Documente Academic
Documente Profesional
Documente Cultură
Malware
Agenda
Anlisis del trfico de red. Anlisis de datos. Anlisis de Procesos y procedimientos. Bsqueda de elemento ocultos. Preservar Evidencias. Introduccin.
Introduccin
El anlisis forense
Cuando algo ha pasado que nos queda:
Deducir que ha pasado. Qu ha motivado que esto haya pasado. Qu ha permitido llegar a ello. Qu acciones han sido consecuencia de ello. Qu podemos hacer para evitar que vuelva a suceder.
Malware y Forense
Actualmente las aplicaciones tipo Malware constituyen unos de los elementos de ataque ms extendidos. Han evolucionado para adaptarse a las circunstancias y a los diferentes mtodos de transmisin. Desconocemos de la existencia de todos los elementos Malware. Bajo determinadas condiciones el anlisis forense puede determinar la existencia de alguno de estos elementos.
Procedimientos
Uno de los elementos prioritarios cuando establecemos un anlisis forense es definir un procedimiento.
- Reconocer entorno. - Preservacin de datos. - Bsqueda de elementos ocultos. - Anlisis de los procesos. - Anlisis offline de los datos almacenados. - Analizar el trfico de la red.
Preservar Evidencias
Introduccin
Al igual que en otro tipo de escenarios Forense, una necesidad consiste en la preservacin de Evidencias. Evitar que puedan esgrimir una posible manipulacin de datos. En caso de la judicializacin de los casos es uno de los requisitos fundamentales.
Qe preservar?
Discos Duros. Sistemas de almacenamiento. Ficheros de registros. Memoria Voltil.
Cmo preservar?
Copias binarias de disco.
Online. Offline.
DEMO
Forense en Escenario de Malware con Troyano Reverso
Premisas
Si realizamos un anlisis online puede ser que algunos elementos pudieran estar ocultos. El anlisis offline nos permitira realizar un anlisis de ficheros pero no conoceramos realmente los procesos arrancados y la funcionalidad. Necesitaremos buscar posibles elementos ocultos para continuar con eficacia el anlisis forense.
Anlisis online
Si tenemos activo un rootkit en el sistema podremos descubrirlo mediante alguna herramienta tipo Antirootkit. Realizan un doble procedimiento de peticin de datos a nivel de Kernel y a nivel de Aplicacin. Nos muestra las diferencias de los resultados obtenidos. Puede evidenciar la existencia de algn elemento oculto. Pueden dar falsos positivos.
Anlisis offline
Puede darse mediante anlisis de disco externo o por anlisis del binario del disco. Podemos analizar aquellos elementos que la aplicacin Antirootkit nos haya podido ofrecer. Podemos recoger los ficheros y analizarlos mediante algn sistema antivirus o varios. Podemos acceder a los ficheros y evaluarlo
Procesos
La mayor parte de las aplicaciones malware corren como procesos en nuestros sistemas. Deberemos evaluar todos los procesos que se estn ejecutando sobre la mquina. Deberemos conocer bajo que servicios o ejecutables estn corriendo los procesos. Analizaremos los subprocesos que pudieran estar vinculados a los procesos.
Anlisis de procesos
Aplicaciones pudieran estar corriendo como nombres de procesos del sistema. No hay que desdear la ingeniera social a la hora de reconocer los procesos. Malware disfrazados con procesos de aplicaciones inexistentes.
Herramientas de anlisis.
Monitorizacin de ficheros. Monitorizacin del registro.
Listado de Procesos
Proccess Handles
Anlisis de datos
Filtrado de ficheros
Podremos agrupar ficheros por tipologa. Buscaremos ficheros de logs o cualquier otro tipo de ficheros donde puedan guardarse informacin. Buscaremos incoherencias en los ficheros almacenados.
Bsqueda de cadenas
Podremos buscar informacin en los ficheros en base a cadenas de caracteres. Buscaremos posibles ficheros que contengan datos de navegacin, de correo electrnico, de datos sensibles. La informacin deber buscarse tambin en los posibles ficheros eliminados.
Envo de datos
Muchas herramientas de malware generan trfico, bien para la conexin o bien para el envo de datos. El anlisis puede establecerse localmente o en algn segmento de red. Si lo establecemos localmente, deberemos haber eliminado algn posible Malware de ocultacin. Deberemos ser capaces de relacionar el trfico con los procesos y las aplicaciones.
Sniffer
Permiten recoger el trfico y analizarlo posteriormente. No nos da la visin desde el punto de los procesos y las aplicaciones. Podremos diferenciar el trfico por protocolos o puertos. Malware pueden disfrazar las conexiones con trfico de procolos conocidos.
Logs de conexiones
Tenemos herramientas que nos generan logs de las conexiones desde el punto de vista de los procesos y aplicaciones. No nos ofrecen los datos enviados, recogen solamente las conexiones realizadas. Nos ofrecen los puertos utilizados, la IP de conexin y las aplicaciones o procesos que intervienen en la conexin.
DEMO
Forense en Escenario de Malware con Troyano Reverso
Contactos
Informatica64
www.informatica64.com