ANÁLISIS DE MEMORIA VOLÁTIL

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

ANÁLISIS DE MEMORIA VOLÁTIL

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

INTRODUCCIÓN

Colombia es considerada un país pionero en la aplicación de la legislación referente a la protección de datos personales, tipificación de algunos delitos informáticos y demostración de la responsabilidad que tenemos como administradores de información propia y de terceros. A medida que la legislación colombiana se ha ido posicionando ha desarrollado mecanismos y herramientas que sirven para darle un nuevo giro a los procesos de investigación y objetivos de análisis. Dentro de estos mecanismos nos encontramos con el análisis de memoria RAM volátil, el cual hace referencia a un conjunto de procedimientos y herramientas que permiten la recopilación y análisis de la información almacenada de manera temporal en la memoria RAM, lo anterior dado que su funcionalidad de almacenamiento de datos e instrucciones se encuentra limitada a una fuente de poder. Este análisis permite dar respuesta a incidentes y generar estudios que den como resultado la recuperación de la información de los programas y los datos que están siendo procesados como los fragmentos de comunicaciones; claves de cifrado; procesos; dispositivos de almacenamiento móviles, archivos abiertos; estructuras de red, de aplicación y del sistema operativo, para hacer frente a temas relacionados con la seguridad informática. El documento pretende ser una guía práctica de los pasos a seguir en el proceso de recopilación de las evidencias planteadas, explicando en qué consiste, para qué sirve, su funcionalidad y la metodología para llevarla a cabo entre otras.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

CONCEPTOS Memoria: suele referirse a una forma de almacenamiento de estado sólido, conocida como memoria RAM (memoria de acceso aleatorio; RAM por sus siglas en inglés, de random access memory), y otras veces se refiere a otras formas de almacenamiento rápido, pero temporal. De forma similar, se refiere a formas de almacenamiento masivo, como discos ópticos, y tipos de almacenamiento magnético, como discos duros y otros tipos de almacenamiento, más lentos que las memorias RAM, pero de naturaleza más permanente. Estas distinciones contemporáneas son de ayuda, porque son fundamentales para la arquitectura de computadores en general. Imagen Forense: Llamada también "Espejo" en inglés "Mirror", la cual es una copia bit a bit de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos, áreas borradas incluyendo particiones escondidas. Analisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de información relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamaño, nombre y ruta, así como su creación, último acceso y fecha de modificación. Volatilidad de la información: La memoria volátil se suele usar sólo en memorias primarias. Esta requiere energía constante para mantener la información almacenada. La memoria RAM es una memoria volátil, ya que pierde información en la falta de energía eléctrica. Cadena de Custodia:La identidad de personas que manejan la evidencia en el tiempo del suceso y la última revisión del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los artículos son registrados y contabilizados durante el tiempo en el cual están en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artículos con el lapso de tiempo y fechas de entrega y recepción.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

FASES EN EL PROCEDIMIENTO DE ANÁLISIS: Preservación: Esta fase es muy importante porque es el punto de partida para el proceso de análisis. Es aquí donde debemos procurar garantizar que el procedimiento o metodología que vayamos a aplicar sea el más adecuado para evitar la manipulación indebida o que se pierdan las evidencias que deben ser recopiladas para su posterior análisis. En muchas ocasiones al desconocer elementos sencillos pero vitales en este proceso puede provocar que se pierda información relevante y que pudiera haber resultado decisiva al momento de solucionar el incidente o demostrar que es una evidencia que debe ser tenida en cuenta como material probatorio en un caso. De acuerdo a un artículo en internet en la página de incibe.es dejan muy en claro que aspectos críticos como que no se apaguen los equipos para poder preservar la información volátil o la correcta rotulación de los elementos a analizar se realizan deben ser vitales cuando nos encontramos en esta etapa. En un país como Colombia la preservación de la información cobra mucha importancia por los posibles casos de corrupción que puedan presentarse si estamos hablando que es material para demostrar la culpabilidad o participación de algún delito, es por eso que las personas que tienen a cargo este proceso sea una persona íntegra, que cuente con el conocimiento requerido para que pueda llevar a cabo su trabajo de la manera profesional con el fin de evitar desviaciones o manipulación indebida de la información. Continuando con las recomendaciones del caso se debe mantener un registro continuo de todas las operaciones que se vayan realizando sobre el material que estemos revisando, se debe tener muy claro que debemos procurar siempre conservar la validez jurídica de las evidencias que se recopilen. Una recomendación es que si los materiales deben ser transportados, este se debe realizar con sumo cuidado y si contamos con los recursos por medio de un maletín forense, en ese sentido evitando que la información sea alterada o que se vea expuesta a temperaturas extremas y campos electromagnéticos. Adquisición: Esta es la fase donde está el grueso del análisis, porque es aquí donde se explicará con el mayor detalle los hallazgos que se convertirán en evidencias. Es importante que se tenga presente que una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal. Características de las evidencias, desde un punto de vista legal:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

● Admisible: Debe tener valor legal. ● Auténtica: Debe ser verídica y no haber sufrido manipulación alguna. Para ello, deben haberse sacado los correspondientes hashes con el fin de asegurar la integridad. ● Completa: Debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni prejuicios. ● Creíble: Debe ser comprensible. ● Confiable: Las técnicas utilizadas para la obtención de la evidencia no deben generar ninguna duda sobre su veracidad y autenticidad. Las evidencias pueden ser físicas o digitales. Análisis: Cuando nos encontramos analizando la información obtenida producto de las fases anteriores, se debe tener siempre en mente cuál es el caso o incidente al que pretendo dar respuesta. Para el caso que nos compete sobre el análisis de la información de una memoria volátil es importante que a la hora de realizar un análisis forense tengamos claro el caso que queremos evaluar y la metodología de análisis a desarrollar, la recomendación se hace porque en esta etapa encontraremos que hay evidencias de conexión, procesos en ejecución, etc. La pérdida de este tipo de información puede suponer que el análisis forense no se complete satisfactoriamente o dificultar en gran medida el proceso.

Dependiendo del caso puede resultar muy útil analizar en profundidad diferentes aspectos como hora y fecha del sistema, este es muy relevante porque te da puntos de partida y son material probatorio al momento de un hallazgo. Además que de contar con una línea temporal te permitirá desarrollar de una manera ordenada y clara este proceso. Realizar un volcado de la información que se encuentra en la memoria del equipo sujeto a análisis. Una buena práctica después de haber realizado el anterior proceso es sacar el hash a los archivos y la evidencia obtenida, esto con el fin de que la información sea confiable y dar elementos suficientes al momento de demostrar ante unas autoridades que la información es la correcta y que no ha sufrido ningún tipo de cambio posteriormente. Es mucha la información que podemos revisar producto del volcado de la información, aquí listamos algunas que pueden ser útiles:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

● ● ● ●

Usuarios que han iniciado sesión y listado de cuentas de usuario Servicios y procesos en ejecución Información de red, (estado de conexiones activas, puertos) La caché del sistema de nombres del dominio en donde se puede visualizar dicha asociación con respecto a los dominios a los que se ha accedido desde el equipo. ● Tráfico de red ● Dispositivos USB conectados ● Listado de redes WIFI a las que se ha conectado un equipo

Es fundamental que todo el proceso sea realizado desde un punto de vista objetivo, no se puede descartar elementos que pueden aparentar ser obvios, siempre visualizar el caso de estudio. Documentación: Este es un proceso fundamental en el proceso del análisis forense es el de la documentación por lo que se debe realizar dicha fase de una manera muy metódica y detallada. Se pueden realizar algunas acciones como la de fotografiar las pruebas, cadena de custodia, documentar todos los pasos realizados durante el proceso, realización de una bitácora con fechas y horas de cada acción realizada sobre las evidencias, formatos con la identificación de la evidencia capturada. Es claro que la información debe ser entendible para todos los públicos interesados, por tal razón se recomienda realizar dos tipos de informes, uno considerado ejecutivo y otro técnico Presentación: La presentación de la información debe ser comprensible, es por eso que algunos expertos en la materia recomiendan que se prepare una presentación pedagógica, explicar de manera clara el proceso, detallar los puntos de tal forma que sea fácilmente comprensible por el auditorio, no se recomienda hacer afirmaciones que no estén sustentadas ni hacer juicios de valor.

