Análisis Forense Fast Tracke1lisis%20... · ¿Qué es el Análisis Forense? Es un proceso,...
Transcript of Análisis Forense Fast Tracke1lisis%20... · ¿Qué es el Análisis Forense? Es un proceso,...
¿Qué es el Análisis Forense?
Es un proceso, metodológicamente guiado, que
involucra los siguientes elementos, referidos a los datos
de un sistema computacional:
Preservación
Identificación
Extracción
Documentación
Interpretación
Reinaldo Mayol Arnao
3
RFC3227. Recolección y manejo de
evidencias
RFC3227
Procedimiento de
recolección
Transparencia
Pasos de la recolección
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento
de éstas
Reinaldo Mayol Arnao
4
Orden de Jerarquía
Registros y contenidos de la caché.
Contenidos de la memoria.
Estado de las conexiones de red, tablas de rutas.
Estado de los procesos en ejecución.
Contenido del sistema de archivos y de los discos duros.
Contenido de otros dispositivos de almacenamiento.
Reinaldo Mayol Arnao
5
+
-
Ciclo de Vida del Análisis
Forense
Diseño de Evidencia
Producción de la Evidencia
Recolección de la Evidencia
Análisis de la Evidencia
Reporte y Presentación
Determinación de Relevancia
Reinaldo Mayol Arnao
6
HB171:2003 Handbook Guidelines forthe management of IT Evidence.]
Manipulación de la Evidencia
Si no se toman las medidas adecuadas para la
manipulación de la evidencia esta puede perderse o
resultar inaceptable como prueba.
7
Manipulación de la Evidencia
Uno de los elementos que se utilizan son las
Cadenas de Custodia
Una adecuada Cadena de Confianza debe
responder, para cada evidencia, las siguientes
interrogantes:
¿Quién colectó la evidencia?
¿Cómo y donde fue colectada?
¿Quiénes tuvieron posesión y acceso a la evidencia?
¿Cómo fue almacenada y protegida?
¿Quién la ha manipulado?
8
Autentificación de la
Evidencia
El objetivo de este paso es proveer un mecanismo que garantice la evidencia colectada no pueda ser modificada o sustituida sin que el investigador pueda notarlo.
Por lo general, se recomienda utilizar algoritmos de HASH (SHA2!!!!!) capaces de crear un hash de la evidencia que garantice su integridad.
Se puede firmar digitalmente el hash de cada evidencia garantizando de esta forma que la misma no pueda ser sustituida.
9
Características de la
evidencia forense digital
Si alguien intenta destruir las evidencias, podemos
tener copias igual de válidas lejos del alcance del
criminal.
El proceso de autenticación siempre siembra dudas
sobre la veracidad de la prueba.
Adquirir una copia de la evidencia puede ser un proceso
difícil y delicado.
Las pruebas pueden ser modificadas incluso durante su
recolección.
10
Características de la
evidencia forense digital
No solo hay que validar las copias sino incluso el
momento en que se realizan.
La autentificación de la evidencia requiere mecanismos
externos como: certificados digitales, autoridades de
certificación y cadenas de certificación acordes a las
leyes de un país o incluso de una organización.
11
Características de la
evidencia forense digital
Pueden ser duplicadas de forma exacta y la copia
puede examinarse como si fuera el original.
Con las herramientas adecuadas “es muy fácil”
determinar si la evidencia ha sido modificada o
falsificada comparándola con la original.
Es relativamente difícil de destruir, incluso borrándola,
la evidencia digital puede ser recuperada de un disco.
12
¿Hasta Donde ?
Es posible definir con exactitud el 80 % de lo que
ha hecho un sospechoso el…20% del
TIEMPO
13
Práctica 1 Creando Imágenes
Forense En esta práctica utilizaremos el comando dd de Linux para la
creación de una imagen del disco duro de la estación.
