Pesadilla en el Laboratorio
Anuncio
Pesadilla en el Laboratorio Obtención de evidencias digitales cuando se aplicaron medidas anti-forenses Qué es forense digital • Combinación mundos legal e informático para obtener, preservar y analizar información de sistemas informáticos y redes de modo admisible como evidencia ante un tribunal. • Principio de Intercambio de Locard: Todo contacto deja una huella. • Evidencia digital: objeto digital con información fiable que apoya o refuta una hipótesis. Debe ser: • Admisible. Cumplir requisitos legales para ser presentada ante un tribunal. • Auténtica. Debe identificar las evidencias con el incidente. • Completa. Debe reflejar todo lo ocurrido y no una perspectiva particular. • Fiable. No debe existir duda con respecto a su obtención y custodia. • Creíble. Debe ser creíble y comprensible ante un tribunal. Qué es forense digital • El dispositivo analizado puede ser: • El “arma” utilizada. • El “cadáver”. • Dispositivo: escena del crimen. Buscar 5 WHs. • Metodología de obtención de evidencias: • Copiar primero, preguntar después (FCSE). • Estudio previo de importancia, copiar lo relevante (investigadores en general). • Análisis remoto de sistemas encendidos, copiar únicamente la evidencia objetivo (entornos empresariales). Qué es forense digital • Cadena de custodia: identificación, transporte y almacenamiento seguro de evidencias. • Identificación de evidencias: Registro de localización a lo largo del ciclo de vida. • Transporte de evidencias (recogida; depósito en laboratorio; traslado al tribunal): • Personal acreditado a través de conducto seguro. • Material apropiado (Ej. bolsas Faraday). • Almacenamiento seguro: • • • • Protección frente a riesgos ambientales, EMI y RFI. Control de accesos al local y personal que accede a la evidencia. Caja de seguridad Clase 100 (soporte digital). Elevado coste de almacenamiento evidencias. Qué es forense digital • Investigación forense digital: Análisis técnico de objetos digitales que desarrolla y comprueba teorías admisibles ante un tribunal. • Paradigma de Inman-Rudin: • • • • • Transferencia. Principio de Locard. Identificación. Clasificación de la evidencia. Individualización (afinar el paso anterior). Asociación. Relacionar el autor con la escena del crimen. Reconstrucción (de la secuencia de sucesos). • Tipos de investigación: corporativa o criminal. Qué es forense digital • Técnicas de investigación forense digital: • • • • Análisis Análisis Análisis Análisis temporal. de información oculta. de archivos y aplicaciones. de privilegios. Obstáculos en forense digital • Técnicos • • • • • • Rápida evolución tecnológica. Volatilidad de objetos digitales. Presentación de evidencias secundarias. Cifrado de información. Virtualización. Discos SSD. • Legales • Difícil atribución. • Garantías constitucionales. • Económicos • Limitación presupuestaria. • Limitación temporal. Técnicas Anti-Forenses digitales (AFT) • Métodos y herramientas empleados para destruir u ofuscar objetos digitales inhabilitándolos como evidencia digital ante un tribunal. • Clasificación: • • • • • • Ocultación de información, ofuscación y cifrado Falsificación de datos Borrado de datos y destrucción física Prevención de análisis Anonimizadores de conexión. Explotación de bugs en herramientas forenses. • El atacante dispone de más tiempo para preparar su acción que el investigador forense para recoger y analizar objetos digitales existentes. AFT vs Anti-AFT AFT vs Anti-AFT identificando evidencias • M utiliza ordenador con HDD dummie; trabaja con distro Live; sus archivos guardados en Cloud/remoto; simula uso normal de HDD-> Actividad reciente en HDD hará pensar a F que era unidad de trabajo. • Comprobar presencia de USBs. • Monitorizar tráfico de red para detectar uso de almacenamiento Cloud/remoto. • M adopta medidas anti IP tracing (proxy, reverse-proxy, túnel SSH, VPN, TOR)-> F no puede determinar IP origen. • Solicitar registros de conexión a ISP. • Tener “pinchada” TOR. • Obtener información del proveedor VPN. AFT vs Anti-AFT identificando evidencias • M cifra un dispositivo/archivo mediante algoritmo criptográfico robusto -> F no puede acceder al contenido en claro. • Dispositivo apagado-> Recuperación por fuerza bruta. • Dispositivo hibernado-> hiberfil.sys contiene dump de memoria-> ¿pass en claro?. • Realizar análisis en vivo del dispositivo. • Test de entropía para determinar si algoritmo de cifrado es conocido. • Explotar vulnerabilidades en algoritmos cifrado custom. AFT vs Anti-AFT identificando evidencias • M aplica transmogrifía a ficheros-> F no identifica correctamente el tipo de fichero analizado. • Utilizar Hex editor para examinar contenido de ficheros. • Utilizar fuzzy hashing para detectar similitud entre ficheros. • Analizar Recent Files para detectar anomalías. • M utiliza esteganografía para ocultar información dentro de un archivo -> El visualizado/reproducción del