Re: Tirar del cableDec 12 2005 11:47AM Ivo Sandoval (ivosandoval gmail com) (1 replies)
Re: Tirar del cableDec 12 2005 03:09PM Francisco Pecorella (fpecor cantv net) (2 replies)
Ivo,
Puedes emplear contigo un CD con binarios "conocidos" y "confiables"
(generalmente compilados estáticamente) de respuesta a incidentes con lo
cual no tendrías que preocuparte si tus binarios han sido comprometidos.
Aunado a ello, es muy recomendable que en este CD tengas aplicaciones como
pcat, memdump, netstat, etc. que te permitan tomar la evidencia volatil
(procesos corriendo, estado de la memoria y conexiones de red,
respectivamente). Una vez que hayas hecho tales copias, si tu organización
lo permite, puedes "tirar del cable" y hacer la imagen del disco.
Como es evidencia que puede cambiar muuuy rápidamente, la forma más segura
de copiar la memoria del proceso es dar un kill -STOP para suspender la
ejecución del proceso mientras se copia su memoria. Una vez que la operación
de copiado ha sido completada entonces un kill -CONT puede ser empleado para
hacer que el proceso resuma las operaciones. El pcat algunas veces hace esto
transparentemente. Sin embargo, en los sistemas que tienen un pseudo sistema
de archivos /proc, pcat no detiene el primer proceso.
Es bueno chequear también los inodos, ya que es una buena forma de encontrar
posibles binarios "troyanizados", con
$ ls -lit | sort | less
Este comando arrojará la lista de todos los inodos. Busca entradas FUERA DE
LUGAR, muy altas o muy bajas. También busca nuevas agrupaciones de cuando el
rootkit fue probablemente instalado.
Te recomiendo también emplear lsof (list open files).
También, si quieres complicarte menos puedes usar grave-robber, que es una
herramienta que automatiza la recolección de evidencia volátil y aparte las
ordena por orden de volatibilidad, incluso puede crear firmas MD5 de cada
captura.
Si por el contrario, no puedes apagar el equipo y debes hacer un análisis en
vivo, te recomiendo emplear Helix que trae consigo varias herramientas y no
requiere que apagues el equipo.
--
Saludos,
FP
----- Original Message -----
From: Ivo Sandoval
To: forensics-es (at) securityfocus (dot) com [email concealed]
Sent: Monday, December 12, 2005 7:47 AM
Subject: Re: Tirar del cable
Este fue el escenario que se me planteo en un prozecto personal que estaba
enfocado a aprender tecnicas forenses. Las pruebas que se recolectaron
fueron datos de un NIDS de un HIDS que enviava la información a otra máquina
"recolectora".
En un principio se hizo el seguimiento sobre estas pruebas. Y he de decir
que resulto muy positivo.
Aunque sigo pensando como hubiera sido si conociera el estado de la máquina
en el momento que fue comprometida, aprender del intruso.
Grácias por contestar.
Un saludo.
On 12/12/05, Román Ramírez <rramirez (at) chasethesun (dot) es [email concealed]> wrote:
> - Hemos detectado la intrusión con herramientas NIDS/HIDS, o cualquier
> otra.
Excelente, ¿tenéis grabaciones del tráfico completo?
> - Y teniendo en cuenta que deberiamos salvaguardar el máximo de
> información volátil del equipo, personalmente no sabria como actuar en
> los primeros pasos.
De las evidencias volátiles lo que probablemente querréis examinar serán
procesos y/o conexiones entrantes y salientes. Teniendo en cuenta que
hay un IDS, las conexiones dentro de la propia máquina os dan igual.
Los procesos son otra cosa. Si os han atacado mediante un sistema
moderno que aplique parches sobre el kernel o sobre otros procesos de la
máquiba. si apagáis no habrá posibilidad de análisis de un potencial
troyano o rootkit.
Pero no es lo habitual, suele haber ejecutables o herramientas del
atacante dentro del disco, y en función a las MAC de los ficheros (si es
un UNIX simplemente por la numeración de inodes) podrás localizar todo
lo insertado examinando una imagen del disco duro (con DD, Encase...).
> script detecta la interfície bajada y actua borrando huellas? ¿Y si
> tubieramos algún comando troyanizado (como lsof, netcat, ..)?
> Teniendo en cuenta el nivel de paranoia, ¿Que es lo que hariais?
> ¿Tiraríais del cable de corriente para poder trabajar con los disco a
> posteriori?
Es una idea correcta y es lo que haría si fuera vosotros en este caso.
Teniendo el disco y las evidencias indirectas del IDS creo que tenéis
suficiente para trabajar.
