Forense en Windows con Herramientas Libres - Sebastian Del Prado

Reflección para comenzar

Albert Einstein “Es absurdo pensar que obtendré cosas novedosas, haciendo siempre lo mismo”.

ETIMOLOGIA

Fuente: http://buscon.rae.es/draeI/

DEFINICION Ciencias Forenses: (Definicion) Forensic Science (forensics) es la aplicación de un amplio espectro de ciencias para responder a preguntas de interés en el ámbito de la justicia. Puede estar en relación con un crimen o con una acción civil. El uso del término “forense” en lugar de “ciencias forenses” se puede considerar lingüísticamente incorrecto El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” (mientras que en Latín, significa “perteneciente o relativo al foro"). Su uso actual en estrecha relación con el campo científico hace que muchos diccionarios le den también el significado que aquí expresamos.

Fuente: http://en.wikipedia.org/wiki/Forensic

OBJETIVO

Informática Forense: La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada. Para conseguir sus objetivos, la Informática Forense desarrolla técnicas idóneas para ubicar, reproducir y analizar evidencias digitales con fines legales.

Fuente: (C) www.informatica-forense.es

LA ESCENA DEL CRIMEN

º

PASOS A SEGUIR POR EL EXAMINADOR

- Verificar su propia Seguridad - Inventariar todo lo encontrado - Fotografiar los Equipos - Fotografiar las Conexiones entre Equipos - Fotografiar las Pantallas - Recolectar Información Volátil - Desconectar la Conectividad - Apagar las Computadoras - Guardar la Evidencia - Proteger la Cadena de Custodia - REALIZAR LA INVESTIGACION EN EL LABORATORIO

PASOS A SEGUIR POR EL EXAMINADOR Inventariar todo lo encontrado

PASOS A SEGUIR POR EL EXAMINADOR Fotografiar los Equipos

PASOS A SEGUIR POR EL EXAMINADOR Fotografiar las Conexiones entre Equipos

PASOS A SEGUIR POR EL EXAMINADOR Fotografiar las pantallas

PASOS A SEGUIR POR EL EXAMINADOR Procesos necesarios para auditar. Teniendo en cuenta la volatilidad de la informacion (según normas estándares RFC 3227)

_ Registros y contenidos de la caché. _ Contenidos de la memoria. _ Estado de las conexiones de red, tablas de rutas. _ Estado de los procesos en ejecución. _ Contenido del sistema de archivos y de los discos duros. _ Contenido de otros dispositivos de almacenamiento.

PASOS A SEGUIR POR EL EXAMINADOR Procesos necesarios para auditar.

_ Interpretar comandos en modo consola (cmd, bash) _ Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport, lsoft) _ Listar usuarios conectados local y remotamente al sistema _ Obtener fecha y hora del sistema (date, time) _ Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist) _ Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net) _ Buscar ficheros ocultos o borrados (hfind, unrm, lazarus) _ Visualizar registros y logs del sistema (reg, dumpel) _ Visualizar la configuración de seguridad del sistema (auditpol) _ Generar funciones hash de ficheros (sah1sum, md5sum) _ Leer, copiar y escribir a través de la red (netcat, crypcat) _ Realizar copias bit-a-bit de discos duros y particiones (dd, safeback, ghost) _ Analizar el tráfico de red (tcpdump, windump)

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil Fecha y Hora con: “date /t && time /t”

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil

Conexiones de Red activas con: “netstat –na”

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil Configuración de Red con: “ipconfig /all”

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil

Información del Sistema con: “systeminfo”

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil Histórico de Comandos: “doskey /history”

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil Usuarios Logueados al Sistema con: “psloggedon.exe”

http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx

PASOS A SEGUIR POR EL EXAMINADOR Recolectar Información Volátil Listar Procesos Corriendo con: “pslist.exe”

http://technet.microsoft.com/en-us/sysinternals/bb896682.aspx

PASOS A SEGUIR POR EL EXAMINADOR Desconectar la Conectividad

PASOS A SEGUIR POR EL EXAMINADOR Apagar las Computadoras

PASOS A SEGUIR POR EL EXAMINADOR Apagar las Computadoras

• DOS: • Windows 3.1: • Windows 95: • Windows NT Workstation: • Windows NT Server: • Windows 98/Me: • Windows 2000: • Windows 2000 Server: • Windows XP: • Windows 2003 Server: • Linux/Unix: • Macintosh: • Mac OS X:

Tirar del Cable Tirar del Cable Tirar del Cable Tirar del Cable Apagar Normalmente Tirar del Cable Apagar Normalmente Apagar Normalmente Tirar del Cable Apagar Normalmente Apagar Normalmente Tirar del Cable Apagar Normalmente

