TechNet:TechNet:Introducción a Microsoft Operations Manager Introducción a Microsoft Operations Manager

20052005. .

Ana Alfaro García

v-analfa@microsoft.com

Coordinadora de Eventos TechNet

Análisis ForenseAnálisis ForenseEntornos Entornos WindowsWindows

Juan Luis García RamblaJuan Luis García Rambla

jlrambla@informatica64.comjlrambla@informatica64.com

MVP Windows SecurityMVP Windows Security

AgendaAgenda

Introducción.Introducción.

Sistemas de auditoría.Sistemas de auditoría.

El análisis de los procesos.El análisis de los procesos.

Gestión del sistema de ficheros. Acceso a Gestión del sistema de ficheros. Acceso a recursos.recursos.

Software de análisis forense.Software de análisis forense.

IntroducciónIntroducción

IntroducciónIntroducción

- Nos espían.Nos espían.- Nos acechan.Nos acechan.

- Nos atacan.Nos atacan.

- Nos acosan.Nos acosan.

- ¿ y que podemos hacer además de aplicar defensas?¿ y que podemos hacer además de aplicar defensas?

Elemental querido Watson…..

¡Analizar la circunstancia!

Es decir como

los de C.S.I.

El análisis forenseEl análisis forense

Cuando algo ha pasado que nos Cuando algo ha pasado que nos queda:queda: Deducir que ha pasado.Deducir que ha pasado. Qué ha motivado que esto haya pasado.Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello.Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de Qué acciones han sido consecuencia de

ello.ello. Qué podemos hacer para evitar que Qué podemos hacer para evitar que

vuelva a suceder.vuelva a suceder.

Análisis basados en Análisis basados en modelos.modelos.

La ciencia forense informática se basa en La ciencia forense informática se basa en un patrón de análisis basado en modelos. un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” R.E.D.A.R - Vocablo que significa: “Echar las redes”

RE gistro: Almacenar la información de lo que RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las acontece en los logs, tanto de S.O. como en la de las aplicaciones.aplicaciones.

D ectección de intrusos. Análisis de la información D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques de red con objeto de determinar patrones de ataques y potenciales atacantes.y potenciales atacantes.

A uditoRia: Evaluación de la información recogida A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.que lleva consigo el análisis de una circunstancia.

Digital Forensics Research Digital Forensics Research Workshops (DFRW)Workshops (DFRW)

Este modelo es uno de los más Este modelo es uno de los más seguidos y basa sus premisas en los seguidos y basa sus premisas en los siguientes procedimientos:siguientes procedimientos: Identificación.Identificación. Preservación.Preservación. Recogida.Recogida. Examinación.Examinación. Análisis.Análisis.

Modelo abstractoModelo abstracto Este modelo llamado Modelo Forense Digital Este modelo llamado Modelo Forense Digital

Abstracto, evoluciona del anterior y se basa en Abstracto, evoluciona del anterior y se basa en los siguientes procedimientos:los siguientes procedimientos:

Identificación.Identificación. Preparación.Preparación. Estrategia de aproximación.Estrategia de aproximación. Preservación.Preservación. Recolección de datos.Recolección de datos. Examen de datos.Examen de datos. Análisis.Análisis. Presentación.Presentación. Retorno de evidencias.Retorno de evidencias.

¿Qué se necesita para hacer ¿Qué se necesita para hacer

un análisis forense?un análisis forense? Análisis de la intrusión.Análisis de la intrusión. Análisis de daños.Análisis de daños. Examinar eventos sospechosos.Examinar eventos sospechosos. Búsqueda de evidencias.Búsqueda de evidencias. Herramientas de análisis.Herramientas de análisis. Análisis de los ficheros de registro.Análisis de los ficheros de registro.

Sistemas de Sistemas de auditoríaauditoría

La auditoria: la clave,La auditoria: la clave,a priori…a priori…

Auditoría a priori…Auditoría a priori…

¿Qué analizo?

¿Cómo lo hago?

¿Pero que es lo importante?

¿Cuándo lo hago?

¿Las estaciones de trabajo también?

¿A quien monitorizo?

¿Todos los servidores?

¿Con que herramientas lo hago?¿Los ficheros?

¿Las impresoras?

¿La red?

¿Los dispositivos USB?

¿Las grabadoras?

¿El correo electrónico?

