Download - Forense Remota utilizando ferramentas Open Source

Transcript
Page 1: Forense Remota utilizando ferramentas Open Source

José Francci Neto Júlio César R. Benatto

Page 2: Forense Remota utilizando ferramentas Open Source

AGENDA - Introdução

- Forense Computacional - Preparação - Aquisição - Análise - Relatórios

- Estudo de Caso

- Cenário - Engage the Target - Mestasploit - Aquisição remota - Passo a passo - Comandos - Enumerando drivers - Bloqueador de escrita - Mapeando drive remotamente - Montando drive / Bloqueador de escrita - Realizando aquisição remota - Análise da imagem coletada - Comparação / Conversão

- Conclusão - Open Source x Software Pago

Page 3: Forense Remota utilizando ferramentas Open Source

Forense Computacional Processo Macro.

PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO

Atividade suspeita

Page 4: Forense Remota utilizando ferramentas Open Source

Preparação O que é necessário para execução da atividade

• Pessoas;

• Processos;

• Infra.

Page 5: Forense Remota utilizando ferramentas Open Source

Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.

• Criação de imagem forense; • 1 source > 2 targets

• Bloqueador de escrita;

• Geração hash;

• Cadeia de custódia;

• Ata notarial.

Page 6: Forense Remota utilizando ferramentas Open Source

Análise Durante uma análise forense são analisados diversos artefatos que podem

conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.

Download – É possível determinar arquivos que o usuário tenha feito download.

Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de

mensagens instantâneas.

Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta

em análise (Data Carving) e verificar e acessar os dados que estão marcados como

excluídos na MFT (Master File Table).

Execução de programas – Pode-se determinar programas executados no

ambiente em análise.

Uso de dispositivos móveis – É possível determinar dispositivos móveis

conectados no computados analisado.

Page 7: Forense Remota utilizando ferramentas Open Source

Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de

forma imparcial.

• Resposta aos quesitos;

• Análise imparcial;

• Remontar os passos adotados durante a análise;

• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial

• Conclusivo e sem opiniões.

Page 8: Forense Remota utilizando ferramentas Open Source

Estudo de Caso Aquisição remota através metasploit.

Page 9: Forense Remota utilizando ferramentas Open Source

Cenário • Kali Linux

• Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client

• Mount • dcfldd • Autopsy

• Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08

Page 10: Forense Remota utilizando ferramentas Open Source

Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades

Page 11: Forense Remota utilizando ferramentas Open Source

METASPLOIT

• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para

exploração de vulnerabilidades • Forense

Page 12: Forense Remota utilizando ferramentas Open Source

Aquisição Remota Metodologia Forense utilizando Software Livre

Page 13: Forense Remota utilizando ferramentas Open Source

Passo a passo psexec > use exploit/windows/smb/psexec

Page 14: Forense Remota utilizando ferramentas Open Source

Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp

Page 15: Forense Remota utilizando ferramentas Open Source

Comandos SESSION Background Session 1...

Page 16: Forense Remota utilizando ferramentas Open Source

Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives

Page 17: Forense Remota utilizando ferramentas Open Source

Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver

Page 18: Forense Remota utilizando ferramentas Open Source

Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1

Page 19: Forense Remota utilizando ferramentas Open Source

Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio

Page 20: Forense Remota utilizando ferramentas Open Source

Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5

Page 21: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 22: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 23: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 24: Forense Remota utilizando ferramentas Open Source

Comparação/Conversão FTK IMAGER www.accessdata.com

Page 25: Forense Remota utilizando ferramentas Open Source

Comparação/Conversão ENCASE V7.08 www.guidance.com

Page 26: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 27: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 28: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 29: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 30: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 31: Forense Remota utilizando ferramentas Open Source

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 32: Forense Remota utilizando ferramentas Open Source

Open Source x Software Pago Aprendizado

x Tempo

x Facilidade de uso

x Cenário

Page 33: Forense Remota utilizando ferramentas Open Source

Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/

Próximos passos...

Page 34: Forense Remota utilizando ferramentas Open Source

Muito Obrigado!

José Francci Neto [email protected] http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187

Júlio César Roque Benatto [email protected] http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740


Top Related

4ª ATIVIDADE REMOTA DE ABRIL

4ª ATIVIDADE REMOTA DE ABRIL

4ª ATIVIDADE REMOTA DE MAIO

4ª ATIVIDADE REMOTA DE MAIO

Source: NFV

Source: NFV

O PODER DO CONHECIMENTO GESTÃO REMOTA PARA …az276019.vo.msecnd.net/valmontstaging/docs/default-source/valley... · O PODER DO CONHECIMENTO valleyICON.com PR11300 10/16 BaseStation3™

O PODER DO CONHECIMENTO GESTÃO REMOTA PARA …az276019.vo.msecnd.net/valmontstaging/docs/default-source/valley... · O PODER DO CONHECIMENTO valleyICON.com PR11300 10/16 BaseStation3™

Mentoria Remota

Mentoria Remota

Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/seginfo2009_2_rk.pdf · Perícia Forense Computacional Ricardo ... • Prática limitada com

Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/seginfo2009_2_rk.pdf · Perícia Forense Computacional Ricardo ... • Prática limitada com

Pós-Graduação Perícia Forense Digital · Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Balística Forense...

Pós-Graduação Perícia Forense Digital · Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Balística Forense...

GRIS - Forense - Introdução à Forense Computacional.

GRIS - Forense - Introdução à Forense Computacional.

Línguas
Páginas
Legal

Copyright © 2022 FDOCUMENTOS