Isec Infosecurity 2017 - Digital Forensics

DIGITAL FORENSICS
CASOS DE LA VIDA REAL

DIGITAL FORENSICS: CASOS DE LA VIDA REAL
SOY MARIO
▸ Game Tester
▸ Enterprise Incident Response
▸ Cybersecurity
▸ Speaker Internacional
▸ Perito Informatico Forense
▸ Certified Trainer - M$ & Mile2 Security
▸ Miembro y Speaker para OWASP

AGENDA
▸ 5 Historias llenas de ©@#&*Ω$
▸ Aprender algo acerca de metodología y técnicas forenses
▸ Nombres de los Idiotas han sido omitidos o cambiados y algunos hechos

ofuscados por respeto a las compañías involucradas
Identificación Recolección Análisis Presentación
• Ubicar fuentes • Adquisicion y • Extraccion • Reporte

relevantes de Preservacion de evidencia • Demo de la
información de Data de la data logica para
• Encajar • Recoleccion • Examen de los
requerimientos de la evidencia hallazgos
de información • Validacion • Presentar
investigación validadora cruzada Documento
con fuentes de • Documentar • Reduccion de
datos los procesos de datos Procesos
relevantes utilizados
NO, SHIFT + DEL NO ES
SUFICIENTE
La ignorancia es atrevida
IDIOTA #1
▸ Caso de robo de información confidencial
▸ El “empleado” se fue a trabajar a la competencia
▸ De repente la competencia tenía campañas muy similares

IDIOTA #1
▸ Se genero la “IMAGEN” del Disco Duro
▸ Se iniciaron procesos de indexado y análisis con

herramientas especializadas
▸ Buscamos en su disco duro
▸ Se puede llegar a conocer mucho a una persona

por la forma en que organiza sus archivos
▸ El tipo tenía archivos comprimidos con nombres de

empresas en las que había trabajado antes
▸ No estaba protegidos - ni cifrados
▸ Faltaba la empresa “ofendida”

IDIOTA #1
▸ Se realizo un proceso conocido como “Data Carving”
▸ Se encontró el archivo Zipeado con nombre de la empresa ofendida
▸ También se encontró una carpeta que contenía el contenido de todos los

archivos comprimidos
▸ El tipo era tan “metódico” que hasta había hecho una presentación para poner
al tanto a sus nuevos compañeros de la información valiosa que traía consigo
LECCIONES APRENDIDAS
▸ La gente ni en ser precavida se esfuerza
▸ Shift + Del no es lo que nos han dicho!
▸ Principio de transferencia de Lockard
▸ Perfilamiento de sospechoso - Análisis de Comportamiento

SI AQUI NI SE DAN
CUENTA!
O por que es bueno hacer buenas

auditorías, o al final, hacerlas!!
IDIOTA #2
▸ Contador con privilegios acumulados
▸ Procesaba y Autorizaba la Planilla de empleados
▸ Su trabajo honesto fue recompensando por partida doble todas las quincenas
durante 6 años
▸ Lo “quemó” un chambre de corredor
▸ El tipo “creció” en la empresa y fue acumulando privilegios según fue cambiando de

puesto
▸ La Auditoría nunca se dio cuenta

IDIOTA #2
▸ Por donde comenzar? La gente temía hablar
▸ Se coordino trabajo con Area de Seguridad Interna
▸ Se emplearon técnicas forenses para verificar las sospechas y se analizó con FTK
▸ Se interpuso denuncia a la FGR

IDIOTA #2
▸ Se realizaron los procesos legales pertinentes
▸ Al hacerse entrega de la evidencia para análisis se

certifico la Cadena de Custodia
▸ Se estudio el proceso de pago de planillas y se

trabajo en estrecha colaboración con un perito
financiero
▸ La información aportada por el perito financiero

permitió ubicar los archivos de planilla modificados y
compararlos contra los originales enviados por RRHH
▸ Se hizo validación cruzada con correos electrónicos e

historiales de navegación
▸ No hay que dejar perder a los amigos
▸ Las auditorías no son infalibles
▸ Hay que tener control sobre el nivel de privilegio que tienen los empleados
▸ Nuevamente, la gente ni en ser precavida se esfuerza
▸ Los cuerpos legales carecen de técnicas y método para resguardar

apropiadamente evidencia digital y electrónica
LO VI EN
MR ROBOT
No siempre los tutoriales de

