Análisis forense. A qué nos ayuda

Report
Código: HOL-SEG05
► Definición
de análisis forense
► Buenas prácticas a la hora de analizar datos
► Análisis logs en aplicaciones
► Análisis logs en Sistema Operativo
► Análisis sintáctico de Logs
► Herramientas utilizadas
►Conocer qué ha pasado
►Determinar la cuantía de daños
►Determinar el alcance de daños
►Nos previene de futuros acontecimientos
►Mitiga el riesgo
► Aplicada para descubrir la verdad
► Personal autorizado para recolectar evidencias
► Localizar e identificar las evidencias
► Recolectar documentación sobre el entorno
► Reconstrucción de la amenaza

Qué

Por qué

Quién

Cómo

Cuándo

Dónde
► Presentación
Cada contacto deja un rastro
►Contiene información sobre la aplicación
►Información sobre qué hace la aplicación por debajo
►Registro de usuarios
►Passwords
►Fecha y hora de acceso a la información
►Direcciones IP
►Etc.…
►IIS (Internet Information Server)
►Visor de eventos
►Windows Update
►TimeLine de ficheros
►Prefetch
►Tablas ARP
►Logs SQL Server
►Logs MYSQL
►Archivos de registro de Windows
►SAM, SYSTEM, SOFTWARE, etc.…
►Papelera de reciclaje
►Archivo de paginación
►Restauración del sistema
►Reconstrucción de la bitácora de navegación
►Archivos temporales
►Documentos recientes
►Etc..
Si sabemos con cierta seguridad cuándo se ha realizado un ataque,
podemos sacar una lista con los ficheros que hay en el sistema
operativo.
DIR /t: a /a /s /o: d c:\ >Directory.txt &date /t >>Directory.txt &time /t
>>Directory.txt
/t:a Nos muestra el campo del último acceso (Fecha)
/a Muestra todos los ficheros
/s Muestra todos los archivos del directorio especificado, incluidos los
subdirectorios
/o Lista los archivos indicados
d
Muestra los más antiguos primero (Por fecha y hora)
En ocasiones esta lista puede llegar a ser interminable.
MacMatch es un parser que nos ayudará a encontrar ficheros entre dos
fechas
Macmatch.exe c:\ -a 2006-11-10:15.00 2006-11-12:15.59
Contiene información sobre la estadística de las aplicaciones mas
usadas en XP para optimizar su tiempo de carga

Estos archivos, en su interior, contiene el path de ficheros
 Nos
puede dar información sobre cuándo una aplicación ha sido
ejecutada

Al almacenar esta caché, las aplicaciones cargan mucho más rápido

Se desaconseja eliminar el contenido de esta carpeta
 Cada
vez que se ejecuta una nueva aplicación, el prefetch es
actualizado

Si una aplicación deja de ejecutarse en un tiempo determinado, el
prefetch también es actualizado
Cuando Windows encuentra una sentencia que pueda llegar a
comprometer el sistema, éste se para. Esta sentencia se llama
KeBugCheckEx. Esta llamada al sistema la podríamos llamar fallo de
sistema, error de kernel, STOP, etc.. , y toma 5 argumentos:
► Código de STOP
► Cuatro parámetros que indican
el código de STOP
Small Memory Dump.- El más pequeño de todos y el más limitado (en cuanto a investigación).
Solo ocupa 64 Kb y en este archivo irá incluida la siguiente información:
►
El mensaje de detención, parámetros y otros datos
►
El contexto del procesador (PRCB) para el procesador que se colgó.
►
La información de proceso y contexto del kernel (EPROCESS) del proceso que se colgó.
►
La información de proceso y contexto del kernel (ETHREAD) del thread que se colgó.
►
La pila de llamadas del modo kernel para el subproceso que se colgó. Si éste tiene un tamaño
mayor que 16 Kb, sólo los primeros 16 Kb serán almacenados.
►
Una lista de controladores cargados
►
Una lista de módulos cargados y no cargados
►
Bloque de datos de depuración. Contiene información básica de depuración acerca del
sistema.
►
Páginas adicionales de memoria. Windows también almacena estos datos para que así
podamos obtener una mayor “versión” de lo que cascó. Esto nos ayudará a identificar mucho
mejor el error ya que contienen las últimas páginas de datos a las que señalaban los registros
cuando el sistema se colgó.
►
Kernel Memory Dump Escribe el contenido de la memoria excepto los procesos
►
Complete Memory Dump Escribe todo el contenido de la memoria
Log por defecto guardado en
%systemroot%\pfirewall.log
►Información detallada sobre el sistema
►Auditoría de eventos altamente configurable
►Informa sobre el uso de aplicaciones
►Filtros específicos
►Informa sobre elevación de privilegios y uso de los
mismos
►Archivos de registro guardados por defecto en
directorio %systemroot%\system32\config
►Eventos PowerShell, Internet Explorer, Sistema,
Seguridad, Software, etc..
►
Posibilidad de guardar consultas
►
Creación de vistas personalizadas
►
Suscripción de eventos
►
Posibilidad de adjuntar tareas
►Documentos Recientes
HKEY_CURRENT_USER\Software\Microsoft\Windo
ws\CurrentVersion\Explorer\RunMRU
►Archivos temporales
►Index.dat
►Cookies
►Historial
►Tipos de contenido
►Utilizado como índice de referencia por Internet
Explorer
►Ficheros con atributos “oculto” y de “sistema”
►Puede contener información sobre el historial de
navegación
►Find /i “http ://” index.dat | sort > C:\HttpIndex.txt
►Pasco
Pasco
–d index.dat > index.txt
►Informática 64
http://www.informatica64.com
[email protected]
+34
91 146 20 00
►Juan Garrido Caballero
[email protected]

similar documents