Análisis Forense Fast Track Prof. Reinaldo n. Mayol Arnao reinaldo.mayol@upb.edu.co Conceptos Iniciales Parte 1 Reinaldo Mayol Arnao 2 ¿Qué es el Análisis Forense? Es un proceso, metodológicamente guiado, que involucra los siguientes elementos, referidos a los datos de un sistema computacional: Preservación Identificación Extracción Documentación Interpretación Reinaldo Mayol Arnao 3 RFC3227. Recolección y manejo de evidencias Procedimiento de recolección Herramientas necesarias y medios de almacenamiento de éstas Transparencia RFC3227 Pasos de la recolección Como archivar una evidencia Cadena de custodia Reinaldo Mayol Arnao 4 Orden de Jerarquía + Registros y contenidos de la caché. Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecución. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. Reinaldo Mayol Arnao 5 Ciclo de Vida del Análisis Forense Diseño de Evidencia Determinación de Relevancia Producción de la Evidencia Reporte y Presentación Recolección de la Evidencia Análisis de la Evidencia Reinaldo Mayol 6 ArnaoHB171:2003 Handbook Guidelines for the management of IT Evidence.] Manipulación de la Evidencia Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba. 7 Manipulación de la Evidencia Uno de los elementos que se utilizan son las Cadenas de Custodia Una adecuada Cadena de Confianza debe responder, para cada evidencia, las siguientes interrogantes: ¿Quién colectó la evidencia? ¿Cómo y donde fue colectada? ¿Quiénes tuvieron posesión y acceso a la evidencia? ¿Cómo fue almacenada y protegida? ¿Quién la ha manipulado? 8 Autentificación de la Evidencia El objetivo de este paso es proveer un mecanismo que garantice la evidencia colectada no pueda ser modificada o sustituida sin que el investigador pueda notarlo. Por lo general, se recomienda utilizar algoritmos de HASH (SHA2!!!!!) capaces de crear un hash de la evidencia que garantice su integridad. Se puede firmar digitalmente el hash de cada evidencia garantizando de esta forma que la misma no pueda ser sustituida. 9 Características de la evidencia forense digital Si alguien intenta destruir las evidencias, podemos tener copias igual de válidas lejos del alcance del criminal. El proceso de autenticación siempre siembra dudas sobre la veracidad de la prueba. Adquirir una copia de la evidencia puede ser un proceso difícil y delicado. Las pruebas pueden ser modificadas incluso durante su recolección. 10 Características de la evidencia forense digital No solo hay que validar las copias sino incluso el momento en que se realizan. La autentificación de la evidencia requiere mecanismos externos como: certificados digitales, autoridades de certificación y cadenas de certificación acordes a las leyes de un país o incluso de una organización. 11 Características de la evidencia forense digital Pueden ser duplicadas de forma exacta y la copia puede examinarse como si fuera el original. Con las herramientas adecuadas “es muy fácil” determinar si la evidencia ha sido modificada o falsificada comparándola con la original. Es relativamente difícil de destruir, incluso borrándola, la evidencia digital puede ser recuperada de un disco. 12 ¿Hasta Donde ? Es posible definir con exactitud el 80 % de lo que ha hecho un sospechoso el…20% del TIEMPO 13 Práctica 1 Creando Imágenes Forense En esta práctica utilizaremos el comando dd de Linux para la creación de una imagen del disco duro de la estación. Inicie Backtrack ( también se puede realizar prácticamente con cualquier distribución sin instalar software adicional) Abra un Shell y como root ejecute el siguiente comando # dc3dd if=/dev/sdb of=imag.dat Es un buen momento para tomar café. El proceso demorará en función del tamaño de la imagen a crear. Este proceso crea una imagen bit a bit de la partición o