O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

#RootedCON18: De cero a #DFIR

296 visualizações

Publicada em

Presentación / taller impartido en el Congreso de Seguridad Informática RootedCON en su edición 2018, (#RootedCON18)

  • Visit this site: tinyurl.com/sexinarea and find sex in your area for one night)) You can find me on this site too)
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Sex in your area for one night is there tinyurl.com/hotsexinarea Copy and paste link in your browser to visit a site)
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Girls for sex are waiting for you https://bit.ly/2TQ8UAY
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Meetings for sex in your area are there: https://bit.ly/2TQ8UAY
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Hey guys! Who wants to chat with me? More photos with me here 👉 http://www.bit.ly/katekoxx
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui

#RootedCON18: De cero a #DFIR

  1. 1. De cero a DFIR Primeros pasos en el Análisis Informático Forense
  2. 2. De cero a DFIR 2 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  3. 3. De cero a DFIR 3 ¿Qué es la Informática Forense? Aplicación de técnicas especializadas Determinar qué es lo que ha sucedido, o no ha sucedido https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
  4. 4. De cero a DFIR 4 ¿Qué busca la Informática Forense? La verdad Respondiendo a una serie de preguntas: Qué Quién Cómo Cuándo Dónde Con qué Por qué Con integridad: Honestidad Objetividad Confidencialidad Imparcialidad e Independencia Competencia
  5. 5. De cero a DFIR 5 Un Forense… Debe tener entusiasmo Debe cuestionárselo todo Debe ser curioso
  6. 6. De cero a DFIR 6De cero a DFIR 6 ¿Dónde empieza todo? Con el Incidente de Seguridad ¿Qué es un Incidente de Seguridad? RFC 2828 Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad Con la recogida de evidencias https://www.ietf.org/rfc2828.txt
  7. 7. De cero a DFIR 7 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible… https://www.ietf.org/rfc3227.txt
  8. 8. De cero a DFIR 8 ¿Dónde empieza todo? Con la recogida de evidencias RFC 3227 Orden de volatilidad Registros y contenido de la caché. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema. Disco Logs del sistema. Configuración física y topología de la red. Documentos Cosas a evitar Consideraciones de privacidad Consideraciones legales… https://www.ietf.org/rfc3227.txt
  9. 9. De cero a DFIR 9 Tienes un buen amigo, que se llama Locard Edmond Locard Principio de intercambio o trasferencia “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard
  10. 10. De cero a DFIR 10 La Informática Forense; un proceso metódico Principios Básicos, (No es un juego) Autenticidad y Conservación: Acreditar que el elemento original no ha sufrido alteraciones Legalidad: Consentimiento explícito, firmado Privacidad: Respetar la privacidad, (Intimidad), de los usuarios Inalterabilidad: Cadena de custodia No volver a conectar el disco origen Hacer varias copias de la copia original No trabajar sobre la copia original, si no sobre la copia de la copia Montar la imagen del Disco Duro como solo lectura … BUENAS PRÁCTICAS El proceso debe poder ser reproducible
  11. 11. De cero a DFIR 11 La cadena de custodia, un elemento esencial El elemento más importante de la prueba pericial Y el elemento más débil Debe cumplir los principios de Autenticidad y Seguridad Garantiza la inalterabilidad de la evidencia Documento de control de las evidencias, presente desde el momento en que se recogen las mismas, en el mismo sitio de su generación, en originales y copias, hasta el final de todo el procedimiento. Identificador único Quién, Cuándo, Dónde, Porqué Cualquier acción que altere la evidencia …
  12. 12. De cero a DFIR 12 Triage Cuando el tiempo, o el espacio, es crítico Con el Sistema encendido, (vivo), o apagado, (muerto) Escoger, separar, entresacar Extracción de datos volátiles que se pierden tras la desconexión del Sistema Proceso para analizar y priorizar una respuesta ante un Incidente Mediante herramientas automáticas, o manualmente Proceso para analizar y poder priorizar las respuestas ante sistemas comprometidos, en base a la gravedad de su condición, escogiendo, separando y analizando evidencias, de una forma rápida, para identificar, contener y erradicar el daño, e iniciar la pertinente investigación y análisis forense del Sistema
  13. 13. De cero a DFIR 13 Triage Windows Live Response: https://www.brimorlabs.com
  14. 14. De cero a DFIR 14 Triage manual WinFE: http://mistyprojects.co.uk