PASOS A SEGUIR POR EL EXAMINADOR Guardar la Evidencia - utilizar bolsas anti-estática

PASOS A SEGUIR POR EL EXAMINADOR

Guardar la Evidencia - utilizar goma espuma

PASOS A SEGUIR POR EL EXAMINADOR Proteger la Cadena de Custodia - ¿ Qués es la evidencia ? - ¿ Cómo se la obtuvo ? - ¿ Cuando fue obtenida ? - ¿ Quién la obtuvo ? - ¿ Donde viajo y donde fue guardada ?

http://www.csoonline.com/read/120105/sample_chain_custody.pdf

ADQUISICIÓN DE EVIDENCIA POR HARDWARE

Tableau T35e

Adquisición de Discos Rígidos y Dispositivos USB Tableau T35e

http://www.tableau.com

ADQUISICIÓN DE EVIDENCIA POR HARDWARE

Equipo de Clonado HW: Logicube Forensics MD5

ADQUISICIÓN DE EVIDENCIA CON DD

¿ Qué es DD ? - Una famosa herramienta para hacer copias bit a bit. - http://www.forensicswiki.org/wiki/Dd ¿ Qué es FAU ? - Conjunto de programas específicos con fines de auditoria - Forensic Acquisition Utilities - http://www.gmgsystemsinc.com/fau/ - DD, Netcat, Wipe, fmdata, volume_dump

ADQUISICIÓN DE EVIDENCIA CON DD dd.exe if=“ENTRADA” of=“SALIDA” Microsoft Windows: Disco rígido: Volumen de disco: Memoria física:

“\\.\PhysicalDriveX” “\\.\C” “\\.\PhysicalMemory”

dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img UNIX/Linux: Disco rígido: Volumen de disco: Memoria física:

“/dev/hda” “/dev/hda1” “/dev/mem”

dd if=/dev/hda of=Imagen.img bs=65536 conv=noerror,sync

ADQUISICIÓN DE EVIDENCIA SOBRE LA RED

¿ Qué es Netcat ? - La Navaja Suiza para conexiones de red. - http://en.wikipedia.org/wiki/Netcat Escuchamos en el puerto TCP 9000: nc.exe -l 9000 > WinXPvolumeC.img Redirigimos una imagen con DD a un sistema en la red: dd.exe if=\\.\C | nc.exe 10.1.1.22 9000 Redirigimos una imagen de la memoria: dd.exe if=\\.\PhysicalMemory | nc.exe 10.1.1.22 9000

AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASH

¿ Qué es un Hash ? - Método para generar una firma que represente de manera unívoca a un archivo. - Algunos algoritmos criptográficos usados: MD5 o SHA-1. - Gran cantidad de programas, como md5sum o md5deep. - http://www.forensicswiki.org/index.php?title=Hashing ¿ Para qué sirve ? - Verificar que la evidencia no se ha modificado. - Identificar unívocamente a un archivo. - Realizar búsquedas de Hashes.

AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASH Hashing de un Archivo:

Hashing de una Imagen de Disco: dd.exe if=\\.\PhysicalDrive0 of=d:\images\Imagen.img --md5sum --verifymd5 --md5out=d:\images\Imagen.img.md5

AUTENTICANDO LA EVIDENCIA CON ALGORITMOS DE HASH Hashing de un Archivo desde el explorador

ANALIZANDO LA PAPELERA DE RECICLAJE ¿ Cómo trabaja el archivo INFO2 ? • Los archivos borrados van a la Papelera a menos que se use la tecla SHIFT. • El archivo es renombrado a DC#.EXT • “#” es un número entero. • “EXT” es la extensión original. • “Santiago.txt” se renombraría a “DC1.txt”. • “#” es incremental. ¿ Qué información guarda ? • La ruta original del archivo. • El tamaño del archivo. • La fecha y hora en la que se movió el archivo a la Papelera. • El número de ID único que tiene en la Papelera.

ANALIZANDO LA PAPELERA DE RECICLAJE

¿ Cómo funciona la Papelera de Reciclaje ? • Directorio oculto “RECYCLER”. • Directorios con el SID de cada usuario. • Posee un archivo oculto llamado INFO2.

¿ Dónde se guarda el archivo INFO2 ? • Windows 95/98/ME c:\Recycled\INFO2 • Windows NT/2k/XP/2k3/V c:\Recycler\

ANALIZANDO LA PAPELERA DE RECICLAJE - “cd RECYCLER” - “dir /ah”

ANALIZANDO LA PAPELERA DE RECICLAJE - Vamos a usar Rifiuti de Foundstone. - “rifiuti INFO2”

http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip

ANALIZANDO ARCHIVOS DE LINK ¿ Qué son los archivos de LINK ? • Son shortcuts que tienen la extensión “.lnk”. • Apuntan a aplicaciones, directorios, documentos o archivos de datos. • También los podemos encontrar en la carpeta Recent, Start, Desktop y “Sent To Folders”. ¿ Qué información importante podemos encontrar ? • La ruta original del archivo. • El serial number del volumen del disco. • Fecha y Hora de Creación, Ultimo Acceso y Modificación.

ANALIZANDO ARCHIVOS DE LINK - “lnk –o archivo.lnk”

http://www.rootkitdetector.com

DESCUBRIENDO LAS PASSWORD DE WINDOWS

Ophcrack, recupera tus Contraseñas de Windows.

Ophcrack 3.0 es una aplicación que permite obtener las contraseñas de tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux gracias a las libretrías GTK. Ophcrack Live CD 0.9 es una distribución linux, basada en la Ubuntu 5.04, en formato Live CD que está preparado para acceder a las particiones de Windows, copiar temporalmente en el sistema y analizar el archivo SAM, el que gestiona las contraseñas de Windows, para luego descomprimirlo y descifrarlo. Con ello podremos obtener la contraseña de nuestro sistema Windows y permitirnos acceder a él.

DESCUBRIENDO LAS PASSWORD DE WINDOWS

VIDEO

>>>OPHCRACK.wmv C:\historial.txt

ANALIZANDO archivos de intercambio

ANALIZANDO archivos de intercambio

ANALIZANDO prefetch El Prefetch analiza los programas que ejecutas habitualmente en tu PC, de tal forma que, para que tengan mejor rendimiento, Windows puede precargar (prefetching) ciertas partes de los programas en la memoria durante la carga inicial, para que así tengan un mejor comportamiento y rapidez al usar dichos programas. Esta hubicado en x:\windows\prefetch Los ficheros .pf graban la fecha y hs. de cuando fue utilizado por ultima vez La clave del registro para modificar es: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management\PrefetchParameters

El archivo LAYUOT:INI En este archivo guarda los programas con sus paquetes mas usados. Cada 3 días actualiza, y en segundo plano hace una desfragmentacion, para que el cabezal no tenga que desplazarse tanto en el disco

http://www.fermu.com/content/view/110/2/lang,es/

ANALIZANDO periféricos USB ¿Sabias que cada vez que pones un dispositivo USB queda registrado?

¿ QUÉ ES EL SLACK ? Es el espacio que se encuentra desde el final de un archivo lógico hasta el final de un sector o cluster.

¿ QUÉ ES EL ESPACIO NO ASIGNADO ? Cuando DOS o Windows borra un archivo, en realidad el contenido del mismo queda intacto y pasa a ocupar un área llamada “Unallocated Space”.

Herramientas para realizar la auditoria forense

Los principales motivos son los siguientes: ¿Porque atacar un router? • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece. • Comprometer otros routers a través de el. • Desviar firewalls de red, IDS o otros servicios. • Monitorizar y grabar el tráfico entrante o saliente de la red. • Redirigir el tráfico de la red a otro punto.

web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/ www.dragonjar.org/analisis-forense-a-un-router-cisco.xhtml#more-2862

Herramientas para realizar la auditoria forense

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos: # terminal length 0 # dir /all # show clock detail # show ntp # show version # show running-config # show startup-config # show reload # show ip route # show ip arp # show users

# show logging # show interfaces # show ip interfaces # show access-lists # show tcp brief all # show ip sockets # show ip nat translations verbose # show ip cache flow # show ip cef # show snmp users # show snmp groups # show clock detail # exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router. Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper. Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Herramientas para realizar la auditoria forense

Existen herramientas que sirven para recuperar muy

Algunas alternativas son: ISOBUSTER

(versión trial)

CD/DVD RECOVERY (comercial 100%)

Herramientas para realizar la auditoria forense

Herramientas para realizar la auditoria forense

Herramientas para realizar la auditoria forense

Según la wikipedia “La esteganografía es la rama de la criptología que trata sobre la ocultación de mensajes, para evitar que se perciba la existencia del mismo.”

Empecemos con lo mas simple, se hace uso del comando copy con los parámetros /b primerarchivo.jpg + segundoarchivo.rar imagendondeseocultarán.jpg StegHide OpenStego Hide In Picture 2.1 http://www.viciao2k3.net/services/cryptimg/ (EN LINEA)

Herramientas para realizar la auditoria forense

VIDEO

>>> stegano.vwm Auditando celulares>Farc.pdf