CARACTERÍSTICAS EN EL ANÁLISIS En el proceso de análisis es importante identificar los siguientes principios: Verificable: Está busca que sea comprobable la veracidad de las conclusiones extraídas a partir de la realización del análisis.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Reproducible: Tener siempre disponible en todo momento las pruebas realizadas durante el proceso. Documentado: todo el proceso debe estar correctamente documentado y debe realizarse de manera comprensible y detallada, de acuerdo a las pautas aprendidas en la cadena de custodia.. Independiente: Uno de los objetivos es que las conclusiones deben ser las mismas, sin importar la persona que esté realizando el proceso y de la metodología que utilizó. CADENA DE CUSTODIA Cuando hablamos de realizar un análisis forense, no podemos dejar de tener claridad sobre la cadena de custodia. La cadena de custodia debe estar claramente documentada, algunas preguntas que permitirán detallar este proceso son: ● ● ● ●

Dónde, cuándo y quién descubrió y recolectó la evidencia. Dónde, cuándo y quién manejó la evidencia. Quién ha custodiado la evidencia, cuánto tiempo y cómo la ha almacenado. Si la evidencia cambió de custodio se debe indicar cuándo y cómo se realizó el intercambio.

(tomado de la metodología RFC 3227 - Directrices para la recopilación de evidencias y su almacenamiento ) LA METODOLOGÍA Como bien sabemos, existen diferentes tipos de metodologías para la atención de este tipo de situaciones, todas por lo general tienen algo en común, como por ejemplo sus fases. En la presente guía se han aplicado algunos conceptos de la metodología para la recopilación de evidencias y su almacenamiento RFC 3227. Esta metodología ha permitido clarificar y evidenciar los aspectos que se deben tener en cuenta al momento de atender un incidente. Cabe resaltar de la metodología sus recomendaciones sobre las acciones que se deben evitar, aquí listamos algunas:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

● No apagar el ordenador hasta que se haya recopilado toda la información. ● No confiar en la información proporcionada por los programas del sistema ya que pueden haberse visto comprometidos. Se debe recopilar la información mediante programas desde un medio protegido como se explicará más adelante. ● No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema. Se debe recordar que los forense que atenderán este tipo de incidentes deberán evitar realizar algunas de esas acciones con el fin de no invalidar el proceso de recolección y análisis de la información, ya que debe preservarse su integridad con el fin de que los resultados obtenidos puedan ser utilizados como material probatorio en una instancia judicial. CASO DE EJEMPLO Usuario Pepito Pérez se comunica al centro de inteligencia y forense, solicitando ayuda para revisar su computadora debido a que lo encontró encendido y con un usuario nuevo llamado “Admin2” para el acceso al sistema operativo. Luego de la llamada del usuario, se le indica que el computador no sea manipulado por ninguna otra persona, y que se mantenga encendido mientras llega el equipo forense.

IDENTIFICACIÓN DE EVIDENCIA Se realiza un registro fotográfico de los equipos involucrados en el incidente informático. En este caso, se trata de una computadora de escritorio con los siguientes componentes externos: ● ● ● ● ●

Torre Monitor Teclado Mouse Impresora

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

1. PRESERVACIÓN DE EVIDENCIA Se procede a realizar una imagen de la memoria RAM en un dispositivo de almacenamiento externo USB, usando la herramienta FTK Imager versión 3.4.0

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Para evitar alterar los datos contenidos en los componentes de almacenamiento de la computadora involucrada, se usa un dispositivo para bloqueo de escritura

A la imagen de la memoria se le obtienen los hash en codigo MD5, SHA1, CRC32, SHA-256, SHA-512 usando la herramienta “hashmyfiles”, y se procede a extraer y conservar el dispositivo USB que contiene la imagen con la evidencia Digital.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

================================================== Filename : memdump.mem MD5 : 1a59f58dbc3b23e9ab751ae4da97c2f9 SHA1 : d90688dcacb06191878d64346cbdea9e1a07a7f7 CRC32 : a50aab08 SHA-256 : ed159657f0cc8f745265a92f016b9bc874e54d5f38ecba6dc2139fe7a2b21ce9 SHA-512 : 9b7838f3863b60f4847fc2595ecb3c4ea66e0c5db48e9efe8ef8dc365a29207cf693eaab7b0e dc481ac02ba5db16fb763bce721e633e9864cda0fcd8feff3065 Full Path : H:\Evidencia RAM\memdump.mem Modified Time : 01/12/2015 22:47:21 Created Time : 01/12/2015 22:44:53 File Size : 771.686.400 File Version : Product Version : Identical : Extension : mem File Attributes : A ==================================================

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Luego de recolectar la evidencia, se procede a diligenciar el formato de recolección de información:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

2. ANÁLISIS DE EVIDENCIA Para el análisis de la evidencia se emplea el Framework Volatility 2.4, contenido en Kali Linux.