archivo no permite a F descubrir la existencia de información oculta. • Emplear automatización en busca de esteganografiados. AFT vs Anti-AFT identificando evidencias • M utiliza rootkit para enmascarar procesos en memoria-> F no identifica proceso malicioso en ejecución. • Volcado de memoria y conexiones de red. • Emplear herramientas AV/AR. • Análisis estático del dispositivo. AFT vs Anti-AFT identificando evidencias • M oculta información en espacio no utilizado del MBR (62 sectores libres)-> F no saca una imagen de unidad completa, solo de particiones de SO y datos, perdiendo dicha información. • Realizar copia bit a bit completa de la unidad e inspeccionar esos 62 sectores. • M oculta información en HPA-> F utiliza una aplicación forense que no recupera información de ese área. • Utilizar aplicaciones como EnCase, FTK, TSK. AFT vs Anti-AFT identificando evidencias • M oculta información en área DCO-> F utiliza una aplicación forense que no recupera información de ese área. • Utilizar herramientas como The ATA Forensic Tool. • M utiliza slack space (file slack, partition slack o falsos bad blocks) para ocultar información-> F realiza extracción lógica de unidad y no recupera la información oculta. • Realizar copia bit a bit de la unidad. AFT vs Anti-AFT identificando evidencias • M utiliza Alternate Data Stream (ADS) o Extended Attribute (xattr) para asociar más de un stream de datos a un archivo y ocultar información-> F no detecta esta información oculta. • Correlar resultados de herramientas forenses que analicen los espacios de almacenamiento menos utilizados. • Comprobar parámetros de hardware del dispositivo. • Análisis estadístico del slack space. AFT vs Anti-AFT en obtención de evidencias • M utiliza gran número de dispositivos-> F obligado a analizar todos. • Paralelizar la obtención de evidencias. • M utiliza dispositivos con conectores no estándar-> F necesita conectores específicos. • Adaptar el material a nuevas tendencias criminales. • Capacidad NAND chip-off, tarjetas especiales lectura HDD, reparación HDD… • M utiliza configuración no estándar de RAID-> F obligado a probar gran número de configuraciones. • Recombinar RAID en equipo de M. AFT vs Anti-AFT en obtención de evidencias • M utiliza dispositivos con medidas anti-tampering-> F dañará la evidencia al manipularlo. • Identificación visual del dispositivo y proceder de manera alternativa. • M daña físicamente los dispositivos-> F no podrá utilizar equipo de extracción de evidencias habitual. AFT vs Anti-AFT en cribado de información • M aplica NSRL scrubbing: Modificar todos los archivos del SO y aplicaciones instaladas (Para poder seguir ejecutando EXEs y DLLs recalcular su CRC)-> F emplea De-NISTing y no coincide nada. • Utilizar una política de whitelisting para buscar ficheros que coincidan. • Utilizar histogramas para detectar fechas con actividad por encima de la media. AFT vs Anti-AFT en cribado de información • M modifica los timestamps (MACE times) de todos los archivos; aleatorizar periódicamente la hora de la BIOS; desactivar en Registro la actualización de LastAccess-> F no podrá realizar un análisis temporal. • Ignorar los timestamps en los metadatos. • logs secuenciales pueden ayudar a identificar líneas temporales. • M modifica los timestamps de manera que aparentan consistencia-> F no podrá saber si el timestamp de los ficheros fue modificado. • Informe “Según el log ocurrió esto a esta hora”. AFT vs Anti-AFT en análisis de información • M utiliza nombres de archivo restringidos (CON, PRN, AUX…)-> F tardará en detectar esta situación. • Nunca exportar archivos con sus nombres nativos. • Exportar ficheros con nombre generado automáticamente. • M utiliza referencias circulares (carpetas anidadas en NTFS máx 255 caracteres) para ocultar información delictiva-> Aplicación de análisis de F entra en un loop infinito o arroja una excepción al detectar ruta mayor de 255 caracteres. No podrá realizar recogida selectiva o remota de evidencias. • Obtener una imagen completa del dispositivo. • Siempre trabajar desde una imagen. • Emplear herramientas como EnCase y FTK. AFT vs Anti-AFT en análisis de información • M manipula los logs (broken logs). Introducir el magic number de .EVT [eLfL (0x654c664c)] en cuerpo de un evento; introduce caracteres UNICODE extendidos -> Herramienta análisis de logs de F interpreta comienzo de nueva entrada; difícil de parsear. • Estimar si el log es estrictamente necesario. • Parsear únicamente los registros necesarios manualmente. • Programar un parser adecuado al log a analizar. AFT vs Anti-AFT en generación de informes • M añade información dummie a archivo a exfiltrar hasta conseguir hash MD5 coincidente con archivo legítimo del SO (ej. rundll.dll)-> De-NISTing de F considera correcto el archivo. • Utilizar funciones hash con menos colisiones (SHA-256). • No confiar únicamente en hashes para determinar si un archivo es correcto.
