Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • TechNet SecDay07 Forense

    Încărcat de

    jose_1059
    23 vizualizări34 pagini

    Titlu original

    TechNet_SecDay07_forense

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PPTX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PPTX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    23 vizualizări34 pagini

    TechNet SecDay07 Forense

    Încărcat de

    jose_1059

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PPTX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 34

    Anlisis Forense

    Malware

    Juan Luis Garca Rambla MVP Windows Security jlrambla@informatica64.com

    Agenda
    Anlisis del trfico de red. Anlisis de datos. Anlisis de Procesos y procedimientos. Bsqueda de elemento ocultos. Preservar Evidencias. Introduccin.

    Introduccin

    El anlisis forense
    Cuando algo ha pasado que nos queda:
    Deducir que ha pasado. Qu ha motivado que esto haya pasado. Qu ha permitido llegar a ello. Qu acciones han sido consecuencia de ello. Qu podemos hacer para evitar que vuelva a suceder.

    Malware y Forense
    Actualmente las aplicaciones tipo Malware constituyen unos de los elementos de ataque ms extendidos. Han evolucionado para adaptarse a las circunstancias y a los diferentes mtodos de transmisin. Desconocemos de la existencia de todos los elementos Malware. Bajo determinadas condiciones el anlisis forense puede determinar la existencia de alguno de estos elementos.

    Procedimientos
    Uno de los elementos prioritarios cuando establecemos un anlisis forense es definir un procedimiento.

    - Reconocer entorno. - Preservacin de datos. - Bsqueda de elementos ocultos. - Anlisis de los procesos. - Anlisis offline de los datos almacenados. - Analizar el trfico de la red.

    Elementos para realizacin del analisis


    Herramienta de copia binaria de unidades de disco y memoria. Herramienta para analizar memoria. Anlisis de elementos ocultos. Analizador de procesos. Analizador de datos. Recuperador de datos eliminados. Analizador del trfico de red.

    Reconocimiento del entorno


    Necesitaremos conocer el motivo que ha llevado a sospechar de la existencia de algn tipo de malware. Que elementos conocemos y han podido ser modificados. Cambios en los comportamientos. Elementos afectados.

    Preservar Evidencias

    Introduccin
    Al igual que en otro tipo de escenarios Forense, una necesidad consiste en la preservacin de Evidencias. Evitar que puedan esgrimir una posible manipulacin de datos. En caso de la judicializacin de los casos es uno de los requisitos fundamentales.

    Qe preservar?
    Discos Duros. Sistemas de almacenamiento. Ficheros de registros. Memoria Voltil.

    Cmo preservar?
    Copias binarias de disco.
    Online. Offline.

    Copia y firma de ficheros.

    Mantener intacto las evidencias originales y trabajar sobre las copias.

    DEMO
    Forense en Escenario de Malware con Troyano Reverso

    Busqueda de elementos ocultos

    Premisas
    Si realizamos un anlisis online puede ser que algunos elementos pudieran estar ocultos. El anlisis offline nos permitira realizar un anlisis de ficheros pero no conoceramos realmente los procesos arrancados y la funcionalidad. Necesitaremos buscar posibles elementos ocultos para continuar con eficacia el anlisis forense.

    Anlisis online
    Si tenemos activo un rootkit en el sistema podremos descubrirlo mediante alguna herramienta tipo Antirootkit. Realizan un doble procedimiento de peticin de datos a nivel de Kernel y a nivel de Aplicacin. Nos muestra las diferencias de los resultados obtenidos. Puede evidenciar la existencia de algn elemento oculto. Pueden dar falsos positivos.

    Anlisis offline
    Puede darse mediante anlisis de disco externo o por anlisis del binario del disco. Podemos analizar aquellos elementos que la aplicacin Antirootkit nos haya podido ofrecer. Podemos recoger los ficheros y analizarlos mediante algn sistema antivirus o varios. Podemos acceder a los ficheros y evaluarlo

    Anlisis de procesos y procedimientos

    Procesos
    La mayor parte de las aplicaciones malware corren como procesos en nuestros sistemas. Deberemos evaluar todos los procesos que se estn ejecutando sobre la mquina. Deberemos conocer bajo que servicios o ejecutables estn corriendo los procesos. Analizaremos los subprocesos que pudieran estar vinculados a los procesos.

    Anlisis de procesos
    Aplicaciones pudieran estar corriendo como nombres de procesos del sistema. No hay que desdear la ingeniera social a la hora de reconocer los procesos. Malware disfrazados con procesos de aplicaciones inexistentes.

    Bsqueda por comportamiento


    Podemos analizar comportamientos mediante la provocacin de eventos:
    Navegacin en Internet. Apertura de ficheros. Escritura de datos. Copiar y pegar datos.

    Herramientas de anlisis.
    Monitorizacin de ficheros. Monitorizacin del registro.

    Listado de Procesos

    Proccess Handles

    Anlisis de datos

    Analisis de ficheros offline


    Podremos mediante las herramientas de anlisis forense la agrupacin de ficheros mediante el establecimiento de filtros. Podremos realizar bsqueda de caracteres a nivel binario. Podremos realizar el anlisis del Time-line de los ficheros. Podremos recuperar ficheros eliminados.

    Filtrado de ficheros
    Podremos agrupar ficheros por tipologa. Buscaremos ficheros de logs o cualquier otro tipo de ficheros donde puedan guardarse informacin. Buscaremos incoherencias en los ficheros almacenados.

    Bsqueda de cadenas
    Podremos buscar informacin en los ficheros en base a cadenas de caracteres. Buscaremos posibles ficheros que contengan datos de navegacin, de correo electrnico, de datos sensibles. La informacin deber buscarse tambin en los posibles ficheros eliminados.

    Anlisis del Time-line


    Buscaremos incoherencias en la interpretacin de los datos de tiempo. Si ha habido modificaciones de ficheros a las 3:00 A.M. pudieran reflejar una incoherencia. Evaluaremos la fecha de creacin de los ficheros y buscaremos posibles fechas de creacin entre las posibles horas en las cuales se sospecha el ataque o la intrusin.

    Anlisis del trfico de red

    Envo de datos
    Muchas herramientas de malware generan trfico, bien para la conexin o bien para el envo de datos. El anlisis puede establecerse localmente o en algn segmento de red. Si lo establecemos localmente, deberemos haber eliminado algn posible Malware de ocultacin. Deberemos ser capaces de relacionar el trfico con los procesos y las aplicaciones.

    Sniffer
    Permiten recoger el trfico y analizarlo posteriormente. No nos da la visin desde el punto de los procesos y las aplicaciones. Podremos diferenciar el trfico por protocolos o puertos. Malware pueden disfrazar las conexiones con trfico de procolos conocidos.

    Logs de conexiones
    Tenemos herramientas que nos generan logs de las conexiones desde el punto de vista de los procesos y aplicaciones. No nos ofrecen los datos enviados, recogen solamente las conexiones realizadas. Nos ofrecen los puertos utilizados, la IP de conexin y las aplicaciones o procesos que intervienen en la conexin.

    DEMO
    Forense en Escenario de Malware con Troyano Reverso

    Contactos

    Juan Luis Garca Rambla


    jlrambla@informatica64.com

    Informatica64
    www.informatica64.com

    S-ar putea să vă placă și