View
220
Download
2
Category
Preview:
Citation preview
Análisis Forense de Memoria RAM
1
Ekoparty Security Conference 7° edición el bit que rebalsó el buffer
Workshop
Análisis Forense de Memoria RAM
Buenos Aires , 21 Septiembre 2011
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
gustavo@presman.com.ar http://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman
Análisis Forense de Memoria RAM
2
Agenda
• Análisis forense tradicional y Diferenciales de RAM forensics
• Análisis en vivo Vs. RAM Analysis
• Dead Box Analysis Vs. RAM Analysis
• Recolección en la escena del hecho . Orden de volatilidad
• Herramientas para recolección y análisis , local y remoto. Checklist para la elección y criterios de almacenamiento
• Instalación de Volatility
• Lab
Análisis Forense de Memoria RAM
3
Diferenciales en el Análisis de memoria RAM
Recolección de evidencia potencialmente
útil
Acceso a discos y volúmenes cifrados
Acceso a datos volátiles
Acceso a archivos y ejecutables (malware)
desencriptados
Adquisición de evidencia que no existe en
otras ubicaciones
Análisis Forense de Memoria RAM
4
Modelo tradicional de forensics
Post Mortem ó Dead Box
Vs.
Live Analysis
Análisis Forense de Memoria RAM
6
Analisis Forense Dead Box
Ventajas y Deventajas
• No deja rastros
• No hay riesgo de actividad
• Se pueden perder datos valiosos
• El disco puede estar encriptado
Análisis Forense de Memoria RAM
7
Analisis Forense de RAM Ventajas y Deventajas
• Acceso a artefactos que solo se encuentran en RAM
• Deja rastro durante la adquisición (se pueden sobreescribir datos)
• La memoria se pierde al cortar la alimentación
• Puede haber bombas lógicas
Análisis Forense de Memoria RAM
8
En la escena del hecho
• Oportunidad de recolección
de RAM
• Desconectar o no ... That´s
the question ?
Análisis Forense de Memoria RAM
9
Recolección por orden de volatilidad (RFC 3227)
• Memoria
• Procesos
• Conexiones de red
• Sistema de archivos
• Disk Blocks
Análisis Forense de Memoria RAM
10
Que podemos obtener del análisis de la RAM ?
• Procesos corriendo
• Modulos y DLL’s corriendo
• device drivers
• Archivos abiertos por proceso
• Claves de registry abiertas por proceso
• sockets de red abiertos por proceso
• Fecha de recolección de la RAM
• Versiones desencriptadas de datos
• Adjuntos de Email ,imágenes, fragmentos de chat
• Llaves criptográficas
• Llaves de encripción de disco
• Nombres de usuarios
• Contraseñas en texto plano
Análisis Forense de Memoria RAM
11
Herramientas Para recolección
• De uso Local
• De uso Remoto CARACTERISTICAS:
OS support
Limite de Memoria recolectada
( FastDumpPro and Memoryze support > 4GB)
Compresion
Recolección de Pagefile .sys
Conversion de hiberfil.sys
Análisis Forense de Memoria RAM
12
EVIDENCIA SIN
AUTENTICACION
ADQUISICION BASADA EN HARDWARE
Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)
DATOS VOLATILES
ADQUISICION BASADA EN SOFTWARE *
Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase)
*Tener presente al efectuar el análisis
RECOLECCION DE MEMORIA RAM
DESCARGA DE LA MEMORIA Y ALMACENAMIENTO EN UN ARCHIVO DE EVIDENCIA LOGICO
Análisis Forense de Memoria RAM
13
Tool footprint citp.princeton.edu/memory
Las herramientas de recolección dejan
Huella
Conocer bien el
funcionamiento de la
tool elegida a fín de
poder explicarlo en
la corte
Análisis Forense de Memoria RAM
14
Herramientas para recolección local ,
remota y análisis
MoonSols $
Encase $
ProDiscover $
Paraben Enterprise $
FastDumpPro $
Memoryze
FastDump CE
FTK Imager
Encase Enterprise $
F-Response $
HB Gary $
ProDiscover IR $
HBGary $
FTK $
Encase Forensic $
Memoryze
Volatility
Análisis Forense de Memoria RAM
15
Herramientas para la recolección Checklist para su elección :
• Es compatible con el OS /SP?
• Es compatible con arquitectura de 64bit ?
• Es capaz de recolectar más de 4 GB ?
• Como es el formato de salida ? (plano/RAW , propietario)
Análisis Forense de Memoria RAM
16
Almacenamiento
• Disco USB /Pen Drive recomendados
• Efectuar un borrado seguro
• Instalar la herramienta para
recolección
• Considerar el FS NTFS (algunas
herramientas no segmentan el archivo
de evidencia)
Análisis Forense de Memoria RAM
17
Coleccion de tools implementadas en Python
con múltiples módulos adicionales para distintos artefactos forenses
PRINCIPALES CARACTERISTICAS
• Procesos corriendo
• Sockets y conexiones de red abiertas
• DLLs cargadas por proceso
• Archivos abiertos por proceso
• Extraer ejecutables de la RAM
• Soporrte de archivos de paginación , Crash dumps e Hibernación
Volatility Framework (GNU)
Análisis Forense de Memoria RAM
18
Instalar Volatility Versión no standalone
• Instalar Python en c:\Phythonxx
• Descomprimir Volatility bajo
c:\Phythonxx
• Instalar Pycrypto
• Descomprimir Plugins (MALWARE
DETECTION y DATA EXTRACTION ) en
c:\Phythonxx
Análisis Forense de Memoria RAM
20
Muchas Gracias por su participación
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
gustavo@presman.com.ar http://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman
Recommended