volumen declarado en la opción if la imagen creada se obtiene según lo declarado en la opción of. Reinaldo Mayol Arnao 14 Conociendo el sistema de Archivos Parte 2 Reinaldo Mayol Arnao 15 Organización de los Datos Los SO agrupan varios sectores consecutivos FAT, NTFS: Clusters EXT? (*nix): Blocks 1 sector: generalmente 512 bytes Reinaldo Mayol Arnao 16 Niveles del Sistema de Archivos • File Name Nombre de los Archivos • Metadata Información de la Estructura del F. S • Datos Clúster, Blocks • Sistema de Archivos Información de Particiones • Físico Disco Físico Reinaldo Mayol Arnao 17 Particiones D.O.S Comenzamos Revisando como se guarda la configuración del DISCO Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada por R.Mayol Particiones DOS Las particiones tipo DOS se utilizan en la mayoría de los sistemas operativos, incluyendo Linux. Reinaldo Mayol Arnao 19 Sólo 4 entradas Particiones Extendidas (E. P) Con 4 entradas solamente no es posible cubrir las necesidades de los sistemas modernos. MBR Partition Table Una partición extendida contiene una segunda tabla de particiones y puede describir 2 particiones. ( una para el F. S y otra para otra E.P) ExtendedPartition Table Imagen tomada de: Carrier B. F.S Forensic Analysis, 2005. modificada Reinaldo Mayol Arnao por R.Mayol 20 Tabla de Particiones Posición Longitud en Contenido Bytes 0 1 Estado de la partición 00h no activa, 80h activa 1 1 Comienzo de la partición ( cabezal) 2 2 Sector y Cilindro donde comienza la partición 4 1 Tipo de Partición 5 1 Cabezal donde la partición termina 6 2 Sector y Cilindro donde la partición termina 8 4 Distancia, en sectores (por omisión 512B/sector) desde la tabla de particiones al primer sector de la partición 12 4 Longitud ( en sectores) de la partición Reinaldo Mayol Arnao 21 Ej. Partición de 40 GB Tabla de Particiones Byte 446 Reinaldo Mayol Arnao 22 Continuación Termina: Sector F8(248) cilindro FF La partición inicia 56 sectores desde el inicio de la tabla Partición NTFS Partición activa Sector 1, Cilindro 0 80 01 01 00 07 FE F8 FF 38 00 00 00 10 B3 FF 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 83866384 Sectores 00 00 00 00 00 00 *00 00 00 00 00 00 512B= 40GB 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA Reinaldo Mayol Arnao 23 Fin de la Tabla de Particiones Algunos Tipos de Particiones Hex Valor Tipo 0C FAT 32 83 Linux 82 Linux Swap 07 NTFS a8 MacOSX Reinaldo Mayol Arnao 24 Slack Space La unidad mínima de direccionamiento son los clusters. El S.O sólo puede direccionar clusters. Si un archivo es menor que el tamaño del cluster el espacio sobrante se pierde. Este espacio es interesante, desde el punto de vista forense, ya que normalmente puede contener datos de otros archivos que utilizaron anteriormente el cluster. Reinaldo Mayol Arnao 25 Práctica 2 MBR Inicie la máquina virtual Backtrack y localice la imagen del disco creado en la práctica anterior. Utilice el comando hexedit para visualizar el contenido el archivo de imágenes. root@bt:~# hexedit imag2.dat Localice la Tabla de Particiones (note que las posiciones están en hexadecimal) A partir de la tabla de particiones describa la estructura de las mismas. Reinaldo Mayol Arnao 26 Práctica 2 Cont… Utilice el comendo mmls para ver la tabla de particiones. Esta información puede ser útil. A continuación se muestra un ejemplo. Sus resultados pueden ser diferentes. root@bt:~# mmls /dev/sda -t dos DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000000 0000002047 0000002048 Unallocated 02: 00:00 0000002048 0040105983 0040103936 Linux (0x83) 03: ----- 0040105984 0040108031 0000002048 Unallocated 04: Meta 0040108030 0041940991 0001832962 DOS Extended (0x05) 05: Meta 0040108030 0040108030 0000000001 Extended Table (#1) 06: 01:00 0040108032 