Youtube te enseñan bien
IDIOTA #3
▸ Otro empleado desleal
▸ Trabajaba en asignaciones delicadas y confidenciales
▸ “Borro” todo el contenido de su carpeta de usuario
▸ Se le olvido vaciar la papelera de reciclaje
▸ Era un fanatico confeso de Mr Robot

IDIOTA #3
▸ Se genero la imagen del Disco Duro
▸ Se analizaron los programas instalados en busca del

toolbox de Mr Robot o similares
▸ Se encontraron rastros de Deep Sound
▸ Se hizo análisis esteganografico a archivos de audio
▸ No se encontró nada
▸ Análisis mas detallado detecto cambios en extensiones
▸ Gracias magic numbers!
▸ Se habían renombrado archivos de video por archivos

de audio
▸ No hay mas vivo que el que se la pica
▸ Otra vez, la gente ni en ser precavida se esfuerza
▸ Un tutorial de YouTube no te convierte en Hacker
▸ El “Análisis por firma de archivo” compara las extensiones con el contenido del
archivo
▸ Cualquier discrepancia es marcada y señalada por las herramientas de análisis
▸ El intento por ocultar algo te vuelve prioridad en la lista

A MI QUE ME REVISEN
Yo no fui!
IDIOTA #4
▸ Otro empleado que se fue para la competencia
▸ Trabajaba en area de ventas, y se llevo el

listado de clientes, catalogo de productos con
su estrategia de asignación de precios y costos
… que raro O_o
▸ Adopto una actitud desafiante, de “revisen, no

van a encontrar nada”
IDIOTA #4
▸ Se genero la imagen del Disco Duro
▸ Certificar la imagen del disco duro para que no sea alterada - Hash!
▸ Se planifico el análisis
▸ Buscar por archivos borrados, analizar lo no utilizado
▸ Análisis del “Slack”
▸ Examinar el registro por archivos o programas usados
▸ Corroborar la inserción de drives removibles

IDIOTA #4
▸ El fulano empleo software “anti-forense” de
destrucción de datos
▸ Utilizo un patron no común, nada natural a

cualquier deterioro por parte del sistema
operativo o el uso del sistema
▸ La existencia de un patron PODRIA, SUGERIR la

destrucción intencional de información
▸ Caso aún en pelea…

▸ Hay gente que se la lleva de listo, y de listo… nada
▸ En serio, la gente no conoce la precaución, ni la honestidad?
▸ Cualquier software de alteración o destrucción de datos es CASI SIEMPRE, detectable
▸ Igual no usen patrones repetitivos, siempre se detecta
▸ Puede ser que no sepa que destruíste
▸ Pero si que destruiste algo (Dolo)
▸ En los juicios civiles aun pesa mas el testimonio de un humano que la prueba científica
YO NO GUARDO NADA
EN LA COMPUTADORA
Viva la Cloud!!
IDIOTA #5
▸ Otra estrella de las ventas se va de la empresa
▸ Se sospecha se lleva listado de precios y de clientes, pero no hay forma de

probarlo
▸ Se emplean las técnicas tradicionales y se comienzan a hacer búsquedas de lo

usual
▸ No habían muchas pistas
▸ En una actitud desafiante, el fulano entrega un DVD con su “copia de seguridad”

- habrá pedido consejo a su abogado? -
IDIOTA #5
▸ Link Files: Archivos abiertos
▸ BagMRU: Actividad del usuario en carpetas
▸ Historiales de Navegación de Firefox y Chrome
▸ NADA de NADA
▸ Nadie ocupa IE… Nadie?

IDIOTA #5
▸ Examen del historial de IE - Estaba eliminado, pero se recuperó
▸ Dentro de un archivo HTM al que hacia referencia el historial se encontro javascript que
apuntaba a “wetransfer.com”
▸ Se encontró el id de la cuenta, estampas de tiempo de actividad, y nombres de archivos
▸ Se pudo establecer la “linea de tiempo”

IDIOTA #5
▸ Ah, en la empresa ocupan Exchange Server, nada
en el server, usan PST :-(
▸ El tipo entrego un DVD con su respaldo, bingo, hay

un PST. Busquemos elementos eliminados… nada
▸ Utilizamos un editor HEX (WinHex, XVI32, etc)

para alterar los primeros 8 bits del archivo y
luego SCANPST para recuperar… Y voilá :-)
▸ Esto consolido la investigación y probó que existía

caso #WIN
▸ Quien habrá borrado los emails?

