270 likes | 488 Views
Código: HOL-SEG05. Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones. Juan Garrido Caballero. Agenda. Definición de análisis forense Buenas prácticas a la hora de analizar datos Análisis logs en aplicaciones Análisis logs en Sistema Operativo
E N D
Código: HOL-SEG05 Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones Juan Garrido Caballero
Agenda • Definición de análisis forense • Buenas prácticas a la hora de analizar datos • Análisis logs en aplicaciones • Análisis logs en Sistema Operativo • Análisis sintáctico de Logs • Herramientas utilizadas
Análisis forense. A qué nos ayuda • Conocer qué ha pasado • Determinar la cuantía de daños • Determinar el alcance de daños • Nos previene de futuros acontecimientos • Mitiga el riesgo
Ciencia forense. Descripción • Aplicada para descubrir la verdad • Personal autorizado para recolectar evidencias • Localizar e identificar las evidencias • Recolectar documentación sobre el entorno • Reconstrucción de la amenaza • Qué • Por qué • Quién • Cómo • Cuándo • Dónde • Presentación
Principio de Locard Cada contacto deja un rastro
La importancia de los Logs • Contiene información sobre la aplicación • Información sobre qué hace la aplicación por debajo • Registro de usuarios • Passwords • Fecha y hora de acceso a la información • Direcciones IP • Etc.…
Archivos Log importantes • IIS (Internet Information Server) • Visor de eventos • Windows Update • TimeLine de ficheros • Prefetch • Tablas ARP • Logs SQL Server • Logs MYSQL • Archivos de registro de Windows • SAM, SYSTEM, SOFTWARE, etc.…
Información en el sistema operativo • Papelera de reciclaje • Archivo de paginación • Restauración del sistema • Reconstrucción de la bitácora de navegación • Archivos temporales • Documentos recientes • Etc..
Listar archivos Si sabemos con cierta seguridad cuándo se ha realizado un ataque, podemos sacar una lista con los ficheros que hay en el sistema operativo. DIR /t: a /a /s /o: d c:\ >Directory.txt &date /t >>Directory.txt &time /t >>Directory.txt /t:a Nos muestra el campo del último acceso (Fecha) /a Muestra todos los ficheros /s Muestra todos los archivos del directorio especificado, incluidos los subdirectorios /o Lista los archivos indicados d Muestra los más antiguos primero (Por fecha y hora)
Listar archivos En ocasiones esta lista puede llegar a ser interminable. MacMatch es un parser que nos ayudará a encontrar ficheros entre dos fechas Macmatch.exe c:\ -a 2006-11-10:15.00 2006-11-12:15.59
Prefetching Contiene información sobre la estadística de las aplicaciones mas usadas en XP para optimizar su tiempo de carga • Estos archivos, en su interior, contiene el path de ficheros • Nos puede dar información sobre cuándo una aplicación ha sido ejecutada • Al almacenar esta caché, las aplicaciones cargan mucho más rápido • Se desaconseja eliminar el contenido de esta carpeta • Cada vez que se ejecuta una nueva aplicación, el prefetch es actualizado • Si una aplicación deja de ejecutarse en un tiempo determinado, el prefetch también es actualizado
BSOD Cuando Windows encuentra una sentencia que pueda llegar a comprometer el sistema, éste se para. Esta sentencia se llama KeBugCheckEx. Esta llamada al sistema la podríamos llamar fallo de sistema, error de kernel, STOP, etc.. , y toma 5 argumentos: • Código de STOP • Cuatro parámetros que indican el código de STOP
Archivos dmp Small Memory Dump.- El más pequeño de todos y el más limitado (en cuanto a investigación). Solo ocupa 64 Kb y en este archivo irá incluida la siguiente información: • El mensaje de detención, parámetros y otros datos • El contexto del procesador (PRCB) para el procesador que se colgó. • La información de proceso y contexto del kernel (EPROCESS) del proceso que se colgó. • La información de proceso y contexto del kernel (ETHREAD) del thread que se colgó. • La pila de llamadas del modo kernel para el subproceso que se colgó. Si éste tiene un tamaño mayor que 16 Kb, sólo los primeros 16 Kb serán almacenados. • Una lista de controladores cargados • Una lista de módulos cargados y no cargados • Bloque de datos de depuración. Contiene información básica de depuración acerca del sistema. • Páginas adicionales de memoria. Windows también almacena estos datos para que así podamos obtener una mayor “versión” de lo que cascó. Esto nos ayudará a identificar mucho mejor el error ya que contienen las últimas páginas de datos a las que señalaban los registros cuando el sistema se colgó.
Archivos dmp • Kernel Memory Dump Escribe el contenido de la memoria excepto los procesos • Complete Memory Dump Escribe todo el contenido de la memoria
Firewall Windows Log por defecto guardado en %systemroot%\pfirewall.log
EventViewer (Visor de Eventos) • Información detallada sobre el sistema • Auditoría de eventos altamente configurable • Informa sobre el uso de aplicaciones • Filtros específicos • Informa sobre elevación de privilegios y uso de los mismos • Archivos de registro guardados por defecto en directorio %systemroot%\system32\config • Eventos PowerShell, Internet Explorer, Sistema, Seguridad, Software, etc..
Eventos en Windows Vista • Posibilidad de guardar consultas • Creación de vistas personalizadas • Suscripción de eventos • Posibilidad de adjuntar tareas
Algunas pistas • Documentos Recientes • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Análisis bitácora de navegación • Archivos temporales • Index.dat • Cookies • Historial • Tipos de contenido
Index.dat • Utilizado como índice de referencia por Internet Explorer • Ficheros con atributos “oculto” y de “sistema” • Puede contener información sobre el historial de navegación • Find /i “http ://” index.dat | sort > C:\HttpIndex.txt • Pasco • Pasco –d index.dat > index.txt
Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Juan Garrido Caballero • jgarrido@informatica64.com