DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 17 de febrero de 2009

IMF 2009 Conference

Hola lectores,

Bueno, al final le he puesto un poco de atrevimiento y he presentado un borrador para la 5ª Conferencia Internacional sobre Respuestas ante incidentes e IT Forensics que comenzará del 15 al 17 de Septiembre en Stuttgart, Alemania.

Espero que antes de Junio me hayan aceptado, en caso contrario habrá valido la pena el intentarlo solo por lo aprendido

Si alguien está interesado os dejo el Link de las conferencias del pasado año y de este.

miércoles, 11 de febrero de 2009

El Asegúr@IT V ya está listo

Hola lectores.

Os anuncio que el próximo día 3 de Marzo se celebrará en Zaragoza el Asegúr@IT V y en la que estoy invitado como ponente por 'el maligno'. El evento tendrá lugar en en ITA, en Zaragoza

Os dejo la agenda por si es de interes y al final el Link para apuntarse (es gratis)

Día 3: El evento

En esta ocasión contaremos con David Carrasco, Alejandro "Operador" Martin (Alekusu), Carles Martín, Pedro Sanchez y el "retonno" del abuelo Parada, que como le pilla cerca de sus clientes y le gusta comer y beber más que a la abeja Maya la granja San Francisco... pues se ha apuntado. La agenda es la siguiente:

09:00 - 09:30 Registro

09:30 - 10:15 Windows 7 en casa

En esta sesión David Carrasco nos mostrará que novedades de seguridad nos aporta Windows 7 y cómo podemos meter esa Beta que se ha hecho tan amiga de todos en una red con Windows Server 2008 R2. Una sesión para jugar con un producto aun en Beta sin ningún riesgo.

10:15 - 11:00 Living in the Jungle

Las redes wifis inseguras forman parte de nuestro ecosistema. Llegar a un hotel, una ubicación pública y pagar por una conexión a Internet es algo bastante común, pero.. ¿Cuánto de inseguros estamos cuando trabajamos en una red legítima pero insegura? Alex (Operador) de Informática64 presentará una métrica para medir la inseguridad de las redes wifis y una herramienta llamada Mummy para "cuidar de ti en esos entornos".

11:00 - 11:30 Café

11:30 - 12:15 Autenticación doble factor

Los sistemas basados en contraseñas estáticas y sistemas de autorización basados en desafío respuesta han ido siendo vulnerados a la par que ha avanzado la tecnología. Sistemas como LM, NTLMv1 o v2, sistemas basados en passwords MD5 e incluso con autenticación Kerberos se han mostrado vulnerables a ciertos ataques. Carles Martín, de Quest Software mostrará cómo se atacan esos sistemas y como se pueden aplicar soluciones de autenticación multifactor para fortificar el sistema de autenticación y autorización.

12:15 - 13:00 Autopsia de una intrusión

Pedro Sánchez, responsable de seguridad de ATCA nos mostrará cuales son las técnicas habituales que tienen que utilizarse en los entornos de banca para hacer análisis forenses en ataques dirigidos a la Banca electrónica. De la necesidad de automatizar estos procesos surgió una herramienta que será mostrada.

13:00 - 13:45 VPNs SSL e IAG

Las conexiones a través de redes públicas o compartidas conllevan altos riesgos de interceptación y/o manipulación de la información transmitida. En esta sesión José Parada de Spectra hablará sobre las soluciones VPN y cómo utilizar conexiones VPN sobre SSL para evitar el filtrado de puertos en redes públicas así como autenticar la salud de un cliente que se conecta a nuestra red a través de una red VPN SSL.

13:45 - 14:00 Ruegos y preguntas

Para apuntarse podeis pulsar aquí

jueves, 5 de febrero de 2009

Forensics con Volatility

Hola lectores.

Hoy vamos a ver en un análisis forense como extraer las contraseñas de un equipo Windows XP SP2 al cual anteriormente se ha realizado una imagen completa de su disco, utilizando dd.

Hasta ahora hemos utilizado muchas herramientas, que permiten parsear la memoria y como no no podia ser menos hemos decidido utilizar otras muy conocida en el ambito forense informático. La herramienta que vamos a utilizar se llama VOLATILITY.

Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.

La distribución de este framework está disponible en:
https://www.volatilesystems.com/default/volatility

También la descarga de Python la podéis hacer desde:
http://www.python.org --> (Descargar para Windows)

Entre las características que podemos extraer están las siguientes:

- Tipo de sistema, fecha y hora
- Procesos que se estaban ejecutando
- Puertos abiertos
- Puertos conectados
- DLLs cargadas por proceso
- Ficheros cargados por procesos
- Claves del registro utilizadas en los procesos
- Modulos del Kernell
- Mapa fisico de offsets a direcciones virtuales
- Direccionamiento de memoria por proceso
- Extración de ejecutables

Todas estas carácteristicas són mas que suficientes para obtener evidencias. Ahora lo principal es disponer del entorno necesario para que funcione en Windows ya que es la plataforma que disponemos (también podría haber sido Linux, e incluso algo más sencillo para instalar), no obstante para ello necesitaremos:

Python y volatility tal y como dije anteriormente.(es recomendable poner en el path la ruta de python.exe)

Pycrypto. Este programa contiene las librerías que permite obtener los hashes de las contraseñas de los usuarios de la imágen Windows y se puede descargar desde:

http://www.voidspace.org.uk/python/modules.shtml

Una vez tenemos todo instalado podemos proceder a realizar el análisis.

NOTA: Todos los comandos están reflejados dentro de la ventana del simbolo del sistema

OBTENIENDO INFORMACION

Obtenemos el tipo de sistema, fecha y hora. Y en la siguiente pantalla los procesos que se estaban ejecutando.





También es muy importante averiguar donde estaba conectado y en la siguiente pantalla que ficheros tenían utilizando o en uso por el sistema y/o aplicaciones.





A continuación viene lo más importante, vamos a obtener una copia del registro que está en memoria y poder obtener los offset que contienen el fichero en el que se almacena el registro, para ello emplearemos los comandos 'hivescan' y 'hivelist'.

Este último nos mostrará los ficheros donde se almacenan las partes correspondientes del registro, exactamente en:

\Windows\system32\config\software
\Windows\system32\config\SAM
\Windows\system32\config\security



Una vez obtenida esta información procedemos a utilizar el comando 'hashdump' que permite extraer los hash de las cuentas creadas en la máquina



Lo ideal es pasarlo a fichero de texto e importarlo con alguna utilidad del tipo 'cain & abel' o 'samside' como en el siguiente ejemplo:




Ya solo es cuestión de tiempo en que la herramienta averigue las contraseñas.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...