Inicie Backtrack ( también se puede realizar prácticamente con cualquier distribución sin instalar software adicional)
Abra un Shell y como root ejecute el siguiente comando
# dc3dd if=/dev/sdb of=imag.dat
Es un buen momento para tomar café. El proceso demorará en función del tamaño de la imagen a crear. Este proceso crea una imagen bit a bit de la partición o volumen declarado en la opción if la imagen creada se obtiene según lo declarado en la opción of.
Reinaldo Mayol Arnao
14
Organización de los DatosLos SO agrupan varios sectores consecutivos
FAT, NTFS: Clusters
EXT? (*nix): Blocks
Reinaldo Mayol Arnao
16
1 sector: generalmente
512 bytes
Niveles del Sistema de
Archivos
• File Name Nombre de los Archivos
• Metadata Información de la Estructura del F. S
• Datos Clúster, Blocks
• Sistema de Archivos Información de Particiones
• Físico Disco Físico
Reinaldo Mayol Arnao
17
Particiones DOS
Las particiones tipo DOS se utilizan en la mayoría de los
sistemas operativos, incluyendo Linux.
Reinaldo Mayol Arnao
19
Sólo 4 entradas
Imagen t
om
ada d
e:
Carr
ier
B.
F.S
Fore
nsi
cAnaly
sis,
2005.
modif
icada p
or
R.M
ayol
Particiones Extendidas (E. P) Con 4 entradas solamente
no es posible cubrir las
necesidades de los sistemas
modernos.
Una partición extendida
contiene una segunda tabla
de particiones y puede
describir 2 particiones. (
una para el F. S y otra para
otra E.P)
Reinaldo Mayol Arnao
20
Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol
MBR Partition Table
ExtendedPartition Table
Tabla de Particiones
Posición Longitud en
Bytes
Contenido
0 1 Estado de la partición 00h no activa, 80h activa
1 1 Comienzo de la partición ( cabezal)
2 2 Sector y Cilindro donde comienza la partición
4 1 Tipo de Partición
5 1 Cabezal donde la partición termina
6 2 Sector y Cilindro donde la partición termina
8 4 Distancia, en sectores (por omisión
512B/sector) desde la tabla de particiones al
primer sector de la partición
12 4 Longitud ( en sectores) de la partición
Reinaldo Mayol Arnao
21
Continuación
Reinaldo Mayol Arnao
23
80 01 01 00 07 FE F8 FF 38 00 00 00
10 B3 FF 04 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 55 AA
Partición activa Sector 1, Cilindro 0
Partición NTFS
Termina: Sector F8(248) cilindro FF
La partición inicia
56 sectores desde
el inicio de la
tabla
83866384
Sectores *
512B= 40GB
Fin de la Tabla de Particiones
Algunos Tipos de Particiones
Hex
Valor
Tipo
0C FAT 32
83 Linux
82 Linux Swap
07 NTFS
a8 MacOSX
Reinaldo Mayol Arnao
24
Slack Space
La unidad mínima de direccionamiento son los clusters.
El S.O sólo puede direccionar clusters.
Si un archivo es menor que el tamaño del cluster el
espacio sobrante se pierde.
Este espacio es interesante, desde el punto de vista
forense, ya que normalmente puede contener datos de
otros archivos que utilizaron anteriormente el cluster.
Reinaldo Mayol Arnao
25
Práctica 2 MBR
Reinaldo Mayol Arnao
26
Inicie la máquina virtual Backtrack y
localice la imagen del disco creado en la
práctica anterior.
Utilice el comando hexedit para visualizar el
contenido el archivo de imágenes.
root@bt:~# hexedit imag2.dat
Localice la Tabla de Particiones (note que
las posiciones están en hexadecimal)
A partir de la tabla de particiones describala estructura de las mismas.
Práctica 2 Cont…
Reinaldo Mayol Arnao
27
Utilice el comendo mmls para ver la tabla de particiones. Esta información
puede ser útil. A continuación se muestra un ejemplo. Sus resultados pueden ser
diferentes.
root@bt:~# mmls /dev/sda -t dos
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0040105983 0040103936 Linux (0x83)
03: ----- 0040105984 0040108031 0000002048 Unallocated
04: Meta 0040108030 0041940991 0001832962 DOS Extended (0x05)
05: Meta 0040108030 0040108030 0000000001 Extended Table (#1)
06: 01:00 0040108032 0041940991 0001832960 Linux Swap / Solaris x86
(0x82)
07: ----- 0041940992 0041943039 0000002048 Unallocated
NTFSNew Technologies File System
Ahora que ya conocemos la estructura del disco nos interesan las particiones
Sistema de Archivos de NTFS
Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control.
Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen.
El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr
Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto son atributos no previamente definidos.
Reinaldo Mayol Arnao
Metadata
Todos los sistemas de archivos dedican algunos archivos a contener información que describe a otros archivos.
NTFS : MFT ( Master File Table)
*nix :Inodos
FAT: Entradas de Directorio.
Reinaldo Mayol Arnao
30
Metadata
Los archivos de Metadatos contienen información como:
MAC times,
permisos,
propietarios,
tamaño de los archivos,
localización,
etc.Reinaldo
Mayol Arnao
31
Archivos de Metadata
Índice
$MFT
Nombre del Archivo Descripción
0 $MFT MFT
1 $MFTmirr Archivo de Respaldo del MFT
2 $LogFile Registro de las transacciones de metadata
3 $Volume Información sobre el volumen
4 $AttrDef Información sobre atributos
5 $Root Directorio Root del F.S
6 $Bitmap Mapa de disponibilidad de cada cluster
7 $Boot Boot Sector
8 $BadClus Mapa con clusters que contienen sectores dañados
9 $Secure Información de Seguridad
10 $Upcase Versión de cada carácter Unicode
11 $Extend Contiene file para extensiones opcionales.
Reinaldo Mayol Arnao
33
Sistema de Archivos NTFS
cont..
La localización del MFT está definido en el Boot Sector del F.S
Un MFT almacena los atributos de los archivos y subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros.
Si un archivo no puede contener todos sus atributos en una sóla entrada utiliza entradas consecutivas.
Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo, menor a 1500Bytes)
Reinaldo Mayol Arnao
34
Estructura del $MFT
Cada entrada al MFT es direccionada usando un valor de
48 bits, comenzando por 0.
Formalmente las primeras 16 entradas ( en la práctica
24) son para localizar los archivos de metadata del F. S
Los archivos de metadata se encuentran en la raíz del F.
S y comienzan por $
Reinaldo Mayol Arnao
35
Entradas MFT
Cada entrada es secuencialmente numerada usando un
valor de 48 bits.
Cada entrada tiene además un número de Secuencia de
16 bits que es incrementado cuando la entrada es
localizada.
Ambos valores se combinan para formar un valor de 64
bits que se utiliza como referenciador de los archivos.
Reinaldo Mayol Arnao
36
Entradas MFT ( Ejemplo)
Reinaldo Mayol Arnao
37
Header MFT Atributos Entrada MFT
Atribute Header Espacio no utilizado
Atribute Header: • Tipo• Tamaño• Nombre
Header
MFT$STANDARD_INFORMATION $FILE_NAMESTANDARD_INFORMATION $DATA
Práctica 3 Técnicas
Antiforense ADS
Vaya a este enlace y realice la práctica descrita
https://www.dropbox.com/s/dk8fh5orau524np/Alternative
DS.txt
Reinaldo Mayol Arnao
38
Formato Simplificado de una
ENTRADA a la MFT
Para un archivo:
Header
$FILE_NAME(48)
$ STANDART_INFORMATION(16)
$DATA(128)
Para un subdirectorio:
Header
$INDEX_ROOT
$INDEX_ALLOCATION
Reinaldo Mayol Arnao
Atributos ( algunos, sólo
algunos)
• Información general, tales como flags, MAC Times, ID del propietario
$STANDARD_INFORMATION:
•Nombre del Archivo en Unicode,MAC TIME del nombre
SFILE_NAME
• Contenido del Archivo$DATA:
•Nodo Raíz del árbol de índices$INDEX_ROOT
•Nodos del árbol de índices$INDEX_ALLOCATION
•Mapa de Bits del MFT $BITMAT
Reinaldo Mayol Arnao
40
Boot Sector Partición NTFS
Reinaldo Mayol Arnao
41
Boot Sector
Cluster: Grupo de Sectores Consecutivos.
