The OWASP Foundation

http://www.owasp.org
Mauricio Urizar
murizar@open-sec.com
@MauricioUrizar
Anlisis Forense
de un
Ataque We
Mauricio Urizar
l
Trabajando los ltimos 07 aos como parte del
euipo de hac!er eticos de "pen#$ec.
l
%nstructor de cursos de &thical 'ac!ing en (er )
&cuador.
!"#$ %!erti&ed " #thical $ac'er(
!#) %!erti&ed #!-!ouncil )nstructor(
!PT# %!erti&ed Penetration Tester(
!PT# Mile* - Authorized )nstructor
OS#$ %Open-Sec #thical $ac'er(
l
&sta presentaci*n tiene como prop*sito pro+eer nicamente in,ormaci*n. -o
aplicar este material ni conocimientos sin el consentimiento e.pl/cito ue
autorice a hacerlo. 0os lectores 1participantes2 o)entes2 +identes3 asumen la
responsabilidad completa por la aplicaci*n o e.perimentaci*n de este
material )/o conocimientos presentados. &l1los3 autor1es3 uedan
e.ceptuados de cualuier reclamo directo o indirecto respecto a daos ue
puedan haber sido causados por la aplicaci*n de este material )/o
conocimientos e.puestos.
l
0a in,ormaci*n au/ e.puesta representa las opiniones ) perspecti+as propias
del autor respecto a la materia ) no representan ninguna posici*n o4cial de
alguna organizaci*n asociada.
+#S!A,-O +#
,#SPO.SA/)0)+A+#S
Por qu estoy aqu?
1uienes deen estar aqu23 ..
Escenario
Atacante
Ser4idor We
?
1ue uscamos..
)n4esti5aci6n Forense
)n4esti5acionsore un acontecimiento del pasado con el &n de
determinar las posiles causas 7 responsales de dicho
acontecimiento.
Por qu estoy aqu?
+e&nici6n de la Metodolo52a
http://www.justice.gov/usao/eousa/foia_reading_room/usab5601.pdf
Por qu estoy aqu?
Proceso Forense Tradicional
!A+#.A +# !USTO+)A
5&l (roceso 6orense %n,orm7tico consiste en recolectar datos desde un medio para
generar in,ormaci*n ue permita encontrar e+idencia de un hecho en particular8
RE!"E#!$

%denti4cacion
de "rigenes
de 9atos

&.traccion de
%magen/9atos
E%&"'&#!$

:e+isionde
%magen/9atos
&$&"#(#(

;omparacion
de 'allazgos
con <taues
conocidos

;reacion de
&+idencia
RE)!R*E

(resentacion )
$ustento de
;aso
89 - !on&5urando WeScara
!adena de !ustodia
!on&5urando el Pro:7 89 - !on&5urando WeScara
-u2a de ,ecolecci6n
de #4idencia +i5ital

!aptura de datos 4oltiles

Procesos

Puertos 7 cone:iones de red

+umpeo de memoria

Apa5ado del Sistema

#laoraci6n de )ma5en ;orense

%,F!<**=( Order o; 4olatilit7 o; di5ital e4idence
www.ietf.org/rfc/rfc3227.txt
!on&5urando el Pro:7 89 - !on&5urando WeScara
Anlisis Tra&co de ,ed
!on&5urando el Pro:7 89 - !on&5urando WeScara
Anlisis Tra&co de ,ed
+&R*, .+igita/ &dvanced Response *oo/0it1
Adquiriendo #4idencia >oltil
2tr34co//ect.bat5 +ata o//ection (cript
Adquiriendo #4idencia >oltil
Por qu estoy aqu?
Adquiriendo #4idencia >oltil
)n;ormaci6n de pro4eniente del sistema
operati4o 7 medios de almacenamiento
electr6nicos que pierden los datos al ser
apa5ados
!$$(&$
Lista conexiones de red para identificar equipos remotos
conectados en el momento de la captura de la memoria
RAM.
Analizando memoria ,AM
+"""#(*
Lista los archivos !LL" cargados de un proceso en particular
Analizando memoria ,AM
(R#)* %ER#6#& E$ 7!!7"E
Analizando memoria ,AM
Analizando memoria ,AM
+""+'8)
#xtrae los !LL desde el espacio de memoria del proceso
$ lo descarga en el disco para el an%lisis.
Analizando memoria ,AM
Por qu estoy aqu?
Adquiriendo #4idencia >oltil
)n;ormacion pro4eniente de medios de
almacenamiento electronicos o ma5neticos
que no pierden los datos al quedarse sin
ener5ia
Por qu estoy aqu?
Spider plu5-in
'ti/i9ar 2writeb/oc0ers5
.si es posib/e1
Adem%s de prevenir la
escritura accidental en el
origen& algunos de estos
dispositivos pueden acelerar
la transferencia de datos
haciendo mas r%pida la
o'tenci(n de la imagen
Adquisici6n )ma5en Forense
!adena de !ustodia...
Analizar ima5en con herramientas ;orenses

&.aminar archi+os conocidos de e+idencias 1-TU$&T.9<T2

$=$T&M2 $"6T><:&2 &T;..3

&.aminar ,echas de archi+os 1timeline3

;omprobar so,tware malicioso en la :<M

&.aminar archi+os eliminados

:ealizar bsuedas de cadenas 1strings3

<nalizar encabezados archi+os 14le car+ing3

Es:uema *radiciona/
&d:uisici;n / &na/i9ando #magen &d:uirida

)ma5en Forense

+isco !onectado
&na/i9ando #magen &d:uirida
&na/i9ando Registros .hives1 de <indows
&rchivos onocidos

&ntender el ?ujo @normal@ de la aplicaci*n

<rchi+os de registro 1logs3:

$er+idor web

$er+idor de <plicaciones

$er+idor de Aase de 9atos

<plicaci*n

<rchi+os de con4guraci*n de la aplicaci*n ) ser+idor

%denti4car posibles anomal/as:

&ntradas maliciosas desde el cliente

%nterrupciones de las tendencias normales de acceso a

%nternet

;abeceras 'TT( inusuales

;ambios a mitad de la sesi*n a los +alores de coo!ie.

Es:uema <eb
Reporte

0as aplicaciones web son a menudo cr/ticas)el tiempo de inacti+idad para realizar la aduisici*n
deunaimagen.Oesunaopciondesdeel punto de 4ista deelne5ocio.

0as aplicaciones web se distribu)en a menudo a tra+Bs de mltiples ser+idores.

$er+idores de bases de datos por lo general tienen grandes arreglos de discos.

E/ proceso 2standard5 no siempre funciona
=
Atacante
Ser4idor We
?
onc/usiones
>
"><$( >orld
P,#-U.TAS?@O
!OM#.TA,)OS
MauricioUrizar
murizar@open-sec.com
@MauricioUrizar