Análisis Forense
Mostrando entradas con la etiqueta Análisis Forense. Mostrar todas las entradas
Mostrando entradas con la etiqueta Análisis Forense. Mostrar todas las entradas

BRO: herramienta para analizar el tráfico de red


Una de las partes fundamentales en el análisis dinámico de códigos maliciosos es la obtención de información a partir de una captura de tráfico. Para lograr este objetivo además de las opciones para hacer gráficos, el uso de filtros Wireshark para detectar actividad maliciosa  suele ser una de las alternativas más utilizada.

Pero no es la única herramienta para lograrlo, por ejemplo Malcom permite examinar estructuras de redes maliciosas facilitando el análisis de las relaciones entre las diversas direcciones IP, dominios y servidores DNS que toman parte en una comunicación C&C, permitiendo procesar rápidamente los datos recolectados y creando gráficos intuitivos que ponen en evidencia las conexiones entre equipos en red. Otra interesante opción para analizar archivos pcap es CapTipper, desarrollada en Python tiene una serie de características que facilita la lectura de estos archivos permitiendo ahorrar tiempo y optimizando el trabajo de auditoría.

Dentro de todo el arsenal de herramientas que se podrían encontrar para realizar este tipo de actividades encontramos Bro, pensado como un sistema de detección de instrucciones (IDS) que corre en plataformas UNIX/Linux y cuyo principal objetivo es permitir el análisis del tráfico de red en busca de actividad sospechosaDado que es una herramienta bastante útil y que por su facilidad para hacer scripts resulta bastante flexible y adaptable, sobre todo para el análisis forense de una gran cantidad de datos


Bro: Por dónde empezar

Esta herramienta permite analizar la actividad de red a nivel de aplicación para ir comparando este comportamiento con patrones que pudieran ser considerados sospechosos ya sea por el tipo de paquetes que se intercambien o las características de su contenido.

Para iniciar nuestros análisis solo debemos ejecutar el comando para copiar el repositorio directamente desde GitHub. Con estos además de asegurarnos que tenemos la última versión se nos facilitará su actualización:
git clone --recursive git://git.bro.org/org
Una vez tenemos el repositorio en nuestra máquina, solo nos queda instalar algunas dependencias y ejecutar la instalación de nuestra herramienta. Esta herramienta es conocida por sus funcionalidades de IDS, pero en este caso nos va interesar darle una mirada a las características para extraer información de las capturas de tráfico.

Dentro de las características que vale la pena resaltar en la capacidad para analizar grandes volúmenes de tráfico. El funcionamiento de la herramienta como ya lo mencionamos se hace a través de scripts, con los cuales se hace la extracción de información que se esté buscando.

Como resultado de aplicar Bro sobre un archivo pcap resultan varios archivos con información más específica y organizada de acuerdo a las características de cada script. Utilizando la opción más básica de Bro podemos obtener una gran cantidad de información discriminada por protocolos:
bro –r [ruta_archivo_pcap]
Ahora tenemos varios archivos con la información organizada de diferentes maneras. Por ejemplo en el archivo http.log se pueden encontrar filtradas las peticiones HTTP de la captura de tráfico. Como se puede ver en la siguiente imagen, algo que puede llamar la atención durante un análisis es la descarga de un archivo ejecutable:


El string que está resaltado en amarillo, nos va a permitir hacer seguimiento de este evento en particular a través de los demás archivos generados por la herramienta. Por ejemplo si vamos al archivo conn.log y buscamos esta cadena de caracteres vamos a obtener más información sobre la conexión como el momento en que se llega el primer paquete, las ip y puertos utilizados, la duración de la conexión, el origen de la conexión, entre otra información que podría resultar interesante para el análisis:


Hasta este punto con el manejo de Bro podemos obtener información similar a la que podríamos encontrar en otras herramientas como Wireshark o CapTipper, solo que organizada de una manera diferente. 

Fuente: welivesecurity
Read More

Técnicas ANTI-forenses



El material del post, más que desarrollar novedosas técnicas, sistematiza algunas ya conocidas. Y todo lo que ordene, siempre es bien recibido.


El análisis forense digital se ocupa del estudio de la adquisición, preservación y presentación de evidencias electrónicas para ser procesadas y conservadas de tal forma que puedan utilizarse como prueba legal. Se trata de entender y contestar preguntas referidas a cómo, cuándo y desde dónde se produjo el incidente, así como cuál fue su impacto y a qué afectó.



Como contracara, desde un punto de vista ético es importante entender sobre técnicas anti forenses, porque así se podrán considerar a la hora de auditarun sistema comprometido o algún incidente de seguridad.



Algunos conceptos preliminares



Para los analistas forenses, se presentan retos cada día más exigentes en cuanto al rastreo y detección de un atacante, dada la sofisticación de los intrusos en sus técnicas de evasión. El reconocimiento de las vulnerabilidades en las herramientas utilizadas por procedimientos de esta materia ha generado la aparición de las llamadas técnicas anti forenses, que son definidas como metodologías para comprometer la disponibilidad de la evidencia en un proceso forense. De esta forma, se intenta manipular el material de una pericia destruyendo, ocultando, eliminando y/o falsificando la evidencia.



Si bien existen muchas técnicas, principalmente pueden ser agrupadas en cuatro clasificaciones, que veremos a continuación.



A) Técnicas de borrado o destrucción de la información



El fin de esta técnica es imposibilitar la recuperación de las evidencias ya sea por el borrado de archivos o particiones del disco. Existen muchas aplicaciones que realizan estas tareas y son capaces de ejecutarse en la mayoría de los sistemas operativos.

Algunas se basan en el Algoritmo de Gutmann, el cual detalla las operaciones para que un archivo o directorio sea borrado en forma segura; estas aplicaciones son generalmente de escaso tamaño y portables, es decir que no precisan una instalación.


En la imagen anterior se puede visualizar el sencillo funcionamiento de estas herramientas; fácilmente es posible localizar el archivo o carpeta a eliminar e inclusive elegir la cantidad de sobre escrituras para un borrado seguro. En sistemas Linux o Unix, los códigos más utilizados no contienen una interfaz gráfica sino que se ejecutan a través de un terminal o consola como es el caso de Wipe. Para probarlo, se puede instalar con el siguiente comando:


Código: Bash
  1. usuario@maquina:~$ sudo apt-get install wipe


Posteriormente, el comando man wipe será de gran ayuda para entender cómo funciona esta aplicación.
En el caso de la información no sea eliminada por este tipo aplicaciones, entrarán en escena diferentes técnicas como el file carving o slack space, las cuales intentarán recuperar la información borrada. En algunos casos pueden servir para recuperar archivos afectados por algunas familias particulares deransomware.



En este grupo, también entran diversas técnicas vinculadas a la desactivación de logs, es decir, cuando el sistema tiene por defecto la creación de registros por eventos e incidentes, los atacantes intentarán desactivarlos para ocultar sus huellas.




B) Técnicas de ocultación de la información




Este método tiene como principal objetivo hacer invisible la evidencia para el analista. De este modo, los atacantes ocultan mensajes u objetos dentro de otros archivos, de tal forma que no se perciba su existencia.



Esta técnica, llamada esteganografía, puede llegar a ser muy eficiente de ser bien ejecutada, pero conlleva muchos riesgos para el atacante o intruso. Al no modificar la evidencia, de ser encontrada puede ser válida en una investigación formal y por lo tanto servir para la incriminación e identificación del autor de dicho ataque.




C) Técnicas de sobreescritura de metadatos




Este grupo de técnicas tiene como fin engañar, creando falsas pruebas para cubrir al verdadero autor, incriminando a terceros y por consiguiente desviando la investigación.



Si el analista descubre cuándo un atacante tuvo acceso a un sistema Windows, Mac o Unix, con frecuencia es posible determinar a qué archivos o directorios accedió. Utilizando una línea de tiempo para indicar las acciones  y clasificándolas en orden cronológico, el analista tendría un esquema de lo que fue ocurriendo en el sistema. Aunque un atacante podría borrar los contenidos de los medios de comunicación, esta acción podría atraer aún más la atención.



Otra estrategia bastante utilizada es cuando el atacante oculta sus pistas al sobrescribir los propios tiempos de acceso, de manera que la línea de tiempo no pueda construirse de forma fiable.



Existen varias herramientas comúnmente utilizadas con este fin, como ExifTool o Metasploit que en conjunto con Meterpeter permiten borrar o cambiar estos parámetros. Veamos un ejemplo:


Como se puede observar en la imagen, tenemos el archivo “líneadetiempo.txt” que mediante el comando timestomp –v  nos indica atributos de creación, último acceso y modificación.


El paso siguiente sería indicarle el archivo que se utilizará como ejemplo para sobreescribir esos metadatos; veremos el resultado final en la siguiente imagen:



Otra técnica similar y muy común es blanquear los atributos con el comando meterpreter > timestomp –b y para realizarlo de una forma recursivameterpreter > timestomp C:\\ -r.


De este modo, afectando a los archivos claves sería casi imposible generar una línea de tiempo con los incidentes ocurridos en un orden cronológico para los analistas.



Este tipo de técnicas no necesariamente implica actividad maliciosa; por ejemplo, en algunos casos se pueden utilizar estos comandos para esconder información cambiando los atributos, debido a que es muy improbable que al atacante que haya ingresado a un sistema le interese un archivo antiguo –sobre todo si no ha sido abierto y ha sido creado algunos años atrás.




D) Técnicas de cifrado de la información




Estas técnicas tienen como objetivo dificultar la lectura de datos para los analistas. Esta información puede estar vinculada a un directorio, una aplicación, una partición o inclusive una comunicación. Veamos algunos ejemplos de estas técnicas en los diversos escenarios.



Algunas herramientas muy utilizadas para cifrar archivos o particiones son Truecrypt, Bitlocker o DiskCryptor. Estas herramientas permiten mantener almacenada de una forma segura la información que ha sido cifrada, y en teoría solo se podría tener acceso a ella mediante la clave que, como es lógico, el analista no tendría.



Como vemos en la siguiente imagen, Bitlocker viene preinstalada en las versiones más actuales de Microsoft Windows masificando su uso día a día.


Cuando hablamos de códigos maliciosos, normalmente los malware se encuentran empaquetados o comprimidos con el fin de dificultar el estudio y comprensión de su funcionamiento. Existen muchas aplicaciones utilizadas con tal fin, como es el caso de UPX, PEcompact o Themida; por otra parte, también existen mecanismos antiVM que se encargan de matar la aplicación en caso de que sea ejecutada en un entorno virtualizado con el objetivo de su estudio.



E) Otras técnicas


Diversas técnicas anti forenses también se observan en las comunicaciones; de este modo se utilizan proxies con el objetivo de enmascarar la IP de un atacante. Un ejemplo muy activo de estas  técnicas lo vemos en la mayoría de los ataques e inclusive en los códigos maliciosos como CTB-Locker, que se comunican a través de Tor con su C&C.

Por otra parte, siendo aún más meticulosos, los atacantes suelen utilizar herramientas como exploits dirigidos a las herramientas de análisis forense más utilizadas entorpeciendo aún más la investigación, es por esto que es conveniente utilizar varias herramientas distintas pero con el mismo objetivo para luego comparar resultados.

Está claro que irán apareciendo nuevas técnicas anti forenses, aunque tener conocimiento de las aquí mencionadas contribuye a generar un panorama más claro para entender cabos sueltos que puedan generarse en una investigación forense.


Fuente: welivesecurity
Read More

Listado de Herramientas Forenses


  ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA 
Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.
pd Proccess Dumper - Convierte un proceso de la memoria a fichero.
FTK Imager - Permite entre otras cosas adquirir la memoria.
DumpIt - Realiza volcados de memoria a fichero.
Responder CE - Captura la memoria y permite analizarla.
Volatility - Analiza procesos y extrae información util para el analista.
RedLine - Captura la memoria y permite analizarla. Dispone de entrono gráfico.
Memorize - Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla. 

ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de unidad.

raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk

FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
MountImagePro - Permite montar imágenes de discos locales en Windows asignando una letra de unidad
CARVING Y HERRAMIENTAS DE DISCO 
Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco. 
NTFS Recovery - Permite recuperar datos y discos aún habiendo formateado el disco.
Recuva - Utilidad para la recuperación de ficheros borrados.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.
Restoration - Utilidad para la recuperación de ficheros borrados.
Rstudio - Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover - Utilidad para la recuperación de ficheros borrados.
DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.


Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.
UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT
MFT Extractor- Otra utilidad para la extracción de la MFT 
INDXParse - Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT 
MFT_Parser - Extrae y analiza la MFT
Prefetch Parser - Extrae y analiza el directorio prefetch
Winprefectchview - Extrae y analiza el directorio prefetch 

Fileassassin - Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE 
PDF Tools de Didier Stevens.
PDFStreamDumper - Esta es una herramienta gratuita para el análisis PDFs maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer - Muestra información de los procesos.
Captura BAT - Permite la monitorización de la actividad del sistema o de un ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
Radare - Framework para el uso de ingeniería inversa.
FileInsight - Framework para el uso de ingeniería inversa.
Volatility Framework con los plugins malfind2 y apihooks.
shellcode2exe - Conversor de shellcodes en binarios.

FRAMEWORKS
Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

PTK Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado. 
Log2timeline - Es un marco para la creación automática de un super línea de tiempo.
Plaso - Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.

OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
DFF - Framework con entorno gráfico para el análisis.
SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.
Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy útil.
ANÁLISIS DEL REGISTRO DE WINDOWS
Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.


RegRipper - Es una aplicación para la extracción, la correlación, y mostrar la información del registro.
WRR - Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.

Shellbag Forensics Análisis de los shellbag de windows.
Registry Decoder - Extrae y realiza correlación aun estando encendida la máquina datos del registro.


HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.

WireShark - Herramienta para la captura y análisis de paquetes de red.
NetworkMiner - Herramienta forense para el descubrimiento de información de red.
Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a 1GB de tráfico.
Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y análisis de la red.
Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.
Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.
Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.
AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.
RECUPERACIÓN DE CONTRASEÑAS
Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.

Ntpwedit - Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
Ntpasswd - Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE
pwdump7 - Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.
SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.


DISPOSITIVOS MÓVILES
Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone

iPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno gráfico.
iPhone Analyzer - Explora la estructura de archivos interna del iphone.
iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.
iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.
iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.
iPBA2 - Accede al sistema de ficheros del iphone desde entorno gráfico.

sPyphone - Explora la estructura de archivos interna.
BlackBerry

Blackberry Desktop Manager - Software de gestión de datos y backups.
Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.
Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.

MagicBerry - Puede leer, convertir y extraer la base de datos IPD.
Android

android-locdump. - Permite obtener la geolocalización.

androguard - Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC
viaforensics - Framework de utilidades para el análisis forense.

Osaf - Framework de utilidades para el análisis forense.
PRODUCTOS COMERCIALES

No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.
UFED Standard (http://www.cellebrite.com)
Oxygen Forensic (http://www.oxygen-forensic.com)
Mobile Phone Examiner (http://www.accessdata.com)
Device Seizure (http://www.paraben.com)
 
Fuente: conexioninversa.blogspot.com.ar
Read More

Grampus La herramienta ideal para los Pentesters y Forenses


Después de mucho tiempo de espera, al menos por parte del equipo de desarrollo, Grampus Beta sale a la luz.
Para los que desconozcan el proyecto, Grampus es una herramienta dirigida especialmente a analistas forenses y a pentesters en general.
La herramienta facilita la recopilación de información a traves de la extracción de metadatos de diferentes documentos y tareas de finger/foot printing

Características:
- Extracción de metadatos de documentos e imágenes, formatos soportados : Openoffice/Libreoffice, Office 2007, Office 2003, PDF, jpg, flv y gif.
- Eliminación de metadatos extraidos de diferentes documentos e imágenes.
- Tres tipos de Crawlers, entre los que se encuentra un crawler de documentos (por extensión) usando Google hacking.
- Para la tarea del fingerprinting contamos con un server banner y un escaneo mediante Shodan usando su api

Objetivos:
Como desarrolladores nuestro objetivo sería la implementación de nuevas tareas para la recopilación de información y el mantenimiento de los bugs que vayan saliendo.
Fuera de eso, queremos incentivar el desarrollo colectivo para que esta herramienta pueda ir automanteniendose y autorenovandose gracias a la colaboración de desarrolladores que usen la herramienta y así conseguir el objetivo común de una herramienta multiplataforma, estable y eficiente.

Download:
Acá dejo el enlace de nuestro grupo en bitbucket, donde podreis ir viendo los repositorios de los proyectos que vayamos iniciando:  https://bitbucket.org/grampusteam/
Descarga del Software: https://bitbucket.org/grampusteam/grampus/downloads/Grampus%20Beta.zip
User-guide: https://www.mediafire.com/view/ocz5j3hxex6br41/userguide_grampus.pdf

Este post fue realizado por Sanko
Read More
Suscribirse a: Entradas (Atom)