Boot Sector
Byte Offset
Hex (Dec)
Longitud
(bytes)
Significado
0 (0) 3 Instrucción Jump
3 (3) 8 Identificación en ASCII del formato del Disco
0B(11) 2 Bytes por Sector ( 512,1024,2048, 4096)
0D(13) 1 Sectores/clusters ( potencias de 2 hasta 32KB)
0E (14) 2 Tamaño en Sectores del Área reservada
10 (16) 3 Siempre en 00
13 (19) 2 No usado por NTFS
15 (21) 1 Media Type . 0xf8 discos fijos. 0xf0 removibles
16 (22) 2 Siempre en 00
18 (24) 2 Sectores por Pista
1 A (26) 2 Número de Cabezales
1 C (28) 4 Sectores Ocultos
20 (32) 8 No usado por NTFS
28 (40) 8 Número de sectores en el disco
Reinaldo Mayol Arnao
42
Boot Sector Cont….
Offset
Hex (Dec)
Longitud
(bytes)
Significado
30 (48) 8 Número de Cluster lógico para el archivo
$MFT
38 (56) 8 Número de Cluster lógico para el archivo
$MFTMirr
40 (64) 4 Clusters por Segmento de Entrada de Archivo
44 (68) 4 Clusters por Index Block
48(72) 8 Número de Serie del Volumen
50(80) 4 Número de Chequeo
54-1FD (84-
509)
425 Reservado
1FE (510) 2 Fin 0X55AA
Reinaldo Mayol Arnao
43
Práctica 4
Vaya a este enlace y realice la práctica descrita
https://www.dropbox.com/s/4bp0x3ny8v3gy8u/NTFSBOOT
SEC.txt
Reinaldo Mayol Arnao
44
Práctica 5 Analizando NTFS
Vaya al enlace a continuación y realice la práctica
descrita
https://www.dropbox.com/s/fd35v09xg1qa836/NTFS.txt
Reinaldo Mayol Arnao
45
Ext
El F.S comienza con un área reservada y el resto está
dividido en sectores llamados grupos de bloques.
Todos los grupos de bloques, excepto el último
contienen la misma cantidad de bloques.
Un bloque es un conjunto de sectores consecutivos
(1024,2048,4096 bytes)
La información de la estructura del F.S es almacenada
en una estructura llamada SuperBlock la cual se
encuentra localizada el inicio del F.S
Los metadatos de cada archivo o directorio son
almacenados en estructuras llamadas inodos
Reinaldo Mayol Arnao
47
Ext cont…
Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits)
Existe un inodo por cada archivo o directorio existente
Existe una tabla de inodos para cada grupo de bloques.
Los primeros 10 inodos tienen funciones fijas y están siempre localizados. El inodo 11 se utiliza para el subd lost+found
Los nombres de archivos son almacenados en las entradas de los directorios que los contienen.
Esas entradas de directorio son estructuras simples que contienen el nombre de los archivos y un puntero al inodo correspondiente.
Reinaldo Mayol Arnao
48
Inodos
Cada inodo tiene un número fijo de campos .
Un inodo contiene:
Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096 1019)
Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups)
Información temporal ( último acceso, modificación, borrado, cambio de la metadata)
Permisos
Tipo de archivos
Los tiempos son almacenados en la cantidad de segundos desde 1ro Enero 1970.
Reinaldo Mayol Arnao
49 Los tiempos son almacenados en la cantidad de segundos desde 1ro Enero
1970.
Entradas de directorio,
inodos y bloques de datos
Reinaldo Mayol Arnao
50
archivo1
MetadataMetadata
MetadataMetadata
MetadataMetadata
Entradas de Directorio
Inodos Bloques de Contenido
Inodos Cada inodo puede almacenar las direcciones de los primeros 12
bloques de un archivo. (bloques directos)
Si un archivo requiere mas de 12 bloques se localiza un bloque para
almacenar los punteros a otros bloques( bloques indirectos)
Reinaldo Mayol Arnao
51
Ext cont…
Ext tiene un grupo de opciones organizadas en 3
categorías basadas en que debe hacer el sistema
operativo si alguna de ellas no es soportada.
