IRnForensics

/home/israel/irnforensics

Incident Response and Computer Forensics Crash Course
For Windows - WFA

Hay algunas veces en que hay necesidad de hacerla de Investigador Forense/Respuesta a Incidentes en sistemas digitales.

Para realizar estas tareas se debe de tener un equipo para respuesta a incidentes y otro para la investigación forense, pero no siempre es el caso, a veces somos "todologos" en sistemas computacionales.

Bueno, primero que nada se necesita que TODOS los sistemas criticos de nuestra red esten registrando sus eventos, tanto localmente como en un servidor de registro de eventos (logserver), esto aplica para servidores, estaciones de trabajo (si se puede todas), firewalls, routers, switches, etc., todo dispositivo crítico por lo menos debe enviar sus eventos a un logserver.

Esto es por que vamos a relacionar eventos tanto de ese servidor (logserver) como de los equipos que puedan resultar comprometidos, ya existen herramientas que pueden realizar esto de manera automática, solo busquen por correlacionadores de eventos (correlation events).

Despues que tenemos los eventos guardados es importante bajar la distribución Linux Helix de e-fense enfocada para Respuesta de Incidentes y Analisis Forense. Nota: Tienen que bajar la versión 2009R1 que es la última versión gratis.

Tiene herramientas muy buenas, sin embargo yo les aconsejo actualizarlas antes de copiarlas a un CD o USB, por ejemplo las  herramientas de nirsoft y sysinternals.

Una de las herramientas que me funciono muy bien y no viene el iso de Helix es RegRipper, con esta herramienta podemos obtener información valiosa de los hives de Windows (NTUSER.DAT,SYSTEM, etc.). Podemos utilizar tambien ollydbg o WinHex para revisión mas a fondo de archivos sospechosos.

Ya que tenemos las herramientas necesarias tenemos que documentar todo lo que vayamos encontrando, esto es muy importate, ir escribiendo todo lo que hacemos, evidencias que vayamos encontrando, etc; en el sitio de NIST.gov hay buenos documentos para reportes así como la página de SleuthKit para documentación referente a análisis forense, por lo cual deben de darle una revisada a estos sitios.

Al tener todos los elementos necesarios hay que ponerlos en practica en orden para que nuestra respuesta y análisis sean efectivos:

  • Revisar los eventos - Saber que equipos fueron afectados y a que hora.
  • Capturar información "Live" del sistema afectado, si es posible.
  • Obtener una imagen del sistema afectado para despues ser analizada con Autopsy u otra herramienta.
  • Obtener evidencia utilizando las diferentes herramientas disponibles para análsis en Helix, tanto para el sistema en "vivo" como el de la imagen que se obtuvo.
  • Recrear los sucesos y determinar que fue lo que ocurrio en base al analisis de todos los factores (eventos, registros, etc.)  siempre en base a la evidencia obtenida para generar nuestro reporte.
  • Entregar reporte junto a la evidencia al area correspondiente para su seguimiento.

Despues de mucho bla bla bla..., ahora breve información técnica:

Esta es una guía versión 4 de Respuesta a Incidentes y Analisis Forense, estas operaciones son dependiendo de las herramientas que utilicen para recabar la evidencia necesaria y recrear los sucesos lo más exacto posible para obtener el cuando, como, quien y porque que los IT Managers requieren al momento de leer un reporte.  Solo denle una leida a los links para entrar más en materia.

¿Comentarios?, ya saben a donde...

Useful Links

Incident Response Report

SleuthKit Wiki

E-fense

Helix2008R1

RegRipper

Nirsoft 

Sysinternals 

LiveLab White Paper

Nigilant32

Windows Live Memory Acquisition White Paper

Windows Incident Response Blog