¿El acceso a la intranet?

¿El acceso a Inernet?

¿El acceso a la extranet?

¿Las bases de datos?

Arggggggggggggggg!!!!!!!!!!!!

La auditoria: la clave,La auditoria: la clave,a posteriori…a posteriori…

Auditoria a posteriori…Auditoria a posteriori…

Suele llegar tarde…

Aunque si un ladrón comete un robo y le sale bien, lo volverá a intentar…

Auditar es importanteAuditar es importante

La auditoría es necesaria para evaluar la La auditoría es necesaria para evaluar la información.información.

A priori sin entrar en el modo paranoia. A priori sin entrar en el modo paranoia. Hay que focalizar el registro de Hay que focalizar el registro de información de la base de negocio.información de la base de negocio.

A posteriori, siempre es mejor que nada. A posteriori, siempre es mejor que nada. ““Si la jugada salió bien porque no Si la jugada salió bien porque no intentarlo de nuevointentarlo de nuevo”.”.

Auditoria de sistemas.Auditoria de sistemas.

Los registros de Windows.Los registros de Windows. Sistemas.Sistemas. Seguridad.Seguridad. Aplicaciones.Aplicaciones.

El visor de sucesos. Ese gran El visor de sucesos. Ese gran desconocido.desconocido.

Auditoría de recursosAuditoría de recursos

Auditoría de accesos a objetos.Auditoría de accesos a objetos. Auditoría de carpetas.Auditoría de carpetas.

Auditoría de ficheros.Auditoría de ficheros.

Auditoría de impresoras.Auditoría de impresoras.

Hay que focalizar la auditoría, en la Hay que focalizar la auditoría, en la información sensible.información sensible.

Auditoría de serviciosAuditoría de servicios

Muchos de los servicios cuentan con Muchos de los servicios cuentan con sus propios logs.sus propios logs. Servidores Web.Servidores Web.

Servidores de correo.Servidores de correo.

Servidores de base de datos.Servidores de base de datos.

Servidores de seguridad.Servidores de seguridad.

¿Qué debemos controlar?¿Qué debemos controlar? Accesos: identificar usuarios, puestos e IP.Accesos: identificar usuarios, puestos e IP.

Qué información ha podido ser Qué información ha podido ser manipulada.manipulada.

Cómo se ha podido realizar la intrusión.Cómo se ha podido realizar la intrusión.

Cual era el objeto de la intrusión.Cual era el objeto de la intrusión.

Podemos evitar nuevamente que se pueda Podemos evitar nuevamente que se pueda producir la intrusión.producir la intrusión.

Automatizar las Automatizar las auditoríasauditorías

Automatizar las auditorías es un procedimiento Automatizar las auditorías es un procedimiento casi imposible, pero hay herramientas que casi imposible, pero hay herramientas que facilitan esta tarea, recogiendo los datos y facilitan esta tarea, recogiendo los datos y mostrando un pre-análisis de la información.mostrando un pre-análisis de la información.

El análisis de los El análisis de los procesosprocesos

¿Poqué analizar ¿Poqué analizar procesos?procesos?

Muchos de los riesgos se producen Muchos de los riesgos se producen estando los sistemas activos.estando los sistemas activos.

Debemos buscar evidencias que Debemos buscar evidencias que determinen algo que pueda estar determinen algo que pueda estar pasando.pasando.

El malware es utilizado habitualmente El malware es utilizado habitualmente como una forma para obtener la como una forma para obtener la información.información.

Manipulación de Manipulación de procesosprocesos

Muchos procesos pueden ser manipulados Muchos procesos pueden ser manipulados por los atacantes para esconder por los atacantes para esconder aplicaciones que capturen datos.aplicaciones que capturen datos.

Otras veces nos harán pasar procesos Otras veces nos harán pasar procesos maliciosos por procesos de sistema, maliciosos por procesos de sistema, mediante la ingeniería social.mediante la ingeniería social.

¿Conocemos realmente cuales son los ¿Conocemos realmente cuales son los procesos necesarios y cuales no?procesos necesarios y cuales no?

Analisis de los procesosAnalisis de los procesos Hay que controlar determinados aspectos en los Hay que controlar determinados aspectos en los

procesos:procesos: Qué escucha detrás de cada puerto.Qué escucha detrás de cada puerto.

Qué dependencias existente entre los procesos.Qué dependencias existente entre los procesos.

