ejemplo, para recuperar datos) no
lo soportan.
swap: Es el sistema de ficheros para la partición de intercambio de Linux. Todos los sistemas Linux necesitan una partición de
este tipo para cargar los programas y no saturar la memoria RAM cuando se excede su capacidad.
Sistema de ficheros

 Una partición es una división de un disco físico en unidades lógicas
 Linux requiere de al menos 2 particiones:
/  Donde linux esta instalado propiamente dicho
Swap  Partición para intercambio de memoria
 T
ambién podemos crear tantas como directorios
/home  Archivos y configuraciones personales de los usuarios
/boot  Para el arranque
Sistema de ficheros - Particiones

Sistema de ficheros – Permisos y tipos

Sistema de ficheros - Directorios

Podríamos resumir los pasos del proceso de análisis en los siguientes:







Montar la imagen
Análisis de Malware
Detección de Rootkits
Buscar en Históricos
Análisis de Directorios
Algunos comandos interesantes
Recuperación de Ficheros Borrados
Pasos para la realización de un análisis forense

Desde consola con el comando mount o gráficamente



Elevar privilegios: sudo su
Ver donde están los discos con el comando: fdisk -l
Montar la partición con: mount /dev/sdb1 /mnt/c
Para ver el contenido y particiones de una imagen adquirida:
fdisk –l /mnt/c/imagen.dd
cfdisk /mnt/c/imagen.dd
Para montar la imagen habrá que tener en cuenta:
El sistema de archivos a montar (ext2,ext3,ext4,..) –t ext4
La partición que queremos montar
El bloque donde comienza la partición a montar –o offset=$((sector_ini*512))
Montar la imagen

inux
ClamA
V: Software antivirus normalmente incluido con l
 Ejecutar mediante línea de comandos o GUI
1.
2.
Actualizar ClamAV: freshclam
Pasar antivirus: clamscan –i –r /mnt/e
DEFT  Antimalware  ClamTKAntivirus
Análisis de Malware

 Pequeño software que permite acceso privilegiado a un dispositivo
 Normalmente oculto a un administrador (root) para que no lo detecte
 Corrompe el funcionamiento lógico del sistema o aplicaciones, camuflando otros
procesos maliciosos, archivos, puertas traseras o cambios de registro sospechosos
en el sistema.
Root  cuenta administrador
Kit  conjunto de herramientas
 El atacante instala el rootkit gracias a una vulnerailidad del sistema, mediante acceso
a través de ingeniería social,… es decir, se tiene que tener acceso al sistema para
poder instalarse
 Su detección y eliminación puede ser no es sencilla
 Habría que detectarlo normalmente en sistemas en ‘vivo’

CHKROOTKIT
 Script para sistemas UNIX y Linux que realiza un análisis rápido en busca de signos y cambios en
ciertas configuraciones del sistema que indiquen la presencia de rootkits.
RKHUNTER
 Script para UNIX y Linux que escanea el sistema a nivel local para detectar cualquier signo de rootkit o
backdoors.
Principalmente funciona mediante base de firmas, pero no solo se limita a eso, sino que también examina
que los permisos del sistema sean correctos, que no haya puertos abiertos, etc.

UNHIDE
 Herramienta destinada a identificar anomalías en sistemas Unix / Linux, lo hace identificando procesos
y puertos tcp / udp ocultos, conexiones reversas, que suele ser síntoma inequívoco de la presencia de
un rootkit en nuestro sistema.
No emplea firmas y se basa en los conceptos del tipo “detección de anomalías” contrastando diferentes
fuentes de información y buscando inconsistencias entre ellas.

