Análisis Forense en la Corporación Alfredo Reino [email protected].

Análisis Forense en la Corporación

Alfredo [email protected]

Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]

Introducción

Limitaciones en el "mundo real" Aspectos legales Fases de una investigación Obtención de la evidencia

• Windows• Unix / Linux• Cisco

Análisis forense como servicio corporativo

Limitaciones en el "mundo real"


Grandes corporaciones

Las grandes corporaciones no son un mundo "ideal"• Tamaño

Número de sistemas Número de localizaciones

• Complejidad Tecnológica Política Organizativa Legal

• Sistemas y aplicaciones críticos• Modelo "clientes internos"• Madurez tecnológica, cultura tecnológica


Limitaciones

Limitaciones organizativas Limitaciones legales Limitaciones físicas Limitaciones tecnológicas


Limitaciones físicas

Distancias• Acceso físico a sistemas y evidencia• Limitaciones de desplazamiento• Zonas horarias

Calendarios• Diferentes fiestas• Diferentes días críticos

Diferencias • Culturales• De idioma


Limitaciones tecnológicas

Ancho de banda• Acceso remoto a sistemas• Imágenes de disco o memoria

Sistemas de almacenamiento• SAN / NAS• Almacenamiento distribuido / replicado• RAID• Sistemas críticos


Limitaciones organizativas

Modelo de gestión• Centralizado• Descentralizado• "Silos" locales

Quién controla los sistemas?• Insourcing• Outsourcing

Jurisdicciones internas


Limitaciones legales

Cada localización tiene• su legislación nacional referente a

cibercrimen y protección de datos• sus políticas de RRHH

Cada localización puede tener• sus políticas y estándares de seguridad

corporativos Requisitos regulatorios de la

industria

Aspectos Legales


Aspectos Legales

Diferentes modelos• Unión Europea• Estados Unidos de América

Quién investiga Protección de datos Uso judicial de la investigación


Unión Europea

27 Estados miembros Dos sistemas legales

• Derecho Común (Common Law) UK, Irlanda, Chipre, Malta Más basado en la jurisprudencia

• Derecho Civil Resto de paises de la UE Más basado en la ley


Quién investiga

Empresa "víctima", con personal interno o externo• En la UE no se requiere licencia de

"investigador" para personal externo (en UK posiblemente en el futuro)

El Estado• Puede investigar o procesar a los atacantes• Puede investigar a la empresa por seguridad

inadecuada Otras personas, físicas o jurídicas,

afectadas por el incidente de seguridad• En el contexto de Protección de Datos


Legislación Unión Europea

Leyes sobre "hacking"• EU Information System Attacks Decision

Debe estar implementada por los estados el 16 de Marzo de 2007

• UK Computer Misuse Act• Deutsches Strafgesetzbuch• etc


Protección de Datos

Protección de Datos• Data Protection Directive (1995)• Privacy and Electronic Communications

Directive (2002) Las directivas se trasponen a legislación

nacional por los estados miembros• En España la LOPD (1999)

Cada estado miembro tiene una agencia nacional de protección de datos• En España la "Agencia Española de Protección

de Datos"


Crimen sin fronteras

A menudo los casos cruzan fronteras Diferentes elementos pueden estar

en diferentes paises• Los culpables• Las víctimas• Datos y contenido robados• Evidencia del delito• Herramientas usadas


Crimen sin fronteras

Acuerdos y tratados internacionales• MLATs (Tratados de Asistencia Mutua Legal)

entre paises• Convención de Schengen• MLAT entre UE y EEUU (2003)

Otros procedimientos• Comisión rogatoria (letter rogatory)• Cooperación informal entre Policías• INTERPOL• Subgrupo de Crimen de Alta Tecnología del G8


Involucrar a la Policía

Criterios de decisión• Tipo de delito• Política interna• Obligaciones legales

En UE no es obligatorio, en EEUU sí (según el caso)

• Existencia de víctimas externas (empresas, clientes, usuarios, etc.)


Honeypots

Legalmente es un "area gris"• Intercepción de comunicaciones• Protección de datos personales

¡sí, del atacante!

