Diapositiva 1

Anuncio
CAIF 2014
PRÁCTICA FORENSE EN HOST QUE
CONTIENEN MAQUINAS VIRTUALES
Ing. Pablo Croci
Lic. Juan Blanco
Situaciones que al perito se le pueden
presentar
¿ Cómo proceder ante un host que contenga
algún tipo de máquina virtual?
Distinguir entre host comunes y servidores que
contengan máquinas virtuales
¿ Qué resguardar y cómo efectuar la práctica
forense para cada caso?
¿ Cómo actuar si existe el borrado de las
máquinas virtuales?
Análisis de la situaciones que
podemos encontrar
Hosts de usuarios con Vmware o VirtualBox
Servidores Microsoft o Linux con Vmware o
VirtualBox
Ambientes tipo cloud con Vsephre , Hypervisor
Estructura de archivos de Vmware en
Microsoft
Principales archivos de VMWARE
¿Qué respresenta?
.vdmk
Archivo del disco duro virtual
.vmx
Conf. De la virtual machine
.vmxf
Archivo de configuración
adicional
.nvram
Bios de la virtual machine
.vmsd
Registro de los snapshots
.log
Log de actividad de la virtual
machine
Estructura de archivos de VirtualBox en
Ubuntu 12.04 LT
Principales archivos de VirtualBOX
¿Qué respresenta?
.vdi
Archivo del disco duro virtual
.vbox
Settings de la VM, grabados en
formato XML
/log/
Log de actividad de la virtual
machine
/home/VirtualBox VM/
Contenedor principal de la
VirtualBox
Otros archivos que puede soportar una
VirtualBox en Linux
• Extensión VMDK de VMware
• Formato de máquinas virtuales de Microsoft
VHD
• Versión 2 de Parallels (HDD format)
Análisis de la situación general que nos podemos
encontrar en un allanamiento
Situación ideal y respetando las buenas formas:
Imágenes forenses de los hosts, sabiendo o no que las
mismas poseen máquinas virtuales. Realización imagen
forense de los discos del servidor, (o sea
desconectando el plug de alimentación para conservar
el último estado).
Situación real:
Un servidor en vivo que posee diferentes máquinas
virtuales. Para el caso de no poder cortar la
alimentación
o
encontrarnos
con
tamaños
inmanejables para efectuar imágenes forenses,
debemos efectuar la evidencia lógica de la carpeta
contenedora de la máquina virtual.
Construcción de la Situación práctica
para la disertación
•
Se construyó una máquina virtual con Windows XP
SP2.
•
Además se utilizó una máquina virtual preexistentes
en un entorno UBUNTU 12.
•
Se efectuó sobre la VM en Windows, navegación con
Internet Explorer, se le creo una cuenta de Outlook
Express, se le instaló Cain & Abel, y se le desinstaló
las Vmware tools originales
A modo de ejemplo se visualiza los
contenedores y archivos de una Virtualbox
creada en Ubuntu
Vista de archivos y lugares en el disco
Vamos a Analizar el caso en que sólo podemos efectuar
archivos de evidencia lógica. El perito debe asentar en
acta que la mejor de todas las opciones es, efectuar la
imagen forense de el/los disco/os físicos del host que
nos encontremos:
1.Efectuando archivo de evidencia lógica con Encase
Imager
2.Archivo de evidencia lógica con Access Ftk-imager
3.Evidencia lógica en Linux para la VM en VirtualBox
Este es el ejemplo de cómo realizar el archivo de
evidencia lógica con Encase Imager
Incorporar los settings de archivos en uso
El paso posterior será abrir la evidencia lógica en un
Encase 7, en nuestro Laboratorio Forense, de modo de
extraer los archivos
En el caso de una VirtualBox, usamos el comando “cpio” de Linux,
que es un comando que nos mantiene los atributo de archivo y a la
vez hacemos el cálculo de hash
Abrimos el caso en Encase 7, realizamos la extracción de
archivos, luego de que verificó la evidencia lógica
adquirida
Extracción de los archivos de la VMware
Ventajas y Desventajas de efectuar el análisis de la VM,
con Encase
1.Ventaja: Podemos efectuar la evidencia lógica, teniendo
en cuenta los archivos que estén en uso de la VM
2.Encase soporta análisis de archivos vdmk, pero no si la
VM esta subdividida en varios archivos de disco (spliting
de la VM).
