La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Juan Luis García Rambla MVP Windows Security

Publicada porPilar Malave Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Juan Luis García Rambla MVP Windows Security"— Transcripción de la presentación:

1 Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com

2 Agenda -Introducción. -Preservar Evidencias. -Búsqueda de elemento ocultos. -Análisis de Procesos y procedimientos. -Análisis de datos. -Análisis del tráfico de red.

3 Introducción

4 El análisis forense Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder.

5 Malware y Forense Actualmente las aplicaciones tipo Malware constituyen unos de los elementos de ataque más extendidos. Han evolucionado para adaptarse a las circunstancias y a los diferentes métodos de transmisión. Desconocemos de la existencia de todos los elementos Malware. Bajo determinadas condiciones el análisis forense puede determinar la existencia de alguno de estos elementos.

6 Procedimientos Uno de los elementos prioritarios cuando establecemos un análisis forense es definir un procedimiento. -Reconocer entorno. -Preservación de datos. -Búsqueda de elementos ocultos. -Análisis de los procesos. -Análisis offline de los datos almacenados. -Analizar el tráfico de la red.

7 Elementos para realización del analisis Herramienta de copia binaria de unidades de disco y memoria. Herramienta para analizar memoria. Análisis de elementos ocultos. Analizador de procesos. Analizador de datos. Recuperador de datos eliminados. Analizador del tráfico de red.

8 Reconocimiento del entorno Necesitaremos conocer el motivo que ha llevado a sospechar de la existencia de algún tipo de malware. Que elementos conocemos y han podido ser modificados. Cambios en los comportamientos. Elementos afectados.

9 Preservar Evidencias

10 Introducción Al igual que en otro tipo de escenarios Forense, una necesidad consiste en la preservación de Evidencias. Evitará que puedan esgrimir una posible manipulación de datos. En caso de la judicialización de los casos es uno de los requisitos fundamentales.

11 ¿Qúe preservar? Discos Duros. Sistemas de almacenamiento. Ficheros de registros. Memoria Volátil.

12 ¿Cómo preservar? Copias binarias de disco. Online.Offline. Copia y firma de ficheros. Mantener intacto las evidencias originales y trabajar sobre las copias.

13 DEMO Forense en Escenario de Malware con Troyano Reverso

14 Busqueda de elementos ocultos

15 Premisas Si realizamos un análisis online puede ser que algunos elementos pudieran estar ocultos. El análisis offline nos permitiría realizar un análisis de ficheros pero no conoceríamos realmente los procesos arrancados y la funcionalidad. Necesitaremos buscar posibles elementos ocultos para continuar con eficacia el análisis forense.

16 Análisis online Si tenemos activo un rootkit en el sistema podremos descubrirlo mediante alguna herramienta tipo Antirootkit. Realizan un doble procedimiento de petición de datos a nivel de Kernel y a nivel de Aplicación. Nos muestra las diferencias de los resultados obtenidos. Puede evidenciar la existencia de algún elemento oculto. Pueden dar falsos positivos.

17 Análisis offline Puede darse mediante análisis de disco externo o por análisis del binario del disco. Podemos analizar aquellos elementos que la aplicación Antirootkit nos haya podido ofrecer. Podemos recoger los ficheros y analizarlos mediante algún sistema antivirus o varios. Podemos acceder a los ficheros y evaluarlo a nivel hexadecimal.

18 Análisis de procesos y procedimientos

19 Procesos La mayor parte de las aplicaciones malware corren como procesos en nuestros sistemas. Deberemos evaluar todos los procesos que se están ejecutando sobre la máquina. Deberemos conocer bajo que servicios o ejecutables están corriendo los procesos. Analizaremos los subprocesos que pudieran estar vinculados a los procesos.

20 Análisis de procesos Aplicaciones pudieran estar corriendo como nombres de procesos del sistema. No hay que desdeñar la ingeniería social a la hora de reconocer los procesos. Malware disfrazados con procesos de aplicaciones inexistentes.

