DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 30 de junio de 2009

¿Café para todos?


Hola lectores,

En este mundillo existen muchas herramientas de seguridad que permiten 'empaquetarse' en un pendrive y utilizarse como si de una navaja suiza se tratase.



Se diría que es el 'todo-en-uno' o la caja de herramientas del investigador, de esta forma el analista tan solo tendría que 'enchufar' su 'pendrive' y empezar a ejecutar comandos para obtener resultados.

Muchos de nosotros como buenos informáticos empezamos a automatizar los comandos (ver post) y crear distribuciones basadas en estas herramientas. También salieron iniciativas comerciales como e-fense (los de Helix 3), e incluso Microsoft creo un 'set' de herramientas (coffe) que posteriormente entrego de forma gratuita a gobiernos, fuerzas de seguridad gubernamentales y en el caso de España, a policía nacional y Guardia Civil.

El caso es que para revisar un equipo con información volátil, se precisa disponer de nuestro conjunto preferido de utilidades.

Hoy quiero compartir con vosotros algunas de ellas y mis comentarios al respecto.

De COFFE se ha dicho de todo, desde que 'Microsoft crea un pendrive que rompe las contraseñas' hasta que con esta utilidad se acaba la ciberdelincuencia (sin comentarios).

COFFE es un dispositivo USB que dispone de más de 150 comandos que facilitan la obtención de pruebas volátiles en una máquina sospechosa. Permite, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello puede realizarse in situ.

En esa línea quiero comentar dos utilidades 'free' (seguro que hay muchas más) que se enmarcan dentro de lo que es una obtención de información de forma automatizada con objeto de analizar un equipo presumiblemente comprometido.

la primera de ellas es RAPIER.

RAPIER es un framework Open Source realizado en VBScript que se apoya en utilidades externas para la obtención de información. Dispone de entorno gráfico y de programas compilados para que sea portable.

Las pruebas realizadas han sido muy satisfactorias en cuanto a comparación con Coffe y no deja nada que envidiar.

Entre las cosas que me gustan, esta su modularidad, es decir podemos cargar y ejecutar módulos más allá de la obtención de pruebas. Por ejemplo:

  • ADS. Escanea en busca de NTFS Alternate Data Streams
  • ddPhySMem. Realiza un DUMP de memoria
  • DumpProcs. Realiza un DUMP de un proceso determinado
  • HiddenFiles. Lista los ficheros ocultos y los ordena por fechas de acceso
  • AVScan. Permite escanear en línea de comandos ficheros con Malware
  • FileCapture. Una funcionalidad que permite buscar ficheros basados en patrones
  • L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal

La otra herramienta es MIR-ROR

Como la anterior es un conjunto de scripts basada en línea de comandos que llama a herramientas específicas de Windows Sysinternals, así como alguna otra herramienta (exactamente del Kit de recursos de Windows 2003) .

También se puede modificar o añadir fácilmente con cualquier otra herramienta que nos sintamos cómodos. Por ejemplo he incluido algunas utilidades de la web de NIRSOFT para revelar contraseñas o ver información con USBview y WirelessNetView

Particularmente he de decir que la utilización de estas herramientas son muy sencillas y muy automatizables e inclusive en algún caso muy necesarias, pero en contra 'hace mucho ruido', es decir modifican y alteran muchos aspectos del sistema operativo
. Si necesitamos utilizar integridad en un equipo, no empleemos estas utilidades.

Por otro lado, los que utilizan coffe, comentan que está bien pero que 'cojea' a la hora de realizar la interpretación del análisis. Verdad como un templo.

Este tipo de utilidades, así como Coffe, Rapier y Mir-ror, generan un informe, pero es cuestión del investigador crear un 'timeline' y documentar el caso y las incidencias, volviendo incluso a repetir la prueba de forma manual.

Estas herramientas son un escalón más en el análisis forense y deberían de complementarse con otras del tipo Volatility, FTK, X-Ways, First Response, EnCase, etc..

lunes, 29 de junio de 2009

Obteniendo la contraseña de la BIOS

Hola lectores,

Tengo una curiosidad que contaros.

Normalmente suelo poner contraseña a la bios en mi portátil como medida adicional de seguridad. No es que sea muy efectiva, pero es una zancadilla más en caso de que accedan al portátil estando apagado.

Hace unos días se me estropeo la placa de mi flamante lenovo X200 y tuve que quitar el disco duro y ponerlo en otro portátil que un compañero me presto. Cual fue mi mayúscula sorpresa que al iniciarlo en este nuevo portátil me pidió la contraseña (GALAXY), por su puesto que esta no es la que utilizo habitualmente.