Una de las desventajas que tienen es que suelen tener algunos falsos positivos y se deben ejecutar en sistemas
en ‘vivo’
unhide proc / sys / procall / brute unhide-tcp
rkhunter --check
chkrootkit –r /mnt/c

 Linux mantiene una serie de ficheros históricos
los usuarios
de lo que hacen cada uno de
 Son archivos que primeramente borran los intrusos
 Se pueden mostrar los archivos ocultos con ls –a
 Entre otros podemos ver



.bash_history  Historial de lo realizado por el usuario
.lesshst  Histórico de accesos a less
.ssh/  Histórico de ssh
Búsqueda de Históricos

Principalmente comprobaremos todos los directorios
/bin  Comprobar root root, si hubiera otro usuario sería un poco raro
/sbin  Comprobar root root en archivos ocultos y no ocultos.Aquí todos deberían ser root
/dev  Dispositivos conectados al equipo
/media  Unidades extraíbles montadas en el sistema
/mnt  Discos montados en el sistema
/lib  A priori no interesante, pero no por ello no reparas su contenido
/boot  Entre otras, ver información del Kernel
/srv  Servicios (en una imagen debería de estar vacío)
/proc  Sistema de archivos virtuales (en una imagen debería de estar vacío)
IMPORTANTES PARA EL ANÁLISIS FORENSE
/var
/log  Contienen los logs del sistema (a profundizar en este directorio)
/mail  Información (bd) de los correos electrónicos configurados
/spool  Colas de impresión del correo, programas, impresión,…
/tmp  T
emporales de las aplicaciones (perduran más en el tiempo)

/crash  Información sobre caídas del sistema
/backups  Copias de seguridad
/lock  Bloqueos
/lib  Librerías
/run  Procesos que en un momento dado habría en el sistema, para que el siguiente
inicio el sistema tarde menos (información sobre usuarios, dispositivos montados, configuración dns,
redes,…Aquellos con extensión .pid son los que han estado conectados
/etc  Información sobre usuarios (passwd), claves cifradas de los usuarios (shadow), grupos de
usuarios (group)
/network  Información sobre la configuración de red
/init.d  T
odos los demonios/servicios que se arrancan (revisar por si hay alguno anómalo)
fstab  Sistema de ficheros
hostname  Nombre del Host
hosts  Correspondencia entre direcciones ip y dominios

Podemos utilizar una serie de comandos para
nuestro análisis:
complementar nuestra búsqueda de información para
 Ficheros Ocultos  ls –a
 Estructura de un archivo  file
 Cadenas en un archivo  strings
 Entradas y salidas del sistema  last
 Intentos de acceso fallidos para un usuario concreto  lastb
 Último intento de conexión de red efectuado por un usuario,
verificar intrusiones externas  lastlog
lo que resulta muy útil para
A través de editores hexadecimales, como GHEX, podemos encontrar cierta información relevante en
el interior los archivos.
Comandos interesantes

Hay multitud de herramientas que permiten la recuperación de ficheros borrados:
 TestDisk  Recuperar datos perdidos en particiones y repara discos de arranque. T
ambién
podremos recuperar las tablas de particiones de un disco duro que, por una razón u otra, ha
quedado sin formato.
 Foremost  Capaz de detectar tipos de ficheros por su cabecera, no por su extensión que
puede estar cambiada para engañar y ocultar información, y para encontrar ficheros borrados
 Photorec  Recuperar
de almacenamiento
archivos perdidos de diversos formatos y desde diferentes medios
foremost -v -t docx -i /dev/sda1 -o ~/recovery/
Recuperación de ficheros borrados

El sistema de logs, que en iglés significa registro, es un mecanismo estándar que se encarga de
recoger los mensajes generados por programas, aplicaciones y demonios. Cada mensaje consta de la
fuente (el programa o aplicación que lo generó) la prioridad, fecha y la hora.

















/var/log/kern.log: Guarda un registro de los mensajes del Kernel.
/var/log/syslog: Registro de mensajes del sistema y de sus programas.
/var/log/dmesg: Información de arranque del sistema y conexiones de hardware principalmente.
/var/log/debug: Información de depuración de los programas.
/var/log/Xorg.0.log: Información sobre el entorno gráfico.
/var/log/boot.log: Información del arranque.
/var/log/fontconfig.log: Configuración de las fuentes del sistema.
/var/log/mail.log: Logs del servidor de correo.
/var/log/auth.log: Conexiones al sistema incluidos los intentos fallidos y los accesos como root.
/var/log/crond: T
areas programadas (cron)
/var/log/daemon.log: Alertas especificas de algunos demonios
/var/log/errors.log: Nos muestra errores.
/var/log/httpd: Si tenemos un servidor de Apache aquí se registran los eventos.
/var/log/messages.log: Alertas generales del sistema.
/var/log/mysqld.log: Registro de eventos de MySQL.
/var/log/secure: Registro de seguridad.
/var/log/vsftpd.log: El log del servidor FTP (vsfp). Proftpd.log para el servidor FTP proftpd.
Podemos ayudarnos de los comandos grep y tail para filtrar mejor la información
Análisis de Logs