21 Búsqueda por comportamiento Podemos analizar comportamientos mediante la provocación de eventos: Navegación en Internet. Apertura de ficheros. Escritura de datos. Copiar y pegar datos. Herramientas de análisis. Monitorización de ficheros. Monitorización del registro.

22 Listado de Procesos

23 Proccess Handles

24 Análisis de datos

25 Analisis de ficheros offline Podremos mediante las herramientas de análisis forense la agrupación de ficheros mediante el establecimiento de filtros. Podremos realizar búsqueda de caracteres a nivel binario. Podremos realizar el análisis del Time-line de los ficheros. Podremos recuperar ficheros eliminados.

26 Filtrado de ficheros Podremos agrupar ficheros por tipología. Buscaremos ficheros de logs o cualquier otro tipo de ficheros donde puedan guardarse información. Buscaremos incoherencias en los ficheros almacenados.

27 Búsqueda de cadenas Podremos buscar información en los ficheros en base a cadenas de caracteres. Buscaremos posibles ficheros que contengan datos de navegación, de correo electrónico, de datos sensibles. La información deberá buscarse también en los posibles ficheros eliminados.

28 Análisis del Time-line Buscaremos incoherencias en la interpretación de los datos de tiempo. Si ha habido modificaciones de ficheros a las 3:00 A.M. pudieran reflejar una incoherencia. Evaluaremos la fecha de creación de los ficheros y buscaremos posibles fechas de creación entre las posibles horas en las cuales se sospecha el ataque o la intrusión.

29 Análisis del tráfico de red

30 Envío de datos Muchas herramientas de malware generan tráfico, bien para la conexión o bien para el envío de datos. El análisis puede establecerse localmente o en algún segmento de red. Si lo establecemos localmente, deberemos haber eliminado algún posible Malware de ocultación. Deberemos ser capaces de relacionar el tráfico con los procesos y las aplicaciones.

31 Sniffer Permiten recoger el tráfico y analizarlo posteriormente. No nos da la visión desde el punto de los procesos y las aplicaciones. Podremos diferenciar el tráfico por protocolos o puertos. Malware pueden disfrazar las conexiones con tráfico de procolos conocidos.

32 Logs de conexiones Tenemos herramientas que nos generan logs de las conexiones desde el punto de vista de los procesos y aplicaciones. No nos ofrecen los datos enviados, recogen solamente las conexiones realizadas. Nos ofrecen los puertos utilizados, la IP de conexión y las aplicaciones o procesos que intervienen en la conexión.

33 DEMO Forense en Escenario de Malware con Troyano Reverso

34 Contactos Juan Luis García Rambla jlrambla@informatica64.com Informatica64 www.informatica64.com

Descargar ppt "Juan Luis García Rambla MVP Windows Security"

Presentaciones similares

By: Iván Romeo.

By: Iván Romeo.
para Exchange Archivo del correo interno y externo

para Exchange Archivo del correo interno y externo
INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de 2008 1 TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.
JONATHAN SOLANO VILLEGAS

JONATHAN SOLANO VILLEGAS
TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet.

TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet.
Protección del ordenador

Protección del ordenador
Sistemas operativos Arquitectura Cómo funcionan algunas cosas Knowledge Base applications Prefetching Internet Explorer Papelera de reciclaje.

Sistemas operativos Arquitectura Cómo funcionan algunas cosas Knowledge Base applications Prefetching Internet Explorer Papelera de reciclaje.
Análisis Forenses en Sist. Inf.

Análisis Forenses en Sist. Inf.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com.

FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.

Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.
PROTECCIÓN DEL ORDENADOR

PROTECCIÓN DEL ORDENADOR
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.

HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
1 5. La Búsqueda (I) Los ordenadores almacenan gran cantidad de información…  Hay que clasificarla y ordenarla para encontrarla con facilidad. ¿Y si no.

1 5. La Búsqueda (I) Los ordenadores almacenan gran cantidad de información…  Hay que clasificarla y ordenarla para encontrarla con facilidad. ¿Y si no.

Presentaciones similares

Anuncios Google