De ello, deduje que la contraseña estaba en realidad almacenada en disco y que por algún procedimiento la solicitaba.

Esto me puso en alerta y decidí estudiar el tema. Buscando por internet, me llamo la atención un 'paper' que se presento en la anterior 'defcon' sobre las vulnerabilidades en la BIOS.

En el se explica con todo lujo de detalles como se puede obtener las contraseñas de la BIOS, también de aplicaciones de encriptamiento (PGP) y de gestores de arranque (GRUB).

Más tarde veo que el figura de Andreas Schuster escribió un articulo sobre el tema. Particularmente me llamo tanto la atención que no me ha quedado más remedio que reproducir lo que su artículo dice, pero con una diferencia, he realizado la prueba con muchos más modelos de ordenadores con el objeto de disponer una visión mucho más global

La cosa es así:

BIOS:

La BIOS puede contener tres grupos:
  • Servicios a periféricos (video, audio)
  • Servicios de estado (como la memoria y el estado de los discos)
  • Servicios adicionales (permiten activar diversas configuraciones y reiniciar el sistema)

La BIOS proporciona varios subservicios dentro de cada interrupción, por ejemplo, la 16, de video, incluye 19 subservicios, cada uno de los cuales tiene una funcionalidad específica.

La tabla de vectores de interrupción del PC se puede consultar en la web de BIOSCENTRAL, y especialmente haremos mención sin entrar en grandes explicaciones en la interrupción INT 09H e INT 16H, las dos direcciones tienen desplazamientos dentro del segmento en 41AH, 41CH y 41EH

  • 41AH, Es la dirección del inicio actual del búfer
  • 41CH, Es la dirección final del búfer
  • 41EH, Es en si, la dirección del búfer, retiene los carácteres de teclado
En estas me voy a centrar.

OBTENIENDO CONTRASEÑAS DE LA BIOS

Para reproducirlo hice lo siguiente:

  • Puse una contraseña en BIOS a mi portátil lenovo X200 (PASS: GALAXY)
  • Una vez iniciado Windows volque a disco el contenido de la memoria. Lo hice con la utilidad Win32dd y con el siguiente comando:
c:\prueba\>win32dd.exe -t 1 memoria.dmp

El parámetro '-t 1' es para que copie los bloques de memoria física.


  • Una vez creado el fichero, lo edité con un editor hexadecimal y busque la tabla de vectores de interrupción (IDT). Estos vectores són una tabla de 1024 bytes en la memoria baja, que contiene un máximo de 256 punteros a los programas que atienden las interrupciones ISR's ("Interrupt service routine")
  • Busque la dirección 41EH que corresponde al buffer de teclado y este es el resultado:



¡¡Aquí esta la contraseña!!

Este procedimiento lo realice en los siguientes modelos que si funcionaban:

  • IBM BladeCenter HS12
  • IBM Lenovo ThinkCentre
  • Acer Timeline 5810T
  • Dell XPS 630
  • Dell Inspiron
  • HP Elite 9600
  • Compaq Mini 110c

CONCLUSIONES:

Es más que evidente que la contraseña se almacena en disco. Con este paso se podría recuperar la contraseña arrancando con otro sistema operativo y realizar un copiado de disco bit a bit, para posteriormente obtenerla.

Si el disco estuviera cifrado, la cosa se complica muchísimo hasta el punto de ser casi imposible de recuperar. Por otro lado me queda la siguiente duda, ¿que ocurre si la contraseña fuera biometrica?. ¿ se podría recuperar utilizando las tecnicas de este post?.¿estará cifrada?

¿ Alguien se anima?

viernes, 12 de junio de 2009

Esta pasando...

Hola lectores,

He decidido por lo menos una vez al mes escribir un post en el que recopilo las diversas lecturas y artículos interesantes que se encuentran por internet, todos ellos desde el punto de vista del análisis forense informático y la seguridad.

Empezamos por agradecer la vuelta (¿se fue alguna vez?) a la escena del blog de 'juanito' , nos tenía abandonados y ahora vuelve con su post sobre ADS y Google Hacking, también agradezco el esfuerzo y por ello destaco el pedazo de artículo que ha escrito neófito y que me vendrá muy bien para el futuro. Se nota que estos dos saben de lo que hablan.

Los últimos posts del Maligno y de Eduardo, también me gustaron bastante y quisiera destacar lo instructivo y practico de Thor con su artículo sobre como soluciono un reto para la Defcon 17

En cuanto al panorama de la seguridad me pareció muy interesante el trabajo que realizaron los chicos de Security by Default con su tema de fraude con firma digital. La verdad es que sus noticias son siempre muy interesantes y este tema en particular muy elaborado.¡¡ Muy buen trabajo!!