WINDOWS
LINUX
https://www.sleuthkit.org/autopsy/
Análisis de Imagen con AUTOPSY

 En ambos sistemas previamente hay que
información especificando el nombre del
crear el caso detallando cierta
caso, descripción, investigador,
seleccionar la imagen de la que realizar el análisis, y las particiones.
 T
anto en su versión de Linux como Windows son muy parecidos
Análisis de Imagen con AUTOPSY

Módulos importantes


Image Details: Consultar detalles de la imagen
File Analysis: Proceso de análisis de los directorios y archivos que
permite profundizar en su contenido, buscando información ,etc..
Keyword Search: Busca strings en el disco
File Type: Ordena y clasifica los ficheros
Metadata: Permite buscar los metadatos a través de los inodos
Data Unit: Realiza un carving del disco a través del bloque




Análisis de Imagen con AUTOPSY (Linux)

 Recent Activity Module: Extrae información reciente de la actividad del usuario
 Hash Database Lookup Module: Utiliza bases de datos de hash para ignorar archivos conocidos del NIST NSRL
 File Type Identification: Determina los tipos de archivos basados en las firmas y tipo MIME
 Embedded File Extraction Module:Analiza archivos comprimidos, etc..
 EXIF Parser Module: extrae información EXIF de los archivos jpg
 Keyword Search Module: Usa lista de palabras para identificar archivos con palabras especifica en ellos
 Email Parser Module: Analiza archivos Thunderbird MBOX y archivos con formato PST en búsqueda de emails
 Extension Mismatch Detector Module:Analiza el contenido del archivo y la extensión
 E01 Verifier Module: Verifica archivos con extensión E01
 Encryption Detection: Busca achivos con una minima entropia
 Android Analyzer Module:Analiza información referente a sistemas Android
 Interesting Files Identifier Module: Busca archivos y directorios no especificados en las reglas establecidas por defecto
 PhotoRec Carver Module: Recupera archivos realizando un proceso de carving en el espacio sin alojar del disco
Análisis de Imagen con AUTOPSY (Windows)

Practical Linux Forensics

1. Tipos de volcado
2. Volatility
3
Forense de RAM (Linux)

Volcado de memoria (en inglés core dump o memory dump) es un registro no
estructurado del contenido de la memoria en un momento concreto.
El volcado de memoria es uno de los aspectos más importantes y críticos de la fase de
adquisición.
En la memoria se almacenan evidencias significativas como:




Conexiones establecidas,
Procesos en ejecución,
Contraseñas de volúmenes cifrados,
etc.
Realizar un correcto volcado de memoria puede suponer la diferencia entre
resolución del incidente o no. Debido a ello, se debe ser muy cuidadoso durante
proceso
la
el
4
Volcado de Memoria

A la hora de obtener la memoria se deben tener en cuenta 2 tipos de memoria: la
memoria física y la memoria virtual.

La memoria física corresponde a la memoria real del sistema mientras que la
memoria virtual corresponde normalmente al fichero de paginación pagefile.sys o
swap.

La memoria virtual permite optimizar el uso de la memoria RAM ya que el sistema
operativo envía ahí temporalmente la información que no sea necesaria en ese
momento para los procesos en ejecución y posteriormente la recupera en el caso
de alguno se la solicite.

Además también se ha de tener en cuenta el Sistema Operativo sobre el que se va
a realizar la adquisición.