Puedes emplear contigo un CD con binarios "conocidos" y "confiables"
(generalmente compilados estáticamente) de respuesta a incidentes con lo
cual no tendrías que preocuparte si tus binarios han sido comprometidos.
Aunado a ello, es muy recomendable que en este CD tengas aplicaciones como
pcat, memdump, netstat, etc. que te permitan tomar la evidencia volatil
(procesos corriendo, estado de la memoria y conexiones de red,
respectivamente). Una vez que hayas hecho tales copias, si tu organización
lo permite, puedes "tirar del cable" y hacer la imagen del disco.
Como es evidencia que puede cambiar muuuy rápidamente, la forma más segura
de copiar la memoria del proceso es dar un kill -STOP para suspender la
ejecución del proceso mientras se copia su memoria. Una vez que la operación
de copiado ha sido completada entonces un kill -CONT puede ser empleado para
hacer que el proceso resuma las operaciones. El pcat algunas veces hace esto
transparentemente. Sin embargo, en los sistemas que tienen un pseudo sistema
de archivos /proc, pcat no detiene el primer proceso.
Es bueno chequear también los inodos, ya que es una buena forma de encontrar
posibles binarios "troyanizados", con
$ ls -lit | sort | less
Este comando arrojará la lista de todos los inodos. Busca entradas FUERA DE
LUGAR, muy altas o muy bajas. También busca nuevas agrupaciones de cuando el
rootkit fue probablemente instalado.
Te recomiendo también emplear lsof (list open files).
También, si quieres complicarte menos puedes usar grave-robber, que es una
herramienta que automatiza la recolección de evidencia volátil y aparte las
ordena por orden de volatibilidad, incluso puede crear firmas MD5 de cada
captura.
Si por el contrario, no puedes apagar el equipo y debes hacer un análisis en
vivo, te recomiendo emplear Helix que trae consigo varias herramientas y no
requiere que apagues el equipo.
--
Saludos,
FP
----- Original Message -----
From: Ivo Sandoval
To: forensics-es (at) securityfocus (dot) com [email concealed]
Sent: Monday, December 12, 2005 7:47 AM
Subject: Re: Tirar del cable
Este fue el escenario que se me planteo en un prozecto personal que estaba
enfocado a aprender tecnicas forenses. Las pruebas que se recolectaron
fueron datos de un NIDS de un HIDS que enviava la información a otra máquina
"recolectora".
En un principio se hizo el seguimiento sobre estas pruebas. Y he de decir
que resulto muy positivo.
Aunque sigo pensando como hubiera sido si conociera el estado de la máquina
en el momento que fue comprometida, aprender del intruso.
Grácias por contestar.
Un saludo.
On 12/12/05, Román Ramírez <rramirez (at) chasethesun (dot) es [email concealed]> wrote:
> - Hemos detectado la intrusión con herramientas NIDS/HIDS, o cualquier
> otra.
Excelente, ¿tenéis grabaciones del tráfico completo?
> - Y teniendo en cuenta que deberiamos salvaguardar el máximo de
> información volátil del equipo, personalmente no sabria como actuar en
> los primeros pasos.
De las evidencias volátiles lo que probablemente querréis examinar serán
procesos y/o conexiones entrantes y salientes. Teniendo en cuenta que
hay un IDS, las conexiones dentro de la propia máquina os dan igual.
Los procesos son otra cosa. Si os han atacado mediante un sistema
moderno que aplique parches sobre el kernel o sobre otros procesos de la
máquiba. si apagáis no habrá posibilidad de análisis de un potencial
troyano o rootkit.
Pero no es lo habitual, suele haber ejecutables o herramientas del
atacante dentro del disco, y en función a las MAC de los ficheros (si es
un UNIX simplemente por la numeración de inodes) podrás localizar todo
lo insertado examinando una imagen del disco duro (con DD, Encase...).
> script detecta la interfície bajada y actua borrando huellas? ¿Y si
> tubieramos algún comando troyanizado (como lsof, netcat, ..)?
> Teniendo en cuenta el nivel de paranoia, ¿Que es lo que hariais?
> ¿Tiraríais del cable de corriente para poder trabajar con los disco a
> posteriori?
Es una idea correcta y es lo que haría si fuera vosotros en este caso.
Teniendo el disco y las evidencias indirectas del IDS creo que tenéis
suficiente para trabajar.
Un saludo
--
- - - - - - - - - - - - - - - - - - - - - - - - -
| ivosandoval (at) gmail (dot) com [email concealed] |
| somachibun (at) gmail (dot) com [email concealed] |
| http://www.somachibun.net |
- - - - - - - - - - - - - - - - - - - - - - - - -
[ reply ]