Mdulo 6

Fundamentos de Linux Forense

Ing. Julio Iglesias Prez

Qu hay de diferente en Linux?

No hay registro
La informacin hay que recolectarla de diversas fuentes.

No hay fechas de creacin de archivos hasta EXT4 Los Archivos y datos son en su mayora texto plano
Rpida bsqueda e interpretacin de datos

Accediendo al Sistema de Archivos

El acceso al Sistema de Archivos puede resultar complicado, cifrado de unidades, RAID, montado de mltiples particiones, etc.

Qu debemos buscar?
/etc: Directorio principal de Configuracin del Sistema, equivalente a %SystemRoot%/System32/config en Windows /var/log: Logs de seguridad, aplicaciones, etc. Equivalente al visor de eventos de Windows /home/$user: Datos de Usuario, equivalente a %userprofile% de Windows

Perfil bsico del sistema

Distribucin, versin: /etc/* Fecha de Instalacin: Buscar las fechas en los archivos /etc/ssh/ssh_host_*_ Nombre del equipo: /etc/hostname, tambin ver las entradas en /var/log Direcciones IP:
Estticas: /etc/hosts Dinmicas /var/lib/dhclient, /var/log/*

Zona Horaria
El archivo que almacena las zonas horarias es: /etc/localtime Utilizar zdump para archivo de formato binario o buscar en /user/share/zoneinfo

Cuentas de Usuario
La informacin bsica del usuario (uid, gid, etc.) se encuentra en /etc/passwd Los hashes MD5 de las contraseas se encuentra en /etc/shadow (fuerza bruta con "John the Ripper") El archivo /etc/sudoers puede indicar usuarios con privilegios administrativos La pertenencia a grupos se encuentra en /etc/group

Historial de Inicios de Sesin de Usuarios

/var/log/wtmp: Muestra informacin sobre el usuario, fuente, tiempo y duracin de la sesin Otros logs pueden contener informacin relevante:
/var/log/auth.log /var/log/secure /var/log/audit/audit.log

Directorio usuarios y datos ocultos

La convencin ms utilizada para los directorios personales es: /home/<usuario> El directorio del usuario administrativo es /root Los Directorios y Archivos ocultos comienzan con el "." por ejemplo: /home/julio/.archivo.txt

Artefactos de los Navegadores Web

Los formatos de las bases de datos SQLite son las mismas que en Windows La diferencia radia en los directorios:
Firefox: $HOME/.mozilla/firefox/*.default Chrome: $HOME/.config/chromium/Default

Nautilus

Navegador grfico, similar a Windows Explorer El directorio Thubnails: $HOME/.thumbnails Archivos recientes: $HOME/.recently-used.xbel

Historial de comandos
El directorio donde se encuentra el historial de los comandos es: $HOME/.bash_history Puede ser modificado por el usuario El historial de sudo se encuentra en:
/var/log/auth.log /var/log/sudo.log

Secure Shell (SSH)

Secure Shell es un mecanismo de acceso remoto estandar Archivos tiles de SSH se encuentran en $HOME/.ssh
known_hosts, authorized_keys, id_rsa

Cosas a tomar en cuenta

Mecanismos persistentes Backdoors Otros archivos y directorios sospechosos

Mecanismos Persistentes
Scripts y servicio (demonios)
/etc/inittab, /etc/init.d/, /etc/rc.d (Tradicionales) /etc/init.conf, /etc/init (Puestos en marcha)

Tareas programadas (trabajos cron)

/etc/cron* /var/spool/cron*

Backdoors (puertas traseras)

Verificar en /etc/passwd y /etc/shadow por UIDs extras, cuentas de aplicaciones con contraseas activas Nuevas entradas a $HOME/.ssh/authorized_keys Backdoors via [x]inetd
/etc/inetd.conf /etc/xinetd.conf, /etc/xinetd.d

Otros archivos y directorios sospechosos

Archivos pcaros Directorios ocultos (que comiencen con ".") Archivos regulares en el directorio /dev Archivos recientemente modificados Archivos de gran tamao

Repositorios de herramientas Forenses para Linux

Ms informacin en: http://www.cert.org/forensics/tools/

Distribuciones Linux Forense

SANS SIFT Workstation 2.0: http://computerforensics.sans.org/community/downloads C.A.IN.E. Computer Aided Investigative Environment: http://www.caine-live.net/

DEFT Linux: http://www.deftlinux.net/ Forensic Hard Copy: http://www.fhclive.org REMnux Linux Distribution for ReverseEngineering Malware: http://zeltser.com/remnux/ Caine Live CD/DVD: http://www.caine-live.net/

Muchas gracias