Las opciones compatibles son aquellas que pueden ser
ignoradas por el S.O que monta un F. S incluso si no las
soporta. EJ. Journals
Las opciones incompatibles si no son soportadas el F. S no
será montado. Ej. Cifrado
Las compatibles de solo lectura implican que el F. S será
montado pero solo en modo Read-Only. Ej. Estructuras en
arbol en lugar de listas.
Reinaldo Mayol Arnao
53
Superblock y Descriptor de
Bloques
El Superblock es localizado al inicio del F. S ocupando los primeros 1024 bytes ( aunque utiliza sólo unos pocos)
Contiene la estructura del F. S ( similar al BootSector en NTFS) y de configuración.
Copias de respaldo pueden ser encontradas en el primer bloque de cada grupo de bloques.
Información contenida:
Tamaño de los bloques
Número total de bloques por grupo de bloques
Número de bloques reservados antes del primer grupo de bloques.
Reinaldo Mayol Arnao
54
Superblock y Descriptor de
Bloques También puede incluir:
Nombre del volumen
Fechas de montaje y escritura
Sitio del último montaje
Consistencia del F. S
Número total de inodos y bloques
disponibles
Opciones habilitadas.
Reinaldo Mayol Arnao
55
Superblock y Descriptor de
Bloques
En Linux una opción llamada Sparse
Superblock está siempre habilitada y hace que
sólo algunos grupos de bloques contengan
copias del Superblock.
El Superblock tiene una firma ( 0xef53) en los
bytes 56 y 57, desafortunadamente es
demasiado pequeña y buscarla conduce a gran
cantidad de falsos positivos
Reinaldo Mayol Arnao
56
Buscando la firma..
root@bt:~# sigfind -o 56 -l ef53 /dev/sda1Block size: 512 Offset: 56 Signature: 53EFBlock: 2 (-) Block: 262144 (+262142) Otras aparicionesBlock: 346505 (+84361)
Reinaldo Mayol Arnao
57
Primera aparición de la firma
Tabla de Descriptores de
grupos de bloque
En el bloque siguiente del superblock se encuentra la tabla
descriptora de grupos de bloque.
Comúnmente existe copias de tabla en los bloques de grupo ( ver
figura inferior)
Un F.S en linux tiene igual número de bloques por grupo que bits en
un block. Por lo tanto el BlockBitmap requiere un bloque.
Reinaldo Mayol Arnao
58
Backup
SuperB.
Tabla desc.
De gruposBlockBitmap
Inode
Bitmap
Tabla de
InodosDatos Datos
Estructuras Ext: SuperBlock
(selección de campos)
Byte Descripción
0-3 Número de Inodos en el FS
4-7 Número de Bloques en el F. S
8-11 Número de bloques reservados
12-15 Número de bloques disponibles ( no usados)
16-19 Número de inodos disponibles ( no usados)
20-23 Bloque donde el Grupo de Bloques 0 comienza
24-27 Tamaño del bloque ( número de lugares para
desplazar 1024 a la izquierda) Ej: 0-1024, 2-
4096
32-35 Número de bloques en cada grupo de bloques
40-43 Número de inodos en cada grupo de bloques
44-47 Fecha del último montaje
48-51 Fecha de la última escrituraReinaldo
Mayol Arnao
59
Estructuras Ext: SuperBlock
(selección de campos) cont..
Bytes Descripción
52-53 Contador de montajes
54-55 Máximo número de montajes sin chequeo
56-57 Firma del F.S (0xef53)
58-59 Estado del F.S ( limpio, con errores, con archivos
perdidos)
104-
109
ID del Volumen
136-
199
Subdirectorio donde fue montado por última vez
Reinaldo Mayol Arnao
60
Recuerde que esta no es la tabla entera de los campos del Superblock. Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystemimplementor's guide, Part 8.
RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES
Una mirada al SuperBlock
Reinaldo Mayol Arnao
61
1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe comenzar en el bit 1024 (0x400).2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos3-Los bytes del 4-7 informan el número de bloques=240254 bloques4- Los bytes 56-57 (0x38) contienen la firma 0xef53
Práctica 6: Analizando
particiones EXT
Vaya al enlace que se muestra y realice la práctica
descrita
https://www.dropbox.com/s/vzjevg541h8js9z/ext.txt
Reinaldo Mayol Arnao
62
Tabla descriptora de grupos Tiene una entrada por cada grupo de bloques existente en el F. S
Comienza en el segundo bloque
Reinaldo Mayol Arnao
63
byte Descripción
0-3 Dirección de inicio del bloque del bitmap
del bloque
4-7 Dirección de inicio del bloque del bitmap de
inodos
8-11 Dirección de inicio del bloque de la tabla de
inodos
12-13 Número de bloques disponibles en el grupo
14-15 Número de inodos disponibles en el grupo
16-17 Número de directorios en el grupo
18-31 No usados
Cuando se crea un archivo
El SO debe utilizar un inodo para el nuevo archivo.
Trata de hacerlo en el mismo grupo de bloques del
directorio que contiene el archivo
Si no es posible se busca un nuevo grupo para localizar
el inodo.
Reinaldo Mayol Arnao
64
Cuando se crea un directorio
Se trata de localizar en un grupo que no haya sido
utilizado mucho ( equilibrando el uso del disco)( mucho
es cantidad de inodos ocupados no veces!)
Para encontrarlo el S.O puede obtener del superblock el
número de inodos y bloques libres.
Con este valor se comienza a buscar por los grupos de
bloques hasta encontrar a uno que tenga un valor por
debajo del valor promedio de utilización.
Reinaldo Mayol Arnao
65
Los inodos y la creación
Cuando un inodo es localizado toda su información anterior es borrada.
Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2 para directorios
Cuando se borra un archivo el contador es decrementado, si llega a 0 el inodo es considerado libre.
Si un archivo es borrado y alguna aplicación lo tiene todavía abierto pasa a ser considerado un orphan file y es inscrito en una lista en el superblock.
Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el inodo es liberado.
Reinaldo Mayol Arnao
66
Pero recuerdeHay muchos otros sitios donde buscar
Y sobre todo:
LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS OBTENIDOS POR UN INVESTIGADOR:
-ENTRENADO
-PACIENTE
-DISCIPLINADO
-CREATIVO
Reinaldo Mayol Arnao
67
¿Dónde mas buscar ?
Otros sitios donde buscar en
*nix?
• contiene los mensajes generales del sistema
/var/log/messages
• guarda los sistemas de autenticación y seguridad
/var/log/secure
• guarda un historial de inicio y cierres de sesión pasadas
/var/log/wmtp
• guarda una lista dinámica de quien ha iniciado la sesión
/var/run/utmp
• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)
/var/log/btmp
Reinaldo Mayol Arnao
Permisos UNIX
Reinaldo Mayol Arnao
R: Lectura
W: Escritura
X: Ejecución
111 110 111
Resto
Permiso
Negado
Permiso
Otorgado
Grupo
Propietario
Archivos Ocultos
En UNIX los archivos ocultos se distinguen por comenzar
por un “. “
# ls –a
.home
.stach
.gnome$
Reinaldo Mayol Arnao
Casos típicos de intrusión
( ejemplos)
• Apache :23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh
• Un usuario “demonio” no debe tener shell válido ( /bin/shell)
Usuarios del Sistema con Shell Válido
• User:23wedjgjf:0:0:Usuario General:/home/user:/bin/csh
• El UID 0 está reservado SOLO para el root
Más de un superusuario
• User:23wedjg”jf:500:500:Usuario General:/var/www:/bin/csh
• ¿Por qué un usuario general tiene como HOME el subdirectorio de Apache?