0041940991 0001832960 Linux Reinaldo Swap / Solaris x86 Mayol 27 (0x82) Arnao 07: ----- 0041940992 0041943039 0000002048 Unallocated Ahora que ya conocemos la estructura del disco nos interesan las particiones NTFS New Technologies File System Sistema de Archivos de NTFS Durante la creación del volumen es creado el Master File Table (MFT), además de otros archivos de control. Existe una entrada de 1KB en la MFT por cada archivo o directorio en el volumen. El archivo $MFT contiene la MFT. Existe una copia llamada $MFTMirr Una entrada MFT tiene una pequeña cabecera fija (42 bytes, 12 campos) y el resto son atributos no previamente definidos. Reinaldo Mayol Arnao Metadata Todos los sistemas de archivos dedican algunos archivos a contener información que describe a otros archivos. NTFS : MFT ( Master File Table) *nix :Inodos FAT: Entradas de Directorio. Reinaldo Mayol Arnao 30 Metadata Los archivos de Metadatos contienen información como: MAC times, permisos, propietarios, tamaño de los archivos, localización, etc. Reinaldo Mayol Arnao 31 Metadata FILES Reinaldo Mayol Arnao 32 Archivos de Metadata Nombre del Archivo Descripción 0 $MFT MFT 1 $MFTmirr Archivo de Respaldo del MFT 2 $LogFile Registro de las transacciones de metadata 3 $Volume Información sobre el volumen 4 $AttrDef Información sobre atributos 5 $Root Directorio Root del F.S 6 $Bitmap Mapa de disponibilidad de cada cluster 7 $Boot Boot Sector 8 $BadClus Mapa con clusters que contienen sectores dañados 9 $Secure Información de Seguridad 10 $Upcase Versión de cada carácterMayol Unicode Índice $MFT Reinaldo 33 Arnao 11 $Extend Contiene file para extensiones opcionales. Sistema de Archivos NTFS cont.. La localización del MFT está definido en el Boot Sector del F.S Un MFT almacena los atributos de los archivos y subdirectorios incluyendo el nombre, MAC, permisos, flags de estado, entre otros. Si un archivo no puede contener todos sus atributos en una sóla entrada utiliza entradas consecutivas. Adicionalmente el MFT almacena parte ( o su totalidad) de la data (dependiendo del tamaño del archivo, menor a 1500Bytes) Reinaldo Mayol Arnao 34 Estructura del $MFT Cada entrada al MFT es direccionada usando un valor de 48 bits, comenzando por 0. Formalmente las primeras 16 entradas ( en la práctica 24) son para localizar los archivos de metadata del F. S Los archivos de metadata se encuentran en la raíz del F. S y comienzan por $ Reinaldo Mayol Arnao 35 Entradas MFT Cada entrada es secuencialmente numerada usando un valor de 48 bits. Cada entrada tiene además un número de Secuencia de 16 bits que es incrementado cuando la entrada es localizada. Ambos valores se combinan para formar un valor de 64 bits que se utiliza como referenciador de los archivos. Reinaldo Mayol Arnao 36 Entradas MFT ( Ejemplo) Header MFT Atribute Header: • Tipo • Tamaño • Nombre Header MFT Atributos Entrada MFT Atribute Header $STANDARD_INFORMATION STANDARD_INFORMATION Espacio no utilizado $FILE_NAME $DATA Reinaldo Mayol Arnao 37 Práctica 3 Técnicas Antiforense ADS Vaya a este enlace y realice la práctica descrita https://www.dropbox.com/s/dk8fh5orau524np/Alternative DS.txt Reinaldo Mayol Arnao 38 Formato Simplificado de una ENTRADA a la MFT Para un archivo: Header $FILE_NAME(48) $ STANDART_INFORMATION(16) $DATA(128) Para un subdirectorio: Header $INDEX_ROOT $INDEX_ALLOCATION Reinaldo Mayol Arnao Atributos ( algunos, sólo algunos) $STANDARD_INFORMATION: SFILE_NAME $DATA: $INDEX_ROOT $INDEX_ALLOCATION $BITMAT • Información general, tales como flags, MAC Times, ID del propietario • Nombre del Archivo en Unicode,MAC TIME del nombre • Contenido del Archivo • Nodo Raíz del árbol de índices • Nodos del árbol de índices • Mapa de Bits del MFT Reinaldo Mayol Arnao 40 Boot Sector Partición NTFS Boot Sector Cluster: Grupo de Sectores Consecutivos. Reinaldo Mayol Arnao 41 Boot Sector Byte Offset Hex (Dec) Longitud (bytes) Significado 0 (0) 3 Instrucción Jump 3 (3) 8 Identificación en ASCII del formato del Disco 0B(11) 2 Bytes por Sector ( 512,1024,2048, 4096) 0D(13) 1 Sectores/clusters ( potencias de 2 hasta 32KB) 0E (14) 2 Tamaño en Sectores del Área reservada 10 (16) 3 Siempre en 00 13 (19) 2 No usado por NTFS 15 (21) 1 Media Type . 