También me pareció curiosa la lectura del blog de SHOPOS en la que cuentan como se oculta todo un ejecutable en una rama del registro de Windows (¿Son capaces los malos de hacer esto?).
El ejecutable en cuestión se almacena en la clave HKLM\SOFTWARE\Licenses con un nombre generado aleatoriamente.

Mientras tanto Lance Muellers nos habla en su blog de como validar las fechas de creación de ficheros versus fechas de instalación, lectura muy interesante y didáctica. Por otro lado me entero que la revista de descarga gratuita on-line (IN)SECURE magazine ha publicado su ultimo numero y en el aparece Didier Stevens hablando de PDF's maliciosos.

No menos interesante es la noticia de Moyix en la que nos indica que ha salido una nueva versión de VOLREG e incluida en los plugins de Volatility. ¡¡Esto hay que probarlo!!.

En cuanto a discusiones se refiere, destaco a la gente de Forensicfocus, y su foro del cual se sacan algunas muy buenas conclusiones y alguna bronca.

Si de estudiar y aprender nos referimos, deciros que la gente del CERT ha sacado unos estupendos podcast sobre temas de seguridad (en perfecto ingles). Para aprender más sobre el apasionante mundo de los logs, no os perdáis el siguiente link.

También David Barroso y Alfredo Andres de S21SEC han publicado un interesante articulo y el informe anual de fraude en internet, y si no os parece lo suficientemente atractivo podéis leer, aunque es un poco antiguo el post de Sergio Hernando que nos habla de los ataques internos.

Y ya por ultimo en lo que llevo de mes, he investigado con mucho interés el proyecto OCFA, que es nada más y nada menos que un Framework para el análisis forense.

Bueno hasta aquí, lo que llevamos leido. Proximamente seguire recopliando más noticias de interes para compartir con ustedes.

miércoles, 10 de junio de 2009

Detectando ficheros con Truecrypt

Hola lectores,

Uno de los objetivos que nos encontramos en una análisis forense es la búsqueda de datos relevantes que puedan influir en la obtención de unas conclusiones perfectas. Por ejemplo si se trata de búsqueda de ficheros de pornografía infantil, es tan importante la búsqueda de ficheros con imágenes y vídeos (prueba), como de los sitios web y accesos que se han realizado.(posible evidencia)

Por otro lado, el malo, el cibercriminal o pederasta en la red, intentara por todos los medios poner medidas anti-forensics, como por ejemplo el borrado del historial de navegación, borrado de log's de acceso o desinstalación de programas, todo ello es cuestionable y evidentemente dado a la investigación.

Es evidente que estas personas cada vez están más informadas y empiezan a utilizar la tecnología de forma mas profesionalizada, con el objeto de no ser encontrados. Tiempos atras Bruce Schneier, realizó el siguiente articulo estremecedor.

Independientemente, una de las caracteristicas que hacen complicado el análisis forense son la utilización de algotimos criptográficos con objeto de cifrar contenido relevante. Una de las peores cosas que nos podemos encontrar en un análisis son las siguientes:
  • Particiones cifradas
  • Discos y dispositivos 'pendrives' cifrados
  • Ficheros cifrados
  • Ficheros con contraseñas
Si nos encontramos en esta tesitura, la cuestión se hace muy difícil, dado que las técnicas de ocultación se están haciendo cada vez más extensibles y sencillas de utilizar.

Cuando has buscado sin éxito y cuando te has cansado de ver que las evidencias 'flojean' o no son lo suficientemente concluyentes, es hora de pensar, que a lo mejor los ficheros están eliminados permanentemente o simplemente están cifrados. Si nos vamos a más, el malo con unas pocas de instrucciones podrá utilizar técnicas de steganografia, por lo que lo complica mucho más de cara al investigador.

¿Como se detecta un contendor con TrueCrypt?

Lo peor de todo radica en su detección, ¿como lo detectamos?, esta pregunta, es harta compleja aunque no del todo imposible, tan difícil será la detección, como romper el cifrado o contraseña de estos ficheros.

Veamos algún caso con TRUECRYPT:

Hasta ahora me he visto imposibilitado de detectar ficheros cifrados con truecrypt, por el motivo anteriormente descrito, la imposibilidad de saber que ficheros son.

Hace algún tiempo sabía que los ficheros creados con truecrypt se basan en múltiplos de 512 bytes, utilizando en el contenido del fichero datos aleatorios. Con estos patrones se podrían buscar ficheros de estas características, aunque el resultado sería con muchos falsos positivos.

