Incident Response, Security and Forensics"

.

martes, 30 de junio de 2009

¿Café para todos?


Hola lectores,

En este mundillo existen muchas herramientas de seguridad que permiten 'empaquetarse' en un pendrive y utilizarse como si de una navaja suiza se tratase.



Se diría que es el 'todo-en-uno' o la caja de herramientas del investigador, de esta forma el analista tan solo tendría que 'enchufar' su 'pendrive' y empezar a ejecutar comandos para obtener resultados.

Muchos de nosotros como buenos informáticos empezamos a automatizar los comandos (ver post) y crear distribuciones basadas en estas herramientas. También salieron iniciativas comerciales como e-fense (los de Helix 3), e incluso Microsoft creo un 'set' de herramientas (coffe) que posteriormente entrego de forma gratuita a gobiernos, fuerzas de seguridad gubernamentales y en el caso de España, a policía nacional y Guardia Civil.

El caso es que para revisar un equipo con información volátil, se precisa disponer de nuestro conjunto preferido de utilidades.

Hoy quiero compartir con vosotros algunas de ellas y mis comentarios al respecto.

De COFFE se ha dicho de todo, desde que 'Microsoft crea un pendrive que rompe las contraseñas' hasta que con esta utilidad se acaba la ciberdelincuencia (sin comentarios).

COFFE es un dispositivo USB que dispone de más de 150 comandos que facilitan la obtención de pruebas volátiles en una máquina sospechosa. Permite, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello puede realizarse in situ.

En esa línea quiero comentar dos utilidades 'free' (seguro que hay muchas más) que se enmarcan dentro de lo que es una obtención de información de forma automatizada con objeto de analizar un equipo presumiblemente comprometido.

la primera de ellas es RAPIER.

RAPIER es un framework Open Source realizado en VBScript que se apoya en utilidades externas para la obtención de información. Dispone de entorno gráfico y de programas compilados para que sea portable.

Las pruebas realizadas han sido muy satisfactorias en cuanto a comparación con Coffe y no deja nada que envidiar.

Entre las cosas que me gustan, esta su modularidad, es decir podemos cargar y ejecutar módulos más allá de la obtención de pruebas. Por ejemplo:

  • ADS. Escanea en busca de NTFS Alternate Data Streams
  • ddPhySMem. Realiza un DUMP de memoria
  • DumpProcs. Realiza un DUMP de un proceso determinado
  • HiddenFiles. Lista los ficheros ocultos y los ordena por fechas de acceso
  • AVScan. Permite escanear en línea de comandos ficheros con Malware
  • FileCapture. Una funcionalidad que permite buscar ficheros basados en patrones
  • L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal

La otra herramienta es MIR-ROR

Como la anterior es un conjunto de scripts basada en línea de comandos que llama a herramientas específicas de Windows Sysinternals, así como alguna otra herramienta (exactamente del Kit de recursos de Windows 2003) .

También se puede modificar o añadir fácilmente con cualquier otra herramienta que nos sintamos cómodos. Por ejemplo he incluido algunas utilidades de la web de NIRSOFT para revelar contraseñas o ver información con USBview y WirelessNetView

Particularmente he de decir que la utilización de estas herramientas son muy sencillas y muy automatizables e inclusive en algún caso muy necesarias, pero en contra 'hace mucho ruido', es decir modifican y alteran muchos aspectos del sistema operativo
. Si necesitamos utilizar integridad en un equipo, no empleemos estas utilidades.

Por otro lado, los que utilizan coffe, comentan que está bien pero que 'cojea' a la hora de realizar la interpretación del análisis. Verdad como un templo.

Este tipo de utilidades, así como Coffe, Rapier y Mir-ror, generan un informe, pero es cuestión del investigador crear un 'timeline' y documentar el caso y las incidencias, volviendo incluso a repetir la prueba de forma manual.

Estas herramientas son un escalón más en el análisis forense y deberían de complementarse con otras del tipo Volatility, FTK, X-Ways, First Response, EnCase, etc..

2 comentarios:

Tengo una duda sobre kits forenses, que seguro, me puedes solucionar. Tiempo atrás desarrolle una herramienta (disculpas por el SPAM) llamada CertDump para analizar los contenedores criptográficos de Windows, exportaba los certificados que iba encontrando y si las keys eran exportables y no tenian clave, tambien. Mi duda es: ¿Existen herramientas forenses con esa filosofía? o tal vez ese aspecto no sea relevante en una investigación. (Cuando desarrollé esa herramienta, mi propósito era otro) Un saludo

Yago,

Actualmente los kits que existen con capacidades para temas con criptografías son muy limitados y casi siempre pasa por producto comercial, entre ellos destaco EnCase, el más completo a mi parecer y con el que más me manejo. En contra está su elevado precio., solo apto para empresas.

Por experiencia es muy raro tener que llegar a detalles reaccionado con la cripto, dado que muchos casos (por no decir todos) se averigua que es lo que hizo el equipo sospechoso sin llegar a utilizar u obtener mas información dado que los malos, son muy malos y todavía no saben ocultar pruebas o utilizar cifrado

También decirte que de los casos forenses tan solo en dos he precisado obtener información de los contenedores criptográficos y entre ellos emplee tu herramienta con buenos resultados.