Forensics in Spanish
RE: Pasos de Análisis Forense Jan 19 2007 05:28PM
Abraham Lizardo Silva (abraham lizardo nuevoleon gob mx)
Gracias a Oscar y a todos los que amablemente me han contestado, les anexo nuevamente por el correo por si algunas personas no le haya llegado y me puedan aportar algo de su experiencia y conocimiento.

Saludos y gracias de nuevo.


==================================================================
De: abraham Lizardo [mailto:qlalizardo (at) hotmail (dot) com [email concealed] <mailto:qlalizardo (at) hotmail (dot) com [email concealed]> ]

Enviado el: Jueves, 18 de Enero de 2007 6:01

Para: forensics-es (at) securityfocus (dot) com [email concealed]

Asunto: Pasos de Análisis Forense

Hola a todos:

Tengo algunos meses desarrollándome como auditor de T.I., pero últimamente me entrado la curiosidad de adentrarme más en el campo técnico, y un de las áreas en la cual quisiera profundizar es en el análisis forense. Como trabajo en el sector gubernamental a veces es necesario revisar actividades del personal que pueden llevar a sanciones administrativas y hasta penales si se da el caso, y la verdad creo que estamos verdes en la recopilación de evidencias que le den sustento a alguna investigación.

En una revista encontré los pasos básicos que recomiendan para un análisis forense, les voy a compartir estos pasos y quisiera que fueran tan amables de darme sus comentarios de los mismos, y además me informaran que software, programas o herramientas se pueden utilizar para apoyar los pasos u otros pasos que ustedes sugieran, también si me pueden sugerir literatura o sitios relacionados en la materia tanto en español como en inglés..

De preferencia les solicitaría que me recomendaran herramientas freeware, ya que en el gobierno que trabajo como creo en casi todos, los presupuestos son escasos.

Ahora si les describo los pasos mencionados anteriormente:

PASO 1

- Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo) de dicha memoria.

Software, Programa o Herramienta Sugerida:

- Para el análisis del sistema de archivos, obtener las particiones del disco duro.

Software, Programa o Herramienta Sugerida:

- Una vez obtenido lo anterior sacar una huella digital de dichos archivos para garantizar la integridad de la información que será manipulada durante la investigación.

Software, Programa o Herramienta Sugerida:

PASO 2

- Ya analizada la memoria, hacer una análisis general del Sistema Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados, archivos ocultos, procesos no identificados, etcétera. Aquí la revista sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que las herramientas no hayan sido afectadas, aunque no menciona como hacer la verificación.

Software, Programa o Herramienta Sugerida:

PASO 3

- Análisis de la memoria RAM para ver el detalle de las acciones realizadas por el atacante, la explicación es muy escueta y no ofrece precisiones de cómo hacer el análisis.

Software, Programa o Herramienta Sugerida:

- Análisis del sistema de archivos, para lo cual se sugiere las herramientas Sleuthkit, Front-end de Autopsy. Con las herramientas mencionadas se:

. Se recuperarían archivos borrados,

. Analizaríamos las particiones para encontrar comandos ejecutados sin importar que hayan sido borrados de los archivos de auditoría.

. Generar un archivo con todas las actividades realizadas en el disco duro de forma cronológica para poder conocer paso a paso el ataque.

. Analizar el código binario del sistema operativo para encontrar código malicioso insertado en dichos archivos.

Software, Programa o Herramienta Sugerida:

PASO 4

- Recopilar toda la información obtenida y generar el escenario del ataque con la evidencia correspondiente. La evidencia debe tener sustento y ser contundente porque si el ataque vino del interior de la organización se darían repercusiones legales, de imagen y política para la misma. El equipo técnico de T.I. de la organización debería validar el trabajo del análisis forense.

Software, Programa o Herramienta Sugerida:

- Finalmente preparar el informe ejecutivo para la alta dirección con los principales hallazgos detectados, un reporte técnico para el personal de T.I. que describa paso a paso cómo fueron obtenidas las evidencias y un reporte de observaciones en donde se sugieran los controles a implementar para eliminar vulnerabilidades encontradas y prevenirse de nuevos ataques.

Adicionalmente a los 4 pasos antes recomendados se sugieres utilizar controles basados en estándares internacionales como la ISO-27001 (A.10.10.1, A.10.10.2, A.10.10.3 y A.14.1.2)

Gracias de antemano por las atenciones brindadas a la presente y disculpen las extensión del correo.

Buen día a todos y que estén bien.

Abraham Lizardo

=======================================================

De: oscar rivera [mailto:o.rivera.moya (at) gmail (dot) com [email concealed]]
Enviado el: Viernes, 19 de Enero de 2007 2:55
Para: Abraham Lizardo Silva
CC: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Re: Pasos de Análisis Forense

No puedo leer correctamente el correo. ¿Podrías remitirlo de nuevo con toda la información de los pasos y herramientas?

Gracias

On 18/01/07, Abraham Lizardo Silva <abraham.lizardo (at) nuevoleon.gob (dot) mx [email concealed]> wrote:

Spam detection software, running on the system "mail.securityfocus.com ", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.