• Asistencia a un delito El honeypot puede usarse para lanzar otros ataques

• Inducción al delito (entrapment) Como estrategia de defensa en el juicio

• Contenido ilegal Material con copyright Pornografía infantil

Fases de una investigación


Fases de una investigación

Verificación del incidente Obtención de evidencia Análisis de la evidencia Elaboración de informes Almacenamiento de informes y

evidencia


Inicio de la investigación

Usuarios o personal de TI informan de un posible incidente• Cuentas bloqueadas, funcionamiento errático o

incorrecto de aplicaciones, etc. Alerta generada por los sistemas de gestión de

sistemas• Disponibilidad de sistemas, espacio en disco, utilización

CPU, intentos de logon, conexiones anómalas, etc. Alerta generada por los sistemas de gestión de la

seguridad• Firewall, IDS, Antivirus, etc.

Por aviso de terceros• Policía, prensa, competidores, etc.

Por encargo directo


Verificación del incidente

Cualquiera que sea la fuente de información que alerta inicialmente, hay que comprobar las otras• Pueden aportar más información• Pueden confirmar (o descartar) la

existencia de un incidente Un "sistema" no es un "servidor"

• Es necesario verificar el alcance total de una intrusión o incidente


Verificación del incidente

Los fraudes internos pueden implicar diferentes elementos de un sistema:• Múltiples Aplicaciones• Sistemas relacionados

Infraestructura de red (DNS, DHCP, routers, switches, ...)

Sistemas de soporte (directorio, backup, monitorización)

• Múltiples hosts Clientes Front-end Middleware Back-end, Bases de datos


Obtención de evidencia

Primero la información más volátil• Contenido de la memoria• Conexiones de red• Procesos corriendo

Luego información menos volátil• Imágenes de almacenamiento (discos, etc.)

Otra información útil• Fotos de hardware y sitios implicados• Logs de sistemas de monitorización• Entrevistas



Información volátil útil• Hora y fecha del sistema• Procesos en ejecución• Conexiones de red• Puertos abiertos y aplicaciones

asociadas• Usuarios logados en el sistema• Contenidos de la memoria y ficheros

swap o pagefile



Las herramientas usadas para examinar un sistema en marcha deben• Ser copias "limpias" (en un CD)

Copias de comandos de sistema • Diferentes versiones de OS• En Unix/Linux, "statically linked"

Otras herramientas

• Usar el mínimo de recursos del propio sistema• Alterar el sistema lo mínimo


Análisis de la evidencia

El procedimiento de análisis dependerá del caso y tipo de incidente

En general se trabaja con las imágenes de los sistemas de ficheros• Análisis de Secuencia Temporal ("timeline")• Búsqueda de contenido• Recuperación de binarios y documentos

(borrados o corruptos)• Análisis de código (virus, troyanos, rootkits,

etc.)

Obtención de la evidencia


Imágenes

Imágenes de un sistema en marcha• Uso de "dd" y "netcat" para enviar una

copia bit-a-bit a un sistema remoto Tanto Windows como Unix/Linux

• Para Windows puede ser más cómodo usar HELIX

http://www.e-fense.com/helix/ Permite realizar imagen de la memoria física

• Una vez realizada la imagen se computa un hash MD5 y SHA-1


Imágenes

Imágenes de un sistema apagado• Extraer disco duro• Si el disco tiene un jumper para "read-only" se puede

usar si no, un "write blocker" por hardware es necesario

(IDE/SATA/SCSI/USB/Firewire/...)• Conecta el disco a la workstation de análisis forense

es recomendable que sea Linux (permite montar los discos manualmente y en modo "read-only")

• Realiza copia con "dd" la imagen se puede guardar en discos externos

Firewire/USB, almacenamiento SAN, etc• Por supuesto, hashes MD5 y SHA-1 de original y copia

para garantizar integridad


Procedimiento

Fraude interno / Espionaje industrial• Periodo de verificación previo, sin alertar al culpable• Información sobre conexiones se obtiene de firewalls,

IDS, sniffers, et• Confiscación de hardware• Obtención de imágenes de discos

Intrusión Externa• Desconectar red• Obtener información volátil (memoria, registro,

conexiones, etc.)• Verificar incidente (logs, IDS, firewalls, etc.)• Obtención de imágenes de discos


Problemas con Servidores

Se puede desconectar siempre la red o la alimentación en sistemas críticos?• Coste de downtime vs. coste del incidente• Coste de reinstalación y puesta en marcha• Coste de revalidación, recertificación

Es factible siempre el hacer imágenes de todos los discos?• Almacenamiento en SAN/NAS• Configuraciones RAID• Volúmenes de >200GB comunes (incluso TB)• Distinción de disco físico y lógico cada vez

menos clara


RAID

Configuraciones comunes de RAID• RAID 0 ("disk striping")

2 discos mín, no tiene resiliencia a fallos Capacidad = Suma de los discos

• RAID 1 ("disk mirroring") 2 discos mín, soporta caida de 1 disco Capacidad = La del disco de menor tamaño

• RAID 5 ("disk striping with parity") 3 discos mín, soporta caida de 1 disco Capacidad = 2/3 de la suma de los 3 discos

Típicamente se usa• RAID 1 (o similar) para sistema operativo• RAID 5 (o similar) para datos

El problema de RAID• Es necesario hacer imágenes de los discos físicos?• En la mayoría de los casos es suficiente realizar la imagen de un disco

"lógico", a través de la controladora RAID• Si es RAID 1 existe la posibilidad de extraer uno de los discos del mirror

y usarlo como "original"


RAID

Tiempo en realizar una imagen

Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf


Problemas con evidencia original

¿Cómo se preserva la evidencia original?• Si se puede parar el sistema y tenemos acceso

físico Se hacen dos copias de todos los discos (usando

discos de idéntico modelo) Se guardan los originales Se arranca el sistema desde una de las copias Se investiga sobre otra copia

• Si no tenemos acceso físico Procedimiento de obtención de la imagen sencillo

para que un técnico remoto pueda hacerlo• Si no se puede parar el sistema

Se realiza imagen online, que pasa a ser considerada "original"


Problema de la distancia

Muchos servidores tienen tarjetas de acceso remoto (Lights-out Operations)• Desde el punto de vista del servidor, es como

acceder desde la consola localmente• Permiten montar CDs o diskettes virtuales

Operador remoto• Usando toolkit automatizado, con posible

asistencia telefónica Problemas: Zonas horarias, lenguaje, etc.


Resumen

La información y evidencia recogida tiene que ser la mejor posible dadas las circunstancias

En un delito, la evidencia informática suele corroborar o apoyar una investigación, pero no tiene por qué ser la "pistola humeante"

No es siempre necesario obtener "toda" la información disponible• No merece la pena• Puede llevar mucho tiempo


Sistemas Windows


Obteniendo información

date /t & time /t• fecha y hora

ipconfig /all• información tcp/ip

netstat -aon• conexiones abiertas y puertos en espera, con PID asociado

psinfo -shd• informacion del sistema (hardware, software, hotfixes,

versiones, etc.) pslist -t

• lista de procesos at

• lista de tareas programadas (también mirar en %windir%\tasks\ folder)



psloggedon• usuarios logados y hora de logon

psloglist• volcado de log de eventos

psservice• información de servicios de sistema

net use, net accounts, net session, net share, net user• conexiones netbios/smb

listdlls• lista de DLLs cargadas en sistema

sigcheck -u -e c:\windows• lista de ficheros (.exe, .dll) no firmados



streams -s c:\• lista ficheros con alternate data streams (ads)

logonsessions -p• sesiones actuales y procesos por sesión

arp -a• muestra tabla de caché ARP

ntlast • muestra eventos de logon correctos y fallidos

route print• muestra tabla de rutado IP



autorunsc• muestra elementos de autoejecución

hfind c:• ficheros ocultos

promiscdetect• detecta interfaces de red en modo "PROMISC"



volume_dump• muestra información sobre volumenes, mount points,

filesystem, etc. pwdump2

• muestra hashes (nthash/lmhash) de cuentas locales lsadump2

• muestra LSA secrets (necesita SeDebugPrivilege) strings

• busca cadenas ASCII/Unicode en ficheros


Obteniendo información - GUI

rootkit revealer• detecta rootkits (usermode o kernelmode)

process explorer• información útil sobre procesos, librerías que usan, recursos

accedidos, conexiones de red, etc. tcpview

• muestra conexiones de red y aplicaciones asociadas


Dispositivos Windows

\\. Local machine \\.\C: C: volume \\.\D: D: volume \\.\PhysicalDrive0 First physical disk \\.\PhysicalDrive1 Second physical disk \\.\CdRom0 First CD-Rom \\.\Floppy0 First floppy disk \\.\PhysicalMemory Physical memory


