Pesadilla en el Laboratorio

Anuncio
Pesadilla en el
Laboratorio
Obtención de evidencias digitales cuando se
aplicaron medidas anti-forenses
Qué es forense digital
• Combinación mundos legal e informático para obtener,
preservar y analizar información de sistemas informáticos y
redes de modo admisible como evidencia ante un tribunal.
• Principio de Intercambio de Locard: Todo contacto deja una
huella.
• Evidencia digital: objeto digital con información fiable que
apoya o refuta una hipótesis. Debe ser:
• Admisible. Cumplir requisitos legales para ser presentada ante un
tribunal.
• Auténtica. Debe identificar las evidencias con el incidente.
• Completa. Debe reflejar todo lo ocurrido y no una perspectiva
particular.
• Fiable. No debe existir duda con respecto a su obtención y custodia.
• Creíble. Debe ser creíble y comprensible ante un tribunal.
Qué es forense digital
• El dispositivo analizado puede ser:
• El “arma” utilizada.
• El “cadáver”.
• Dispositivo: escena del crimen. Buscar 5 WHs.
• Metodología de obtención de evidencias:
• Copiar primero, preguntar después (FCSE).
• Estudio previo de importancia, copiar lo relevante
(investigadores en general).
• Análisis remoto de sistemas encendidos, copiar únicamente
la evidencia objetivo (entornos empresariales).
Qué es forense digital
• Cadena de custodia: identificación, transporte y
almacenamiento seguro de evidencias.
• Identificación de evidencias: Registro de localización a lo
largo del ciclo de vida.
• Transporte de evidencias (recogida; depósito en laboratorio;
traslado al tribunal):
• Personal acreditado a través de conducto seguro.
• Material apropiado (Ej. bolsas Faraday).
• Almacenamiento seguro:
•
•
•
•
Protección frente a riesgos ambientales, EMI y RFI.
Control de accesos al local y personal que accede a la evidencia.
Caja de seguridad Clase 100 (soporte digital).
Elevado coste de almacenamiento evidencias.
Qué es forense digital
• Investigación forense digital: Análisis técnico de
objetos digitales que desarrolla y comprueba
teorías admisibles ante un tribunal.
• Paradigma de Inman-Rudin:
•
•
•
•
•
Transferencia. Principio de Locard.
Identificación. Clasificación de la evidencia.
Individualización (afinar el paso anterior).
Asociación. Relacionar el autor con la escena del crimen.
Reconstrucción (de la secuencia de sucesos).
• Tipos de investigación: corporativa o criminal.
Qué es forense digital
• Técnicas de investigación forense digital:
•
•
•
•
Análisis
Análisis
Análisis
Análisis
temporal.
de información oculta.
de archivos y aplicaciones.
de privilegios.
Obstáculos en forense digital
• Técnicos
•
•
•
•
•
•
Rápida evolución tecnológica.
Volatilidad de objetos digitales.
Presentación de evidencias secundarias.
Cifrado de información.
Virtualización.
Discos SSD.
• Legales
• Difícil atribución.
• Garantías constitucionales.
• Económicos
• Limitación presupuestaria.
• Limitación temporal.
Técnicas Anti-Forenses digitales (AFT)
• Métodos y herramientas empleados para destruir u
ofuscar objetos digitales inhabilitándolos como
evidencia digital ante un tribunal.
• Clasificación:
•
•
•
•
•
•
Ocultación de información, ofuscación y cifrado
Falsificación de datos
Borrado de datos y destrucción física
Prevención de análisis
Anonimizadores de conexión.
Explotación de bugs en herramientas forenses.
• El atacante dispone de más tiempo para preparar su
acción que el investigador forense para recoger y
analizar objetos digitales existentes.
AFT vs Anti-AFT
AFT vs Anti-AFT identificando evidencias
• M utiliza ordenador con HDD dummie; trabaja con distro
Live; sus archivos guardados en Cloud/remoto; simula
uso normal de HDD-> Actividad reciente en HDD hará
pensar a F que era unidad de trabajo.
• Comprobar presencia de USBs.
• Monitorizar tráfico de red para detectar uso de
almacenamiento Cloud/remoto.
• M adopta medidas anti IP tracing (proxy, reverse-proxy,
túnel SSH, VPN, TOR)-> F no puede determinar IP origen.
• Solicitar registros de conexión a ISP.
• Tener “pinchada” TOR.
• Obtener información del proveedor VPN.
AFT vs Anti-AFT identificando evidencias
• M cifra un dispositivo/archivo mediante algoritmo
criptográfico robusto -> F no puede acceder al
contenido en claro.
• Dispositivo apagado-> Recuperación por fuerza bruta.
• Dispositivo hibernado-> hiberfil.sys contiene dump de
memoria-> ¿pass en claro?.
• Realizar análisis en vivo del dispositivo.
• Test de entropía para determinar si algoritmo de cifrado
es conocido.
• Explotar vulnerabilidades en algoritmos cifrado custom.
AFT vs Anti-AFT identificando evidencias
• M aplica transmogrifía a ficheros-> F no identifica
correctamente el tipo de fichero analizado.
• Utilizar Hex editor para examinar contenido de ficheros.
• Utilizar fuzzy hashing para detectar similitud entre
ficheros.
• Analizar Recent Files para detectar anomalías.
