1
Download Workshop ekoparty 2011_20110924202716
Document related concepts
no text concepts found
Transcript
Análisis Forense de Memoria RAM Ekoparty Security Conference 7° edición el bit que rebalsó el buffer Workshop Análisis Forense de Memoria RAM Buenos Aires , 21 Septiembre 2011 Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE [email protected] http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman 1 Análisis Forense de Memoria RAM Agenda • Análisis forense tradicional y Diferenciales de RAM forensics • Análisis en vivo Vs. RAM Analysis • Dead Box Analysis Vs. RAM Analysis • Recolección en la escena del hecho . Orden de volatilidad • Herramientas para recolección y análisis , local y remoto. Checklist para la elección y criterios de almacenamiento • Instalación de Volatility • Lab 2 Análisis Forense de Memoria RAM Diferenciales en el Análisis de memoria RAM Recolección de evidencia potencialmente útil Acceso a discos y volúmenes cifrados Acceso a datos volátiles Acceso a archivos y ejecutables (malware) desencriptados Adquisición de evidencia que no existe en otras ubicaciones 3 Análisis Forense de Memoria RAM Modelo tradicional de forensics Post Mortem ó Dead Box Vs. Live Analysis 4 Análisis Forense de Memoria RAM Que se pierde ?... 5 Análisis Forense de Memoria RAM Analisis Forense Dead Box Ventajas y Deventajas • • • • No deja rastros No hay riesgo de actividad Se pueden perder datos valiosos El disco puede estar encriptado 6 Análisis Forense de Memoria RAM Analisis Forense de RAM Ventajas y Deventajas • Acceso a artefactos que solo se encuentran en RAM • Deja rastro durante la adquisición (se pueden sobreescribir datos) • La memoria se pierde al cortar la alimentación • Puede haber bombas lógicas 7 Análisis Forense de Memoria RAM En la escena del hecho • Oportunidad de recolección de RAM • Desconectar o no ... That´s the question ? 8 Análisis Forense de Memoria RAM Recolección por orden de volatilidad (RFC 3227) • • • • • Memoria Procesos Conexiones de red Sistema de archivos Disk Blocks 9 Análisis Forense de Memoria RAM Que podemos obtener del análisis de la RAM ? • Procesos corriendo • Modulos y DLL’s corriendo • device drivers • Archivos abiertos por proceso • Claves de registry abiertas por proceso • sockets de red abiertos por proceso • Fecha de recolección de la RAM • Versiones desencriptadas de datos • Adjuntos de Email ,imágenes, fragmentos de chat • Llaves criptográficas • Llaves de encripción de disco • Nombres de usuarios • Contraseñas en texto plano 10 Análisis Forense de Memoria RAM Herramientas Para recolección • De uso Local • De uso Remoto CARACTERISTICAS: OS support Limite de Memoria recolectada ( FastDumpPro and Memoryze support > 4GB) Compresion Recolección de Pagefile .sys Conversion de hiberfil.sys 11 Análisis Forense de Memoria RAM RECOLECCION DE MEMORIA RAM DESCARGA DE LA MEMORIA Y ALMACENAMIENTO EN UN ARCHIVO DE EVIDENCIA LOGICO DATOS VOLATILES EVIDENCIA SIN AUTENTICACION ADQUISICION BASADA EN HARDWARE Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD) ADQUISICION BASADA EN SOFTWARE * Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase) *Tener presente al efectuar el análisis 12 Análisis Forense de Memoria RAM Tool footprint citp.princeton.edu/memory Las herramientas de recolección dejan Huella Conocer bien el funcionamiento de la tool elegida a fín de poder explicarlo en la corte 13 Análisis Forense de Memoria RAM Herramientas para recolección local , remota y análisis MoonSols $ Encase $ ProDiscover $ Paraben Enterprise $ FastDumpPro $ Memoryze FastDump CE FTK Imager Encase Enterprise $ F-Response $ HB Gary $ ProDiscover IR $ HBGary $ FTK $ Encase Forensic $ Memoryze Volatility 14 Análisis Forense de Memoria RAM Herramientas para la recolección Checklist para su elección : • Es compatible con el OS /SP? • Es compatible con arquitectura de 64bit ? • Es capaz de recolectar más de 4 GB ? • Como es el formato de salida ? (plano/RAW , propietario) 15 Análisis Forense de Memoria RAM Almacenamiento • Disco USB /Pen Drive recomendados • Efectuar un borrado seguro • Instalar la herramienta para recolección • Considerar el FS NTFS (algunas herramientas no segmentan el archivo de evidencia) 16 Análisis Forense de Memoria RAM Volatility Framework (GNU) Coleccion de tools implementadas en Python con múltiples módulos adicionales para distintos artefactos forenses PRINCIPALES CARACTERISTICAS • • • • • • Procesos corriendo Sockets y conexiones de red abiertas DLLs cargadas por proceso Archivos abiertos por proceso Extraer ejecutables de la RAM Soporrte de archivos de paginación , Crash dumps e Hibernación 17 Análisis Forense de Memoria RAM Instalar Volatility Versión no standalone • Instalar Python en c:\Phythonxx • Descomprimir Volatility bajo c:\Phythonxx • Instalar Pycrypto • Descomprimir Plugins (MALWARE DETECTION y DATA EXTRACTION ) en c:\Phythonxx 18 Análisis Forense de Memoria RAM LAB • Análisis RAW de RAM • Análisis de Procesos 19 Análisis Forense de Memoria RAM Muchas Gracias por su participación Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE [email protected] http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman 20