  15. 15. De cero a DFIR 15 Triage manual WinFE: http://mistyprojects.co.uk pagefile.sys $MFT & $MFTMirr $LogFile WindowsappcompatProgramsAmcache.hve* WindowsPrefetch WindowsSystem32config WindowsSystem32winevtLogs UsersUsuarioNtuser.dat* UsersUsuarioAppDataLocalMicrosoftWindowsExplorer UsersUsuarioAppDataLocalMicrosoftWindowsUsrClass* UsersUsuarioAppDataLocalMicrosoftWindowsWebCache UsersUsuarioAppDataRoamingMicrosoftWindowsRecent* FTK Imager Lite: https://accessdata.com
  16. 16. De cero a DFIR 16 Imagen de la memoria RAM • La imagen de memoria es el proceso de hacer una copia de la memoria física, bit a bit • La memoria de un ordenador se puede visualizar y analizar • El contenido de la memoria cambia constantemente • Se puede comparar su contenido con el del disco duro a analizar, por la ingente cantidad de información que contiene Volcado de memoria
  17. 17. De cero a DFIR 17 Imagen de la memoria RAM Belkasoft RAM Capturer: https://belkasoft.com
  18. 18. De cero a DFIR 18 Imagen de disco No es un clonado • Proceso de hacer una copia, bit a bit, de un disco • Con un sistema live, con el disco online / read only, … • Las imágenes forenses se pueden realizar sobre cualquier elemento que contenga datos • Se leen todos los datos de principio a fin • Proceso lento
  19. 19. De cero a DFIR 19 Imagen de disco Precaución • Si se opta por conectar el disco duro, (online), como otro volumen dentro de nuestro sistema para realizar la imagen forense, siempre Bloquear contra escritura HKLMSystemCurrentControlSetControlStorageDevicePolicies WriteProtect = 1
  20. 20. De cero a DFIR 20 Imagen de disco Precaución
  21. 21. De cero a DFIR 21 Imagen de disco Precaución
  22. 22. De cero a DFIR 22 Imagen de disco Paladín: https://sumuri.com
  23. 23. De cero a DFIR 23 Integridad Hashing • Algoritmo criptográfico de todo el disco • Se determina si los datos de la imagen han sido alterados • MD5: Algoritmo critográfico de 128 bits, (32 caracteres hexadecimales) • Colisiones: Dos tipos de datos, mismo hash • SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres hexadecimales). • A más complejidad, más tiempo de cálculo
  24. 24. De cero a DFIR 24 Integridad HashMyFiles: https://www.nirsoft.net
  25. 25. De cero a DFIR 25 Recuperación de datos Carving • Recuperación de ficheros eliminados • Extracción de archivos y fragmentos de archivos • En bruto • Mediante la búsqueda de cabeceras y/o pies del fichero • Todo en base en su contenido
  26. 26. De cero a DFIR 26 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  27. 27. De cero a DFIR 27 Recuperación de datos PhotoRec & TestDisk: https://www.cgsecurity.org/
  28. 28. De cero a DFIR 28 Líneas de tiempo Timelines y Mactimes • Realización de una lista de eventos estableciendo un orden cronológico de toda actividad que ha sufrido un Sistema • Muy útil para obtener una relación de la actividad de los ficheros • Pistas sobre qué tipo de actividad ha tenido un elemento • Todo contiene marcas de tiempo • Algo ha pasado, en un momento determinado, en un fichero en concreto • Multitud de herramientas y multitud de formatos • M, modificado – A, accedido – C, cambiado – B, creado | MACB
  29. 29. De cero a DFIR 29 Líneas de tiempo Plaso: https://github.com/log2timeline
  30. 30. De cero a DFIR 30 Líneas de tiempo Plaso: https://github.com/log2timeline
  31. 31. De cero a DFIR 31 Líneas de tiempo Fte: http://www.kazamiya.net/fte
  32. 32. De cero a DFIR 32 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  33. 33. De cero a DFIR 33 Líneas de tiempo Timeline Explorer: https://ericzimmerman.github.io/
  34. 34. De cero a DFIR 34 Prefetch y SuperFecth Aplicaciones ejecutadas • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema • Nombre del ejecutable, número de veces que se ha ejecutado, ruta y número de serie del volumen, archivos y directorios relacionados, última vez de ejecución, …
  35. 35. De cero a DFIR 35 Prefetch PECmd: https://ericzimmerman.github.io/
  36. 36. De cero a DFIR 36 Prefetch PECmd: https://ericzimmerman.github.io/
  37. 37. De cero a DFIR 37 SuperFetch CrowdResponse: https://www.crowdstrike.com/
  38. 38. De cero a DFIR 38 Registro de Windows El corazón de Windows • Un paso imprescindible y fundamental en cualquier caso • Base de muchas herramientas forenses • Base de datos jerárquica centralizada • Información necesaria para configurar el sistema, para uno o varios usuarios, aplicaciones y dispositivos de hardware • Información que Windows utiliza como referencia continuamente • Perfiles de usuario, aplicaciones instaladas, tipos de documentos, configuraciones, elementos de hardware, puertos, …