Content preview: Hola a todos: Tengo algunos meses desarrollándome como
auditor de T.I., pero últimamente me entrado la curiosidad de adentrarme
más en el campo técnico, y un de las áreas en la cual quisiera
profundizar es en el análisis forense. Como trabajo en el sector
gubernamental a veces es necesario revisar actividades del personal que
pueden llevar a sanciones administrativas y hasta penales si se da el
caso, y la verdad creo que estamos verdes en la recopilación de
evidencias que le den sustento a alguna investigación. [...]

Content analysis details: (6.8 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
0.4 FUZZY_AMBIEN BODY: Attempt to obfuscate words in spam
0.0 HTML_MESSAGE BODY: HTML included in message
4.3 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
[201.140.3.35 listed in dnsbl.sorbs.net ]

The original message was not completely plain text, and may be unsafe to
open with some email clients; in particular, it may contain a virus,
or confirm that your address can receive spam. If you wish to view
it, it may be safer to save it to a file and open it with an editor.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.5730.11" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007>Gracias a Oscar y a todos los que amablemente me
han contestado, les anexo nuevamente por el correo por si algunas personas no le
haya llegado y me puedan aportar algo de su experiencia y
conocimiento.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007>Saludos y gracias de nuevo.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007>===============================================
===================</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><FONT size=2>
<P>De: abraham Lizardo [</FONT><A href="mailto:qlalizardo (at) hotmail (dot) com [email concealed]"><U><FONT
color=#0000ff size=2>mailto:qlalizardo (at) hotmail (dot) com [email concealed]</U></FONT></A><FONT size=2>]
</P>
<P>Enviado el: Jueves, 18 de Enero de 2007 6:01</P>
<P>Para: forensics-es (at) securityfocus (dot) com [email concealed]</P>
<P>Asunto: Pasos de Análisis Forense</P></FONT></FONT>
<P><FONT face=Arial color=#0000ff size=2>Hola a todos:</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>Tengo algunos meses desarrollándome
como auditor de T.I., pero últimamente me entrado la curiosidad de adentrarme
más en el campo técnico, y un de las áreas en la cual quisiera profundizar es en
el análisis forense. Como trabajo en el sector gubernamental a veces es
necesario revisar actividades del personal que pueden llevar a sanciones
administrativas y hasta penales si se da el caso, y la verdad creo que estamos
verdes en la recopilación de evidencias que le den sustento a alguna
investigación.</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>En una revista encontré los pasos
básicos que recomiendan para un análisis forense, les voy a compartir estos
pasos y quisiera que fueran tan amables de darme sus comentarios de los mismos,
y además me informaran que software, programas o herramientas se pueden utilizar
para apoyar los pasos u otros pasos que ustedes sugieran, también si me pueden
sugerir literatura o sitios relacionados en la materia tanto en español como en
inglés..</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>De preferencia les solicitaría que me
recomendaran herramientas freeware, ya que en el gobierno que trabajo como creo
en casi todos, los presupuestos son escasos.</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>Ahora si les describo los pasos
mencionados anteriormente:</FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT> </P>
<P><FONT face=Arial color=#0000ff size=2>PASO 1</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Análisis de la memoria física (RAM) y
obtener un DUMP (vaciado o respaldo) de dicha memoria.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Para el análisis del sistema de
archivos, obtener las particiones del disco duro.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Una vez obtenido lo anterior sacar
una huella digital de dichos archivos para garantizar la integridad de la
información que será manipulada durante la investigación.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT> </P>
<P><FONT face=Arial color=#0000ff size=2>PASO 2</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Ya analizada la memoria, hacer una
análisis general del Sistema Operativo(SO) recopilando horas de acceso SO,
últimos paquetes instalados, archivos ocultos, procesos no identificados,
etcétera. Aquí la revista sugiere las herramientas netstat, rpm, equery, ps, ls,
lsof y verificar que las herramientas no hayan sido afectadas, aunque no
menciona como hacer la verificación.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT> </P>
<P><FONT face=Arial color=#0000ff size=2>PASO 3</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Análisis de la memoria RAM para ver
el detalle de las acciones realizadas por el atacante, la explicación es muy
escueta y no ofrece precisiones de cómo hacer el análisis.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Análisis del sistema de archivos,
para lo cual se sugiere las herramientas Sleuthkit, Front-end de Autopsy. Con
las herramientas mencionadas se:</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>. Se recuperarían archivos
borrados, </FONT></FONT></FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>. Analizaríamos las
particiones para encontrar comandos ejecutados sin importar que hayan sido