Imagen de memoria

Imagen de la memoria usando "dd"dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000

• Acceso a PhysicalMemory desde usermode ya no se permite en Windows Server 2003 SP1 (es necesario usar un driver en modo kernel)

Se puede volcar el espacio de memoria de un proceso con "pmdump"

Se puede obtener el fichero de paginación• No se puede copiar 'pagefile.sys' en un sistema en marcha• Si se apaga el ordenador, se modifica el fichero de paginación

(o opcionalmente se borra)• Si es necesario este fichero, quitar cable de alimentación y

obtener imágenes del disco


Ejemplo PMDump


Ficheros log Log de eventos (Application, System, Security, DNS) IIS/webserver/FTP logs/URLScan Windows Firewall log (%windir%\pfirewall.log) Dr. Watson logs

• contiene información sobre procesos que corrían cuando una aplicación falló

setupapi.log• información sobre instalacíón de aplicaciones y dispositivos

schedlgu.txt• información sobre tareas programadas

Antivirus / IDS / IAS / ISA Server / ... logs


Carpeta Prefetch Usada por Windows para almacenar información sobre

ejecutables, para optimizar el rendimiento• En WinXP se realiza prefetches al arrancar y al lanzar

aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por defecto)

• Los ficheros .pf en %systemroot%/prefetch contienen información sobre el path de los ficheros

• La fecha y hora (MAC) del fichero .pf nos da información sobre cuándo una aplicación ha sido ejecutada


Otras fuentes

LastWrite en claves de registro• Se puede usar 'lsreg.pl' para extraer esta

informaciónKey -> CurrentControlSet\Control\Windows\ShutdownTime

LastWrite : Tue Aug 2 12:06:56 2005

Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01 Ficheros INFO2

• Información sobre ficheros borrados• Se puede usar 'rifiuti' para extraer información• C:\Recycler\%USERSID%\INFO2


Otras fuentes

Documentos recientesHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Directorios temporales Caché navegador web

• Se puede usar 'pasco' para analizar• Cache y cookies• Browser history


Sistemas UNIX



uptime• tiempo que lleva el sistema corriendo

uname -a• tipo de OS y versión de kernel

date• fecha y hora del sistema

fdisk -l• mapa de particiones

lsof -itn• muestra ficheros abiertos

netstat -nap• muestra puertos abiertos



pcat• copia espacio de memoria de un proceso

ls -lit | sort• muestra inodos por secuencia, permite buscar troyanos

memdump• volcado de memoria física

mac-robber y mac-time• obtiene información sobre MAC de ficheros

file• identifica un fichero

ldd• muestra librerías dinámicas utilizadas por un binario

strings• muestra cadenas ASCII en ficheros



gdb• debugger

objdump• muestra información sobre ficheros objeto

readelf• muestra información sobre ficheros ELF

strace• traza de llamadas al sistema


/proc

El directorio /proc en Linux contiene una representación de los procesos en ejecución

El fichero en la carpeta /proc/<pid> es el binario del proceso• ¡Aunque se haya borrado del disco

después de lanzarlo!


Otras fuentes

Ficheros log (/var/log) .bash_history Fichero swap


Routers CISCO


Cisco Routers

Existen cientos de vulnerabilidades que afectan a routers Cisco• Buscando "cisco router" en CVE aparecen unas 50

¿Por qué atacar un router?• Deshabilitar la red, DoS• Atacar otros routers• Evitar firewalls, IDS, ...• Interceptar tráfico• Redireccionar tráfico


Cisco Routers

Dos tipos de memoria• Flash (persistente)

Configuración de arranque Ficheros sistema operativo IOS

• RAM (volátil) Configuración actual Tablas dinámicas (rutado, ARP, NAT, violaciones de

ACLs, estadísticas, etc.)