0xf8 discos fijos. 0xf0 removibles 16 (22) 2 Siempre en 00 18 (24) 2 Sectores por Pista 1 A (26) 2 Número de Cabezales 1 C (28) 4 Sectores Ocultos 20 (32) 8 No usado por NTFS Mayol Reinaldo 42 Arnao 28 (40) 8 Número de sectores en el disco Boot Sector Cont…. Offset Hex (Dec) Longitud (bytes) Significado 30 (48) 8 Número de Cluster lógico para el archivo $MFT 38 (56) 8 Número de Cluster lógico para el archivo $MFTMirr 40 (64) 4 Clusters por Segmento de Entrada de Archivo 44 (68) 4 Clusters por Index Block 48(72) 8 Número de Serie del Volumen 50(80) 4 Número de Chequeo 54-1FD (84- 425 509) 1FE (510) 2 Reservado Fin 0X55AA Reinaldo Mayol Arnao 43 Práctica 4 Vaya a este enlace y realice la práctica descrita https://www.dropbox.com/s/4bp0x3ny8v3gy8u/NTFSBOOT SEC.txt Reinaldo Mayol Arnao 44 Práctica 5 Analizando NTFS Vaya al enlace a continuación y realice la práctica descrita https://www.dropbox.com/s/fd35v09xg1qa836/NTFS.txt Reinaldo Mayol Arnao 45 Sistemas de Archivo de Linux Ext* Reinaldo Mayol Arnao 46 Ext El F.S comienza con un área reservada y el resto está dividido en sectores llamados grupos de bloques. Todos los grupos de bloques, excepto el último contienen la misma cantidad de bloques. Un bloque es un conjunto de sectores consecutivos (1024,2048,4096 bytes) La información de la estructura del F.S es almacenada en una estructura llamada SuperBlock la cual se encuentra localizada el inicio del F.S Los metadatos de cada archivo o directorio son almacenados en estructuras llamadas inodos Reinaldo Mayol Arnao 47 Ext cont… Los inodos tienen tamaño fijo, por omisión 128 bytes ( 1024 bits) Existe un inodo por cada archivo o directorio existente Existe una tabla de inodos para cada grupo de bloques. Los primeros 10 inodos tienen funciones fijas y están siempre localizados. El inodo 11 se utiliza para el subd lost +found Los nombres de archivos son almacenados en las entradas de los directorios que los contienen. Esas entradas de directorio son estructuras simples que contienen el nombre de los archivos y un puntero al inodo correspondiente. Reinaldo Mayol Arnao 48 Inodos Cada inodo tiene un número fijo de campos . Un inodo contiene: Tamaño de los archivos ( 64bits => tamaño máximo es 1,84467440737096 1019) Dueños (utilizando el UID y GDI de /etc/passwd y /etc/groups) Información temporal ( último acceso, modificación, borrado, cambio de la metadata) Permisos Tipo de archivos Los tiempos son almacenados en la cantidad de segundos desde 1ro Enero 1970. Reinaldo Mayol Arnao Los tiempos son almacenados en la cantidad de segundos 49desde 1ro Enero 1970. Entradas de directorio, inodos y bloques de datos archivo1 Entradas de Directorio Metadata Metadata Metadata Metadata Metadata Metadata Inodos Bloques de Contenido Reinaldo Mayol Arnao 50 Inodos Cada inodo puede almacenar las direcciones de los primeros 12 bloques de un archivo. (bloques directos) Si un archivo requiere mas de 12 bloques se localiza un bloque para almacenar los punteros a otros bloques( bloques indirectos) Reinaldo Mayol Arnao 51 Inodos Reinaldo Mayol Arnao 52 Ext cont… Ext tiene un grupo de opciones organizadas en 3 categorías basadas en que debe hacer el sistema operativo si alguna de ellas no es soportada. Las opciones compatibles son aquellas que pueden ser ignoradas por el S.O que