Objetivos
-Conocer las herramientas basicas para llevar a cabo un analisis forense o/y un analisis de incidentes
-Aprender a realizar un analisis en entornos windows basico(administrador) antes de contratar un equipo de analisis forense
-Interpretar y analisar los motivos del ataque y que funciones ha afectado dentro de nuestro entorno
Elementos de hardware necesarios
Computador a analisar
Computador desde donde desarrollaremos el analisis: pentium 4 en adelante con 1 giga minima de ram
Cableado de red
Elementos de Software necesarios
-Cmd.exe -->limpio
– Herramientas de sistema (ipconfig, netstat, date,time, net, arp ...) para las diferentes versiones de Windows y Service Pack
– pstools, listdlls, filemon*, regmon*, autoruns
– hfind, fport, ntlast.
– Windows resource kit tools.
Introduccion
Bueno no he querido arrancar con analisis forense como tal, ya que creo que primero debo explicar como hacer algunas tareas basicas como: clonacion del HD , conexion en red para la adquision de datos y preparacion de la evidencia.
Por esta razon empezamos con un analisis no tanto forense sino de incidentes para ir diferenciando tambien hasta donde podemos investigar siendo administradores.
Espero que lo hagan y sobre todo aprendan , mis disculpas para los forenses de la comunidad por si esto les parece algo muy basico o no les agrada como empeze
.Desarrollo
/*
Esto es alternativo ya que por el momento no lo vamos a trabajar de este modo , sino vamos a lo mas practivo para despues hacer un desarrollo completo profesionalmente
• Conectar la estación forense a la red del equipo a analizar
• Configurar netcat o cryptcat en la estación forense para que escuche en un puerto local y vuelque en un fichero la evidencia recibida
*/
• Montar el Kit de Adquisición de Datos en el sistema a analizar
• Abrir una consola confiable (cmd.exe)
Despues de estos sencillos pasos , vamos a llevar acabo una recoleccion de datos basica I(basica 1 porque solo vamos a tomar datos del sistema , en basica 2 vamos a tomar de la red).
Pero antes que nada debemos saber que vamos a buscar y que necesitamos obtener:
- Fecha y hora del sistema
- Procesos en ejecución
- Conexiones de red
- Puertos abiertos
- Aplicaciones “escuchando” en puertos abiertos
- Usuarios logados
- Información almacenada en la memoria
Ahora que sabemos que obtener vamos a la recoleccion de nuestros primeros datos:
Comando Que obtenemos
date /t & time /t fecha y hora
ipconfig /all información tcp/ip
netstat -aon conexiones abiertas y puertos en espera, con PID asociado
psinfo -shd informacion del sistema (hardware, software, hotfixes, versiones, etc.)
pslist -t lista de procesos
at lista de tareas programadas (también mirar en %windir%\tasks\ folder)
psloggedon usuarios logados y hora de logon
psloglist volcado de log de eventos
psservice información de servicios de sistema
net use, net accounts, net session, net share, net user No necesitan des..conexiones netbios/smb
listdlls lista de DLLs cargadas en sistema
sigcheck -u -e c:\windows lista de ficheros (.exe, .dll) no firmados
streams -s c:\ lista ficheros con alternate data streams (ads)
logonsessions -p sesiones actuales y procesos por sesión
arp -a muestra tabla de caché ARP
ntlast muestra eventos de logon correctos y fallidos
route print muestra tabla de rutado IP
autorunsc muestra elementos de autoejecución
hfind c: ficheros ocultos
promiscdetect detecta interfaces de red en modo "PROMISCUO"
volume_dump muestra información sobre volumenes, mount points, filesystem, etc.
pwdump2 muestra hashes (nthash/lmhash) de cuentas locales
lsadump2 muestra LSA secrets (necesita SeDebugPrivilege)
strings busca cadenas ASCII/Unicode en ficheros
Herramientas con interfaz gráfico:
rootkit revealer detecta rootkits (usermode o kernelmode)
process explorer (procexp y procmon) información útil sobre procesos, librerías que usan, recursos accedidos,
conexiones de red, etc.
tcpview muestra conexiones de red y aplicaciones asociadas
Nombres de Dispositivos en Windows:
• \\. Local machine
• \\.\C: C: volume
• \\.\D: D: volume
• \\.\PhysicalDrive0 First physical disk
• \\.\PhysicalDrive1 Second physical disk
• \\.\CdRom0 First CD-Rom
• \\.\Floppy0 First floppy disk
• \\.\PhysicalMemory Physical memory
Tipo de información almacenada en la memoria:
- Password en la cache
- Malware residente en memoria (Slammer)
- Fragmentos de ficheros y procesos abiertos
- Datos no cifrados (en claro)
/*
esto lo profundizaremos en el siguiente laboratorio
Realizar imagen completa de la memoria (de un sistema “vivo”)
dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000
Obtener los procesos en memoria (de un sistema “vivo”)
Utilizar ‘pmdump’ para volcar a un fichero el espacio de
memoria de un proceso
/*
Herramientas y sitanxis de uso(documentacion):
Pstools: http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx
Listdlls: http://technet.microsoft.com/en-us/sysinternals/bb896656.aspx
Filemon:http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Regmon:http://www.microsoft.com/latam/technet/sysinternals/systeminformation/regmon.mspx
Autoruns:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Fport:http://www.foundstone.com/us/resources/proddesc/fport.htm
hfind
Forensic tool kit:http://www.foundstone.com/us/resources/proddesc/forensic-toolkit.htm
Ntlast:http://www.foundstone.com/us/resources/proddesc/ntlast.htm
windows resource kit tools:http://www.microsoft.com/downloads/thankyou.aspx?familyId=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displayLang=en
Entradas
No hay comentarios:
Publicar un comentario