Lo interesante está en la RAM


Cisco Routers

No reiniciar el router Acceder siempre por consola

• no por red Recoger información usando comandos

"show" Capturar sesión de terminal

• Casi todos los programas de terminal tienen esta función


Cisco Routers

Información útil Si la contraseña ha cambiado y no

podemos entrar, hay información que se puede conseguir por SNMP

• snmpwalk –v1 Router.domain.com public• snmpwalk –v1 Router.domain.com private

Otra información• Logs de syslog• Traps SNMP enviadas a sistema de

monitorización Es buena política tener logs activados!

show clock detailshow versionshow running-configshow startup-configshow reloadshow ip routeshow ip arpshow usersshow loggingshow ip interfaceshow interfacesshow tcp brief allshow ip socketsshow ip nat translations verboseshow ip cache flowshow ip cefshow snmp usershow snmp groupshow clock detail

Análisis forense como servicio corporativo


Marco de trabajo

Soportado por Política de Seguridad corporativa

Servicio forense como parte de procedimiento de Respuesta a Incidentes

Roles, responsabilidades, y autoridad, tienen que estar muy definidos


Equipo

Investigadores forenses• Con experiencia, cualificaciones, y acceso a

todas las herramientas y bases de datos• Número pequeño, dependiendo del tamaño de

la organización y el número de casos procesados

Personal de respuesta a incidentes• Pueden llevar a cabo las fases de verificación y

obtención de evidencia


Equipo - Otros

Administradores de sistema• Aportan conocimiento de la infraestructura y

podrían ser los únicos en tener acceso a sistemas (por política)

Departamentos legales y de RRHH• Dependiendo del caso, puede ser útil o

necesario involucrarlos en la investigación


Herramientas

Kit de recolección de evidencia• Automatizado, que pueda ser usado por cualquiera• Multiplataforma• HELIX o similar

Análisis de imágenes de discos• The Sleuth Kit + Autopsy Browser• EnCase

Recuperación de contraseñas• Advanced Password Recovery Software Toolkit

Dispositivos móviles• PDA Seizure• MOBILedit Forensics Edition

Esteganográfía• Stego Suite


Bases de datos

Base de datos de "hashes"• Permite descartar ficheros conocidos• Cada sistema estándar y aplicación

utilizado en la corporación debería estar registrado en la base de datos de hashes

Base de datos de casos y evidencia• Que permita búsqueda fácil• ¿Cómo se resolvió aquél caso similar?


Bases de datos

Base de datos de herramientas• Toda herramienta debe ser probada

Metodología establecida de antemano

• Documentación de uso, resultados, e impacto en el sistema

• Copia segura de la herramienta, con hashes de los ficheros en papel


Infrastructura necesaria

Workstations de análisis forense• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB,

SATA) Almacenamiento para imágenes

• Dado que son ficheros grandes, la velocidad de lectura/escritura es fundamental (SAN por fibra, etc.)

• Opcionalmente, sistemas de archivado digital EMC Centera, NetApp NearStore, etc.

Almacenamiento físico para evidencia e informes• Caja fuerte, archivador con llave, sala de archivos

CDs de herramientas de obtención de evidencias• con instrucciones detalladas para que la obtención de

evidencias la pueda hacer alguien no-cualificado de forma remota

Sistemas que alberguen las bases de datos comentadas anteriormente


Areas de investigación futura

Análisis de imágenes de memoria Dispositivos móviles

• Teléfonos móviles• PDAs y Blackberries• Navegadores GPS• Reproductores MP3• Cámaras digitales

Telefonía IP, VoIP


Areas de investigación futura

Infrastructura forense distribuida• Agentes instalados en todos los sistemas• Gestionados centralmente• Permite obtener datos de diferentes fuentes y

correlacionarlos Idea

• Uso de PXE Boot para reiniciar una máquina y que arranque con un entorno de obtención de evidencia

Análisis Forense en la Corporación Alfredo Reino [email protected].

Documents

Transcript of Análisis Forense en la Corporación Alfredo Reino [email protected].