  39. 39. De cero a DFIR 39 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/
  40. 40. De cero a DFIR 40 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SOFTWARE: MicrosoftWindows NTCurrentVersion SYSTEM: ControlSet001ControlTimeZoneInformation SYSTEM: ControlSet001ControlWindows SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon SAM: DomainsAccountUsers Amcache.hve: RootDeviceCensus Amcache.hve: RootInventoryApplicationFile
  41. 41. De cero a DFIR 41 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51- 44e5-8318-a65c837b6661} SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf- 11d0-94f2-00a0c91efb8b} SYSTEM: MountedDevices SYSTEM: ControlSet001EnumUSB SYSTEM: ControlSet001EnumUSBSTOR SOFTWARE: MicrosoftWindows Portable DevicesDevices SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
  42. 42. De cero a DFIR 42 Registro de Windows Registry Explorer: https://ericzimmerman.github.io/ NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionRun SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel Query SoftwareMicrosoftWindowsCurrentVersionUnreadMail SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint s2
  43. 43. De cero a DFIR 43 Registro de Windows El corazón de Windows El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos
  44. 44. De cero a DFIR 44 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  45. 45. De cero a DFIR 45 Registro de Windows Strings: https://docs.microsoft.com/en-us/sysinternals/
  46. 46. De cero a DFIR 46 Registros de eventos Logs • Archivos que contienen información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica
  47. 47. De cero a DFIR 47 Registros de eventos eventvwr: Visor de Eventos
  48. 48. De cero a DFIR 48 Registros de eventos eventvwr: Visor de Eventos
  49. 49. De cero a DFIR 49 Registros de eventos Strings: https://docs.microsoft.com/en-us/sysinternals/
  50. 50. De cero a DFIR 50 Historial Registros de navegación • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …)
  51. 51. De cero a DFIR 51 Historial BrowsingHistoryView: https://www.nirsoft.net
  52. 52. De cero a DFIR 52 Historial BrowsingHistoryView: https://www.nirsoft.net
  53. 53. De cero a DFIR 53 LNK Accesos directos • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Archivo de metadatos • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo
  54. 54. De cero a DFIR 54 LNK LECmd: https://ericzimmerman.github.io/
  55. 55. De cero a DFIR 55 LNK LECmd: https://ericzimmerman.github.io/
  56. 56. De cero a DFIR 56 Jumplist Listas de salto • Colección de archivos LNK almacenados por las aplicaciones • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Barra de tareas de acceso rápido a los archivos de una aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK
  57. 57. De cero a DFIR 57 Jumplist JLECmd: https://ericzimmerman.github.io/
  58. 58. De cero a DFIR 58 Jumplist JLECmd: https://ericzimmerman.github.io/
  59. 59. De cero a DFIR 59 Vistas en miniatura Thumbnails • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados
  60. 60. De cero a DFIR 60 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  61. 61. De cero a DFIR 61 Vistas en miniatura ThumbCacheViewer: https://thumbsviewer.github.io/
  62. 62. De cero a DFIR 62 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  63. 63. De cero a DFIR 63 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  64. 64. De cero a DFIR 64 Volcado de memoria Volatility Workbench: https://www.osforensics.com
  65. 65. De cero a DFIR 65 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  66. 66. De cero a DFIR 66 Volcado de memoria Volatility: http://www.volatilityfoundation.org/
  67. 67. De cero a DFIR 67 Mis conclusiones… • Buenas prácticas • Saber qué buscar • Conocimiento, procedimiento, intuición y suerte • Locard es tu mejor amigo • Toda acción se convierte en un fichero • Todo contiene marcas de tiempo • El usuario es un ser humano y el ser humano es imperfecto • La misma información se encuentra en distintos artefactos • Se puede completar un análisis con un buen triage • Se puede completar un análisis con un volcado de memoria
  68. 68. De cero a DFIR 68 Enlaces de interés DFIR • https://www.dfir.training • https://thisweekin4n6.com • https://aboutdfir.com • https://forensicswiki.org • https://cyberforensicator.com • https://toolcatalog.nist.gov • https://nist.gov/publications • https://github.com/meirwah/awesome-incident-response • https://github.com/cugu/awesome-forensics • https://www.ietf.org/rfc/rfc3227.txt
  69. 69. De cero a DFIR 69 Muchas gracias por su atención @_N4rr34n6_ / n4rr34n6@protonmail.com
  70. 70. De cero a DFIR 70 Lo hizo un mago

×