monta un F. S incluso si no las soporta. EJ. Journals Las opciones incompatibles si no son soportadas el F. S no será montado. Ej. Cifrado Las compatibles de solo lectura implican que el F. S será montado pero solo en modo Read-Only. Ej. Estructuras en arbol en lugar de listas. Reinaldo Mayol Arnao 53 Superblock y Descriptor de Bloques El Superblock es localizado al inicio del F. S ocupando los primeros 1024 bytes ( aunque utiliza sólo unos pocos) Contiene la estructura del F. S ( similar al BootSector en NTFS) y de configuración. Copias de respaldo pueden ser encontradas en el primer bloque de cada grupo de bloques. Información contenida: Tamaño de los bloques Número total de bloques por grupo de bloques Número de bloques reservados antes del primer grupo de bloques. Reinaldo Mayol Arnao 54 Superblock y Descriptor de Bloques También puede incluir: Nombre del volumen Fechas de montaje y escritura Sitio del último montaje Consistencia del F. S Número total de inodos y bloques disponibles Opciones habilitadas. Reinaldo Mayol Arnao 55 Superblock y Descriptor de Bloques En Linux una opción llamada Sparse Superblock está siempre habilitada y hace que sólo algunos grupos de bloques contengan copias del Superblock. El Superblock tiene una firma ( 0xef53) en los bytes 56 y 57, desafortunadamente es demasiado pequeña y buscarla conduce a gran cantidad de falsos positivos Reinaldo Mayol Arnao 56 Buscando la firma.. root@bt:~# sigfind -o 56 -l ef53 /dev/sda1 Block size: 512 Offset: 56 Signature: 53EF Primera aparición de la firma Block: 2 (-) Block: 262144 (+262142) Otras apariciones Block: 346505 (+84361) Reinaldo Mayol Arnao 57 Tabla de Descriptores de grupos de bloque En el bloque siguiente del superblock se encuentra la tabla descriptora de grupos de bloque. Comúnmente existe copias de tabla en los bloques de grupo ( ver figura inferior) Un F.S en linux tiene igual número de bloques por grupo que bits en un block. Por lo tanto el BlockBitmap requiere un bloque. Backup SuperB. Tabla desc. De grupos Block Bitmap Inode Tabla de Bitmap Inodos Reinaldo Mayol Arnao Datos 58 Datos Estructuras Ext: SuperBlock (selección de campos) Byte Descripción 0-3 Número de Inodos en el FS 4-7 Número de Bloques en el F. S 8-11 Número de bloques reservados 12-15 Número de bloques disponibles ( no usados) 16-19 Número de inodos disponibles ( no usados) 20-23 Bloque donde el Grupo de Bloques 0 comienza 24-27 Tamaño del bloque ( número de lugares para desplazar 1024 a la izquierda) Ej: 0-1024, 24096 32-35 Número de bloques en cada grupo de bloques 40-43 Número de inodos en cada grupo de bloques 44-47 Fecha del último montaje 48-51 Fecha de la última escritura Reinaldo Mayol Arnao 59 Estructuras Ext: SuperBlock (selección de campos) cont.. Bytes Descripción 52-53 Contador de montajes 54-55 Máximo número de montajes sin chequeo 56-57 Firma del F.S (0xef53) 58-59 Estado del F.S ( limpio, con errores, con archivos perdidos) 104109 ID del Volumen 136199 Subdirectorio donde fue montado por última vez RECUERDE QUE EL SUPERBLOCK OCUPA 1024 BYTES Reinaldo Mayol Arnao Recuerde que esta no es la tabla entera de los campos del Superblock. Puede ver la descripción entera en: Daniel Robbins (2001-12-01). Advannced filesystem implementor's guide, Part 8. 60 Una mirada al SuperBlock 1- Recuerde que los primeros 1024B está reservados al BootCode, por lo tanto el SB debe comenzar en el bit 1024 (0x400). 