Se inicia el O.S Kali Linux en modo usuario root y se ejecuta por medio de consola el siguiente comando: volatility imageinfo (Ruta de la Imagen), este comando nos permite conocer la información acerca de la imagen a analizar como fecha de creación, tio de sistema operativo, etc., como se puede observar en la siguiente imagen:

Al ejecutar el comando tenemos:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Ahora procedemos a analizar el perfil y los procesos de la sesión, para ello ejecutamos el comando: volatility --profile=WinXPSP3x86 sessions -f /root/Desktop/Evidencia\ RAM/memdump.mem Al ejecutar el sistema nos muestra los procesos que hubo en la sesión como se observa en la siguiente imagen:

En la imagen anterior se podrá observar que se ejecutaron procesos de: - Inicio de red inalámbrica (AirNCFG.exe) (este servicio se trató de ejecutar debido a que el equipo no tenía conexión alámbrica para internet). - Adaptador USB para conexiones inalámbrica (WZCSLDR2): este servicio se inicia siempre y cuando se conecte un adaptador USB el cual permite conexión inalámbrica para redes WIFI. - Conexión de Impresora (lxdnmsdmon.exe): este proceso se inicia cuando en el sistema se tiene instalada una impresora como la que se encontró en el lugar de los hechos.

Luego se analiza las líneas ejecutadas por comando MS-DOS, para ello se ejecuta el comando: volatility cmdline -f /root/Desktop/Evidencia\ RAM/memdump.mem

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Esto nos permite conocer las líneas de comando utilizados por medio de consola, como se puede ver en la siguiente imagen:

En la imagen anterior podemos observar que se ejecutó el proceso CSRSS.EXE nombre con el cual algunos malware se camuflan mediante dicho nombre como por ejemplo el gusano W32.Netsky.AB.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

En lo anterior se evidencia que se modificó la última fecha de actualización para el registro binario UEME_CTLCUACount:ctor. Ahora se procede a analizar los procesos o hilos que interactuaron con el portapapeles: Para ello se utiliza el comando wndscan:

Como se puede observar en la imagen anterior existen CERO sesiones y no hay interacciones desde el portapapeles (false). Luego se procede a verificar en el perfil de la imagen si se inició alguna consola desde el usuario activo, para ello se utiliza el comando consoles:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

En la imagen anterior podemos observar que hubo interacción desde consola, debido a que está activo el proceso cmd.exe que es el que ejecuta el modo consola en Windows y de igual manera después de 50 líneas de comando realizan salida del modo MS-DOS. Luego se procede si habia algun trabajo activo de algun link, se utiliza el comando joblinks: Debido a que el equipo en el momento de la recoleccion de la evidencia no tenia conexión a internet, el analisis nos muestra que no se tenia ninguna conexión activa por medio de links:

Luego se procede analizar el puerto 608 del proceso CSRSS.exe para conocer si hubo algún cambio en las cuentas de usuario:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Finalmente se procede a validar que usuarios están creados y su respectivo orden, para ello se analiza con el comando hivelist que nos permite ver las secciones del registro y ruta completa en la memoria.

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

Luego procedemos a analizar la ruta hexadecimal (física) del archivo SAM el cual guarda los registro de usuario y su respectiva contraseña; para ello utilizamos el comando hashdump:

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1

INFORMATICA FORENSE ESPECIALIZACION EN SEGURIDAD INFORMATICA 2015

CONCLUSIONES Qué hizo el atacante una vez dentro del sistema. El atacante encontró el equipo encendido y con la sesión abierta. Posteriormente crea una nueva cuenta en el sistema operativo usando la consola MS-DOS. La cuenta creada tiene privilegios de Administrador, y la usó para instalar el troyano “csrss” en el sistema para mantener una "puerta trasera" que permite controlar el quipo desde internet a través de un proxy. Recomendaciones al propietario del equipo afectado. Con base a los hechos se recomienda al administrador realizar lo siguiente -

Dar formato a su disco duro y actualizar a un sistema operativo moderno y mantener activas las actualizaciones automáticas.

BIBLIOGRAFÍA http://tools.kali.org/forensics/volatility https://code.google.com/p/volatility/

Especialización en Seguridad Informática Wilmar Fabian Artunduaga Vivas Juan Pablo Martínez Pulido Rubén Darío Varón Universidad Autónoma de Occidente Cali, Valle del Cauca.

Informática Forense Taller 1