• M utiliza esteganografía para ocultar información
dentro de un archivo -> El visualizado/reproducción
del archivo no permite a F descubrir la existencia
de información oculta.
• Emplear automatización en busca de esteganografiados.
AFT vs Anti-AFT identificando evidencias
• M utiliza rootkit para enmascarar procesos en
memoria-> F no identifica proceso malicioso en
ejecución.
• Volcado de memoria y conexiones de red.
• Emplear herramientas AV/AR.
• Análisis estático del dispositivo.
AFT vs Anti-AFT identificando evidencias
• M oculta información en espacio no utilizado del
MBR (62 sectores libres)-> F no saca una imagen de
unidad completa, solo de particiones de SO y datos,
perdiendo dicha información.
• Realizar copia bit a bit completa de la unidad e
inspeccionar esos 62 sectores.
• M oculta información en HPA-> F utiliza una
aplicación forense que no recupera información de
ese área.
• Utilizar aplicaciones como EnCase, FTK, TSK.
AFT vs Anti-AFT identificando evidencias
• M oculta información en área DCO-> F utiliza una
aplicación forense que no recupera información de
ese área.
• Utilizar herramientas como The ATA Forensic Tool.
• M utiliza slack space (file slack, partition slack
o falsos bad blocks) para ocultar información-> F
realiza extracción lógica de unidad y no recupera
la información oculta.
• Realizar copia bit a bit de la unidad.
AFT vs Anti-AFT identificando evidencias
• M utiliza Alternate Data Stream (ADS) o Extended
Attribute (xattr) para asociar más de un stream de
datos a un archivo y ocultar información-> F no
detecta esta información oculta.
• Correlar resultados de herramientas forenses que analicen
los espacios de almacenamiento menos utilizados.
• Comprobar parámetros de hardware del dispositivo.
• Análisis estadístico del slack space.
AFT vs Anti-AFT en obtención de evidencias
• M utiliza gran número de dispositivos-> F obligado
a analizar todos.
• Paralelizar la obtención de evidencias.
• M utiliza dispositivos con conectores no estándar->
F necesita conectores específicos.
• Adaptar el material a nuevas tendencias criminales.
• Capacidad NAND chip-off, tarjetas especiales lectura
HDD, reparación HDD…
• M utiliza configuración no estándar de RAID-> F
obligado a probar gran número de configuraciones.
• Recombinar RAID en equipo de M.
AFT vs Anti-AFT en obtención de evidencias
• M utiliza dispositivos con medidas anti-tampering->
F dañará la evidencia al manipularlo.
• Identificación visual del dispositivo y proceder de
manera alternativa.
• M daña físicamente los dispositivos-> F no podrá
utilizar equipo de extracción de evidencias
habitual.
AFT vs Anti-AFT en cribado de información
• M aplica NSRL scrubbing: Modificar todos
los archivos del SO y aplicaciones
instaladas (Para poder seguir ejecutando
EXEs y DLLs recalcular su CRC)-> F emplea
De-NISTing y no coincide nada.
• Utilizar una política de whitelisting para
buscar ficheros que coincidan.
• Utilizar histogramas para detectar fechas con
actividad por encima de la media.
AFT vs Anti-AFT en cribado de información
• M modifica los timestamps (MACE times) de todos
los archivos; aleatorizar periódicamente la hora
de la BIOS; desactivar en Registro la
actualización de LastAccess-> F no podrá realizar
un análisis temporal.
• Ignorar los timestamps en los metadatos.
• logs secuenciales pueden ayudar a identificar líneas
temporales.
• M modifica los timestamps de manera que aparentan
consistencia-> F no podrá saber si el timestamp
de los ficheros fue modificado.
• Informe “Según el log ocurrió esto a esta hora”.
AFT vs Anti-AFT en análisis de información
• M utiliza nombres de archivo restringidos (CON,
PRN, AUX…)-> F tardará en detectar esta situación.
• Nunca exportar archivos con sus nombres nativos.
• Exportar ficheros con nombre generado automáticamente.
• M utiliza referencias circulares (carpetas anidadas en
NTFS máx 255 caracteres) para ocultar información
delictiva-> Aplicación de análisis de F entra en un
loop infinito o arroja una excepción al detectar ruta
mayor de 255 caracteres. No podrá realizar recogida
selectiva o remota de evidencias.
• Obtener una imagen completa del dispositivo.
• Siempre trabajar desde una imagen.
• Emplear herramientas como EnCase y FTK.
AFT vs Anti-AFT en análisis de información
• M manipula los logs (broken logs). Introducir el
magic number de .EVT [eLfL (0x654c664c)] en cuerpo
de un evento; introduce caracteres UNICODE
extendidos -> Herramienta análisis de logs de F
interpreta comienzo de nueva entrada; difícil de
parsear.
• Estimar si el log es estrictamente necesario.
• Parsear únicamente los registros necesarios manualmente.
• Programar un parser adecuado al log a analizar.
AFT vs Anti-AFT en generación de informes
• M añade información dummie a archivo a exfiltrar
hasta conseguir hash MD5 coincidente con archivo
legítimo del SO (ej. rundll.dll)-> De-NISTing de F
considera correcto el archivo.
• Utilizar funciones hash con menos colisiones (SHA-256).
• No confiar únicamente en hashes para determinar si un
archivo es correcto.
Descargar