DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

viernes, 29 de agosto de 2008

Parte II: Analisis forense en pantallazos azules (BSOD)

Bueno, hoy vamos a ver los comandos que se pueden introducir en una consola de depuración tal y como comentabamos en el anterior post.

Para mostrar la versión de sistema: vertarget

Listar los modulos: x *!

Para mostrar información del fallo: !analyze -v


Para obtener los procesos que se estaban ejecutando hay que poner el siguiente comando:

!process 0 0Otra forma es poniendo: !dml_proc

Esta forma es la más intuitiva y funcional ya que podemos navegar por el proceso y obtener información del fallo, así como listar las direcciones de memoria y registros a punteros


Listar los procesos por sesión: !process /s 0 0

Información de sesiones: !session y !logonsession 0

Listar los módulos cargados: lm, lm t n

Estado de la memoria: !vm y !memusage

Causar un volcado completo de memoria:: .dump .crash

Forzar un reinicio (frio) del equipo: .reboot

Más información en:

http://www.software.rkuster.com/windbg/cmd.htm


Saludos....

miércoles, 27 de agosto de 2008

Parte I: Analisis forense en pantallazos azules (BSOD)

A todos nos ha pasado. ¿Quien no ha visto una famosa pantalla azul?. En la mayoria de los casos cuando se produce un fallo de estas caracteristicas achacamos el problema al maldito Windows.

Un pantallazo azul a lo contrario de la creencia popular es una parada ordenada que el sistema realiza ante un problema grave que sucede en modo kernel. Todos los sistemas operativos que se basan en kernels monolíticos, comparten el mismo espacio de memoria. (por ejemplo los dispositivos y aplicaciones básicas del sistema) y cuando se produce un fallo que puede alterar la memoria, el sistema manda una orden de parada al procesador, antes de que ocurra un fallo más grave.

Si en contra se produce un fallo en un proceso de usuario, al utilizar memoria compartida provoca el famoso 'casque' de la aplicación sin que se corrompa la memoria, tan solo se puede producir la perdida de datos de esa aplicación.

En el caso de que sea una pantalla azul y cuando se produce un error de estas caracteristicas normalmente se crea un fichero que se llama memory.dmp, el cual contiene información muy valiosa, desde que error lo ha provocado hasta los procesos y aplicaciones que estaban en uso.

Para que un sistema Windows, muestre información ante una parada del sistema hay que configurarlo previamente, en la pantalla sistema.

La información que podemos configurar son las siguientes:

  • Volcado de memoria completo: Vuelca todo el espacio de memoria sobre disco
  • Volcado de memoria del Kernel: Solo se vuelca el espacio de memoria del kernel. El fichero se almacena por defecto en %Systemroot%
  • Volcado pequeño de memoria: Solo almacena la información mínima indispensable Se almacenan en la carpeta %SystemRoot%\Minidump
Se puede utilizar esa información para detectar que ha ocurrido en el sistema o incluso para realizar un analisis forense, ya que del fichero MEMORY.DMP se puede extraer casi de todo, (en ocasiones me he encontrado con contraseñas y con el ejecutable de troyanos.)

EL ENTORNO DE PRUEBAS

Para analizar este fichero precisamos montar un entorno de prueba utilizando diversas herramientas, entre ellas el entorno de depuración de windows y su utilidad WINDBG

Vamos a comenzar primero con la instalación. Primero nos descargamos las librerias de simbolos

http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx#d

A continuación las tools

http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx#a


Seguidamente configuramos 'MiPc' para obtener un volcado completo de la memoria tal y como muestra la imagen.
Por ultimo vamos a provocar un pantallazo azul utilizando la utilidad gratuita
'NotMyfault.exe' de Marck Russinovich (sysinternals). La ejecutamos y disponemos de una preciosa pantalla azul, cuando finalice el volcado de memoria (esta creando el memory.dmp) reiniciamos la máquina y ejecutamos el Windbg, Lo configuramos para que incluya los simbolos del sistema que estan (instalados anteriormente) en c:\Windows\symbols.

Abrimos el fichero desde 'Open crash dump' y ya tenemos en marcha el entorno de depuración.



En la siguiente entrega expondremos los comandos para la depuración.

chao!!!

Una de amotos

Este verano lo disfrute con mi burra. Los viajes son agradables y placenteros.
La he 'customizado' con una ram de 4Gb y suavizado el escritorio, he cambiado la papelera y retocado el espacio en disco.

Ahora vuela.




Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...