Análisis Forense de Memoria RAM

1

Ekoparty Security Conference 7° edición el bit que rebalsó el buffer

Workshop

Análisis Forense de Memoria RAM

Buenos Aires , 21 Septiembre 2011

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.ar http://www.presman.com.ar

Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman

Análisis Forense de Memoria RAM

2

Agenda

• Análisis forense tradicional y Diferenciales de RAM forensics

• Análisis en vivo Vs. RAM Analysis

• Dead Box Analysis Vs. RAM Analysis

• Recolección en la escena del hecho . Orden de volatilidad

• Herramientas para recolección y análisis , local y remoto. Checklist para la elección y criterios de almacenamiento

• Instalación de Volatility

• Lab

Análisis Forense de Memoria RAM

3

Diferenciales en el Análisis de memoria RAM

Recolección de evidencia potencialmente

útil

Acceso a discos y volúmenes cifrados

Acceso a datos volátiles

Acceso a archivos y ejecutables (malware)

desencriptados

Adquisición de evidencia que no existe en

otras ubicaciones

Análisis Forense de Memoria RAM

4

Modelo tradicional de forensics

Post Mortem ó Dead Box

Vs.

Live Analysis

Análisis Forense de Memoria RAM

5

Que se pierde ?...

Análisis Forense de Memoria RAM

6

Analisis Forense Dead Box

Ventajas y Deventajas

• No deja rastros

• No hay riesgo de actividad

• Se pueden perder datos valiosos

• El disco puede estar encriptado

Análisis Forense de Memoria RAM

7

Analisis Forense de RAM Ventajas y Deventajas

• Acceso a artefactos que solo se encuentran en RAM

• Deja rastro durante la adquisición (se pueden sobreescribir datos)

• La memoria se pierde al cortar la alimentación

• Puede haber bombas lógicas

Análisis Forense de Memoria RAM

8

En la escena del hecho

• Oportunidad de recolección

de RAM

• Desconectar o no ... That´s

the question ?

Análisis Forense de Memoria RAM

9

Recolección por orden de volatilidad (RFC 3227)

• Memoria

• Procesos

• Conexiones de red

• Sistema de archivos

• Disk Blocks

Análisis Forense de Memoria RAM

10

Que podemos obtener del análisis de la RAM ?

• Procesos corriendo

• Modulos y DLL’s corriendo

• device drivers

• Archivos abiertos por proceso

• Claves de registry abiertas por proceso

• sockets de red abiertos por proceso

• Fecha de recolección de la RAM

• Versiones desencriptadas de datos

• Adjuntos de Email ,imágenes, fragmentos de chat

• Llaves criptográficas

• Llaves de encripción de disco

• Nombres de usuarios

• Contraseñas en texto plano

Análisis Forense de Memoria RAM

11

Herramientas Para recolección

• De uso Local

• De uso Remoto CARACTERISTICAS:

OS support

Limite de Memoria recolectada

( FastDumpPro and Memoryze support > 4GB)

Compresion

Recolección de Pagefile .sys

Conversion de hiberfil.sys

Análisis Forense de Memoria RAM

12

EVIDENCIA SIN

AUTENTICACION

ADQUISICION BASADA EN HARDWARE

Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)

DATOS VOLATILES

ADQUISICION BASADA EN SOFTWARE *

Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase)

*Tener presente al efectuar el análisis

RECOLECCION DE MEMORIA RAM

DESCARGA DE LA MEMORIA Y ALMACENAMIENTO EN UN ARCHIVO DE EVIDENCIA LOGICO

Análisis Forense de Memoria RAM

13

Tool footprint citp.princeton.edu/memory

Las herramientas de recolección dejan

Huella

Conocer bien el

funcionamiento de la

tool elegida a fín de

poder explicarlo en

la corte

Análisis Forense de Memoria RAM

14

Herramientas para recolección local ,

remota y análisis

MoonSols $

Encase $

ProDiscover $

Paraben Enterprise $

FastDumpPro $

Memoryze

FastDump CE

FTK Imager

Encase Enterprise $

F-Response $

HB Gary $

ProDiscover IR $

HBGary $

FTK $

Encase Forensic $

Memoryze

Volatility

Análisis Forense de Memoria RAM

15

Herramientas para la recolección Checklist para su elección :

• Es compatible con el OS /SP?

• Es compatible con arquitectura de 64bit ?

• Es capaz de recolectar más de 4 GB ?

• Como es el formato de salida ? (plano/RAW , propietario)

Análisis Forense de Memoria RAM

16

Almacenamiento

• Disco USB /Pen Drive recomendados

• Efectuar un borrado seguro

• Instalar la herramienta para

recolección

• Considerar el FS NTFS (algunas

herramientas no segmentan el archivo

de evidencia)

Análisis Forense de Memoria RAM

17

Coleccion de tools implementadas en Python

con múltiples módulos adicionales para distintos artefactos forenses

PRINCIPALES CARACTERISTICAS

• Procesos corriendo

• Sockets y conexiones de red abiertas

• DLLs cargadas por proceso

• Archivos abiertos por proceso

• Extraer ejecutables de la RAM

• Soporrte de archivos de paginación , Crash dumps e Hibernación

Volatility Framework (GNU)

Análisis Forense de Memoria RAM

18

Instalar Volatility Versión no standalone

• Instalar Python en c:\Phythonxx

• Descomprimir Volatility bajo

c:\Phythonxx

• Instalar Pycrypto

• Descomprimir Plugins (MALWARE

DETECTION y DATA EXTRACTION ) en

c:\Phythonxx

Análisis Forense de Memoria RAM

19

LAB

•Análisis RAW de RAM

•Análisis de Procesos

Análisis Forense de Memoria RAM

20

Muchas Gracias por su participación

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.ar http://www.presman.com.ar

Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman