seminario computacion forense_piura_abril_2008
TRANSCRIPT
Seminario Computación Forense
• Es común encontrar estas preguntas , cuando
se ha perpetrado un ataque
• Que fue lo que hicieron ..... ?Que fue lo que hicieron ..... ?
• Como fue que lo hicieron .... ?Como fue que lo hicieron .... ?
• Es donde la recolección de eventos en la red Es donde la recolección de eventos en la red
juega un papel importante al igual que su juega un papel importante al igual que su
análisisanálisis
Investigación de la Escena del Crimen
Definición Técnica: Computación Forense
“Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
PLUS data recovery
Definición para las masas
Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento
nunca es eliminada completamente…
La computación Forense es el conjunto de herramientas y técnicas diseñadas para
recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
13/04/23 5Germinal Isern Universidad Nacional de Piura
Definiciones Básicas
Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000)
Evidencia Digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
Evidencia Digital. Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
13/04/23 6Germinal Isern Universidad Nacional de Piura
Motivación
• Los archivos eliminados no son eliminados de forma segura
• Recuperar el archivo eliminado y la fecha!• Cambiar el nombre de los archivos para evitar
la detección , no tiene sentido• El formateo de los discos no elimina mucha
información• Email sobre el Web puede ser recuperado
directamente de su computador( de forma parcial)
• Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
13/04/23 7Germinal Isern Universidad Nacional de Piura
Motivación (2)
• Desinstalar las aplicaciones es mas difícil de lo que parece…• Data “volátil” permanece en el sistema por mucho tiempo (aun
después de múltiples arranques y cargas)• Remanentes de aplicaciones previas• El usar la codificación (encryption) adecuadamente es difícil,
ya que la información no es útil hasta que sea decodificada.• El software anti-forense (incremento de la privacidad) es
violado frecuentemente.• Imanes grandes generalmente no funcionan• La mutilación de medios (excepto en casos extremos) no
funciona.• Premisa básica: la información es muy difícil de
destruir.
13/04/23 8Germinal Isern Universidad Nacional de Piura
Investigación en computación forense tradicional
• ¿Qué se puede hacer?– Recuperar data borrada
– Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados.
– Determinar que dispositivo de almacenamiento fue conectado a un computador especifico
– Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario
– Que sitios web fueron visitados por el usuario…
13/04/23 9Germinal Isern Universidad Nacional de Piura
Tradicional (2)
• Que no…– Si un medio físico esta físicamente destruido por
completo, la recuperación es imposible.
– Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
13/04/23 10Germinal Isern Universidad Nacional de Piura
Privacidad mediante la mutilación del dispositivo
degausser
o
oEliminación segura a nivel forensePero este seguro que funciona
o
13/04/23 11Germinal Isern Universidad Nacional de Piura
¿Quién la necesita?
• Agencias policiales o de seguridad del estado– Persecución de crímenes que involucran
computadoras u otros medios digitales– Defensa del inocente– Enjuiciamiento del culpable– Debe seguir directrices muy estrictas durante el
proceso forense completo para garantizar que la evidencia sea admisible en corte.
• Fuerzas militares– Persecución de crímenes internos relacionados con
computación.– Sigue líneas propias, normas legales regulares no
aplican.
13/04/23 12Germinal Isern Universidad Nacional de Piura
Quién (2)
• Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)– Fuerzas anti-terroristas
– Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado.
– Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos.
13/04/23 13Germinal Isern Universidad Nacional de Piura
Quién (3)
• General– Mala conducta de un empleado en casos corporativos– ¿Qué le pasa a este computador?– En caso de eliminación accidental o maliciosa de data por
parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?
– La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
• Garantía de la privacidad– ¿Qué se puede hacer para garantizar la privacidad?– Premisa: Los individuos tienen el derecho de la privacidad,
como pueden estar garantizar que su data es privada.– Muy difícilmente a menos que una codificación muy fuerte sea
usada, y luego el problema pasa a ser el almacenamiento de las llaves.
13/04/23 14Germinal Isern Universidad Nacional de Piura
Computación Forense: Metas (1)
• Identificación de evidencia digital potencial– ¿Dónde puede estar? ¿Qué dispositivos uso el
sospechoso?
• Preservación de la evidencia– En la escena del crimen…– Primero estabilizar la evidencia…prevenir la perdida
y la contaminación– Documentación cuidadosa de todo, que se agarro y
como…– Si es posible, hagan una copia idéntica a nivel de
bits de la evidencia para su revision.
13/04/23 15Germinal Isern Universidad Nacional de Piura
Computación Forense: Metas (2)
• Extracción cuidadosa y revisión de la evidencia.– Análisis de archivos y directorios
• Presentación de los resultados de la investigación ( si es apropiado)– “La FAT fue fubared, pero usando un editor a hexadecimal
cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”
– “El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
• Legal: Investigación debe satisfacer los criterios de privacidad
13/04/23 16Germinal Isern Universidad Nacional de Piura
Restricciones: Computación Forense
• Orden de volatilidad– Algún tipo de data es mas volátil– RAM > swap > disk > CDs/DVDs– Idea: capture L evidencia mas volátil primero
• Cadena de custodia– Mantenimiento de los registros de posesión para
todo– Debe ser capaz de hacer seguimiento a la evidencia
hasta su fuente original.– “Pruebe” que la fuente no ha sido modificada.
13/04/23 17Germinal Isern Universidad Nacional de Piura
Aspectos Legales
• Admisibilidad en los juzgados– Generalmente si , pero hay precedentes.– Disparándole a un objetivo en movimiento. Si se es
consistente y no se crea evidencia, debe estar bien.• Legalidad de la obtención
– Si (con una orden apropiada de la corte) y si para otras circunstancias especiales
– Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.
– Network sniffing se considera como wire tap. Sea cuidadoso• Requiere una orden titulo III de una corte (18 USC 2510-2521) • Muy difícil de obtener en EEUU• Lo mismo sucede con mensajes de texto en teléfonos celulares
Consulte a un abogado
13/04/23 18Germinal Isern Universidad Nacional de Piura
Aspectos Legales (2)
• Las necesidades de la investigación vs. El derecho a la privacidad
• Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución
• Quinta enmienda y Codificación ( Encryption)• Leyes sobre grabaciones (wiretaps)• Cadena de custodia• Admisibilidad de la evidencia en corte: Daubert
– Esencia:• ¿Ha sido esta teoría o técnica probada? • ¿ Se conoce la tasa de error? • ¿ Es ampliamente aceptado dentro de una comunidad científica
relevante?
• Patriot Act– Expande el poder del gobierno de forma amplia
13/04/23 19Germinal Isern Universidad Nacional de Piura
El proceso investigativo: necesidades
• Aceptación– Pasos y métodos son aceptados como validos
• Confiabilidad– Puede probarse que los métodos apoyan los
hallazgos.– Por ejemplo puede probarse que el método para
recuperar una imagen del espacio de swap puede ser exacto.
• Repetitividad– Los procesos pueden ser repetidos por agentes
independientes.
13/04/23 20Germinal Isern Universidad Nacional de Piura
Proceso de investigación (2)
• Integridad– Evidencia no es modificada ( si es posible al
máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
• Causa y efecto– Puede mostrar conexiones fuertes entre individuos,
evnetos y evidencias.
• Documentación– Todo el proceso documentado, con cada paso
explicado y con la justificación apropiada.
13/04/23 21Germinal Isern Universidad Nacional de Piura
El principio: Alerta por incidente
• El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde)
• IDS alerta al administrador de un trafico de red sospechoso.
• La compañía repentinamente pierde muchas ventas• Algún ciudadano reporta una actividad criminal
– Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
• Asesinato, hay un computador en la escena del crimen.• Asesinato, la victima tiene un PDA• Agencias de Seguridad del estado y la policía deben
investigar• Corporación/militares: pueden investigar, dependiendo
de la severidad del caso, otras prioridades.
13/04/23 22Germinal Isern Universidad Nacional de Piura
Escena del crimen
• Documente, documente, documente• Fotografías que describan la organización de los
equipos, cableados• Inventario detallado de la evidencia• Procedimientos adecuados, prenda, deje las reglas
apagadas por cada tipo de dispositivo• Por ejemplo, para computador:
– Fotografíe la pantalla, luego desconecte la alimentación de energía.
– Coloque cinta de marca de evidencia sobre cada dispositivo.– Fotografíe/diagrame y etiquete la parte posterior del
computador con los componentes y sus conexiones existentes.– Etiquete todos los conectores y cables de manera de poder re-
ensamblar cuando sea necesario.– Si requiere de transportar, empaque los componentes y
transpórtelos como mercancía frágil.
13/04/23 23Germinal Isern Universidad Nacional de Piura
Ejemplos de evidencia digital
• Computadores cada vez mas involucrados en investigaciones corporativas y criminales.
• La evidencia digital puede jugar un rol preponderante o ser una nube de humo.
• Correo electrónico– Acoso o amenaza– Chantaje– Transmisión ilegal de documentos corporativos
internos.
13/04/23 24Germinal Isern Universidad Nacional de Piura
Ejemplos (2)
• Puntos de encuentro/horas de encuentro para trafico de drogas
• Cartas de suicidas• Información técnica para construir bombas• Archivos con imágenes o video digital (por
ejemplo pornografía infantil)• Evidencia sobre el uso inapropiado de los
recursos del computador o ataques– Uso de una maquina como un generador de correo
spam – Uso de una maquina para distribuir copias ilegales
de software.
13/04/23 25Germinal Isern Universidad Nacional de Piura
Delitos Informáticos
13/04/23 Germinal Isern Universidad Nacional de Piura
26
Pornografía Infantil
13/04/23 Germinal Isern Universidad Nacional de Piura
27
Delitos Financieros
13/04/23 Germinal Isern Universidad Nacional de Piura
28
Clonadores de atrjetas de credito
13/04/23 Germinal Isern Universidad Nacional de Piura
29
Fuentes de Evidencia digital
• Computadores– Email
– Imágenes digitales
– Documentos
– Hojas de calculo
– Bitácoras de conversaciones (Chat logs)
– Software copiado ilegalmente u otro material con derechos restringidos de copia
13/04/23 30Germinal Isern Universidad Nacional de Piura
Evidencia digital en un disco
• Archivos– Activos– Eliminados– Fragmentos
• Metadata de archivos• Espacio ocioso (Slack space)• Swap file• Información del sistema
– Registry– Bitácora (Logs)– Data de configuración
13/04/23 31Germinal Isern Universidad Nacional de Piura
Mas fuentes (1)
• Teléfonos celulares– Números dicados– Llamadas recibidas– Números de correo de voz accedidos– Números de tarjeta de crédito/debito– Direcciones de correo electrónico– Llamadas a números forward
• PDAs/ Teléfonos inteligentes– Contactos, mapas, fotos, palabras clave,
documentos,…
13/04/23 32Germinal Isern Universidad Nacional de Piura
Mas fuentes (2)
• Teléfonos internos/Contestadoras telefónicas– Mensajes entrantes/mensajes salientes– Números llamados– Información de la llamada entrante– Códigos de acceso para los sistemas de correos de
voz entrantes– Copiadoras– Especialmente copiadoras digitales, que pueden
almacenar trabajos enteros.
13/04/23 33Germinal Isern Universidad Nacional de Piura
Mas fuentes (3)
• Sistemas de video juego
• Básicamente sistemas computacionales como la XBox.
• Dispositivos GPS – Rutas, puntos de camino
• Cámaras Digitales– Fotos, video, archivos en tarjetas de almacenamiento
(SD, memory stick, CF, …)
13/04/23 34Germinal Isern Universidad Nacional de Piura
Preservación de la Evidencia
• Estabilizar la evidencia• Depende del tipo de dispositivo, pero debe mantener
felices a los dispositivos volátiles.• Cuando sea posible haga copias de la evidencia
original.• Dispositivos de bloqueo de escritura y alguna otra
tecnologia para garantizar que la información no sea modificada, son usados comúnmente.
• Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan
• Evidencia original debe ir luego a lugar controlado, lugar seguro
• “Alimentación” de los dispositivos volátiles continúan en almacenamiento
• Estas copias serán usadas en la próxima fase de la investigacion.
13/04/23 35Germinal Isern Universidad Nacional de Piura
Preservación de la escena del crimen
Sala Sotano, aramario
Conexion inalambrica
“Querida Susana,
No es tu culpa
Solo jala el cable Mueve el mouse para una mirada rapida
Tripwires
tick…tick…tick…
Computo volatil
Documentación cuidadosa es esencial
13/04/23 37Germinal Isern Universidad Nacional de Piura
Preservacion de la imagen
• Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
• Bloqueadores de escritura ; buen plan.
• Herramientas para obtener imagenes:– dd bajo Linux– Floppies de arranque DOS– Soluciones propietarias
Drivelock write blocker
Investigar
Análisis: Arte, Ciencia, Experiencia
• Conocer donde se puede encontrar la evidencia
• Entender las técnicas usadas para esconder o destruir la data digital
• Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida
• Habilidad para manipular gigantesca cantidad de data digital…
• Ignorar lo irrelevante, apuntar a lo relevante• Comprender completamente las
circunstancias que hacen a la evidencia no confiable– Ejemplo: Creación de nuevos usuarios bajo
Windows 95/9813/04/23 40Germinal Isern Universidad Nacional de
Piura
Computadores Tradicionales: ¿Dónde está la evidencia?
• Archivos no eliminados, espere que los nombres sean incorrectos
• Archivos eliminados• Windows registry• Archivos de impresión del spool• Archivos en Hibernación • Archivos temporales (todos los .TMP en Windows!)• Espacio ocioso (Slack space)• Swap files• Browser caches• Particiones alternas u ocultas• Otra variedad de medios removibles como (floppies,
ZIP, tapes, …)
13/04/23 41Germinal Isern Universidad Nacional de Piura
Análisis (1)
• Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible
• Descubrimiento de archivos eliminados• Descubrimiento de archivos renombrados• Recuperación de bloques de datos para archivos
grandes eliminados• Descubrimiento de material codificado• Creación de índices de claves para realizar
búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.
• Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos
13/04/23 42Germinal Isern Universidad Nacional de Piura
Análisis (2)
• Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado
• Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …
• Categorización de evidencia– x Archivos JPEG – y Archivos Word – z Archivos codificados ZIP – …
• Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado
• Muchos de estos procesos pueden ser automatizados
13/04/23 43Germinal Isern Universidad Nacional de Piura
Análisis (3)
• Creación de un archivo de ilustración de las fechas de creación, modificación y eliminación de archivos.
• Para el sistema de archivos de Unix : inode # “timelines”• La actividad inusual saltara en el diagrama de tiempos
(timeline)• Cuidado! Problemas del reloj, confusiones con los
husos horarios , batería del CMOS muerta…• Revisión de data no eliminada y recuperada con cumpla
con ciertos criterios.– Por ejemplo, en un caso de pornografía infantil, busque
imágenes JPEG/GIF recuperadas en cualquier archivo multimedia
– Probablemente no investigue Excel o documentos financieros• Formulación de hipótesis y búsqueda de evidencia
adicional para justificar o refutar la hipótesis.
13/04/23 44Germinal Isern Universidad Nacional de Piura
Proceso ForenseAutorización y Preparación
Identificación
Documentación, Recolección yPreservación
Examinación y Análisis
Reconstrucción
Reportes y Resultados
13/04/23 45Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
Flag(Forensic and
Log Analysis GUI )www.dsd.gov.au/library/software/flag/ *nix L
Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS
Sleuth9 www.deepnines.com/sleuth9.html *nix CSR
Dragon IDS www.enterasys.com/products/ids/ *nix CLSR
NSM Incident
responsewww.intellitactics.com Windows CLSRW
neuSecure www.guarded.net *nix CLSRW
NetIntercept www.sandstorm.net Linux box CSRA
NetWitness www.forensicexplorer.com Windows CLSRA
OSSIM www.ossim.net *nix CLSRA
SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
13/04/23 46Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
TCPDump,Windumphttp://windump.polito.it
http://www.tcpdump.orgLinux, Windows C
Ngrep http://ngrep.sourceforge.net *nix C
Network Stumbler http://netstumbler.com Windows C
Kismet www.kismetwireless.net Windows, Linux C
Argus www.qosient.com/argus7/ *nix CL
Flow-tools www.splintered.net/sw/flow-tools/ *nix CL
Flow extract, Flow
Scripts
http://security.uchicago.edu/tools/net-
forensics/*nix L
Etherape http://etherape.sourceforge.net *nix C
Ethereal www.ethereal.com Windows-Linux CLS
Etherpeek www.wildpackets.com Windows CLS
13/04/23 47Germinal Isern Universidad Nacional de Piura
Herramientas utilizadas en el proceso
• Algunas otras herramientas que ayudan en el proceso de
recolección de la información.
– Nessus. www.nessus.org
– Nmap. www.insecure.org
• También existen las llamadas distribuciones booteables, que son
definidas como el conjunto de herramientas en el proceso forense.
FIRE,Sleuth,Helix,Plan-B
• Dentro del conjunto de herramientas existen dos herramientas que
se consideran vitales para el manejo de incidentes y análisis
forense.
– IDS/IPS
– Honeytrap13/04/23 48Germinal Isern Universidad Nacional de
Piura
Demostración FTK
13/04/23 Piura Abril 200849Germinal Isern Universidad Nacional de Piura
FTK pantallas: Caso nuevo
13/04/23 50Germinal Isern Universidad Nacional de Piura
FTK : Comienza la investigación
13/04/23 51Germinal Isern Universidad Nacional de Piura
FTK : Sumario del caso
13/04/23 52Germinal Isern Universidad Nacional de Piura
FTK : Thumbnail
13/04/23 53Germinal Isern Universidad Nacional de Piura
Una muestra de investigacion
• Windows Registry• Swap File• Hibernation File• Recycle Bin• Print Spool Files• Filesystem Internals• File Carving • Slack Space• (Estructuras similares Linux, Mac OS X, etc.)
13/04/23 54Germinal Isern Universidad Nacional de Piura
Acceso al Registry (en vivo
Image the machine
-- or –
Use “Obtain Protected Files”in the FTK Imager
13/04/23 55Germinal Isern Universidad Nacional de Piura
FTK Registry Viewer
13/04/23 56Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 57Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 58Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 59Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 60Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 61Germinal Isern Universidad Nacional de Piura
NTUSER.dat file
13/04/23 62Germinal Isern Universidad Nacional de Piura
SAM file
13/04/23 63Germinal Isern Universidad Nacional de Piura
SOFTWARE file
13/04/23 64Germinal Isern Universidad Nacional de Piura
SOFTWARE file
13/04/23 65Germinal Isern Universidad Nacional de Piura
** VERY IMPORTANT **
“Select” key chooseswhich control set is current,which is “last known good” configuration
SYSTEM file
13/04/23 66Germinal Isern Universidad Nacional de Piura
SYSTEM file
13/04/23 67Germinal Isern Universidad Nacional de Piura
750GB USB harddrives (same type)
Two JumpdriveElite thumbdrives
SYSTEM file
13/04/23 68Germinal Isern Universidad Nacional de Piura
Mas del Registry
• Otra información :– Tipo de CPU
– Información Interfaz de Red• IP addresses, default gateway, DHCP configuration, …
– Software instalado
– Hardware instalado
• Información del registry tipo “aja te agarre”– redundante, información no documentada
– profile cloning on older versions of Windows (95/98)• (e.g., typed URLs, browser history, My Documents, …)
13/04/23 69Germinal Isern Universidad Nacional de Piura
Sistema de Archivos
Esencial conocerlo
FAT 12, 16, 32
NTFS
EXT 2, 3 …………..
13/04/23 Piura Abril 200870Germinal Isern Universidad Nacional de Piura
Mejor Auditoria
13/04/23 71Germinal Isern Universidad Nacional de Piura
Criminales en la computacion…
13/04/23 72Germinal Isern Universidad Nacional de Piura
Wireshark (….. Ethereal)
Detailed packet data at various protocol levels
Packet listing
Raw data13/04/23 73Germinal Isern Universidad Nacional de Piura
Wireshark: Siguiendo un flujo TCP
13/04/23 74Germinal Isern Universidad Nacional de Piura
Wireshark: control flujo FTP
13/04/23 75Germinal Isern Universidad Nacional de Piura
Wireshark: flujo de datos FTP
13/04/23 76Germinal Isern Universidad Nacional de Piura
Wireshark: Flujo de datos FTP
13/04/23 77Germinal Isern Universidad Nacional de Piura
Wireshark: Sesion HTTP
save, then trim awayHTTP headers to retrieve image
Use: e.g., WinHex
13/04/23 78Germinal Isern Universidad Nacional de Piura
Análisis Forense en vivo
13/04/23 96Germinal Isern Universidad Nacional de Piura
Crear consulta
13/04/23 97Germinal Isern Universidad Nacional de Piura
Crear
13/04/23 98Germinal Isern Universidad Nacional de Piura
Objetivo
13/04/23 99Germinal Isern Universidad Nacional de Piura
Confirmar informacion
13/04/23 100Germinal Isern Universidad Nacional de Piura
Password
13/04/23 101Germinal Isern Universidad Nacional de Piura
Adquisicion inicial
13/04/23 102Germinal Isern Universidad Nacional de Piura
13/04/23 103Germinal Isern Universidad Nacional de Piura
13/04/23 104Germinal Isern Universidad Nacional de Piura
Informacion General
13/04/23 105Germinal Isern Universidad Nacional de Piura
Informacion Interfaz IP
13/04/23 106Germinal Isern Universidad Nacional de Piura
Analisis de datos
13/04/23 107Germinal Isern Universidad Nacional de Piura
Puertos
vmware phoninghome to check for updates
SMB file server
13/04/23 108Germinal Isern Universidad Nacional de Piura
Procesos en ejecucion
13/04/23 109Germinal Isern Universidad Nacional de Piura
Conexiones
13/04/23 110Germinal Isern Universidad Nacional de Piura
Archivos abiertos
13/04/23 111Germinal Isern Universidad Nacional de Piura
Analisis vaciados de memoria
13/04/23 Piura Abril 2008112Germinal Isern Universidad Nacional de Piura
FATKIT / Volatools
Python-based system for examining physical memory dumps
C:\VolatoolsBasic-1.1.1>python volatools
usage: volatools cmd [cmd_opts]
Supported Commands: connections Print list of open connections datetime Get date/time information for image dlllist Print list of loaded dlls for each process files Print list of open files for each process ident Identify image properties such as DTB and VM type modules Print list of loaded modules pslist Print list of running processes sockets Print list of open sockets strings Match physical offsets to virtual addresses vaddump Dump the VAD sections to files vadinfo Dump the VAD info vadwalk Walk the VAD tree
13/04/23 113Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools pslist -f d:\MEMDUMP.1GB
Name Pid PPid Thds Hnds TimeSystem 4 0 65 262 Thu Jan 01 00:00:00 1970smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007
13/04/23 114Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools sockets -f d:\memdump.bluelu
Pid Port Proto Create Time1828 500 17 Wed Mar 28 02:22:36 20074 445 6 Wed Mar 28 02:22:20 2007736 135 6 Wed Mar 28 02:22:25 2007468 1900 17 Wed Mar 28 02:22:58 2007196 1031 6 Wed Mar 28 02:22:54 20071936 1025 6 Wed Mar 28 02:22:35 20074 139 6 Wed Mar 28 02:22:20 20071828 0 255 Wed Mar 28 02:22:36 20071112 123 17 Wed Mar 28 02:22:39 20071804 1029 17 Wed Mar 28 02:22:37 2007384 1028 6 Wed Mar 28 02:22:36 2007384 1032 6 Wed Mar 28 02:22:56 20074 137 17 Wed Mar 28 02:22:20 20071936 1026 6 Wed Mar 28 02:22:35 2007316 1030 6 Wed Mar 28 02:22:44 20071164 3793 6 Wed Mar 28 02:22:28 2007468 1900 17 Wed Mar 28 02:22:58 20071828 4500 17 Wed Mar 28 02:22:36 20074 138 17 Wed Mar 28 02:22:20 2007196 1037 6 Wed Mar 28 02:23:03 20071936 1027 6 Wed Mar 28 02:22:35 20074 445 17 Wed Mar 28 02:22:20 20071112 123 17 Wed Mar 28 02:22:39 2007
13/04/23 115Germinal Isern Universidad Nacional de Piura
C:\VolatoolsBasic-1.1.1>python volatools files -f d:\MEMDUMP.1GB************************************************************************Pid: 4File \Documents and Settings\Administrator.HE00\NTUSER.DATFile \Documents and Settings\Administrator.HE00\NTUSER.DAT.LOGFile \System Volume Information\_restore{1625C426-0868-4E67-8C21-25BB305F7E1E}\
RP228\change.logFile \TopologyFile \pagefile.sysFile \WINDOWS\system32\config\SECURITYFile \WINDOWS\system32\config\SECURITY.LOGFile \WINDOWS\system32\config\softwareFile \WINDOWS\system32\config\software.LOGFile \hiberfil.sysFile \WINDOWS\system32\config\systemFile \WINDOWS\system32\config\system.LOGFile \WINDOWS\system32\config\defaultFile \WINDOWS\system32\config\default.LOGFile \WINDOWS\system32\config\SAMFile \WINDOWS\system32\config\SAM.LOGFile \Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DATFile \Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOGFile \File \Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOGFile \Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DATFile \WINDOWS\CSC\00000001************************************************************************Pid: 436File \WINDOWSFile \WINDOWS\system32…… 13/04/23 116Germinal Isern Universidad Nacional de
Piura
Analisis de la muerte de un computador
FTK Interlude
13/04/23 Piura Abril 2008117Germinal Isern Universidad Nacional de Piura
Email en el computador de Daryl
13/04/23 118Germinal Isern Universidad Nacional de Piura
Analisis en vivo del computador
13/04/23 Piura Abril 2008119Germinal Isern Universidad Nacional de Piura
Command: pslist > pslist.txt
? Nada interesante
13/04/23 120Germinal Isern Universidad Nacional de Piura
Command: pmdump –list > pmdump-list.txt
?Nada interesante?
13/04/23 121Germinal Isern Universidad Nacional de Piura
Command: handle > handle.txt
!!
13/04/23 122Germinal Isern Universidad Nacional de Piura
Command: dd if=\\.\PhysicalMemory of=PhysicalMemory.ddCommand: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt
13/04/23 123Germinal Isern Universidad Nacional de Piura
El archivo “log.txt” en directorio c:\taxes en Word Para resaltar las sesiones importantes
DARYL_EVIDENCE\log.doc
Examen c:\taxes directorio:
turbotax97.exe era realmente un keylogger
13/04/23 124Germinal Isern Universidad Nacional de Piura
13/04/23 125Germinal Isern Universidad Nacional de Piura
¡Algo es sospechoso!
• Inmediatamente se conectan e ingresan a la red corporativa
• Atención especial al trafico de “sparelaptop3”
• Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania
13/04/23 126Germinal Isern Universidad Nacional de Piura
Wireshark Interlude
13/04/23 Piura Abril 2008127Germinal Isern Universidad Nacional de Piura
Analisis de red
Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
• bobotie-notes.txt.bfe:– Directory info enumerated at packet 2029-2030.– 662 bytes (entire file) transferred in packet 2202.
• pate.txt (un-encrypted):– choose any packet in stream and follow TCP stream,
e.g., packet 3360.– data transfer is actually at packet 3479.
• pistachio-macaroons.txt.bfe:– 246 bytes (entire file) transferred in packet 4693.
13/04/23 128Germinal Isern Universidad Nacional de Piura
Historia de inserción de USB (análisis de laptop flotante) HKEY_LOCAL_MACHINE/SYSUSBSTOR
Almacenamiento USB perteneciente a Niles Boudreaux,otro empleado de TurboChef.
13/04/23 129Germinal Isern Universidad Nacional de Piura
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR
¡Concordo!
13/04/23 130Germinal Isern Universidad Nacional de Piura
Historia USB
En la computadora de Niles
• Copias de recetas codificadas y no codificadas (eliminadas)
• E-mail original de Ignatius Q. Riley (eliminado)
13/04/23 131Germinal Isern Universidad Nacional de Piura
Email original de Ignatius ( Maquina N. Boudreaux’s)
13/04/23 132Germinal Isern Universidad Nacional de Piura
A Closer Look at Email on Daryl Popper’s Computer
13/04/23 133Germinal Isern Universidad Nacional de Piura
Una vista mas cerca del e-mail en el computador de Daryl
(HTML SOURCE)
13/04/23 134Germinal Isern Universidad Nacional de Piura
La historia real
1. Niles infeliz, contacta a Lick-My-Spoon2. Niles instala un key logger en la maquina de Daryl while she’s at lunch,
and enables guest account and file sharing3. Key logger records Daryl’s encryption passwords4. Niles digs up unused, spare laptop5. Niles gets keystroke log remotely using spare laptop / file sharing6. Niles copies some recipes to spare laptop using file sharing7. Niles copies stolen recipes from spare laptop to USB disk8. Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius9. Ignatius sends reply to Niles10. Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)11. Niles deposits forged reply on Daryl’s machine12. Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO,
investigation begins13. Niles continues periodically to copy recipes from Daryl’s machine to
spare laptop14. (These transfers were captured during network logging)15. Facing mounting evidence, Niles confesses
13/04/23 135Germinal Isern Universidad Nacional de Piura