5
Volcado de Memoria

Linux
Destacar LIME por su compatibilidad con múltiples arquitecturas Linux,
incluidas plataformas móviles Android. Además permite la adquisición en distintos
formatos (lime, raw, …) y el envío del volcado por red
7
Volcado de Memoria

Una vez obtenida la imagen correspondiente al volcado de memoria física es
necesario obtener un hash de la misma que será anotado en la documentación de la
cadena de custodia para asegurar que dicha imagen no sea modificada a posteriori y
garantizar la integridad de la misma.
Un hash es un valor que identifica datos de
distintos tipos de hashes: MD5, SHA-1, SHA-2, etc…
forma “unívoca”. Existen
Linux
En Linux podemos encontrar también un gran
como dhash, md5sum, sha256sum,…
número de herramientas,
8
Volcado de Memoria

A la hora de realizar una adquisición de evidencias en análisis forense, es importante tener
en cuenta el orden de adquisición y obtener las evidencias volátiles en primer lugar.
11
Orden de adquisición

Información volátil importante:
 Hora y fecha del sistema
 Procesos en ejecución
 Conexiones de red (TCP/UDP)
 Puertos abiertos y aplicaciones asociadas
 Usuarios logueados en el sistema
 Contenidos de la memoria y ficheros swap o pagefile (direcciones
web, passwords, comandos ejecutados por consola,…)
 Elementos ocultos (rootkits, …)
 …
12
Información Volátil

Aparte de la memoria RAM, debemos considerar otros elementos
fundamentales como pueden ser registros de la caché,
ARP, procesos, etc.
tablas de enrutamiento, caché
http://www.securityartwork.es/2015/10/14/adquisicion-de-evidencias-volatiles/
13
https://glider.es/
IoT Forensic - CyberCamp18 - https://www.youtube.com/watch?v=1H1dKg8ojrs
Autopsia a Whatsapp - CyberCamp 2017 - https://www.youtube.com/watch?v=dsBgSnfGWIU
Análisis Forense del S. XXI - CyberCamp 2017 - https://www.youtube.com/watch?v=qVbj2SL_d7I
True Forensic - https://www.youtube.com/watch?v=1H1dKg8ojrs
Información Volátil

 Multitud de herramientas: dd, fmem, lime, …
 Muy importante NO CONTAMINAR las evidencias,
SIEMPRE es posible
aunque NO
 Almacenar el volcado en unidad externa al sistema
 Algunas utilidades necesitan de la realización de procesos
previos
23
Linux

dd / dc3dd
 Herramienta de copia bit a bit
Volcado de memoria
Podríamos intentar almacenar la memoria /dev/mem en un fichero
dd if=/dev/mem of=/media/raul/pendrive/memdump.bin
Sólo se copia 1 Mb
¡¡NO NOS VALE!!
24
Linux

LIME (LInux Memory Extractor)
 Utilidad desarrollada con el objetivo de ser ampliamente compatible con
múltiples arquitecturas Linux, incluidas plataformas móviles Android. Además
permite la adquisición en distintos formatos (lime, raw y padded) y el envío del
volcado por red.
 Se compila en un sistema con el mismo kernel (uname –a) y se copia el módulo
(fichero .ko) resultante a cualquier ruta del sistema del que se desea volcar la
memoria. El dump se ejecutará cuando el módulo sea cargado usando los
parámetros que recibe como argumentos.
26
 raw: Todos los datos en la RAM se leen continuamente y se concatenan al archivo de salida.
 padded: Lee la RAM y rellena la RAM que no es del sistema con ceros.
 lime: Crea una imagen específica de LiME de la RAM con encabezados de tamaño fijo que contienen
información sobre el espacio de direcciones.
Linux

O cargamos el módulo .ko en memoria y enviamos por red con insmod
insmod /tmp/lime.ko “path=tcp:4444 format=lime timeout=0”
Mientras en la máquina donde vamos a analizar (ej CAINE/DEFT)
ncat IP_ORIGEN PTO_ORIGEN > volcado.lime (formato)
Para listar módulos lsmod Para descargar módulo rmmod nombre_módulo
COMPROBAR Tamaño volcados
27
https://github.com/kd8bny/LiMEaide - LIME tools remotely dump RAM of a Linux client and create a volatility
profile
1) En el equipo con el mismo Kernel descargamos lime https://github.com/504ensicsLabs/LiME
cd lime
cd src
make
2) Copiamos el archivo .ko al equipo donde realizaremos el volcado de memoria
Cargamos el módulo .ko en memoria y copiamos el fichero ram.lime con insmod
insmod /tmp/lime.ko “path=/tmp/ram.lime format=lime”
Linux