2-Los bytes 0-3 informan el número de inodos 0000EB00=60160 inodos 3-Los bytes del 4-7 informan el número de bloques=240254 bloques 4- Los bytes 56-57 (0x38) contienen la firma 0xef53 Reinaldo Mayol Arnao 61 Práctica 6: Analizando particiones EXT Vaya al enlace que se muestra y realice la práctica descrita https://www.dropbox.com/s/vzjevg541h8js9z/ext.txt Reinaldo Mayol Arnao 62 Tabla descriptora de grupos Tiene una entrada por cada grupo de bloques existente en el F. S Comienza en el segundo bloque byte Descripción 0-3 Dirección de inicio del bloque del bitmap del bloque 4-7 Dirección de inicio del bloque del bitmap de inodos 8-11 Dirección de inicio del bloque de la tabla de inodos 12-13 Número de bloques disponibles en el grupo 14-15 Número de inodos disponibles en el grupo 16-17 Número de directorios en el grupo 18-31 No usados Reinaldo Mayol Arnao 63 Cuando se crea un archivo El SO debe utilizar un inodo para el nuevo archivo. Trata de hacerlo en el mismo grupo de bloques del directorio que contiene el archivo Si no es posible se busca un nuevo grupo para localizar el inodo. Reinaldo Mayol Arnao 64 Cuando se crea un directorio Se trata de localizar en un grupo que no haya sido utilizado mucho ( equilibrando el uso del disco)( mucho es cantidad de inodos ocupados no veces!) Para encontrarlo el S.O puede obtener del superblock el número de inodos y bloques libres. Con este valor se comienza a buscar por los grupos de bloques hasta encontrar a uno que tenga un valor por debajo del valor promedio de utilización. Reinaldo Mayol Arnao 65 Los inodos y la creación Cuando un inodo es localizado toda su información anterior es borrada. Un atributo llamado link count es puesto a 1 ( en caso de archivos) y 2 para directorios Cuando se borra un archivo el contador es decrementado, si llega a 0 el inodo es considerado libre. Si un archivo es borrado y alguna aplicación lo tiene todavía abierto pasa a ser considerado un orphan file y es inscrito en una lista en el superblock. Cuando la aplicación cierra el archivo o cuando el sistema se reinicia el inodo es liberado. Reinaldo Mayol Arnao 66 ¿Dónde mas buscar ? Pero recuerde Hay muchos otros sitios donde buscar Y sobre todo: LAS HERRAMIENTAS SON IMPORTANTES PERO NO SUSTITUYEN A LOS RESULTADOS OBTENIDOS POR UN INVESTIGADOR: -ENTRENADO -PACIENTE -DISCIPLINADO -CREATIVO 67 Reinaldo Mayol Arnao Otros sitios donde buscar en *nix? /var/log/messages • contiene los mensajes generales del sistema /var/log/secure • guarda los sistemas de autenticación y seguridad /var/log/wmtp • guarda un historial de inicio y cierres de sesión pasadas /var/run/utmp • guarda una lista dinámica de quien ha iniciado la sesión /var/log/btmp • guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux) Reinaldo Mayol Arnao Permisos UNIX R: Lectura W: Escritura X: Ejecución Permiso Negado Permiso Otorgado 111 110 111 Resto Grupo Propietario Reinaldo Mayol Arnao Archivos Ocultos En UNIX los archivos ocultos se distinguen por comenzar por un “. “ # ls –a .home .stach .gnome$ Reinaldo Mayol Arnao Casos típicos de intrusión ( ejemplos) Usuarios del Sistema con Shell Válido • Apache :23wedjg”jf:500:500:Usuario General:/home/user:/bin/csh • Un usuario “demonio” no debe tener shell válido ( /bin/shell) Más de un superusuario • User:23wedjgjf:0:0:Usuario General:/home/user:/bin/csh • El UID 0 está reservado SOLO para el root Usuarios con HOME incorrecto • User:23wedjg”jf:500:500:Usuario General:/var/www:/bin/csh • ¿Por qué un usuario general tiene como HOME el subdirectorio de Apache? Reinaldo Mayol Arnao SUID y SGID _rwsr_xr_x 1 root root 37593 Apr 4 16:00 /usr/bin/at SUID _rwxr_sr_x 1 root root 343432 Apr 7 11:12 /sbin/netport Reinaldo Mayol Arnao SGID Servicios Disponibles Revisar todo el árbol /etc/ rc* Ejecutar (si es posible) alguna herramienta de búsqueda de puertos abiertos. Tener en cuenta que muchos servicios pueden ser manejados por Superdemonios (inetd) Reinaldo Mayol Arnao Ejemplo típico de Intrusión Servicios Arrancados fuera de orden Scripts de Arrancada “ Adulterados” Bibliotecas o Binarios Alterados Reinaldo Mayol Arnao