▸ Los historiales son realmente difíciles de borrar
▸ los archivos .js son una joya también
▸ cargar cosas en la nube también deja rastros
▸ En una situación complicada, la gente debería consultar a su abogado
▸ Recuerden compactar los PSTs si no quieren que alguien mas recupere lo que
creen haber eliminado :-P
RECURSOS
internet
‣ http://forensicswiki.org
‣ https://eforensicsmag.com
capacitacion local
‣ Mile2 Security -
WebcommService
mario@tigersec.co

Isec Infosecurity 2017 - Digital Forensics

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Isec Infosecurity 2017 - Digital Forensics

Hochgeladen von

Copyright:

Verfügbare Formate

DIGITAL FORENSICS

CASOS DE LA VIDA REAL

▸ Enterprise Incident Response

▸ Perito Informatico Forense

▸ Certified Trainer - M$ & Mile2 Security

▸ Miembro y Speaker para OWASP

▸ Aprender algo acerca de metodología y técnicas forenses

▸ Nombres de los Idiotas han sido omitidos o cambiados y algunos hechos

• Ubicar fuentes • Adquisicion y • Extraccion • Reporte

▸ El “empleado” se fue a trabajar a la competencia

▸ De repente la competencia tenía campañas muy similares

▸ Se iniciaron procesos de indexado y análisis con

▸ Buscamos en su disco duro

▸ Se puede llegar a conocer mucho a una persona

▸ El tipo tenía archivos comprimidos con nombres de

▸ No estaba protegidos - ni cifrados

▸ Faltaba la empresa “ofendida”

▸ Se encontró el archivo Zipeado con nombre de la empresa ofendida

▸ También se encontró una carpeta que contenía el contenido de todos los

▸ Shift + Del no es lo que nos han dicho!

▸ Principio de transferencia de Lockard

▸ Perfilamiento de sospechoso - Análisis de Comportamiento

O por que es bueno hacer buenas

▸ Procesaba y Autorizaba la Planilla de empleados

▸ Lo “quemó” un chambre de corredor

▸ El tipo “creció” en la empresa y fue acumulando privilegios según fue cambiando de

▸ La Auditoría nunca se dio cuenta

▸ Se coordino trabajo con Area de Seguridad Interna

▸ Se interpuso denuncia a la FGR

▸ Al hacerse entrega de la evidencia para análisis se

▸ Se estudio el proceso de pago de planillas y se

▸ La información aportada por el perito financiero

▸ Se hizo validación cruzada con correos electrónicos e

▸ Las auditorías no son infalibles

▸ Nuevamente, la gente ni en ser precavida se esfuerza

▸ Los cuerpos legales carecen de técnicas y método para resguardar

No siempre los tutoriales de

▸ Trabajaba en asignaciones delicadas y confidenciales

▸ “Borro” todo el contenido de su carpeta de usuario

▸ Se le olvido vaciar la papelera de reciclaje

▸ Era un fanatico confeso de Mr Robot

▸ Se analizaron los programas instalados en busca del

▸ Se encontraron rastros de Deep Sound

▸ Se hizo análisis esteganografico a archivos de audio

▸ Análisis mas detallado detecto cambios en extensiones

▸ Gracias magic numbers!

▸ Se habían renombrado archivos de video por archivos

▸ Otra vez, la gente ni en ser precavida se esfuerza

▸ Un tutorial de YouTube no te convierte en Hacker

▸ Cualquier discrepancia es marcada y señalada por las herramientas de análisis

▸ El intento por ocultar algo te vuelve prioridad en la lista

▸ Trabajaba en area de ventas, y se llevo el

▸ Adopto una actitud desafiante, de “revisen, no

▸ Buscar por archivos borrados, analizar lo no utilizado

▸ Análisis del “Slack”

▸ Examinar el registro por archivos o programas usados

▸ Corroborar la inserción de drives removibles

▸ Utilizo un patron no común, nada natural a

▸ La existencia de un patron PODRIA, SUGERIR la

▸ Caso aún en pelea…

▸ En serio, la gente no conoce la precaución, ni la honestidad?

▸ Cualquier software de alteración o destrucción de datos es CASI SIEMPRE, detectable

▸ Igual no usen patrones repetitivos, siempre se detecta