 Realizar copias de las evidencias
 Obtener la huella digital de cada evidencia (HASH)
 Comprobar que la evidencia no tiene código malicioso
(antivirus/antimalware)
 Realizar copias de
copias con dd
las evidencias para trabajar sobre esas
28
Huella digital

DEFT / CAINE
Disponemos de varias herramientas como:
 dhash
 md5sum
 sha256sum
 …
29
Huella digital

https://www.volatilityfoundation.org/
30
Volatility

 Volatility es un Framework con un conjunto de herramientas desarrolladas
enteramente en Python con licencia GNU.
 Este Framework esta pensado para extraer de una imagen de un disco los datos
volátiles que estaban en memoria RAM.
 Estas técnicas de extracción están pensadas para que no dependan del sistema
operativo del investigador, es decir podemos utilizar Windows y/o Linux.
 La distribución de este framework está disponible en:
https://github.com/volatilityfoundation/volatility
https://github.com/volatilityfoundation/volatility3
31
Volatility

Marco único y coherente para analizar volcados de memoria RAM de 32 y 64 bits de
windows, linux, mac y sistemas Android

Open Source GPLv2
Escrito en Python
Se ejecuta en sistemas de análisis con windows, linux, o mac (en cualquiera que ejecute
Python)
API ampliable y scriptable que le da el poder para ir más allá y seguir innovando
Característica sin precedentes basada en ingeniería inversa e investigaciónespecializada
Cobertura completa del tipos de formatos
Algoritmos rápidos y eficientes que permiten analizar los volcados de memoria RAM de
grandes sistemas sin consumo innecesario de memoria o sobrecarga.
Comunidad seria y de gran alcance de profesionales e investigadores que trabajan en los
campos de análisis forense, IR (respuesta a incidentes) y malware
Enfoque forense/IR/malware
Gratuito










32
¿Porqué Volatility?

 No realiza volcados
 No tiene línea de comandos propia
 Tiene una fuerte dependencia
volcado
desde donde se realice el
Estructura
 Perfiles (Profiles)
 Plugins
33
¿Qué NO haceVolatility?

Tipo de sistema, fecha y hora











Procesos que se estaban ejecutando
Puertos abiertos
Puertos conectados
DLLs cargadas por proceso
Ficheros cargados por procesos
Claves del registro utilizadas en los procesos
Módulos del Kernel
Mapa físico de offsets a direcciones virtuales
Direccionamiento de memoria por proceso
Extracción de ejecutables
Todas estas características pueden ser mas que suficientes para
obtener evidencias
34
¿Qué se puede obtener?

rot@kali:~# volatility -h
Volatility Foundation Volatility Framework 2.4
Usage: Volatility - A memory forensics analysis platform.
Options:
-h, --help list all available options and their default values.
Default values may be set in the configuration file
(/etc/volatilityrc)
--conf-file=/root/.volatilityrc
User based configuration file
-d, --debug Debug volatility
--plugins=PLUGINS Additional plugin directories to use (colon separated)
--info Print information about all registered objects
--cache-directory=/root/.cache/volatility
Directory where cache files are stored
--cache
--tz=TZ
Use caching
Sets the timezone for displaying timestamps
-f FILENAME, --filename=FILENAME
Filename to use when opening an image
--profile=WinXPSP2x86
Name of the profile to load
-l LOCATION, --location=LOCATION
A URN location from which to load an address space
-w, --write
--dtb=DTB
--shift=SHIFT
--output=text
Enable write support
DTB Address
Mac KASLR shift address
Output in this format (format support is module
specific)
--output-file=OUTPUT_FILE
write output in this file
-v, --verbose Verbose information
-g KDBG, --kdbg=KDBG Specify a specific KDBG virtual address
-k KPCR, --kpcr=KPCR Specify a specific KPCR address
35
Volatility