En la prueba de concepto he creado una partición cifrada en un pendrive con truecrypt y cuatro ficheros, tres de ellos con truecrypt (dos con formato 'hidden' y uno normal) y uno desde linux, utilizando datos aleatorios. Los nombres y formatos son los siguientes:

Con Truecrypt:

Partición cifrada --> No hidden

metallica.mp3 --> Hidden
metallica_europe.mp3 --> Hidden
acdc.mp3 --> No hidden

Sin Truecrypt, con Linux y este comando:

cat/dev/urandom>acdc_europe.mp3

acdc_europe.mp3 --> Datos aleatorios

Nota: Para su creación me refiero al manual de uso, o al articulo realizado por los amigos de Security By Default, dado que toda su explicación excede de este artículo.

Para la detección he utilizado un editor hexadecimal y dos herramientas, una comercial (File investigator File) y otra de descarga gratuita (TChunt), al parecer y según sus autores detectan este tipo de contenedores basados en Truecrypt.

Para la detección de la partición USB-PENDRIVE, ha resultado muy sencilla, hay una cadena de identificación en el primer sector del disco duro que contiene estas palabras TrueCrypt boot loader. La imagen lo dice todo:



Posteriormente ejecutamos FIF, y como vemos este es el resultado:



















Encuentra con detalle (propietarios, metadatos, timestamp) los ficheros creados con Truecrypt y como falso positivo el creado en Linux, al cual determina que es también de truecrypt.

Si a continuación pasamos el programa de libre descarga, vemos que este es el resultado:













¡¡ Detecta todos los ficheros, incluido el creado desde Linux como contenedores de Truecrypt !!, ademas esta utilidad no da detalles, simplemente deja a decisión del analista eliminar los falsos positivos.

CONCLUSIONES:

Como vemos ambas soluciones encuentran ficheros con Truecrypt, aunque deja mucho de desear como solución perfecta, dado que el número de falsos positivos podría ser muy grande. No obstante es lo que hay y como tal nos puede ayudar a determinar si en un equipo se encuentran ficheros con contenedores basados en Truecrypt.

Una vez encontrados estos ficheros, habría que romper el cifrado, pero amigos esto es otro cantar...

jueves, 4 de junio de 2009

Mi caja de herramientas (Forensics Memory Tools)


Hola lectores,

Como tengo la RAM volátil, he decidido recabar herramientas con objeto de recordar algunas de las más comunes que suelo utilizar para el análisis y volcado de memoria RAM.


Algunas de ellas se han escrito en este blog, otras en cambio y debido a su coste comercial, tan solo se han nombrado o se ha realizado algún pequeño ejemplo.

La mayoría de ellos están pensados para sistemas operativos basados en Windows, incluidos Vista y Windows Server

Volatility (free) - Magnifica herramienta, ha sacado mucha más información inclusive de temas tan peliagudos como la criptografía. Para mi otra de las Joyas de la corona.

Mantech Memory DD o MDD (free) - No hay mucho para decir sobre este producto, es otro de los pesos pesados en volcados de memoria

Win32dd (free) - El que más utilizo con diferencia, sencillo, rápido, multiplataforma y con posibilidad de utilizar el debuger de Microsoft. Una autentica joya

winen.exe (comercial pero incluido en HELIX 2.0) - Vuelca la RAM en formato EnCase (E01), capaz de comprimir el fichero resultante y totalmente operativo en su uso con otras herramientas (EnCase, FTK). Por supuesto permite mantener la integridad del fichero a inspeccionar.

fastdump (free) - Creado por HBGARY También una de las buenas, lastima que no esta muy actualizado.

PTFinders (free), de Andreas Schuster, curiosa, y de gran potencial, interesantisima bajo el prisma de documentar procesos y análisis.

Mandiant Memoryze (free) - Uno de los grandes en esto del análisis de memoria, casi diría que es de los primeros en crear utilidades para respuesta ante incidentes. Fue una de las primeras herramientas con las que más a gusto me he encontrado. La empresa que gestiona Memoryze es Mandiant y desde ella se ha liberado múltiples productos (free) para el análisis forense

EnCase (comercial). El padre de todas las herramientas. Sencillo, útil, programable, con cientos de plugins, funcional 100%, es la mejor herramienta actualmente en el mercado, no solo por el análisis de memoria si no por la cantidad de expresiones de búsqueda de información que posee. Es la más reconocida en el mercado y bastante dificil de adquirir debido a su elevado precio

FTK (comercial), con cariño, esta es una de las herramientas que más utilizo en mi porfolio, podría decir que es el hermano pequeño de EnCase, ligero, funcional y cumple con notable exactitud en el análisis forense.

Process dumper y memory parser (frees), curiosas, sencillas y utilisimas, me han sacado la información cuando más lo necesitaba.

En otra ocasión recopilare sobre herramientas de análisis del registro de Windows.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...