La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis forense memoria RAM Juan Garrido Consultor seguridad y sistemas I64

Presentaciones similares


Presentación del tema: "Análisis forense memoria RAM Juan Garrido Consultor seguridad y sistemas I64"— Transcripción de la presentación:

1 Análisis forense memoria RAM Juan Garrido Consultor seguridad y sistemas I64

2 Hands On Lab Análisis forense en entornos Windows Análisis forense en entornos Windows

3 Agenda Introducción Introducción Otros métodos de adquisición Otros métodos de adquisición Análisis memoria en plataformas Windows Análisis memoria en plataformas Windows Verificar la integridad Verificar la integridad Recuperación de datos Recuperación de datos Detección procesos ocultos Detección procesos ocultos Conexiones de red Conexiones de red Representación gráfica Representación gráfica Herramientas Herramientas Preguntas Preguntas

4 Introducción Objetivo Aplicaciones y sistema operativo Sistema de ficheros, volumen RAM, pagefile.sys,hib erfil.sys Análisis de Red

5 ¿Qué es la memoria RAM?

6 Volátil Memoria de acceso aleatorio Memoria de acceso aleatorio Memoria para programas y datos Memoria para programas y datos Memoria temporal Memoria temporal Se pierde al apagar el equipo Se pierde al apagar el equipo

7 Introducción Qué puede contener un volcado de memoria Qué puede contener un volcado de memoria Procesos en ejecución Procesos en ejecución Iexplore Iexplore LSASS LSASS Procesos en fase de terminación Procesos en fase de terminación Conexiones activas Conexiones activas TCP TCP UDP UDP Puertos Puertos

8 ¿Qué hay en la RAM?

9 Ficheros mapeados Ficheros mapeados Drivers Drivers Ejecutables Ejecutables Ficheros Ficheros Objetos Caché Objetos Caché Direcciones Web Direcciones Web Passwords Passwords Comandos tipeados por consola Comandos tipeados por consola Elementos ocultos Elementos ocultos Rootkits (Userland & KernelLand) Rootkits (Userland & KernelLand)

10 ¿Cómo se estructura la memoria? KernelLand (Ring0) KernelLand (Ring0) Tendrá permiso para acceder a todo el espacio de memoria Tendrá permiso para acceder a todo el espacio de memoria Podrá comunicarse con el Hardware Podrá comunicarse con el Hardware UserLand (Ring3) UserLand (Ring3) Apis podrán comunicarse con el Kernel Apis podrán comunicarse con el Kernel Nivel con menor privilegio Nivel con menor privilegio Acceso a Memoria Virtual Acceso a Memoria Virtual

11 Qué se busca y por qué… EPROCESS EPROCESS Estructura que contiene datos relativos a un proceso Estructura que contiene datos relativos a un proceso Representación que hace Windows para cada proceso Representación que hace Windows para cada proceso Fecha Creación, cuotas de uso, Token, PID Fecha Creación, cuotas de uso, Token, PID THREADS THREADS Cada proceso puede crear 1 o más hilos en ejecución Cada proceso puede crear 1 o más hilos en ejecución Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Como mínimo se crea uno por cada proceso en ejecución (Puntero a proceso) Tiempo de Kernel Tiempo de Kernel PEB PEB Información sobre la Imagen Información sobre la Imagen Estructuras que residen en el espacio de memoria del usuario Estructuras que residen en el espacio de memoria del usuario Virtual Memory & Physical Memory Virtual Memory & Physical Memory Permite al proceso usar más memoria que la que hay realmente Permite al proceso usar más memoria que la que hay realmente Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) Cada proceso obtiene 4GB de memoria RAM virtuales (32Bits) El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria El S.O. se encarga de traducir esas direcciones virtuales a direcciones físicas de memoria

12 Captura de memoria RAM Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Siguiendo el orden de volatilidad, los datos contenidos en la RAM son extremadamente volátiles. Reinicios Reinicios Apagados Apagados Corrupciones Corrupciones Verificar la integridad de los datos Verificar la integridad de los datos Se tiene que preparar el sistema para que lo soporte Se tiene que preparar el sistema para que lo soporte

13 No sólo se captura lo activo… La información que podemos recopilar depende de muchos factores La información que podemos recopilar depende de muchos factores Sistema operativo Sistema operativo Time Live de la máquina Time Live de la máquina Tamaño de la memoria Tamaño de la memoria

14 Memoria RAM Paginada Paginación Paginación Pagefile.sys Pagefile.sys Hyberfil.sys Hyberfil.sys Configuración de limpieza Configuración de limpieza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management Reg_DWORD type Reg_DWORD type ClearPagefileAtShutdown ClearPagefileAtShutdown Value = 1 (Activado) Value = 1 (Activado)

15 Métodos de Adquisición Software: Software: NotMyFault (Sysinternals) NotMyFault (Sysinternals) SystemDump (Citrix) SystemDump (Citrix) LiveKD (Sysinternals) LiveKD (Sysinternals) Teclado Teclado HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\i8042prt\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\i8042prt\Parameters DWORD (CrashOnCtrlScroll) DWORD (CrashOnCtrlScroll) Hardware Hardware Copiadoras Copiadoras

16 Verificar la integridad DumpChk (Support Tools) DumpChk (Support Tools) Herramienta para verificar la integridad de un volcado de memoria Herramienta para verificar la integridad de un volcado de memoria Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Muy completa (Uptime, Arquitectura, Equipo, fallo, etc…) Línea de comandos Línea de comandos DumpCheck (Citrix) DumpCheck (Citrix) Creada por Dmitry Vostokov Creada por Dmitry VostokovDmitry VostokovDmitry Vostokov Nos muestra sólo si cumple con la integridad o no Nos muestra sólo si cumple con la integridad o no Entorno gráfico Entorno gráfico

17 [DEMO] Integridad en los volcados Integridad en los volcados Configuración de Registro Configuración de Registro

18 Análisis memoria RAM

19 Análisis desestructurado de memoria RAM Strings de Sysinternals Strings de Sysinternals Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Herramienta para extraer cadenas (ASCII & UNICODE) de un archivo Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… Podemos identificar objetos almacenados en memoria, datos persistentes, conexiones, Passwords, etc… FindStr (Microsoft nativa) FindStr (Microsoft nativa) Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Herramienta utilizada para buscar una cadena de texto en el interior de uno o varios archivos Con la combinación de ambas herramientas podemos extraer gran cantidad de información

20 [DEMO] Extraer información archivo Pagefile.sys Extraer información archivo Pagefile.sys Análisis de comandos en CMD.EXE Análisis de comandos en CMD.EXE Análisis de navegación (favoritos, historial) Análisis de navegación (favoritos, historial) Análisis de conversación messenger Análisis de conversación messenger

21 Análisis estructurado de memoria RAM Windbg Windbg Poderosa herramienta de depuración Poderosa herramienta de depuración Necesitamos los símbolos para poder trabajar con procesos Necesitamos los símbolos para poder trabajar con procesos Pensada para todos los públicos Pensada para todos los públicos Mucha granularidad a nivel de comandos Mucha granularidad a nivel de comandos Escalable (Plugins) Escalable (Plugins) Se necesita mucha experiencia Se necesita mucha experiencia Memparser Memparser Nace con un reto forense de RAM (DFRWS 2005) Nace con un reto forense de RAM (DFRWS 2005) Válida sólo para Windows 2000 Válida sólo para Windows 2000 Una de las más completas en cuanto a funcionalidad Una de las más completas en cuanto a funcionalidad Evoluciona a las KntTools (Pago por licencia) Evoluciona a las KntTools (Pago por licencia) Ptfinder Ptfinder Desarrollada en Perl Desarrollada en Perl Extrae información sobre procesos, threads y procesos ocultos (DKOM) Extrae información sobre procesos, threads y procesos ocultos (DKOM) Interpretación gráfica de la memoria Interpretación gráfica de la memoria Válida para W2K, XP,XPSP2, W2K3 Válida para W2K, XP,XPSP2, W2K3