Supported Plugin Commands:
apihooks
atoms
atomscan
auditpol
bigpools
bioskbd
cachedump
callbacks
clipboard
cmdline
cmdscan
connections
connscan
consoles
crashinfo
deskscan
devicetree
dlldump
Detect API hooks in process and kernel memory
Print session and window station atom tables
Pool scanner for atom tables
Prints out the Audit Policies from HKLMSECURITYPolicyPolAdtEv
Dump the big page pools using BigPagePoolScanner
Reads the keyboard buffer from Real Mode memory
Dumps cached domain hashes from memory
Print system-wide notification routines
Extract the contents of the windows clipboard
Display process command-line arguments
Extract command history by scanning for _COMMAND_HISTORY
Print list of open connections [Windows XP and 2003 Only]
Pool scanner for tcp connections
Extract command history by scanning for _CONSOLE_INFORMATION
Dump crash-dump information
Poolscaner for tagDESKTOP (desktops)
Show device tree
Dump DLLs from a process address space
dlllist
driverirp
Print list of loaded dlls for each process
Driver IRP hook detection
driverscan
dumpcerts
dumpfiles
envars
eventhooks
evtlogs
filescan
Pool scanner for driver objects
Dump RSA private and public SSL keys
Extract memory mapped and cached files
Display process environment variables
Print details on windows event hooks
Extract Windows Event Logs (XP/2003 only)
Pool scanner for file objects
36
Volatility

gahti Dump the USER handle type information
gditimers
gdt
Print installed GDI timers and callbacks
Display Global Descriptor Table
getservicesids Get the names of services in the Registry and return Calculated SID
getsids
handles
hashdump
hibinfo
hivedump
hivelist
hivescan
Print the SIDs owning each process
Print list of open handles for each process
Dumps passwords hashes (LM/NTLM) from memory
Dump hibernation file information
Prints out a hive
Print list of registry hives.
Pool scanner for registry hives
hpakextract Extract physical memory from an HPAK file
hpakinfo
idt
iehistory
Info on an HPAK file
Display Interrupt Descriptor Table
Reconstruct Internet Explorer cache / history
imagecopy
imageinfo
impscan
joblinks
kdbgscan
kpcrscan
ldrmodules
lsadump
machoinfo
malfind
mbrparser
memdump
memmap
Copies a physical address space out as a raw DD image
Identify information for the image
Scan for calls to imported functions
Print process job link information
Search for and dump potential KDBG values
Search for and dump potential KPCR values
Detect unlinked DLLs
Dump (decrypted) LSA secrets from the registry
Dump Mach-O file format information
Find hidden and injected code
Scans for and parses potential Master Boot Records (MBRs)
Dump the addressable memory for a process
Print the memory map
messagehooks List desktop and thread window message hooks
mftparser Scans for and parses potential MFT entries
37
Volatility

moddump
modscan
modules
multiscan
mutantscan
notepad
objtypescan
patcher
poolpeek
printkey
Dump a kernel driver to an executable file sample
Pool scanner for kernel modules
Print list of loaded modules
Scan for various objects at once
Pool scanner for mutex objects
List currently displayed notepad text
Scan for Windows object type objects
Patches memory based on page scans
Configurable pool scanner plugin
Print a registry key, and its subkeys and values
privs
procdump
pslist
psscan
pstree
psxview
raw2dmp
Display process privileges
Dump a process to an executable file sample
Print all running processes by following the EPROCESS lists
Pool scanner for process objects
Print process list as a tree
Find hidden processes with various process listings
Converts a physical memory sample to a windbg crash dump
screenshot
sessions
shellbags
shimcache
sockets
sockscan
Save a pseudo-screenshot based on GDI windows
List details on _MM_SESSION_SPACE (user logon sessions)
Prints ShellBags info
Parses the Application Compatibility Shim Cache registry key
Print list of open sockets
Pool scanner for tcp socket objects
ssdt
strings
svcscan
Display SSDT entries
Match physical offsets to virtual addresses (may take a while, VERY verbose)
Scan for Windows services
symlinkscan Pool scanner for symlink objects
38
Volatility

thrdscan
threads
timeliner
timers
Pool scanner for thread objects
Investigate _ETHREAD and _KTHREADs
Creates a timeline from various artifacts in memory
Print kernel timers and associated module DPCs
truecryptmaster Recover TrueCrypt 7.1a Master Keys
truecryptpassphrase TrueCrypt Cached Passprhase Finder
truecryptsummary TrueCrypt Summary
unloadedmodules Print list of unloaded modules
userassist Print userassist registry keys and information
userhandles Dump the USER handle tables
vaddump
vadinfo
vadtree
vadwalk
vboxinfo
verinfo
vmwareinfo
volshell
windows
wintree
wndscan
yarascan
Dumps out the vad sections to a file
Dump the VAD info
Walk the VAD tree and display in tree format
Walk the VAD tree
Dump virtualbox information
Prints out the version information from PE images
Dump VMware VMSS/VMSN information
Shell in the memory image
Print Desktop Windows (verbose details)
Print Z-Order Desktop Windows Tree
Pool scanner for window stations
Scan process or kernel memory with Yara signatures
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
39
Volatility