Cuentas de Usuarios Revisar /etc/passwd Si existe /etc/shadow Reinaldo Mayol Arnao Trabajos temporizados Revisar los archivos relacionados con el cron del sistema Reinaldo Mayol Arnao Y en Windows?? Algunos sitios donde buscar información adicional en Windows Reinaldo Mayol Arnao 77 Otras fuentes de información Los archivos de acceso directo Index.dat Thumbs.db Entradas del registro Reinaldo Mayol Arnao Index.dat Reinaldo Mayol Arnao Index.dat Reinaldo Mayol Arnao Análisis de Temporales Reinaldo Mayol Arnao Análisis de Atajos Reinaldo Mayol Arnao El registro Los registros se encuentran en varios archivos ocultos en: %systemroot%\system32\config y NTUSER.DAT. Un auditor forense debe hacer copias de los archivos del registro y visualizarlos en otro editor. Reinaldo Mayol Arnao Logs Los archivos Log de una máquina, son una fuente de información importantísima en un análisis forense. SysEvent.Evt. Registra los sucesos relativos al sistema SecEvent.Evt. AppEvent.Evt. Registra los Registra los sucesos sucesos relativos a la relativos a seguridad aplicaciones Reinaldo Mayol Arnao Log con Visor Externo Reinaldo Mayol Arnao Más donde buscar: Archivos Recientes Reinaldo Mayol Arnao Más donde buscar: SystemInfo C:\>systeminfo Nombre de host: MEFISTO Nombre del sistema operativo: Microsoft Windows XP Professional Versión del sistema operativo: 5.1.2600 Service Pack 2 Compilación 2 600 Fabricante del sistema operativo: Microsoft Corporation Configuración del sistema operativo: Estación de trabajo independiente Tipo de compilación del sistema operativo: Uniprocessor Free Propiedad de: Reinaldo Mayol Arnao Organización registrada: ULA Id. del producto: 55274-640-4467482-23960 Fecha de instalación original: 20/11/2007, 10:27:26 p.m. Tiempo de actividad del sistema: 0 días, 12 horas, 28 minutos, 33 segu ndos Fabricante del sistema: CLEVO Co. Modelo el sistema: M550SE/M660SE Tipo de sistema: X86-based PC Reinaldo Mayol Arnao Más donde buscar: SystemInfo Cont… Procesador(es): 1 Procesadores instalados. [01]: x86 Family 6 Model 14 Stepping 12 GenuineIntel ~1861 Mhz Versión del BIOS: MSTEST - 6040000 Directorio de Windows: C:\WINDOWS Directorio de sistema: C:\WINDOWS\system32 Dispositivo de inicio: \Device\HarddiskVolume1 Configuración regional del sistema: 0c0a Idioma: 0000040A Zona horaria: N/D Cantidad total de memoria física: 894 MB Memoria física disponible: 168 MB Memoria virtual: tamaño máximo: 2.048 MB Memoria virtual: disponible: 2.004 MB Memoria virtual: en uso: 44 MB Ubicación(es) de archivo de paginación: C:\pagefile.sys Dominio: INICIOMS Reinaldo Servidor de inicio de sesión: \\MEFISTO Mayol Arnao Revisión(es): 170 revisión(es) instaladas. Estado de los servicios C:\>sc query >>sc SERVICE_NAME: ALG DISPLAY_NAME: Servicio de puerta de enlace de capa de aplicaci¾n TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 SERVICE_NAME: AudioSrv DISPLAY_NAME: Audio de Windows TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 ……… Reinaldo Mayol Arnao Conexiones Establecidas C:\>netstat Conexiones activas Proto Dirección local Dirección remota Estado TCP mefisto:2852 bd07f3d2.virtua.com.br:https ESTABLISHED TCP mefisto:2855 wr-in-f189.google.com:http ESTABLISHED TCP mefisto:2856 by1msg3275906.phx.gbl:1863 ESTABLISHED TCP mefisto:2876 eo-in-f147.google.com:http CLOSE_WAIT TCP mefisto:2879 by1msg5082501.phx.gbl:1863 ESTABLISHED TCP mefisto:2890 wx-in-f83.google.com:http CLOSE_WAIT Reinaldo Mayol Arnao En muchos otros sitios …. Imágenes ( esteganografía ) Reinaldo Mayol Arnao Reto Final El profesor le entregará un reto final. ¿Se anima a encontrar las evidencias ( si las hay) de un caso de prostitución y tráfico de drogas? Reinaldo Mayol Arnao 92 93 Y mucho mas… Prof. Reinaldo Mayol Arnao Reinaldo Mayol Arnao