HOLSEG05 Anlisis Forense III' Anlisis de logs en Windows' Escenario de uso de intrusiones - PowerPoint PPT Presentation

1 / 27

About This Presentation

Title:

HOLSEG05 Anlisis Forense III' Anlisis de logs en Windows' Escenario de uso de intrusiones

Description:

Definici n de an lisis forense. Buenas pr cticas a la hora de analizar datos ... Posibilidad de adjuntar tareas. Documentos Recientes ... – PowerPoint PPT presentation

Number of Views:55

Avg rating:3.0/5.0

Slides: 28

Provided by: informa2

Category:

more less

Transcript and Presenter's Notes

Title: HOLSEG05 Anlisis Forense III' Anlisis de logs en Windows' Escenario de uso de intrusiones

1
HOL-SEG05 Análisis Forense III. Análisis de logs
en Windows. Escenario de uso de intrusiones

Juan Garrido Caballero

2
Agenda

Definición de análisis forense
Buenas prácticas a la hora de analizar datos
Análisis logs en aplicaciones
Análisis logs en Sistema Operativo
Análisis sintáctico de Logs
Herramientas utilizadas

3
Análisis forense. A qué nos ayuda

Conocer qué ha pasado
Determinar la cuantía de daños
Determinar el alcance de daños
Nos previene de futuros acontecimientos
Mitiga el riesgo

4
Ciencia forense. Descripción

Aplicada para descubrir la verdad
Personal autorizado para recolectar evidencias
Localizar e identificar las evidencias
Recolectar documentación sobre el entorno
Reconstrucción de la amenaza
Qué
Por qué
Quién
Cómo
Cuándo
Dónde
Presentación

5
Principio de Locard

Cada contacto deja un rastro

6
La importancia de los Logs

Contiene información sobre la aplicación
Información sobre qué hace la aplicación por
debajo
Registro de usuarios
Passwords
Fecha y hora de acceso a la información
Direcciones IP
Etc.

7
Archivos Log importantes

IIS (Internet Information Server)
Visor de eventos
Windows Update
TimeLine de ficheros
Prefetch
Tablas ARP
Logs SQL Server
Logs MYSQL
Archivos de registro de Windows
SAM, SYSTEM, SOFTWARE, etc.

8
Información en el sistema operativo

Papelera de reciclaje
Archivo de paginación
Restauración del sistema
Reconstrucción de la bitácora de navegación
Archivos temporales
Documentos recientes
Etc..

9
Listar archivos

Si sabemos con cierta seguridad cuándo se ha
realizado un ataque, podemos sacar una lista con
los ficheros que hay en el sistema operativo.
DIR /t a /a /s /o d c\ gtDirectory.txt date /t
gtgtDirectory.txt time /t gtgtDirectory.txt
/ta Nos muestra el campo del último acceso
(Fecha)
/a Muestra todos los ficheros
/s Muestra todos los archivos del directorio
especificado, incluidos los
subdirectorios
/o Lista los archivos indicados
d Muestra los más antiguos primero (Por fecha
y hora)

10
Listar archivos

En ocasiones esta lista puede llegar a ser
interminable.
MacMatch es un parser que nos ayudará a encontrar
ficheros entre dos fechas
Macmatch.exe c\ -a 2006-11-1015.00
2006-11-1215.59

11
Prefetching

Contiene información sobre la estadística de las
aplicaciones mas usadas en XP para optimizar su
tiempo de carga
Estos archivos, en su interior, contiene el path
de ficheros
Nos puede dar información sobre cuándo una
aplicación ha sido ejecutada
Al almacenar esta caché, las aplicaciones cargan
mucho más rápido
Se desaconseja eliminar el contenido de esta
carpeta
Cada vez que se ejecuta una nueva aplicación, el
prefetch es actualizado
Si una aplicación deja de ejecutarse en un tiempo
determinado, el prefetch también es actualizado

12
BSOD

Cuando Windows encuentra una sentencia que pueda
llegar a comprometer el sistema, éste se para.
Esta sentencia se llama KeBugCheckEx. Esta
llamada al sistema la podríamos llamar fallo de
sistema, error de kernel, STOP, etc.. , y toma 5
argumentos
Código de STOP
Cuatro parámetros que indican el código de STOP

13
Archivos dmp

Small Memory Dump.- El más pequeño de todos y el
más limitado (en cuanto a investigación). Solo
ocupa 64 Kb y en este archivo irá incluida la
siguiente información
El mensaje de detención, parámetros y otros datos
El contexto del procesador (PRCB) para el
procesador que se colgó.
La información de proceso y contexto del kernel
(EPROCESS) del proceso que se colgó.
La información de proceso y contexto del kernel
(ETHREAD) del thread que se colgó.
La pila de llamadas del modo kernel para el
subproceso que se colgó. Si éste tiene un tamaño
mayor que 16 Kb, sólo los primeros 16 Kb serán
almacenados.
Una lista de controladores cargados
Una lista de módulos cargados y no cargados
Bloque de datos de depuración. Contiene
información básica de depuración acerca del
sistema.
Páginas adicionales de memoria. Windows también
almacena estos datos para que así podamos obtener
una mayor versión de lo que cascó. Esto nos
ayudará a identificar mucho mejor el error ya que
contienen las últimas páginas de datos a las que
señalaban los registros cuando el sistema se
colgó.

14
Archivos dmp

Kernel Memory Dump Escribe el contenido de la
memoria excepto los procesos
Complete Memory Dump Escribe todo el contenido de
la memoria

15
Firewall Windows

Log por defecto guardado en systemroot\pfirewall
.log

16
Event Viewer (Visor de Eventos)

Información detallada sobre el sistema
Auditoría de eventos altamente configurable
Informa sobre el uso de aplicaciones
Filtros específicos
Informa sobre elevación de privilegios y uso de
los mismos
Archivos de registro guardados por defecto en
directorio systemroot\system32\config
Eventos PowerShell, Internet Explorer, Sistema,
Seguridad, Software, etc..