 En NIST tienen algunos ejemplos de imágenes que podéis utilizar para el análisis
forense de las mismas.
http://www.cfreds.nist.gov/mem/memory-images.rar
 Memory Samples from Volatility Wiki
https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
40
Ejemplos de Imágenes de memoria

 Antes de iniciar el análisis es indispensable entender como crear el perfil
específico para el sistema operativo que vamos a analizar ya que nos
podemos encontrar con cientos de distribuciones y variedades de
versiones de kernel.
 Repositorios con varios perfiles para diferentes versiones de Linux.
https://github.com/volatilityfoundation/profiles
https://github.com/KDPryor/LinuxVolProfiles
60
Análisis plataformas Linux

Crear Perfil (en una máquina limpia)
 Necesitamos saber versión y arquitectura plataforma (uname –a)
 Descargar Volatility y probar si todo esta correcto
 Instalar dwarfdump, ya que crea el fichero de cabecera con la estructura para esta
plataforma y arquitectura (https://www.prevanders.net/dwarf.html)
 Ir a ruta volatility/tools/linux y compilar “Module.c” con make, nos generará un fichero
llamado "module.dwarf“
 Crear zip ruta volatility/plugins/overlays/Linux/NOMBRE_PERFIL
ruta volatility/tools/Linux/module.dwarf /boot/System.map-x.xx.x-xx-generic
 !Ya está¡ Comprobar el perfil creado con python vol.py --info
 Ahora copiaríamos el zip creado y lo llevaríamos a la máquina desde donde analizaríamos el
volcado de memoria (ruta/volatility/plugins/overlays/linux) y comprobamos los perfiles
61
Perfil de Linux

https://www.osforensics.com/tools/volatility-workbench.html
VolatilityWorkbench (OsForensics)

volatility -f memory_image.vmem -O raw_image --profile=Win8SP0x86 raw2dump
VirtualBox: vboxmanager list vms
VMWARE / VBOX

https://github.com/volatilityfoundation/volatility/wiki/Linux#using-the-plugins
62
Vol3/Vol2  https://book.hacktricks.xyz/forensics/volatility-examples
Plugins de Linux

> python vol.py linux_pstree –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
63
Shows the parent/child relationship between processes

> python vol.py linux_ifconfig –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
64
Gathers active interfaces

> python vol.py linux_arp –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
65
Print the ARP table

> python vol.py linux_bash –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
66
Recover bash history from bash process memory

> python vol.py linux_netstat –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
67
Lists open sockets

> python vol.py linux_mount –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
68
Gather mounted fs/devices

> python vol.py linux_banner –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
69
Print banner from Linux version

> python vol.py linux_memmap –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
70
Dumps the memory map for linux tasks

> python vol.py linux_cpuinfo –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
71
Prints info about each active processor

> python vol.py linux_lsmod –f volcadoUbuntu.lime --profile=LinuxPoCUbuntu1464x64
72
Gather loaded kernel modules

https://ctf101.org/
https://tthtlc.wordpress.com/2021/06/08/top-100-forensics-writeups/
https://aboutdfir.com/education/challenges-ctfs/
https://www.dfir.training/
https://atenea.ccn-cert.cni.es/home
https://www.azulweb.net/50-sitios-de-ctf-y-pentesting-para-practicar-tus-
habilidades-de-hacking-y-ciberseguridad/
https://derechodelared.com/tryhackme-hacking/
Capture The Flaf (CTF)

Forense Linux.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a Forense Linux.pdf

Similar a Forense Linux.pdf (20)

Último

Último (20)

Forense Linux.pdf