22 Detección de procesos ocultos Wmft Wmft Creada por Mariusz Burdach (http://forensic.seccure.net) Creada por Mariusz Burdach (http://forensic.seccure.net)http://forensic.seccure.net Demo para BlackHat 2006 Demo para BlackHat 2006 Válida para Windows 2003 Válida para Windows 2003 Memory Analisys Tools Memory Analisys Tools Creada por Harlan Carvey (Windows Incident Response) Creada por Harlan Carvey (Windows Incident Response) Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158) Disponibles en Sourceforge (http://sourceforge.net/project/showfiles.php?group_id=164158)http://sourceforge.net/project/showfiles.php?group_id= Válida para Windows 2000 Válida para Windows 2000 Similar a Memparser Similar a Memparser

23 Conexiones de Red Volatools Volatools Desarrollada por Komoku Inc Desarrollada por Komoku Inc Proyecto vivo! Proyecto vivo! POC capaz de buscar sockets, puertos, direcciones IP, etc.. POC capaz de buscar sockets, puertos, direcciones IP, etc.. Válida hasta XP SP3 Válida hasta XP SP3

24 [DEMO] Análisis Estructurado Análisis Estructurado Extracción de procesos Extracción de procesos Detección de procesos ocultos Detección de procesos ocultos Extracción de imágenes de ficheros Extracción de imágenes de ficheros Conexiones de red Conexiones de red

25 Representación gráfica Ptfinder Ptfinder En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. En todas sus versiones, esta herramienta es capaz de representar gráficamente el estado de la memoria. Podemos analizar qué procesos son los padres y cuáles los hijos Podemos analizar qué procesos son los padres y cuáles los hijos Ideal para proyectos forenses Ideal para proyectos forenses

26 [DEMO] Listar procesos en Windows Vista SP1 Listar procesos en Windows Vista SP1 Representación gráfica Representación gráfica

27 Conclusiones Cifrado de RAM Cifrado de RAM Cumplimiento de LOPD? Cumplimiento de LOPD? Ficheros temporales Ficheros temporales ¿Es sólo la RAM? ¿Es sólo la RAM? Ficheros temporales de: Ficheros temporales de: Documentos ofimáticos Documentos ofimáticos Hyberfil.sys Hyberfil.sys Impresión de documentos Impresión de documentos

28 Herramientas Pstools (Sysinternals) Pstools (Sysinternals) PtFinder PtFinder Windbg Windbg Memparser Memparser Volatools Volatools https://www.volatilesystems.com/ https://www.volatilesystems.com/ https://www.volatilesystems.com/ Wmft Wmft Hidden.dll (Plugin para Windbg) Hidden.dll (Plugin para Windbg)

29 Referencias Introducción a la informática forense en entornos Windows Introducción a la informática forense en entornos Windows Autor: Silverhack Introducción a la informática forense en entornos Windows 2ª parte Introducción a la informática forense en entornos Windows 2ª parte Autor: Silverhack Introducción a la informática forense en entornos Windows 3ª parte Introducción a la informática forense en entornos Windows 3ª parte Autor: Silverhack Formas de Analizar un Virus Formas de Analizar un Virus Autor: Juan Garrido Comportamiento Virus Plataformas Windows Comportamiento Virus Plataformas Windows Autor: Silverhack

30 Retos Forenses

31 WebCast Microsoft Análisis Forense Sistemas Windows Análisis Forense Sistemas Windows Ponente: Juan Luis Rambla (MVP Security Informática 64) Url WebCast EventID= &EventCategory=4&culture=es- ES&CountryCode=ES EventID= &EventCategory=4&culture=es- ES&CountryCode=ES Análisis Forense entorno Malware Análisis Forense entorno Malware Ponente: Juan Luis Rambla (MVP Security Informática 64) Url WebCast EventID= &EventCategory=5&culture=es- VE&CountryCode=VE EventID= &EventCategory=5&culture=es- VE&CountryCode=VE

32 TechNews de Informática 64 Suscripción gratuita en Suscripción gratuita en

33

34

35 Elhacker.net

36 Gracias! ;-)


Descargar ppt "Análisis forense memoria RAM Juan Garrido Consultor seguridad y sistemas I64"

Presentaciones similares


Anuncios Google