En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!

1.  Juan Garrido
 Consultor Seguridad
 http://windowstips.wordpress.com

2. Agenda
• Introducción
• Evidencias a analizar
• Análisis forense corporativo
• Principales problemas
• Aprovecha tu infraestructura
• Scripting
• Referencias

3. Introducción
• Se necesitan recolectar determinadas
evidencias
• La prueba debe ser admisible
• El dato debe soportar reportes internos
• Se puede utilizar para otro tipo de
investigaciones

4. Introducción
RAM,
Análisis de Red Sistema de
pagefile.sys,hi
berfil.sys
ficheros,
volumen
Aplicaciones y
sistema
operativo
Objetivo

5. Evidencias a analizar
• Procesos del sistema
– Malware, Rootkits, etc…
• Tráfico de red involucrado en el equipo
– Transferencia de ficheros
– Botnet
• Memoria RAM
– Elementos volátiles
• Elementos del equipo
– Ficheros en ejecución

6. Análisis forense corporativo
• A priori no es tan fácil como parece
– Complejidad en el entorno
• Muchos equipos
• Muchas organizaciones
• ¿Muchas localizaciones?

7. Análisis forense corporativo
• En estos tiempos que corren, surgen nuevas
cuestiones….
– Tenemos dinero para externalizar un análisis?
– La prueba será admisible?
– Han tenido tiempo de recolectar evidencias?

8. Análisis forense corporativo
• CRISIS!!!!!
– Absorción de empresas
– Quiebra de empresas
– División de empresas
• Traducción….
– Posibles trabajadores descontentos
– Jefes de proyecto sin competencias
– Migración de datos y posible pérdida
– Posibilidad de Robo?

9. Principales problemas
• Diferentes empresas, diferentes políticas
• Herramientas no soportadas por la
organización
– Políticas estrictas
– Falsos positivos en determinadas herramientas
– Requerimientos necesarios para su puesta en
marcha

10. Prohibido hablar de la cosa…

11. Aprovecha tu infraestructura
• Controladores de Dominio
– Facilidad para desplegar políticas de grupo
– Centralizar acciones forenses
• Servidores de Bases de Datos
– Almacenaje de cierto tipo de evidencias (Logs)
– Reporting Corporativo
• Equipos Cliente
– Herramientas nativas del OS
– Motores de Scripting
• Cscript
• WMI (Windows Management Intrumentation)
• General a toda la infraestructura
– Copias en la sombra (Shadow Copy)

12. Aprovecha tu infraestructura
• Auditoría de equipos y servidores
– El activar esta función puede mermar la capacidad
y funcionamiento del disco
– Almacena información en tiempo real mientras el
equipo está en funcionamiento
• Servidores de BBDD
– Se pueden utilizar para almacenar datos de
auditoría
– Automatización con LogParser

13. DEMO
• Logparser + BBDD

14. Scripting

15. Scripting
• Motor de scripting nativo
– Altamente configurable
– Multitud de opciones
– Elimina problemas de interoperabilidad
– Fácilmente adaptable a la organización
– Fácil implantación

16. Qué necesito

17. Qué necesito
• Con el Firewall de Windows Activado
– Es necesario activar el servidor RPC
– netsh firewall set service RemoteAdmin enable
– Se puede realizar a través de políticas de grupo
– Se puede activar localmente utilizando psexec
• Developers & Scripting Guys
– Se pueden securizar las conexiones WMI
– http://msdn.microsoft.com/en-
us/library/aa393266.aspx

18. Qué necesito
• Windows Vista /7
– Hay un cambio en la estructura de NETSH
– El parámetro firewall pasa a ser ADVFIREWALL
– El Firewall de XP pasa a ser un Firewall Avanzado
• Controles de entrada y salida
• Integración con IPSEC

19. Qué necesito
• Control de acceso a DCOM
– Distributed Component Object Model
– Se utiliza para la comunicación de uno o N
equipos
– Admite varios tipos de autenticación

20. Motores nativos
Motor Scripting Complejidad Cifrado
MS-DOS Con dos cojones… NO
WMI-CSCRIPT Poca NO
PowerShell Media SI

21. DEMO
• Batch Incident Response
Con dos cojones…

22. PowerShell
• Integrado en Windows 7/2K8
– Posibilidad de interactuar con .NET
– Soporte nativo WMI
– Admite cifrado WMI
– Seguro “by default” (Certificado)

23. DEMO
• PowerShell Incident Response

24. Ficheros abiertos
• Equipos cliente
– Comando OpenFiles
• Similar al comando lsof en Linux
• Muestra archivos abiertos en la máquina
• Es necesario activarlo (Desactivado por defecto)
– Openfiles /local on (Es necesario reiniciar)
– Openfiles /query /v (Consulta)

25. Hash de ficheros
• File CheckSum Integrity Verifier
– Herramienta Microsoft
– Command line (Of course)
– Posibilidad de calcular valores Hash
– Almacena datos en BBDD XML
– Posibilidad de comparar versiones BBDD

26. Preguntas?

27. Thanks Guys ;-)

28. Referencias
• www.areino.com/alf/docs/CorpForensics.pps
• http://technet.microsoft.com/en-
us/library/cc738752(WS.10).aspx#BKMK_3
• http://msdn.microsoft.com/en-
us/library/aa389290.aspx
• http://msdn.microsoft.com/en-
us/library/aa389286.aspx
• http://msdn.microsoft.com/en-
us/library/aa393266.aspx

29. Contacto
• Juan Garrido
juangarridocaballero@gmail.com
http://windowstips.wordpress.com
• Informática64
www.informática64.com

30. http://windowstips.wordpress.com