VM
3.Las tareas a realizar en laboratorio en caso de VM con
split de disco, sea con Encase o FTK, es la extracción de
los archivos y reconstrucción de la VM con Vmware o
VirtualBox
Lo mismo la extracción de los archivos evidencia con
FTK imager:
Luego de reconstruir la VM
¿que hacemos?? ¿¿Como
Examinamos???
La VM es un host mas, por lo
tanto, aquí sí valen las buenas
prácticas de la Informática
Forense → IMAGEN FORENSE
del DISCO FISICO VM
Debemos bootear con un Live CD/DVD/USB
Forense la VM. Hay que editar la VM y en la
unidad de CD-ROM elegir una ISO Forense
Para nuestro ejemplo, seleccionamos CAINE
4.0
Debemos adicionar un parámetro al archivo de
configuración de la VM, para que tengamos tiempo de
elegir el medio de boot en la VM, bios.bootdelay=20000
Presionamos ESC para seleccionar medio de inicio
En el menú optamos por bootear con el CD-ROM virtual
Pantalla de inicio del CAINE, elegimos modo seguro
CAINE trae un mount manager, podemos montar como solo
lectura el disco al que debemos efectuar imagen forense, con
el objeto solo de examinarlo, en este caso el disco a adquirir
es Sdb1
Lo que si debemos montar con escritura, es el disco en donde
vamos a alojar la imagen forense, en este caso es Sdc1
Para efectuar imagen forense elegimos Guymager y
efectuamos imagen EWF (E01), del disco Sdb1
Ya en nuestro caso de Encase 7 en el laboratorio, tenemos todas las
evidencias adquiridas, pero la única que podemos analizar es la
adquirida a través de la imagen forense efectuada en la Vmware con
el Live CAINE
Aquí efectuamos la apertura de nuestra evidencia,
examinando el repositorio de la cuenta de OE
configurada
Examinación de la carpeta c:\archivos de programas,
donde podemos ver la carpeta en donde se instaló
Cain & Abel
¿Qué sucede si el usuario efectuó el borrado de la
Virtual Machine?
Borrado de la VM, desde el Directorio de Windows
manualmente o desde el contenedor de Linux.
Este es el mejor de los casos. Se intenta la
recuperación por parte del perito, desde la
papelera de reciclaje en ambos sistemas
(Recycler en Windows, Trahs el Linux)
Peor de los casos, que se borre directamente
desde la misma aplicación de Virtualización
Borrado de la Vmware, desde la
aplicación
¿Solución mas desfavorable y menos querida File Carving?
File Carving de los discos de la VM
Búsqueda sobre el espacio no asignado de
archivos o fragmentos que tengan Header 33C0-8E-D0 como muestra la figura anterior
Además del encabezado necesitamos datos de
offsett y footer que no abunda tanta
información sobre el tema, y de acuerdo a las
versiones de Vmware varían los datos de
Desventajas: Aquí si es necesaria la
adquisición del Disco Físico del host que
contuvo la Vmware.
Conclusiones
Dependerá del caso y la situación encontrada :
Lo que las buenas costumbres indican es,
Imagen Forense de todos los discos duros
encontrados en los Hosts. No es la económica
Evidencia lógica de los contenedores de la VM,
reconstrucción de la misma, imagen forense
de la misma de la VM reconstruida
Peor de los casos: No hacer nada!!!
Referencias: Analyzing the impact of a virtual machine on a host machine, Greg Don ,
Chris Marberry, Scott Conrad and Phillips Craiger, Advances in Digital Forensic V, Gilbert
Peterson, Sujeet Shenoi IFIP AICT 306
Muchas Gracias
Preguntas
Ing. Pablo Croci ([email protected])
(@pablocroci)
Lic. JuanBlanco ([email protected])
Descargar