Qué subprocesos y hebrás están ejecutándose detrás de los Qué subprocesos y hebrás están ejecutándose detrás de los procesos.procesos.

Malware colgado de procesos pueden ser detectados Malware colgado de procesos pueden ser detectados mediante el análisis.mediante el análisis.

¿Quien se está conectando a nuestros procesos?¿Quien se está conectando a nuestros procesos?

El malware nos acechaEl malware nos acecha Numerosas aplicaciones malware son capaces de robarnos Numerosas aplicaciones malware son capaces de robarnos

o manipular la información.o manipular la información.

Que nosotros o las aplicaciones de seguridad que Que nosotros o las aplicaciones de seguridad que tengamos instalados no las vean no implican que no tengamos instalados no las vean no implican que no existan.existan.

Pueden ser más inteligentes que nosotros.Pueden ser más inteligentes que nosotros.

Herramientas comerciales pueden pasar por malware y Herramientas comerciales pueden pasar por malware y malware pasar por herramientas comerciales.malware pasar por herramientas comerciales.

Análisis online u offlineAnálisis online u offline

Aunque la mayor parte de la información se Aunque la mayor parte de la información se mantendrá cuando volvamos a reiniciar el mantendrá cuando volvamos a reiniciar el sistema, determinado tipo de software pudiera sistema, determinado tipo de software pudiera ser volátil.ser volátil.

Los análisis online no deberían ser intrusivos, Los análisis online no deberían ser intrusivos, para evitar la enquistación o malversación de la para evitar la enquistación o malversación de la información.información.

IATHookIATHook Herramienta de análisis de procesos que buscan Herramienta de análisis de procesos que buscan

ganchos de aplicaciones malware.ganchos de aplicaciones malware.

Gestión del Gestión del sistema de sistema de

ficherosficheros

Analisis del sistema deAnalisis del sistema de ficheros ficheros

Analizar un sistema de ficheros no implica que Analizar un sistema de ficheros no implica que debemos modificar la información.debemos modificar la información.

Es necesario realizar una copia de los datos que Es necesario realizar una copia de los datos que salvaguarde la información original de salvaguarde la información original de manipulaciones malintencionadas.manipulaciones malintencionadas.

El análisis debe evaluarse desde la información El análisis debe evaluarse desde la información proporcionadas por las auditorias, así como la proporcionadas por las auditorias, así como la recuperación de datos eliminados o modificados.recuperación de datos eliminados o modificados.

Apostar por NTFSApostar por NTFS Los sistemas NTFS permiten un control más Los sistemas NTFS permiten un control más

exhaustiva de la información.exhaustiva de la información.

La recuperación de los datos es más factible, aunque La recuperación de los datos es más factible, aunque haya sido eliminado o la partición haya sido haya sido eliminado o la partición haya sido formateada.formateada.

Admite unos sistemas de seguridad mejorados.Admite unos sistemas de seguridad mejorados.

Deben utilizarse también en las estaciones de Deben utilizarse también en las estaciones de trabajo.trabajo.

Control de los atributos NTFS.Control de los atributos NTFS.

Prever los cambiosPrever los cambios

Una buena práctica es tener una copia de las Una buena práctica es tener una copia de las firmas de los ficheros, en sistemas poco móviles.firmas de los ficheros, en sistemas poco móviles.

Comparar los ficheros de firmas con la situación Comparar los ficheros de firmas con la situación actual.actual.

Comparar la información con posibles copias de Comparar la información con posibles copias de seguridad y evaluar quien tiene acceso a las seguridad y evaluar quien tiene acceso a las mismas: tanto físicamente como a través de la mismas: tanto físicamente como a través de la red.red.

Datos locales o remotosDatos locales o remotos Hay que tener en cuenta ambas Hay que tener en cuenta ambas

perspectivas.perspectivas.

Si tenemos un sistema de almacenamiento Si tenemos un sistema de almacenamiento remoto (NAS), debe contar con un sistema remoto (NAS), debe contar con un sistema de auditoría.de auditoría.

La información local suele estar más La información local suele estar más dispersa y es más difícil realizar el control.dispersa y es más difícil realizar el control.

Hay que concienciar que los datos alojados Hay que concienciar que los datos alojados en un servidor está más protegidos.en un servidor está más protegidos.

Evaluación de datosEvaluación de datos Comparar los ficheros offline y Comparar los ficheros offline y

online.online.

Buscar posibles ficheros o carpetas Buscar posibles ficheros o carpetas ocultas.ocultas.

Sospechar de acciones de Rootkit.Sospechar de acciones de Rootkit.

Cuidado con InternetCuidado con Internet

¿Sabemos donde estamos entrando?¿Sabemos donde estamos entrando?

¿Controlamos la información que nos ¿Controlamos la información que nos llega?llega?

El spyware: la amenaza en la sombra.El spyware: la amenaza en la sombra.

Audita la información que nos llega a Audita la información que nos llega a través de los Navegadores.través de los Navegadores.

El registroEl registro

La base de datos del sistema.La base de datos del sistema.

¿Qué nos oculta?¿Qué nos oculta?

¿Es deducible la información?¿Es deducible la información?

Nos aporta muchas pistas que Nos aporta muchas pistas que pueden indicar que se está pueden indicar que se está ejecutando.ejecutando.

FilemonFilemon Control de acceso y atributos sobre ficheros: Control de acceso y atributos sobre ficheros:

gestión de evidencias.gestión de evidencias.

RegmonRegmon Buscando información online en el registro.Buscando información online en el registro.

Software de Software de análisis forenseanálisis forense

Software de análisis Software de análisis forenseforense

Existe la posibilidad de utilizar herramientas Existe la posibilidad de utilizar herramientas para automatizar los procedimientos de análisis para automatizar los procedimientos de análisis forense.forense.

En muchas circunstancias cuando no sabemos En muchas circunstancias cuando no sabemos que hacer, ellas marcan las pautas y los métodos.que hacer, ellas marcan las pautas y los métodos.

Normalmente obtienen las información por Normalmente obtienen las información por nosotros, pero no nos la deducen. Eso es cosa nosotros, pero no nos la deducen. Eso es cosa nuestra.nuestra.

¿Qué hacen?¿Qué hacen? Hacen copia binarias de discos.Hacen copia binarias de discos.

Recopilan la información de los logs.Recopilan la información de los logs.

Monitorizan los sistemas de ficheros.Monitorizan los sistemas de ficheros.

Evalúan procesos.Evalúan procesos.

Buscan elementos de malware.Buscan elementos de malware.

EncaseEncase

Es una de las herramientas más Es una de las herramientas más afamadas y utilizadas.afamadas y utilizadas.

Copia de datos.

Realiza estudios de sistemas.

Control de todo el sistema de ficheros.

Control de ficheros.

Control de procesos.

Control de servicios web.

Auditoría de información.

EncaseEncase

HelixHelix

Live-cd con herramientas para Live-cd con herramientas para análisis forense.análisis forense.

Permite el análisis on-line y off-line.Permite el análisis on-line y off-line.

Crea copia de discos y ficheros.Crea copia de discos y ficheros.

Boletín quincenal Boletín quincenal TechNewsTechNews

Web MVPsWeb MVPs

Próximas AccionesPróximas Acciones

Listado de seminarios técnicos:Listado de seminarios técnicos: www.microsoft.es/holsistemaswww.microsoft.es/holsistemas

WebCast, Jornadas, Eventos y WebCast, Jornadas, Eventos y Seminarios:Seminarios: http://http://www.microsoft.comwww.microsoft.com/spain//spain/technettechnet

/jornadas//jornadas/default.mspxdefault.mspx

Windows Server TechDay – Ampliando Windows Server TechDay – Ampliando las fronteras tecnológicas de Windows las fronteras tecnológicas de Windows

Server.Server.

13 de Marzo en Barcelona:13 de Marzo en Barcelona:

httphttp://://msevents.microsoft.commsevents.microsoft.com/CUI//CUI/EventDetail.aspx?EventIDEventDetail.aspx?EventID=1032329639&Culture=es-=1032329639&Culture=es-ESES

15 de Marzo en Madrid:15 de Marzo en Madrid:

httphttp://://msevents.microsoft.commsevents.microsoft.com/CUI//CUI/EventDetail.aspx?EventIDEventDetail.aspx?EventID=1032329649&Culture=es-=1032329649&Culture=es-ESES

ContactosContactos

Juan Luis García RamblaJuan Luis García Rambla jlramblajlrambla@informatica64@informatica64..comcom