Usuarios con HOME
incorrectoReinaldo
Mayol Arnao
SUID y SGID
_rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at
_rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport
Reinaldo Mayol Arnao
SUID
SGID
Servicios Disponibles
Revisar todo el árbol /etc/ rc*
Ejecutar (si es posible) alguna herramienta de búsqueda
de puertos abiertos.
Tener en cuenta que muchos servicios pueden ser
manejados por Superdemonios (inetd)
Reinaldo Mayol Arnao
Ejemplo típico de Intrusión
Servicios Arrancados
fuera de orden
Scripts de Arrancada
“ Adulterados”
Bibliotecas o Binarios
AlteradosReinaldo
Mayol Arnao
Trabajos temporizados
Revisar los archivos relacionados con el cron del sistema
Reinaldo Mayol Arnao
Otras fuentes de información
Los archivos de acceso directo
Index.dat
Thumbs.db
Entradas del registro
Reinaldo Mayol Arnao
El registro
Los registros se encuentran
en varios archivos ocultos en: %systemroot%\system32\config y
NTUSER.DAT.
Un auditor forense debe hacer
copias de los archivos del
registro y visualizarlos en otro
editor.
Reinaldo Mayol Arnao
Logs
Los archivos Log de una máquina, son una fuente de información importantísima en un análisis
forense.
SysEvent.Evt. Registra los
sucesos relativos al
sistema
SecEvent.Evt. Registra los
sucesos relativos a la
seguridad
AppEvent.Evt. Registra los
sucesos relativos a
aplicaciones
Reinaldo Mayol Arnao
Más donde buscar: SystemInfo
C:\>systeminfo
Nombre de host: MEFISTONombre del sistema operativo: Microsoft Windows XP ProfessionalVersión del sistema operativo: 5.1.2600 Service Pack 2 Compilación
2600Fabricante del sistema operativo: Microsoft CorporationConfiguración del sistema operativo: Estación de trabajo
independienteTipo de compilación del sistema operativo: Uniprocessor FreePropiedad de: Reinaldo Mayol ArnaoOrganización registrada: ULAId. del producto: 55274-640-4467482-23960Fecha de instalación original: 20/11/2007, 10:27:26 p.m.Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33
segundosFabricante del sistema: CLEVO Co.Modelo el sistema: M550SE/M660SETipo de sistema: X86-based PC
Reinaldo Mayol Arnao
Más donde buscar: SystemInfo
Cont…Procesador(es): 1 Procesadores instalados.
[01]: x86 Family 6 Model 14 Stepping
12 GenuineIntel ~1861 Mhz
Versión del BIOS: MSTEST - 6040000
Directorio de Windows: C:\WINDOWS
Directorio de sistema: C:\WINDOWS\system32
Dispositivo de inicio: \Device\HarddiskVolume1
Configuración regional del sistema: 0c0a
Idioma: 0000040A
Zona horaria: N/D
Cantidad total de memoria física: 894 MB
Memoria física disponible: 168 MB
Memoria virtual: tamaño máximo: 2.048 MB
Memoria virtual: disponible: 2.004 MB
Memoria virtual: en uso: 44 MB
Ubicación(es) de archivo de paginación: C:\pagefile.sys
Dominio: INICIOMS
Servidor de inicio de sesión: \\MEFISTO
Revisión(es): 170 revisión(es) instaladas.
Reinaldo Mayol Arnao
Estado de los servicios
C:\>sc query >>scSERVICE_NAME: ALGDISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n
TYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0
SERVICE_NAME: AudioSrvDISPLAY_NAME: Audio de Windows
TYPE : 20 WIN32_SHARE_PROCESSSTATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0
………
Reinaldo Mayol Arnao
Conexiones Establecidas
C:\>netstat
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED
TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED
TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED
TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT
TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED
TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAITReinaldo
Mayol Arnao
Reto Final
El profesor le entregará un reto final. ¿Se anima a
encontrar las evidencias ( si las hay) de un caso de
prostitución y tráfico de drogas?
Reinaldo Mayol Arnao
92