borrados de los archivos de auditoría.</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2>.<SPAN
class=718051417-19012007>    </SPAN> Generar un archivo con
todas las actividades realizadas en el disco duro de forma cronológica para
poder conocer paso a paso el ataque.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>. Analizar el código binario
del sistema operativo para encontrar código malicioso insertado en dichos
archivos.</FONT></FONT></FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT> </P>
<P><FONT face=Arial color=#0000ff size=2>PASO 4</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Recopilar toda la información
obtenida y generar el escenario del ataque con la evidencia correspondiente. La
evidencia debe tener sustento y ser contundente porque si el ataque vino del
interior de la organización se darían repercusiones legales, de imagen y
política para la misma. El equipo técnico de T.I. de la organización debería
validar el trabajo del análisis forense.</FONT></P>
<P><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN
class=718051417-19012007>    </SPAN>Software, Programa o
Herramienta Sugerida:</FONT></FONT></FONT></P>
<P><FONT face=Arial color=#0000ff size=2>- Finalmente preparar el informe
ejecutivo para la alta dirección con los principales hallazgos detectados, un
reporte técnico para el personal de T.I. que describa paso a paso cómo fueron
obtenidas las evidencias y un reporte de observaciones en donde se sugieran los
controles a implementar para eliminar vulnerabilidades encontradas y prevenirse
de nuevos ataques.</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>Adicionalmente a los 4 pasos antes
recomendados se sugieres utilizar controles basados en estándares
internacionales como la ISO-27001 (A.10.10.1, A.10.10.2, A.10.10.3 y
A.14.1.2)</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>Gracias de antemano por las atenciones
brindadas a la presente y disculpen las extensión del correo.</FONT></P>
<P><FONT face=Arial color=#0000ff size=2>Buen día a todos y que estén
bien.</FONT></P>
<P><FONT face=Arial color=#0000ff size=2></FONT> </P>
<P><FONT face=Arial color=#0000ff size=2>Abraham Lizardo</FONT></P>
<P><FONT face=Arial color=#0000ff size=2><SPAN
class=718051417-19012007>===============================================
========</SPAN></FONT></P>
<P><FONT><SPAN class=718051417-19012007></SPAN></FONT><FONT face=Tahoma><FONT
size=2><SPAN class=718051417-19012007><FONT face=Arial
color=#0000ff> </FONT></SPAN></FONT></FONT></P>
<P><FONT face=Tahoma><FONT size=2><SPAN
class=718051417-19012007> </SPAN><STRONG>De:</STRONG> oscar rivera
[mailto:o.rivera.moya (at) gmail (dot) com [email concealed]] <BR><B>Enviado el:</B> Viernes, 19 de Enero de
2007 2:55<BR><B>Para:</B> Abraham Lizardo Silva<BR><B>CC:</B>
forensics-es (at) securityfocus (dot) com [email concealed]<BR><B>Asunto:</B> Re: Pasos de Análisis
Forense<BR></FONT></FONT><BR></P></DIV>
<DIV></DIV>
<DIV>No puedo leer correctamente el  correo. ¿Podrías remitirlo de nuevo
con toda la información de los pasos y herramientas?</DIV>
<DIV> </DIV>
<DIV>Gracias<BR><BR> </DIV>
<DIV><SPAN class=gmail_quote>On 18/01/07, <B class=gmail_sendername>Abraham
Lizardo Silva</B> <<A
href="mailto:abraham.lizardo (at) nuevoleon.gob (dot) mx [email concealed]">abraham.lizardo@nuevoleon
.gob.mx</A>>
wrote:</SPAN>
<BLOCKQUOTE class=gmail_quote
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Spam
detection software, running on the system "<A
href="http://mail.securityfocus.com">mail.securityfocus.com </A>",
has<BR>identified this incoming email as possible spam.  The
original message<BR>has been attached to this so you can view it (if it isn't
spam) or label<BR>similar future email.  If you have any questions,
see <BR>the administrator of that system for details.<BR><BR>Content
preview:  Hola a todos: Tengo algunos meses desarrollándome
como<BR>auditor de T.I., pero últimamente me entrado la curiosidad de
adentrarme<BR>más en el campo técnico, y un de las áreas en la cual quisiera
<BR>profundizar es en el análisis forense. Como trabajo en el
sector<BR>gubernamental a veces es necesario revisar actividades del personal
que<BR>pueden llevar a sanciones administrativas y hasta penales si se da
el<BR>caso, y la verdad creo que estamos verdes en la recopilación de
<BR>evidencias que le den sustento a alguna investigación.
[...]<BR><BR>Content analysis details:   (6.8 points, 5.0
required)<BR><BR>pts rule
name           &n
bsp;  description<BR>----
---------------------- --------------------------------------------------
<BR>0.4
FUZZY_AMBIEN          
BODY:
Attempt to obfuscate words in spam<BR>0.0
HTML_MESSAGE          
BODY:
HTML included in message<BR>4.3
BAYES_99          &nbs
p;   
BODY: Bayesian spam probability is 99 to
100%<BR>          &nbs
p;           &nbs
p;   
[score: 1.0000]<BR>2.0
RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly
from dynamic IP
address<BR>          &
nbsp;           &
nbsp;   
[<A href="http://201.140.3.35">201.140.3.35</A> listed in <A
href="http://dnsbl.sorbs.net">dnsbl.sorbs.net </A>]<BR><BR>The original
message was not completely plain text, and may be unsafe to<BR>open with some
email clients; in particular, it may contain a virus,<BR>or confirm that your
address can receive spam.  If you wish to view <BR>it, it may be
safer to save it to a file and open it with an
editor.<BR><BR><BR><BR></BLOCKQUOTE></DIV><BR></BODY></HTML>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus