Download Workshop ekoparty 2011_20110924202716

Análisis Forense de Memoria RAM
Ekoparty Security Conference 7° edición
el bit que rebalsó el buffer
Workshop
Análisis Forense de Memoria RAM
Buenos Aires , 21 Septiembre 2011
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
gustavo@presman.com.ar
http://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresman
Twitter: @gpresman
1
Análisis Forense de Memoria RAM
Agenda
• Análisis forense tradicional y Diferenciales de
RAM forensics
• Análisis en vivo Vs. RAM Analysis
• Dead Box Analysis Vs. RAM Analysis
• Recolección en la escena del hecho . Orden de
volatilidad
• Herramientas para recolección y análisis , local
y remoto. Checklist para la elección y criterios
de almacenamiento
• Instalación de Volatility
• Lab
2
Análisis Forense de Memoria RAM
Diferenciales en el Análisis de memoria RAM
Recolección de evidencia potencialmente
útil
Acceso a discos y volúmenes cifrados
Acceso a datos volátiles
Acceso a archivos y ejecutables (malware)
desencriptados
Adquisición de evidencia que no existe en
otras ubicaciones
3
Análisis Forense de Memoria RAM
Modelo tradicional de forensics
Post Mortem ó Dead Box
Vs.
Live Analysis
4
Análisis Forense de Memoria RAM
Que se pierde ?...
5
Análisis Forense de Memoria RAM
Analisis Forense Dead Box
Ventajas y Deventajas
•
•
•
•
No deja rastros
No hay riesgo de actividad
Se pueden perder datos valiosos
El disco puede estar encriptado
6
Análisis Forense de Memoria RAM
Analisis Forense de RAM
Ventajas y Deventajas
• Acceso a artefactos que solo se
encuentran en RAM
• Deja rastro durante la adquisición (se
pueden sobreescribir datos)
• La memoria se pierde al cortar la
alimentación
• Puede haber bombas lógicas
7
Análisis Forense de Memoria RAM
En la escena del hecho
• Oportunidad de recolección
de RAM
• Desconectar o no ... That´s
the question ?
8
Análisis Forense de Memoria RAM
Recolección por orden de volatilidad (RFC 3227)
•
•
•
•
•
Memoria
Procesos
Conexiones de red
Sistema de archivos
Disk Blocks
9
Análisis Forense de Memoria RAM
Que podemos obtener del análisis de la RAM ?
• Procesos corriendo
• Modulos y DLL’s corriendo
• device drivers
• Archivos abiertos por proceso
• Claves de registry abiertas por proceso
• sockets de red abiertos por proceso
• Fecha de recolección de la RAM
• Versiones desencriptadas de datos
• Adjuntos de Email ,imágenes, fragmentos de chat
• Llaves criptográficas
• Llaves de encripción de disco
• Nombres de usuarios
• Contraseñas en texto plano
10
Análisis Forense de Memoria RAM
Herramientas Para recolección
• De uso Local
• De uso Remoto
CARACTERISTICAS:
OS support
Limite de Memoria recolectada
( FastDumpPro and Memoryze support > 4GB)
Compresion
Recolección de Pagefile .sys
Conversion de hiberfil.sys
11
Análisis Forense de Memoria RAM
RECOLECCION DE MEMORIA RAM
DESCARGA DE LA MEMORIA Y ALMACENAMIENTO EN UN
ARCHIVO DE EVIDENCIA LOGICO
DATOS VOLATILES

EVIDENCIA SIN
AUTENTICACION
ADQUISICION BASADA EN HARDWARE
Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)

ADQUISICION BASADA EN SOFTWARE *
Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase)
*Tener presente al efectuar el análisis
12
Análisis Forense de Memoria RAM
Tool footprint
citp.princeton.edu/memory
Las herramientas de
recolección dejan
Huella
Conocer bien el
funcionamiento de la
tool elegida a fín de
poder explicarlo en
la corte
13
Análisis Forense de Memoria RAM
Herramientas para recolección local ,
remota y análisis
MoonSols $
Encase $
ProDiscover $
Paraben Enterprise $
FastDumpPro $
Memoryze
FastDump CE
FTK Imager
Encase Enterprise $
F-Response $
HB Gary $
ProDiscover IR $
HBGary $
FTK $
Encase Forensic $
Memoryze
Volatility
14
Análisis Forense de Memoria RAM
Herramientas para la recolección
Checklist para su elección :
• Es compatible con el OS /SP?
• Es compatible con arquitectura de
64bit ?
• Es capaz de recolectar más de 4 GB ?
• Como es el formato de salida ?
(plano/RAW , propietario)
15
Análisis Forense de Memoria RAM
Almacenamiento
• Disco USB /Pen Drive recomendados
• Efectuar un borrado seguro
• Instalar la herramienta para
recolección
• Considerar el FS NTFS (algunas
herramientas no segmentan el archivo
de evidencia)
16
Análisis Forense de Memoria RAM
Volatility Framework (GNU)
Coleccion de tools implementadas en Python
con múltiples módulos adicionales para distintos
artefactos forenses
PRINCIPALES CARACTERISTICAS
•
•
•
•
•
•
Procesos corriendo
Sockets y conexiones de red abiertas
DLLs cargadas por proceso
Archivos abiertos por proceso
Extraer ejecutables de la RAM
Soporrte de archivos de paginación , Crash dumps
e Hibernación
17
Análisis Forense de Memoria RAM
Instalar Volatility
Versión no standalone
• Instalar Python en c:\Phythonxx
• Descomprimir Volatility bajo
c:\Phythonxx
• Instalar Pycrypto
• Descomprimir Plugins (MALWARE
DETECTION y DATA EXTRACTION ) en
c:\Phythonxx
18
Análisis Forense de Memoria RAM
LAB
• Análisis RAW de RAM
• Análisis de Procesos
19
Análisis Forense de Memoria RAM
Muchas Gracias por su participación
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
gustavo@presman.com.ar
http://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresman
Twitter: @gpresman
20