análisis forense básico
DESCRIPTION
Análisis Forense Básico. Índice. Parte I Como está el Patio Necesidades ¿Que nos hemos propuesto? Detección de intrusiones en ASyC ¿Qué deberíamos hacer? Gestión de Incidentes Parte II Cronología de una intrusión Rootkits Eliminación de rootkits - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/1.jpg)
Análisis Forense Básico
![Page 2: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/2.jpg)
Índice
Parte I– Como está el Patio– Necesidades– ¿Que nos hemos propuesto?– Detección de intrusiones en ASyC– ¿Qué deberíamos hacer?– Gestión de Incidentes
Parte II– Cronología de una intrusión– Rootkits– Eliminación de rootkits– Pasos a seguir para la puesta en marcha de un sistema
Parte III– Teoria
Recopilación de Evidencias Tipos de Evidencias EnREDA
Parte IV– Caso Práctico
![Page 3: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/3.jpg)
Parte I
Internet y los Virus
![Page 4: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/4.jpg)
Como está el patio (en Internet)
En estos momentos– Estan colaborando
Creadores de virus y Spammers Creadores de virus y Scammers
– Amenazas crecientes Spyware
– La delincuencia internacional Bots, phising, y pharming Declaración de guerra. Bagle, 2004 (“NetSky…don’t
ruine our bussiness, wanna start a war”)
![Page 5: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/5.jpg)
Como está el patio (en Internet)
Objetivos y Técnicas– Amenazar la disponibilidad
Conseguir que equipos/empresas dejen de dar servicios– Ataques a páginas Web– Infecciones masivas
Su motivación– El reto– El perjuicio económico
– Amenazar la imagen Conseguir que la info sea modificada o posibilitar su sustitución
– Deface– Ingeniería Inversa
![Page 6: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/6.jpg)
Como está el patio (en Internet)
Su motivación– Desestabilización– Daño a la imagen corporativa (Caso Disney)
– Amenazar la confidencialidad Conseguir datos personales del ciudadano
– Phising, pharming– Nuevos gusanos, troyanos– Spywares
– Su motivación Económica
![Page 7: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/7.jpg)
Como está el patio (UC3M)
Tenemos de tó– Tenemos escaneos, tenemos troyanos, tenemos
infecciones, tenemos rootkits…
Ultima moda. Instalación de servidores FXP.– Aprovechan alguna vulnerabilidad para tomar
control remoto del equipo– Introducen y sacan contenidos del equipo de
temática variada de forma transparente al usuario
![Page 8: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/8.jpg)
Necesidades
Creciente nº de virus/troyanos/… que impactan en la red Detección de incidentes día a día
– Reportados por RedIris– Revisión constante de varias herramientas
MRTG (flujos anormales de tráfico) TCPDump (detección de patrones anómalos) Snort (Sonda que detecta firmas de ataques) Nessus (audita la red buscando ciertos vulnerabilidades) Nmap Creación de scripts propios para la detección “automática” de cierto
tipo de incidentes (FXP)– Ninguna herramienta es completa, y, por ello, es necesario utilizar
un conjunto de ellas. En resumen, el 95% de nuestro tiempo dedicado a tareas
rutinarias y el mayor % de tiempo del CAU, Aulas, SinTela dedicado a formatear/limpiar equipos infectados.
![Page 9: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/9.jpg)
¿Que nos hemos propuesto?
Mejorar el servicio que se presta al usuario– Proporcionando el conocimiento que ha adquirido
ASyC Herramientas empleadas Experiencias en ASyC
– Tipos y características de los programas maliciosos analizados
¿Existe una solución para todos los casos?
![Page 10: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/10.jpg)
Detección de intrusiones en ASyC
Síntomas de que algo va mal– Escaneos masivos– Conexiones desde el exterior a puertos
empleados por troyanos– Alertas en el IDS– Aumento del ancho de banda empleado por un
equipo
![Page 11: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/11.jpg)
Detección de intrusiones en ASyC
Herramientas empleadas– IDS:
Basados en snort, uno por campus– Escaneos:
Logs de cortafuegos basados en iptables/ipfilter IDS Tcpdump
– Ancho de banda MRTG, ipfm y NeTraMet
– Auditorías puntuales Remotas: nmap, nessus Locales: sic, wolf, otros (fport, handle, listdll, etc)
![Page 12: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/12.jpg)
Detección de intrusiones en ASyC
Escaneo de puertos. Intento de propagación de virus/troyano...
2005-04-16 15:16:59.591106 IP 163.117.XXX.246.1223 > 163.117.233.6.135: S 1592499298:1592499298(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.591133 IP 163.117.XXX.246.1226 > 163.117.92.43.135: S 1592634287:1592634287(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.647617 IP 163.117.XXX.246.1159 > 163.117.112.99.135: S 1588692861:1588692861(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.648432 IP 163.117.XXX.246.1227 > 163.117.216.128.135: S 1592705103:1592705103(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.648458 IP 163.117.XXX.246.1228 > 163.117.81.138.135: S 1592742646:1592742646(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.678858 IP 163.117.XXX.246.1230 > 163.117.73.97.135: S 1592860394:1592860394(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.748585 IP 163.117.XXX.246.1160 > 163.117.61.62.135: S 1588770848:1588770848(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.748612 IP 163.117.XXX.246.1161 > 163.117.185.111.135: S 1588807355:1588807355(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.778426 IP 163.117.XXX.246.1233 > 163.117.227.114.135: S 1593033933:1593033933(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.849198 IP 163.117.XXX.246.1234 > 163.117.123.234.135: S 1593120565:1593120565(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:16:59.968975 IP 163.117.XXX.246.1239 > 163.117.67.181.135: S 1593417015:1593417015(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.048543 IP 163.117.XXX.246.1166 > 163.117.105.103.135: S 1589103666:1589103666(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.048565 IP 163.117.XXX.246.1167 > 163.117.199.149.135: S 1589146613:1589146613(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.089038 IP 163.117.XXX.246.1241 > 163.117.124.18.135: S 1593544839:1593544839(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.148978 IP 163.117.XXX.246.1168 > 163.117.175.72.135: S 1589227911:1589227911(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.159861 IP 163.117.XXX.246.1242 > 163.117.105.240.135: S 1593624048:1593624048(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.159896 IP 163.117.XXX.246.1243 > 163.117.200.219.135: S 1593672198:1593672198(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.248889 IP 163.117.XXX.246.1170 > 163.117.194.29.135: S 1589339928:1589339928(0) win 64240 <mss 1460,nop,nop,sackOK>2005-04-16 15:17:00.248922 IP 163.117.XXX.246.1172 > 163.117.123.117.135: S 1589457978:1589457978(0) win 64240 <mss 1460,nop,nop,sackOK>…………………….
![Page 13: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/13.jpg)
Servicios en puertos habituales. Resultado Correcto
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-04-18 17:35 CEST
Interesting ports on pc-X-116.uc3m.es (163.117.X.116):
(The 65529 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc Puerto NETBIOS
139/tcp open netbios-ssn Puerto NETBIOS
445/tcp open microsoft-ds Puerto NETBIOS
2701/tcp open unknown Puerto para control SMS
2702/tcp open unknown Puerto para control SMS
10000/tcp open snet-sensor-mgmt Puerto del ANTIVIRUS (antg. 12345)
Detección de intrusiones en ASyC
![Page 14: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/14.jpg)
Detección de intrusiones en ASyC
• Servicios en puertos habituales. Resultado extraño. Investigar
Interesting ports on abc.uc3m.es (163.117.XXX.246):
(The 65526 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
3033/tcp open unknown ????
3306/tcp open mysql ????
3389/tcp open ms-term-serv
3950/tcp open unknown ????
5000/tcp open UPnP Debería estar cerrado. NO es necesario.
![Page 15: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/15.jpg)
Detección de intrusiones en ASyC
mipc:/home/itovar# telnet 163.117.XXX.246 3033
Trying 163.117.XXX.246...
Connected to 163.117.XXX.246.
Escape character is '^]'.
mipc:/home/itovar# telnet 163.117.XXX.246 3950
Trying 163.117.XXX.246...
Connected to 163.117.XXX.246.
Escape character is '^]'.
220 ExtremeFXP presents...
quit
221 Goodbye!
Connection closed by foreign host
• Comprobamos los puertos que nos resultan extraños
![Page 16: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/16.jpg)
Detección de intrusiones en ASyC
• Si no nos quedara muy claro lo que hay en ese puerto, podemos utilizar Nessus.
• Resultado del informe nessus (resumen)
Host Holes Warnings Open ports State
163.117.XXX.246 2 27 13 Finished
Service Severity Descriptionloc-srv (135/udp) High …. ms03-043.mspx (15/10/2003)
General/tcp High …. ms04-022.mspx (13/07/2004)
Listen (1025/tcp) Low mstask.exe
Mysql (3306/tcp) Low Remote mySql
Fics (5000/tcp) Low Microsoft UPnP TCP helper
Unknown (3950/tcp) Low A FTP server running on this port
![Page 17: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/17.jpg)
Detección de intrusiones en ASyC
Volumen normal
Volumen anormal. Investigar maquinas implicadas.
![Page 18: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/18.jpg)
Detección de intrusiones en ASyC
¿Qué estamos haciendo desde ASyC?– Scripts y reglas que nos permitan automatizar la detección.– Es una investigación continua sobre comportamientos de
los nuevos virus/troyanos. Vamos por detrás– Implica tener que desarrollar herramientas propias que se
adapten a nuestro entorno y al “ataque”– Buscando soluciones de prevención
Appliance de TrendMicro (NVW) Appliance Checkpoint (Interspect)
![Page 19: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/19.jpg)
Detección de Intrusión desde PC usuario
Puede haber varios escenarios– El antivirus lo detecta
Lo limpia No es capaz de limpiarlo -> limpieza “manual”
El antivirus no detecta nada Porque no ha salido el patrón correspondiente Porque no es capaz (un serv. ftp no es malo)
– ¿Solo tiene el servidor ftp?¿Con cerrar el servicio basta?
![Page 20: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/20.jpg)
¿Qué deberíamos hacer?
Explicar al usuario lo que está sucediendo en su equipo
– Si es posible limpiar– Sino, justificar porque es necesario reinstalar
Dejar el sistema con los niveles de seguridad mínimos
– Antivirus, cortafuegos, actualizaciones, contraseñas– Cerrar todos aquellos servicios que no sean necesarios
Estamos seguros a día de hoy, pero mañana?– Debemos estar informados y actualizados.
![Page 21: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/21.jpg)
Conclusión
La necesidad primaria es la protección del usuario y sus datos personales
¿Qué se puede hacer desde todas las áreas?– “Evangelización” del usuario. (formar/informar)
Endurecimiento de la legislación Aplicación de Normativas por parte del SdI
No olvidemos que la información vale dinero. Existen mafias internacionales que sacan partido de esto
PROTEJAMOS LOS PC’S
![Page 22: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/22.jpg)
Gestión de Incidentes
Existe una nueva herramienta https://asyc.uc3m.es
– Seguridad Desconexiones de Red
– Listado de Desconexiones -> antiguo– Buscar Incidentes -> Nuevo!
Creación de un incidente, correo con copia– A la persona, si fuera conocida– Al director del departamento al que pertenece– Al representante del departamento en el Consejo Informático– A JMM– A Isabel Barro– Al Cau del campus correspondiente – Al grupo de redes y comunicaciones (ASyC)
![Page 23: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/23.jpg)
Gestión de Incidentes
Hay que validarse en la página principal– Si pertenece al SdI
Se puede hacer búsqueda de incidentes
– Si no pertenece al SdI Se pueden buscar los incidentes que tiene la persona
– En próxima versiones Se darán permisos a los miembros de Sintela para poder
consultar los incidentes relacionados con su departamento. Solo se enviará correo al CAU si dan servicio al departamento
implicado.
![Page 24: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/24.jpg)
Gestión de Incidentes
![Page 25: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/25.jpg)
Parte II
Las Intrusiones
![Page 26: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/26.jpg)
Cronología de una intrusión
Depende del tipo de intrusión– Virus/gusano:
Cronología:1. Se descubre una vulnerabilidad en el sistema2. El fabricante libera la actualización correspondiente3. El virus se difunde (a veces antes que el punto 2)4. El patrón del antivirus lo detecta y elimina
Características- Suelen desactivar el antivirus, al menos de forma puntual- No se ocultan demasiado- No suele afectar a equipos actualizados
![Page 27: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/27.jpg)
Cronología de una intrusión
– Asalto realizado por una persona física Aprovechan vulnerabilidades más o menos recientes Puede que el antivirus no lo detecte (basta con modificar un
poco el programa) La intrusión se adapta al equipo asaltado Incluyen varias puertas traseras y herramientas de
administración remota– Dameware, VNC, etc
Ocultan todos sus procesos, ficheros, conexiones, etc– Para ello utilizan rootkits conocidos– Algunos rootkits puede detectarlos el antivirus en el momento
de la instalación En algunos casos incluyen key-loggers
![Page 28: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/28.jpg)
Actualizaciones y vulnerabilidades
¿Puede vulnerarse un sistema con todos los parches instalados?– Por desgracia si
El fabricante no corrige las vulnerabilidades de forma instantánea
A veces el parche introduce una vulnerabilidad más grave
Pero, con Windows 2003 eso no pasa...
![Page 29: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/29.jpg)
Pues va a ser que si
Informe de Secunia, 18 de Abril de 2005– 5 vulnerabilidades pendientes de corregir– 1 de ellas permite heap-overflow (gestión de
ficheros .HLP) y eso se considera Highly Critical
![Page 30: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/30.jpg)
Windows 2000 Profesional
17 vulnerabilidades pendientes– 2 de ellas son Highly Critical
![Page 31: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/31.jpg)
Las comparaciones son odiosas
GNU/Debian 3.0– 519 vulnerabilidades, 1 pendiente (permite
escalada de privilegios y se considera Moderately Critical)
![Page 32: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/32.jpg)
Rootkits
Herramienta o conjunto de herramientas para ocultar la actividad de un intruso
Los hay para todos los sistemas operativos Procesos, conexiones, archivos Suelen proporcionar una puerta trasera de acceso.
Tipos:– Simples:
Versiones modificadas de los comandos del sistema operativo– Detectables con herramientas de gestión de integridad de
ficheros, aunque es necesaria la firma previa.
![Page 33: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/33.jpg)
Rootkits (y II)
Tipos:– Kernel:
Modifican las estructuras de memoria del kernel– Se cargan como drivers, u otros módulos– Parchean las llamadas al sistema– No necesariamente necesitan ficheros residentes
Más difíciles de detectar– Las herramientas anteriores no sirven– Técnicas basadas en heurística
![Page 34: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/34.jpg)
Eliminación de rootkits
Algunos rootkits son detectables, pero no todos– Para ello se necesita una línea base o foto inicial– Sin esa foto es más laborioso– Aún así, sólo
“Estoy seguro de que NO se si he detectado todo” ¿Compensa limpiar?
– Sólo si nos lleva menos tiempo que reinstalar p.e. en servidores complejos
La única buena solución– Formatear y reinstalar de forma segura
![Page 35: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/35.jpg)
Pasos a Seguir
Cada vez que se instale/reinstale un equipo – Debemos hacerlo desde la red incubadora– Una vez instalado cerramos todos aquellos servicios que
no vayamos a utilizar (telnet server, pnp,...)– Aplicamos parches correspondientes. OJO, no solo del S.O
(windowsupdate) también de los programas que hayamos instalado (IIS, Oracle, SqlServer...)
– Instalamos Antivirus y lo actualizamos– Ponemos passwords decentes. No dejamos nada por
defecto.– Ejecutamos MBSA (Microsoft Baseline Security Analizer)– Si estamos seguros de que todo está ok
Pasamos el equipo a la red correspondiente.
![Page 36: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/36.jpg)
PARTE IIIEstado de un equipo no asaltado
![Page 37: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/37.jpg)
Teoría: Recogida de evidencias
●No utilizar las herramientas del sistema● Podrían haber sido alteradas
●No ser intrusivo● Utilizar un CD o disquete con los ejecutables
enlazados estáticamente● No alterar el contenido del disco
● No instalar programas, ni volcar salida de programas a disco duro
● Utilizar un disquete para almacenar la salida de los programas.
![Page 38: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/38.jpg)
Teoría: Tipos de evidencias
Registros CPU
Memoria Cache
Memoria
– Módulos del SO
– Controladores dispositivos
– Programas en ejecución
– Conexiones activas
Disco
Vol
atili
dad
![Page 39: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/39.jpg)
EnREDAEntorno de Recogida de Evidencias Digitales y Análisis
CD de análisis desarrollado por ASyC, en colaboración con RedIRIS– Contiene herramientas para análisis– Todavía en fase de desarrollo
Sirve de foto inicial– Contiene los informes de los equipos con la COM
Windows 2000 (1103 y 0604) Windows XP (0305 y 0405)
Hace la foto del sistema en el disquete– Mediante el script win32\analiza.bat
![Page 40: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/40.jpg)
EnREDA: Aspectos técnicos
CD-live,basado en Debian– Creado mediante bootcdwrite– El directorio win32 con los programas para
Windows Autorun.inf inicia el script win32\analiza.bat
– La parte Linux esta más verde Usuarios:
– root, locard– locard, locard
Inicio de X-Window, startxfce4
![Page 41: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/41.jpg)
Insertar un disquete vacío en la disquetera A:
Insertar el EnREDA en el lector de CD
Pulsar una tecla (que no sea <Enter>
EnREDA en acción
![Page 42: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/42.jpg)
EnREDA en acción
Tras unos 12 minutos...
![Page 43: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/43.jpg)
EnREDA en acción
Contenido del disquete– informe.txt– cports.txt– rootkit.txt– siclog.txt– wul.txt– *.md5– *.sha1
![Page 44: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/44.jpg)
EnREDA en acción
informe.txt– www.sysinternals.com
psinfo, psfile, pslist, psservice, listdlls, handle, rootkitrevcons, sigcheck
– Microsoft netstat -na, netstat -nr, arp -a
– www.foundstone.com fport
– www.haxorcitos.com rkdetector
![Page 45: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/45.jpg)
EnREDA en acción
drivers.txt– www.nirsoft.net
driverview siclog.txt
– www.trendmicro.com sic
cports.txt– www.nirsoft.net
cports wul.txt
– www.nirsoft.net wul
![Page 46: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/46.jpg)
Algunos rootkits detectados
Disponibles en www.rootkit.com No vamos a tratar
– Como se vulnera un sistema– Como deshabilitar el antivirus de forma temporal– Como se obtienen privilegios de Administrador
Si vamos a tratar– Descripción básica del rootkit– Posibilidades de detección– Posibilidades de limpieza
![Page 47: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/47.jpg)
HackerDefender: Descripción
Se instala como driver del sistema y como servicio– La conexión a través de la red puede hacerse utilizando un
servicio ya activo (p.e. el servidor Web o los servicios de disco de Windows)
El cliente del rootkit envía una cadena (clave) al inicio de la conexión y el rootkit deriva esa conexión a un intérprete de comandos
Las restantes conexiones se transfieren al servicio oficial
– nmap no muestra abierto ningún puerto extraño
![Page 48: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/48.jpg)
HackerDefender: Detección
A través de la red, con nessus, pero....– Sólo si se han utilizado los binarios de rootkit.com
Hay que auditar todos los puertos, se puede hacer con un equipo, pero con toda la red de la universidad.
En local con rootkitrevealer/rootkitrevcons– Ver fichero rootkit.txt
![Page 49: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/49.jpg)
HackerDefender: Limpieza
Hay que:– Parar el servicio– Borrar el driver (fichero .sys)– Reiniciar en modo prueba de fallos
Que la suerte nos acompañe
![Page 50: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/50.jpg)
FURootkit: Descripción
Disponible en www.rootkit.com– Modifica estructuras del núcleo del sistema
operativo en memoria– Instala un driver en memoria– Oculta procesos
![Page 51: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/51.jpg)
FU-Rootkit: Detección
Sólo lo detecta klister– Sólo detecta procesos ocultos por FU-Rootkit– No incluida en el análisis automático– Sólo funciona en Windows 2000– Puede generar una pantalla azul
![Page 52: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/52.jpg)
FURootkit: Limpieza
Dado que es difícil de detectar– Lo mejor formatear
Quien puede asegurar que no lo tiene instalado...
![Page 53: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/53.jpg)
Conclusión
Informar al usuario para que no ocurran cosas como….
![Page 54: Análisis Forense Básico](https://reader035.vdocuments.site/reader035/viewer/2022081511/5681570d550346895dc4aebc/html5/thumbnails/54.jpg)
Parte IV
Caso Práctico