1 / 27

Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones

Código: HOL-SEG05. Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones. Juan Garrido Caballero. Agenda. Definición de análisis forense Buenas prácticas a la hora de analizar datos Análisis logs en aplicaciones Análisis logs en Sistema Operativo

nirav
Download Presentation

Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL-SEG05 Análisis Forense. Análisis de logs en Windows. Escenario de uso de intrusiones Juan Garrido Caballero

  2. Agenda • Definición de análisis forense • Buenas prácticas a la hora de analizar datos • Análisis logs en aplicaciones • Análisis logs en Sistema Operativo • Análisis sintáctico de Logs • Herramientas utilizadas

  3. Análisis forense. A qué nos ayuda • Conocer qué ha pasado • Determinar la cuantía de daños • Determinar el alcance de daños • Nos previene de futuros acontecimientos • Mitiga el riesgo

  4. Ciencia forense. Descripción • Aplicada para descubrir la verdad • Personal autorizado para recolectar evidencias • Localizar e identificar las evidencias • Recolectar documentación sobre el entorno • Reconstrucción de la amenaza • Qué • Por qué • Quién • Cómo • Cuándo • Dónde • Presentación

  5. Principio de Locard Cada contacto deja un rastro

  6. La importancia de los Logs • Contiene información sobre la aplicación • Información sobre qué hace la aplicación por debajo • Registro de usuarios • Passwords • Fecha y hora de acceso a la información • Direcciones IP • Etc.…

  7. Archivos Log importantes • IIS (Internet Information Server) • Visor de eventos • Windows Update • TimeLine de ficheros • Prefetch • Tablas ARP • Logs SQL Server • Logs MYSQL • Archivos de registro de Windows • SAM, SYSTEM, SOFTWARE, etc.…

  8. Información en el sistema operativo • Papelera de reciclaje • Archivo de paginación • Restauración del sistema • Reconstrucción de la bitácora de navegación • Archivos temporales • Documentos recientes • Etc..

  9. Listar archivos Si sabemos con cierta seguridad cuándo se ha realizado un ataque, podemos sacar una lista con los ficheros que hay en el sistema operativo. DIR /t: a /a /s /o: d c:\ >Directory.txt &date /t >>Directory.txt &time /t >>Directory.txt /t:a  Nos muestra el campo del último acceso (Fecha) /a    Muestra todos los ficheros /s    Muestra todos los archivos del directorio especificado, incluidos los subdirectorios /o    Lista los archivos indicados d     Muestra los más antiguos primero (Por fecha y hora)

  10. Listar archivos En ocasiones esta lista puede llegar a ser interminable. MacMatch es un parser que nos ayudará a encontrar ficheros entre dos fechas Macmatch.exe c:\ -a 2006-11-10:15.00 2006-11-12:15.59

  11. Prefetching Contiene información sobre la estadística de las aplicaciones mas usadas en XP para optimizar su tiempo de carga • Estos archivos, en su interior, contiene el path de ficheros • Nos puede dar información sobre cuándo una aplicación ha sido ejecutada • Al almacenar esta caché, las aplicaciones cargan mucho más rápido • Se desaconseja eliminar el contenido de esta carpeta • Cada vez que se ejecuta una nueva aplicación, el prefetch es actualizado • Si una aplicación deja de ejecutarse en un tiempo determinado, el prefetch también es actualizado

  12. BSOD Cuando Windows encuentra una sentencia que pueda llegar a comprometer el sistema, éste se para. Esta sentencia se llama KeBugCheckEx. Esta llamada al sistema la podríamos llamar fallo de sistema, error de kernel, STOP, etc.. , y toma 5 argumentos: • Código de STOP • Cuatro parámetros que indican el código de STOP

  13. Archivos dmp Small Memory Dump.- El más pequeño de todos y el más limitado (en cuanto a investigación). Solo ocupa 64 Kb y en este archivo irá incluida la siguiente información: • El mensaje de detención, parámetros y otros datos • El contexto del procesador (PRCB) para el procesador que se colgó. • La información de proceso y contexto del kernel (EPROCESS) del proceso que se colgó. • La información de proceso y contexto del kernel (ETHREAD) del thread que se colgó. • La pila de llamadas del modo kernel para el subproceso que se colgó.  Si éste tiene un tamaño mayor que 16 Kb, sólo los primeros 16 Kb serán almacenados. • Una lista de controladores cargados • Una lista de módulos cargados y no cargados • Bloque de datos de depuración. Contiene información básica de depuración acerca del sistema. • Páginas adicionales de memoria. Windows también almacena estos datos para que así podamos obtener una mayor “versión” de lo que cascó. Esto nos ayudará a identificar mucho mejor el error ya que contienen las últimas páginas de datos a las que señalaban los registros cuando el sistema se colgó.

  14. Archivos dmp • Kernel Memory Dump Escribe el contenido de la memoria excepto los procesos • Complete Memory Dump Escribe todo el contenido de la memoria

  15. Firewall Windows Log por defecto guardado en %systemroot%\pfirewall.log

  16. EventViewer (Visor de Eventos) • Información detallada sobre el sistema • Auditoría de eventos altamente configurable • Informa sobre el uso de aplicaciones • Filtros específicos • Informa sobre elevación de privilegios y uso de los mismos • Archivos de registro guardados por defecto en directorio %systemroot%\system32\config • Eventos PowerShell, Internet Explorer, Sistema, Seguridad, Software, etc..

  17. Terminal Server Event

  18. UserPrivilegeevent

  19. Eventos en Windows Vista • Posibilidad de guardar consultas • Creación de vistas personalizadas • Suscripción de eventos • Posibilidad de adjuntar tareas

  20. Eventos en Windows Vista

  21. Eventos en Windows Vista

  22. Algunas pistas • Documentos Recientes • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

  23. Análisis bitácora de navegación • Archivos temporales • Index.dat • Cookies • Historial • Tipos de contenido

  24. Index.dat • Utilizado como índice de referencia por Internet Explorer • Ficheros con atributos “oculto” y de “sistema” • Puede contener información sobre el historial de navegación • Find /i “http ://” index.dat | sort > C:\HttpIndex.txt • Pasco • Pasco –d index.dat > index.txt

  25. Boletín quincenal TechNews

  26. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Juan Garrido Caballero • jgarrido@informatica64.com

More Related